【技术实现步骤摘要】
内网威胁检测方法、装置、设备和计算机设备
本申请涉及网络安全
,特别是涉及一种内网威胁检测方法、装置、设备和计算机设备。
技术介绍
随着互联网技术的飞速发展,其应用范围也越来越广泛,随之产生的网络安全问题也越来越多。某些机密场合存在人员潜入和内网渗透的风险,如果不对内网进行检测,就无法及时监控到潜在内网威胁,一旦有人入侵内网,可能会造成提权和重要文件泄密的后果,从而给企业带来巨大的经济损失。相关技术中,采用技术人员积累的经验检测内网威胁,由于不同技术人员积累的经验和使用的操作方法的局限性,采用这种方法会导致大概率的漏报和误报,且耗时耗力。目前针对相关技术中,无法自动准确检测内网威胁的问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种内网威胁检测方法、装置、设备和计算机设备,以至少解决相关技术中无法自动准确检测内网威胁的问题。第一方面,本申请实施例提供了一种内网威胁检测方法,所述方法包括:获取内网设备的流量日志信息,并对所述流量日志信息进行解析...
【技术保护点】
1.一种内网威胁检测方法,其特征在于,所述方法包括:/n获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;/n将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;/n对每一所述提权脚本对应的目标设备进行提权;/n运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;/n根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。/n
【技术特征摘要】
1.一种内网威胁检测方法,其特征在于,所述方法包括:
获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
将所述内网设备信息与漏洞库进行匹配,确定内网中存在的漏洞以及所述漏洞对应的目标设备的提权脚本;
对每一所述提权脚本对应的目标设备进行提权;
运行与所述目标设备的操作系统对应的威胁检测程序,以执行每一漏洞对应的目标设备的提权脚本,得到提权结果;
根据所述流量日志信息和所述提权结果,生成内网威胁检测报告。
2.根据权利要求1所述的方法,其特征在于,所述获取内网设备的流量日志信息包括:
扫描内网网络的所有端口;
获取每一所述端口的端口信息,并根据每一所述端口对应的端口信息,确定每一所述端口对应的协议类型;
根据每一所述端口对应的协议类型,发送协议探测报文至对应的端口,得到所述端口的返回报文;
根据所述协议探测报文和所述返回报文,得到内网设备的流量日志信息。
3.根据权利要求1所述的方法,其特征在于,所述对每一所述提权脚本对应的目标设备进行提权包括:
生成网络攻击数据包;
根据所述网络攻击数据包对所述漏洞攻击,以对每一所述提权脚本对应的目标设备进行提权。
4.根据权利要求1所述的方法,其特征在于,所述根据所述流量日志信息和所述提权结果,生成内网威胁检测报告包括:
对所述流量日志信息和所述提权结果进行综合分析,得到威胁检测数据;所述威胁检测数据包括网络协议威胁数据、URL威胁数据以及操作系统威胁数据;
根据所述威胁检测数据,生成所述内网威胁检测报告。
5.根据权利要求1所述的方法,其特征在于,在运行所述内网设备操作系统对应的威胁检测程序之后,所述方法还包括:
删除所述威胁检测程序运行生成的缓存文件、日志信息以及威胁检测程序可执行文件。
6.一种内网威胁检测装置,其特征在于,包括:
数据处理模块,用于获取内网设备的流量日志信息,并对所述流量日志信息进行解析,得到内网设备信息;
...
【专利技术属性】
技术研发人员:丁莹,冯勇伟,
申请(专利权)人:浙江军盾信息科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。