【技术实现步骤摘要】
主被动结合进行异常主机分析的方法、装置、介质和设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种主被动结合进行异常主机分析的方法、装置、介质和设备。
技术介绍
[0002]在网络安全领域,主机的异常行为一般包括两种情形,一是该主机主动实施恶意行为,即攻击者控制的主机;二是主机遭受攻击而产生的一些异常响应信息,如信息泄漏、开放非必要端口等。发现主机的异常行为(恶意行为)并分析定位可能的原因,是网络安全领域需要实施的必要步骤。在网络层面,传统的异常主机发现与分析往往采用被动流量检测或主动扫描的方法来实施。
[0003]被动流量检测方法在较短时间内获取的信息量较少,无法快速全面的发现主机异常;
[0004]主动扫描的方法对内网往往较为有效,因为内网主机数量是有限的,目标比较容易确定,但是对于外网主机难以确定扫描目标,无法有效实施。
技术实现思路
[0005]本专利技术的目的在于提供一种主被动结合进行异常主机分析的方法、装置、介质和设备,能够解决上述提到的至少一个技术问题。具体方案如下...
【技术保护点】
【技术特征摘要】
1.一种主被动结合进行异常主机分析的方法,其特征在于,包括:持续缓存第一设定时间段内的网络流量日志,基于被动规则检测方法,对经过网络边界的数据流进行检测,记录发现异常行为的可疑主机IP的数据流特征信息;其中,所述数据流特征信息,是指异常行为数据的所有相关协议字段特征,包括:源IP地址、目的IP地址、源端口、目的端口、传输层协议类型、应用层协议类型、应用层协议关键协议字段内容和应用层负载数据;通过所述可疑主机IP的数据流特征信息,收集与所述可疑主机IP相关的数据流信息;收集回溯流量,构建主动探测规则,其中,所述回溯流量是指基于当前告警信息的基本内容,在缓存流量中寻找该告警之前和之后的部分流量;对所述可疑主机IP进行主动扫描分析,判断所述可疑主机是否存在异常;将主动扫描与被动检测结果对比分析,确定所述可疑主机是否为异常主机。2.根据权利要求1所述的方法,其特征在于,所述通过所述可疑主机IP数据流特征,收集与所述可疑主机IP相关的数据流信息,包括:通过发现异常行为的可疑主机IP的数据流特征,在所述缓存第二设定时间段内的网络流量日志中收集与所述异常行为的可疑主机IP地址相关的数据流特征信息。3.根据权利要求2所述的方法,其特征在于,所述收集回溯流量,包括:通过在所述缓存第二设定时间段内的网络流量日志中收集在出现告警信息之前和告警之后的与所述异常行为的可疑主机IP地址相关的数据流特征信息。4.根据权利要求1所述的方法,其特征在于,所述构建主动探测规则,包括:扫描探测、脚本探测和安全探测;所述扫描探测,是指当告警信息中可以对应相应的漏洞信息,则基于扫描器预先内置的各类漏洞扫描脚本作为扫描策略;所述脚本探测,是指将告警信息中触发告警的内容作为主动探测的脚本进行探测,形成一系列的探测脚本;所述安全探测,是指对回溯发现的关联协议进行安全探测。5.根据权利要求4所述的方法,其特征在于,所述对所述可疑主机IP进行...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。