【技术实现步骤摘要】
一种设备探测方法、装置及相关设备
[0001]本申请涉及网络安全
,特别涉及一种设备探测方法,还涉及一种设备探测装置、系统及计算机可读存储介质。
技术介绍
[0002]在渗透活动中,外连C2服务器(Command&Control Server,命令与控制服务器)一直以来都是业界比较关注的一个检测方向,其中,Cobalt Strike(一张威胁模拟软件)是当下使用最多的一种C2服务器。使用Cobalt Strike的攻击者一般会分阶段投递payload(有效载荷,即病毒代码中实施有害或恶性动作的部分)以规避网络安全检测,先投递一个小型木马,再从服务器下载拥有完整功能的Beacon(Cobalt Strike运行在目标主机上的Payload)。
[0003]相关技术中,一般通过异常流量和终端行为来检测Beacon通信,找到与其通信的Cobalt Strike服务器的IP地址实现攻击识别。但是,一般情况下高级的恶意攻击者和组织都会刻意隐藏自己的地址,比如,将恶意服务器隐藏在CDN(Content De...
【技术保护点】
【技术特征摘要】
1.一种设备探测方法,其特征在于,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。2.根据权利要求1所述的设备探测方法,其特征在于,所述根据目标设备的设备运行信息获得IP信息和IP端口,包括:对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。3.根据权利要求1所述的设备探测方法,其特征在于,所述对所述域名端口进行信息探测,获得探测信息之后,还包括:根据所述探测信息确定所述目标设备是否存在网络攻击。4.根据权利要求3所述的设备探测方法,其特征在于,所述根据所述探测信息确定所述目标设备是否存在网络攻击,包括:当所述探测信息包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在网络攻击。5.根据权利要求4所述的设备探测方法,其特征在于,所述确定所述目标设备存在网络攻击之后,还包括:对所述预设类型的文件数据进行解析,获得发起所述网络攻击的攻击设备的设备信息。6.根据权利要求1所述的设备探测方法,其特征在于,所述查询域名的获取过程,包括:向所述IP信息对应的网络设备发送请求数据包,并接收所述网络设备反馈的响应数据包;利用所...
【专利技术属性】
技术研发人员:陶磊,李元治,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。