本申请公开了一种设备探测方法,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。应用本申请所提供的技术方案,可以对隐藏在安全网络设备背后的攻击设备进行有效识别,有助于进一步挖掘到潜在的高级威胁组织,有效地提高了网络设备的安全性。本申请还公开了一种设备探测装置、系统及计算机可读存储介质,均具上述有益效果。均具上述有益效果。均具上述有益效果。
【技术实现步骤摘要】
一种设备探测方法、装置及相关设备
[0001]本申请涉及网络安全
,特别涉及一种设备探测方法,还涉及一种设备探测装置、系统及计算机可读存储介质。
技术介绍
[0002]在渗透活动中,外连C2服务器(Command&Control Server,命令与控制服务器)一直以来都是业界比较关注的一个检测方向,其中,Cobalt Strike(一张威胁模拟软件)是当下使用最多的一种C2服务器。使用Cobalt Strike的攻击者一般会分阶段投递payload(有效载荷,即病毒代码中实施有害或恶性动作的部分)以规避网络安全检测,先投递一个小型木马,再从服务器下载拥有完整功能的Beacon(Cobalt Strike运行在目标主机上的Payload)。
[0003]相关技术中,一般通过异常流量和终端行为来检测Beacon通信,找到与其通信的Cobalt Strike服务器的IP地址实现攻击识别。但是,一般情况下高级的恶意攻击者和组织都会刻意隐藏自己的地址,比如,将恶意服务器隐藏在CDN(Content Delivery Network,内容分发网络)服务器之后,使用CDN服务器来转发HTTP(HyperText Transfer Protocol,超文本传输协议)/HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)协议的Beacon通信流量,此时,在安全设备中只能检测到CDN服务器的IP(Internet Protocol Address,互联网协议地址),而无法进行更深一步的溯源,因此,很多恶意服务器的域名和IP并不能被发现。
[0004]因此,如何对隐藏在安全网络设备背后的攻击设备进行有效识别,进一步保证网络设备安全是本领域技术人员亟待解决的问题。
技术实现思路
[0005]本申请的目的是提供一种设备探测方法,该设备探测方法可以对隐藏在安全网络设备背后的攻击设备进行有效识别,进一步保证网络设备安全;本申请的另一目的是提供一种设备探测装置、系统及计算机可读存储介质,均具有上述有益效果。
[0006]第一方面,本申请提供了一种设备探测方法,包括:
[0007]根据目标设备的设备运行信息获得IP信息和IP端口;
[0008]利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
[0009]对所述域名端口进行信息探测,获得探测信息。
[0010]优选的,所述根据目标设备的设备运行信息获得IP信息和IP端口,包括:
[0011]对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;
[0012]当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。
[0013]优选的,所述对所述域名端口进行信息探测,获得探测信息之后,还包括:
[0014]根据所述探测信息确定所述目标设备是否存在网络攻击。
[0015]优选的,所述根据所述探测信息确定所述目标设备是否存在网络攻击,包括:
[0016]当所述探测信息包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在网络攻击。
[0017]优选的,所述确定所述目标设备存在网络攻击之后,还包括:
[0018]对所述预设类型的文件数据进行解析,获得发起所述网络攻击的攻击设备的设备信息。
[0019]优选的,所述查询域名的获取过程,包括:
[0020]向所述IP信息对应的网络设备发送请求数据包,并接收所述网络设备反馈的响应数据包;
[0021]利用所述请求数据包和所述响应数据包进行域名匹配,获得所述查询域名。
[0022]优选的,当根据所述探测信息确定所述目标设备存在网络攻击的情况下,所述方法还包括:
[0023]利用所述请求数据包和所述响应数据包进行信息匹配,获得发起所述网络攻击的攻击设备的设备信息。
[0024]优选的,所述对所述域名端口进行信息探测,获得探测信息之前,还包括:
[0025]从所述域名端口中探测获得指纹特征;
[0026]当所述指纹特征命中指纹库的情况下,确定所述目标设备存在网络攻击;
[0027]当所述指纹特征未命中所述指纹库的情况下,执行所述对所述域名端口进行信息探测,获得探测信息的步骤及其后续的所有步骤。
[0028]第二方面,本申请还公开了一种设备探测装置,包括:
[0029]信息获取模块,用于根据目标设备的设备运行信息获得IP信息和IP端口;
[0030]域名端口构造模块,用于利用所述IP信息对应的查询域名与所述IP端口构建域名端口;
[0031]域名端口探测模块,用于对所述域名端口进行信息探测,获得探测信息。
[0032]第三方面,本申请还公开了一种设备探测系统,包括:
[0033]存储器,用于存储计算机程序;
[0034]处理器,用于执行所述计算机程序时实现如上所述的任一种设备探测方法的步骤。
[0035]第四方面,本申请还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种设备探测方法的步骤。
[0036]本申请所提供的一种设备探测方法,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。
[0037]可见,本申请所提供的设备探测方法,在设备运行过程中,当基于设备运行信息捕捉到IP信息和IP端口时,可以利用IP信息对应的查询域名与相应的IP端口构建域名端口,由此,即可根据该域名端口探测到隐藏于其对应的网络安全设备之后的攻击组织,从而实现了对隐藏在正常网络设备之后的网络设备的探测,有助于进一步挖掘到潜在的高级威胁
组织,有效地提高了网络设备的安全性。
[0038]本申请所提供的一种设备探测装置、系统及计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
[0039]为了更清楚地说明现有技术和本申请实施例中的技术方案,下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然,下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本申请的保护范围。
[0040]图1为本申请所提供的一种设备探测方法的流程示意图;
[0041]图2为本申请所提供的一种设备探测装置的结构示意图;
[0042]图3为本申请所提供的一种设备探测系统的结构示意图。
具体实施方式
[0043]本申请的核心是提供一种设备探测方法,该设备探测方法可以对隐藏本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种设备探测方法,其特征在于,包括:根据目标设备的设备运行信息获得IP信息和IP端口;利用所述IP信息对应的查询域名与所述IP端口构建域名端口;对所述域名端口进行信息探测,获得探测信息。2.根据权利要求1所述的设备探测方法,其特征在于,所述根据目标设备的设备运行信息获得IP信息和IP端口,包括:对所述设备运行信息进行特征提取,获得目标特征;其中,所述目标特征包括终端行为特征和/或通信流量特征;当所述目标特征命中异常特征库的情况下,从所述目标特征对应的设备运行信息中解析得到所述IP信息和所述IP端口。3.根据权利要求1所述的设备探测方法,其特征在于,所述对所述域名端口进行信息探测,获得探测信息之后,还包括:根据所述探测信息确定所述目标设备是否存在网络攻击。4.根据权利要求3所述的设备探测方法,其特征在于,所述根据所述探测信息确定所述目标设备是否存在网络攻击,包括:当所述探测信息包括下载得到的预设类型的文件数据的情况下,确定所述目标设备存在网络攻击。5.根据权利要求4所述的设备探测方法,其特征在于,所述确定所述目标设备存在网络攻击之后,还包括:对所述预设类型的文件数据进行解析,获得发起所述网络攻击的攻击设备的设备信息。6.根据权利要求1所述的设备探测方法,其特征在于,所述查询域名的获取过程,包括:向所述IP信息对应的网络设备发送请求数据包,并接收所述网络设备反馈的响应数据包;利用所...
【专利技术属性】
技术研发人员:陶磊,李元治,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。