【技术实现步骤摘要】
一种攻击识别方法、装置及相关设备
[0001]本申请涉及网络安全
,特别涉及一种攻击识别方法,还涉及一种攻击识别装置、系统及计算机可读存储介质。
技术介绍
[0002]在渗透活动中,外连C2服务器(Command&Control Server,命令与控制服务器)一直以来都是业界比较关注的一个检测方向,其中,Cobalt Strike(一张威胁模拟软件)是当下使用最多的一种C2服务器。使用Cobalt Strike的攻击者一般会分阶段投递payload(有效载荷,即病毒代码中实施有害或恶性动作的部分)以规避网络安全检测,先投递一个小型木马,再从服务器下载拥有完整功能的Beacon(Cobalt Strike运行在目标主机上的Payload)。
[0003]相关技术中,一般都是利用情报能力实现Coablt Strike的获取,即将存在威胁风险的域名或IP(Internet Protocol Address,互联网协议地址)收录到情报库中,但是,这种实现方式往往都是依赖于外部能力,是一个被动的行为,无...
【技术保护点】
【技术特征摘要】
1.一种攻击识别方法,其特征在于,包括:根据设备运行信息确定目标设备的IP信息;针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包;接收所述目标设备针对所述探测包发送的响应包,根据所述响应包的内容确定所述目标设备是否存在攻击行为。2.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:构造登录密码,并根据所述IP信息向所述目标设备发送包括所述登录密码的探测包;相应地,所述根据所述响应包的内容确定所述目标设备是否存在攻击行为,包括:在所述响应包的内容包括密码识别结果的情况下,确定所述目标设备存在攻击行为。3.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包之前,还包括:获取所述IP信息对应的网络端口;从所述网络端口中探测获得指纹特征;当所述指纹特征命中指纹库的情况下,确定所述目标设备存在攻击行为;当所述指纹特征未命中所述指纹库的情况下,执行所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包的步骤及其后续所有步骤。4.根据权利要求3所述的攻击识别方法,其特征在于,当所述指纹特征未命中所述指纹库的情况下,确定所述目标设备存在攻击行为之后,所述方法还包括:当所述网络端口采用的数据协议为TLS协议的情况下,将所述指纹特征添加至所述指纹库。5.根据权利要求1所述的攻击识别方法,其特征在于,所述针对所述目标设备构造探测包,根据所述IP信息向所述目标设备发送所述探测包,包括:构造预设类型的文件数据的下载请求信息,根据所述IP信...
【专利技术属性】
技术研发人员:陶磊,李元治,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。