本申请公开了一种状态确定方法、装置、设备及介质;其中,所述方法包括:获取网络流量数据;从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。设备是否被成功攻击的状态。设备是否被成功攻击的状态。
【技术实现步骤摘要】
一种状态确定方法、装置、设备及介质
[0001]本申请涉及网络安全
,尤其涉及一种状态确定方法、装置、设备及介质。
技术介绍
[0002]在实际应用中,对于未向攻击者直接返回攻击结果的攻击行为,缺乏用于分析攻击者是否攻击成功的通用技术方案。
技术实现思路
[0003]基于以上问题,本申请实施例提供了一种状态确定方法、装置、设备及介质。
[0004]本申请实施例提供的技术方案是这样的:
[0005]本申请实施例提供了一种状态确定方法,所述方法包括:
[0006]获取网络流量数据;
[0007]从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
[0008]基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
[0009]在一些实施例中,所述基于所述第一地址信息,确定所述电子设备的安全状态,包括:
[0010]获取第二地址信息;其中,所述第二地址信息包括安全级别小于安全阈值的地址;
[0011]若所述第一地址信息与所述第二地址信息中的至少一个地址匹配,确定所述电子设备处于被成功攻击状态。
[0012]在一些实施例中,所述确定所述电子设备处于被成功攻击状态之后,还包括:
[0013]确定目标地址信息;其中,所述目标地址信息包括所述第一地址信息中、与所述第二地址信息匹配的地址;
[0014]基于所述目标地址信息以及所述网络流量数据,确定目标标识;其中,所述目标标识包括与所述被成功攻击状态关联的标识。
[0015]在一些实施例中,所述目标标识至少包括第二数据的类型标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
[0016]从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
[0017]对所述目标流量数据进行特征提取,确定所述类型标识。
[0018]在一些实施例中,所述目标标识至少包括第二数据的来源标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:
[0019]从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;
[0020]提取所述目标流量数据中携带的地址信息;
[0021]基于所述目标流量数据中携带的地址信息,确定所述来源标识。
[0022]在一些实施例中,所述获取第二地址信息,包括:
[0023]获取设备组的历史检测信息;其中,所述设备组至少包括所述电子设备;
[0024]从所述历史检测信息中获取所述第二地址信息。
[0025]在一些实施例中,所述从所述网络流量数据中提取第一地址信息,包括:
[0026]获取第一结构信息和/或第二结构信息;其中,所述第一结构信息包括互联网协议(Internet Protocol,IP)地址的结构信息;所述第二结构信息包括域名系统(Domain Name System,DNS)的结构信息;
[0027]基于所述第一结构信息和/或第二结构信息,对所述网络流量数据进行地址提取,得到所述第一地址信息。
[0028]本申请实施例还提供了一种状态确定装置,所述装置包括:
[0029]获取模块,用于获取网络流量数据;
[0030]处理模块,用于从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;
[0031]确定模块,用于基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。
[0032]本申请实施例还提供了一种电子设备,所述电子设备包括处理器和存储器;所述存储器中存储有计算机程序;所述计算机程序被所述处理器执行时,能够实现如前任一所述的状态确定方法。
[0033]本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被电子设备的处理器执行时,能够实现如前任一所述的状态确定方法。
[0034]本申请实施例提供的状态确定方法,在确定电子设备的安全状态的过程中,并未依赖于指定类型的漏洞或攻击方式,而是能够根据网络流量数据中携带的第一地址信息灵活的确定电子设备的是否被成功攻击的安全状态;在第一数据包括电子设备发送的攻击结果数据的条件下,本申请实施例提供的状态确定方法,能够实现对电子设备中未向攻击者返回攻击结果的电子设备所处的攻击状态的灵活确定,从而提供了一种能够被广泛应用的安全状态确定方法。
附图说明
[0035]图1为本申请实施例提供的状态确定方法的流程示意图;
[0036]图2为本申请实施例提供的确定电子设备的安全状态的流程示意图;
[0037]图3为本申请实施例提供的确定目标标识的流程示意图;
[0038]图4为本申请实施例提供的提取第一地址信息的流程示意图;
[0039]图5为本申请实施例提供的状态确定方法的另一流程示意图;
[0040]图6为本申请实施例提供的状态确定装置的结构示意图;
[0041]图7为本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0042]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0043]应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0044]在实际应用中,有些攻击事件发生之后,并不会向攻击者返回明确的攻击结果。这些攻击事件的后续处理流程,通常包括两种情况,一种情况就是这类攻击方式并不需要被攻击者向攻击者返回攻击结果,攻击设备通过后续的命令行执行、漏洞利用、或者下载shell等方式实现对被攻击设备的控制,例如webshell以及反弹shell等;另一种情况是被攻击设备通过dnslog、rmi、ldap、以及http等方式将攻击结果发送至攻击服务器。无论是上述哪一种情况,在无法获取到攻击结果的条件下,都很难确定电子设备是否被攻击者攻击成功,进而无法确定电子设备的安全状态。
[0045]针对以上问题,在相关技术中也存在一些针对特定漏洞的攻击检测方案,比如针对log4j漏洞的无回显攻击检测方案。然而,由于这些方案的仅能应用于特定漏洞的攻击检测中,无法广泛的应用于各种无回显攻击方式的攻击状态检测。
[0046]基于以上问题,本申请实施例提供了一种状态确定方法、装置、设备及介质。本申请实施例提供的状态确定方法,能够根据电子设备发送第一数据的地址即第一地址信息,确定电子设备的安全状态,从而摆脱了对上述特定类型漏洞的特征的限定和依赖,提供了一种能够被广泛且普遍应用的安全状态确定方案。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种状态确定方法,其特征在于,所述方法包括:获取网络流量数据;从所述网络流量数据中提取第一地址信息;其中,所述第一地址信息至少包括第一数据的接收地址;所述第一数据包括电子设备发送的数据;基于所述第一地址信息,确定所述电子设备的安全状态;其中,所述安全状态包括所述电子设备是否被成功攻击的状态。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一地址信息,确定所述电子设备的安全状态,包括:获取第二地址信息;其中,所述第二地址信息包括安全级别小于安全阈值的地址;若所述第一地址信息与所述第二地址信息中的至少一个地址匹配,确定所述电子设备处于被成功攻击状态。3.根据权利要求2所述的方法,其特征在于,所述确定所述电子设备处于被成功攻击状态之后,还包括:确定目标地址信息;其中,所述目标地址信息包括所述第一地址信息中、与所述第二地址信息匹配的地址;基于所述目标地址信息以及所述网络流量数据,确定目标标识;其中,所述目标标识包括与所述被成功攻击状态关联的标识。4.根据权利要求3所述的方法,其特征在于,所述目标标识至少包括第二数据的类型标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识,包括:从所述网络流量数据中获取与所述目标地址信息关联的目标流量数据;对所述目标流量数据进行特征提取,确定所述类型标识。5.根据权利要求3所述的方法,其特征在于,所述目标标识至少包括第二数据的来源标识;所述第二数据包括触发所述电子设备切换至被攻击状态的数据;所述基于所述目标地址信息以及所述网络流量数据,确定目标标识...
【专利技术属性】
技术研发人员:周运金,杨忠应,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。