本申请实施例提供一种网络安全检测的方法、设备、装置、电子设备及介质,属于网络安全领域,该方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。通过本申请的一些实施例能够解决单纯地址检测导致的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。进而提升网络的安全性。进而提升网络的安全性。
【技术实现步骤摘要】
一种网络安全检测的方法、设备、装置、电子设备及介质
[0001]本申请实施例涉及网络安全领域,具体涉及一种网络安全检测的方法、设备、装置、电子设备及介质。
技术介绍
[0002]相关技术中,通过威胁情报库对比请求的域名是否为恶意域名来进行网络安全检测,但是现有的需要访问内网设备的外网攻击设备为了能够躲避检测,将自身的域名或IP进行隐藏,导致仅依靠威胁情报库进行安全检测会出现漏报的情况。
[0003]因此,如何提升网络安全检测的准确率成为需要解决的问题。
技术实现思路
[0004]本申请实施例提供一种网络安全检测的方法、设备、装置、电子设备及介质,通过本申请的一些实施例至少解决单纯地址检测导致的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。
[0005]第一方面,本申请提供了一种网络安全检测的方法,应用于网络安全设备,所述方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0006]因此,与相关技术中仅使用地址进行网络安全检测的方法不同的是,本申请实施例在确认请求连接的地址是安全地址的情况下,进一步的获取进程信息,能够解决安全检测的漏报问题,从而能够及时的发现具有攻击性的设备,进而提升网络的安全性。
[0007]结合第一方面,在本申请的一些实施例中,在所述确认任一主机请求连接的地址属于安全地址之后,所述方法还包括:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0008]因此,本申请实施例通过获取文件操作信息和进程信息能够不局限于仅对地址进行检测,从而能够检测到将地址进行隐藏并且具有攻击性的设备。
[0009]结合第一方面,在本申请的一些实施例中,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;所述根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;按照风险等级对所述异常操作信息进行评分,获得评分结果;确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。
[0010]因此,本申请实施例通过按照风险等级对异常操作信息进行评分,能够将多个异常操作信息对系统的影响程度进行综合考量,从而能够准确的评估异常操作信息对于系统的影响。
[0011]结合第一方面,在本申请的一些实施例中,所述按照风险等级对所述异常操作信息进行评分,获得评分结果,包括:获取与所述异常操作信息相对应的分值和权重;基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值;所述确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备,包括:确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。
[0012]因此,本申请实施例通过将各异常操作信息的相对应分值进行加权平均,能够将与地址对应的设备的异常操作行为进行量化,从而准确的判断该设备是否属于具有攻击性的设备。
[0013]结合第一方面,在本申请的一些实施例中,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果。
[0014]因此,本申请实施例通过建立与地址对应的设备的攻击画像,能够按照该画像进行全网扫描,从而能够找到更多的具有攻击性的设备,从而能够提升内网的安全性。
[0015]结合第一方面,在本申请的一些实施例中,所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,包括:基于所述第i进程信息记录所述地址对应的设备进行异常操作的操作顺序;将所述操作顺序作为所述地址对应的设备的攻击画像。
[0016]结合第一方面,在本申请的一些实施例中,在所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像之后,所述方法还包括:按照所述攻击画像对所有的外网设备的访问进程进行检测,获得符合所述攻击画像的外网设备所对应的异常地址,其中,所述外网设备与所述网络安全设备不属于同一网络;将所述异常地址添加到威胁攻击库中。
[0017]因此,本申请实施例通过使用攻击画像进行全网扫描,并且更新威胁攻击库,能够将被动检测转化为主动检测,从而主动发现更多的具有攻击性的设备,进而能够获得更加完善的威胁攻击库。
[0018]结合第一方面,在本申请的一些实施例中,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:对与所述异常操作信息相关的文件进行隔离操作,并且向所述地址对应的设备发送阻断数据包。
[0019]第二方面,本申请提供了一种网络安全检测的方法,应用于任一主机上,所述方法包括:在确认本主机请求连接的地址属于安全地址的条件下,获取在所述本主机上启动的与所述地址对应的进程得到进程信息,其中,所述本主机为至少一个主机中的任意一个,所述至少一个主机与网络安全设备属于同一个局域网;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0020]第三方面,本申请提供了一种网络安全检测的设备,所述设备包括:接收单元,被
配置为获取DNS解析服务器向第一网络中各主机发送的域名解析响应报文;处理单元,被配置为确认所述域名解析响应报文所携带的地址属于安全地址;获取单元,被配置为获取与所述地址对应的进程得到进程信息;安全性判别单元,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0021]第四方面,本申请提供了一种网络安全检测的装置,所述装置包括:信息获取模块,被配置为在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;攻击检测模块,被配置为至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0022]结合第四方面,在本申请的一些实施例中,所述信息获取模块还被配置为:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述攻击检测模块还被配置为:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。
[0023]结合第四方面,在本申请的一些实施例中,所述地址与至少一个进本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络安全检测的方法,其特征在于,应用于网络安全设备,所述方法包括:在确认任一主机请求连接的地址属于安全地址的条件下,获取在所述任一主机上启动的与所述地址对应的进程得到进程信息;至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备。2.根据权利要求1所述的方法,其特征在于,在所述确认任一主机请求连接的地址属于安全地址之后,所述方法还包括:获取与所述地址对应的设备对所述任一主机上文件的操作得到文件操作信息;所述至少根据所述进程信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备。3.根据权利要求2所述的方法,其特征在于,所述地址与至少一个进程信息相对应,其中,所述至少一个进程信息中包括第i进程信息,所述第i进程信息为所述至少一个进程信息中的任意一个,所述第i进程信息中包括至少一个文件操作信息;所述根据所述进程信息和所述文件操作信息确认与所述地址对应的设备是否属于具有攻击性的设备,包括:确认所述第i进程信息包括的所述至少一个文件操作信息中,存在异常操作信息,其中,所述异常操作至少包括读写敏感文件;按照风险等级对所述异常操作信息进行评分,获得评分结果;确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备。4.根据权利要求3所述的方法,其特征在于,所述按照风险等级对所述异常操作信息进行评分,获得评分结果,包括:获取与所述异常操作信息相对应的分值和权重;基于所述分值和权重对所述异常操作信息进行加权平均,获得评分值;所述确认所述评分结果满足预设条件,则判断与所述地址对应的设备属于具有攻击性的设备,包括:确认所述评分值大于预设评分阈值,则判断与所述地址对应的设备属于具有攻击性的设备。5.根据权利要求3
‑
4任一项所述的方法,其特征在于,在所述判断与所述地址对应的设备属于具有攻击性的设备之后,所述方法还包括:根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,其中,所述攻击画像使用所述地址对应的设备的攻击顺序进行表征;基于所述攻击画像对所述任一主机进行检测,获得与所述任一主机对应的检测结果。6.根据权利要求5所述的方法,其特征在于,所述根据所述进程信息和所述文件操作信息建立所述地址对应的设备的攻击画像,包括:基于所述第i进程信...
【专利技术属性】
技术研发人员:熊福魏,樊兴华,薛锋,陈杰,赵林林,童兆丰,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。