本发明专利技术公开了一种防御威胁攻击的方法,所述方法用于TDA,所述TDA安装在网络交换机上,所述方法包括:获取所述网络交换机接收到的原始数据包;创建所述原始数据包的镜像数据包;根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。所述方法能够有效防御威胁攻击,提高通信安全性。本发明专利技术还公开了一种电子设备及计算机存储介质。子设备及计算机存储介质。子设备及计算机存储介质。
【技术实现步骤摘要】
一种用于TDA的防御威胁攻击的方法、电子设备和介质
[0001]本专利技术涉及通信
,具体涉及一种用于威胁发现设备(TDA,Threat Discovery Appliance)的防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
技术介绍
[0002]APT(Advanced Persistent Threat,高级持续性威胁)是一种利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,大多数APT攻击都是利用未知漏洞(如0 day)和未知恶意代码来进行的。然而,传统的依靠已知特征检测攻击的IDS(Intrusion Detection Systems,入侵检测系统)和IPS(Intrusion Prevention System,入侵防御系统),在无法预知攻击特征和攻击行为模式的情况下,对APT攻击将无能为力。
技术实现思路
[0003]本专利技术提供一种防御威胁攻击的方法、一种电子设备和一种计算机可读介质。
[0004]为了实现上述目的,本专利技术第一方面提供一种防御威胁攻击的方法,其中,所述方法用于威胁发现设备TDA,所述TDA安装在网络交换机上,所述方法包括:获取所述网络交换机接收到的原始数据包;创建所述原始数据包的镜像数据包;根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。
[0005]可选地,所述发现规则包括程序发现规则、攻击发现规则和交叉关联规则,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果;所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果;所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。
[0006]可选地,所述程序发现规则包括恶意程序发现规则和/或未经授权程序发现规则,且所述未经授权程序发现规则所处理的程序、以及所述恶意程序发现规则所处理的程序均选自以下至少之一:即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。
[0007]可选地,所述攻击发现规则包括web攻击及邮件攻击发现规则。
[0008]可选地,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息之前,所述方法还包括:对所述内容分析结果进行聚合,获得聚合结果;根据所述聚合结果确定是否存在威胁。
[0009]可选地,所述获取所述网络交换机接收到的原始数据包,包括:扫描所述网络交换机的所有端口,获取所述网络交换机接收到的原始数据包。
[0010]可选地,所述方法还包括:根据所述内容分析结果,更新本地的逻辑分析日志文件。
[0011]可选地,在创建所述原始数据包的镜像数据包之后,所述方法还包括:利用预设的通讯协议转换规则对所述镜像数据包进行通讯协议转换,得到支持特定通讯协议的镜像数据包;所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:所述根据预设的发现规则对所述支持特定通讯协议的镜像数据包进行内容分析处理,得到内容分析结果。
[0012]作为本公开的第二个方面,提供一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现所述防御威胁攻击的方法;一个或多个I/O接口,连接在所述处理器与存储器之间,配置为实现所述处理器与存储器的信息交互。
[0013]作为本公开的第三个方面,提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现所述防御威胁攻击的方法。
[0014]本专利技术具有如下优点:通过获取所述网络交换机接收到的原始数据包,创建所述原始数据包的镜像数据包,根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息,能够有效防御威胁攻击,提高通信安全性。
附图说明
[0015]附图是用来提供对本专利技术的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术,但并不构成对本专利技术的限制。
[0016]图1为本专利技术实施例提供的一种防御威胁攻击的方法的流程示意图;图2为步骤S13的一种实施方式的示意图;图3为本专利技术实施例提供的TDA的一种实施方式的模块示意图;图4是本专利技术实施例所提供的电子设备的模块示意图。
具体实施方式
[0017]以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术,并不用于限制本专利技术。
[0018]如本专利技术所使用的,术语“和/或”包括一个或多个相关列举条目的任何和全部组合。
[0019]本专利技术所使用的术语仅用于描述特定实施例,且不意欲限制本专利技术。如本专利技术所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。
[0020]当本专利技术中使用术语“包括”和/或“由
……
制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其群组。
[0021]本专利技术所述实施例可借助本专利技术的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。
[0022]除非另外限定,否则本专利技术所用的全部术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本专利技术的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本专利技术明确如此限定。
[0023]APT攻击已被证实能渗透进入标准安全防御体系,而且能在窃取数据、实施破坏后数月不被发现。从2015年至今,安全专家团队已发现20多个0 Day漏洞,涉及Windows 操作系统、IE浏览器、Flash Player(一种多媒体程序播放器)、Office(微软公司开发的办公软件)等。
[0024]APT攻击的原理相较于其他攻击形式的原理而言,更为高级、先进和隐蔽,其高级性主要体现在:在发动APT攻击之前需要对攻击对象的业务流程和目标系统进行精确的信息收集。在信息收集过程中,APT攻击会主动挖掘攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0 day漏洞进行攻击。
[0025]传统的安全防御体系产品主要工作在OSI(Open System Interconnect本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防御威胁攻击的方法,其特征在于,所述方法用于TDA,所述TDA安装在网络交换机上,所述方法包括:获取所述网络交换机接收到的原始数据包;创建所述原始数据包的镜像数据包;根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果;在所述内容分析结果为存在威胁的情况下,向所述网络交换机发送威胁通知消息。2.根据权利要求1所述的方法,其特征在于,所述发现规则包括程序发现规则、攻击发现规则和交叉关联规则,所述内容分析结果包括第一分析结果、第二分析结果和第三分析结果;所述根据预设的发现规则对所述镜像数据包进行内容分析处理,得到内容分析结果,包括:利用所述程序发现规则对所述镜像数据包进行匹配,得到第一分析结果;利用所述攻击发现规则对所述镜像数据包进行匹配,得到第二分析结果;通过所述交叉关联规则对所述第一分析结果、以及所述第二分析结果均指示安全的内容进行分析,得到第三分析结果;所述威胁通知消息中携带有标记指示消息和程序标识,所述标记指示消息用于指示所述网络交换机对所述程序标识对应的程序进行标记。3.根据权利要求2所述的方法,其特征在于,所述程序发现规则包括恶意程序发现规则和/或未经授权程序发现规则,且所述未经授权程序发现规则所处理的程序、以及所述恶意程序发现规则所处理的程序均选自以下至少之一:即时通讯程序、P2P文件共享程序、流媒体程序、邮件传输协议SMTP中继服务、域名解析系统DNS服务。4.根据权利要求2所述的方法,其特征在于,所述攻击发现规则包括web攻击及邮件攻击发现规则。5.根据权利要求1至4中任意一项所述的方法,其特征在于,在所述内容分析结果为存在威胁的情况下,向...
【专利技术属性】
技术研发人员:赵章界,赵莹,徐杨,宁振宇,高磊,张廷彪,崔鑫铭,石志国,
申请(专利权)人:北京市大数据中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。