本申请提供一种网络攻击检测方法及装置,该方法包括:获取待检测主机的内网渗透检测数据;对内网渗透检测数据进行行为检测,得到内网渗透行为信息;根据预先构建的聚合信息库和内网渗透行为信息确定攻击端网络地址以及攻击端网络地址对应的行为标签;根据攻击端网络地址和行为标签,生成攻击分析响应结果。可见,该方法及装置能够精准识别出网络中的内网渗透行为,从而有利于保护企业资产不受侵害。从而有利于保护企业资产不受侵害。从而有利于保护企业资产不受侵害。
【技术实现步骤摘要】
一种网络攻击检测方法及装置
[0001]本申请涉及网络安全
,具体而言,涉及一种网络攻击检测方法及装置。
技术介绍
[0002]目前,内网渗透是网络攻击中最为重要的环节,成功的内网渗透将导致十分严重的资源及财产的损失,如何针对内网渗透的过程进行有效的检测和分析便成了重中之重任务。
[0003]为了有效检测内网渗透,现在应用的是一种通过NIDS或NDR设备对网络设备采集的流量数据进行攻击特征的分析、检测与提取,然后针对攻击的危害程度展现对应的威胁告警的方法。
[0004]然而,在实践中却发现,该种技术仅仅注重于对攻击特征的匹配及告警,并以流量方向划定攻击是否为内网渗透,从而使得该种方法并无法精准地判断出内网渗透行为的存在。
技术实现思路
[0005]本申请实施例的目的在于提供一种网络攻击检测方法及装置,能够精准识别出网络中的内网渗透行为,从而有利于保护企业资产不受侵害。
[0006]本申请实施例第一方面提供了一种网络攻击检测方法,包括:获取待检测主机的内网渗透检测数据;对所述内网渗透检测数据进行行为检测,得到内网渗透行为信息;根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签;根据所述攻击端网络地址和所述行为标签,生成攻击分析响应结果。
[0007]在上述实现过程中,该方法可以优先获取待检测主机的内网渗透检测数据;然后,对内网渗透检测数据进行行为检测,得到内网渗透行为信息;再后,再根据预先构建的聚合信息库和内网渗透行为信息确定攻击端网络地址以及攻击端网络地址对应的行为标签;最后,再根据攻击端网络地址和行为标签,生成攻击分析响应结果。可见,该方法能够精准识别出网络中的内网渗透行为,从而有利于保护企业资产不受侵害。
[0008]进一步地,所述对所述内网渗透检测数据进行行为检测,得到内网渗透行为信息,包括:根据预设扫描工具特征和所述内网渗透检测数据对所述待检测主机的扫描工具进行检测,得到主机扫描行为信息;根据预设风险主机命令和所述内网渗透检测数据对所述待检测主机执行的命令进行检测,得到本机信息行为信息;根据预设攻击手法特征和所述内网渗透检测数据对所述待检测主机进行恶意行为检测,得到恶意行为检测信息;
根据所述内网渗透检测数据对所述待检测主机的后门工具进行特征检测,得到后门交互行为检测信息;根据所述内网渗透检测数据对所述待检测主机的内网工具进行特征检测,得到内网工具行为检测信息;其中,所述内网工具包括内网穿透工具、代理工具以及隧道工具;汇总所述主机扫描行为信息、所述本机信息行为信息、所述恶意行为检测信息、所述后门交互行为检测信息以及所述内网工具行为检测信息,得到内网渗透行为信息。
[0009]进一步地,在所述根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签之前,所述方法还包括:利用大数据方法收集网络资产流量;对所述网络资产流量进行资产识别,得到网络资产信息;根据所述网络资产信息进行漏洞检测,得到了漏洞检测结果;根据所述网络资产信息和所述漏洞检测结果构建聚合信息库。
[0010]进一步地,所述根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签,包括:根据所述内网渗透行为信息获取攻击端网络地址;基于预设的聚合信息库对所述内网渗透行为信息进行聚合分析,得到分析结果;根据所述分析结果为所述攻击端网络地址确定对应的行为标签。
[0011]进一步地,所述根据所述攻击端网络地址和所述行为标签,生成攻击分析响应结果,包括:对所述攻击端网络地址进行攻击结果检测,得到攻击结果;根据所述攻击结果和所述行为标签,生成攻击分析响应结果。
[0012]本申请实施例第二方面提供了一种网络攻击检测装置,所述网络攻击检测装置包括:获取单元,用于获取待检测主机的内网渗透检测数据;行为检测单元,用于对所述内网渗透检测数据进行行为检测,得到内网渗透行为信息;确定单元,用于根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签;生成单元,用于根据所述攻击端网络地址和所述行为标签,生成攻击分析响应结果。
[0013]在上述实现过程中,该装置可以通过获取单元获取待检测主机的内网渗透检测数据;通过行为检测单元对内网渗透检测数据进行行为检测,得到内网渗透行为信息;通过确定单元来根据预先构建的聚合信息库和内网渗透行为信息确定攻击端网络地址以及攻击端网络地址对应的行为标签;通过生成单元来根据攻击端网络地址和行为标签,生成攻击分析响应结果。可见,该装置能够精准识别出网络中的内网渗透行为,从而有利于保护企业资产不受侵害。
[0014]进一步地,所述行为检测单元包括:第一检测子单元,用于根据预设扫描工具特征和所述内网渗透检测数据对所述待检测主机的扫描工具进行检测,得到主机扫描行为信息;以及根据预设风险主机命令和所
述内网渗透检测数据对所述待检测主机执行的命令进行检测,得到本机信息行为信息;以及根据预设攻击手法特征和所述内网渗透检测数据对所述待检测主机进行恶意行为检测,得到恶意行为检测信息;以及根据所述内网渗透检测数据对所述待检测主机的后门工具进行特征检测,得到后门交互行为检测信息;以及根据所述内网渗透检测数据对所述待检测主机的内网工具进行特征检测,得到内网工具行为检测信息;其中,所述内网工具包括内网穿透工具、代理工具以及隧道工具;汇总子单元,用于汇总所述主机扫描行为信息、所述本机信息行为信息、所述恶意行为检测信息、所述后门交互行为检测信息以及所述内网工具行为检测信息,得到内网渗透行为信息。
[0015]进一步地,所述网络攻击检测装置还包括:收集单元,用于在所述根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签之前,利用大数据方法收集网络资产流量;识别单元,用于对所述网络资产流量进行资产识别,得到网络资产信息;漏洞检测单元,用于根据所述网络资产信息进行漏洞检测,得到了漏洞检测结果;构建单元,用于根据所述网络资产信息和所述漏洞检测结果构建聚合信息库。
[0016]进一步地,所述确定单元包括:获取子单元,用于根据所述内网渗透行为信息获取攻击端网络地址;分析子单元,用于基于预设的聚合信息库对所述内网渗透行为信息进行聚合分析,得到分析结果;确定子单元,用于根据所述分析结果为所述攻击端网络地址确定对应的行为标签。
[0017]进一步地,所述生成单元包括:第二检测子单元,用于对所述攻击端网络地址进行攻击结果检测,得到攻击结果;生成子单元,用于根据所述攻击结果和所述行为标签,生成攻击分析响应结果。
[0018]本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络攻击检测方法。
[0019]本申请实施例第本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,包括:获取待检测主机的内网渗透检测数据;对所述内网渗透检测数据进行行为检测,得到内网渗透行为信息;根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签;根据所述攻击端网络地址和所述行为标签,生成攻击分析响应结果。2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述对所述内网渗透检测数据进行行为检测,得到内网渗透行为信息,包括:根据预设扫描工具特征和所述内网渗透检测数据对所述待检测主机的扫描工具进行检测,得到主机扫描行为信息;根据预设风险主机命令和所述内网渗透检测数据对所述待检测主机执行的命令进行检测,得到本机信息行为信息;根据预设攻击手法特征和所述内网渗透检测数据对所述待检测主机进行恶意行为检测,得到恶意行为检测信息;根据所述内网渗透检测数据对所述待检测主机的后门工具进行特征检测,得到后门交互行为检测信息;根据所述内网渗透检测数据对所述待检测主机的内网工具进行特征检测,得到内网工具行为检测信息;其中,所述内网工具包括内网穿透工具、代理工具以及隧道工具;汇总所述主机扫描行为信息、所述本机信息行为信息、所述恶意行为检测信息、所述后门交互行为检测信息以及所述内网工具行为检测信息,得到内网渗透行为信息。3.根据权利要求1所述的网络攻击检测方法,其特征在于,在所述根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签之前,所述方法还包括:利用大数据方法收集网络资产流量;对所述网络资产流量进行资产识别,得到网络资产信息;根据所述网络资产信息进行漏洞检测,得到了漏洞检测结果;根据所述网络资产信息和所述漏洞检测结果构建聚合信息库。4.根据权利要求1所述的网络攻击检测方法,其特征在于,所述根据预先构建的聚合信息库和所述内网渗透行为信息确定攻击端网络地址以及所述攻击端网络地址对应的行为标签,包括:根据所述内网渗透行为信息获取攻击端网络地址;基于预设的聚合信息库对所述内网渗透行为信息进行聚合分析,得到分析结果;根据所述分析结果为所述攻击端网络地址确定对应的行为标签。5.根据权利要求1所述的网络攻击检测方法,其特征在于,所述根据所述攻击端网络地址和所述行为标签,生成攻击分析响应结果,包括:对所述攻击端网络地址进行攻击结果检测,得到攻击结果;根据所述攻击结果和所述行为标签,生成攻击...
【专利技术属性】
技术研发人员:薛锋,樊兴华,赵林林,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。