本发明专利技术提供了一种攻击阻断方法、装置、电子设备及存储介质,其中方法包括:确定终端设备的多个历史行为;基于所述多个历史行为确定用于表征安全行为的行为框架,将确定的行为框架组合建立为可信行为模型;当检测到所述终端设备的当前行为超出所述可信行为模型中的行为框架时,阻断所述当前行为。本方案中,基于终端设备中的历史行为可以确定出用于表征安全行为的行为框架,以组合建立可信行为模型,而当发生超出可信行为模型中行为框架的新的行为时,该新的行为较大概率是基于补丁对应的漏洞发起的攻击行为,因此,基于可信行为模型中的行为框架来对新的系统行为进行阻断,从而可以保证在补丁发布至补丁修复之间的阶段内的系统安全。系统安全。系统安全。
【技术实现步骤摘要】
攻击阻断方法、装置、电子设备及存储介质
[0001]本专利技术实施例涉及安全
,特别涉及一种攻击阻断方法、装置、电子设备及存储介质。
技术介绍
[0002]针对计算机系统的漏洞一般通过发布补丁的方式来解决。当补丁发布后,安全厂商会对漏洞进行验证,以根据验证结果对系统进行补丁修复。但是,在安全厂商的验证过程中,黑客会同时反向推测漏洞位置,并在补丁修复之前利用漏洞位置对系统发起攻击。因此,急需提供一种在补丁发布至补丁修复的阶段内实现攻击阻断的方法,以保证该阶段内的系统安全。
技术实现思路
[0003]本专利技术实施例提供了一种攻击阻断方法、装置、电子设备及存储介质,能够在补丁发布至补丁修复之间的阶段内实现攻击阻断,保证该阶段内的系统安全。
[0004]第一方面,本专利技术实施例提供了一种攻击阻断方法,包括:
[0005]确定终端设备的多个历史行为;
[0006]基于所述多个历史行为确定用于表征安全行为的行为框架,将确定的行为框架组合建立为可信行为模型;
[0007]根据所述可信行为模型对所述终端设备的当前行为进行检测,当检测到所述终端设备的当前行为超出所述可信行为模型中的行为框架时,阻断所述当前行为。
[0008]一种可能的实现方式中,还包括:获取新补丁发布的时间节点,以及利用新发布补丁完成漏洞修复的时间节点;
[0009]将所述新补丁发布的时间节点确定为所述可信行为模型开始运行的触发时间点,且将所述完成漏洞修复的时间节点确定为所述可信行为模型结束运行的截止时间点。
[0010]一种可能的实现方式中,所述确定终端设备的多个历史行为,包括:
[0011]基于终端设备上部署的行为采集工具,采集所述终端设备上发生的行为;
[0012]和/或,
[0013]接收用户针对终端设备输入的在正常情况下可存在的行为。
[0014]一种可能的实现方式中,所述基于所述多个历史行为确定用于表征安全行为的行为框架,包括:
[0015]确定所述多个历史行为中的安全行为;
[0016]针对安全行为进行维度分析,并在分析得到的多个维度上分别建立对应维度的行为框架。
[0017]一种可能的实现方式中,所述行为框架包括:文件属性基线、文件签名基线、文件分布基线、行为总量、新增行为属性、应用清单、活跃文件清单、活跃行为清单和人工标签中的至少一个。
[0018]一种可能的实现方式中,所述确定所述多个历史行为中的安全行为,包括:
[0019]基于白样本和/或威胁样本,确定所述多个历史行为中的安全行为。
[0020]一种可能的实现方式中,还包括:
[0021]确定所述多个历史行为中的可疑行为,基于所述可疑行为建立可疑行为模型;当检测到所述终端设备的当前行为属于所述可疑行为模型时,进行告警。
[0022]第二方面,本专利技术实施例还提供了一种攻击阻断装置,包括:
[0023]确定单元,用于确定终端设备的多个历史行为;
[0024]模型建立单元,用于基于所述多个历史行为确定用于表征安全行为的行为框架,将确定的行为框架组合建立为可信行为模型;
[0025]检测处理单元,用于根据所述可信行为模型对所述终端设备的当前行为进行检测,当检测到所述终端设备的当前行为超出所述可信行为模型中的行为框架时,阻断所述当前行为。
[0026]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
[0027]第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
[0028]本专利技术实施例提供了一种攻击阻断方法、装置、电子设备及存储介质,由于在补丁发布至补丁修复的阶段内,利用补丁对应的漏洞对终端设备发起的攻击行为,相对于终端设备的历史行为属于新的行为,因此基于终端设备中的历史行为可以确定出用于表征安全行为的行为框架,以组合建立可信行为模型,而当发生超出可信行为模型中行为框架的新的行为时,该新的行为较大概率是基于补丁对应的漏洞发起的攻击行为,因此,基于可信行为模型中的行为框架来对新的系统行为进行阻断,从而可以保证在补丁发布至补丁修复之间的阶段内的系统安全。
附图说明
[0029]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030]图1是本专利技术一实施例提供的一种攻击阻断方法流程图;
[0031]图2是本专利技术一实施例提供的一种行为框架建立方法流程图;
[0032]图3是本专利技术一实施例提供的一种电子设备的硬件架构图;
[0033]图4是本专利技术一实施例提供的一种攻击阻断装置结构图;
[0034]图5是本专利技术一实施例提供的另一种攻击阻断装置结构图。
具体实施方式
[0035]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例
中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0036]如前所述,当补丁发布后,安全厂商会对漏洞进行验证,以根据验证结果对系统进行补丁修复。但是,在安全厂商的验证过程中,黑客会同时利用发布的补丁反向推测漏洞位置,并在补丁修复之前利用漏洞位置对系统发起攻击。可见,在补丁发布至补丁修复的阶段内,安全厂商还没有给出漏洞检出规则和加固方案,针对漏洞发起的攻击无法进行阻断。
[0037]基于此,本专利技术的专利技术构思在于:由于补丁修复的漏洞为新漏洞,而针对新漏洞发起的攻击行为相对于历史行为属于新的行为,因此,可以考虑基于历史行为建立行为模型,将行为模型以外的攻击行为进行阻拦,以实现该阶段内针对漏洞发起的攻击行为的阻断。
[0038]下面描述以上构思的具体实现方式。
[0039]请参考图1,本专利技术实施例提供了一种攻击阻断方法,该方法包括:
[0040]步骤100,确定终端设备的多个历史行为;
[0041]步骤102,基于所述多个历史行为确定用于表征安全行为的行为框架,将确定的行为框架组合建立为可信行为模型;
[0042]步骤104,根据所述可信行为模型对所述终端设备的当前行为进行检测,当检测到所述终端设备的当前行为超出所述可信行为模型中的行为框架时,阻断所述当前行为。
[0043]本专利技术实施例中,由于在补丁发布至补丁修复的阶段内,利用补丁对应的漏洞对终端设备发起的攻本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击阻断方法,其特征在于,包括:确定终端设备的多个历史行为;基于所述多个历史行为确定用于表征安全行为的行为框架,将确定的行为框架组合建立为可信行为模型;根据所述可信行为模型对所述终端设备的当前行为进行检测,当检测到所述终端设备的当前行为超出所述可信行为模型中的行为框架时,阻断所述当前行为。2.根据权利要求1所述的方法,其特征在于,还包括:获取新补丁发布的时间节点,以及利用新发布补丁完成漏洞修复的时间节点;将所述新补丁发布的时间节点确定为所述可信行为模型开始运行的触发时间点,且将所述完成漏洞修复的时间节点确定为所述可信行为模型结束运行的截止时间点。3.根据权利要求1所述的方法,其特征在于,所述确定终端设备的多个历史行为,包括:基于终端设备上部署的行为采集工具,采集所述终端设备上发生的行为;和/或,接收用户针对终端设备输入的在正常情况下可存在的行为。4.根据权利要求1所述的方法,其特征在于,所述基于所述多个历史行为确定用于表征安全行为的行为框架,包括:确定所述多个历史行为中的安全行为;针对安全行为进行维度分析,并在分析得到的多个维度上分别建立对应维度的行为框架。5.根据权利要求4所述的方法,其特征在于,所述行为框架包括:文件属性基线、文件签名基线、文件分布基线、行为总量、...
【专利技术属性】
技术研发人员:李丹,韩文奇,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。