【技术实现步骤摘要】
异常代理连接识别方法、装置、设备及存储介质
[0001]本公开涉及网络通信和网络安全
,尤其涉及一种异常代理连接识别方法、装置、设备及存储介质。
技术介绍
[0002]随着互联网在人们生活中的普及,越来越多的用户关注网络通信的安全问题,攻击者在内网渗透过程中,通常会在成功攻击一台主机后,以攻击下的主机为跳板继续攻击其他主机。
[0003]由于在作为跳板的主机上安装攻击工具很容易被发现,通常会在作为跳板的主机上搭建代理,攻击者通过代理来对其他主机进行攻击,网络中便会有可能会出现异常的主机之间的代理访问。
[0004]相关技术通过网络入侵防御、访问控制策略管控等异常代理检测策略,阻断或者警告Socks代理转发进行跳板攻击,然而当入侵防御、访问控制策略管控等异常代理检测策略的动作配置成告警时,无法成功阻断Socks代理转发,攻击者依然可以对内网进行探测或入侵,导致网络中存在风险,网络安全性较低。
技术实现思路
[0005]有鉴于此,本公开实施例提供了一种异常代理连接识别方法、装置、设备及存储介...
【技术保护点】
【技术特征摘要】
1.一种异常代理连接识别方法,其特征在于,包括:当检测到内网资产数据流经网关设备,且所述内网资产数据的目的IP地址不是外网地址时,判断所述内网资产数据的代理协议是否为Socks5代理协议;当所述代理协议为Socks5代理协议时,将所述目的IP地址的代理连接信息记录到代理连接数据表;获取安全引擎对所述内网资产数据进行威胁检测生成的安全事件;将所述安全事件中攻击者的IP地址或被攻击对象的IP地址与所述代理连接信息进行关联;当所述攻击者的IP地址或被攻击对象的IP地址与所述代理连接信息关联成功时,确定所述目标IP地址的代理连接信息异常。2.根据权利要求1所述的异常代理连接识别方法,其特征在于,当所述代理协议为Socks5代理协议时,将所述目的IP地址的代理连接信息记录到代理连接数据表,包括:查询所述代理连接数据表中是否存在所述目的IP地址;当所述代理连接数据表中存在所述目的IP地址时,对所述目的IP地址的历史代理连接信息进行更新,其中,所述历史代理连接信息包括所述目的IP地址的历史活跃时间、历史连接IP地址中的至少一种;当所述代理连接数据表中不存在所述目的IP地址时,记录所述目的IP地址的首次代理连接信息,其中,所述首次代理连接信息包括所述目的IP地址、所述目的IP地址的首次检测日期、首次连接IP地址、历史活跃时间和历史连接IP地址中的至少一种。3.根据权利要求2所述的异常代理连接识别方法,其特征在于,将所述安全事件中攻击者的IP地址或被攻击对象的IP地址与所述代理连接信息进行关联,包括:将所述攻击者的IP地址或被攻击对象的IP地址与所述代理连接数据表中的目的IP地址、首次连接IP地址和历史连接IP地址进行匹配;当所述攻击者的IP地址为所述目的IP地址、首次连接IP地址和历史连接IP地址的并集集合时,确认所述攻击者的IP地址与所述代理连接信息关联成功;当所述被攻击对象的IP地址为所述目的IP地址、首次连接IP地址和历史连接IP地址的并集集合时,确认所述被攻击对象的IP地址与所述代理连接信息关联成功。4.根据权利要求1所述的异常代理连接识别方法,其特征在于,获取安全引擎对所述内网资产数据进行威胁检测生成的安全事件,包括:获取所述安全引擎对所述内网资产数据进行威胁检测得到的攻击源的威胁信息,其中,所述威胁信息包括攻击者的IP地址、被攻击对象的IP地址、攻击方向、攻击事件威胁等级、攻击链阶段等级中的至少一种;根据所述威胁信息生成安全事件。5.根据权利要求4所述的异常代理连接识别方法,其特征在于,当所述攻击者的IP地址或被攻击对象的IP地址与所述代理连接信息关联成功时,确定所述目标IP地址的代理连接信息异常,包括:当所述攻击者的IP地址或被攻击对象的IP地址与所述代理连接信息关联成功时,获取所述威胁信息中的攻击事件威胁等级、攻击链阶段等级和攻击方向;当所述攻击方向为所述目的IP地址,且所述...
【专利技术属性】
技术研发人员:闫海姣,范鸿雷,晏尉,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。