1.本发明涉及网络安全技术领域,尤其涉及一种异常行为的预防方法、装置、设备及存储介质。
背景技术:
2.传统的入侵防御系统(intrusion protection system,ips)、入侵检测系统(intrusion detection system,ids),是被动防御检测的角度,基于对技术、战术、过程(techniques、tactics、procedure,ttp)的理解,通过特征或者语法语义或者人工智能(artificial intelligence,ai)检测的技术,进行主机威胁防御检测的系统。
3.除了误报问题,传统的威胁检测系统还存在如下3个主要缺陷:
4.1、依赖对ttp的了解和研究,对于不在认知范围内的ttp(未知威胁)缺乏检测能力,检测能力存在滞后性。
5.2、高级威胁越来越倾向于使用“白 黑”的攻击利用方式,针对这种攻击方式ips、ids出于对误报的担忧,不会去做检测。
6.3、主机失陷状态一般仅有“安全”和“失陷”两种状态,分别对应事前加固和事后处置两个阶段,缺少类似“现在主机没有失陷,但是已经被盯上了正在持续进行攻击尝试”的事中对抗的状态。
7.目前传统的威胁检测主要还是基于过往经验转化的规则或者算法系统,对未知威胁的感知能力不够。而主流的基于正常业务基线的异常检测系统,在检测的准确率、漏报率和可解释性上都存在缺陷。
8.上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
技术实现要素:
9.本发明的主要目的在于提供一种异常行为的预防方法、装置、设备及存储介质,旨在解决现有技术中对未知威胁的感知能力不够的技术问题。
10.为实现上述目的,本发明提供了一种异常行为的预防方法,所述方法包括以下步骤:
11.获取网络日志;
12.根据所述网络日志判断是否是目标网络日志;
13.若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;
14.根据所述行为类型得到所述目标ip的异常行为评分;
15.根据所述异常行为评分确定所述目标ip的危险程度;
16.根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。
17.可选地,所述根据所述网络日志判断是否是目标网络日志,包括:
18.获取目标主机的ip;
19.获取所述网络日志中的源ip以及目的ip;
20.将所述源ip以及所述目的ip与所述目标主机的ip进行匹配,以判断所述网络日志是否是目标网络日志。
21.可选地,所述若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型,包括:
22.若所述网络日志是目标网络日志,则根据所述目标网络日志获得所述目标ip与目标主机的交互行为;
23.将所述交互行为与预设行为特征进行对比,获得对比结果;
24.根据所述对比结果确定所述交互行为的行为类型。
25.可选地,所述根据所述行为类型得到所述目标ip的异常行为评分,包括:
26.根据所述行为类型更新对应的指数得分;
27.根据所述指数得分确定对应的加权分数;
28.根据所述加权分数确定所述异常行为评分。
29.可选地,所述根据所述加权分数确定所述异常行为评分,包括:
30.获取所述指数得分对应衰退加权;
31.根据所述衰退加权以及所述加权分数确定所述目标ip的异常行为评分。
32.可选地,所述根据所述异常行为评分确定所述目标ip的危险程度之前,还包括:
33.将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;
34.若匹配成功,根据所述潜在迫害者列表确定所述目标ip的出现次数;
35.根据所述出现次数确定所述目标ip对应的属性;
36.所述根据所述异常行为评分确定所述目标ip的危险程度,包括:
37.根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。
38.可选地,所述根据所述异常行为评分确定所述目标ip的危险程度之前,还包括:
39.将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;
40.若所述目标ip与所述潜在迫害者列表中的列表ip匹配不成功,将所述目标ip与预设匹配库中的预设ip进行匹配;
41.若所述目标ip与预设匹配库中的预设ip匹配成功,则根据所述预设ip的标识确定所述目标ip对应的属性;
42.所述根据所述异常行为评分确定所述目标ip的危险程度,包括:
43.根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。
44.可选地,所述根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度,包括:
45.根据所述异常行为评分以及所述目标ip对应的属性确定所述目标ip在所述潜在迫害者列表中的排名;
46.根据所述排名确定所述目标ip的危险程度。
47.可选地,所述根据所述危险程度确定对所述目标ip的预防策略,包括:
48.当所述危险程度为预设危险程度时,监控所述目标ip对所述目标主机的访问行为;
49.当所述访问行为为异常行为时,确定所述访问行为对应的防御动作并采用所述防
御动作进行防御。
50.此外,为实现上述目的,本发明还提出一种异常行为的预防装置,所述异常行为的预防装置包括:
51.获取模块,用于获取网络日志;
52.判断模块,用于根据所述网络日志判断是否是目标网络日志;
53.确定模块,用于若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;
54.评分模块,用于根据所述行为类型得到所述目标ip的异常行为评分;
55.所述评分模块,还用于根据所述异常行为评分确定所述目标ip的危险程度;
56.预防模块,用于根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。
57.此外,为实现上述目的,本发明还提出一种异常行为的预防设备,所述异常行为的预防设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为的预防程序,所述异常行为的预防程序配置为实现如上文所述的异常行为的预防方法的步骤。
58.此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有异常行为的预防程序,所述异常行为的预防程序被处理器执行时实现如上文所述的异常行为的预防方法的步骤。
59.本发明通过获取网络日志;根据所述网络日志判断是否是目标网络日志;若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;根据所述行为类型得到所述目标ip的异常行为评分;根据所述异常行为评分确定所述目标ip的危险程度;根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。通过上述方式,可以根据与目标主机有关的网络日志获得目标ip,根据目标ip的行为对目标ip进行评分,以此确定目标ip的危险程度,可以动态、持续、完整的检测针对目标主机的恶意攻击行为,并提升对未知威胁的感知能力。
附图说明
60.图1是本发明实施例方案涉及的硬件运行环境的异常行为的预防设备的结构示意图;
61.图2为本发明异常行为的预防方法第一实施例的流程示意图;
62.图3为本发明异常行为的预防方法一实施例的异常行为评分流程图;
63.图4为本发明异常行为的预防方法一实施例的加权分数流程图;
64.图5为本发明异常行为的预防方法一实施例的整体流程示意图;
65.图6为本发明异常行为的预防方法第二实施例的流程示意图;
66.图7为本发明异常行为的预防方法一实施例的属性确定流程图;
67.图8为本发明异常行为的预防装置第一实施例的结构框图。
68.本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
69.应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
70.参照图1,图1为本发明实施例方案涉及的硬件运行环境的异常行为的预防设备结构示意图。
71.如图1所示,该异常行为的预防设备可以包括:处理器1001,例如中央处理器(central processing unit,cpu),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless
‑
fidelity,wi
‑
fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory,ram)存储器,也可以是稳定的非易失性存储器(non
‑
volatile memory,nvm),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
72.本领域技术人员可以理解,图1中示出的结构并不构成对异常行为的预防设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
73.如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及异常行为的预防程序。
74.在图1所示的异常行为的预防设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明异常行为的预防设备中的处理器1001、存储器1005可以设置在异常行为的预防设备中,所述异常行为的预防设备通过处理器1001调用存储器1005中存储的异常行为的预防程序,并执行本发明实施例提供的异常行为的预防方法。
75.本发明实施例提供了一种异常行为的预防方法,参照图2,图2为本发明一种异常行为的预防方法第一实施例的流程示意图。
76.本实施例中,所述异常行为的预防方法包括以下步骤:
77.步骤s10:获取网络日志。
78.需要说明的是,本实施例的执行主体可为网络运维中心的防火墙或其他网络安全设备,防火墙是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。网络安全设备的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
79.可以理解的是,网络日志是外部终端与内部主机或服务器的交互记录,网络日志包括数据包的发送、接受时间、发送者ip地址、对方通讯端口、数据包类型、本机通讯端口等情况以及tcp数据包的标志位和对数据包的处理方法,例如不符合规则的数据包会拦截或拒绝,对符合规则的但被设为监视的数据包会显示为“继续下一规则”。
80.需要说明的是,网络日志可为告警日志、httpflow日志、netflow日志、mailflow日志、smbflow日志、databaseflow日志等。
81.可以理解的是,网络日志储存在防火墙或网络安全设备内部的存储装置上,可在
需要根据网络日志分析交互行为进行分析时进行读取获得网络日志。
82.步骤s20:根据所述网络日志判断是否是目标网络日志。
83.进一步地,步骤s20包括:获取目标主机的ip;获取所述网络日志中的源ip以及目的ip;将所述源ip以及所述目的ip与所述目标主机的ip进行匹配,以判断所述网络日志是否是目标网络日志。
84.需要说明的是,目标主机为需要保护的主机,需要针对外部终端对目标主机的行为进行分析,此时需要对有目标主机记录的网络日志进行筛选,获取关于目标主机的网络日志,即目标网络日志。
85.应理解的是,目标网络日志中存在源ip以及目的ip,当其中一个ip为目标主机的ip时,则另一个ip为目标ip。
86.可以理解的是,确定是否为目标网络日志,需要检测网络日志中的ip地址是否为目标主机的ip地址。当网络日志中的目的ip或源ip中的一个为目标主机的ip地址时,则说明此网络日志是目标网络日志。例如:网络日志中的源ip为178.210.90.90,目的ip为66.249.75.29,若目标主机的ip地址为178.210.90.90或66.249.75.29时,则此网络日志为目标网络日志。
87.可以理解的是,预防对目标主机的危害行为,需要对所有与目标主机相关的网络日志进行分析,将所有的外部ip纳入监测范围。
88.步骤s30:若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型。
89.进一步地,步骤s30包括:若所述网络日志是目标网络日志,则根据所述目标网络日志获得所述目标ip与目标主机的交互行为;将所述交互行为与预设行为特征进行对比,获得对比结果;根据所述对比结果确定所述交互行为的行为类型。
90.需要说明的是,交互行为的行为类型包括关联行为、异常行为以及恶意行为。关联行为是指当目标主机与目标ip存在交互时,则表示目标主机与目标ip存在关联,产生的交互行为则为关联行为,即只要目标主机与目标ip产生交互则存在关联行为。异常行为是指目标ip产生的非正常行为,例如目标ip对目标主机的敏感端口进行探测,如21端口,但并未对端口进行攻击,则此行为为异常行为。恶意行为是指对目标主机的攻击行为,例如对目标主机发送igmp数据包进行攻击。
91.可以理解的是,预设行为特征是预先定义的特征,当交互行为满足这些特征,则可以根据特征的标识确定交互行为对应的行为类型。例如:若通过网络日志分析得到目标ip与目标主机只是正常的交互行为,则此交互行为为关联行为,若网络日志中表明目标ip探测目标主机的21端口,则此行为为异常行为,若目标ip尝试连接目标主机的3389端口以获取目标主机日志,则此行为为恶意行为。
92.步骤s40:根据所述行为类型得到所述目标ip的异常行为评分。
93.进一步地,步骤s40包括:根据所述行为类型更新对应的指数得分;根据所述指数得分确定对应的加权分数;根据所述加权分数确定所述异常行为评分。
94.在具体实现中,如图3所示,通过分析网络日志判定目标ip的行为类型,如果判定结果是恶意行为,则恶意指数、异常指数、关联指数各加1;如果判定结果是异常行为,则异常行为、关联行为指数各加1;如果是关联行为,则只有关联指数加1。
95.需要说明的是,如图3所示,通过恶意分数加权模型、异常分数加权模型、关联分数加权模型可以获得目标ip对应的恶意加权分数、异常加权分数以及关联加权分数,计算加权分数过程如图4所示,使用的都是对数函数,只是对应的底数分别为7、5、3,即log7(n)、log5(n)、log3(n),恶意加权分数为1*(1 log7(n))、异常加权分数为1*(1 log5(n))、关联加权分数为1*(1 log3(n)),其中n的值与当前累计的与目标主机有关的日志条数有关,为避免加权模型的值无限增大,所以n=k mod l,其中k为当前累计的与目标主机有关的日志数,k每天0点清零,当天内无限累加;l为“潜在迫害者”列表的长度,即l为目标ip的数量,l的值一旦计算过一次后,只有在n=0时才会再次更新。
96.可以理解的是,如图所示,通过异常行为评分加权模型,可以获得异常行为评分,异常行为评分=(5%关联加权分数 之前关联加权分数) (35%异常加权分数 之前异常加权分数) (60%恶意加权分数 之前恶意加权分数)。其中之前关联加权分数、之前异常加权分数及之前恶意加权分数为上一次的计算的加权分数,因为异常行为评分为实时更新,在恶意加权分数、异常加权分数或关联加权分数每一次变化之后都会重新计算异常行为评分。
97.在具体实现中,在假设计算关联加权分数、异常加权分数、恶意加权分数时底数相同时,12次关联≈2次异常=1次恶意。可以使得关联行为、异常行为、恶意行为在最终异常行为评分中的影响因子逐渐增大,但是关联行为的比重又会随着关联行为出现的次数的增加而逐步增加,因此不会被比重较高的恶意行为的分数给淹没。
98.进一步地,根据所述加权分数确定所述异常行为评分,包括:获取所述指数得分对应衰退加权;根据所述衰退加权以及所述加权分数确定所述目标ip的异常行为评分。
99.需要说明的是,如图3所示,为了保证异常行为分数不会无限增加,在异常行为评分衰退模型给关联加权分数和异常加权分数增加一个0.99的衰减加权,为了确保最终的异常行为评分不会低于恶意加权分数,恶意加权分数不给衰减参数。即最终的异常行为评分=0.99*(5%关联加权分数 之前关联加权分数) 0.99*(35%异常加权分数 之前异常加权分数) (60%恶意加权分数 之前恶意加权分数)。经过异常行为评分衰退模型,会让越早发生的关联行为和异常行为分数下降的越快,从而增加最近发生的事件在最终分数中的比重,而最终的异常分数又不会低于其恶意行为分数。
100.步骤s50:根据所述异常行为评分确定所述目标ip的危险程度。
101.可以理解的是,根据目标ip的异常行为评分对目标ip进行排序,根据目标ip的排名以及异常行为评分获得目标ip的危险程度,例如排名在前10%或异常行为评分超过预设值,则判定此目标ip的危险程度为极度危险。
102.步骤s60:根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。
103.进一步地,步骤s60包括:当所述危险程度为预设危险程度时,监控所述目标ip对所述目标主机的访问行为;当所述访问行为为异常行为时,确定所述访问行为对应的防御动作并采用所述防御动作进行防御。
104.在具体实现中,当目标ip的危险程度为极度危险时,预防策略为对目标ip进行实时监控,以防止目标ip对目标主机产生危害,并在目标ip的行为为非正常行为时,限制或防御目标ip。
105.可以理解的是,安全设备设置有防御手段,当判定非正常行为类型时,会根据对应的手段进行防御。例如,当目标ip探测敏感端口时,可以切断目标ip对目标主机的访问。
106.在具体实现中,如图5所示,通过网络日志获取目标ip,并获取目标ip的属性,并通过分析日志中的目标ip的行为获得目标ip的异常行为评分,并根据异常行为评分以及属性获得目标ip的危险程度。
107.本实施例通过获取网络日志;根据所述网络日志判断是否是目标网络日志;若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;根据所述行为类型得到所述目标ip的异常行为评分;根据所述异常行为评分确定所述目标ip的危险程度;根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。通过上述方式,可以根据与目标主机有关的网络日志获得目标ip,根据目标ip的行为对目标ip进行评分,以此确定目标ip的危险程度,可以动态、持续、完整的检测针对目标主机的恶意攻击行为并进行预防,提升对未知威胁的感知能力的同时提升了目标主机的安全性。
108.参考图6,图6为本发明一种异常行为的预防方法第二实施例的流程示意图。
109.基于上述第一实施例,本实施例异常行为的预防方法在所述步骤s50之前,还包括:
110.步骤s41:将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配。
111.需要说明的是,潜在迫害者列表中包括与目标主机产生交互行为的列表ip,潜在迫害者列表包含的信息如表1所示。
[0112][0113]
表1
[0114]
步骤s42:若匹配成功,根据所述潜在迫害者列表确定所述目标ip的出现次数。
[0115]
可以理解的是,如图7所示,当目标ip与潜在迫害者列表中的列表ip匹配成功时,则说明目标ip已经被潜在迫害者列表记录,此时需要更新目标ip的出现次数。
[0116]
步骤s43:根据所述出现次数确定所述目标ip对应的属性。
[0117]
需要说明的是,当目标ip的出现次数大于2时,则更新此目标ip的属性为熟面孔ip,当次数小于或等于2时,则更新目标ip的属性为陌生ip,当目标ip在列表中的属性为攻
击者ip或内部ip时,则不会因为出现次数改变属性。
[0118]
步骤s44:若所述目标ip与所述潜在迫害者列表中的列表ip匹配不成功,将所述目标ip与预设匹配库中的预设ip进行匹配。
[0119]
应理解的是,当目标ip与潜在迫害者列表中的列表ip匹配不成功时,则说明的该目标为第一次出现,需要将此目标ip与预设匹配库中的预设ip进行匹配,如图7所示,预设匹配库包括威胁情报库以及资产信息库。威胁情报库中包含已知确定的危险ip,资产信息库中包含内部网络中的其他主机或服务器的ip。
[0120]
步骤s45:若所述目标ip与预设匹配库中的预设ip匹配成功,则根据所述预设ip的标识确定所述目标ip对应的属性。
[0121]
可以理解的是,当目标ip与威胁情报库中的ip匹配成功时,则说明此目标ip为危险ip,确定此目标ip的属性为攻击者ip,当目标ip与资产信息库中ip匹配成功时,则说明此目标ip为内部资产,确定此目标ip的属性为内部ip。
[0122]
需要说明的是,当确定目标ip的属性后,将目标ip记录至潜在迫害者列表,并更新目标ip的出现次数。
[0123]
步骤s46:根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。
[0124]
进一步地,步骤s46包括:根据所述异常行为评分以及所述目标ip对应的属性确定所述目标ip在所述潜在迫害者列表中的排名。根据所述排名确定所述目标ip的危险程度。
[0125]
可以理解的是,属性会影响目标ip在迫害者列表中的排名,例如当攻击者ip属性的目标ip与熟面孔ip属性的目标ip的异常行为评分相同,此时攻击者ip属性的目标ip排名在前。
[0126]
可以理解的是,根据目标ip的异常行为评分对目标ip进行排序,根据目标ip的排名以及异常行为评分获得目标ip的危险程度,例如排名在前10%或异常行为评分超过预设值,则判定此目标ip的危险程度为极度危险。
[0127]
本实施例通过将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若匹配成功,根据所述潜在迫害者列表确定所述目标ip的出现次数;根据所述出现次数确定所述目标ip对应的属性;将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若所述目标ip与所述潜在迫害者列表中的列表ip匹配不成功,将所述目标ip与预设匹配库中的预设ip进行匹配;若所述目标ip与预设匹配库中的预设ip匹配成功,则根据所述预设ip的标识确定所述目标ip对应的属性;根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。通过上述方式,可以根据目标ip的行为对目标ip进行动态评分,根据评分获得目标ip的危险程度,从而可以根据危险程度提前采取措施预防危险事件的发生,从而提高了目标主机的安全性。
[0128]
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有异常行为的预防程序,所述异常行为的预防程序被处理器执行时实现如上文所述的异常行为的预防方法的步骤。
[0129]
参照图8,图8为本发明异常行为的预防装置第一实施例的结构框图。如图8所示,本发明实施例提出的异常行为的预防装置包括:
[0130]
获取模块10,用于获取网络日志。
[0131]
判断模块20,用于根据所述网络日志判断是否是目标网络日志。
[0132]
确定模块30,用于若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型。
[0133]
评分模块40,用于根据所述行为类型得到所述目标ip的异常行为评分。
[0134]
所述评分模块40,还用于根据所述异常行为评分确定所述目标ip的危险程度。
[0135]
预防模块50,用于根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。
[0136]
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
[0137]
本实施例通获取网络日志;根据所述网络日志判断是否是目标网络日志;若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;根据所述行为类型得到所述目标ip的异常行为评分;根据所述异常行为评分确定所述目标ip的危险程度;根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。通过上述方式,可以根据与目标主机有关的网络日志获得目标ip,根据目标ip的行为对目标ip进行评分,以此确定目标ip的危险程度,可以动态、持续、完整的检测针对目标主机的恶意攻击行为并进行预防,提升对未知威胁的感知能力的同时提升了目标主机的安全性。
[0138]
在一实施例,所述判断模块20,还用于获取目标主机的ip;获取所述网络日志中的源ip以及目的ip;将所述源ip以及所述目的ip与所述目标主机的ip进行匹配,以判断所述网络日志是否是目标网络日志。
[0139]
在一实施例,所述确定模块30,还用于若所述网络日志是目标网络日志,则根据所述目标网络日志获得所述目标ip与目标主机的交互行为;将所述交互行为与预设行为特征进行对比,获得对比结果;根据所述对比结果确定所述交互行为的行为类型。
[0140]
在一实施例中,所述评分模块40,还用于根据所述行为类型更新对应的指数得分;根据所述指数得分确定对应的加权分数;根据所述加权分数确定所述异常行为评分。
[0141]
在一实施例中,所述评分模块40,还用于获取所述指数得分对应衰退加权;根据所述衰退加权以及所述加权分数确定所述目标ip的异常行为评分。
[0142]
在一实施例中,所述评分模块40,还用于将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若匹配成功,根据所述潜在迫害者列表确定所述目标ip的出现次数;根据所述出现次数确定所述目标ip对应的属性;所述根据所述异常行为评分确定所述目标ip的危险程度,包括:根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。
[0143]
在一实施例中,所述评分模块40,还用于将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若所述目标ip与所述潜在迫害者列表中的列表ip匹配不成功,将所述目标ip与预设匹配库中的预设ip进行匹配;若所述目标ip与预设匹配库中的预设ip匹配成功,则根据所述预设ip的标识确定所述目标ip对应的属性;所述根据所述异常行为评分确定所述目标ip的危险程度,包括:根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。
[0144]
在一实施例中,所述评分模块40,还用于根据所述异常行为评分以及所述目标ip对应的属性确定所述目标ip在所述潜在迫害者列表中的排名;根据所述排名确定所述目标
ip的危险程度。
[0145]
在一实施例中,所述预防模块50,还用于当所述危险程度为预设危险程度时,监控所述目标ip对所述目标主机的访问行为;当所述访问行为为异常行为时,确定所述访问行为对应的防御动作并采用所述防御动作进行防御。
[0146]
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
[0147]
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的异常行为的预防方法,此处不再赘述。
[0148]
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0149]
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0150]
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(read only memory,rom)/ram、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0151]
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
技术特征:
1.一种异常行为的预防方法,其特征在于,所述异常行为的预防方法包括:获取网络日志;根据所述网络日志判断是否是目标网络日志;若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;根据所述行为类型得到所述目标ip的异常行为评分;根据所述异常行为评分确定所述目标ip的危险程度;根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。2.如权利要求1所述的方法,其特征在于,所述根据所述网络日志判断是否是目标网络日志,包括:获取目标主机的ip;获取所述网络日志中的源ip以及目的ip;将所述源ip以及所述目的ip与所述目标主机的ip进行匹配,以判断所述网络日志是否是目标网络日志。3.如权利要求1所述的方法,其特征在于,所述若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型,包括:若所述网络日志是目标网络日志,则根据所述目标网络日志获得所述目标ip与目标主机的交互行为;将所述交互行为与预设行为特征进行对比,获得对比结果;根据所述对比结果确定所述交互行为的行为类型。4.如权利要求1所述的方法,其特征在于,所述根据所述行为类型得到所述目标ip的异常行为评分,包括:根据所述行为类型更新对应的指数得分;根据所述指数得分确定对应的加权分数;根据所述加权分数确定所述异常行为评分。5.如权利要求4所述的方法,其特征在于,所述根据所述加权分数确定所述异常行为评分,包括:获取所述指数得分对应衰退加权;根据所述衰退加权以及所述加权分数确定所述目标ip的异常行为评分。6.如权利要求1所述的方法,其特征在于,所述根据所述异常行为评分确定所述目标ip的危险程度之前,还包括:将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若匹配成功,根据所述潜在迫害者列表确定所述目标ip的出现次数;根据所述出现次数确定所述目标ip对应的属性;所述根据所述异常行为评分确定所述目标ip的危险程度,包括:根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。7.如权利要求1所述的方法,其特征在于,所述根据所述异常行为评分确定所述目标ip的危险程度之前,还包括:将所述目标ip与所述潜在迫害者列表中的列表ip进行匹配;若所述目标ip与所述潜在迫害者列表中的列表ip匹配不成功,将所述目标ip与预设匹
配库中的预设ip进行匹配;若所述目标ip与预设匹配库中的预设ip匹配成功,则根据所述预设ip的标识确定所述目标ip对应的属性;所述根据所述异常行为评分确定所述目标ip的危险程度,包括:根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度。8.如权利要求6或7所述的方法,其特征在于,所述根据所述异常行为评分和所述目标ip对应的属性确定所述目标ip的危险程度,包括:根据所述异常行为评分以及所述目标ip对应的属性确定所述目标ip在所述潜在迫害者列表中的排名;根据所述排名确定所述目标ip的危险程度。9.如权利要求1至7中任一项所述方法,其特征在于,所述根据所述危险程度确定对所述目标ip的预防策略,包括:当所述危险程度为预设危险程度时,监控所述目标ip对所述目标主机的访问行为;当所述访问行为为异常行为时,确定所述访问行为对应的防御动作并采用所述防御动作进行防御。10.一种异常行为的预防装置,其特征在于,所述异常行为的预防装置包括:获取模块,用于获取网络日志;判断模块,用于根据所述网络日志判断是否是目标网络日志;确定模块,用于若所述网络日志是目标网络日志,则根据所述网络日志确定目标ip的行为类型;评分模块,用于根据所述行为类型得到所述目标ip的异常行为评分;所述评分模块,还用于根据所述异常行为评分确定所述目标ip的危险程度;预防模块,用于根据所述危险程度确定对所述目标ip的预防策略,以实现对异常行为的预防。11.一种异常行为的预防设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为的预防程序,所述异常行为的预防程序配置为实现如权利要求1至9中任一项所述的异常行为的预防方法的步骤。12.一种存储介质,其特征在于,所述存储介质上存储有异常行为的预防程序,所述异常行为的预防程序被处理器执行时实现如权利要求1至9任一项所述的异常行为的预防方法的步骤。
技术总结
本发明属于网络安全技术领域,公开了一种异常行为的预防方法、装置、设备及存储介质。该方法包括:获取网络日志;根据所述网络日志判断是否是目标网络日志;若所述网络日志是目标网络日志,则根据所述网络日志确定目标IP的行为类型;根据所述行为类型得到所述目标IP的异常行为评分;根据所述异常行为评分确定所述目标IP的危险程度;根据所述危险程度确定对所述目标IP的预防策略,以实现对异常行为的预防。通过上述方式,可以根据与目标主机有关的网络日志获得目标IP,根据目标IP的行为对目标IP进行评分,以此确定目标IP的危险程度,可以动态、持续、完整的检测针对目标主机的恶意攻击行为,并提升对未知威胁的感知能力。并提升对未知威胁的感知能力。并提升对未知威胁的感知能力。
技术研发人员:肖杰
受保护的技术使用者:水利部信息中心
技术研发日:2021.03.01
技术公布日:2021/6/29
转载请注明原文地址:https://doc.8miu.com/read-9422.html
