Nothing Special   »   [go: up one dir, main page]

CN112350864B - 域控终端的保护方法、装置、设备和计算机可读存储介质 - Google Patents

域控终端的保护方法、装置、设备和计算机可读存储介质 Download PDF

Info

Publication number
CN112350864B
CN112350864B CN202011189940.1A CN202011189940A CN112350864B CN 112350864 B CN112350864 B CN 112350864B CN 202011189940 A CN202011189940 A CN 202011189940A CN 112350864 B CN112350864 B CN 112350864B
Authority
CN
China
Prior art keywords
information
classification result
log information
acquiring
processing rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011189940.1A
Other languages
English (en)
Other versions
CN112350864A (zh
Inventor
龚子倬
范渊
吴卓群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202011189940.1A priority Critical patent/CN112350864B/zh
Publication of CN112350864A publication Critical patent/CN112350864A/zh
Application granted granted Critical
Publication of CN112350864B publication Critical patent/CN112350864B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种域控终端的保护方法、装置、设备和计算机可读存储介质。其中,该域控终端的保护方法包括:获取域控终端的日志信息和流量信息;确定日志信息的第一漏洞特征信息,以及流量信息的第二漏洞特征信息;根据第一预设分类规则,对第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对第二漏洞特征信息进行分类,得到第二分类结果;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,以及获取与第二分类结果对应的第二预设处理规则对流量信息进行处理。通过本申请,解决了相关技术中Windows域内相关信息分析时间长的问题,减少了Windows域内相关信息分析时间。

Description

域控终端的保护方法、装置、设备和计算机可读存储介质
技术领域
本申请涉及网络安全领域,特别是涉及域控终端的保护方法、装置、设备和计算机可读存储介质。
背景技术
随着计算机在社会生活中的普遍应用,大部分企业都会有属于自身内部网络。由于Windows操作系统的普遍使用,在内部网络统一化管理上大部分也是采用Windows域来进行管理。而在Windows域中,域控终端的地位也变得越来越重要,其拥有管理域内的所有机器、用户以及域控终端内关系的权限。所以在Windows域内,域控终端的安全就是整个Windows域内的安全重心,也是安全中心。虽然Windows域对于企业内部管理来说,给网管人员带来了极大的方便,但是在带来便捷的同时也带来了许多安全问题,因为Windows域内相关信息太多,如果只通过Windows域自带的日志系统进行人工分析,需要人工花费大量时间进行分析。
目前针对相关技术中Windows域内相关信息分析时间长的问题,尚未提出有效的解决方案。
发明内容
本申请实施例中提供了一种域控终端的保护方法、装置、设备和计算机可读存储介质,以至少解决相关技术中Windows域内相关信息分析时间长的问题。
第一方面,本申请实施例中提供了一种域控终端的保护方法,包括:
获取域控终端的日志信息和流量信息;
确定所述日志信息的第一漏洞特征信息,以及所述流量信息的第二漏洞特征信息;
根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果,其中,所述第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,所述第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;
获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,以及获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理。
在其中一些实施例中,获取域控终端的日志信息和流量信息之后,所述方法还包括:
将所述日志信息和所述流量信息分别缓存至Redis数据库。
在其中一些实施例中,根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果之后,所述方法还包括:
对所述第一分类结果和所述第二分类结果进行缓存。
在其中一些实施例中,所述第一分类结果包括:可疑日志信息,所述第二分类结果包括:可疑流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
对所述可疑日志信息进行告警,以及对所述可疑流量信息进行告警,其中,所述第一预设处理规则和所述第二预设处理规则均包括:告警处理。
在其中一些实施例中,所述第一分类结果包括:恶意日志信息,所述第二分类结果包括:恶意流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
获取所述恶意日志信息的第一操作地址和所述恶意流量信息的第二操作地址;
对所述第一操作地址和所述第二操作地址进行封禁,其中,所述第一预设处理规则和所述第二预设处理规则均包括:封禁处理。
在其中一些实施例中,所述第一分类结果包括:恶意日志信息,所述第二分类结果包括:恶意流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
可视化所述恶意日志信息和所述恶意流量信息,其中,所述第一预设处理规则和所述第二预设处理规则均包括:可视化处理。
在其中一些实施例中,所述第一分类结果包括:正常日志信息,所述第二分类结果包括:正常流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
对所述正常日志信息和所述正常流量信息进行标志,并对所述正常日志信息和所述正常流量信息放行,其中,所述第一预设处理规则和所述第二预设处理规则均包括:放行处理。
第二方面,本申请实施例还提供了一种域控终端的保护装置,包括:
获取模块,用于获取域控终端的日志信息和流量信息;
确定模块,用于确定所述日志信息的第一漏洞特征信息,以及所述流量信息的第二漏洞特征信息;
分类模块,用于根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果,其中,所述第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,所述第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;
处理模块,用于获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,以及获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理。
第三方面,本申请实施例中提供了一种域控终端的保护设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的域控终端的保护方法。
第四方面,本申请实施例中提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的域控终端的保护方法。
相比于相关技术,本申请实施例中提供的域控终端的保护方法、装置、设备和计算机可读存储介质,通过获取域控终端的日志信息和流量信息;确定日志信息的第一漏洞特征信息,以及流量信息的第二漏洞特征信息;根据第一预设分类规则,对第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对第二漏洞特征信息进行分类,得到第二分类结果,其中,第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,以及获取与第二分类结果对应的第二预设处理规则对流量信息进行处理的方式,解决了相关技术中Windows域内相关信息分析时间长的问题,减少了Windows域内相关信息分析时间。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的域控终端的保护方法的终端的硬件结构框图;
图2是根据本申请实施例的域控终端的保护方法的流程图;
图3是根据本申请优选实施例的域控终端的保护方法的流程图;
图4是根据本申请优选实施例的域控终端的保护装置的结构框图;
图5是根据本申请实施例中数据存储模块操作流程的示意图;
图6是根据本申请实施例的域控终端的保护装置的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所做出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图1是本申请实施例的域控终端的保护方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的域控终端的保护方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例还提供了一种域控终端的保护方法。图2是根据本申请实施例的域控终端的保护方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取域控终端的日志信息和流量信息。
在本步骤中,可以预先在域控终端配置日志信息上报模块和流量信息上报模块,进而通过日志信息上报模块上报日志信息,以及通过流量信息上报流量信息的方式,实现对日志信息和流量信息的获取。其中,获取到的日志信息和流量信息均可以携带有自身的漏洞特征、攻击特征、行为特征等。
需要说明的是,域控终端的日志信息上报模块可以但不限于依据微软开发的监控程序(Sysmon)来进行日志搜集和分析,以用于搜集微软视窗操作系统(Windows)域对应的日志标识(ID)、来源地址(IP)、请求时间和日志的详细信息等等。域控终端的流量信息上报模块可以但不限于依据Wireshark来进行流量搜集和分析,以用于过滤Kerberos、LDAP、SMB等协议流量信息。
步骤S202,确定日志信息的第一漏洞特征信息,以及流量信息的第二漏洞特征信息。
在本步骤中,可以根据日志信息和流量信息自身携带的漏洞特征,来确定第一漏洞特征信息和第二漏洞特征信息,例如,在日志信息中检测第一漏洞特征信息,以及在流量信息中检测第二漏洞特征信息。
步骤S203,根据第一预设分类规则,对第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对第二漏洞特征信息进行分类,得到第二分类结果,其中,第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息。
在本步骤中,用户可以预先配置第一预设分类规则用于对日志信息对应的漏洞特征信息进行分类,以及还可以预先配置第二预设分类规则用于对流量信息对应的漏洞特征进行分类。
例如,可疑流量信息可以根据但不限于该流量信息对应的IP之前的操作日志进行分析得到,分析出之前未存在的高危操作(例如登录域管理员、枚举LDAP信息、枚举DNS(域名系统)信息等)。恶意流量信息可以根据但不限于流量信息对应的漏洞特征进行分析得到。可疑日志信息可以根据但不限于该日志信息对应的IP之前的操作日志进行分析得到,分析出之前未存在的高危操作(例如登录域管理员、枚举LDAP信息、枚举DNS信息等)。恶意日志信息可以根据但不限于日志信息对应的漏洞特征进行分析得到。本申请实施例的分类方式并不局限于上述方式,用户也可以根据实际场景进行设置。
需要说明的是,第一预设分类规则可以是用于根据日志信息的漏洞特征信息,将日志信息分类为正常日志信息、可疑日志信息或恶意日志信息的规则;第二预设分类规则可以是用于根据流量信息的漏洞特征信息,将流量信息分类为正常流量信息、可疑流量信息或恶意流量信息的规则。
步骤S204,获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,以及获取与第二分类结果对应的第二预设处理规则对流量信息进行处理。
在本步骤中,可以预先配置第一预设处理规则和第二预设处理规则,可以用于根据分类结果对应的处理规则对流量信息和日志信息进行处理。
基于上述步骤S201至步骤S204,本申请实施例通过提取日志信息和流量信息对应的漏洞特征信息,并根据其对应的漏洞特征信息来确定日志信息和流量信息的分类,最后再根据对应的分类结果对日志信息和流量信息进行相应的处理,无需要将Windows域内相关信息均进行分析,只需根据日志信息和流量信息对应的漏洞特征信息进行分析即可,解决了相关技术中Windows域内相关信息分析时间长的问题,减少了Windows域内相关信息分析时间。
同时在本申请实施例中通过预设分类规则和预设处理规则来实现对日志信息和流量信息的分类和处理,无需人工操作进行分析,减少了人工操作的流程,进一步减少了Windows域内相关信息分析时间。
在一些实施例中,获取域控终端的日志信息和流量信息之后,还实施如下步骤将日志信息和流量信息分别缓存至Redis数据库。
需要说明的是,因为在实际应用中,Windows域内的流量信息和日志信息可能是大量的,为了不让漏过相应的信息,可以将日志信息和流量信息保持在Redis数据库中进行缓存,通过本实例中的该方式,可以实现对日志信息和流量信息的保存以及避免日志信息和流量信息的遗漏。
在其中一些实施例中,在根据第一预设分类规则,对第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对第二漏洞特征信息进行分类,得到第二分类结果之后,还实施如下步骤:对第一分类结果和第二分类结果进行缓存。
通过上述步骤对第一分类结果和第二分类结果进行缓存,可以便于后续用户对第一分类结果和第二分类结果进行查看,以及便于后续用户对第一分类结果对应的日志信息和第二分类结果对应的流量信息进行相应的操作。
在其中一些实施例中,第一分类结果包括:可疑日志信息,第二分类结果包括:可疑流量信息;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,获取与第二分类结果对应的第二预设处理规则对流量信息进行处理包括如下步骤:对可疑日志信息进行告警,以及对可疑流量信息进行告警,其中,第一预设处理规则和第二预设处理规则均包括:告警处理。
通过上述步骤对可疑日志信息进行告警,以及对可疑流量信息进行告警,实现了对可疑流量信息或可疑日志信息进行告警。
同时,在其中一些可选实施方式中,还可以将可疑日志信息和/或可疑流量信息发送给预设用户终端。
在其中一些实施例中,第一分类结果包括:恶意日志信息,第二分类结果包括:恶意流量信息;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,获取与第二分类结果对应的第二预设处理规则对流量信息进行处理包括如下步骤:获取恶意日志信息的第一操作地址和恶意流量信息的第二操作地址;对第一操作地址和第二操作地址进行封禁,其中,第一预设处理规则和第二预设处理规则均包括:封禁处理。
通过上述步骤获取恶意日志信息的第一操作地址和恶意流量信息的第二操作地址;对第一操作地址和第二操作地址进行封禁实现对恶意流量信息或恶意日志信息对应的操作地址进行封禁,避免该操作地址对应的操作对域控终端造成威胁,进而导致安全信息的泄露的问题,提高了域控终端的安全性。
同时,在其中一些可选实施方式中,还可以将恶意日志信息和/或恶意流量信息发送给预设用户终端。
在其中一些实施例中,第一分类结果包括:恶意日志信息,第二分类结果包括:恶意流量信息;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,获取与第二分类结果对应的第二预设处理规则对流量信息进行处理包括如下步骤:可视化恶意日志信息和恶意流量信息,其中,第一预设处理规则和第二预设处理规则均包括:可视化处理。
通过上述步骤可视化恶意日志信息和恶意流量信息,实现对恶意流量信息和恶意日志信息的可视化,以便实现用户对恶意流量信息和恶意日志信息的监视。
在其中一些实施例中,第一分类结果包括:正常日志信息,第二分类结果包括:正常流量信息;获取与第一分类结果对应的第一预设处理规则对日志信息进行处理,获取与第二分类结果对应的第二预设处理规则对流量信息进行处理包括如下步骤:对正常日志信息和正常流量信息进行标志,并对正常日志信息和正常流量信息放行,其中,第一预设处理规则和第二预设处理规则均包括:放行处理。
通过上述步骤对正常日志信息和正常流量信息进行标志,并对正常日志信息和正常流量信息放行,实现了对正常日志信息和正常流量信息的放行。
需要说明的是,本实施例中的放行可以是只对该正常日志信息和/或正常流量信息对应的操作进行放行。
需要说明的是,通过对可疑日志信息和可疑流量信息的告警,以便通知用户进行相应的操作;同时,通过对恶意日志信息和恶意流量信息对应的操作地址进行封禁,可以禁止该操作地址再次对域控终端进行相应的操作,提高了域控终端的安全性;再者,通过对恶意日志信息和恶意流量信息进行可视化展示,以便于用户对恶意日志信息和恶意流量信息进行监控。
需要说明的是,本实施例中,还可以对恶意流量信息、可疑流量信息、恶意日志信息、可疑日志信息进行标志。
在本实施例中,还通过对获取到的日志信息和流量信息数据进行统一管理和处理,实现了网络管理人员对域控制器的安全管理使用和需求。
下面通过优选实施例对本申请实施例进行描述和说明。
图3是根据本申请优选实施例的域控终端的保护方法的流程图。如图3所示,该方法包括:
步骤S301,获取域控终端的日志信息和流量信息;
步骤S302,将日志信息和流量信息缓存至Redis数据库;
在本步骤中,通过将日志信息和流量信息缓存至Redis数据库,可以实现数据的缓存,避免域控终端收集到的日志信息和流量信息太多。
需要说明的是,日志信息和流量信息可以分开存储,以便步骤S303中获取对应的信息。例如,Redis数据库中的子数据库A可以存储日志信息,子数据库B可以存储流量信息。
步骤S303,从Redis数据库中获取日志信息和流量信息。
步骤S304,确定日志信息的第一漏洞特征信息,以及流量信息的第二漏洞特征信息。
步骤S305,根据第一预设分类规则,对第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对第二漏洞特征信息进行分类,得到第二分类结果。
在本步骤中,根据第一预设分类规则,对第一漏洞特征信息进行分类可以包括以下步骤:
步骤A,获取Windows域的日志信息对应的ID,并根据该日志信息对应的ID匹配到规则;
步骤B,获取到符合步骤A中规则所对应的账户/机器附近时间点的其他日志信息;
步骤C,判断是否有其他日志信息符合对应的攻击规则流程;若是,则执行步骤D,若否,则执行步骤E;
步骤D,根据第一预设分类规则,对第一漏洞特征信息进行分类,并进行标记。
步骤E,标记为正常日志信息。
在本步骤中,根据第二预设分类规则,对第二漏洞特征信息进行分类可以包括以下步骤:
步骤F,获取Windows域的流量信息对应的ID,并根据该流量信息对应的ID匹配到规则;
步骤G,获取到符合步骤F中规则所对应的账户/机器附近时间点的其他相同协议的流量信息;
步骤H,判断是否有其他相同协议的流量信息符合对应的攻击规则流程;若是,则执行步骤I,若否,则执行步骤J;
步骤I,根据第二预设分类规则,对第二漏洞特征信息进行分类,并进行标记。
步骤J,将第二漏洞特征信息分类为正常流量信息,并标记为正常流量信息。
需要说明的是,第一分类结果可以包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,第二分类结果可以包括以下之一:正常流量信息、可疑流量信息、恶意流量信息。
步骤S306,获取与第一分类结果对应的预设处理规则,对日志信息进行处理,获取与第二分类结果对应的预设处理规则,对流量信息进行处理。
图4是根据本申请优选实施例的域控终端的保护装置的结构框图。如图4所示,该域控终端的保护装置包括:
域控终端41,该域控终端包括日志信息采集单元和流量信息采集模块。
日志信息采集单元用于采集日志信息,流量信息采集单元用于采集流量信息。其中,日志信息采集模块可以通过编写Windows驱动,然后由域控终端41加载该驱动后并Hook住Windows Event程序,最后获取到该Windows域的域控终端41相关的安全日志信息。流量信息采集模块可以通过npcap驱动来监控Windows域中的域控终端的网络流量,然后提取出对应的SMB流量、LDAP流量以及kerberos流量并保存。
需要说明的是,相关的安全日志信息和对应的攻击方法可以由表一表示,如表一所示:
Figure BDA0002752492950000111
Figure BDA0002752492950000121
表一日志信息与攻击方法的关联表
数据处理模块42,其中,数据处理模块42包括Redis数据存储单元、日志信息分类单元、流量信息分类单元、日志信息匹配单元、流量信息匹配单元、日志信息分析存储单元、流量信息分析存储单元。
Redis数据存储单元用于存储获取到的域控终端41中的日志信息和流量信息;日志信息分类单元用于确定Redis数据存储单元中的日志信息的漏洞特征信息,并进行分类;流量信息分类单元用于确定Redis数据存储单元中的流量信息对应的漏洞特征信息,并进行分类;日志信息匹配单元,用于根据日志信息分类结果匹配对应的处理规则并进行处理;流量信息匹配单元,用于根据流量信息分类结果匹配对应的处理规则并进行处理;日志信息分析存储单元用于存储分析日志信息的过程中所产生的操作日志;流量信息分析存储单元用于存储分析流量信息的过程中所产生的操作日志。
数据存储模块43,该数据存储模块包括数据索引单元、数据告警单元、数据封禁单元。其中,该数据索引单元可以由Elasticsearch作为后端引擎,Elasticsearch支持进行分词搜索,用于根据存储和索引日志信息或流量信息的攻击者,并采用neo4j关系图形数据库展示跟描绘潜在攻击者的攻击路径跟攻击对应的关系图标,可以更直接的可视化。数据告警单元可以用于根据日志信息分类单元和流量信息分类单元的处理结果进行相应的告警操作。数据封禁单元可以用于根据日志信息分类单元和流量信息分类单元的处理结果进行相应的封禁操作。
需要说明的是,Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsearch的水平伸缩性,能使数据在生产环境变得更有价值。Elasticsearch的实现原理主要分为以下几个步骤,首先用户将数据提交到Elasticsearch数据库中,再通过分词控制器去将对应的语句分词,将其权重和分词结果一并存入数据,当用户搜索数据时候,再根据权重将结果排名,打分,再将返回结果呈现给用户。
图5是根据本申请实施例中数据存储模块操作流程的示意图,如图5所示,首先可以获取数据处理单元中的处理结果,并通过Elasticsearch对处理结果对应的流量信息和日志信息进行索引,并通过neo4j关系图形数据库进行可视化。同时还可以将数据处理单元中的可疑流量信息和可疑日志信息发送给预设用户终端,以通知用户做相应的操作。还可以将数据处理中的恶意流量信息和恶意日志信息发送给域控终端,以使得控制终端对该恶意流量信息和恶意日志信息对应的终端或终端账户进行封禁,例如发送封禁信息;也可以将数据处理中的恶意流量信息和恶意日志信息发送给预设用户终端,以通知用户做相应的操作。
需要说明的是发送给预设用户终端的方式可以是但不限于通过SMS、email等。
通过上述实施例,本申请实施例通过基于日志信息与流量信息,来实现对域控终端进行保护的方式,有效解决的相关技术中Windows域内环境存在多种漏洞和复杂的渗透攻击手法的问题。
本申请实施例还提出了日志信息和流量信息关联的判断方法。结合Windows域内用户/机器相关的时刻的日志信息/流量信息来进行分析判断日志信息和流量信息对应的操作是否是恶意操作,以及还可以及时分析到恶意的攻击行为并且可以降低纯粹的规则匹配误判行为。
本申请实施例还提出了Windows域内攻击方式的判定及可视化展示的方法。还可以通过Neo4j关系型数据库展示日志信息和流量信息对应的攻击者的攻击路径以及相关终端,让网络管理员可以直观看到攻击者对其内部网络的攻击路径,影响面积,攻击源头、攻击关键时间节点、攻陷机器等信息。
图6是根据本申请实施例的域控终端的保护装置的结构框图,如图6所示,该装置包括:
获取模块61,用于获取域控终端的日志信息和流量信息;
确定模块62,耦合至获取模块61,用于确定所述日志信息的第一漏洞特征信息,以及所述流量信息的第二漏洞特征信息;
分类模块63,耦合至确定模块62,用于根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果,其中,所述第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,所述第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;
处理模块64,耦合至分类模块63,用于获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,以及获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理。
在其中一些实施例中,该装置还包括:第一缓存模块,用于将日志信息和流量信息分别缓存至Redis数据库。
在其中一些实施例中,该装置还包括第二缓存模块,用于对第一分类结果和第二分类结果进行缓存。
在其中一些实施例中,处理模块64包括:告警单元,用于对可疑日志信息进行告警,以及对可疑流量信息进行告警,其中,第一预设处理规则和第二预设处理规则均包括:告警处理。
在其中一些实施例中,处理模块64包括:获取单元,用于获取恶意日志信息的第一操作地址和恶意流量信息的第二操作地址;封禁单元,用于对第一操作地址和第二操作地址进行封禁,其中,第一预设处理规则和第二预设处理规则均包括:封禁处理。
在其中一些实施例中,处理模块64包括:可视化单元,用于可视化恶意日志信息和恶意流量信息,其中,第一预设处理规则和第二预设处理规则均包括:可视化处理。
在其中一些实施例中,处理模块64包括:标志单元,用于对正常日志信息和正常流量信息进行标志;放行单元,用于对正常日志信息和正常流量信息放行,其中,第一预设处理规则和第二预设处理规则均包括:放行处理。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合上述实施例中的域控终端的保护方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种域控终端的保护方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种域控终端的保护方法,其特征在于,包括:
获取域控终端的日志信息和流量信息;
确定所述日志信息的第一漏洞特征信息,以及所述流量信息的第二漏洞特征信息;
根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果,其中,所述第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,所述第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;
获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,以及获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理。
2.根据权利要求1所述的域控终端的保护方法,其特征在于,获取域控终端的日志信息和流量信息之后,所述方法还包括:
将所述日志信息和所述流量信息分别缓存至Redis数据库。
3.根据权利要求1所述的域控终端的保护方法,其特征在于,根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果之后,所述方法还包括:
对所述第一分类结果和所述第二分类结果进行缓存。
4.根据权利要求1所述的域控终端的保护方法,其特征在于,所述第一分类结果包括:可疑日志信息,所述第二分类结果包括:可疑流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
对所述可疑日志信息进行告警,以及对所述可疑流量信息进行告警,其中,所述第一预设处理规则和所述第二预设处理规则均包括:告警处理。
5.根据权利要求1所述的域控终端的保护方法,其特征在于,所述第一分类结果包括:恶意日志信息,所述第二分类结果包括:恶意流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
获取所述恶意日志信息的第一操作地址和所述恶意流量信息的第二操作地址;
对所述第一操作地址和所述第二操作地址进行封禁,其中,所述第一预设处理规则和所述第二预设处理规则均包括:封禁处理。
6.根据权利要求1所述的域控终端的保护方法,其特征在于,所述第一分类结果包括:恶意日志信息,所述第二分类结果包括:恶意流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
可视化所述恶意日志信息和所述恶意流量信息,其中,所述第一预设处理规则和所述第二预设处理规则均包括:可视化处理。
7.根据权利要求1所述的域控终端的保护方法,其特征在于,所述第一分类结果包括:正常日志信息,所述第二分类结果包括:正常流量信息;获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理包括:
对所述正常日志信息和所述正常流量信息进行标志,并对所述正常日志信息和所述正常流量信息放行,其中,所述第一预设处理规则和所述第二预设处理规则均包括:放行处理。
8.一种域控终端的保护装置,其特征在于,包括:
获取模块,用于获取域控终端的日志信息和流量信息;
确定模块,用于确定所述日志信息的第一漏洞特征信息,以及所述流量信息的第二漏洞特征信息;
分类模块,用于根据第一预设分类规则,对所述第一漏洞特征信息进行分类,得到第一分类结果,以及根据第二预设分类规则,对所述第二漏洞特征信息进行分类,得到第二分类结果,其中,所述第一分类结果包括以下之一:正常日志信息、可疑日志信息、恶意日志信息,所述第二分类结果包括以下之一:正常流量信息、可疑流量信息、恶意流量信息;
处理模块,用于获取与所述第一分类结果对应的第一预设处理规则对所述日志信息进行处理,以及获取与所述第二分类结果对应的第二预设处理规则对所述流量信息进行处理。
9.一种域控终端的保护设备,包括存储器、处理器以及存储在所述存储器上并在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的域控终端的保护方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至7中任一项所述的域控终端的保护方法。
CN202011189940.1A 2020-10-30 2020-10-30 域控终端的保护方法、装置、设备和计算机可读存储介质 Active CN112350864B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011189940.1A CN112350864B (zh) 2020-10-30 2020-10-30 域控终端的保护方法、装置、设备和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011189940.1A CN112350864B (zh) 2020-10-30 2020-10-30 域控终端的保护方法、装置、设备和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN112350864A CN112350864A (zh) 2021-02-09
CN112350864B true CN112350864B (zh) 2022-07-22

Family

ID=74356739

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011189940.1A Active CN112350864B (zh) 2020-10-30 2020-10-30 域控终端的保护方法、装置、设备和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112350864B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113014574B (zh) * 2021-02-23 2023-07-14 深信服科技股份有限公司 一种域内探测操作检测方法、装置及电子设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9467464B2 (en) * 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
US9319421B2 (en) * 2013-10-14 2016-04-19 Ut-Battelle, Llc Real-time detection and classification of anomalous events in streaming data
US9923912B2 (en) * 2015-08-28 2018-03-20 Cisco Technology, Inc. Learning detector of malicious network traffic from weak labels
CN109361573B (zh) * 2018-12-13 2022-02-18 武汉市硅丰科技发展有限责任公司 流量日志分析方法、系统及计算机可读存储介质

Also Published As

Publication number Publication date
CN112350864A (zh) 2021-02-09

Similar Documents

Publication Publication Date Title
US9069954B2 (en) Security threat detection associated with security events and an actor category model
US20160164893A1 (en) Event management systems
CN110809010B (zh) 威胁信息处理方法、装置、电子设备及介质
US20160019388A1 (en) Event correlation based on confidence factor
CN111092852A (zh) 基于大数据的网络安全监控方法、装置、设备及存储介质
CN111163115A (zh) 一种基于双引擎的物联网安全监测方法及系统
CN111600863B (zh) 网络入侵检测方法、装置、系统和存储介质
CN104038466B (zh) 用于云计算环境的入侵检测系统、方法及设备
WO2011153227A2 (en) Dynamic multidimensional schemas for event monitoring priority
CN113542227A (zh) 账号安全防护方法、装置、电子装置和存储介质
CN108650225A (zh) 一种远程安全监测设备、系统及远程安全监测方法
Qureshi et al. Network Forensics: A Comprehensive Review of Tools and Techniques
CN112350864B (zh) 域控终端的保护方法、装置、设备和计算机可读存储介质
CN113098852B (zh) 一种日志处理方法及装置
CN110958267B (zh) 一种虚拟网络内部威胁行为的监测方法及系统
CN111049853A (zh) 一种基于计算机网络的安全认证系统
CN115567258A (zh) 网络安全态势感知方法、系统、电子设备及存储介质
CN115208690A (zh) 一种基于数据分类分级的筛查处理系统
CN114422232A (zh) 一种违规流量的监测方法、装置、电子设备、系统及介质
CN113343231A (zh) 一种基于集中管控的威胁情报的数据采集系统
CN106993005A (zh) 一种网络服务器的预警方法及系统
CN107124390B (zh) 计算设备的安全防御、实现方法、装置及系统
CN116055083B (zh) 一种提升网络安全性方法及相关设备
CN115412359B (zh) Web应用安全防护方法和装置、电子设备、存储介质
CN118094532B (zh) 一种处理存储硬件智能防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant