[发明专利]失陷设备检测方法及装置在审
| 申请号: | 201810379276.3 | 申请日: | 2018-04-25 |
| 公开(公告)号: | CN109688092A | 公开(公告)日: | 2019-04-26 |
| 发明(设计)人: | 刘斐然 | 申请(专利权)人: | 北京微步在线科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京金信知识产权代理有限公司 11225 | 代理人: | 黄威;喻嵘 |
| 地址: | 100086 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 主机 安全威胁 设备检测 应用数据 匹配 还原 行为特征数据 情报 流量提取 杀毒软件 原始网络 木马 手机 检测 发现 | ||
1.一种失陷设备检测方法,其特征在于,包括:
步骤1,根据原始网络流量提取出主机的行为特征数据,并将涉及TCP/IP应用的应用数据进行还原;
步骤2,基于还原的应用数据进行IOC安全威胁情报的匹配;
步骤3,根据所述匹配的结果,确定失陷主机。
2.根据权利要求1所述的失陷设备检测方法,其特征在于,进行还原操作的所述应用数据包括普通流量的五元组信息、DNS请求应答信息、HTTP请求应答信息。
3.根据权利要求1所述的失陷设备检测方法,其特征在于,所述步骤1包括:
步骤11,过滤原始网络数据包;
步骤12,做IP分片的还原操作,如果是TCP协议要进行TCP分段的还原操作;
步骤13,识别应用层的协议。
4.根据权利要求3所述的失陷设备检测方法,其特征在于,步骤11获取IP数据包,并对端口做数据过滤,保留预设端口号对应的数据包。
5.根据权利要求1所述的失陷设备检测方法,其特征在于,步骤2进一步包括:将所有情报载入内存中进行匹配。
6.根据权利要求1所述的失陷设备检测方法,其特征在于,所述方法还包括:
步骤4,将确定的失陷主机的相关信息存储起来,并存储相对应的PCAP文件,供以调查分析。
7.根据权利要求1所述的失陷设备检测方法,其特征在于,所述方法还包括:设置一读写锁,在更新或变动所述安全威胁情报时锁上所述读写锁,否则解开所述读写锁。
8.根据权利要求1所述的失陷设备检测方法,其特征在于,所述方法还包括:在发现失陷主机时报警。
9.一种失陷设备检测装置,包括获取模块、匹配模块和判断模块;
所述获取模块配置为根据原始网络流量提取出主机的行为特征数据,并将涉及TCP/IP应用的应用数据进行还原;
所述匹配模块配置为根据还原的应用数据进行IOC安全威胁情报的匹配;
所述判断模块配置为根据所述匹配的结果,确定失陷主机。
10.根据权利要求9所述的装置,所述获取模块进一步配置为:过滤原始网络数据包;做IP分片的还原操作,如果是TCP协议要进行TCP分段的还原操作;识别应用层的协议。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京微步在线科技有限公司,未经北京微步在线科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810379276.3/1.html,转载请声明来源钻瓜专利网。
