[发明专利]一种提高终端设备安全性的方法、防御系统、装置及介质

说明书

本申请公开了一种提高终端设备安全性的方法、防御系统、装置及介质，涉及信息安全技术领域。该方法首先采集日志信息以及日志产生的流量信息，然后将日志信息与由Cobalt Strike信标产生的日志信息匹配表进行比对；若匹配，则确认日志信息为异常日志信息并将日志信息分类存储。该方法中通过将日志信息与由Cobalt Strike信标产生的日志信息匹配表进行比对，能够准确地将判断出日志信息是否是由Cobalt Strike信标产生的，从而针对Cobalt Strike信标产生的日志信息进行防御，提高终端设备的安全性。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种提高终端设备安全性的方法、防御系统、装置及介质。

背景技术

现在高级可持续性攻击(Advanced Persistent Threat，APT)频发攻击，APT攻击已经覆盖到非传统行业，这些组织通常由政府背景支持相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标高级可持续性攻击投放木马控制内网权限，实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治、经济目的。

Cobalt Strike被现今被世界各大APT组织作为APT攻击必备工具。在内网攻击者通常会执行各种Beacon信标命令。信标命令可用于在初始信标可访问的其他系统上生成其他信标，从而有效地增强了目标环境中的持久性。信标还可以用于远程访问和执行。CobaltStrike具有高可定制的，所以容易绕过安全设备检测，其Malleable C2配置文件可以将命令和控制通信融合到企业内部正常网络流中，其中就有可能存在攻击命令。现有的企业防御APT级别网络攻击的方法中没有针对Cobalt Strike信标提出防御方法，导致对部分攻击命令检测不到，大大降低终端设备的安全性。

由此可见，如何提高终端设备的安全性，是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种提高终端设备安全性的方法、防御系统、装置及介质，用于提高终端设备的安全性。

为解决上述技术问题，本申请提供一种提高终端设备安全性的方法，该方法包括：

采集日志信息以及所述日志产生的流量信息；

将所述日志信息与由Cobalt Strike信标产生的日志信息匹配表进行比对；

若匹配，则确认所述日志信息为异常日志信息并将所述日志信息分类存储，其中所述分类存储分为正常行为流量，可疑行为流量，恶意行为流量。

优选地，所述将所述日志信息与由Cobalt Strike信标产生的日志信息匹配表进行比对，还包括：

若不匹配，则确认所述日志信息为正常日志信息并结束。

优选地，所述将所述日志信息与由Cobalt Strike信标产生的日志信息匹配表进行比对包括：

同时将多个所述日志信息与由所述Cobalt Strike信标产生的所述日志信息匹配表进行比对。

优选地，在所述采集日志信息以及所述日志产生的流量信息之后，还包括：

将所述日志信息以及所述日志产生的流量信息存储在Memcached数据库。

优选地，所述将所述日志信息分类存储包括：

将所述日志信息采用ElasticStack大数据处理引擎来进行分类存储。

优选地，在所述将所述日志信息分类存储之后，还包括：

标记异常日志以及所述异常日志产生的异常流量。

优选地，在所述将所述日志信息分类存储之后还包括：