[发明专利]远程控制异常的确定方法、装置、存储介质及电子设备

说明书

本申请提供了一种远程控制异常的确定方法、装置、存储介质及电子设备，异常确定方法包括：获取内网资产传输的数据报文；在数据报文存在安全威胁的情况下，通过安全引擎提取数据报文对应的安全信息；基于安全信息和实时更新的远程控制记录表，确定内网资产是否存在远程控制异常。本申请通过实时更新的远程控制记录表以及安全信息来确定内网资产是否存在远程控制异常，能够避免未被网关设备阻断的漏洞控制内网资产进行异常行为，大大提高了异常检测的准确性和全面性。

技术领域

本申请涉及网络资产通信安全技术领域，特别涉及远程控制异常的确定方法、装置、存储介质及电子设备。

背景技术

在内网渗透的过程中，内网服务器遭受到几次网络漏洞攻击后，网关设备能够成功阻断攻击并告警，但是依然会存在未被网关设备阻断的远程控制协议的安全漏洞，此时，外网攻击者会利用此类漏洞绕过身份验证以直接利用远程控制协议连接内网服务器。外网攻击者攻陷内网服务器后，会盗取内网系统的用户名、密码等权限信息，进而控制更多的内网资产，以通过内网资产使用远程控制协议向攻击者进行对外数据传输，从而攻击者盗取内网数据。

目前，一种方式为通过暴力破解方式降低远程控制协议遭受口令破解，以防止内网资产被攻陷，但该方式的依据为连接速率和登录失败次数，但连接速率和登录失败次数均为经验值，因此，导致该方式的准确性较低；另一种方式为通过内置有高危漏洞的蜜罐主机吸引、诱骗攻击者，并且，研究学习攻击者的攻击目的和攻击手段，从而达到延缓甚至阻断攻击破坏行为的目的，但高交互蜜罐技术依赖于虚拟的蜜罐主机，无法识别未知漏洞，因此，该方式的准确性和全面性均较低。

发明内容

有鉴于此，本申请实施例的目的在于提供一种远程控制异常的确定方法、装置、存储介质及电子设备，用于解决现有技术中异常检测的准确性和全面性均较低的问题。

第一方面，本申请实施例提供了一种远程控制异常的确定方法，包括：

获取内网资产传输的数据报文；

在所述数据报文存在安全威胁的情况下，通过安全引擎提取所述数据报文对应的安全信息；

基于所述安全信息和实时更新的远程控制记录表，确定所述内网资产是否存在远程控制异常。

在一种可能的实施方式中，确定方法还包括：

从所述数据报文中提取所述数据报文的属性信息，其中，所述属性信息至少包括所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议；

基于所述属性信息，对所述数据报文进行验证。

在一种可能的实施方式中，所述基于所述属性信息，对所述数据报文进行验证，包括：

确定所述数据报文的源地址和目的地址是否属于外网地址；

若否，则确定所述数据报文对应的应用协议是否属于远程控制协议；

若是，则确定所述数据报文对应的应用协议是否登录成功；

若登录成功，则确定所述数据报文通过验证。

在一种可能的实施方式中，所述验证通过的情况下远程控制记录表的更新方式，包括：

确定远程控制记录表中是否存在所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议；

若存在，利用所述内网资产的登录时间更新所述远程控制记录表；

若未存在，利用所述源地址、所述目的地址、所述应用协议以及所述登录时间更新远程控制记录表。

在一种可能的实施方式中，在所述数据报文存在安全威胁的情况下，通过安全引擎提取所述数据报文对应的安全信息，包括：