本申请提供了一种远程控制异常的确定方法、装置、存储介质及电子设备,异常确定方法包括:获取内网资产传输的数据报文;在数据报文存在安全威胁的情况下,通过安全引擎提取数据报文对应的安全信息;基于安全信息和实时更新的远程控制记录表,确定内网资产是否存在远程控制异常。本申请通过实时更新的远程控制记录表以及安全信息来确定内网资产是否存在远程控制异常,能够避免未被网关设备阻断的漏洞控制内网资产进行异常行为,大大提高了异常检测的准确性和全面性。的准确性和全面性。的准确性和全面性。
【技术实现步骤摘要】
远程控制异常的确定方法、装置、存储介质及电子设备
[0001]本申请涉及网络资产通信安全
,特别涉及远程控制异常的确定方法、装置、存储介质及电子设备。
技术介绍
[0002]在内网渗透的过程中,内网服务器遭受到几次网络漏洞攻击后,网关设备能够成功阻断攻击并告警,但是依然会存在未被网关设备阻断的远程控制协议的安全漏洞,此时,外网攻击者会利用此类漏洞绕过身份验证以直接利用远程控制协议连接内网服务器。外网攻击者攻陷内网服务器后,会盗取内网系统的用户名、密码等权限信息,进而控制更多的内网资产,以通过内网资产使用远程控制协议向攻击者进行对外数据传输,从而攻击者盗取内网数据。
[0003]目前,一种方式为通过暴力破解方式降低远程控制协议遭受口令破解,以防止内网资产被攻陷,但该方式的依据为连接速率和登录失败次数,但连接速率和登录失败次数均为经验值,因此,导致该方式的准确性较低;另一种方式为通过内置有高危漏洞的蜜罐主机吸引、诱骗攻击者,并且,研究学习攻击者的攻击目的和攻击手段,从而达到延缓甚至阻断攻击破坏行为的目的,但高交互蜜罐技术依赖于虚拟的蜜罐主机,无法识别未知漏洞,因此,该方式的准确性和全面性均较低。
技术实现思路
[0004]有鉴于此,本申请实施例的目的在于提供一种远程控制异常的确定方法、装置、存储介质及电子设备,用于解决现有技术中异常检测的准确性和全面性均较低的问题。
[0005]第一方面,本申请实施例提供了一种远程控制异常的确定方法,包括:
[0006]获取内网资产传输的数据报文;
[0007]在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息;
[0008]基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常。
[0009]在一种可能的实施方式中,确定方法还包括:
[0010]从所述数据报文中提取所述数据报文的属性信息,其中,所述属性信息至少包括所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议;
[0011]基于所述属性信息,对所述数据报文进行验证。
[0012]在一种可能的实施方式中,所述基于所述属性信息,对所述数据报文进行验证,包括:
[0013]确定所述数据报文的源地址和目的地址是否属于外网地址;
[0014]若否,则确定所述数据报文对应的应用协议是否属于远程控制协议;
[0015]若是,则确定所述数据报文对应的应用协议是否登录成功;
[0016]若登录成功,则确定所述数据报文通过验证。
[0017]在一种可能的实施方式中,所述验证通过的情况下远程控制记录表的更新方式,包括:
[0018]确定远程控制记录表中是否存在所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议;
[0019]若存在,利用所述内网资产的登录时间更新所述远程控制记录表;
[0020]若未存在,利用所述源地址、所述目的地址、所述应用协议以及所述登录时间更新远程控制记录表。
[0021]在一种可能的实施方式中,在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息,包括:
[0022]通过所述安全引擎对所述数据报文进行检测,确定所述数据报文是否存在安全威胁;
[0023]在所述数据报文存在安全威胁的情况下,提取所述数据报文对应的威胁源地址、威胁目的地址以及威胁等级。
[0024]在一种可能的实施方式中,所述基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常,包括:
[0025]确定所述安全信息包括的威胁源地址或威胁目的地址,是否存在于所述当前的远程控制记录表中;
[0026]若存在,确定所述内网资产存在远程控制异常。
[0027]第二方面,本申请实施例还提供了一种远程控制异常的确定装置,其中,包括:
[0028]获取模块,其配置为获取内网资产传输的数据报文;
[0029]提取模块,其配置为在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息;
[0030]确定模块,其配置为基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常。
[0031]在一种可能的实施方式中,异常确定装置还包括验证模块,其配置为:
[0032]从所述数据报文中提取所述数据报文的属性信息,其中,所述属性信息至少包括所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议;
[0033]基于所述属性信息,对所述数据报文进行验证。
[0034]第三方面,本申请实施例还提供了一种存储介质,其中,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如下步骤:
[0035]获取内网资产传输的数据报文;
[0036]在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息;
[0037]基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常。
[0038]第四方面,本申请实施例还提供了一种电子设备,其中,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如下步骤:
[0039]获取内网资产传输的数据报文;
[0040]在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息;
[0041]基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常。
[0042]本申请实施例通过实时更新的远程控制记录表以及安全信息来确定内网资产是否存在远程控制异常,能够避免未被网关设备阻断的漏洞控制内网资产进行异常行为,大大提高了异常检测的准确性和全面性。
[0043]为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0044]为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0045]图1示出了本申请所提供的一种远程控制异常的确定方法的流程图;
[0046]图2示出了本申请所提供的一种远程控制异常的确定方法中基于数据报文的属性信息更新远程控制记录表的流程图;
[0047]图3示出了本申请所提供的一种远程控制异常的确定方法中基于属性信息对数据报文进行验证的流程图;
[0048]图4示出了本申请所提供的一种远程控制异常的确定装置的结构示意图;
[0049]图5示出了本申请所提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种远程控制异常的确定方法,其特征在于,包括:获取内网资产传输的数据报文;在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息;基于所述安全信息和实时更新的远程控制记录表,确定所述内网资产是否存在远程控制异常。2.根据权利要求1所述的确定方法,其特征在于,还包括:从所述数据报文中提取所述数据报文的属性信息,其中,所述属性信息至少包括所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议;基于所述属性信息,对所述数据报文进行验证。3.根据权利要求2所述的确定方法,其特征在于,基于所述属性信息,对所述数据报文进行验证,包括:确定所述数据报文的源地址和目的地址是否属于外网地址;若否,则确定所述数据报文对应的应用协议是否属于远程控制协议;若是,则确定所述数据报文对应的应用协议是否登录成功;若登录成功,则确定所述数据报文通过验证。4.根据权利要求2所述的确定方法,其特征在于,所述验证通过的情况下远程控制记录表的更新方式,包括:确定远程控制记录表中是否存在所述数据报文的源地址和目的地址以及所述数据报文对应的应用协议;若存在,利用所述内网资产的登录时间更新远程控制记录表;若未存在,利用所述源地址、所述目的地址、所述应用协议以及所述登录时间更新所述远程控制记录表。5.根据权利要求1所述的确定方法,其特征在于,在所述数据报文存在安全威胁的情况下,通过安全引擎提取所述数据报文对应的安全信息,包括:通过所述安全引擎对所述数据报文进行检测,确定所述数据报文是否存在安全威胁;在所述数据报文存在安全威胁的情况下,提取所述数据报文对应的威胁源地址、威胁目的地址以及威胁等级。6.根据权利要求1所述的确定方法,其特征在于,基于所述安全信...
【专利技术属性】
技术研发人员:闫海姣,范鸿雷,晏尉,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。