【技术实现步骤摘要】
本申请涉及信息安全,具体涉及一种伪装攻击的检测方法及装置。
技术介绍
1、在互联网迅猛发展的时代下,人们在享受网络便捷性的同时,也面临着多样化的安全挑战,如机密信息的泄露和数据的丢失等。网络与系统存在的安全漏洞为攻击者提供了可乘之机,随着计算机技术的日新月异,新的攻击手段层出不穷,给企业系统带来了重大的损失。
2、目前,为确保计算机系统的安全稳定运行,对各种未经授权和非法访问的信息进行安全检测至关重要。安全检测主要分为外部检测和内部检测两部分。外部检测主要涉及计算机病毒、木马以及恶意软件的识别与防范。而内部检测则聚焦于组织内部可能存在的安全威胁,其中,伪装者作为一种典型的内部威胁,他们常常伪装成其他内部用户,通过冒充合法授权用户或节点,欺骗认证系统或网络,进而窃取通信信息或系统资源。这种伪装攻击具有主动攻击,如消息篡改和重放攻击,可能导致内部关键信息的泄露、正常节点通信的干扰,甚至网络系统的瘫痪。为有效应对伪装攻击,采取全面的安全措施进行监测显得尤为关键,以便及时发现并定位伪装攻击者。然而,当前对伪装攻击的检测方法主要依赖于单一数据源,单一的数据源容易导致误报或漏报,进而影响检测结果的准确性。
3、因此,亟需可解决上述技术问题的一种伪装攻击的检测方法及装置。
技术实现思路
1、本申请提供了一种伪装攻击的检测方法及装置,该方法根据安全检测请求对目标数据包进行处理,得到第一网络信息,再将第一网络信息与第二网络信息进行比较,根据比较结果确定检测结果,有效解决伪装攻
2、第一方面,本申请提供了一种伪装攻击的检测方法,应用于服务器中,方法包括:获取安全检测请求,安全检测请求为对目标企业的网络传输数据进行安全检测的请求;根据安全检测请求确定目标数据包;对目标数据包进行分析,得到第一网络信息;判断第一网络信息与第二网络信息是否相同;当第一网络信息与第二网络信息不相同时,则确认将目标数据包标记为异常数据,以便于对异常数据进行处理。
3、通过采用上述技术方案,根据安全检测请求确定目标数据包,对目标数据包进行分析,得到第一网络信息,再将第一网络信息与第二网络信息进行比较,当第一网络信息与第二网络信息不相同时,确认目标数据包中存在异常数据,可将目标数据包标记为异常数据,以便后续根据标记对目标数据包进行处理,根据有针对性的对目标数据包进行分析和比较,减少误报的可能性,有效解决了当前伪装攻击由于数据源单一,导致数据源出现误报的问题,提高了检测结果的准确性。
4、可选的,对目标数据包进行分析,得到第一网络信息;具体包括:获取目标网络流量信息,目标网络流量信息为发送目标数据包所消耗的流量信息,目标网络流量信息包括网络流量数值信息、网络流量速率信息以及网络流量频率信息,第一网络信息包括目标网络流量信息;判断目标网络流量信息是否满足预设网络流量信息,第二网络信息包括预设网络流量信息;当目标网络流量信息不满足预设网络流量信息时,则确认目标网络流量信息为异常网络流量模式,需将目标数据包进行标记。
5、通过采用上述技术方案,获取发送目标数据包所消耗的流量信息,即目标网络流量信息,根据目标网络流量信息可准确对目标数据包进行分析,再将目标网络流量信息与预设网络流量信息进行比较,当目标网络流量信息不满足预设网络流量信息时,则确认目标数据包对应的目标网络流量信息为异常网络流量模式,需对目标数据包进行标记,以便后续对目标数据包进行安全分析,降低伪装攻击对网络相同的潜在影响。
6、可选的,对目标数据包进行分析,得到第一网络信息;具体包括:获取第一数据信息,第一数据信息为目标数据包对应的负载信息,第一网络信息包括第一数据信息;判断第一数据信息与第二数据信息是否相同,第二网络信息包括第二数据信息;当第一数据信息与第二数据信息不相同时,则确认目标数据包中存在异常信息,需将目标数据包进行标记。
7、通过采用上述技术方案,获取目标数据包对应的负载信息,即第一数据信息,比较第一数据信息与第二数据信息是否相同,当第一数据信息与第二数据信息不相同时,确认目标数据包中存在异常信息,需将目标数据包进行标记,后续在对标记的目标数据包进行分析,实现对数据的完整性校验,提高数据传输的安全性和效率。
8、可选的,在获取目标网络流量信息之前,方法还包括:获取网络流量数据,网络流量数据为传输目标数据包对应数据流的信息;计算网络流量数据的信息熵,得到第一信息熵数值;判断第一信息熵数值是否小于或等于第二信息熵数值;当第一信息熵数值大于第二信息熵数值时,则确认获取目标网络流量信息。
9、通过采用上述技术方案,获取网络流量数据,再对网络流量数据进行计算,得到第一信息熵数值,第一信息熵数值是衡量数据随机性或不确定性的一个指标,再将第一信息熵数值与第二信息熵数值进行比较,当第一信息熵数值大于第二信息熵数值时,确认传输目标数据包的过程中存在异常流量,需及时对目标网络流量信息进行分析,提高网络的安全性。
10、可选的,在根据安全检测请求确定目标数据包之前,方法还包括:根据安全检测请求确定目标用户,目标用户为目标企业中任意一个用户;基于目标用户调取访问信息;判断访问信息与预设访问信息是否一致;当访问信息与预设访问信息一致时,则确认将目标用户标记为异常人员,需发送预警提示信息,以便于对异常人员进行监测。
11、通过采用上述技术方案,根据安全检测请求确定目标用户,在基于目标用户的信息,调取用户的访问信息,再对访问信息与预设访问信息进行比较,当访问信息与预设访问信息不一致时,则将目标用户标记为异常人员,通过发送预警提示信息对目标人员进行监测,防止内部人员滥用权限导致数据泄露等安全事故的发生。
12、可选的,对目标数据包进行分析,得到第一网络信息;具体包括:从目标数据包中获取源地址信息和目标地址信息,源地址信息为发送目标数据包的起始地址对应的信息,目标地址为接收目标数据包的终点地址对应的信息,第一网络信息包括源地址信息和目标地址信息;判断源地址信息与预设源地址信息是否相同,且目标地址信息与预设目标地址信息是否相同,第二网络信息包括预设源地址信息和预设目标地址信息。
13、通过采用上述技术方案,从目标数据包中获取源地址信息和目标地址信息,再将源地址信息与预设源导致信息信息进行比较,且将目标地址信息与预设目标地址信息进行比较,这种验证机制有助于防止目标数据包被篡改,当源地址信息与预设源导致信息信息不一致,且目标地址信息与预设目标地址信息不一致时,则确认目标数据包存在异常数据,需对目标数据包采取处理,以确保网络传输的安全性。
14、可选的,对目标数据包进行分析,得到第一网络信息;具体包括:获取第一通信协议,第一通信协议为目标数据包所使用的通信协议;
15、判断第一通信协议与第二通信协议是否相同,第二通信协议为预先设置的通信协议,第二网络信息包括第二通信协议;当第一通信协议本文档来自技高网...
【技术保护点】
1.一种伪装攻击的检测方法,其特征在于,应用于服务器中,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
4.根据权利要求2所述的方法,其特征在于,在所述获取目标网络流量信息之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在所述根据所述安全检测请求确定目标数据包之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
7.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
8.一种伪装攻击的检测装置,其特征在于,所述装置为服务器,所述服务器包括获取单元(201)、处理单元(202)以及确认单元(203),
9.一种电子设备,其特征在于,包括处理器(301)、存储器(305)、用户接口(30
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被执行时,执行如权利要求1-7任意一项所述的方法。
...【技术特征摘要】
1.一种伪装攻击的检测方法,其特征在于,应用于服务器中,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
3.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
4.根据权利要求2所述的方法,其特征在于,在所述获取目标网络流量信息之前,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在所述根据所述安全检测请求确定目标数据包之前,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,所述对所述目标数据包进行分析,得到第一网络信息;具体包括:
7.根据权利要求1所述的方法,其特征在于,所述对所述...
【专利技术属性】
技术研发人员:张长河,
申请(专利权)人:北京卫达信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。