一种提高终端设备安全性的方法、防御系统、装置及介质与流程

1.本技术涉及信息安全技术领域，特别是涉及一种提高终端设备安全性的方法、防御系统、装置及介质。


背景技术：

2.现在高级可持续性攻击(advanced persistent threat，apt)频发攻击，apt攻击已经覆盖到非传统行业，这些组织通常由政府背景支持相关攻击组织进行攻击的活动。apt攻击常用于国家间的网络攻击行动。主要通过向目标高级可持续性攻击投放木马控制内网权限，实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治、经济目的。
3.cobalt strike被现今被世界各大apt组织作为apt攻击必备工具。在内网攻击者通常会执行各种beacon信标命令。信标命令可用于在初始信标可访问的其他系统上生成其他信标，从而有效地增强了目标环境中的持久性。信标还可以用于远程访问和执行。cobalt strike具有高可定制的，所以容易绕过安全设备检测，其malleable c2配置文件可以将命令和控制通信融合到企业内部正常网络流中，其中就有可能存在攻击命令。现有的企业防御apt级别网络攻击的方法中没有针对cobalt strike信标提出防御方法，导致对部分攻击命令检测不到，大大降低终端设备的安全性。
4.由此可见，如何提高终端设备的安全性，是本领域技术人员亟待解决的问题。


技术实现要素：

5.本技术的目的是提供一种提高终端设备安全性的方法、防御系统、装置及介质，用于提高终端设备的安全性。
6.为解决上述技术问题，本技术提供一种提高终端设备安全性的方法，该方法包括：
7.采集日志信息以及所述日志产生的流量信息；
8.将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；
9.若匹配，则确认所述日志信息为异常日志信息并将所述日志信息分类存储，其中所述分类存储分为正常行为流量，可疑行为流量，恶意行为流量。
10.优选地，所述将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，还包括：
11.若不匹配，则确认所述日志信息为正常日志信息并结束。
12.优选地，所述将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对包括：
13.同时将多个所述日志信息与由所述cobalt strike信标产生的所述日志信息匹配表进行比对。
14.优选地，在所述采集日志信息以及所述日志产生的流量信息之后，还包括：
15.将所述日志信息以及所述日志产生的流量信息存储在memcached数据库。
16.优选地，所述将所述日志信息分类存储包括：
17.将所述日志信息采用elasticstack大数据处理引擎来进行分类存储。
18.优选地，在所述将所述日志信息分类存储之后，还包括：
19.标记异常日志以及所述异常日志产生的异常流量。
20.优选地，在所述将所述日志信息分类存储之后还包括：
21.显示或/和提示分类结果。
22.为解决上述技术问题，本技术还提供一种防御系统，包括：
23.采集模块，用于采集日志信息以及所述日志产生的流量信息；
24.比对模块，用于将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，则触发确认及存储模块；
25.确认及存储模块，用于确认所述日志信息为异常日志信息并将所述日志信息分类存储，其中所述分类存储分为正常行为流量，可疑行为流量，恶意行为流量。
26.为解决上述技术问题，本技术还提供一种提高终端设备安全性装置，包括：
27.存储器，用于存储计算机程序；
28.处理器，用于执行所述计算机程序时实现上述的提高终端设备安全性方法的步骤。
29.为解决上述技术问题，本技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述的提高终端设备安全性方法的步骤。
30.本技术所提供的提高终端设备安全性的方法，该方法首次采集日志信息以及日志产生的流量信息，然后将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，则确认日志信息为异常日志信息并将日志信息分类存储。该方法中通过将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，能够准确地将判断出日志信息是否是由cobalt strike信标产生的，从而针对cobalt strike信标产生的日志信息进行防御，提高终端设备的安全性。
31.此外，本技术还提供一种防御系统、一种提高终端设备安全性装置以及计算机可读存储介质，具有上述提到的提高终端设备安全性的方法相同的有益效果。
附图说明
32.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1为本技术提供的一种提高终端设备安全性的方法的流程图；
34.图2为日志流量处理流程图；
35.图3为数据存储可视化查询流程图；
36.图4为本技术的一实施例提供的一种防御系统的结构图；
37.图5为本技术另一实施例提供的提高终端设备安全性装置的结构图；
38.图6为本技术实施例提供的提高终端设备安全性方法的应用场景示意图。
具体实施方式
39.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
40.本技术的核心是提供一种提高终端设备安全性的方法、防御系统、装置及介质，用于提高终端设备的安全性。
41.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。图1为本技术提供的一种提高终端设备安全性的方法的流程图，该方法包括：
42.s10：采集日志信息以及日志产生的流量信息。
43.攻击者通常会在内网终端设备中执行cobalt strike信标命令，导致内网终端设备被攻击。内网终端设备主要包括个人终端、服务终端、域控制器终端等。内网终端的日志采集主要是通过自研windows安装程序，通过域控制器下发组策略实现登陆自动安装程序，获取windows域内终端相关的日志。主要是搜集windows对应的日志eid、日志来源、日志类型、终端名、日志详细信息。终端流量获取主要开源zeek进行流量获取，然后提取对应的smb流量，ldap流量，kerberos流量保存下来。
44.s11：将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，则进入步骤s12。
45.在步骤s10中获取到了日志信息，将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对。表1为日志采集关注的重点日志与攻击手法关联表。表1的左边部分列出了重点日志的攻击手法，通过使用命令进行攻击，右边部分列出了对应的攻击手法产生的日志。如表1中攻击者使用powershell-import命令进行攻击，则该命令产生的日志信息为eid 400事件日志，该hostapplication字段设置为powershell-nop-exec-bypass-encodedcommand《base64-encoded-command》。需要说明的是，由cobalt strike信标产生的日志信息匹配表，根据设定规则进行相应的匹配，鉴于cobalt strike可扩展性极强，所以相应的规则也会随之实时更新。将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，如果当前日志信息包含日志信息匹配表中的日志，则认为匹配，然后进入步骤s11的确认日志信息为异常日志信息并将日志信息分类存储。
46.表1日志采集关注的重点日志与攻击手法关联表
47.[0048][0049]
s12：确认日志信息为异常日志信息并将日志信息分类存储，其中分类存储分为正常行为流量，可疑行为流量，恶意行为流量。
[0050]
将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，如果日志信息匹配表中包含该日志信息，即该日志信息与日志信息匹配表匹配，认为该日志信息为异常日志信息，并将日志信息分类存储，其中分类存储分为正常行为流量，可疑行为流量，恶意行为流量。
[0051]
本实施例所提供的提高终端设备安全性的方法，该方法首先采集日志信息以及日志产生的流量信息，然后将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，则确认日志信息为异常日志信息并将日志信息分类存储。该方法中通过将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，能够准确地将判断出日志信息是否是由cobalt strike信标产生的，从而针对cobalt strike信标产生的日志信息进行防御，提高终端设备的安全性。
[0052]
在上述实施例中，仅仅对异常的日志信息进行了分类存储。但是将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对后，若发现不匹配，此时通常会将已经比对完成的正常的日志信息继续与日志信息匹配表进行匹配，导致整个过程中对同一个日志进行重复判断，因此，作为优选地实施方式，将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，还包括：
[0053]
若不匹配，则确认日志信息为正常日志信息并结束。
[0054]
将当前日志信息与日志信息匹配表进行比对之后，如果当前日志信息中没有包含
日志信息匹配表中的日志信息，则认为当前日志信息为正常日志信息。在确认当前日志信息为正常日志信息之后，忽略该日志，并且不再将当前日志信息与日志信息匹配表进行匹配。
[0055]
本实施例所提供的在判断出当前日志信息为正常日志信息的情况下，将该日志忽略，并且不再进行匹配，可以有效防止对同一日志信息进行重复比对，也就是待判断的日志信息数量相对减少，进而能够在较短的时间内对日志信息进行区分，提高终端设备的安全性。
[0056]
将内网终端设备产生的日志信息与日志信息匹配表进行比对的过程可以是在一条日志信息与日志信息匹配表进行比对之后，再逐个对其余日志信息与日志信息匹配表进行比对，也可以是将多条日志信息与日志信息匹配表进行匹配。但是由于内网终端设备量极大会收集到大量的日志以及日志所产生的大量的流量，因此，在实施中，为了减少区分日志所需要的时长，作为优选地实施方式，将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对包括：
[0057]
同时将多条日志信息与由cobalt strike信标产生的日志信息匹配表进行比对。
[0058]
需要说明的是，同时将多条日志信息与日志信息匹配表进行比对时，日志信息的数量取决于系统的分析能力。在系统的分析能力之内，同时将多条日志信息与日志信息匹配表进行比对，以保证系统的正常运行。
[0059]
本实施例所提供的同时将多条日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，由于收集到的日志数量大以及日志所产生的大量的流量，因此同时将多条日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，可以减少区分日志所需要的时长，进而提高终端设备的安全性。
[0060]
由于内网终端设备量极大会收集到大量的日志以及日志所产生的大量的流量，同时系统的分析能力有限，因此为了减少系统的负荷，作为优选地实施方式，在采集日志信息以及日志产生的流量信息之后，还包括：
[0061]
将日志信息以及日志产生的流量信息存储在memcached数据库。
[0062]
对于收集到大量的日志以及日志所产生的大量的流量，可以将其存在数据库中，然后再从数据库中获取数据进行处理。优选地，可以选择memcached数据库来存储数据。内网终端设备数据库处理首先会将日志以及日志产生的流量推送到memcached数据缓冲。由于内网终端设备量极大收集到大量的日志和流量，所以需要memcached数据库对数据进行数据缓冲，然后从memcached数据库获取相对应的数据来进行分类处理，memcached中的db1存储着日志信息，而db2存储着流量信息。将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，然后对该条日志信息进行分类存储，分为正常行为流量，可疑行为流量，恶意行为流量。图2为日志流量处理流程图。图2中memcached采集由个人终端、内网服务器、域控服务器以及zeek实时流量监控产生的日志以及流量，然后记录日志行为以及记录同时产生的流量，对于记录的日志，匹配是否由cobalt strike信标产生的日志，如果是，根据规则标记异常日志，如果否，忽略该日志，不再匹配；对于记录的流量，匹配是否是异常流量，如果是，根据规则标记可疑/恶意流量，如果否，则忽略该流量，不再匹配。
[0063]
本实施例所提供的在采集日志信息以及日志产生的流量信息之后，将日志信息以及日志产生的流量信息存储在memcached数据库，由于系统对内网终端产生的大量的日志
以及日志所产生的大量的流量的分析能力有限，因此通过该实施例中的方法可以减少系统的负荷。
[0064]
由于日志信息量大并且日志产生的流量大，为了提高对日志信息以及日志信息产生的流量分类存储的速度，在实施中，作为优选地实施方式，将日志信息分类存储包括：
[0065]
将日志信息采用elasticstack大数据处理引擎来进行分类存储。
[0066]
elasticstack支持进行分词搜索，适合在这种日志之间的存储与索引。windows域内网终端，域控各种协议认证数据流量十分庞大，使用elasticstack这种大数据处理引擎来进行存储。因此本实施例所提供的将日志信息采用elasticstack大数据处理引擎来进行分类存储，可以提高对日志信息以及日志信息产生的流量的分类存储的速度。
[0067]
上述实施例中为了防止异常日志对终端设备的影响，作为优选地实施方式，在将日志信息分类存储之后，还包括：
[0068]
标记异常日志以及异常日志产生的异常流量。
[0069]
对于异常日志以及异常日志产生的异常流量标记的方式不作限定。在上述实施例中，对于异常日志的分类存储分为正常行为流量，可疑行为流量，恶意行为流量，因此标记异常日志以及异常日志产生的异常流量可以是仅对可疑行为流量以及恶意行为流量的日志进行标记，可以标记为
“×”
等。
[0070]
本实施例所提供的在将日志信息分类存储之后，标记异常日志以及异常日志产生的异常流量。可以将正常行为流量与可疑/异常行为流量区分开来，进而仅对可疑/异常行为流量进行防御，提高终端设备的安全性。
[0071]
在上述实施例的基础上，为了清晰明了地获取到日志的分类存储的情况，作为优选地实施方式，在将日志信息分类存储之后还包括：
[0072]
显示或/和提示分类结果。
[0073]
在将日志信息进行分类存储之后，显示或/和提示分类结果的方式不作限定。在实施中，采用kibana实现可视化查询，结合上述实施例中的elasticstack作为后端引擎。用kibana来搜索，查看，并和存储在elasticsearch索引中的数据进行交互，可以轻松地执行高级数据分析，并且以各种图标、表格和地图的形式可视化数据。kibana使得理解大量数据变得很容易，能够快速创建和共享动态仪表板，实时显示elasticsearch查询的变化；附加sms短信告警功能，管理人员可及时查询处理；采用neo4j关系图形数据库展示跟描绘潜在攻击者的攻击路径，可以直观地查看。图3为数据存储可视化查询流程图。图3中，内网终端设备将产生的日志信息以及日志信息产生的流量通过elasticsearch索引进行分类，然后分别通过kibana、sms短信、neo4j进行可视化。
[0074]
本实施例所提供的在将日志信息分类存储之后，显示或/和提示分类结果，可以清晰明了地获取到日志的分类存储的情况。
[0075]
在上述实施例中，对于提高终端设备安全性的方法进行了详细描述，本技术还提供一种防御系统以及一种提高终端设备安全性的装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件的角度。
[0076]
图4为本技术的一实施例提供的一种防御系统的结构图。本实施例基于功能模块的角度，包括：
[0077]
采集模块10，用于采集日志信息以及所述日志产生的流量信息；
[0078]
比对模块11，用于将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对；若匹配，则触发确认及存储模块；
[0079]
确认及存储模块12，用于确认所述日志信息为异常日志信息并将所述日志信息分类存储，其中所述分类存储分为正常行为流量，可疑行为流量，恶意行为流量。
[0080]
由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
[0081]
本实施例所提供的防御系统，首先通过采集模块采集日志信息以及所述日志产生的流量信息，然后通过比对模块，将所述日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，若匹配，则触发确认及存储模块确认所述日志信息为异常日志信息并将所述日志信息分类存储。该系统中通过将日志信息与由cobalt strike信标产生的日志信息匹配表进行比对，能够准确地将判断出日志信息是否是由cobalt strike信标产生的，从而针对cobalt strike信标产生的日志信息进行防御，提高终端设备的安全性。
[0082]
图5为本技术另一实施例提供的提高终端设备安全性装置的结构图。本实施例基于硬件角度，如图5所示，提高终端设备安全性装置包括：
[0083]
存储器20，用于存储计算机程序；
[0084]
处理器21，用于执行计算机程序时实现如上述实施例中所提到的提高终端设备安全性的方法的步骤。
[0085]
本实施例提供的提高终端设备安全性装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
[0086]
其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理(digital signal processing，dsp)、现场可编程门阵列(field－programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有图像处理器(graphics processing unit，gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(artificial intelligence，ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
[0087]
存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的提高终端设备安全性方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于上述所提到的提高终端设备安全性方法所涉及到的数据等。
[0088]
在一些实施例中，提高终端设备安全性装置还可包括有显示屏22、输入输出接口
23、通信接口24、电源25以及通信总线26。
[0089]
本领域技术人员可以理解，图5中示出的结构并不构成对提高终端设备安全性装置的限定，可以包括比图示更多或更少的组件。
[0090]
本技术实施例提供的提高终端设备安全性装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：提高终端设备安全性的方法，效果同上。
[0091]
最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
[0092]
可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
[0093]
本技术提供的计算机可读存储介质包括上述提到的提高终端设备安全性的方法，效果同上。
[0094]
为了使本领域的技术人员更好的理解本技术的技术方案，下面结合附图6对上述本技术作进一步的详细说明，图6为本技术实施例提供的提高终端设备安全性方法的应用场景示意图。该过程包括：
[0095]
由个人终端、服务终端、域控制器终端组成的内网终端产生日志以及日志所产生的流量进行数据分析；其中，对于数据分析包括分别对日志以及对流量的分析。对于日志的分析包括：首先采集日志，然后匹配异常日志id，最后进行日志分析处理；对于流量的分析包括：首先对流量监控，然后获取异常流量，最后对异常流量分析处理。将分析处理完的日志以及异常流量上传到mongodb数据库分析系统，然后分析系统将数据采集到做数据分析处理，将对应的数据进行处理分类分级后再发送到数据库存储系统，由数据库存储系统对数据进行分析，其中，对数据的分析包括：首先将数据存储，然后通过kibana进行可视化分析，最终定位异常终端。
[0096]
以上对本技术所提供的一种提高终端设备安全性的方法、防御系统、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
[0097]
还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那
些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。