有效攻击告警识别的方法、装置、安全网络及存储介质与流程

1.本发明涉及网络信息安全领域，尤其是涉及有效攻击告警识别的方法、装置、安全网络及存储介质。


背景技术：

2.随着计算机信息通信技术的高速发展，网络安全事件时有发生，来自网络内部和外部的危险和犯罪也日益增多。
3.在网络信息安全领域中，入侵防御系统(intrusion prevention system，ips)作为一组先期防止入侵的防御措施，被越来越多的企业用来识别攻击程序或有害代码、及其克隆和变种。
4.然而，ips设备拥有数目众多的过滤器，每种过滤器负责分析相对应的数据包，做到逐一字节地检查数据包。但，随着企业网络设备和资产的不断增加，设备规模和管控范围也不断扩大，造成网络与信息系统安全方面存在的潜在隐患和漏洞也越来越多，ips设备随之产生的告警信息也快速增长，给公司网络安全运维带来了巨大的难度。同时，这些告警信息中存在大量不会威胁系统安全的试探攻击告警，但这些试探攻击告警又难以与会对系统安全产生影响的有效攻击告警区分开，进而使报告攻击的误报率提高了。
5.鉴于此，如何准确识别真正对系统产生安全影响的有效攻击告警，成为一个亟待解决的技术问题。


技术实现要素：

6.本发明提供有效攻击告警识别的方法、装置、安全网络及存储介质，用以解决现有技术中存在的有效攻击告警识别准确度低的技术问题。
7.第一方面，为解决上述技术问题，本发明实施例提供的一种有效攻击告警识别的方法，应用于代理至少一个主机的代理设备，该方法的技术方案如下：
8.接收灭活后的远程命令请求报文的载荷；
9.对所述灭活后的远程命令请求报文的载荷进行重放验证，将对应的验证结果发送给安全管理平台，使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
10.一种可能的实施方式，对所述灭活后的远程命令请求报文的载荷进行重放验证，包括：
11.根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果。
12.一种可能的实施方式，根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果，包括：
13.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，则从所述灭活后的远程命令请求报文的载荷中获取第一命令；
14.用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配，获取匹配度最高的命令；
15.用所述匹配度最高的命令进行重放攻击，获得攻击结果；
16.将所述攻击结果作为所述验证结果。
17.一种可能的实施方式，根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果，包括：
18.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，则通过正则匹配，从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径；
19.通过验证所述访问路径是否真实存在，确定所述灭活后的远程命令请求报文的载荷是否攻击成功，获得所述验证结果。
20.第二方面，本发明实施例提供了一种有效攻击告警识别的方法，应用于安全管理平台，包括：
21.对告警对应的请求报文的载荷进行分析，确定所述请求报文是否为远程命令请求报文；
22.若为是，对所述请求报文的载荷进行灭活处理，获得灭活后的远程命令请求报文，并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证；其中，所述灭活处理为使所述请求报文的载荷丧失传播性；
23.接收所述重放验证的验证结果，根据所述验证结果识别所述告警是否为有效攻击告警。
24.一种可能的实施方式，对产生的告警对应的请求报文的载荷进行分析之前，还包括：
25.获取入侵防御系统ips设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷；
26.根据所述目的网络地址，从资产纳管记录和防火墙网络地址转换nat记录中，确定出所述主机。
27.一种可能的实施方式，根据所述验证结果识别所述告警是否为有效攻击告警，包括：
28.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，
29.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功，确定所述告警为所述有效攻击告警；
30.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败，确定所述告警为所述无效的试探攻击告警。
31.一种可能的实施方式，根据所述验证结果识别所述告警是否为有效攻击告警，包括：
32.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，
33.当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在，确定所述告警为所述有效攻击告警；否则，确定所述告警为所述无效的试探攻击告警。
34.第三方面，本发明实施例提供了一种有效攻击告警识别的装置，应用于代理至少一个主机的代理设备，该装置包括：
35.接收单元，用于接收灭活后的远程命令请求报文的载荷；
36.验证单元，用于对所述灭活后的远程命令请求报文的载荷进行重放验证，将对应的验证结果发送给安全管理平台，使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
37.一种可能的实施方式，所述验证单元用于：
38.根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果。
39.一种可能的实施方式，所述验证单元还用于：
40.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，则从所述灭活后的远程命令请求报文的载荷中获取第一命令；
41.用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配，获取匹配度最高的命令；
42.用所述匹配度最高的命令进行重放攻击，获得攻击结果；
43.将所述攻击结果作为所述验证结果。
44.一种可能的实施方式，所述验证单元还用于：
45.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，则通过正则匹配，从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径；
46.通过验证所述访问路径是否真实存在，确定所述灭活后的远程命令请求报文的载荷是否攻击成功，获得所述验证结果。
47.第四方面，本发明实施例提供了一种有效攻击告警识别的装置，应用于安全管理平台，该装置，包括：
48.分析单元，用于对告警对应的请求报文的载荷进行分析，确定所述请求报文是否为远程命令请求报文；
49.处理单元，用于若为是，对所述请求报文的载荷进行灭活处理，获得灭活后的远程命令请求报文，并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证；其中，所述灭活处理为使所述请求报文的载荷丧失传播性；
50.识别单元，用于接收所述重放验证的验证结果，根据所述验证结果识别所述告警是否为有效攻击告警。
51.一种可能的实施方式，所述分析单元还用于：
52.对产生的告警对应的请求报文的载荷进行分析之前，获取入侵防御系统ips设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷；
53.根据所述目的网络地址，从资产纳管记录和防火墙网络地址转换nat记录中，确定出所述主机。
54.一种可能的实施方式，所述识别单元用于：
55.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，
56.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功，确定所述告警为所述有效攻击告警；
57.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败，确定所
述告警为所述无效的试探攻击告警。
58.一种可能的实施方式，所述识别单元还用于：
59.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，
60.当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在，确定所述告警为所述有效攻击告警；否则，确定所述告警为所述无效的试探攻击告警。
61.第五方面，本发明实施例提供一种安全网络，包括：
62.入侵防御系统ips设备，用于识别包含攻击程序或有害代码及对应的克隆和变种的请求报文，并产生对应的告警；
63.安全管理平台，与所述ips设备的上报接口连接，用于执行如第二方面所述的方法；
64.代理设备，用于代理至少一个主机，并从所述安全管理设备获取灭活后的远程命令请求报文的载荷，执行如第一方面所述的方法。
65.第六方面，本发明实施例还提供一种有效攻击告警识别的装置，包括：
66.至少一个处理器，以及
67.与所述至少一个处理器连接的存储器；
68.其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上述第一方面或第二方面所述的方法。
69.第七方面，本发明实施例还提供一种可读存储介质，包括：
70.存储器，
71.所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上述第一方面或第二方面所述的方法。
72.通过本发明实施例的上述一个或多个实施例中的技术方案，本发明实施例至少具有如下技术效果：
73.在本发明提供的实施例中，通过对告警对应的请求报文的载荷进行分析，确定请求报文是否为远程命令请求报文；若为是，对请求报文的载荷进行灭活处理使之丧失传播性，获得灭活后的远程命令请求报文，并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证；进而根据接收到的验证结果识别告警是否为有效攻击告警，从而能够快速识别有效攻击告警，提高识别有效攻击告警的准确性。
附图说明
74.图1为本发明实施例提供的一种安全管理平台侧的有效攻击告警识别方法的流程图；
75.图2为本发明实施例提供的一种安全网络的结构示意图；
76.图3为本发明实施例提供的一种代理设备侧的有效攻击告警识别方法的流程图；
77.图4为本发明实施例提供的一种侧安全管理平台侧的有效攻击告警识别装置的结构示意图；
78.图5为本发明实施例提供的一种代理设备侧的有效攻击告警识别装置的结构示意图；
79.图6为本发明实施例提供的另一种安全网络的结构示意图。
具体实施方式
80.本发明实施列提供一种有效攻击告警识别的方法、装置、安全网络及存储介质，以解决现有技术中存在的有效攻击告警识别准确度低的技术问题。
81.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明，而不是对本发明技术方案的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互组合。
82.请参考图1，本发明实施例提供一种有效攻击告警识别的方法，应用于安全管理平台，该方法的处理过程如下。
83.步骤101：对告警对应的请求报文的载荷进行分析，确定请求报文是否为远程命令请求报文；
84.步骤102：若为是，对请求报文的载荷进行灭活处理，获得灭活后的远程命令请求报文，并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证；其中，灭活处理为使请求报文的载荷丧失传播性。
85.请参见图2为本发明实施例提供的一种安全网络的结构示意图。
86.图2提中的安全网络有ips设备、安全管理平台、代理设备、多个主机组成的主机群，ips设备是安装类ips系统的设备，代理设备用于代理主机群中的主机，主机可以是电脑、服务器、存储器、智能设备、网络设备等。
87.ips设备会对接收到的外部设备发送的请求报文进行过滤，若该请求报文可能存在安全问题，ips设备会生成对应的告警(也可以称之为ips告警)，并发送给安全管理设备。
88.对产生的告警对应的请求报文的载荷进行分析之前，安全管理平台会获取入侵防御系统ips设备产生的告警对应的目的网络地址和请求报文的载荷；根据目的网络地址，从资产纳管记录和防火墙网络地址转换nat记录中，确定出主机。
89.继续以图2为例，当安全管理设备从ips设备的上报接口获取到某个请求报文的告警后，将获取该告警对应的目的网络地址和请求报文的载荷，上述目的网络地址可以是请求报文请求访问的目的主机的ip地址。安全管理平台根据上述目的网络地址，从资产纳管记录和防火墙网络地址转换(network address translation，nat)记录中，确定上述请求报文请求访问的主机(即目的主机)。之后，安全管理平台对告警对应的请求报文的载荷进行分析，确定请求报文是否为远程命令请求报文。
90.确定请求报文是否为远程命令请求报文可以通过下列方式实现：
91.从原始日志中提取历史请求报文的关键信息，这些关键信息可以包括历史请求报文的原地址、源端口、目的地址、目的端口、目的对象、操作、结果、响应信息等。对上述历史日志对应的不同关键信息进行分析，确定各个历史请求报文所属场景及对应的漏洞特征，将提供了远程命令的请求报文对应的漏洞特征聚合在一起，并与对应的场景进行关联，形成关联关系。这样安全管理平台在接收到请求报文后，便可用请求报文与上述关联关系中的漏洞特征或场景进行匹配，若匹配成功则确定请求报文是远程命令请求报文，否则为非远程命令请求报文。
92.继续以图2为例，安全管理平台在确定请求报文是远程命令请求报文后，对请求报文的载荷进行灭活处理，获得灭活后的远程命令请求报文。
93.上述对请求报文的载荷进行灭活处理是指去除请求报文中病毒感染的活性部分，使其失去传播性，同时又保留病毒性原理，可以被ips检出。
94.之后，安全管理平台将灭活后的远程命令请求报文的载荷发送给代理设备，由于图2中的所有主机使用的是同一个代理设备，所以这里是发送给代理设备；若图2中每个主机或每2个主机设置一个代理设备，则灭活后的远程命令请求报文的载荷是发送给告警对应目的网络地址的主机的代理设备，通过对应的代理设备对灭活后的远程命令请求报文的载荷进行重放验证。
95.代理设备对灭活后的远程命令请求报文的载荷进行重放验证，是根据灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得验证结果。具体如下：
96.若灭活后的远程命令请求报文的载荷为无文件落地的载荷，则代理设备从灭活后的远程命令请求报文的载荷中获取第一命令；用第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配，获取匹配度最高的命令；用匹配度最高的命令进行重放攻击，获得攻击结果；将攻击结果作为验证结果。上述无文件落地的载荷是指没有文件写入本地的载荷。
97.例如，可以事先针对无文件落地的载荷构建远程命令注入白名单，其中，白名单内的远程命令是安全的命令，不会对主机产生安全威胁。将构建的白名单存入代理设备中，代理设备从接收到的灭活后的远程命令报文的载荷中提取第一命令(即发送请求报文的用户携带在请求报文中希望执行的命令)，用第一命令与白名单中的命令逐一进行模糊匹配，用匹配度最高的命令进行重放攻击，获得攻击结果，并将之作为代理设备对灭活后的远程命令请求报文的载荷进行重放验证的验证结果。上述攻击结果可能为重放攻击成功，也可能为重放攻击失败。代理设备将获得的验证结果发送给安全管理平台，使之执行步骤103。
98.在上述验证过程，由于是使用的白名单中与第一命令匹配度最高的命令进行重放攻击，而不是直接使用灭活后的远程命令报文的载荷进行重放攻击，因此能够避免对主机造成攻击，提高验证的安全性。
99.若灭活后的远程命令请求报文的载荷为有文件落地的载荷，则通过正则匹配，从灭活后的远程命令请求报文的载荷中提取落地文件的访问路径；通过验证访问路径是否真实存在，确定灭活后的远程命令请求报文的载荷是否攻击成功，获得验证结果。上述有文件落地的载荷是指有文件写入本地的载荷。上述有文件落地的载荷不主动发起重放攻击。
100.例如，代理设备接收到的灭活后的远程命令请求报文的载荷为是有文件落地的载荷，可以通过正则匹配，从灭活后的远程命令请求报文的载荷中提取落地文件的访问路径，进而通过验证访问路径中是否存在落地文件，来确定访问路径的真实性，若访问路径中存储落地文件，则确定访问路径真实存在，否则确定访问路径不存在。若访问路径真实存在，则确定灭活后的远程命令请求报文的载荷攻击成功，否则攻击不成功，将上述是否攻击成功的结果作为代理设备对灭活后的远程命令请求报文的载荷进行重放验证的验证结果，并发送给安全管理平台，执行步骤103。
101.步骤103：接收重放验证的验证结果，根据验证结果识别告警是否为有效攻击告警。
102.安全管理平台在从代理设备接收到重放验证的验证结果后，根据验证结果是被告
警是否为有效攻击告警，可以通过下列方式实现：
103.若灭活后的远程命令请求报文的载荷为无文件落地的载荷，当验证结果为灭活后的远程命令请求报文的载荷重放攻击成功，确定告警为有效攻击告警；当验证结果为灭活后的远程命令请求报文的载荷重放攻击失败，确定告警为无效的试探攻击告警。
104.若灭活后的远程命令请求报文的载荷为有文件落地的载荷，当验证结果为灭活后的远程命令请求报文的载荷对应的访问路径存在，确定告警为有效攻击告警；否则，确定告警为无效的试探攻击告警。
105.安全管理设备在确定告警为有效攻击告警后，将启动相应的处置程序；若确定告警为试探攻击告警，则不予处理。
106.在本发明提供的实施例中，通过对告警对应的请求报文的载荷进行分析，确定请求报文是否为远程命令请求报文；若为是，对请求报文的载荷进行灭活处理使之丧失传播性，获得灭活后的远程命令请求报文，并将灭活后的远程命令请求报文的载荷发送给告警对应目的网络地址的主机的代理设备进行重放验证；进而根据接收到的验证结果识别告警是否为有效攻击告警，从而能够快速识别有效攻击告警，提高识别有效攻击告警的准确性。
107.基于同一发明构思，本发明一实施例中提供一种有效攻击告警识别的方法，应用于代理至少一个主机的代理设备，该方法的具体实施方式可以参见前述安全管理平台中的相关描述，重复之处不再赘述，请参见图3该方法包括：
108.步骤301：接收灭活后的远程命令请求报文的载荷；
109.步骤302：对所述灭活后的远程命令请求报文的载荷进行重放验证，将对应的验证结果发送给安全管理平台，使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
110.一种可能的实施方式，对所述灭活后的远程命令请求报文的载荷进行重放验证，包括：
111.根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果。
112.一种可能的实施方式，根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果，包括：
113.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，则从所述灭活后的远程命令请求报文的载荷中获取第一命令；
114.用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配，获取匹配度最高的命令；
115.用所述匹配度最高的命令进行重放攻击，获得攻击结果；
116.将所述攻击结果作为所述验证结果。
117.一种可能的实施方式，根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果，包括：
118.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，则通过正则匹配，从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径；
119.通过验证所述访问路径是否真实存在，确定所述灭活后的远程命令请求报文的载荷是否攻击成功，获得所述验证结果。
120.基于同一发明构思，本发明一实施例中提供一种有效攻击告警识别的装置，应用于安全管理平台，该装置的有效攻击告警识别方法的具体实施方式可参见安全管理平台侧方法实施例部分的描述，重复之处不再赘述，请参见图4，该装置包括：
121.分析单元401，用于对告警对应的请求报文的载荷进行分析，确定所述请求报文是否为远程命令请求报文；
122.处理单元402，用于若为是，对所述请求报文的载荷进行灭活处理，获得灭活后的远程命令请求报文，并将所述灭活后的远程命令请求报文的载荷发送给所述告警对应目的网络地址的主机的代理设备进行重放验证；其中，所述灭活处理为使所述请求报文的载荷丧失传播性；
123.识别单元403，用于接收所述重放验证的验证结果，根据所述验证结果识别所述告警是否为有效攻击告警。
124.一种可能的实施方式，所述分析单元401还用于：
125.对产生的告警对应的请求报文的载荷进行分析之前，获取入侵防御系统ips设备产生的所述告警对应的所述目的网络地址和所述请求报文的载荷；
126.根据所述目的网络地址，从资产纳管记录和防火墙网络地址转换nat记录中，确定出所述主机。
127.一种可能的实施方式，所述识别单元403用于：
128.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，
129.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击成功，确定所述告警为所述有效攻击告警；
130.当所述验证结果为所述灭活后的远程命令请求报文的载荷重放攻击失败，确定所述告警为所述无效的试探攻击告警。
131.一种可能的实施方式，所述识别单元403还用于：
132.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，
133.当所述验证结果为所述灭活后的远程命令请求报文的载荷对应的访问路径存在，确定所述告警为所述有效攻击告警；否则，确定所述告警为所述无效的试探攻击告警。
134.基于同一发明构思，本发明一实施例中提供一种有效攻击告警识别的装置，应用于代理至少一个主机的代理设备，该装置的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述，重复之处不再赘述，请参见图5，该装置包括：
135.接收单元501，用于接收灭活后的远程命令请求报文的载荷；
136.验证单元502，用于对所述灭活后的远程命令请求报文的载荷进行重放验证，将对应的验证结果发送给安全管理平台，使所述安全管理平台根据所述验证结果识别所述灭活后的远程命令请求报文的载荷对应告警的有效性。
137.一种可能的实施方式，所述验证单元502用于：
138.根据所述灭活后的远程命令请求报文的载荷的类型，选择对应的验证策略进行重放验证，获得所述验证结果。
139.一种可能的实施方式，所述验证单元502还用于：
140.若所述灭活后的远程命令请求报文的载荷为无文件落地的载荷，则从所述灭活后的远程命令请求报文的载荷中获取第一命令；
141.用所述第一命令与预先构建的远程命令注入白名单中的命令逐一进行模糊匹配，获取匹配度最高的命令；
142.用所述匹配度最高的命令进行重放攻击，获得攻击结果；
143.将所述攻击结果作为所述验证结果。
144.一种可能的实施方式，所述验证单元502还用于：
145.若所述灭活后的远程命令请求报文的载荷为有文件落地的载荷，则通过正则匹配，从所述灭活后的远程命令请求报文的载荷中提取落地文件的访问路径；
146.通过验证所述访问路径是否真实存在，确定所述灭活后的远程命令请求报文的载荷是否攻击成功，获得所述验证结果。
147.需要说明的是，本技术实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
148.所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
149.在此需要说明的是，本发明实施例提供的上述装置，能够实现上述方法实施例所实现的所有方法步骤，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
150.基于同一发明构思，本发明一实施例中提供一种安全网络，请参见图6，该安全网络包括：
151.入侵防御系统ips设备601，用于识别包含攻击程序或有害代码及对应的克隆和变种的请求报文，并产生对应的告警；
152.安全管理平台602，与所述ips设备的上报接口连接，用于执行如上所述的安全管理平台侧的有效攻击告警识别方法；该安全管理平台侧的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述，重复之处不再赘述。
153.至少一个代理设备603，用于代理至少一个主机604，并从所述安全管理设备获取灭活后的远程命令请求报文的载荷，执行如上所述的代理设备侧的有效攻击告警识别方法；该代理设备侧的有效攻击告警识别方法的具体实施方式可参见安全管理侧方法实施例部分的描述，重复之处不再赘述。
154.基于同一发明构思，本发明实施例中提供了一种有效攻击告警识别的装置，包括：至少一个处理器，以及
155.与所述至少一个处理器连接的存储器；
156.其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令，执行如上所述的代理设备侧或安全管理平台侧的有效攻击告警识别方法。
157.基于同一发明构思，本发明实施例还提一种可读存储介质，包括：
158.存储器，
159.所述存储器用于存储指令，当所述指令被处理器执行时，使得包括所述可读存储介质的装置完成如上所述的代理设备侧或安全管理平台侧的有效攻击告警识别方法。
160.所述可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括易失性存储器或非易失性存储器，或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的，非易失性存储器可以包括只读存储器(read-only memory，rom)、可编程rom(programmable read-only memory，prom)、电可编程rom(erasable programmable read-only memory，eprom)、电可擦写可编程rom(electrically erasable programmable read only memory，eeprom)或快闪存储器、固态硬盘(solid state disk或solid state drive，ssd)、磁性存储器(例如软盘、硬盘、磁带、磁光盘(magneto-optical disc，mo)等)、光学存储器(例如cd、dvd、bd、hvd等)。易失性存储器可以包括随机存取存储器(random access memory，ram)，该ram可以充当外部高速缓存存储器。作为例子而非限制性的，ram可以以多种形式获得，比如动态ram(dynamic random access memory，dram)、同步dram(synchronous dynamic random-access memory，sdram)、双数据速率sdram(double data rate sdram，ddr sdram)、增强sdram(enhanced synchronous dram，esdram)、同步链路dram(sync link dram，sldram)。所公开的各方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
161.本领域内的技术人员应明白，本发明实施例可提供为方法、系统、或程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机/处理器可用程序代码的可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的机程序产品的形式。
162.本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
163.这些程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的可读存储器中，使得存储在该可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
164.这些程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机/处理器实现的处理，从而在计算机/处理器或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或
方框图一个方框或多个方框中指定的功能的步骤。
165.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。