[发明专利]基于网络信息分析结果的判定方法及装置

说明书

本发明公开了一种基于网络信息分析结果的判定方法及装置，响应于用户访问网络设备，获得所述网络设备对所述用户的响应，并基于所述响应生成判断请求；基于所述判断请求，生成查询请求；基于所述查询请求在目标存储数据库中获得目标信息；对所述目标信息进行处理，获得所述用户的请求在不同执行体的反馈信息，并依据所述反馈信息得到判定结果。本发明通过比较用户在不同执行体上产生的网络信息，检测出针对网络装置的攻击或违反网络装置安全策略的行为，降低传统拟态防御技术应用的误报率，提升了网络装置的安全性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于网络信息分析结果的判定方法及装置。

背景技术

近年来，网络装置的应用涉及人们生活、工作的各个领域，网络装置为人们带来便利的同时，也带来了网络安全问题。当前的网络装置设备，由于存在一定的漏洞，给攻击者提供了攻击环境。攻击者利用网络设备漏洞进行网络后门上传、网络信息窃取、网络信息篡改、网络环境破坏等非法操作。

不同种类但功能相同的网络软硬件设备，如Windows与Linux操作装置，可利用的漏洞不相同。传统的拟态防御技术利用同种功能的设备内部机构不同，构造多个执行体环境，比较用户请求在不同执行体上的反馈结果，从而发现攻击者对某一特定特备的攻击。然而传统拟态防御技术比较执行体的执行结果，难以屏蔽在执行体运行过程中装置本身差异与性能原因带来的错误告警信息，而且目前的拟态防疫技术仅对用户请求的响应包进行判断，难以发现非直接请求的攻击，也难以对攻击行为进行溯源排查，从而降低了网络装置的安全性。

发明内容

针对于上述问题，本发明提供一种基于网络信息分析结果的判定方法及装置，降低传统拟态防御技术应用的误报率，提升了网络装置的安全性。

为了实现上述目的，本发明提供了如下技术方案：

一种基于网络信息分析结果的判定方法，包括：

响应于用户访问网络设备，获得所述网络设备对所述用户的响应，并基于所述响应生成判断请求；

基于所述判断请求，生成查询请求；

基于所述查询请求在目标存储数据库中获得目标信息，所述目标信息表征访问网络设备的用户在不同执行体产生的网络信息，所述执行体为能为拟态装置提供实际功能的服务载体；

对所述目标信息进行处理，获得所述用户的请求在不同执行体的反馈信息，并依据所述反馈信息得到判定结果。

可选地，所述方法还包括：

依据用户在不同执行主体产生的信息，生成目标存储数据库，包括：

获取用户请求在不同执行体中产生的网络信息；

对所述网络信息进行聚合，得到聚合后的信息；

将所述聚合后的信息存储至目标存储数据库。

可选地，所述方法还包括：

基于所述判定结果，生成与访问所述网络设备的用户相匹配的响应信息，所述响应信息包括对所述用户访问所述网络设备的访问请求的拦截信息或者告警信息。

可选地，所述对所述网络信息进行聚合，得到聚合后的信息，包括：

对所述网络信息进行进行分类，得到分类后的信息，所述分类包括区分网络响应的状态码，区分装置本身的性能问题以及用户操作带来的问题；

对分类后的信息进行聚合，得到聚合后的信息。

可选地，所述方法还包括：

根据配置信息，对所述判定结果进行分级，得到分级信息，所述分级信息表征响应威胁的来源。

一种基于网络信息分析结果的判定装置，包括：