欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

入侵檢測方法、檢測規(guī)則生成方法、裝置及系統(tǒng)與流程

文檔序號:12917419閱讀:404來源:國知局
入侵檢測方法、檢測規(guī)則生成方法、裝置及系統(tǒng)與流程

本申請涉及網(wǎng)絡(luò)安全技術(shù),具體涉及一種入侵檢測方法及裝置。本申請同時涉及一種檢測規(guī)則生成方法及裝置,一種入侵檢測系統(tǒng),以及另一種入侵檢測方法。



背景技術(shù):

隨著計算機和互聯(lián)網(wǎng)技術(shù)的發(fā)展,企業(yè)網(wǎng)、校園網(wǎng)、社區(qū)網(wǎng)等具有特定邊界的內(nèi)部網(wǎng)絡(luò)不僅實現(xiàn)了內(nèi)部設(shè)備的互連與資源共享、而且還可以通過路由器等設(shè)備訪問外部網(wǎng)絡(luò),例如:訪問internet網(wǎng)絡(luò)提供的各種資源或服務(wù)。由于存在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信,為了保證安全性,內(nèi)部網(wǎng)絡(luò)通常都會采用網(wǎng)絡(luò)安全檢測類產(chǎn)品。

以企業(yè)網(wǎng)絡(luò)為例,目前企業(yè)網(wǎng)絡(luò)通常采用的安全檢測類產(chǎn)品有:ids(instrusiondetectionsystems—入侵檢測系統(tǒng))、病毒墻、ngfw(nextgenerationfirewall—下一代防火墻)、以及apt檢測(advancedpersistentthreat—高級持續(xù)性威脅檢測)等新型攻擊檢測類產(chǎn)品。這些網(wǎng)絡(luò)安全檢測類產(chǎn)品基本都針對單一維度的攻擊進行檢測,例如,對文件進行靜態(tài)掃描檢測以確定是否為惡意文件等,并在檢測到惡意文件時產(chǎn)生攻擊告警,供網(wǎng)絡(luò)安全運營人員參考并進行相應(yīng)的處置。

在實際應(yīng)用過程中,上述安全檢測技術(shù)通常都會產(chǎn)生大量的告警,網(wǎng)絡(luò)安全運營人員需要從大量的告警中排除誤報,找到真正的攻擊,再找到攻擊關(guān)聯(lián)的受害設(shè)備進行處置。然而由于告警數(shù)量巨大,網(wǎng)絡(luò)安全運營人員通常無法逐一聯(lián)系告警對應(yīng)的每臺設(shè)備的使用者進行確認分析,因此通常無法知曉告警涉及的惡意文件是否入侵成功(即:在內(nèi)部網(wǎng)絡(luò)設(shè)備中被打開或執(zhí)行)、以及具體的受害設(shè)備。在這種情況下,網(wǎng)絡(luò)安全運營人員自然也就無法作出及時有效的處理,例如:隔離受害設(shè)備、采取相應(yīng)的網(wǎng)絡(luò)攔截措施等,從而導(dǎo)致目前的企業(yè)網(wǎng)絡(luò)安全產(chǎn)品難以運維及難以產(chǎn)生真正價值。



技術(shù)實現(xiàn)要素:

本申請實施例提供一種入侵檢測方法和裝置,以解決現(xiàn)有的安全檢測技術(shù)無法確認特定類型文件入侵成功以及確認相應(yīng)受害設(shè)備的問題。本申請實施例還提供一種檢測規(guī)則生成方法和裝置,一種入侵檢測系統(tǒng),以及另一種入侵檢測方法和裝置。

本申請?zhí)峁┮环N入侵檢測方法,包括:

獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文;

若所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功;

其中,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,是根據(jù)特定類型外部網(wǎng)絡(luò)地址信息預(yù)先生成的。

可選的,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則包括:根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的特定類型文件提取的特定類型外部網(wǎng)絡(luò)地址信息生成的規(guī)則。

可選的,若所述匹配成功的規(guī)則,是根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的特定類型文件提取的特定類型外部網(wǎng)絡(luò)地址信息生成的,所述確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功,包括:

確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被具體的特定類型文件入侵成功,所述具體的特定類型文件為用于生成所述匹配成功的規(guī)則的特定類型文件。

可選的,在確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功之后,包括:

若通過獲取并解析向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文,檢測到與所述匹配成功的規(guī)則包含的特定類型外部網(wǎng)絡(luò)地址信息相關(guān)聯(lián)的新地址信息,則執(zhí)行下述操作:

當所述新地址信息中存在與預(yù)設(shè)白名單庫不符的地址信息時,根據(jù)所述與預(yù)設(shè)白名單庫不符的地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則,并添加到所述網(wǎng)絡(luò)報文檢測規(guī)則集合中。

可選的,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則包括:根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的特定類型文件提取的特定類型外部網(wǎng)絡(luò)地址信息生成的規(guī)則;

當所述新地址信息中存在與預(yù)設(shè)白名單庫不符的地址信息時,還包括:

將所述與預(yù)設(shè)白名單庫不符的地址信息添加到連接控制信息庫中。

可選的,當所述匹配成功的規(guī)則包含的特定類型外部網(wǎng)絡(luò)地址信息為url地址信息時,所述新地址信息包括:從所述url地址重定向到的新url地址信息。

可選的,所述確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功,采用如下方式實現(xiàn):

輸出至少包含發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備信息的受害確認告警信息。

可選的,所述受害確認告警信息的內(nèi)容還包含:使用所述設(shè)備的用戶信息;所述用戶信息包括:用戶標識或者姓名。

可選的,所述發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功,包括:特定類型文件在發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備中被打開或者執(zhí)行。

可選的,所述內(nèi)部網(wǎng)絡(luò)包括:企業(yè)網(wǎng)、社區(qū)網(wǎng)、或者校園網(wǎng);所述外部網(wǎng)絡(luò)包括:因特網(wǎng)。

可選的,所述特定類型文件包括:惡意文件;所述特定類型外部網(wǎng)絡(luò)地址信息包括:惡意外部網(wǎng)絡(luò)地址信息。

相應(yīng)的,本申請還提供一種入侵檢測裝置,包括:

向外發(fā)送報文獲取單元,用于獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文;

入侵成功確認單元,用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功;其中,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,是根據(jù)特定類型外部網(wǎng)絡(luò)地址信息預(yù)先生成的。

可選的,所述入侵成功確認單元采用的網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則包括:根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的特定類型文件提取的特定類型外部網(wǎng)絡(luò)地址信息生成的規(guī)則。

可選的,所述入侵成功確認單元,具體用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,若所述匹配成功的規(guī)則,是根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的特定類型文件提取的特定類型外部網(wǎng)絡(luò)地址信息生成的,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被具體的特定類型文件入侵成功,所述具體的特定類型文件為用于生成所述匹配成功的規(guī)則的特定類型文件。

可選的,所述裝置還包括:

關(guān)聯(lián)地址檢測單元,用于當所述入侵成功確認單元確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功之后,通過獲取并解析向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文,檢測是否存在與所述匹配成功的規(guī)則包含的特定類型外部網(wǎng)絡(luò)地址信息相關(guān)聯(lián)的新地址信息;

關(guān)聯(lián)地址判斷單元,用于當所述關(guān)聯(lián)地址檢測單元的輸出為是時,判斷所述新地址信息中是否存在與預(yù)設(shè)白名單庫不符的地址信息;

檢測規(guī)則添加單元,用于當所述關(guān)聯(lián)地址判斷單元的輸出為是時,根據(jù)所述與預(yù)設(shè)白名單庫不符的地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則,并添加到所述網(wǎng)絡(luò)報文檢測規(guī)則集合中。

可選的,所述裝置還包括:

關(guān)聯(lián)地址添加單元,用于當所述關(guān)聯(lián)地址判斷單元的輸出為是時,將所述與預(yù)設(shè)白名單庫不符的地址信息添加到連接控制信息庫中。

可選的,所述入侵成功確認單元,具體用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,輸出至少包含發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備信息的受害確認告警信息。

此外,本申請還提供一種檢測規(guī)則生成方法,包括:

獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件;

采用預(yù)設(shè)方式檢測所述文件是否為特定類型文件;

若是,從所述文件提取特定類型外部網(wǎng)絡(luò)地址信息,并根據(jù)所述特定類型外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則。

可選的,所述獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,包括:

獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文、并將獲取的網(wǎng)絡(luò)報文還原為文件;或者,

通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

可選的,所述通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,包括:通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

可選的,所述采用預(yù)設(shè)方式檢測所述文件是否為特定類型文件,包括:利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件。

可選的,所述采用預(yù)設(shè)方式檢測所述文件是否為特定類型文件,包括:

利用靜態(tài)檢測技術(shù)判斷所述文件是否為疑似特定類型文件;

若是,利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件。

可選的,所述利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件,包括:

在沙盒虛擬機中打開所述文件;

記錄所述文件被打開后的主機行為數(shù)據(jù);

當所述主機行為數(shù)據(jù)與預(yù)設(shè)的任一特定類型文件判定規(guī)則相符時,判定所述文件為特定類型文件。

可選的,所述利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件,包括:

在沙盒虛擬機中打開所述文件;

記錄所述文件被打開后的網(wǎng)絡(luò)行為數(shù)據(jù);

當所述網(wǎng)絡(luò)行為數(shù)據(jù)與連接控制信息庫中存儲的任一外部網(wǎng)絡(luò)地址信息相符時,判定所述文件為特定類型文件。

可選的,在所述從所述文件提取特定類型外部網(wǎng)絡(luò)地址信息之后,還包括:

將所述特定類型外部網(wǎng)絡(luò)地址信息添加到連接控制信息庫中。

可選的,所述從所述文件提取特定類型外部網(wǎng)絡(luò)地址信息,包括:

從在沙盒虛擬機中打開所述文件后記錄的網(wǎng)絡(luò)行為數(shù)據(jù)中,提取所述文件連接的外部網(wǎng)絡(luò)地址信息;

通過利用預(yù)設(shè)白名單庫進行過濾的方式,從所述外部網(wǎng)絡(luò)地址信息中提取特定類型外部網(wǎng)絡(luò)地址信息。

可選的,當所述采用預(yù)設(shè)方式檢測所述文件是否為特定類型文件的結(jié)果為是時,還包括:輸出至少包含所述文件名稱的攻擊告警信息。

可選的,所述地址信息包括:url地址信息、和/或ip地址信息。

可選的,所述特定類型文件包括:惡意文件;所述特定類型外部網(wǎng)絡(luò)地址信息包括:惡意外部網(wǎng)絡(luò)地址信息。

相應(yīng)的,本申請還提供一種檢測規(guī)則生成裝置,包括:

向內(nèi)發(fā)送文件獲取單元,用于獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件;

特定類型文件檢測單元,用于采用預(yù)設(shè)方式檢測所述文件是否為特定類型文件;

報文檢測規(guī)則生成單元,用于當所述特定類型文件檢測單元的輸出為是時,從所述文件提取特定類型外部網(wǎng)絡(luò)地址信息,并根據(jù)所述特定類型外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則;

所述報文檢測規(guī)則生成單元包括:

特定類型地址提取子單元,用于當所述特定類型文件檢測單元的輸出為是時,從所述文件提取特定類型外部網(wǎng)絡(luò)地址信息;

檢測規(guī)則生成執(zhí)行子單元,用于根據(jù)所述特定類型外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則。

可選的,所述向內(nèi)發(fā)送文件獲取單元,具體用于獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文、并將獲取的網(wǎng)絡(luò)報文還原為文件,或者,通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

可選的,所述特定類型文件檢測單元,具體用于利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件。

可選的,所述特定類型文件檢測單元,包括:

靜態(tài)檢測子單元,用于利用靜態(tài)檢測技術(shù)判斷所述文件是否為疑似特定類型文件;

虛擬執(zhí)行檢測子單元,用于當所述靜態(tài)檢測子單元的輸出為是時,利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為特定類型文件。

可選的,所述特定類型文件檢測單元或者所述虛擬執(zhí)行檢測子單元,包括:

文件打開子單元,用于在沙盒虛擬機中打開所述文件;

主機行為記錄子單元,用于記錄所述文件被打開后的主機行為數(shù)據(jù);

第一特定類型文件判定子單元,用于當所述主機行為數(shù)據(jù)與預(yù)設(shè)的任一特定類型文件判定規(guī)則相符時,判定所述文件為特定類型文件。

可選的,所述特定類型文件檢測單元或者所述虛擬執(zhí)行檢測子單元,包括:

文件打開子單元,用于在沙盒虛擬機中打開所述文件;

網(wǎng)絡(luò)行為記錄子單元,用于記錄所述文件被打開后的網(wǎng)絡(luò)行為數(shù)據(jù);

第二特定類型文件判定子單元,用于當所述網(wǎng)絡(luò)行為數(shù)據(jù)與連接控制信息 庫中存儲的任一外部網(wǎng)絡(luò)地址信息相符時,判定所述文件為特定類型文件。

可選的,所述報文檢測規(guī)則生成單元還包括:

信息庫添加子單元,用于當特定類型地址提取子單元提取特定類型外部網(wǎng)絡(luò)地址信息后,將所述特定類型外部網(wǎng)絡(luò)地址信息添加到連接控制信息庫中。

可選的,所述特定類型地址提取子單元,包括:

外部網(wǎng)絡(luò)地址提取子單元,用于從在沙盒虛擬機中打開所述文件后記錄的網(wǎng)絡(luò)行為數(shù)據(jù)中,提取所述文件連接的外部網(wǎng)絡(luò)地址信息;

白名單過濾子單元,用于通過利用預(yù)設(shè)白名單庫進行過濾的方式,從所述外部網(wǎng)絡(luò)地址信息中提取特定類型外部網(wǎng)絡(luò)地址信息。

可選的,所述裝置還包括:

攻擊告警輸出單元,用于當所述特定類型文件檢測單元的輸出為是時,輸出至少包含所述文件名稱的攻擊告警信息。

此外,本申請還提供一種入侵檢測系統(tǒng),包括:根據(jù)上述任意一項所述的入侵檢測裝置,和根據(jù)上述任意一項所述的檢測規(guī)則生成裝置。

此外,本申請還提供一種入侵檢測方法,包括:

獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文;

若所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功。

與現(xiàn)有技術(shù)相比,本申請具有以下優(yōu)點:

本申請?zhí)峁┑娜肭謾z測方法,獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文;若所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被特定類型文件入侵成功;其中,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,是根據(jù)特定類型外部網(wǎng)絡(luò)地址信息預(yù)先生成的。

上述方法,利用了根據(jù)特定類型外部網(wǎng)絡(luò)地址信息預(yù)先生成的網(wǎng)絡(luò)報文檢測規(guī)則,若向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文與已生成的任一網(wǎng)絡(luò)報文檢測規(guī)則匹配成功,即可確認特定類型文件已成功入侵內(nèi)部網(wǎng)絡(luò)、并確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備即為受害設(shè)備,從而便于網(wǎng)絡(luò)安全運維人員針對受害設(shè)備進行快速、有效的處置,簡化內(nèi)部網(wǎng)絡(luò)安全運維的復(fù)雜度,為提高內(nèi)部網(wǎng)絡(luò)的安全性提供保 障。

附圖說明

圖1是本申請的一種檢測規(guī)則生成方法的實施例的流程圖;

圖2是本申請實施例提供的基于主機行為檢測惡意文件的處理流程圖;

圖3是本申請實施例提供的基于網(wǎng)絡(luò)行為檢測惡意文件的處理流程圖;

圖4是本申請實施例提供的從文件提取惡意外部網(wǎng)絡(luò)地址信息,并根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則的處理流程圖;

圖5是本申請的一種檢測規(guī)則生成裝置的實施例的示意圖;

圖6是本申請的一種入侵檢測方法的實施例的流程圖;

圖7是本申請的一種入侵檢測裝置的實施例的示意圖;

圖8是本申請的一種入侵檢測系統(tǒng)的實施例的示意圖;

圖9是本申請實施例提供的入侵檢測系統(tǒng)的處理流程示意圖;

圖10是本申請的另一種入侵檢測方法的實施例的示意圖。

具體實施方式

在下面的描述中闡述了很多具體細節(jié)以便于充分理解本申請。但是,本申請能夠以很多不同于在此描述的其它方式來實施,本領(lǐng)域技術(shù)人員可以在不違背本申請內(nèi)涵的情況下做類似推廣,因此,本申請不受下面公開的具體實施的限制。

在本申請中,分別提供了一種入侵檢測方法及裝置,一種檢測規(guī)則生成方法及裝置,一種入侵檢測系統(tǒng),以及另一種入侵檢測方法。在下面的實施例中逐一進行詳細說明。在對實施例進行描述之前,先對本申請的技術(shù)方案作簡要說明。

在本申請的技術(shù)方案中,內(nèi)部網(wǎng)絡(luò)是指,具有特定邊界的內(nèi)部專用網(wǎng)絡(luò),不僅實現(xiàn)了內(nèi)部設(shè)備的互連與資源共享、而且還可以通過路由器等設(shè)備訪問包括因特網(wǎng)在內(nèi)的其他網(wǎng)絡(luò),所述內(nèi)部網(wǎng)絡(luò)包括:企業(yè)網(wǎng)、校園網(wǎng)、社區(qū)網(wǎng)等;外部網(wǎng)絡(luò)是相對內(nèi)部網(wǎng)絡(luò)而言、和內(nèi)部網(wǎng)絡(luò)產(chǎn)生通信的其他網(wǎng)絡(luò);網(wǎng)絡(luò)報文是 指,在網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元;入侵是指,在非授權(quán)的情況下,試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠、不可用的故意行為;網(wǎng)絡(luò)報文檢測規(guī)則是指,對滿足特定條件的網(wǎng)絡(luò)報文或者特定類型文件進行特征分析與提取所產(chǎn)生的、用于進行入侵檢測的報文匹配規(guī)則。

在本申請的技術(shù)方案中,特定類型文件可以是惡意文件,也可以是預(yù)先設(shè)定的其它類型的文件;特定類型外部網(wǎng)絡(luò)地址信息可以是惡意外部網(wǎng)絡(luò)地址信息,也可以是預(yù)先設(shè)定的其它類型的外部網(wǎng)絡(luò)地址信息。其中,所述惡意文件是指,在計算機等設(shè)備中執(zhí)行惡意任務(wù)的文件,所述惡意任務(wù)包括:竊取計算機中的資料、破壞計算中的文件、或者對計算機實施遠程控制等;所述惡意外部網(wǎng)絡(luò)地址信息是指,惡意文件在執(zhí)行惡意任務(wù)時所連接的、與白名單庫不相符的外部網(wǎng)絡(luò)地址信息。

為了便于理解,在本說明書的以下文字以及提供的實施例中,以特定類型文件為惡意文件、特定類型外部網(wǎng)絡(luò)地址信息為惡意外部網(wǎng)絡(luò)地址信息為例,對本申請技術(shù)方案的實施方式進行說明。

現(xiàn)有技術(shù)提供的企業(yè)網(wǎng)安全檢測方法,基本都針對單一維度的攻擊進行檢測,例如,對網(wǎng)絡(luò)中傳輸?shù)奈募M行靜態(tài)掃描檢測以確定是否為惡意文件等,并在檢測到惡意文件時產(chǎn)生攻擊告警,供網(wǎng)絡(luò)安全運營人員參考并進行相應(yīng)的處置。由此可見,現(xiàn)有技術(shù)只能檢測惡意文件可能存在的攻擊,但是不能確認惡意文件入侵成功以及具體入侵的受害設(shè)備,導(dǎo)致網(wǎng)絡(luò)安全運營人員無法針對海量的攻擊告警做出及時有效的處理,企業(yè)網(wǎng)內(nèi)部的安全性無法得到有效的保障。

針對上述問題,本申請發(fā)明人提出了可以確認惡意文件入侵成功的入侵檢測方法、以及檢測規(guī)則生成方法。其中,檢測規(guī)則生成方法,對于發(fā)送給內(nèi)部網(wǎng)絡(luò)的、被檢測確定的惡意文件,根據(jù)從所述文件提取的惡意外部網(wǎng)絡(luò)地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則;入侵檢測方法,則將獲取到的、從內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文與已經(jīng)生成的網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則進行匹配,若任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。

本申請?zhí)峁┑纳鲜鰞蓚€方法可以在企業(yè)網(wǎng)內(nèi)部相互配合實施,一方面在檢測到內(nèi)部網(wǎng)絡(luò)惡意文件攻擊的基礎(chǔ)上,用從惡意文件提取的惡意外部網(wǎng)絡(luò)地址 信息生成網(wǎng)絡(luò)報文檢測規(guī)則,另一方面,利用已生成的網(wǎng)絡(luò)報文檢測規(guī)則與向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文進行匹配,若匹配成功,說明發(fā)送所述網(wǎng)絡(luò)報文的內(nèi)部網(wǎng)絡(luò)中的設(shè)備已經(jīng)打開或者執(zhí)行了惡意文件,因此該設(shè)備才會發(fā)出與檢測規(guī)則相匹配的網(wǎng)絡(luò)報文,從而可以確認該設(shè)備已經(jīng)被惡意文件入侵成功。

由此可見,本申請?zhí)峁┑纳鲜鰞蓚€方法相互配合,形成了從攻擊檢測到受害確認的閉環(huán)檢測機制,能夠清晰地報告出惡意文件在企業(yè)網(wǎng)內(nèi)部入侵成功并確定具體的受害設(shè)備,從而網(wǎng)絡(luò)安全運維人員可以真正地進行有效的處置。

需要說明的是,上面關(guān)于技術(shù)方案的介紹雖然是以企業(yè)網(wǎng)為背景進行說明的,但是本申請?zhí)峁┑募夹g(shù)方案的應(yīng)用場景并不局限于企業(yè)網(wǎng),也可以應(yīng)用于其他具有特定邊界、并且通過路由器等設(shè)備訪問外部網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)中,例如:校園網(wǎng)、社區(qū)網(wǎng)等。

下面對本申請?zhí)峁┑母鱾€實施例進行描述。為了便于理解,先描述本申請?zhí)峁┑臋z測規(guī)則生成方法的實施例。

請參考圖1,其為本申請的一種檢測規(guī)則生成方法的實施例的流程圖,所述方法包括如下步驟:

步驟101、獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

本步驟所述的文件通常是指可以通過應(yīng)用程序打開或者執(zhí)行的文件,例如:可執(zhí)行文件、word文件或者圖片文件等。本步驟可以采用不同的方式獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,此處列舉兩種:

(一)獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文,并將獲取的網(wǎng)絡(luò)報文還原為文件。

通常在網(wǎng)絡(luò)中傳輸文件之前,會根據(jù)采用的網(wǎng)絡(luò)協(xié)議將文件封裝為網(wǎng)絡(luò)報文、或者先拆分成若干個特定大小的數(shù)據(jù)塊然后再分別封裝成網(wǎng)絡(luò)報文,因此本步驟可以獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文,并通過執(zhí)行必要的解封裝、組合、和/或校驗等操作,將一個或者多個網(wǎng)絡(luò)報文還原為一個完整的文件。在具體實施時,可以在網(wǎng)絡(luò)報文進入內(nèi)部網(wǎng)絡(luò)的入口處通過監(jiān)聽或者鏡像的方式捕獲由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文,然后將捕獲的網(wǎng)絡(luò)報文還原為文件。

(二)通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

在實際應(yīng)用中,大量的發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件通常會先發(fā)送到內(nèi)部網(wǎng)絡(luò)的 應(yīng)用服務(wù)器中(如:郵件服務(wù)器、或者其他用于工作通訊的服務(wù)器等),然后再由應(yīng)用服務(wù)器提供給內(nèi)部網(wǎng)絡(luò)中的相應(yīng)客戶端。因此本步驟可以通過應(yīng)用服務(wù)器開放的接口從應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,例如:從郵件服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的郵件,并從郵件中提取作為附件的文件。

在實際應(yīng)用中,發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件可以包括:內(nèi)部網(wǎng)絡(luò)自身發(fā)送的文件以及外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,而由于惡意文件的來源通常是外部網(wǎng)絡(luò),因此可以通過對文件來源的篩選僅獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

步驟102、采用預(yù)設(shè)方式檢測所述文件是否為惡意文件,若是,執(zhí)行步驟103,否則結(jié)束本方法的執(zhí)行。

本步驟的主要任務(wù)是檢測步驟101獲取的文件是否為惡意文件,在本實施例中利用沙盒虛擬執(zhí)行技術(shù)進行檢測。

所謂沙盒虛擬執(zhí)行技術(shù)通常是指,通過創(chuàng)造一個隔離環(huán)境(也稱沙盒虛擬機或虛擬容器),讓來源不可信、具備破壞力或無法判定意圖的文件或者程序在該隔離環(huán)境中打開運行,從而可以根據(jù)其運行行為判斷其是否存在安全隱患。當程序運行完畢后,可以通過回滾機制恢復(fù)系統(tǒng)的正常狀態(tài)。

本步驟利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為惡意文件,具體可以采用兩種方式:基于主機行為檢測,或者基于網(wǎng)絡(luò)行為檢測。下面分別進行說明。

(一)基于主機行為檢測。請參考圖2,其為基于主機行為檢測惡意文件的處理流程圖,包括以下子步驟102-1-1至102-1-3:

步驟102-1-1、在沙盒虛擬機中打開所述文件。

步驟102-1-2、記錄所述文件被打開后的主機行為數(shù)據(jù)。

如果所述文件為不可執(zhí)行文件(例如:doc文檔)、但是內(nèi)嵌了其他可執(zhí)行代碼,或者所述文件為可執(zhí)行文件,那么在沙盒虛擬機中打開所述文件后,所述文件就會產(chǎn)生主機行為,本步驟記錄相應(yīng)的主機行為數(shù)據(jù),例如:對文件的操作,對注冊表的修改、以及與進程相關(guān)的操作等。

步驟102-1-3、當所述主機行為數(shù)據(jù)與預(yù)設(shè)的任一惡意文件判定規(guī)則相符時,判定所述文件為惡意文件。

本步驟可以將記錄的主機行為數(shù)據(jù)與預(yù)設(shè)的惡意文件判定規(guī)則逐一進行比對,若主機行為數(shù)據(jù)與其中任一規(guī)則相符,則判定所述文件為惡意文件。例如,在預(yù)設(shè)的多條惡意文件判定規(guī)則中,其中一條為:“doc文檔通過后臺連接url 自動下載exe文件、并自動化執(zhí)行該文件”,如果步驟102-1-2記錄的主機行為數(shù)據(jù)與該規(guī)則相符,即命中該規(guī)則,則可以認為所述文件為惡意文件。

(二)基于網(wǎng)絡(luò)行為檢測。請參考圖3,其為基于網(wǎng)絡(luò)行為檢測惡意文件的處理流程圖,包括以下子步驟102-2-1至102-2-3:

步驟102-2-1、在沙盒虛擬機中打開所述文件。

步驟102-2-2、記錄所述文件被打開后的網(wǎng)絡(luò)行為數(shù)據(jù)。

如果所述文件在沙盒虛擬機中被打開后,通過網(wǎng)絡(luò)端口執(zhí)行了網(wǎng)絡(luò)行為,例如:訪問外部網(wǎng)絡(luò)的某個url地址,或者從外部網(wǎng)絡(luò)的某個ip地址處獲取了可執(zhí)行文件,本步驟可以記錄相應(yīng)的網(wǎng)絡(luò)行為數(shù)據(jù)。

步驟102-2-3、當所述網(wǎng)絡(luò)行為數(shù)據(jù)與連接控制信息庫中存儲的任一外部網(wǎng)絡(luò)地址信息相符時,判定所述文件為惡意文件。

在具體實施時,可以預(yù)先生成連接控制信息庫,用于存儲已檢測出的外部網(wǎng)絡(luò)中的惡意地址信息,由于這些惡意地址通常用于進行遠程連接控制等惡意用途,因此也可以稱為惡意c&c(connect&control)信息,相應(yīng)的,用于存儲惡意c&c信息的連接控制信息庫可以稱為惡意c&c庫,該庫中存儲的惡意c&c信息可以為url地址信息,也可以為ip地址信息。

本步驟可以從已記錄的網(wǎng)絡(luò)行為數(shù)據(jù)中提取所述文件與外部網(wǎng)絡(luò)連接的地址信息,例如:url地址信息或者ip地址信息,然后將這些地址信息與惡意c&c庫中存儲的惡意c&c信息進行比對,若與其中任一惡意c&c信息相符,則說明所述文件存在連接惡意c&c庫中地址的網(wǎng)絡(luò)通信行為,因此可以判定所述文件是惡意的。利用惡意c&c庫,能夠更為準確、高效地檢測出惡意文件。

以上對于利用沙盒虛擬執(zhí)行技術(shù)檢測惡意文件的兩種方式進行了說明。在具體實施時,可以根據(jù)需要采用其中任一種方式,也可以將兩種方式結(jié)合執(zhí)行,以提高對惡意文件的檢測效果。例如:可以在沙盒虛擬機中打開所述文件后,對主機行為和網(wǎng)絡(luò)行為都進行記錄,然后依次根據(jù)網(wǎng)絡(luò)行為、主機行為進行檢測,其中只要有一種方式的檢測結(jié)果為惡意,則判定所述文件為惡意。

此外,在具體實施時,通常會采用本方法對大量的文件進行檢測,為了降低沙盒的負荷、保障其執(zhí)行效率,也可以采用以下方式對步驟101獲取的文件進行檢測:利用靜態(tài)檢測技術(shù)判斷所述文件是否為疑似惡意文件;若是疑似惡意文件,再采用沙盒虛擬執(zhí)行技術(shù)進一步檢測確定所述文件是否為惡意。

例如,可以選用一款或者多款靜態(tài)殺毒引擎、或者選用其他靜態(tài)檢測引擎對所述文件進行掃描,如果發(fā)現(xiàn)所述文件中存在預(yù)設(shè)的病毒特征碼,或者存在其他預(yù)設(shè)信息,則可以初步判定所述文件為疑似惡意文件,隨后再采用沙盒虛擬執(zhí)行技術(shù)進一步檢測確定是否為惡意文件。采用這種實施方式,對于存在大量待檢測文件的應(yīng)用場景下,可以將有限的動態(tài)檢測資源更為有效地利用起來,提高整體的檢測效率。

至此,本實施例描述了利用沙盒虛擬執(zhí)行技術(shù)、或者將靜態(tài)檢測技術(shù)與沙盒虛擬執(zhí)行相結(jié)合,來檢測所述文件是否為惡意文件的實施方式,在具體實施時,也可以采用不同于上面描述的其他技術(shù)或者實施方式進行檢測,也都是可以的。

如果本步驟檢測出所述文件為惡意文件,那么不僅可以轉(zhuǎn)到步驟103繼續(xù)執(zhí)行,而且還可以輸出攻擊告警信息,告知網(wǎng)絡(luò)安全運維人員當前已經(jīng)檢測到了具有攻擊意圖的惡意文件、為后續(xù)的告警或者處理提供參考信息。所述攻擊告警信息中至少包含所述文件的文件名稱,還可以包含所述文件的來源信息(例如:內(nèi)部郵件服務(wù)器)、或者所述文件的發(fā)送方、接收方的相關(guān)信息等。如果本步驟未檢測出所述文件為惡意,則可以結(jié)束本方法的執(zhí)行。

步驟103、從所述文件提取惡意外部網(wǎng)絡(luò)地址信息,并根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則。

本步驟可以采用不同的方式從所述文件提取惡意外部網(wǎng)絡(luò)地址信息,例如:可以采用靜態(tài)掃描的方式從所述文件內(nèi)容中提取外部網(wǎng)絡(luò)地址信息,然后采用白名單庫進行過濾;也可以通過沙盒虛擬執(zhí)行的方式提取外部網(wǎng)絡(luò)地址信息,并采用白名單庫進行過濾。其中,第二種實施方式更為準確,因此本實施例重點描述第二種實施方式。請參見圖4,其為本實施例提供的從文件提取的惡意外部網(wǎng)絡(luò)地址信息,并根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則的處理流程圖,該處理過程包括步驟103-1至103-3。

步驟103-1、從在沙盒虛擬機中打開所述文件后記錄的網(wǎng)絡(luò)行為數(shù)據(jù)中,提取所述文件連接的外部網(wǎng)絡(luò)地址信息。

可以在沙盒虛擬機中打開所述文件,然后記錄打開所述文件后的網(wǎng)絡(luò)行為數(shù)據(jù),如果在步驟102中采用的是沙盒虛擬執(zhí)行技術(shù)進行的惡意文件檢測,并且已經(jīng)記錄了網(wǎng)絡(luò)行為數(shù)據(jù),那么本步驟不必再次在沙盒中虛擬執(zhí)行,可以直 接使用已記錄的網(wǎng)絡(luò)行為數(shù)據(jù)。從網(wǎng)絡(luò)行為數(shù)據(jù)中提取所述文件連接的外部網(wǎng)絡(luò)地址信息,即提取所述文件所訪問的外部網(wǎng)絡(luò)地址信息,例如:url地址或者ip地址。

步驟103-2、通過利用預(yù)設(shè)白名單庫進行過濾的方式,從所述外部網(wǎng)絡(luò)地址信息中提取惡意外部網(wǎng)絡(luò)地址信息。

所述白名單庫中存儲的是預(yù)先確定為安全的外部網(wǎng)絡(luò)地址信息,可以是url地址信息,也可以是ip地址信息。本步驟可以將獲取的外部網(wǎng)絡(luò)地址信息與預(yù)設(shè)白名單庫中的外部網(wǎng)絡(luò)地址信息進行匹配,如果獲取的外部網(wǎng)絡(luò)地址信息中存在與白名單庫不符的地址信息,則可以認為這部分地址信息為惡意外部網(wǎng)絡(luò)地址信息。

步驟103-3、根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則。

例如:惡意外部網(wǎng)絡(luò)地址信息為url地址:http://examplexxx.com/,那么可以生成如下所示的網(wǎng)絡(luò)報文檢測規(guī)則:“http報文頭部包含字符串http://examplexxx.com/”;再如,惡意外部網(wǎng)絡(luò)地址信息為ip地址:220.181.111.222,那么可以生成如下所示的網(wǎng)絡(luò)報文檢測規(guī)則:“目的ip地址為220.181.111.222”。需要說明的是,此處給出的是兩個示意性的例子,在具體實施時可以根據(jù)實際獲取的惡意外部網(wǎng)絡(luò)地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則。

生成網(wǎng)絡(luò)報文檢測規(guī)則后,可以將生成的規(guī)則添加到網(wǎng)絡(luò)報文檢測規(guī)則集合中,在具體實施時,所述網(wǎng)絡(luò)報文檢測規(guī)則集合可以存儲在數(shù)據(jù)庫中,即:網(wǎng)絡(luò)報文檢測規(guī)則庫,實施了本申請?zhí)峁┑娜肭謾z測方法的系統(tǒng)或者設(shè)備可以利用該庫中的規(guī)則與網(wǎng)絡(luò)報文進行匹配,以確定是否存在惡意文件入侵成功的事實。

此外,通過白名單過濾獲取惡意外部網(wǎng)絡(luò)地址信息后,還可以將所述惡意外部網(wǎng)絡(luò)地址信息添加到惡意c&c庫中,從而有助于提高對惡意文件的檢測效果,關(guān)于這部分說明,可以參見之前步驟102-2-1至102-2-3中的相關(guān)文字。在實際實施本方法時,可以通過網(wǎng)絡(luò)安全運維人員手工維護或者其他管理手段對惡意c&c庫中的信息進行維護,逐步積累起準確有效的惡意c&c庫,從而可以提高對未知的惡意文件的檢測率。

綜上所述,本實施例提供的檢測規(guī)則生成方法,在從檢測出的惡意文件中 提取惡意外部網(wǎng)絡(luò)地址信息(惡意c&c信息)的基礎(chǔ)上,生成有針對性的、及時性高的網(wǎng)絡(luò)報文檢測規(guī)則。如果在內(nèi)部網(wǎng)絡(luò)中,針對發(fā)送給內(nèi)部網(wǎng)絡(luò)的大量文件都實施本方法,則可以在內(nèi)部網(wǎng)絡(luò)中生成并不斷更新網(wǎng)絡(luò)報文檢測規(guī)則集合,從而為基于規(guī)則確認惡意文件入侵成功提供了數(shù)據(jù)基礎(chǔ)和可能性。

在上述的實施例中,提供了一種檢測規(guī)則生成方法,與之相對應(yīng)的,本申請還提供一種檢測規(guī)則生成裝置。請參看圖5,其為本申請的一種檢測規(guī)則生成裝置的實施例的示意圖。由于裝置實施例基本相似于方法實施例,所以描述得比較簡單,相關(guān)之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本實施例的一種檢測規(guī)則生成裝置,包括:向內(nèi)發(fā)送文件獲取單元501,用于獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件;惡意文件檢測單元502,用于采用預(yù)設(shè)方式檢測所述文件是否為惡意文件;報文檢測規(guī)則生成單元503,用于當所述惡意文件檢測單元的輸出為是時,從所述文件提取惡意外部網(wǎng)絡(luò)地址信息,并根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則;

所述報文檢測規(guī)則生成單元包括:

惡意地址提取子單元,用于當所述惡意文件檢測單元的輸出為是時,從所述文件提取惡意外部網(wǎng)絡(luò)地址信息;

檢測規(guī)則生成執(zhí)行子單元,用于根據(jù)所述惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則。

可選的,所述向內(nèi)發(fā)送文件獲取單元,具體用于獲取由外部網(wǎng)絡(luò)發(fā)送給內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文、并將獲取的網(wǎng)絡(luò)報文還原為文件,或者,通過內(nèi)部網(wǎng)絡(luò)中的應(yīng)用服務(wù)器獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件。

可選的,所述惡意文件檢測單元,具體用于利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為惡意文件。

可選的,所述惡意文件檢測單元,包括:

靜態(tài)檢測子單元,用于利用靜態(tài)檢測技術(shù)判斷所述文件是否為疑似惡意文件;

虛擬執(zhí)行檢測子單元,用于當所述靜態(tài)檢測子單元的輸出為是時,利用沙盒虛擬執(zhí)行技術(shù)檢測所述文件是否為惡意文件。

可選的,所述惡意文件檢測單元或者所述虛擬執(zhí)行檢測子單元,包括:

文件打開子單元,用于在沙盒虛擬機中打開所述文件;

主機行為記錄子單元,用于記錄所述文件被打開后的主機行為數(shù)據(jù);

第一惡意文件判定子單元,用于當所述主機行為數(shù)據(jù)與預(yù)設(shè)的任一惡意文件判定規(guī)則相符時,判定所述文件為惡意文件。

可選的,所述惡意文件檢測單元或者所述虛擬執(zhí)行檢測子單元,包括:

文件打開子單元,用于在沙盒虛擬機中打開所述文件;

網(wǎng)絡(luò)行為記錄子單元,用于記錄所述文件被打開后的網(wǎng)絡(luò)行為數(shù)據(jù);

第二惡意文件判定子單元,用于當所述網(wǎng)絡(luò)行為數(shù)據(jù)與連接控制信息庫中存儲的任一外部網(wǎng)絡(luò)地址信息相符時,判定所述文件為惡意文件。

可選的,所述報文檢測規(guī)則生成單元還包括:

惡意信息庫添加子單元,用于當惡意地址提取子單元提取惡意外部網(wǎng)絡(luò)地址信息后,將所述惡意外部網(wǎng)絡(luò)地址信息添加到連接控制信息庫中。

可選的,所述惡意地址提取子單元,包括:

外部網(wǎng)絡(luò)地址提取子單元,用于從在沙盒虛擬機中打開所述文件后記錄的網(wǎng)絡(luò)行為數(shù)據(jù)中,提取所述文件連接的外部網(wǎng)絡(luò)地址信息;

白名單過濾子單元,用于通過利用預(yù)設(shè)白名單庫進行過濾的方式,從所述外部網(wǎng)絡(luò)地址信息中提取惡意外部網(wǎng)絡(luò)地址信息。

可選的,所述裝置還包括:

攻擊告警輸出單元,用于當所述惡意文件檢測單元的輸出為是時,輸出至少包含所述文件名稱的攻擊告警信息。

此外,本申請還提供一種入侵檢測方法,在具體應(yīng)用中,本方法通常與本申請?zhí)峁┑臋z測規(guī)則生成方法結(jié)合實施,本方法所采用的網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,不僅可以包括由實施所述檢測規(guī)則生成方法的系統(tǒng)或設(shè)備自動生成的規(guī)則,即:根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的惡意文件提取的惡意外部網(wǎng)絡(luò)地址信息生成的規(guī)則,也可以包括根據(jù)通過其他方式獲取的惡意外部網(wǎng)絡(luò)地址信息生成的規(guī)則,例如:某企業(yè)網(wǎng)的網(wǎng)絡(luò)運維人員根據(jù)從其它企業(yè)網(wǎng)獲取的、或者從某網(wǎng)站公開的信息中獲取的惡意外部網(wǎng)絡(luò)地址信息,生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則,并添加到其負責(zé)運維的企業(yè)網(wǎng)的網(wǎng)絡(luò)報文檢測規(guī)則集合中。

請參考圖6,其為本申請的一種入侵檢測方法的實施例的流程圖,具體實施時,本方法可以在部署于內(nèi)部網(wǎng)絡(luò)出口處的ids設(shè)備中實施。本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種入侵檢測方法包括如下步驟:

步驟601、獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文。

本步驟獲取內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文,所述網(wǎng)絡(luò)報文通常會經(jīng)由處于內(nèi)部網(wǎng)絡(luò)出口處的某一設(shè)備(例如:路由器)發(fā)送到外部網(wǎng)絡(luò),本步驟則可以通過對經(jīng)由該設(shè)備發(fā)送的網(wǎng)絡(luò)報文進行監(jiān)聽的方式或者利用鏡像技術(shù)、捕獲向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文。

步驟602、若所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。其中,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,是根據(jù)惡意外部網(wǎng)絡(luò)地址信息預(yù)先生成的。

在具體實施時,所述網(wǎng)絡(luò)報文檢測規(guī)則集合通常存儲在數(shù)據(jù)庫中,即:網(wǎng)絡(luò)報文檢測規(guī)則庫(也稱流量檢測規(guī)則庫),因此本步驟可以將步驟601捕獲的網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則庫中的每一條規(guī)則進行匹配,即:檢查網(wǎng)絡(luò)報文是否與規(guī)則相符。由于每一條規(guī)則都是根據(jù)惡意外部網(wǎng)絡(luò)地址信息生成的,因此所述網(wǎng)絡(luò)報文若與任一規(guī)則相符,則說明發(fā)送所述網(wǎng)絡(luò)報文的內(nèi)部網(wǎng)絡(luò)中的設(shè)備(例如:計算機)已經(jīng)打開或者執(zhí)行了惡意文件(例如:打開了郵件中的惡意附件),因此該設(shè)備才會發(fā)出與規(guī)則相匹配的網(wǎng)絡(luò)報文,從而可以確認該設(shè)備已經(jīng)被惡意文件入侵成功。

例如:網(wǎng)絡(luò)報文檢測規(guī)則庫中有一條規(guī)則為:“目的ip地址為220.181.111.222”,捕獲的網(wǎng)絡(luò)報文的目的ip地址也是:220.181.111.222,那么本步驟將捕獲的網(wǎng)絡(luò)報文與規(guī)則庫中的規(guī)則逐一匹配時,匹配到上述規(guī)則時就會匹配成功,從而可以結(jié)束匹配過程,并確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備已被入侵成功。

若所述匹配成功的規(guī)則,是根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的惡意文件提取的惡意外部網(wǎng)絡(luò)地址信息生成的,那么在確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被入侵成功的同時,還可以進一步確認入侵所述設(shè)備的具體的惡意文件,即:用于生成匹配成功的規(guī)則的惡意文件。仍沿用上面的例子,如果“目的ip地址為220.181.111.222”這一規(guī)則是根據(jù)惡意文件example.doc中的惡意外部網(wǎng)絡(luò)地址 生成的,那么就可以確認所述設(shè)備被惡意文件example.doc入侵成功。

在具體實施時,確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功,可以將相關(guān)信息記錄到日志文件或者數(shù)據(jù)庫中、也可以輸出受害確認告警信息,以供網(wǎng)絡(luò)安全運維人員及時查看并進行相應(yīng)的處置。

以輸出受害確認告警信息為例,所述受害確認告警信息中至少包含被惡意文件入侵成功的設(shè)備信息,例如,可以通過對所述網(wǎng)絡(luò)報文的解析提取源ip地址,用該源ip地址標識被入侵成功的設(shè)備,也可以從所述網(wǎng)絡(luò)報文的預(yù)設(shè)字段中提取設(shè)備標識,并在所述受害確認告警信息中包含所述設(shè)備標識。從而有助于網(wǎng)絡(luò)安全運維人員快速定位內(nèi)部網(wǎng)絡(luò)中的具體受害設(shè)備,并進行相應(yīng)的處置。

進一步地,還可以通過對應(yīng)用層信息的分析或者查找設(shè)備與使用者的對應(yīng)關(guān)系,獲取使用受害設(shè)備的用戶信息,例如:用戶標識或者用戶姓名等,從而在輸出的受害確認告警信息中可以不僅包含受害設(shè)備信息,還可以包含使用受害設(shè)備的用戶信息,便于網(wǎng)絡(luò)安全運維人員及時與受害設(shè)備的使用者取得聯(lián)系,并采取相應(yīng)措施。

例如以下場景,內(nèi)部網(wǎng)絡(luò)中的某一設(shè)備訪問外部網(wǎng)絡(luò)中的惡意地址并下載了一個木馬程序,木馬程序隨后可能在內(nèi)部網(wǎng)絡(luò)中傳播、并進一步實施盜取數(shù)據(jù)等惡意行為。如果采用了本實施例提供的方法,在檢測到該設(shè)備向外部網(wǎng)絡(luò)惡意地址發(fā)送網(wǎng)絡(luò)報文后,及時輸出告警信息,從而網(wǎng)絡(luò)安全運維人員可以根據(jù)設(shè)備信息和使用所述設(shè)備的用戶信息,快速采取措施,例如:告知所述用戶、對受害設(shè)備進行隔離、或者采取必要的攔截措施等,可以有效避免或者減少對內(nèi)部網(wǎng)絡(luò)造成的損失。

此外,若所述匹配成功的規(guī)則,是根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的惡意文件提取的惡意外部網(wǎng)絡(luò)地址信息生成的,并且在生成網(wǎng)絡(luò)報文檢測規(guī)則時,一并記錄了生成相應(yīng)規(guī)則的惡意文件的相關(guān)信息,例如:文件名稱、來源等,本步驟也可以獲取與匹配成功的規(guī)則對應(yīng)的惡意文件信息,從而在受害確認告警信息中可以不僅包含受害設(shè)備信息,還可以包含獲取的惡意文件名,從而便于運維人員更為及時、準確地了解情況,并采用更為有針對性的處理措施。

至此,通過步驟601-步驟602,對本實施例提供的入侵檢測方法的實施方式進行了詳細說明。

優(yōu)選地,在步驟602確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功之 后,如果檢測到與匹配成功的規(guī)則包含的惡意外部網(wǎng)絡(luò)地址信息相關(guān)聯(lián)的新地址信息、并通過執(zhí)行過濾操作從中提取出與預(yù)設(shè)白名單庫不符的惡意地址信息后,可以根據(jù)所述惡意地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則,并添加到網(wǎng)絡(luò)報文檢測規(guī)則集合中,以提高受害檢測的發(fā)現(xiàn)率。

進一步優(yōu)選地,在發(fā)現(xiàn)相關(guān)聯(lián)的新地址信息中存在與白名單庫不符的惡意地址信息后,除了生成網(wǎng)絡(luò)報文檢測規(guī)則、并添加到所述集合中,還可以將所述惡意地址信息添加到惡意c&c庫中,從而有助于提高實施所述檢測規(guī)則生成方法的系統(tǒng)或者設(shè)備、對惡意文件的檢測率,也可以相應(yīng)提高受害檢測的發(fā)現(xiàn)率。

例如:內(nèi)部網(wǎng)絡(luò)中某一設(shè)備發(fā)送的、訪問外部網(wǎng)絡(luò)惡意url地址的網(wǎng)絡(luò)報文,在步驟602中匹配成功,由于惡意url地址對應(yīng)的網(wǎng)站可以通過重定向等指令,將對其的訪問跳轉(zhuǎn)到新的url地址,從而該設(shè)備發(fā)送的后續(xù)網(wǎng)絡(luò)報文就會訪問新的url地址,在這種情況下,本實施例通過應(yīng)用層或者會話層的標識信息可以發(fā)現(xiàn)后續(xù)網(wǎng)絡(luò)報文訪問的新url地址與惡意url地址是相關(guān)聯(lián)的,因此,可以使用預(yù)設(shè)白名單庫對新url地址進行過濾,若其中存在與白名單庫不符的惡意url地址,則可以將這部分惡意url地址添加到惡意c&c庫中。

采用上述優(yōu)選實施方式,由于可以在第一時間向惡意c&c庫中補充惡意的外部網(wǎng)絡(luò)地址信息,因此實施所述檢測規(guī)則生成方法的系統(tǒng)或者設(shè)備,就可以在檢測惡意文件的過程中,利用所述惡意c&c庫中的最新信息,從而快速、及時地檢測出惡意文件,包括通過靜態(tài)掃描等現(xiàn)有技術(shù)無法檢測出的未知類型的惡意文件,從而可以提高對惡意文件的檢測率,自然也可以相應(yīng)提高受害檢測的發(fā)現(xiàn)率。

需要說明的是,上述實施例描述了本申請?zhí)峁┑娜肭謾z測方法與檢測規(guī)則生成方法相結(jié)合的實施方式。本領(lǐng)域技術(shù)人員應(yīng)該理解,本申請?zhí)峁┑娜肭謾z測方法也可以單獨實施,在這種情況下,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,可以是由網(wǎng)絡(luò)安全運維人員通過某些特定方式獲取的惡意外部網(wǎng)絡(luò)地址信息生成的規(guī)則,并且在實施過程中無需執(zhí)行向連接控制信息庫添加從相關(guān)聯(lián)的新地址中提取的惡意地址信息的操作。采用這種實施方式,同樣可以通過網(wǎng)絡(luò)報文與規(guī)則的匹配過程確認惡意文件入侵成功的事實。

綜上所述,本實施例提供的入侵檢測方法,利用了預(yù)先生成的網(wǎng)絡(luò)報文檢 測規(guī)則集合,若向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文與任一網(wǎng)絡(luò)報文檢測規(guī)則匹配成功,即可確認惡意文件已成功入侵內(nèi)部網(wǎng)絡(luò)、并確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備即為受害設(shè)備,從而便于網(wǎng)絡(luò)安全運維人員針對受害設(shè)備進行快速、有效的處置,簡化內(nèi)部網(wǎng)絡(luò)安全運維的復(fù)雜度,為提高內(nèi)部網(wǎng)絡(luò)的安全性提供保障。

在上述的實施例中,提供了一種入侵檢測方法,與之相對應(yīng)的,本申請還提供一種入侵檢測裝置。請參看圖7,其為本申請的一種入侵檢測裝置的實施例的示意圖。由于裝置實施例基本相似于方法實施例,所以描述得比較簡單,相關(guān)之處參見方法實施例的部分說明即可。下述描述的裝置實施例僅僅是示意性的。

本實施例的一種入侵檢測裝置,包括:向外發(fā)送報文獲取單元701,用于獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文;入侵成功確認單元702,用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功;其中,所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,是根據(jù)惡意外部網(wǎng)絡(luò)地址信息預(yù)先生成的。

可選的,所述入侵成功確認單元采用的網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則包括:根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的惡意文件提取的惡意外部網(wǎng)絡(luò)地址信息生成的規(guī)則。

可選的,所述入侵成功確認單元,具體用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,若所述匹配成功的規(guī)則,是根據(jù)從發(fā)送給內(nèi)部網(wǎng)絡(luò)的惡意文件提取的惡意外部網(wǎng)絡(luò)地址信息生成的,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被具體惡意文件入侵成功,所述具體惡意文件為用于生成所述匹配成功的規(guī)則的惡意文件。

可選的,所述裝置包括:

關(guān)聯(lián)地址檢測單元,用于當所述入侵成功確認單元確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功之后,通過獲取并解析向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文,檢測是否存在與所述匹配成功的規(guī)則包含的惡意外部網(wǎng)絡(luò)地址信息相關(guān)聯(lián)的新地址信息;

關(guān)聯(lián)惡意地址判斷單元,用于當所述關(guān)聯(lián)地址檢測單元的輸出為是時,判斷所述新地址信息中是否存在與預(yù)設(shè)白名單庫不符的惡意地址信息;

檢測規(guī)則添加單元,用于當所述關(guān)聯(lián)惡意地址判斷單元的輸出為是時,根 據(jù)所述惡意地址信息生成相應(yīng)的網(wǎng)絡(luò)報文檢測規(guī)則,并添加到所述網(wǎng)絡(luò)報文檢測規(guī)則集合中。

可選的,所述裝置還包括:

關(guān)聯(lián)惡意地址添加單元,用于當所述關(guān)聯(lián)惡意地址判斷單元的輸出為是時,將所述惡意地址信息添加到連接控制信息庫中。

可選的,所述入侵成功確認單元,具體用于當所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功時,輸出至少包含發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備信息的受害確認告警信息。

此外,本申請還提供一種入侵檢測系統(tǒng),如圖8所示,所述系統(tǒng)包括上述實施例所述的檢測規(guī)則生成裝置801、和入侵檢測裝置802。所述檢測規(guī)則生成裝置通常部署于服務(wù)器上,所述入侵檢測裝置也通常部署于服務(wù)器上。在具體實施時,所述系統(tǒng)中通常還可以包括用于存儲網(wǎng)絡(luò)報文檢測規(guī)則集合的數(shù)據(jù)庫。

請參考圖9,其為本實施例提供的入侵檢測系統(tǒng)的處理流程示意圖。本系統(tǒng)的基本處理流程為:檢測規(guī)則生成裝置獲取發(fā)送給內(nèi)部網(wǎng)絡(luò)的文件,若檢測出所述文件為惡意文件,則根據(jù)從所述文件提取的惡意外部網(wǎng)絡(luò)地址信息生成網(wǎng)絡(luò)報文檢測規(guī)則;檢測規(guī)則生成裝置采用上述方式所生成的網(wǎng)絡(luò)報文檢測規(guī)則可以組成網(wǎng)絡(luò)報文檢測規(guī)則集合,根據(jù)采用其它方式獲取的惡意外部網(wǎng)絡(luò)地址信息生成的網(wǎng)絡(luò)報文檢測規(guī)則、也可以添加到該集合中,該集合可以存儲在數(shù)據(jù)庫中;入侵檢測裝置獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文,將所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則進行匹配,若與其中任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。

由此可見,本系統(tǒng)中的上述兩個裝置可以通過網(wǎng)絡(luò)報文檢測規(guī)則關(guān)聯(lián)在一起,一方面通過對內(nèi)部網(wǎng)絡(luò)中惡意文件的檢測、生成網(wǎng)絡(luò)報文檢測規(guī)則,另一方面利用已生成的網(wǎng)絡(luò)報文檢測規(guī)則與向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文進行匹配,并在匹配成功時確認內(nèi)部網(wǎng)絡(luò)中的設(shè)備被入侵成功。從而形成了從攻擊檢測到受害確認的閉環(huán)檢測機制,通過將多個維度的技術(shù)進行整合,能夠清晰地報告出惡意文件在內(nèi)部網(wǎng)絡(luò)中入侵成功的事實、并確定具體的受害設(shè)備,從而網(wǎng)絡(luò)安全運維人員可以快速有效地進行處置,為企業(yè)網(wǎng)、社區(qū)網(wǎng)、校園網(wǎng)等內(nèi)部網(wǎng)絡(luò)的安全運維提供保障。

此外,本申請還提供另一種入侵檢測方法,請參考圖10,其為本申請的另一種入侵檢測方法的實施例的流程圖,本實施例與上述方法實施例步驟相同的部分不再贅述,下面重點描述不同之處。本實施例的一種入侵檢測方法包括如下步驟:

步驟1001、獲取向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文。

步驟1002、若所述網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。

所述網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則,可以是對內(nèi)部網(wǎng)絡(luò)中的惡意文件或者與入侵成功事件相關(guān)聯(lián)的、向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文等進行特征分析與提取所產(chǎn)生的報文匹配規(guī)則,規(guī)則的內(nèi)容可以涉及多個方面,例如網(wǎng)絡(luò)報文的內(nèi)容、網(wǎng)絡(luò)報文的地址信息、網(wǎng)絡(luò)報文的某個具體字段的取值等。本步驟可以將步驟1001獲取的網(wǎng)絡(luò)報文,與網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則逐一進行匹配,若與任一規(guī)則匹配成功,則確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。

現(xiàn)有技術(shù)通常對從外部網(wǎng)絡(luò)發(fā)送到內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)報文進行規(guī)則匹配,以檢測是否存在攻擊行為。而本實施例的技術(shù)方案,則將向外部網(wǎng)絡(luò)發(fā)送的網(wǎng)絡(luò)報文與網(wǎng)絡(luò)報文檢測規(guī)則集合中的規(guī)則進行匹配,并當匹配成功時,確認發(fā)送所述網(wǎng)絡(luò)報文的設(shè)備被惡意文件入侵成功。從而便于網(wǎng)絡(luò)安全運維人員針對受害設(shè)備進行快速、有效的處置,簡化內(nèi)部網(wǎng)絡(luò)安全運維的復(fù)雜度,為提高內(nèi)部網(wǎng)絡(luò)的安全性提供保障。

本申請雖然以較佳實施例公開如上,但其并不是用來限定本申請,任何本領(lǐng)域技術(shù)人員在不脫離本申請的精神和范圍內(nèi),都可以做出可能的變動和修改,因此本申請的保護范圍應(yīng)當以本申請權(quán)利要求所界定的范圍為準。

在一個典型的配置中,計算設(shè)備包括一個或多個處理器(cpu)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。

內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲器,隨機存取存儲器(ram)和/或非易失性內(nèi)存等形式,如只讀存儲器(rom)或閃存(flashram)。內(nèi)存是計算機可讀介質(zhì)的示例。

1、計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由 任何方法或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括,但不限于相變內(nèi)存(pram)、靜態(tài)隨機存取存儲器(sram)、動態(tài)隨機存取存儲器(dram)、其他類型的隨機存取存儲器(ram)、只讀存儲器(rom)、電可擦除可編程只讀存儲器(eeprom)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)或其他光學(xué)存儲、磁盒式磁帶,磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì),可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定,計算機可讀介質(zhì)不包括非暫存電腦可讀媒體(transitorymedia),如調(diào)制的數(shù)據(jù)信號和載波。

2、本領(lǐng)域技術(shù)人員應(yīng)明白,本申請的實施例可提供為方法、系統(tǒng)或計算機程序產(chǎn)品。因此,本申請可采用完全硬件實施例、完全軟件實施例或結(jié)合軟件和硬件方面的實施例的形式。而且,本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學(xué)存儲器等)上實施的計算機程序產(chǎn)品的形式。

當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
乳源| 运城市| 兰州市| 瓮安县| 苗栗市| 福泉市| 连云港市| 德钦县| 昌平区| 正安县| 崇礼县| 黄梅县| 旬邑县| 新民市| 太和县| 彩票| 桦川县| 建始县| 东台市| 河曲县| 黑河市| 财经| 固原市| 林芝县| 淮南市| 沿河| 瑞安市| 威远县| 五寨县| 巫山县| 肃宁县| 黄陵县| 南涧| 泽州县| 曲阳县| 保亭| 南漳县| 图木舒克市| 扬州市| 荣昌县| 霍城县|