(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111583978.1 (22)申请日 2021.12.2 2 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 周游　范渊　吴卓群　王欣　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 李泽艳 (51)Int.Cl. G06F 21/57(2013.01) G06F 11/34(2006.01) G06K 9/62(2022.01) H04L 9/40(2022.01) (54)发明名称 一种提高终端设备安全性的方法、 防御系 统、 装置及 介质 (57)摘要 本申请公开了一种提高终端设备安全性的 方法、 防御系统、 装置及介质， 涉及信息安全技术 领域。 该方法首先采集日志信息以及日志产生的 流量信息， 然后将 日志信息与由Cobalt  Strike 信标产生的日志信息匹配表进行比对； 若匹配， 则确认日志信息为异常日志信息并将日志信息 分类存储。 该方法中通过将日志信息与由Cobalt   Strike信标产生的日志信息匹配表进行比对， 能 够准确地将判断出日志信息是否是由Cobalt   Strike信标产生的， 从而针对Cobalt  Strike信 标产生的日志信息进行防御， 提高终端设备的安 全性。 权利要求书1页 说明书10页 附图3页 CN 114282223 A 2022.04.05 CN 114282223 A 1.一种提高终端设备安全性的方法， 其特 征在于， 包括： 采集日志信息以及所述日志产生的流 量信息； 将所述日志信息与由Cobalt  Strike信标产生的日志信息匹配表进行比对； 若匹配， 则确认所述日志信息为异常日志信息并将所述日志信息分类存储， 其中所述 分类存储分为正常行为 流量， 可疑行为 流量， 恶意行为 流量。 2.根据权利要求1所述的提高终端设备安全性的方法， 其特征在于， 所述将所述日志信 息与由Cobalt  Strike信标产生的日志信息匹配表进行比对， 还 包括： 若不匹配， 则确认所述日志信息为 正常日志信息并结束。 3.根据权利要求1所述的提高终端设备安全性的方法， 其特征在于， 所述将所述日志信 息与由Cobalt  Strike信标产生的日志信息匹配表进行比对 包括： 同时将多个所述日志信息与由所述Cobalt  Strike信标产 生的所述日志信息 匹配表进 行比对。 4.根据权利要求1所述的提高终端设备安全性的方法， 其特征在于， 在所述采集日志信 息以及所述日志产生的流 量信息之后， 还 包括： 将所述日志信息以及所述日志产生的流 量信息存 储在Memcac hed数据库。 5.根据权利要求1所述的提高终端设备安全性的方法， 其特征在于， 所述将所述日志信 息分类存 储包括： 将所述日志信息采用ElasticStack大 数据处理引擎来进行分类存 储。 6.根据权利要求1 ‑5任意一项所述的提高终端设备安全性的方法， 其特征在于， 在所述 将所述日志信息分类存 储之后， 还 包括： 标记异常日志以及所述异常日志产生的异常流 量。 7.根据权利要求1 ‑5任意一项所述的提高终端设备安全性的方法， 其特征在于， 在所述 将所述日志信息分类存 储之后还 包括： 显示或/和提 示分类结果。 8.一种防御系统， 其特 征在于， 包括： 采集模块， 用于采集日志信息以及所述日志产生的流 量信息； 比对模块， 用于将所述日志信息与由Cobalt  Strike信标产生的日志信息匹配表进行 比对； 若匹配， 则触发确认及存 储模块； 确认及存储模块， 用于确认所述日志信息为异常日志信息并将所述日志信息分类存 储， 其中所述分类存 储分为正常行为 流量， 可疑行为 流量， 恶意行为 流量。 9.一种提高终端设备安全性装置， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述的提高终端设备 安全性方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的提高终端设备安 全性方法的步骤。权　利　要　求　书 1/1 页 2 CN 114282223 A 2一种提高终端设 备安全性的方 法、 防御系统、 装 置及介质 技术领域 [0001]本申请涉及信息安全技术领域， 特别是涉及一种提高终端设备安全性的方法、 防 御系统、 装置及 介质。 背景技术 [0002]现在高级可持续性攻击(Advanced  Persistent  Threat， APT)频发攻击， APT攻击 已经覆盖到非传统行业， 这些组织通常由政府背 景支持相关攻击组织进 行攻击的活动。 APT 攻击常用于国家间的网络攻击行动。 主要通过向目标高级 可持续性攻击投放木马控制内网 权限， 实施窃取国家机密信息、 重要企业的商业信息、 破坏网络基础设施等活动， 具有强烈 的政治、 经济目的。 [0003]Cobalt Strike被现今被世界各大APT组织作为APT攻击必备工具。 在内网攻击者 通常会执行各种Beacon信标命令。 信标命令可用于在初始信标可访问的其他系统上生成其 他信标， 从而有效地增强了目标环 境中的持久性。 信标还 可以用于远程访问和执行。 Cobalt   Strike具有 高可定制的， 所以容易绕过安全设备检测， 其Malleable  C2配置文件可以将命 令和控制通信融合到企业内部正常网络流中， 其中就有可能存在攻击命令。 现有的企业防 御APT级别网络攻击的方法中没有针对Cobalt  Strike信标提出防御方法， 导致对部分攻击 命令检测不到， 大 大降低终端设备的安全性。 [0004]由此可见， 如何提高终端设备的安全性， 是本领域 技术人员亟 待解决的问题。 发明内容 [0005]本申请的目的是提供一种提高终端设备安全性的方法、 防御系统、 装置及介质， 用 于提高终端设备的安全性。 [0006]为解决上述 技术问题， 本申请提供一种提高终端设备安全性的方法， 该 方法包括： [0007]采集日志信息以及所述日志产生的流 量信息； [0008]将所述日志信息与由Cobalt  Strike信标产生的日志信息匹配表进行比对； [0009]若匹配， 则确认所述日志信息为异常日志信息并将所述日志信息分类存储， 其中 所述分类存 储分为正常行为 流量， 可疑行为 流量， 恶意行为 流量。 [0010]优选地， 所述将所述日志信息与由Cobalt  Strike信标产生的日志信息匹配表进 行比对， 还 包括： [0011]若不匹配， 则确认所述日志信息为 正常日志信息并结束。 [0012]优选地， 所述将所述日志信息与由Cobalt  Strike信标产生的日志信息匹配表进 行比对包括： [0013]同时将多个所述日志信息与由所述Cobalt  Strike信标产生的所述日志信息匹配 表进行比对。 [0014]优选地， 在所述采集日志信息以及所述日志产生的流 量信息之后， 还 包括： [0015]将所述日志信息以及所述日志产生的流 量信息存 储在Memcac hed数据库。说　明　书 1/10 页 3 CN 114282223 A 3