CN104468632A - 防御漏洞攻击的方法、设备及*** - Google Patents
防御漏洞攻击的方法、设备及*** Download PDFInfo
- Publication number
- CN104468632A CN104468632A CN201410854248.4A CN201410854248A CN104468632A CN 104468632 A CN104468632 A CN 104468632A CN 201410854248 A CN201410854248 A CN 201410854248A CN 104468632 A CN104468632 A CN 104468632A
- Authority
- CN
- China
- Prior art keywords
- attack
- leak
- feature
- agenda
- logs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种防御漏洞攻击的方法、设备及***,涉及网络安全领域,为在未修补漏洞的情况下对漏洞攻击进行及时有效的主动防御而发明。本发明的方法包括:对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程;将所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;若所述实际行为特征与所述标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志,以使得所述云服务器根据所述攻击日志通知其他终端对相同的漏洞攻击进行主动防御。本发明主要应用于私有云环境下的攻击主动防御。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种防御漏洞攻击的方法、设备及***。
背景技术
漏洞是指一个***存在的弱点或缺陷,***对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用程序或操作***设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被黑客恶意利用,从而对一个应用运行造成不利影响,如信息***被攻击或控制,重要资料被窃取,用户数据被篡改,***被作为入侵其他主机***的跳板等。
为防止漏洞攻击对用户终端或网站服务器造成不良影响,现有技术中主要通过漏洞检测的方式查找应用程序或操作***的漏洞,并对查找到的漏洞进行修复,防止黑客基于未修补的漏洞进行攻击。一般情况下,漏洞检测可以分为对已知漏洞的检测和对未知漏洞的检测。已知漏洞的检测主要是通过安全扫描技术,检测***是否存在已公布的安全漏洞;而未知漏洞检测的目的在于发现软件***中可能存在但尚未发现的漏洞。现有的未知漏洞检测技术有源代码扫描、反汇编扫描、环境错误注入等。
在上述防御漏洞攻击的方式中,发明人发现:现有技术中攻击防御的原则是以修补漏洞为主,通过修补漏洞的方式减少黑客攻击的可能性。实际生活中,应用程序或者操作***中的漏洞并无法被查找穷尽,伴随漏洞的修补可能还会出现新的漏洞。因此这种防御方式较为被动。此外,随着黑客技术的不断提升,漏洞攻击的自动化程度及攻击速度日渐提升,如若在产生漏洞攻击后再进行编写补丁、打补丁等操作处理,那么漏洞攻击早已在较大范围内实现了广泛传播,殃及更多的用户终端或服务器。因此,如何设计出一种快速、高效的攻击防御机制,在漏洞攻击产生后对其进行及时防御,就成为摆放在本领域技术人员眼前的一道难题。
发明内容
鉴于上述问题,本发明提供了一种防御漏洞攻击的方法、设备及***,能够在未修补漏洞的情况下对漏洞攻击进行及时有效的主动防御。
第一方面,本发明提供了一种防御漏洞攻击的方法,该方法包括:
对运行中的进程进行监测,获得进程的实际行为特征,其中,进程包括应用进程及***进程;
将实际行为特征与行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
若实际行为特征与标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志,以使得云服务器根据攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
第二方面,本发明还提供了一种防御漏洞攻击的方法,该方法包括:
接收终端上报的攻击日志,攻击日志中携带有终端遭受的漏洞攻击的实际行为特征;
将实际行为特征与云端行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
若实际行为特征与标准行为特征一致,则将攻击日志下发给其他终端,以使得其他终端根据攻击日志对相同的漏洞攻击进行主动防御。
第三方面,本发明还提供了一种终端,该终端包括:
监测单元,用于对运行中的进程进行监测,获得进程的实际行为特征,其中,进程包括应用进程及***进程;
比对单元,用于将监测单元获得的实际行为特征与行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当比对单元的比对结果为实际行为特征与标准行为特征一致时,向云服务器上报漏洞攻击的攻击日志,以使得云服务器根据攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
第四方面,本发明还提供了一种云服务器,该云服务器包括:
接收单元,用于接收终端上报的攻击日志,攻击日志中携带有终端遭受的漏洞攻击的实际行为特征;
比对单元,用于将接收单元接收的实际行为特征与云端行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当比对单元的比对结果为实际行为特征与标准行为特征一致时,将接收单元接收的攻击日志下发给其他终端,以使得其他终端根据攻击日志对相同的漏洞攻击进行主动防御。
第五方面,本发明还提供了一种防御漏洞攻击的***,该***包括:
第一终端、云服务器以及第二终端;其中,
第一终端,用于对运行中的进程进行监测,获得进程的实际行为特征,其中,进程包括应用进程及***进程,将实际行为特征与行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为,若实际行为特征与标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志;
云服务器,用于接收第一终端上报的攻击日志,将攻击日志中的实际行为特征与云端行为特征库中的标准行为特征进行比对,若实际行为特征与标准行为特征一致,则将攻击日志下发给第二终端;
第二终端,用于接收云服务器下发的攻击日志,将攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中,根据行为特征库对可能出现的漏洞攻击进行发现和主动防御。
借由上述技术方案,本发明提供的防御漏洞攻击的方法、设备及***,由终端在本地通过对进程的行为监测发现漏洞攻击的“行迹”,并在发现漏洞攻击的“行迹”后,向云服务器上报漏洞攻击的攻击日志,以便云服务器将该攻击日志发送给其他终端,使得其他终端在遭受相同漏洞攻击之前,对该漏洞日志进行主动防御。与现有技术中发现并修复漏洞相比,本发明的攻击防御方式不以漏洞修复为主要目标,通过攻击行为的检测和分析达到发现漏洞攻击的目的。本发明能够在某一台终端遭受漏洞攻击后,在其他终端上迅速部署攻击防御策略,使得其他终端即使未修复相应补丁也可以免遭漏洞攻击,由此可以快速高效的实现对漏洞攻击的主动防御。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例中一种防御漏洞攻击的方法流程图;
图2示出了本发明实施例中另一种防御漏洞攻击的方法流程图;
图3示出了本发明实施例中一种终端的结构示意图;
图4示出了本发明实施例中另一种终端的结构示意图;
图5示出了本发明实施例中一种云服务器的结构示意图;
图6示出了本发明实施例中另一种云服务器的结构示意图;
图7示出了本发明实施例中一种防御漏洞攻击的***示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为在不修复漏洞的情况下,实现漏洞攻击的主动防御,本发明的实施例提供了一种防御漏洞攻击的方法,该方法主要应用于终端侧。如图1所示,该方法包括:
101、对运行中的进程进行监测,获得进程的实际行为特征。
本实施例中,终端对应用程序或操作***的监测主要通过监测相应的进程运行实现,即终端所监测的进程对象包括应用进程及***进程。通常进程在执行过程中,会涉及到读取内存数据,进程间数据通信等众多行为操作。本实施例中,终端即是基于对这些行为的监测,发现漏洞攻击的行为特征。
终端监测到的实际行为特征为进程执行中所产生的所有行为特征,这其中包括正常操作的行为特征也包括执行病毒、木马或漏洞攻击的代码时所产生的行为特征。终端通过步骤102中比对行为特征库的方式从监测到的众多行为特征中,筛选出漏洞攻击所产生的行为特征。
102、将实际行为特征与行为特征库中的标准行为特征进行比对。
终端本地保存有用于记录标准行为特征的行为特征库,其中标准行为特征用于描述漏洞攻击所涉及的行为。在监测到进程产生的实际行为特征后,终端将实际行为特征与行为特征库中的标准行为特征进行比对,若果两者一致,则说明该实际行为特征是由漏洞攻击所产生的。
实际应用中,终端侧可以接收云服务器下发的行为特征库,也可以在本地扫描漏洞的过程中,通过预设模型对漏洞攻击的行为特点进行训练学习得到,本实施例对此不作限制。
实际生活中,当黑客对终端进行漏洞攻击时,总会产生一些与进程正常执行所不同的行为特征,例如修改注册表、非法扫描等。本实施例中,终端即是基于这一特点,以行为特征为依据对漏洞攻击进行识别。
本实施例中,涉及漏洞攻击的行为特征包括:隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS等。实际应用中,云服务器可以根据漏洞攻击的典型流程,设置标准行为特征。
举例而言,通常普通黑客都会利用被攻击终端隐藏自己的IP地址,而更高级的黑客甚至还可以利用800电话的无人转接服务联接到互联网服务提供商(Internet Service Provider,简称ISP),然后在盗用被攻击用户的账号信息进行上网。因此,在本实施例的一种实现方式中,云服务器可以将“隐藏IP地址”这一行为特征写入到行为特征库中。
在上网后,黑客需要寻找目标主机,即被攻击对象。通常,在互联网上能真正标识主机的是IP地址,DNS域名是为了便于记忆主机的IP地址而另起的名字,只要利用DNS域名和IP地址就能顺利地找到目标主机。当然,仅确定目标主机的位置还远远不够,黑客还需要对目标主机的操作***类型及其所提供服务等信息作全方面的了解。此时,黑客会使用一些扫描器工具进行地址扫描、端口扫描、反响映射、慢速扫描等操作,获取目标主机运行的是哪种操作***的哪个版本,***有哪些帐号,WWW、FTP、Telnet、SMTP等服务器程式是何种版本等信息,为入侵作好充分的准备。此外,黑客如若进入一台目标主机,首先要获取该主机的帐号和密码,否则无法登录。由此常常迫使黑客首先设法盗窃用户的帐号文件,进行破解,从中获取某用户的帐号和口令,再寻觅合适时机以此身份进入目标主机。因此,在本实施例的另一种实现方式中,云服务器可以将“非法扫描”、“登录主机”等行为特征写入到行为特征库中。
黑客在通过FTP、Telnet等工具,利用漏洞进入目标主机获得控制权之后,通常会清除记录并预留后门。他们会更改某些***设置、在***中植入木马或其他一些远程操纵代码,以便日后能不被觉察地再次进入***。大多数后门程式是预先编译好的,只需要设法修改时间和权限就能使用了。黑客一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。因此,在本实施例的另一种实现方式中,云服务器可以将“清除记录”、“预留后门”、“修改注册表”、“植入代码”等行为特征写入行为特征库。
黑客找到目标主机后,会继续下一步的攻击,例如回传敏感信息,窃取帐号密码、***账号等行为,或者修改网络设置使网络瘫痪。因此,在本实施例的另一个应用场景中,云服务器还可以将“盗取信息”、“信息回传”、“修改DNS”等行为特征写入行为特征库。
以上设置标准行为特征的举例仅为示例性说明,实际应用中,云服务器可以根据不同攻击类型的特点分别设置标准行为特征。实际应用中,针对同一(类)漏洞攻击的标准行为特征越多,监测漏洞攻击的成功率就越高。
103、若实际行为特征与标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志,以使得云服务器根据攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
当实际行为特征与标准行为特征一致时,说明终端存在遭受漏洞攻击的可能,此时终端向云服务器上报漏洞攻击的攻击日志。
需要说明的是,当实际行为特征命中时,终端并不一定遭受漏洞攻击,例如,终端用户也可能手动修改注册表。因此,在实际应用中,对行为特征的比对应当设置一定数量的预设条件,以保证判断的准确性。例如,可以设置命中的实际行为特征数量不少于4条或10条;或者对不同的标准行为特征分配不同权重,权重越高的行为特征命中,则代表终端越有可能遭受漏洞攻击。
本实施例中,终端在确定遭受漏洞攻击后,向云服务器上报攻击日志的目的在于,由云服务器通知其他终端对此行为特征对应的漏洞攻击进行主动防御。需要注意的是,本实施例中,其他终端在接收到云服务器下发的攻击日志时,可能并未遭受过此漏洞攻击,云服务器向其他终端下发攻击日志可以使得其他终端在日常监测中根据攻击的行为特征对漏洞攻击进行识别和主动防御,并由此预防此漏洞攻击发生在其他终端上。
而对于上报攻击日志的终端而言,本实施例中可以不必关心其是否遭受到本次漏洞攻击。如果终端遭受到本次漏洞攻击,那么终端可以基于一定的修复策略进行漏洞修复,即使不对漏洞进行修复,至少在遭受到本次漏洞攻击后,基于行为特征的比对结果,终端将具有针对该漏洞攻击的主动防御能力。
在本实施例的一种实现方式中,云服务器除向其他终端下发攻击日志外,还可以向上报该攻击日志的终端下发相同的攻击日志,由此使得该终端日后具有针对该漏洞攻击的主动防御能力。
进一步的,终端上报的攻击日志中可以但不限于包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及实际行为特征。其中,进程标识用于其他终端识别漏洞攻击所针对的应用程序或操作***,例如针对某即时通讯应用的漏洞攻击,或针对安卓操作***的漏洞攻击等。实际应用中,可以采用进程名称、进程ID、进程句柄、进程文件的存储路径(包括绝对路径和相对路径)作为进程标识使用。实际行为特征用于其他终端作为标准行为特征写入到自身的行为特征库中,以便对相同的漏洞攻击进行识别和主动防御。
对于攻击类型,其主要用于明示漏洞攻击的种类和特点,以便其他终端能够采取有针对性的防御策略进行防御。实际应用中,攻击类型可以包括拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击等类型。下面,本实施例对不同的攻击类型进行简要介绍,应当明确,这种介绍或说明仅为示例性的,不作为对本实施例在实际应用中的限制:
1、拒绝服务攻击
一般情况下,拒绝服务攻击是通过使被攻击终端的***关键资源过载,从而使被攻击终端停止部分或全部服务。目前已知的拒绝服务攻击有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
2、非授权访问尝试攻击
非授权访问尝试攻击是黑客对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。其中或去权限又可以细分为:
(1)本地用户获得非授权读权限
(2)本地用户获得非授权写权限
(3)远程用户获得非授权账号信息
(4)远程用户获得特权文件的读权限
(5)远程用户获得特权文件的写权限
(6)远程用户拥有的***管理员权限
此外,非授权访问尝试攻击还可以划分为主动攻击和被动攻击两种方式。其中。主动攻击包含黑客访问所需要信息的故意行为,即黑客通过特定的技术手段主动获取所需要的信息;被动攻击主要是收集信息而不是进行访问,通常终端用户对这种信息收集过程无法察觉。被动攻击包括:
(1)窃听包括键击记录、网络监听、非法访问数据、获取密码文件。
(2)欺骗包括获取口令、恶意代码、网络欺骗。
(3)拒绝服务包括导致异常型、资源耗尽型、欺骗型。
(4)数据驱动攻击包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。
3、预探测攻击
黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作***都有其独特的响应方法(例如NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作***。
在连续的非授权访问尝试过程中,黑客为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
4、协议解码攻击
协议解码攻击可用于任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
5、***代理攻击
这种攻击通常是针对单个终端发起的而并非整个网络,通过RealSecure***代理可以对它们进行监视。
下面以几种典型的攻击类型为例,给出本实施例的几种制定标准行为特征的方式:
1、Land攻击
攻击类型:拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作***接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的***资源,从而有可能造成***崩溃或死机等现象。
标准行为特征:网络数据包的源地址或目标地址被篡改导致两者不同。
2、TCP SYN攻击
攻击类型:拒绝服务攻击。
攻击特征:利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。黑客通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包返回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
标准行为特征:单位时间内收到的SYN连接超过***设定的预设值。
3、Ping Of Death攻击或Ping Flood攻击
攻击类型:拒绝服务攻击。
攻击特征Ping Of Death攻击数据包大于65535个字节。由于部分操作***接收到长度大于65535字节的数据包时,就会造成内存溢出、***崩溃、重启、内核失败等后果,从而达到攻击的目的。Ping Flood攻击通过大量发送Ping检测命令以占用***内存、网络传输资源从而达到***崩溃的目的。
标准行为特征:数据包的大小或发送次数超过预设阈值。
4、WinNuke攻击
攻击类型:拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
标准行为特征:数据包目标端口为139、138、137、113、53等,且URG位为“1”。
5、Teardrop攻击
攻击类型:拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包,某些操作***收到含有重叠偏移的伪造分片数据包时将会出现***崩溃、重启等现象。
标准行为特征:数据包的分片偏移量(Offset)有误。
6、TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
标准行为特征:存在***端口的连接请求,特别是针对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
进一步的,作为对图1所示方法的扩展,在本发明的另一实施例中,终端在为遭受到漏洞攻击时,也可以采用模拟漏洞攻击检测的方式制定标准行为特征。具体的,终端在日常运行过程中,可以单独建立模拟监测的进程,对当前正在执行的应用进程或***进程进行模拟检测。在本实施例的一种实现方式中,终端可以采用安全扫描的方式进行模拟检测并获得标准行为特征。安全扫描也称为脆弱性评估(Vulnerability Assessment),其基本原理是采用模拟黑客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测,可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。若成功实现模拟漏洞攻击,则终端将所述模拟漏洞攻击的行为特征作为标准行为特征记录到行为特征库中。此外,终端还可以向云服务器上报模拟漏洞攻击的攻击日志。本实施例中,终端在未真正遭受到漏洞攻击的情况下,通过模拟检测的方式获得标准行为特征,可以减少,降低实际攻击对***的冲击,降低***的安全隐患。
进一步的,作为对上述各实施例的扩展,终端还可以接收云服务器下发的攻击日志,将攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中。在日常的行为特征监测过程中,终端根据行为特征库中记录的标准行为特征对可能出现的漏洞攻击进行发现和主动防御。
实际上,本实施例中接收攻击日志的终端即为前述图1所示方法中所指的“其他终端”。本发明中之所以区分为“终端”与“其他终端”,目的仅在于对上报攻击日志和接收攻击日志两种终端功能进行区分说明。实际应用中,一台终端应当同时具备上述两中功能,在对本地进程进行监测时,扮演上报攻击日志的角色,而在其他终端上报攻击日志时,则扮演接收攻击日志、进行主动防御的角色。
进一步的,作为对应图1所示方法的网络侧实现,本发明的另一实施例还提供了一种防御漏洞攻击的方法。该方法主要应用于云服务器侧,如图2所示,该方法包括:
201、接收终端上报的攻击日志。
在终端监测到漏洞攻击后,云服务器接收终端上报的攻击日志。其中,攻击日志中携带有终端遭受的漏洞攻击的实际行为特征,用于下发给其他终端,并由其他终端保存到自身的行为特征库中,以便后续对对应的漏洞攻击进行识别和主动防御。
202、将实际行为特征与云端行为特征库中的标准行为特征进行比对。
在从该攻击日志中获取终端上报的实际行为特征后,云服务器需要对该实际行为特征进行验证,以识别终端的监测结果是否正确。云服务器中同样保存着与终端类似的行为特征库,该行为特征库中的标准行为特征用于描述漏洞攻击所涉及的行为。云服务器的行为特征库中行为特征的数量和种类远远多于个体终端中的行为特征库。实际应用中,可以使云服务器的行为特征库涵盖网内所有终端的行为特征库。
与图1中终端侧保存的标准行为特征类似,云服务器侧保存的标准行为特征也包括隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。而攻击日志则包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及实际行为特征。其中,进程的标识包括但不限于是进程名称、进程ID、进程句柄、进程文件的存储路径;而攻击类型则包括但不限于是拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
203、若实际行为特征与标准行为特征一致,则将攻击日志下发给其他终端。
如果比对一致,则说明终端确实遭受了漏洞攻击,此时,云服务器将终端上报的攻击日志发送给其他终端,以使得其他终端根据攻击日志中携带的实际行为特征对相同的漏洞攻击进行主动防御。实际上,当终端确定遭受漏洞攻击后,其获得的实际行为特征与其保存的标准行为特征是一致的,本发明各实施例中定义将实际行为特征携带在攻击日志中,仅为便于描述,实际应用中也可将标准行为特征添加到攻击日志中。
需要说明的是,在实际应用中,步骤202及步骤203的实现是可选的,如果云服务器对终端足够信任,那么也可以直接将终端上报的攻击日志下发给其他终端,而无需做验证。
进一步的,在本发明的另一实施例中,当终端在未真正遭受漏洞攻击的情况下,自行进行模拟漏洞检测时,如若终端成功实施了漏洞攻击,那么云服务器还会接收终端上报的模拟漏洞攻击的攻击日志。并且,与前述接收的攻击日志相似,云服务器会将模拟漏洞攻击的攻击日志发送给其他各个终端,以便其他终端对模拟发现的漏洞攻击进行识别和主动防御。
进一步的,在本发明的另一实施例中,云服务器除了向其他终端下发攻击日志外,还可以进一步查找并向其他终端下发针对漏洞攻击的防御策略。实际应用中,云服务器可以保存针对各种漏洞攻击的防御策略以及一个映射关系表,该表中记录有攻击类型与防御策略的对应关系。云服务器可以直接从终端上报的攻击日志中获取漏洞攻击的攻击类型,也可以通过图2步骤202自行判断验证出漏洞攻击的攻击类型,然后查表获得对应该攻击类型的防御策略。在向其他终端下发攻击日志时,云服务器可以将查找到的防御策略与攻击日志进行绑定,并一同下发给其他终端。
下面本实施例给出几种针对典型攻击类型的防御策略以供参考,应当明确,此说明仅为示例性的说明,不作为对实际应用中防御策略的数量或种类的限制:
1、地址扫描
防御策略:在防火墙上过滤掉ICMP应答消息。
2、端口扫描
防御策略:通过防火墙能检测端口是否被扫描,并自动阻断扫描企图。
3、反向映射
防御策略:通过NAT和非路由代理服务器自动抵御此类攻击,或者在防火墙上过滤“hostunreachable”ICMP应答。
4、慢速扫描
防御策略:通过引诱服务来对慢速扫描进行侦测。
5、体系结构探测
防御策略:删除或修改Banner,包括操作***和各种应用服务的Banner,并阻断用于识别的端口。
6、DNS域转换
防御策略:在防火墙处过滤掉域转换请求。
7、Finger服务
防御策略:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
8、LDAP服务
防御策略:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,则把LDAP服务器放入DMZ。
9、DNS高速缓存污染
防御策略:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
10、伪造电子邮件
防御策略:使用PGP等安全工具并安装电子邮件证书。
本发明各方法实施例中所指的终端包括用户终端以及网站服务器,其中,用户终端可以是手机、PC、平板电脑、笔记本等。实际应用中,当上述终端为服务器时,方案涉及的攻击类型可能与用户终端所常见攻击类型有所不同,应当结合服务器攻击类型的特点进行区别处理。
进一步的,作为对上述方法的实现,本发明的另一实施例还提供了一种终端,该终端可以是用户终端,例如手机、电脑等,也可以是网站的服务器,用以对上述方法进行实现。如图3所示,该终端包括:监测单元31、比对单元32、发送单元33;其中,
监测单元31,用于对运行中的进程进行监测,获得进程的实际行为特征,其中,进程包括应用进程及***进程;
比对单元32,用于将监测单元31获得的实际行为特征与行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元33,用于当比对单元32的比对结果为实际行为特征与标准行为特征一致时,向云服务器上报漏洞攻击的攻击日志,以使得云服务器根据攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
进一步的,比对单元32比对的标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
进一步的,发送单元33发送的攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及实际行为特征。
进一步的,发送单元33发送的进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
进一步的,发送单元33发送的攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
进一步的,如图4所示,该终端还包括:
检测单元34,用于对进程进行模拟漏洞攻击检测;
第一记录单元35,用于当检测单元34成功实现模拟漏洞攻击时,将模拟漏洞攻击的行为特征作为标准行为特征记录到行为特征库中;
发送单元33,用于向云服务器上报检测单元34实现的模拟漏洞攻击的攻击日志。
进一步的,如图4所示,该终端还包括:
接收单元36,用于接收云服务器下发的攻击日志;
第二记录单元37,用于将接收单元36接收的攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中;
处理单元38,用于根据第二记录单元37记录的行为特征库对可能出现的漏洞攻击进行发现和主动防御。
本实施例提供的终端,能够在本地通过对进程的行为监测发现漏洞攻击的“行迹”,并在发现漏洞攻击的“行迹”后,向云服务器上报漏洞攻击的攻击日志,以便云服务器将该攻击日志发送给其他终端,使得其他终端在遭受相同漏洞攻击之前,对该漏洞日志进行主动防御。与现有技术中发现并修复漏洞相比,本实施例的攻击防御方式不以漏洞修复为主要目标,通过攻击行为的检测和分析达到发现漏洞攻击的目的。本实施例能够在某一台终端遭受漏洞攻击后,在其他终端上迅速部署攻击防御策略,使得其他终端即使未修复相应补丁也可以免遭漏洞攻击,由此可以快速高效的实现对漏洞攻击的主动防御。
进一步的,作为对上述方法的实现,本发明的另一实施例还提供了一种云服务器,该云服务器可以是公有云服务器也可以是私有云服务器,用以对上述方法进行实现。如图5所示,该云服务器包括:接收单元51、比对单元52、发送单元53;其中,
接收单元51,用于接收终端上报的攻击日志,攻击日志中携带有终端遭受的漏洞攻击的实际行为特征;
比对单元52,用于将接收单元51接收的实际行为特征与云端行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元53,用于当比对单元52的比对结果为实际行为特征与标准行为特征一致时,将接收单元51接收的攻击日志下发给其他终端,以使得其他终端根据攻击日志对相同的漏洞攻击进行主动防御。
进一步的,比对单元52比对的标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
进一步的,接收单元51接收的攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及实际行为特征。
进一步的,接收单元51接收的进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
进一步的,接收单元51接收的攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
进一步的,接收单元51,用于接收终端上报的模拟漏洞攻击的攻击日志。
进一步的,如图6所示,该云服务器还包括:
查找单元54,用于当比对单元52的比对结果为实际行为特征与标准行为特征一致时,查找对应漏洞攻击的防御策略;
发送单元53,用于将查找单元54查找到的防御策略与攻击日志进行绑定,并一同下发给其他终端。
本实施例提供的云服务器,能够由终端在本地通过对进程的行为监测发现漏洞攻击的“行迹”,并在发现漏洞攻击的“行迹”后,向云服务器上报漏洞攻击的攻击日志,以便云服务器将该攻击日志发送给其他终端,使得其他终端在遭受相同漏洞攻击之前,对该漏洞日志进行主动防御。与现有技术中发现并修复漏洞相比,本实施例的攻击防御方式不以漏洞修复为主要目标,通过攻击行为的检测和分析达到发现漏洞攻击的目的。本实施例能够在某一台终端遭受漏洞攻击后,在其他终端上迅速部署攻击防御策略,使得其他终端即使未修复相应补丁也可以免遭漏洞攻击,由此可以快速高效的实现对漏洞攻击的主动防御。
进一步的,作为对上述方法的实现,本发明的另一实施例还提供了一种防御漏洞攻击的***,如图7所示,该***包括第一终端71、云服务器72以及第二终端73。其中,第一终端71可以是图3或图4所示的终端,云服务器72则可以是图5或图6所示的云服务器。
第一终端71,用于对运行中的进程进行监测,获得进程的实际行为特征,其中,进程包括应用进程及***进程,将实际行为特征与行为特征库中的标准行为特征进行比对,标准行为特征用于描述漏洞攻击所涉及的行为,若实际行为特征与标准行为特征一致,则向云服务器72上报漏洞攻击的攻击日志;
云服务器72,用于接收第一终端71上报的攻击日志,将攻击日志中的实际行为特征与云端行为特征库中的标准行为特征进行比对,若实际行为特征与标准行为特征一致,则将攻击日志下发给第二终端73;
第二终端73,用于接收云服务器72下发的攻击日志,将攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中,根据行为特征库对可能出现的漏洞攻击进行发现和主动防御。
本实施例提供的防御漏洞攻击的***,由终端在本地通过对进程的行为监测发现漏洞攻击的“行迹”,并在发现漏洞攻击的“行迹”后,向云服务器上报漏洞攻击的攻击日志,以便云服务器将该攻击日志发送给其他终端,使得其他终端在遭受相同漏洞攻击之前,对该漏洞日志进行主动防御。与现有技术中发现并修复漏洞相比,本实施例的攻击防御方式不以漏洞修复为主要目标,通过攻击行为的检测和分析达到发现漏洞攻击的目的。本实施例能够在某一台终端遭受漏洞攻击后,在其他终端上迅速部署攻击防御策略,使得其他终端即使未修复相应补丁也可以免遭漏洞攻击,由此可以快速高效的实现对漏洞攻击的主动防御。
本发明的实施例公开了:
A1、一种防御漏洞攻击的方法,所述方法包括:
对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程;
将所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
若所述实际行为特征与所述标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志,以使得所述云服务器根据所述攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
A2、根据A1所述的方法,所述标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
A3、根据A1所述的方法,所述攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及所述实际行为特征。
4、根据3所述的方法,所述进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
A5、根据A3所述的方法,所述攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
A6、根据A1所述的方法,所述方法进一步包括:
对所述进程进行模拟漏洞攻击检测;
若成功实现模拟漏洞攻击,则将所述模拟漏洞攻击的行为特征作为所述标准行为特征记录到所述行为特征库中;
向所述云服务器上报所述模拟漏洞攻击的攻击日志。
A7、根据A1至A6中任一项所述的方法,所述方法进一步包括:
接收所述云服务器下发的所述攻击日志;
将所述攻击日志中的实际行为特征作为标准行为特征,记录到所述行为特征库中;
根据所述行为特征库对可能出现的漏洞攻击进行发现和主动防御。
B8、一种防御漏洞攻击的方法,所述方法包括:
接收终端上报的攻击日志,所述攻击日志中携带有所述终端遭受的漏洞攻击的实际行为特征;
将所述实际行为特征与云端行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
若所述实际行为特征与所述标准行为特征一致,则将所述攻击日志下发给其他终端,以使得所述其他终端根据所述攻击日志对相同的漏洞攻击进行主动防御。
B9、根据B8所述的方法,所述标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
B10、根据B8所述的方法,所述攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及所述实际行为特征。
B11、根据B10所述的方法,所述进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
B12、根据B10所述的方法,所述攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
B13、根据B8所述的方法,所述方法进一步包括:
接收所述终端上报的模拟漏洞攻击的攻击日志。
B14、根据B8至B13中任一项所述的方法,若所述实际行为特征与所述标准行为特征一致,则所述方法进一步包括:
查找对应漏洞攻击的防御策略;
所述将所述攻击日志下发给其他终端,包括:
将所述防御策略与所述攻击日志进行绑定,并一同下发给其他终端。
C15、一种终端,所述终端包括:
监测单元,用于对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程;
比对单元,用于将所述监测单元获得的所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当所述比对单元的比对结果为所述实际行为特征与所述标准行为特征一致时,向云服务器上报漏洞攻击的攻击日志,以使得所述云服务器根据所述攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
C16、根据C15所述的终端,所述比对单元比对的所述标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
C17、根据C15所述的终端,所述发送单元发送的所述攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及所述实际行为特征。
C18、根据C17所述的终端,所述发送单元发送的所述进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
C19、根据C17所述的终端,所述发送单元发送的所述攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
C20、根据C15所述的终端,所述终端还包括:
检测单元,用于对所述进程进行模拟漏洞攻击检测;
第一记录单元,用于当所述检测单元成功实现模拟漏洞攻击时,将所述模拟漏洞攻击的行为特征作为所述标准行为特征记录到所述行为特征库中;
所述发送单元,用于向所述云服务器上报所述检测单元实现的所述模拟漏洞攻击的攻击日志。
C21、根据C15至C20中任一项所述的终端,所述终端还包括:
接收单元,用于接收所述云服务器下发的所述攻击日志;
第二记录单元,用于将所述接收单元接收的所述攻击日志中的实际行为特征作为标准行为特征,记录到所述行为特征库中;
处理单元,用于根据所述第二记录单元记录的所述行为特征库对可能出现的漏洞攻击进行发现和主动防御。
D22、一种云服务器,所述云服务器包括:
接收单元,用于接收终端上报的攻击日志,所述攻击日志中携带有所述终端遭受的漏洞攻击的实际行为特征;
比对单元,用于将所述接收单元接收的所述实际行为特征与云端行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当所述比对单元的比对结果为所述实际行为特征与所述标准行为特征一致时,将所述接收单元接收的所述攻击日志下发给其他终端,以使得所述其他终端根据所述攻击日志对相同的漏洞攻击进行主动防御。
D23、根据D22所述的云服务器,所述比对单元比对的所述标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
D24、根据D22所述的云服务器,所述接收单元接收的所述攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及所述实际行为特征。
D25、根据D24所述的云服务器,所述接收单元接收的所述进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
D26、根据D24所述的云服务器,所述接收单元接收的所述攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
D27、根据D22所述的云服务器,所述接收单元,用于接收所述终端上报的模拟漏洞攻击的攻击日志。
D28、根据D22至D27中任一项所述的云服务器,所述云服务器还包括:
查找单元,用于当所述比对单元的比对结果为所述实际行为特征与所述标准行为特征一致时,查找对应漏洞攻击的防御策略;
所述发送单元,用于将所述查找单元查找到的所述防御策略与所述攻击日志进行绑定,并一同下发给其他终端。
E28、一种防御漏洞攻击的***,所述***包括:第一终端、云服务器以及第二终端;其中,
所述第一终端,用于对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程,将所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为,若所述实际行为特征与所述标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志;
所述云服务器,用于接收所述第一终端上报的所述攻击日志,将所述攻击日志中的所述实际行为特征与云端行为特征库中的标准行为特征进行比对,若所述实际行为特征与所述标准行为特征一致,则将所述攻击日志下发给所述第二终端;
所述第二终端,用于接收所述云服务器下发的所述攻击日志,将所述攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中,根据所述行为特征库对可能出现的漏洞攻击进行发现和主动防御。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (10)
1.一种防御漏洞攻击的方法,其特征在于,所述方法包括:
对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程;
将所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
若所述实际行为特征与所述标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志,以使得所述云服务器根据所述攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
2.根据权利要求1所述的方法,其特征在于,所述标准行为特征包括:
隐藏IP、非法扫描、登录主机、清除记录、预留后门、修改注册表、植入代码、盗取信息、信息回传、修改DNS。
3.根据权利要求1所述的方法,其特征在于,所述攻击日志包括:遭受漏洞攻击的进程的标识、攻击类型、漏洞代码以及所述实际行为特征。
4.根据权利要求3所述的方法,其特征在于,所述进程的标识包括:
进程名称、进程ID、进程句柄、进程文件的存储路径。
5.根据权利要求3所述的方法,其特征在于,所述攻击类型包括:
拒绝服务、非授权访问尝试、预探测攻击、协议解码、***代理攻击。
6.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
对所述进程进行模拟漏洞攻击检测;
若成功实现模拟漏洞攻击,则将所述模拟漏洞攻击的行为特征作为所述标准行为特征记录到所述行为特征库中;
向所述云服务器上报所述模拟漏洞攻击的攻击日志。
7.一种防御漏洞攻击的方法,其特征在于,所述方法包括:
接收终端上报的攻击日志,所述攻击日志中携带有所述终端遭受的漏洞攻击的实际行为特征;
将所述实际行为特征与云端行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
若所述实际行为特征与所述标准行为特征一致,则将所述攻击日志下发给其他终端,以使得所述其他终端根据所述攻击日志对相同的漏洞攻击进行主动防御。
8.一种终端,其特征在于,所述终端包括:
监测单元,用于对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程;
比对单元,用于将所述监测单元获得的所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当所述比对单元的比对结果为所述实际行为特征与所述标准行为特征一致时,向云服务器上报漏洞攻击的攻击日志,以使得所述云服务器根据所述攻击日志通知其他终端对相同的漏洞攻击进行主动防御。
9.一种云服务器,其特征在于,所述云服务器包括:
接收单元,用于接收终端上报的攻击日志,所述攻击日志中携带有所述终端遭受的漏洞攻击的实际行为特征;
比对单元,用于将所述接收单元接收的所述实际行为特征与云端行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为;
发送单元,用于当所述比对单元的比对结果为所述实际行为特征与所述标准行为特征一致时,将所述接收单元接收的所述攻击日志下发给其他终端,以使得所述其他终端根据所述攻击日志对相同的漏洞攻击进行主动防御。
10.一种防御漏洞攻击的***,其特征在于,所述***包括:第一终端、云服务器以及第二终端;其中,
所述第一终端,用于对运行中的进程进行监测,获得所述进程的实际行为特征,其中,所述进程包括应用进程及***进程,将所述实际行为特征与行为特征库中的标准行为特征进行比对,所述标准行为特征用于描述漏洞攻击所涉及的行为,若所述实际行为特征与所述标准行为特征一致,则向云服务器上报漏洞攻击的攻击日志;
所述云服务器,用于接收所述第一终端上报的所述攻击日志,将所述攻击日志中的所述实际行为特征与云端行为特征库中的标准行为特征进行比对,若所述实际行为特征与所述标准行为特征一致,则将所述攻击日志下发给所述第二终端;
所述第二终端,用于接收所述云服务器下发的所述攻击日志,将所述攻击日志中的实际行为特征作为标准行为特征,记录到行为特征库中,根据所述行为特征库对可能出现的漏洞攻击进行发现和主动防御。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854248.4A CN104468632A (zh) | 2014-12-31 | 2014-12-31 | 防御漏洞攻击的方法、设备及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854248.4A CN104468632A (zh) | 2014-12-31 | 2014-12-31 | 防御漏洞攻击的方法、设备及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104468632A true CN104468632A (zh) | 2015-03-25 |
Family
ID=52914004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410854248.4A Pending CN104468632A (zh) | 2014-12-31 | 2014-12-31 | 防御漏洞攻击的方法、设备及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104468632A (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534174A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 一种敏感数据的云防护方法、装置及*** |
| CN106656941A (zh) * | 2015-11-03 | 2017-05-10 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN107341396A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 入侵检测方法、装置及服务器 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| WO2018076368A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 局域网内设备的安全操控方法、***及其设备 |
| CN108183886A (zh) * | 2017-12-07 | 2018-06-19 | 交控科技股份有限公司 | 一种轨道交通信号***安全网关的安全增强设备 |
| CN104935580B (zh) * | 2015-05-11 | 2018-09-11 | 国家电网公司 | 基于云平台的信息安全控制方法和*** |
| CN108830084A (zh) * | 2018-06-12 | 2018-11-16 | 国网江苏省电力有限公司无锡供电分公司 | 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法 |
| CN109255238A (zh) * | 2018-08-24 | 2019-01-22 | 成都网思科平科技有限公司 | 终端威胁检测与响应方法及引擎 |
| CN109344622A (zh) * | 2018-09-26 | 2019-02-15 | 杭州迪普科技股份有限公司 | 漏洞攻击的入侵检测方法及相关设备 |
| CN109492403A (zh) * | 2018-10-26 | 2019-03-19 | 北京车和家信息技术有限公司 | 一种漏洞检测方法及装置 |
| CN109829310A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 相似攻击的防御方法及装置、***、存储介质、电子装置 |
| CN109992958A (zh) * | 2017-12-29 | 2019-07-09 | 国民技术股份有限公司 | 一种安全性评估方法及安全性评估设备 |
| CN110365689A (zh) * | 2019-07-19 | 2019-10-22 | 北京搜狐新媒体信息技术有限公司 | 端口检测方法、装置及*** |
| CN110719271A (zh) * | 2019-09-26 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种旁路流量检测设备与终端防护设备联合防御方法 |
| CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及*** |
| CN111092879A (zh) * | 2019-12-13 | 2020-05-01 | 杭州迪普科技股份有限公司 | 日志关联方法及装置、电子设备、存储介质 |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN112016693A (zh) * | 2019-05-30 | 2020-12-01 | 中兴通讯股份有限公司 | 机器学习引擎实现方法及装置、终端设备、存储介质 |
| CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN112883383A (zh) * | 2021-03-04 | 2021-06-01 | 北京明略昭辉科技有限公司 | 一种漏洞安全防御方法、***及计算机设备 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN113259392A (zh) * | 2021-06-28 | 2021-08-13 | 四块科技(深圳)有限公司 | 一种网络安全攻防方法、装置及存储介质 |
| CN113872962A (zh) * | 2021-09-24 | 2021-12-31 | 东南大学 | 一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法 |
| CN114301647A (zh) * | 2021-12-20 | 2022-04-08 | 上海纽盾科技股份有限公司 | 态势感知中漏洞信息的预测防御方法、装置及*** |
| CN116962049A (zh) * | 2023-07-25 | 2023-10-27 | 三峡高科信息技术有限责任公司 | 一种综合监测和主动防御的零日漏洞攻击防控方法和*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960369A (zh) * | 2005-11-02 | 2007-05-09 | 董孝峰 | 模拟生物神经网络保护互联网安全的方法及*** |
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| US20100100962A1 (en) * | 2008-10-21 | 2010-04-22 | Lockheed Martin Corporation | Internet security dynamics assessment system, program product, and related methods |
| CN101719842A (zh) * | 2009-11-20 | 2010-06-02 | 中国科学院软件研究所 | 一种基于云计算环境的分布式网络安全预警方法 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及*** |
-
2014
- 2014-12-31 CN CN201410854248.4A patent/CN104468632A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1960369A (zh) * | 2005-11-02 | 2007-05-09 | 董孝峰 | 模拟生物神经网络保护互联网安全的方法及*** |
| CN101364981A (zh) * | 2008-06-27 | 2009-02-11 | 南京邮电大学 | 基于因特网协议版本6的混合式入侵检测方法 |
| US20100100962A1 (en) * | 2008-10-21 | 2010-04-22 | Lockheed Martin Corporation | Internet security dynamics assessment system, program product, and related methods |
| CN101719842A (zh) * | 2009-11-20 | 2010-06-02 | 中国科学院软件研究所 | 一种基于云计算环境的分布式网络安全预警方法 |
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN104135479A (zh) * | 2014-07-29 | 2014-11-05 | 腾讯科技(深圳)有限公司 | 云端实时防御方法及*** |
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935580B (zh) * | 2015-05-11 | 2018-09-11 | 国家电网公司 | 基于云平台的信息安全控制方法和*** |
| CN106656941A (zh) * | 2015-11-03 | 2017-05-10 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN106656941B (zh) * | 2015-11-03 | 2020-02-07 | 北京神州泰岳软件股份有限公司 | 一种设备安全漏洞的处理方法和装置 |
| CN107341396A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 入侵检测方法、装置及服务器 |
| CN107341396B (zh) * | 2016-05-03 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 入侵检测方法、装置及服务器 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN107515820B (zh) * | 2016-06-17 | 2021-02-05 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| WO2018076368A1 (zh) * | 2016-10-31 | 2018-05-03 | 美的智慧家居科技有限公司 | 局域网内设备的安全操控方法、***及其设备 |
| CN106534174A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 一种敏感数据的云防护方法、装置及*** |
| CN107835179B (zh) * | 2017-11-14 | 2021-05-04 | 超越科技股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| CN108183886A (zh) * | 2017-12-07 | 2018-06-19 | 交控科技股份有限公司 | 一种轨道交通信号***安全网关的安全增强设备 |
| CN108183886B (zh) * | 2017-12-07 | 2020-07-31 | 交控科技股份有限公司 | 一种轨道交通信号***安全网关的安全增强设备 |
| CN109992958A (zh) * | 2017-12-29 | 2019-07-09 | 国民技术股份有限公司 | 一种安全性评估方法及安全性评估设备 |
| CN109829310A (zh) * | 2018-05-04 | 2019-05-31 | 360企业安全技术(珠海)有限公司 | 相似攻击的防御方法及装置、***、存储介质、电子装置 |
| CN109829310B (zh) * | 2018-05-04 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 相似攻击的防御方法及装置、***、存储介质、电子装置 |
| CN108830084B (zh) * | 2018-06-12 | 2021-10-01 | 国网江苏省电力有限公司无锡供电分公司 | 实现漏洞扫描与防护加固的手持式终端及防护方法 |
| CN108830084A (zh) * | 2018-06-12 | 2018-11-16 | 国网江苏省电力有限公司无锡供电分公司 | 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法 |
| CN109255238A (zh) * | 2018-08-24 | 2019-01-22 | 成都网思科平科技有限公司 | 终端威胁检测与响应方法及引擎 |
| CN109344622A (zh) * | 2018-09-26 | 2019-02-15 | 杭州迪普科技股份有限公司 | 漏洞攻击的入侵检测方法及相关设备 |
| CN109492403A (zh) * | 2018-10-26 | 2019-03-19 | 北京车和家信息技术有限公司 | 一种漏洞检测方法及装置 |
| CN109492403B (zh) * | 2018-10-26 | 2021-04-02 | 北京车和家信息技术有限公司 | 一种漏洞检测方法及装置 |
| CN112016693A (zh) * | 2019-05-30 | 2020-12-01 | 中兴通讯股份有限公司 | 机器学习引擎实现方法及装置、终端设备、存储介质 |
| CN110365689A (zh) * | 2019-07-19 | 2019-10-22 | 北京搜狐新媒体信息技术有限公司 | 端口检测方法、装置及*** |
| CN110365689B (zh) * | 2019-07-19 | 2021-11-23 | 北京搜狐新媒体信息技术有限公司 | 端口检测方法、装置及*** |
| CN110719271A (zh) * | 2019-09-26 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种旁路流量检测设备与终端防护设备联合防御方法 |
| CN111092879A (zh) * | 2019-12-13 | 2020-05-01 | 杭州迪普科技股份有限公司 | 日志关联方法及装置、电子设备、存储介质 |
| CN111092879B (zh) * | 2019-12-13 | 2022-05-31 | 杭州迪普科技股份有限公司 | 日志关联方法及装置、电子设备、存储介质 |
| CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及*** |
| CN111740855A (zh) * | 2020-05-06 | 2020-10-02 | 首都师范大学 | 基于数据迁移的风险识别方法、装置、设备及存储介质 |
| CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
| CN112738032B (zh) * | 2020-12-17 | 2022-10-11 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
| CN112866051A (zh) * | 2020-12-31 | 2021-05-28 | 深信服科技股份有限公司 | 一种脆弱性处理方法、装置、服务器和介质 |
| CN112883383A (zh) * | 2021-03-04 | 2021-06-01 | 北京明略昭辉科技有限公司 | 一种漏洞安全防御方法、***及计算机设备 |
| CN113225334A (zh) * | 2021-04-30 | 2021-08-06 | 中国工商银行股份有限公司 | 终端安全管理方法、装置、电子设备及存储介质 |
| CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN113242258B (zh) * | 2021-05-27 | 2023-11-14 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN113259392B (zh) * | 2021-06-28 | 2021-11-02 | 四块科技(深圳)有限公司 | 一种网络安全攻防方法、装置及存储介质 |
| CN113259392A (zh) * | 2021-06-28 | 2021-08-13 | 四块科技(深圳)有限公司 | 一种网络安全攻防方法、装置及存储介质 |
| CN113872962A (zh) * | 2021-09-24 | 2021-12-31 | 东南大学 | 一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法 |
| CN113872962B (zh) * | 2021-09-24 | 2024-02-06 | 东南大学 | 一种面向高速网络抽样数据采集场景的慢速端口扫描检测方法 |
| CN114301647A (zh) * | 2021-12-20 | 2022-04-08 | 上海纽盾科技股份有限公司 | 态势感知中漏洞信息的预测防御方法、装置及*** |
| CN114301647B (zh) * | 2021-12-20 | 2024-05-10 | 上海纽盾科技股份有限公司 | 态势感知中漏洞信息的预测防御方法、装置及*** |
| CN116962049A (zh) * | 2023-07-25 | 2023-10-27 | 三峡高科信息技术有限责任公司 | 一种综合监测和主动防御的零日漏洞攻击防控方法和*** |
| CN116962049B (zh) * | 2023-07-25 | 2024-03-12 | 三峡高科信息技术有限责任公司 | 一种综合监测和主动防御的零日漏洞攻击防控方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及*** | |
| US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
| US11489855B2 (en) | System and method of adding tags for use in detecting computer attacks | |
| US20190166147A1 (en) | Secure computing environment | |
| US10826928B2 (en) | System and method for simulating network security threats and assessing network security | |
| US20190182286A1 (en) | Identifying communicating network nodes in the presence of Network Address Translation | |
| CN107872456A (zh) | 网络入侵防御方法、装置、***及计算机可读存储介质 | |
| US20100235917A1 (en) | System and method for detecting server vulnerability | |
| Wade | SCADA Honeynets: The attractiveness of honeypots as critical infrastructure security tools for the detection and analysis of advanced threats | |
| CN112637220A (zh) | 一种工控***安全防护方法及装置 | |
| CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与*** | |
| Patel | A survey on vulnerability assessment & penetration testing for secure communication | |
| US20110258208A1 (en) | Methods and systems for securing and protecting repositories and directories | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及*** | |
| Disso et al. | A plausible solution to SCADA security honeypot systems | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| Aboelfotoh et al. | A review of cyber-security measuring and assessment methods for modern enterprises | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及*** | |
| CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| Bendiab et al. | IoT Security Frameworks and Countermeasures | |
| Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
| Nilsson et al. | Vulnerability scanners | |
| Lukatsky et al. | Protect your information with intrusion detection | |
| Omeiza et al. | Web security investigation through penetration tests: A case study of an educational institution portal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150325 |