CN108512805B - 一种网络安全防御方法及网络安全防御装置 - Google Patents
一种网络安全防御方法及网络安全防御装置 Download PDFInfo
- Publication number
- CN108512805B CN108512805B CN201710103492.0A CN201710103492A CN108512805B CN 108512805 B CN108512805 B CN 108512805B CN 201710103492 A CN201710103492 A CN 201710103492A CN 108512805 B CN108512805 B CN 108512805B
- Authority
- CN
- China
- Prior art keywords
- hacker
- attack
- information
- preset
- event information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全防御方法及网络安全防御装置,用于根据历史攻击事件得到黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,并且形成黑客分布图,使得用户可以根据黑客分布图了解黑客来源,有针对性的提高网络防护措施,从而提高了网络的安全性。本发明实施例方法包括:获取历史攻击事件的攻击事件信息,根据攻击事件信息确定黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图,黑客分布图用于网络安全防御。
Description
技术领域
本发明涉及互联网安全领域,尤其涉及一种网络安全防御方法及网络安全防御装置。
背景技术
现今网站应用型企业被攻击后,容易造成的网站数据泄露、网站挂载木马及服务器瘫痪等问题,给用户带来很大的损失,网站安全保障就成为企业发展急需解决的问题,因此明确发起网络攻击的黑客,知己知彼地去提高防御能力,减少受攻击次数和影响,具有很重要地意义。
现有的网络安全防御技术一般是通过网络安全产品(例如,网站应用级入侵防御***(Web Application Firewall,WAF),WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品)记录网站被攻击的攻击事件,根据攻击事件展示出被攻击的相关信息,例如,今天被攻击次数、昨天被攻击次数、攻击事件的IP地址源统计及攻击事件来源区域统计等等。
但是,现有技术只是单纯的基于攻击事件的记录和展示被攻击的情况,而对于发起网络攻击的黑客来源并没有分析及定位,因此,用户无法迅速的追溯到黑客来源。
发明内容
本发明提供了一种网络安全防御方法及网络安全防御装置,用于根据历史攻击事件确定黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,并且形成黑客分布图,使得用户可以根据黑客分布图了解黑客来源,有针对性的提高网络防护措施,从而提高了网络的安全性。
本发明第一方面提供一种网络安全防御方法,包括:
获取历史攻击事件的攻击事件信息;
根据所述攻击事件信息确定黑客的位置信息;
根据所述黑客的位置信息在预置黑客追踪区域定位所述黑客,形成黑客分布图,所述黑客分布图用于网络安全防御。
本发明第二方面提供一种网络安全防御装置,包括:
获取模块,用于获取历史攻击事件的攻击事件信息;
解析模块,用于根据所述攻击事件信息确定黑客的位置信息;
定位模块,用于根据所述黑客的位置信息在预置黑客追踪区域定位所述黑客,形成黑客分布图,所述黑客分布图用于网络安全防御。
从以上技术方案可以看出,本发明实施例的一种网络安全防御方法及网络安全防御装置具有以下优点:
网络安全防御装置获取历史攻击事件的攻击事件信息,根据攻击事件信息确定黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图。由于黑客分布图中的黑客是根据黑客的位置信息在预置黑客追踪区域定位得到的,而黑客的位置信息是根据历史攻击事件得到的,与现有技术根据攻击事件展示出被攻击的相关信息相比,本方案是根据历史攻击事件展示出黑客分布图,使得用户可以根据黑客分布图直观且方便的追溯黑客来源,有针对性的提高网络防护措施,从而提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例和现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例中网络安全防御方法的一个实施例示意图;
图2为本发明实施例中黑客分布图的一个示意图;
图3为本发明实施例中黑客分布图的另一个示意图;
图4为本发明实施例中黑客分布图的又一个示意图;
图5为本发明实施例中攻击树的一个示意图;
图6为本发明实施例中黑客行为属性的一个示意图;
图7为本发明实施例中网络安全防御装置的一个结构示意图;
图8为本发明实施例中网络安全防御装置的另一个结构示意图;
图9为本发明实施例中网络安全防御装置的一个实体装置结构示意图。
具体实施方式
本发明提供了一种网络安全防御方法及网络安全防御装置,用于根据历史攻击事件得到黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,并且形成黑客分布图,使得用户可以根据黑客分布图了解黑客来源,有针对性的提高网络防护措施,从而提高了网络的安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的网络安全防御方法及网络安全防御装置主要应用于网站应用型企业的网络安全防御,由于网站的数据库中可能包含用户信息或者企业信息,对于用户来说是非常重要的,而且由于商业竞争或者个人利益等关系,企业的网站又是黑客重点攻击的对象,对于企业的网站的防御在网络安全领域中显得尤为重要。
网站之所以能够被黑客攻击,主要有以下原因:1、Internet Explorer、Firefox和Windows操作***中包含很多可以被黑客利用的漏洞,特别是在用户经常不及时安装补丁的情况下,黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码;2、由于网站的服务器存在漏洞和服务器管理配置错误,Internet Information Server(IIS)和Apache网络服务器经常被黑客用来攻击;3、网站的服务器进行了虚拟托管,同时托管几个甚至数千个网站的服务器也是黑客恶意攻击的目标;4、被黑客控制的计算机可以被设置为代理服务器,躲避URL过滤对通信的控制,进行匿名上网或者充当非法网站数据流的中间人;5、网站的服务用户可以从特定网站请求浏览网页,只自动地从Google分析服务器等合法网站下载对象,黑客将导向网站的特定网站重新导向至恶意软件网站;6、用户不了解三种SSL浏览器检查的原因,不了解如何验证所下载程序的合法性,不了解计算机是否不正常,不知道如何区分钓鱼网页和合法网页,导致黑客容易入侵;7、网站的JavaScript、Javaapplets、.NET应用、Flash或ActiveX之类的程序,都会自动执行脚本或代码,程序编码如果存在漏洞,就会方便黑客输入并使用Cookies,从而导入恶意代码;8、很多网站的程序都通过HTTP访问互联网,例如IM和P2P软件。黑客通过劫持这些程序打开了发送僵尸网络命令的通道。除了以上原因之外,还有很多种原因导致黑客可以入侵网站。
现有的用于网络安全防御的软件或者***有很多,例如阿里云WAF,WAF记录网站被攻击的攻击事件,根据攻击事件展示出网站被攻击的相关信息,例如,今天被攻击次数、昨天被攻击次数、攻击事件的IP地址源统计信息及攻击事件来源区域等等,可以通过展示界面将被攻击的相关信息展示给用户,用户通过显示界面直观的了解到网站之前受到的黑客攻击,从而了解网站目前的安全状况,根据目前的安全状况,采用相应的安全防护措施来应对黑客对网站的攻击。但是如果已经因为黑客攻击造成损失,就需要找到黑客,依据法律法规打击黑客攻击,挽回经济损失。那么用户还需要通过分析海量的攻击事件来追溯黑客,给用户造成麻烦。
为了解决以上所描述的现有技术的问题,本发明采用了一种网络安全防御方法,下面通过实施例对网络安全防御方法进行详细说明。
请参阅图1,本发明实施例提供一种网络安全防御方法,包括:
101、获取历史攻击事件的攻击事件信息;
本实施例中,网络安全防御装置已经预先安装好,并且实时监控网络的安全状况,当网络遭受到攻击事件时,对本次攻击事件进行防御,如果防御成功了,则获取本次攻击事件的攻击事件信息,并且将此次攻击事件和攻击事件信息记录保存在数据库中;如果防御不成功造成损失,则技术人员也可以在后续将攻击事件信息记录到数据库中。因此从数据库中可以获取到当前为止所有黑客的历史攻击事件的攻击事件信息,攻击事件信息一般包括攻击类型、攻击手段、攻击动机、攻击事件、攻击源IP地址等等。
102、根据攻击事件信息确定黑客的位置信息;
本实施例中,在获取到历史攻击事件的攻击事件信息之后,解析每次攻击事件对应的攻击事件信息,可以得到发动该次攻击事件的黑客的位置信息,每一个黑客可能发动一次或者多次攻击事件,最后总结出所有黑客的位置信息,黑客的位置信息可以是大致的地理区域位置(例如,位置信息为北京)也可以是详细的地理位置(例如,位置信息是北京X区Y栋大楼Z室),黑客的位置信息的具体内容由网络安全防御装置所能记录并且追溯到的详细地址为准,不做具体限定。
103、根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图。
本实施例中,在得到黑客的位置信息之后,以预置黑客追踪区域为基础,根据黑客的位置信息在预置黑客追踪区域定位出黑客,例如预置黑客追踪区域为中国大陆境内,那么将黑客的位置信息是处于中国大陆境内的定位出来,例如,某黑客的位置信息是北京,而北京处于中国大陆境内,将该黑客定位在中国大陆境内,从而形成中国大陆境内的黑客分布图。需要说明的是,预置黑客追踪区域的范围大小可以根据企业的实际需要进行设置,可以是城市、省份、国家或者世界范围,另外黑客分布图可以是以预置黑客追踪区域的地图为背景,在地图上标注出黑客;也可以是以文本的方式描述黑客分布图,具体不做限定。
本发明实施例中,网络安全防御装置获取历史攻击事件的攻击事件信息,根据攻击事件信息确定黑客的位置信息,根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图。由于黑客分布图中的黑客是根据黑客的位置信息在预置黑客追踪区域定位得到的,而黑客的位置信息是根据历史攻击事件得到的,与现有技术根据攻击事件展示出被攻击的相关信息相比,本方案是根据历史攻击事件展示出黑客分布图,使得用户可以根据黑客分布图直观且方便的追溯黑客来源。
上述图1所示的实施例的步骤101中历史攻击事件只要是通过网络进行的攻击,都能在处理攻击事件时追踪查询到实施攻击的黑客的黑客IP地址,而根据IP地址在网络中是唯一的特性,通过黑客IP地址来确定黑客的位置信息是可以实现的,具体如下:
可选的,本发明的一些实施例中,攻击事件信息包括黑客IP地址,根据攻击事件信息确定黑客的位置信息,包括:
解析攻击事件信息得到黑客IP地址;
根据黑客IP地址确定黑客的位置信息。
本发明实施例中,IP地址是互联网协议地址,是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。黑客通过接入互联网的网络设备对某些网站进行攻击后,在网络运营商的用户记录中必然会留下记录,通过查找搜寻可以获得该次攻击的黑客IP地址,因此,解析攻击事件信息可以得到黑客IP地址,由于网络运营商在给互联网用户分配IP地址时,都是根据地区来进行分配的,例如电信带宽在北京分配的IP地址段包括:110.94.0.0-110.95.255.255、1.202.0.0-1.203.255.255及211.100.0.0-211.100.255.255等,甚至小到每个小区都已经分配好IP地址段,如果黑客IP地址是110.94.123.1那么肯定能确定黑客的位置信息是北京,如果已知网络运营商的IP地址分配详情的话,甚至能将黑客的位置信息精确到哪个小区的哪个房间。
可选的,本发明的一些实施例中,根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图,包括:
根据黑客的位置信息判断黑客是否处于预置黑客追踪区域内;
若处于,则在预置黑客追踪区域内定位黑客,形成黑客分布图;
若不处于,则不在预置黑客追踪区域内定位黑客。
本发明实施例中,如果黑客的位置信息是北京,而网站设置需要追踪黑客的范围是美国境内,那么预置黑客追踪区域是美国,因此,黑客不处于预置黑客追踪区域,不需要在预置黑客追踪区域内定位该黑客;而如果预置黑客追踪区域是中国境内,那么该黑客处于预置黑客追踪区域内,需要在预置黑客追踪区域内定位黑客,在定位所有黑客之后,基于预置黑客追踪区域的黑客分布图就形成了。
在图1所示的实施例的步骤103中提到黑客分布图可以是以地图为背景,也可以是以文本的方式展示给用户,而为了使得用户能看的更加直观,下面通过实施例对黑客分布图以地图为背景进行说明,具体如下:
可选的,本发明的一些实施例中,在预置黑客追踪区域内定位黑客,形成黑客分布图,包括:
获取预置黑客追踪区域的区域地图;
根据黑客的位置信息,在区域地图上设置黑客标识,得到黑客分布图。
本发明实施例中,为了方便用户更加直观的看到黑客的定位,可以将黑客标注在预置黑客追踪区域的区域地图上,具体的,假设黑客的位置信息是北京,预置黑客追踪区域是中国境内,先获取预置黑客追踪区域的区域地图(中国地图),根据黑客的位置信息(北京),在区域地图(中国地图)上设置黑客标识,得到如图2所示的黑客分布图,在图2中黑客标识是头像图片的形式显示的,除此之外,黑客标识还可以是三角形符号等其他方式,具体不做限定,因此,用户在网络安全防御装置呈现的黑客分布图中,就能看到黑客的位置。
在以上实施例中,在黑客分布图中只有黑客标识,那么用户只能直观的看到黑客的位置,而这个黑客是否需要重点防御则需要根据攻击事件进行分析,因此,还需要对黑客分布图进一步的进行丰富,下面通过实施例进行详细说明,具体如下:
可选的,本发明的一些实施例中,在预置黑客追踪区域内定位黑客,形成黑客分布图之前,还包括:
根据攻击事件信息判断黑客的恶意程度;
根据黑客的恶意程度对黑客进行等级划分,得到黑客的等级值;
在预置黑客追踪区域内定位黑客,形成黑客分布图,包括:
获取预置黑客追踪区域的区域地图;
根据黑客的位置信息,在区域地图上设置黑客标识,并标注黑客的等级值,得到黑客分布图。
本发明实施例中,在定位黑客之前,需要先根据攻击事件信息判断黑客的恶意程度,具体的判断标准是预先配置好的,例如以攻击手段为判断依据,一般攻击手段包括SQL注入、任意文件读取、命令注入及Strut2代码执行等等,其中,SQL注入就是通过把SQL命令***到Web表单提交、输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令;任意文件读取是指黑客利用应用的任意文件读取漏洞获取信息;命令注入是指黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容,从而非法获取数据;Strut2代码执行是利用Strut2漏洞注入恶意代码,从而非法获取数据。
假设SQL注入的攻击手段的恶意程度最高,命令注入的攻击手段的恶意程度次于SQL注入,Strut2代码执行的攻击手段的恶意程度次于命令注入,任意文件读取的攻击手段的恶意程度最低。
例如,黑客A进行1次攻击,记录的攻击事件信息中的攻击手段为SQL注入;黑客B进行了2次攻击,记录的攻击事件信息中的攻击手段为SQL注入和命令注入;黑客C进行了10次攻击,记录的攻击事件信息中的攻击手段均为任意文件读取,综合黑客A、黑客B及黑客C的攻击次数和攻击手段,得出黑客B的恶意程度最高,黑客A的恶意程度第二,黑客C的恶意程度最低,根据黑客A、黑客B和黑客C的恶意程度进行等级划分,得到黑客A的等级值为1,黑客B的等级值为2,黑客C的等级值为3。
以上黑客的恶意程度的判定只是举例说明,在实际应用时还可以通过其他因素来进行判定,具体不做说明。
在得到黑客的等级值之后,需要将等级值也显示在黑客分布图中,如图3所示的黑客分布图中,黑客B定位在北京,其黑客头像边上标注有数值1,表示的就是该黑客的等级值为1;黑客A定位在上海,其黑客头像边上标注有数值2,表示的就是该黑客的等级值为2;黑客C定位在广东,其黑客头像边上标注有数值3,表示的就是该黑客的等级值为3。需要说明的是,黑客的等级值除了通过以上所描述的以数值方式显示之外,还可以通过其他方式,比如用特定颜色的黑客头像来表示黑客的等级值,具体可以是,黑客B的黑客头像是红色,表示的就是该黑客的等级值为1;黑客A的黑客头像是黄色,表示的就是该黑客的等级值为2;黑客C的黑客头像是绿色,表示的就是该黑客的等级值为3。因此,用户通过黑客分布图不但可以直观的看到黑客的位置,还能够知道黑客的等级值。
在以上实施例中,用户通过黑客分布图直观的看到了黑客的位置,但是如果用户想要知道某个黑客更加详细的信息时,还是需要通过查询数据库中攻击事件信息得到,如何方便用户获得黑客分布图中的黑客的信息,以下实施例进行了详细说明,具体如下:
可选的,本发明的一些实施例中,形成黑客分布图之后,还包括:
获取黑客标识对应的黑客的黑客信息,黑客信息包括黑客的黑客IP地址、位置信息、活跃度及攻击信息;
将黑客的黑客信息与黑客标识进行绑定。
本发明实施例中,由于黑客标识所对应的黑客是已知的,那么通过该黑客的黑客IP地址就能在众多的历史攻击事件中,得到该黑客的攻击该网站的所有攻击事件,对这些攻击事件的攻击事件信息进行统计之后,得到该黑客的黑客信息,黑客信息一般包括黑客IP地址、位置信息、活跃度及攻击信息等等,其中,攻击信息可以是攻击手段、攻击动机、攻击次数及攻击时间等等。再将黑客的黑客信息与黑客标识进行绑定,这样就能使得用户点击黑客分布图中某个黑客标识时,网络安全防御装置能调度出这个黑客标识对应的黑客的黑客信息。如图4所示,用户在黑客分布图中看到有一个黑客标识的等级值为1,想要知道这个黑客标识对应的黑客的信息,当用户点击这个黑客标识时,自动弹出一个信息框,与该黑客标识绑定的黑客信息显示于信息框中,信息框显示的是“110.94.3.111北京非常活跃SQL注入最近一次攻击时间:2017-1-1 19:20:10”,表示该黑客的IP地址为110.94.3.111,位置信息为北京,活跃度为非常活跃,攻击手段为SQL注入,最近一次发动攻击事件的时间为2017年1月1日19时20分10秒。这样,就极大的方便了用户对于黑客分布图中黑客的信息的获取。
需要说明的是,在图4的信息框中显示的黑客信息只是举例说明,在实际应用中,显示的黑客信息还可以包括更多的内容,例如活跃时间段等等。
可选的,本发明的一些实施例中,将黑客的黑客信息与黑客标识进行绑定之后,还包括:
根据黑客的恶意程度及黑客信息,生成黑客排名列表。
本发明实施例中,将黑客的黑客信息与黑客标识进行绑定之后,还可以根据黑客的等级值及黑客信息,生成黑客排名列表,使得用户查看黑客排名列表也能方便的了解到威胁最大的黑客的信息,如下表1所示,黑客的恶意程度通过数值来表示,通过恶意程度的数值大小来确定黑客排名,并且将排名值、IP地址、恶意程度、位置信息、攻击手法、攻击事件、最近攻击事件及应对操作等信息都展示在黑客排名列表中。
表1
需要说明的是,表1是根据黑客的恶意程度进行黑客排名得到的,在实际应用中,还可以通过“恶意程度”和“攻击事件次数”这两个维度来对黑客进行排名,甚至还可以通过更多的维度,具体不做说明
需要说明的是,表1的黑客排名列表中还可以包括更多的黑客信息,例如攻击特征、风险等级或者被攻击应用IP地址等等。
可选的,本发明的一些实施例中,根据黑客的等级值及黑客信息,生成黑客排名列表之后,还包括:
当用户在黑客排名列表选择目标黑客时,获取目标黑客的历史攻击事件的攻击事件信息,攻击事件信息包括攻击时间;
根据攻击时间生成目标黑客的攻击树。
本发明实施例中,当用户想要知道在黑客排名列表中的某个黑客的所有的攻击事件时,用户在黑客排名列表选择目标黑客,获取目标黑客的历史攻击事件的攻击事件信息,攻击事件信息包括攻击时间,根据攻击时间生成目标黑客的攻击树。如图5所示,为用户在黑客排名列表中选择了排名第一的黑客,该黑客总共有3次攻击事件,按照攻击事件的攻击时间生成攻击树,使得用户可以直观的看到该黑客所发起过的攻击事件。
可选的,本发明的一些实施例中,根据黑客定位信息,在区域地图上标注出黑客标识,得到黑客分布图之后,还包括:
根据攻击事件信息得到黑客行为属性,黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段;
根据预置展示规则显示黑客行为属性。
本发明实施例中,根据攻击事件信息统计出所有黑客的黑客行为属性,黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段等等,根据预置展示规则显示黑客行为属性,如图6所示,黑客攻击动机主要包括窃取信息、网站挂马、攻击服务器及0Day漏洞,使用横向柱状表明占比排行,其中窃取信息占比40%,网站挂马占比30%,攻击服务器占比20%,0Day漏洞占比10%;黑客攻击类型包括机器恶意扫描和人工渗透,使用圆环表示占比,机器恶意扫描占比80%,人工渗透占比80%;黑客攻击手段主要包括SQL注入、任意文件扫描、命令注入及Strut2代码执行,将这四个主要攻击手段按照占比排行,SQL注入占比40%,任意文件扫描占比30%,命令注入占比20%,Strut2代码执行占比10%;黑客活跃时间段用来表示预置时间内的攻击次数,横坐标时间轴划分2小时为一组单元维度,纵坐标展示攻击次数,虚线代表安全警戒值。方便用户通过黑客行为属性进行对应的网络安全防御,例如,通过黑客活跃时间段知道在每天0点至2点是黑客攻击的高发的时间,而在这个时间段网站已经无人使用,那么就可以在0点至2点之间将网站服务器关闭,之后再重新启动。
以上实施例描述的是网络安全防御方法,下面通过实施例对网络安全防御装置进行详细说明。
请参阅图7,本发明实施例提供一种网络安全防御装置,包括:
获取模块701,用于获取历史攻击事件的攻击事件信息;
处理模块702,用于根据攻击事件信息确定黑客的位置信息;
定位模块703,用于根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图,所述黑客分布图用于网络安全防御。
本发明实施例中,获取模块701获取历史攻击事件的攻击事件信息,处理模块702根据攻击事件信息确定黑客的位置信息,定位模块703根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图。由于黑客分布图中的黑客是根据黑客的位置信息在预置黑客追踪区域定位得到的,而黑客的位置信息是根据历史攻击事件得到的,与现有技术根据攻击事件展示出被攻击的相关信息相比,本方案是根据历史攻击事件展示出黑客分布图,使得用户可以根据黑客分布图直观且方便的追溯黑客来源。
可选的,本发明的一些实施例中,攻击事件信息包括黑客IP地址,
处理模块702,具体用于解析攻击事件信息得到黑客IP地址;
处理模块702,还用于根据黑客IP地址确定黑客的位置信息。
本发明实施例中,IP地址是互联网协议地址,是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。黑客通过网络设备互联网对网站进行攻击后,必然可以获得黑客IP地址,因此,处理模块702解析攻击事件信息可以得到黑客IP地址,由于网络运营商在给互联网用户分配IP地址时,都是根据地区来进行分配的,例如电信带宽在北京分配的IP地址段包括:110.94.0.0-110.95.255.255等,甚至小到每个小区都已经分配好IP地址段,如果黑客IP地址是110.94.123.1那么处理模块702能确定黑客的位置信息是北京,如果已知网络运营商的IP地址分配详情的话,甚至能将黑客的位置信息精确到哪个小区的哪个房间。
可选的,如图8所示,本发明的一些实施例中,定位模块703包括:
判断单元801,用于根据黑客的位置信息判断黑客是否处于预置黑客追踪区域内;
定位单元802,用于当黑客处于预置黑客追踪区域内时,在预置黑客追踪区域内定位黑客,形成黑客分布图;
定位单元802,还用于当黑客不处于预置黑客追踪区域内时,不在预置黑客追踪区域内定位黑客。
本发明实施例中,如果黑客的位置信息是北京,而网站设置需要追踪黑客的范围是美国境内,那么预置黑客追踪区域是美国,因此,判断单元801判断出黑客不处于预置黑客追踪区域,定位单元802不需要在预置黑客追踪区域内定位该黑客;而如果预置黑客追踪区域是中国境内,那么判断单元801判断出该黑客处于预置黑客追踪区域内,定位单元802需要在预置黑客追踪区域内定位黑客,在定位所有黑客之后,基于预置黑客追踪区域的黑客分布图就形成了。
可选的,如图8所示,本发明的一些实施例中,
获取模块701,还用于获取预置黑客追踪区域的区域地图;
定位单元802,还用于根据黑客的位置信息,在区域地图上设置黑客标识,得到黑客分布图。
本发明实施例中,为了方便用户更加直观的看到黑客的定位,可以将黑客标注在预置黑客追踪区域的区域地图上,具体的,假设黑客的位置信息是北京,预置黑客追踪区域是中国境内,获取模块701先获取预置黑客追踪区域的区域地图(中国地图),定位单元802根据黑客的位置信息(北京),在区域地图(中国地图)上设置黑客标识,得到如图2所示的黑客分布图,在图2中黑客标识是头像图片的形式显示的,除此之外,黑客标识还可以是三角形符号等其他方式,具体不做限定,因此,用户在网络安全防御装置呈现的黑客分布图中,就能看到黑客的位置。
可选的,如图8所示,本发明的一些实施例中,
判断单元801,还用于根据攻击事件信息判断黑客的恶意程度;
判断单元801,还用于根据黑客的恶意程度对黑客进行等级划分,得到黑客的等级值;
获取模块701,还用于获取预置黑客追踪区域的区域地图;
定位单元802,还用于根据黑客的位置信息,在区域地图上设置黑客标识,并标注黑客的等级值,得到黑客分布图。
本发明实施例中,在定位单元802定位黑客之前,需要先根据攻击事件信息判断黑客的恶意程度,在得到黑客的等级值之后,需要将等级值也显示在黑客分布图中,如图3所示的黑客分布图中,黑客B定位在北京,其黑客头像边上标注有数值1,表示的就是该黑客的等级值为1;黑客A定位在上海,其黑客头像边上标注有数值2,表示的就是该黑客的等级值为2;黑客C定位在广东,其黑客头像边上标注有数值3,表示的就是该黑客的等级值为3。需要说明的是,黑客的等级值除了通过以上所描述的以数值方式显示之外,还可以通过其他方式,比如用特定颜色的黑客头像来表示黑客的等级值,具体可以是,黑客B的黑客头像是红色,表示的就是该黑客的等级值为1;黑客A的黑客头像是黄色,表示的就是该黑客的等级值为2;黑客C的黑客头像是绿色,表示的就是该黑客的等级值为3。因此,用户通过黑客分布图不但可以直观的看到黑客的位置,还能够知道黑客的等级值。
可选的,本发明的一些实施例中,
获取模块701,还用于获取黑客标识对应的黑客的黑客信息,黑客信息包括黑客的黑客IP地址、位置信息、活跃度及攻击信息;
处理模块702,还用于将黑客的黑客信息与黑客标识进行绑定。
本发明实施例中,由于黑客标识所对应的黑客是已知的,那么获取模块701通过该黑客的黑客IP地址就能在众多的历史攻击事件中,得到该黑客的攻击该网站的所有攻击事件,对这些攻击事件的攻击事件信息进行统计之后,得到该黑客的黑客信息,黑客信息一般包括黑客IP地址、位置信息、活跃度及攻击信息等等。处理模块702再将黑客的黑客信息与黑客标识进行绑定,这样就能使得用户点击黑客分布图中某个黑客标识时,网络安全防御装置能调度出这个黑客标识对应的黑客的黑客信息。如图4所示,用户在黑客分布图中看到有一个黑客标识的等级值为1,想要知道这个黑客标识对应的黑客的信息,当用户点击这个黑客标识时,自动弹出一个信息框,与该黑客标识绑定的黑客信息显示于信息框中,信息框显示的是“110.94.3.111北京非常活跃SQL注入最近一次攻击时间:2017-1-1 19:20:10”,表示该黑客的IP地址为110.94.3.111,位置信息为北京,活跃度为非常活跃,攻击手段为SQL注入,最近一次发动攻击事件的时间为2017年1月1日19时20分10秒。这样,就极大的方便了用户对于黑客分布图中黑客的信息的获取。
可选的,本发明的一些实施例中,
处理模块,还用于根据黑客的恶意程度及黑客信息,生成黑客排名列表。
本发明实施例中,处理模块702将黑客的黑客信息与黑客标识进行绑定之后,还可以根据黑客的等级值及黑客信息,生成黑客排名列表,使得用户查看黑客排名列表也能方便的了解到威胁最大的黑客的信息,如表1所示,黑客的恶意程度通过数值来表示,通过恶意程度的数值大小来确定黑客排名,并且将排名值、IP地址、恶意程度、位置信息、攻击手法、攻击事件、最近攻击事件及应对操作等信息都展示在黑客排名列表中。
可选的,本发明的一些实施例中,
获取模块701,还用于当用户在黑客排名列表选择目标黑客时,获取目标黑客的历史攻击事件的攻击事件信息,攻击事件信息包括攻击时间;
处理模块702,还用于根据攻击时间生成目标黑客的攻击树。
本发明实施例中,当用户想要知道在黑客排名列表中的某个黑客的所有的攻击事件时,用户在黑客排名列表选择目标黑客,获取模块701获取目标黑客的历史攻击事件的攻击事件信息,攻击事件信息包括攻击时间,处理模块702根据攻击时间生成目标黑客的攻击树。如图5所示,为用户在黑客排名列表中选择了排名第一的黑客,该黑客总共有3次攻击事件,按照攻击事件的攻击时间生成攻击树,使得用户可以直观的看到该黑客所发起过的攻击事件。
可选的,本发明的一些实施例中,
处理模块702,还用于根据攻击事件信息得到黑客行为属性,黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段;
处理模块702,还用于根据预置展示规则显示黑客行为属性。
本发明实施例中,处理模块702根据攻击事件信息统计出所有黑客的黑客行为属性,黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段等等,处理模块702根据预置展示规则显示黑客行为属性,如图6所示,黑客攻击动机主要包括窃取信息、网站挂马、攻击服务器及0Day漏洞,使用横向柱状表明占比排行,其中窃取信息占比40%,网站挂马占比30%,攻击服务器占比20%,0Day漏洞占比10%;黑客攻击类型包括机器恶意扫描和人工渗透,使用圆环表示占比,机器恶意扫描占比80%,人工渗透占比80%;黑客攻击手段主要包括SQL注入、任意文件扫描、命令注入及Strut2代码执行,将这四个主要攻击手段按照占比排行,SQL注入占比40%,任意文件扫描占比30%,命令注入占比20%,Strut2代码执行占比10%;黑客活跃时间段用来表示预置时间内的攻击次数,横坐标时间轴划分2小时为一组单元维度,纵坐标展示攻击次数,虚线代表安全警戒值。方便用户通过黑客行为属性进行对应的网络安全防御,例如,通过黑客活跃时间段知道在每天0点至2点是黑客攻击的高发的时间,而在这个时间段网站已经无人使用,那么就可以在0点至2点之间将网站服务器关闭,之后再重新启动。
以上介绍了网络安全防御装置的模块化结构的实施例,下面以装置为服务器为例,对装置的实体装置进行说明。
网络安全防御装置以服务器为例,如图9所示,该装置可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(Central Processing Units,CPU)922(例如,一个或一个以上处理器)和存储器932,一个或一个以上存储应用程序942或数据944的存储介质930(例如一个或一个以上海量存储设备)。其中,存储器932和存储介质930可以是短暂存储或持久存储。存储在存储介质930的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,CPU922可以设置为与存储介质930通信,在服务器上执行存储介质930中的一系列指令操作。
装置还可以包括一个或一个以上电源910,一个或一个以上无线网络接口950,一个或一个以上输入输出接口958,和/或,一个或一个以上操作***941,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
请参阅图9,本发明实施例提供一种网络安全防御装置,包括:
无线网络接口950、CPU922及存储器932,无线网络接口950、CPU922及存储器903之间通过总线互相连接,存储器932中存储有计算机指令,CPU922通过执行计算机指令,从而实现以下方法:
获取历史攻击事件的攻击事件信息;
根据攻击事件信息确定黑客的位置信息;
根据黑客的位置信息在预置黑客追踪区域定位黑客,形成黑客分布图,黑客分布图用于网络安全防御。
Claims (14)
1.一种网络安全防御方法,其特征在于,包括:
获取历史攻击事件的攻击事件信息;
根据所述攻击事件信息确定黑客的位置信息;
根据所述攻击事件信息中的攻击手段判断所述黑客的恶意程度;
根据所述黑客的恶意程度对所述黑客进行等级划分,得到所述黑客的等级值;
获取预置黑客追踪区域的区域地图;
根据所述黑客的位置信息,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,得到黑客分布图,所述黑客分布图用于网络安全防御;
还包括:
根据所述黑客的恶意程度及黑客信息,生成黑客排名列表;
当用户在所述黑客排名列表选择目标黑客时,获取所述目标黑客的历史攻击事件的攻击事件信息,所述攻击事件信息包括攻击时间;
根据所述攻击时间,生成所述目标黑客的按照所述攻击时间顺序排列的攻击事件信息的攻击树。
2.根据权利要求1所述的方法,其特征在于,所述攻击事件信息包括黑客IP地址,
所述根据所述攻击事件信息确定黑客的位置信息,包括:
解析所述攻击事件信息得到黑客IP地址;
根据所述黑客IP地址确定所述黑客的位置信息。
3.根据权利要求1所述的方法,其特征在于,所述根据所述黑客的位置信息,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,得到黑客分布图,包括:
根据所述黑客的位置信息判断所述黑客是否处于预置黑客追踪区域内;
若处于,则在所述预置黑客追踪区域内定位所述黑客,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,形成黑客分布图;
若不处于,则不在所述预置黑客追踪区域内定位所述黑客。
4.根据权利要求3所述的方法,其特征在于,所述在所述预置黑客追踪区域内定位所述黑客,形成黑客分布图,包括:
获取所述预置黑客追踪区域的区域地图;
根据所述黑客的位置信息,在所述区域地图上设置黑客标识,得到黑客分布图。
5.根据权利要求1或4所述的方法,其特征在于,所述得到黑客分布图之后,还包括:
获取所述黑客标识对应的黑客的黑客信息,所述黑客信息包括所述黑客的黑客IP地址、位置信息、活跃度及攻击信息;
将所述黑客的黑客信息与所述黑客标识进行绑定。
6.根据权利要求1所述的方法,其特征在于,所述根据所述黑客的位置信息,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,得到黑客分布图之后,还包括:
根据所述攻击事件信息得到黑客行为属性,所述黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段;
根据预置展示规则显示所述黑客行为属性。
7.一种网络安全防御装置,其特征在于,包括:
获取模块,用于获取历史攻击事件的攻击事件信息;
处理模块,用于根据所述攻击事件信息确定黑客的位置信息;
定位模块,用于根据所述攻击事件信息中的攻击手段判断所述黑客的恶意程度;根据所述黑客的恶意程度对所述黑客进行等级划分,得到所述黑客的等级值;获取预置黑客追踪区域的区域地图;根据所述黑客的位置信息,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,得到黑客分布图,所述黑客分布图用于网络安全防御;
所述处理模块,还用于根据所述黑客的恶意程度及黑客信息,生成黑客排名列表;
所述获取模块,还用于当用户在所述黑客排名列表选择目标黑客时,获取所述目标黑客的历史攻击事件的攻击事件信息,所述攻击事件信息包括攻击时间;
所述处理模块,还用于根据所述攻击时间,生成所述目标黑客的按照所述攻击时间顺序排列的攻击事件信息的攻击树。
8.根据权利要求7所述的装置,其特征在于,所述攻击事件信息包括黑客IP地址,
所述处理模块,具体用于解析所述攻击事件信息得到黑客IP地址;
所述处理模块,还用于根据所述黑客IP地址确定所述黑客的位置信息。
9.根据权利要求7所述的装置,其特征在于,所述定位模块包括:
判断单元,用于根据所述黑客的位置信息判断所述黑客是否处于预置黑客追踪区域内;
定位单元,用于当所述黑客处于预置黑客追踪区域内时,在所述预置黑客追踪区域内定位所述黑客,在所述区域地图上设置黑客标识,并标注所述黑客的等级值,形成黑客分布图;
所述定位单元,还用于当所述黑客不处于预置黑客追踪区域内时,不在所述预置黑客追踪区域内定位所述黑客。
10.根据权利要求9所述的装置,其特征在于,
所述获取模块,还用于获取所述预置黑客追踪区域的区域地图;
所述定位单元,还用于根据所述黑客的位置信息,在所述区域地图上设置黑客标识,得到黑客分布图。
11.根据权利要求7或10所述的装置,其特征在于,
所述获取模块,还用于获取所述黑客标识对应的黑客的黑客信息,所述黑客信息包括所述黑客的黑客IP地址、位置信息、活跃度及攻击信息;
所述处理模块,还用于将所述黑客的黑客信息与所述黑客标识进行绑定。
12.根据权利要求7所述的装置,其特征在于,
所述处理模块,还用于根据所述攻击事件信息得到黑客行为属性,所述黑客行为属性包括黑客攻击动机、黑客攻击类型、黑客攻击手段及黑客活跃时间段;
所述处理模块,还用于根据预置展示规则显示所述黑客行为属性。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1-6任一项所述的网络安全防御方法。
14.一种服务器,其特征在于,包括:存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器用于执行所述存储器中存储的计算机程序;
所述计算机程序用于执行权利要求1-6任一项所述的网络安全防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710103492.0A CN108512805B (zh) | 2017-02-24 | 2017-02-24 | 一种网络安全防御方法及网络安全防御装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710103492.0A CN108512805B (zh) | 2017-02-24 | 2017-02-24 | 一种网络安全防御方法及网络安全防御装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108512805A CN108512805A (zh) | 2018-09-07 |
| CN108512805B true CN108512805B (zh) | 2021-08-27 |
Family
ID=63373705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710103492.0A Active CN108512805B (zh) | 2017-02-24 | 2017-02-24 | 一种网络安全防御方法及网络安全防御装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108512805B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111106896B (zh) * | 2018-10-26 | 2023-05-26 | 中兴通讯股份有限公司 | 责任人定位方法、装置、设备及存储介质 |
| CN110493253B (zh) * | 2019-09-02 | 2021-06-22 | 四川长虹电器股份有限公司 | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 |
| CN111988322B (zh) * | 2020-08-24 | 2022-06-17 | 北京微步在线科技有限公司 | 一种攻击事件展示*** |
| CN112256791A (zh) * | 2020-10-27 | 2021-01-22 | 北京微步在线科技有限公司 | 一种网络攻击事件的展示方法及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070112512A1 (en) * | 1987-09-28 | 2007-05-17 | Verizon Corporate Services Group Inc. | Methods and systems for locating source of computer-originated attack based on GPS equipped computing device |
| CN105656872A (zh) * | 2015-07-17 | 2016-06-08 | 哈尔滨安天科技股份有限公司 | 一种基于骨干网的攻击者追踪方法及*** |
| CN105227582A (zh) * | 2015-11-03 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 基于入侵检测和漏洞扫描联动的黑客行为发现及分析 |
| CN105516174A (zh) * | 2015-12-25 | 2016-04-20 | 北京奇虎科技有限公司 | 网络攻击追踪显示***和方法 |
-
2017
- 2017-02-24 CN CN201710103492.0A patent/CN108512805B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108512805A (zh) | 2018-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
| US9773109B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| US10091220B2 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
| EP3219068B1 (en) | Method of identifying and counteracting internet attacks | |
| CN108512805B (zh) | 一种网络安全防御方法及网络安全防御装置 | |
| CN108282440B (zh) | 一种安全检测方法、安全检测装置及服务器 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN109327439B (zh) | 业务请求数据的风险识别方法、装置、存储介质及设备 | |
| US9681304B2 (en) | Network and data security testing with mobile devices | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| US10129289B1 (en) | Mitigating attacks on server computers by enforcing platform policies on client computers | |
| CN103595732B (zh) | 一种网络攻击取证的方法及装置 | |
| CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN106998335B (zh) | 一种漏洞检测方法、网关设备、浏览器及*** | |
| Ojagbule et al. | Vulnerability analysis of content management systems to SQL injection using SQLMAP | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
| US20180302437A1 (en) | Methods of identifying and counteracting internet attacks | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| CN108268774B (zh) | 攻击请求的判定方法和装置 | |
| CN111371811B (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| Ansari | Web penetration testing with Kali Linux | |
| CN107294994B (zh) | 一种基于云平台的csrf防护方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |