CN109474625A - 网络安全防护方法、装置及嵌入式*** - Google Patents
网络安全防护方法、装置及嵌入式*** Download PDFInfo
- Publication number
- CN109474625A CN109474625A CN201811593929.4A CN201811593929A CN109474625A CN 109474625 A CN109474625 A CN 109474625A CN 201811593929 A CN201811593929 A CN 201811593929A CN 109474625 A CN109474625 A CN 109474625A
- Authority
- CN
- China
- Prior art keywords
- message
- detected
- default
- behavioural characteristic
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络安全防护方法、装置及嵌入式***,涉及网络安全技术领域。方法可以包括:获取待检测报文,并确定与待检测报文对应的行为特征;判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征;在黑名单、预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐***中,以使蜜罐***响应与待检测报文对应的操作。本方案可以将具有攻击行为的报文发送至蜜罐***,因为蜜罐***隐藏了IP地址,所以攻击报文不易探测出蜜罐***,能够改善现有技术中因攻击报文容易探测出蜜罐***而避开蜜罐***进行网络攻击的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络安全防护方法、装置及嵌入式***。
背景技术
Web页面因技术因素或开发管理者人为因素,往往存在技术隐患,网站如不加防护容易被黑客利用。现有Web防护技术手段多种多样。常用的有Web防火墙(WAF)和蜜罐等技术。其中,蜜罐***是一种对攻击方进行欺骗的技术手段,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,了解和验证攻击意图和方法,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。在现有技术中,蜜罐***部署在网络中,通过故意暴露弱点吸引黑客攻击,从而了解黑客攻击手段,识别黑客的IP。而有经验的黑客可以使用工具发现蜜罐***,绕开蜜罐***对Web页面进行攻击从而使蜜罐***失效。
发明内容
本发明实施例提供一种网络安全防护方法、装置及嵌入式***。
为了实现上述目的,本发明实施例所提供的技术方案如下所示:
第一方面,本发明实施例提供一种网络安全防护方法,应用于嵌入式***,所述嵌入式***与隐藏IP地址的蜜罐***通信连接,所述方法包括:
获取待检测报文,并确定与所述待检测报文对应的行为特征;
判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征;
在所述黑名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第一预设特征时,将所述待检测报文发送至隐藏IP地址的所述蜜罐***中,以使所述蜜罐***响应与所述待检测报文对应的操作。本实施例提供的方法可以将具有攻击行为的报文发送至蜜罐***,因为蜜罐***隐藏了IP地址,所以攻击报文不易探测出蜜罐***,在攻击报文无法探测出蜜罐***后,便可以利用蜜罐***对攻击报文进行诱导,从而使得攻击报文不会攻击到目标对象,能够改善现有技术中因攻击报文容易探测出蜜罐***而避开蜜罐***进行网络攻击的技术问题。
结合第一方面,在一些可选的实施方式中,在判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征之后,所述方法还包括:
在所述黑名单、预设恶意特征检测库中均不存在与所述行为特征对应的所述第一预设特征时,判断预存的白名单或所述预设恶意特征检测库中是否存在与所述行为特征对应的表征安全行为的第二预设特征;
在所述白名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第二预设特征时,将所述待检测报文发送至与所述待检测报文对应的业务设备。本实施例提供的方法可以对安全的报文正常处理,将具有攻击行为的报文诱导至蜜罐***,从而有助于提升网络的安全等级。
结合第一方面,在一些可选的实施方式中,将所述待检测报文发送至与所述待检测报文对应的业务设备,包括:
根据所述待检测报文携带的目的IP地址,将所述待检测报文发送至所述目的IP地址对应的业务设备。在本实施例提供的方法中,待检测报文通常包括目的IP地址,若确定出待检测报文为安全的,便可以将该报文发送至目的IP地址对应的业务设备以正常处理,以避免安全的报文在完成安全检测后无法正常处理。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
在所述黑名单、所述白名单及所述预设恶意特征检测库中均不存在与所述行为特征对应的预设特征时,将所述待检测报文发送至预设的管理员服务器,以使所述管理员服务器根据预设规则确定出所述待检测报文的所述行为特征的安全类型。在本实施例提供的方法中,若待检测报文无法通过黑名单、白名单及预设恶意特征检测库确定出该报文的行为的安全类型,则可以通过管理员服务器对该待检测报文进行解析处理以确定出该待检测报文的安全类型,然后根据安全类型确定是否需要将报文发送至蜜罐***,基于此,能够更为全面地对各类待检测报文进行安全检测,避免出现漏检的情况,从而提升网络的安全等级。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
根据所述安全类型,将所述行为特征录入所述黑名单、所述白名单或所述预设恶意特征检测库中。在本实施例提供的方法中,若待检测报文对应的行为特征没有在黑名单、白名单和预设恶意特征检测库中,则可以根据该行为特征的安全等级将行为特征录入相应的黑名单、白名单或预设恶意特征检测库中,以便于下次遇到相同的行为特征时,可以通过黑白名单、预设恶意特征检测库进行匹配,无需再将待检测报文发送至管理员服务器进行解析,从而有助于提升数据处理的效率。
第二方面,本发明实施例还提供一种网络安全防护装置,应用于嵌入式***,所述嵌入式***与隐藏IP地址的蜜罐***通信连接,所述装置包括:
获取确定单元,用于获取待检测报文,并确定与所述待检测报文对应的行为特征;
判断单元,用于判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征;
发送单元,用于在所述黑名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第一预设特征时,将所述待检测报文发送至隐藏IP地址的所述蜜罐***中,以使所述蜜罐***响应与所述待检测报文对应的操作。
结合第二方面,在一些可选的实施方式中,在所述判断单元判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征之后,所述判断单元还用于在所述黑名单、预设恶意特征检测库中均不存在与所述行为特征对应的所述第一预设特征时,判断预存的白名单或所述预设恶意特征检测库中是否存在与所述行为特征对应的表征安全行为的第二预设特征;
所述发送单元还用于在所述白名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第二预设特征时,将所述待检测报文发送至与所述待检测报文对应的业务设备。
结合第二方面,在一些可选的实施方式中,所述发送单元还用于在所述黑名单、所述白名单及所述预设恶意特征检测库中均不存在与所述行为特征对应的预设特征时,将所述待检测报文发送至预设的管理员服务器,以使所述管理员服务器根据预设规则确定出所述待检测报文的所述行为特征的安全类型。
第三方面,本发明实施例还提供一种嵌入式***,包括相互耦合的存储模块、处理模块、通信模块,所述存储模块内存储有隐藏IP地址的蜜罐***及计算机程序,当所述计算机程序被所述处理模块执行时,使得所述嵌入式***执行上述的方法。
第四方面,本发明实施例还提供一种计算机可读存储介质,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举本发明实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的嵌入式***与业务设备、管理员服务器、用户终端之间的交互连接示意图。
图2为本发明实施例提供的嵌入式***的方框示意图。
图3为本发明实施例提供的网络安全防护方法的流程示意图。
图4为本发明实施例提供的网络安全防护装置的方框示意。
图标:10-嵌入式***;11-处理模块;12-通信模块;13-存储模块;20-业务设备;30-管理员服务器;40-用户终端;50-蜜罐***;100-网络安全防护装置;110-获取确定单元;120-判断单元;130-发送单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
在现有技术中,蜜罐***部署在网络中,通过故意暴露弱点吸引黑客攻击,从而了解黑客攻击手段,识别黑客的IP。而有经验的黑客可以使用工具发现蜜罐***,绕开蜜罐***对Web页面进行攻击从而使蜜罐***失效。
鉴于上述问题,本申请发明人经过长期研究探索,提出以下实施例以解决上述问题。下面结合附图,对本发明实施例作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,本发明实施例提供的嵌入式***10可以作为网关设备,可以嵌入设置在Web***的链路上,用于对经过该嵌入式***10的数据流量进行安全检测,以提高网络的安全性。其中,Web***可以包括业务设备20,嵌入式***10可以通过网络与业务设备20建立通信连接,以进行数据交互。该嵌入式***10还可以通过网络与业务设备20建立通信连接,以进行数据交互。该嵌入式***10还可以通过网络与管理员服务器30建立通信连接,以进行数据交互。该嵌入式***10可以通过网络与至少一个用户终端40建立通信连接,以进行数据交互。该嵌入式***10还可以通过网络与蜜罐***50建立通信连接,以进行数据交互。
当然,在其他实施方式中,蜜罐***50可以内置于嵌入式***10中,这里对蜜罐***50的部署方式不作具体限定。其中,蜜罐web界面与真实服务器web同步,以便于实时对网络安全进行防护。
在本实施例中,嵌入式***10可以是但不限于交换机、路由器或用于数据交互的服务器。业务设备20可以是用于执行与待检测报文对应的业务操作的服务器或终端设备。该终端设备可以是但不限于智能手机、个人电脑等。管理员服务器30可以在嵌入式***10无法判断待检测报文的安全类型时,对待检测报文进行解析以确定出待检测报文的安全类型。用户终端40可以是,但不限于,智能手机、个人电脑(personal computer,PC)、平板电脑、个人数字助理(personal digital assistant,PDA)、移动上网设备(mobile Internetdevice,MID)等。蜜罐***50包括但不限于作为诱饵的主机、服务器等。网络可以是,但不限于,有线网络或无线网络。
请参照图2,在本实施例中,嵌入式***10可以包括处理模块11、通信模块12、存储模块13以及网络安全防护装置100,处理模块11、通信模块12、存储模块13以及网络安全防护装置100各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
处理模块11可以是一种集成电路芯片,具有信号的处理能力。上述处理模块11可以是通用处理器。例如,该处理器可以是中央处理器(Central Processing Unit,CPU)、图形处理器(Graphics Processing Unit,GPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。
通信模块12用于通过网络建立嵌入式***10与订单管理服务器及业务处理服务器的通信连接,并通过网络收发数据。
存储模块13可以是,但不限于,随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块13可以用于存储订单数据。当然,存储模块13还可以用于存储程序,处理模块11在接收到执行指令后,执行该程序。
进一步地,网络安全防护装置100包括至少一个可以软件或固件(firmware)的形式存储于存储模块13中或固化在嵌入式***10操作***(operating system,OS)中的软件功能模块。处理模块11用于执行存储模块13中存储的可执行模块,例如网络安全防护装置100所包括的软件功能模块及计算机程序等。
可以理解的是,图2所示的结构仅为嵌入式***10的一种结构示意图,嵌入式***10还可以包括比图2所示更多或更少的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
请参照图3,本发明实施例提供的网络安全防护方法可以应用于上述的嵌入式***10,由该嵌入式***10执行网络安全防护方法的各步骤。其中,嵌入式***10与隐藏IP地址的蜜罐***50通信连接。蜜罐***50隐藏IP地址的实现原理可以为:将蜜罐***50中的设备设置在内网中,不对外界设备开放,也就是蜜罐***50中的设备可以与嵌入式***10进行数据交互,而无需与公网中的其他设备进行交互。基于此,公网中的其他设备便无法直接获取到蜜罐***50的IP地址,所以黑客也就不易避开蜜罐***50,从而有助于提升网络的安全等级。
在本实施例中,网络安全防护方法可以包括以下步骤:
步骤S210,获取待检测报文,并确定与待检测报文对应的行为特征;
步骤S220,判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征;
步骤S230,在黑名单或预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐***50中,以使蜜罐***50响应与待检测报文对应的操作。
下面将对图3所示的网络安全防护方法的各步骤进行详细阐述:
步骤S210,获取待检测报文,并确定与待检测报文对应的行为特征。
在本实施例中,嵌入式***10可以嵌入设置在Web***的链路上,用户终端40之间通过Web***链路进行数据交互时,可以相互发送请求报文,发送的请求报文需要经过嵌入式***10才能从一端发送至另一端,其中,该请求报文便可以作为待检测报文。当然,待检测报文还可以指需要进行安全检查的流量数据。
可理解地,第一用户终端若需要与第二用户终端进行数据通信,第一用户终端首先发送请求报文至嵌入式***10,嵌入式***10接收该请求报文以作为待检测报文。
嵌入式***10在获取到待检测报文后,可以根据报文携带的内容确定出报文对应的行为特征。比如,可以根据报文携带的字段或关键字来确定该报文的行为特征。在确定出行为特征后,嵌入式***10便执行步骤S220。
步骤S220,判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征。
在本实施例中,嵌入式***10预先设置有预设恶意特征检测库、黑名单,预设恶意特征检测库、黑名单中分别录入有各类表征攻击行为的第一预设特征。预设恶意特征检测库、黑名单中的表征攻击行为的第一预设特征可以不相同。可理解地,表征攻击行为的预设特征可以根据实际情况而设置,预设恶意特征检测库及黑名单中通常包括多类第一预设特征。
具体地,第一预设特征可以为表征攻击行为的字段、表征攻击行为的关键字、表征攻击行为的字段所映射的字符、规则等,这里对预设特征的类型不作具体限定。
嵌入式***10在确定出待检测报文的行为特征后,便可以判断预设恶意特征检测库、黑名单中是否存在与该预设特征对应的第一预设特征。通常来讲,若行为特征与第一预设特征相同,或者行为特征与第一预设特征相互匹配(或映射),那么也就意味着预设恶意特征检测库、黑名单中存在与行为特征对应的第一预设特征,此时,嵌入式***10便执行步骤S230。
步骤S230,在黑名单或预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐***50中,以使蜜罐***50响应与待检测报文对应的操作。
在本实施例中,若预设恶意特征检测库、黑名单中均不存在与行为特征对应的第一预设特征,此时可理解为行为特征不属于预设恶意特征检测库或黑名单。在判断出预设恶意特征检测库或黑名单中存在与行为特征对应的第一预设特征时,通常也就表征待检测报文为攻击报文或为不安全的报文,此时,可理解为行为特征属于预设恶意特征检测库或黑名单。在预设恶意特征检测库或黑名单中存在与行为特征对应的第一预设特征时,嵌入式***10便将该待检测报文发送至蜜罐***50,以使蜜罐***50来响应该待检测报文。比如,若待检测报文用于向蜜罐***50植入木马病毒,那么蜜罐***50可以允许待检测报文植入木马病毒,以通过主动引诱的方式来对业务设备20进行保护,从而提高网络的安全等级。
另外,因为蜜罐***50的IP地址被隐藏,所以即使待检测报文为攻击报文,通常也无法获取到蜜罐的IP地址,在攻击报文无法获取到蜜罐的IP地址时,也就无法确定蜜罐***50的存在,改善现有技术中因攻击报文容易探测出蜜罐***50而避开蜜罐***50进行网络攻击的技术问题,有助于发现黑客新的攻击手段或攻击方式,以便于针对新的攻击手段或攻击方式及时采取相应的防护措施,以提高网络的安全等级。
作为一种可选的实施方式,在步骤S220之后,方法还可以包括:在黑名单、预设恶意特征检测库中均不存在与行为特征对应的第一预设特征时,判断预存的白名单或预设恶意特征检测库中是否存在与行为特征对应的表征安全行为的第二预设特征;在白名单或预设恶意特征检测库中存在与行为特征对应的第二预设特征时,将待检测报文发送至与待检测报文对应的业务设备20。
在本实施例中,嵌入式***10中可以预先存储白名单,预设恶意特征检测库及白名单中录入有各类表征安全行为的第二预设特征。也就是说,第二预设特征所对应的报文为安全的报文,预设恶意特征检测库、白名单中的第二预设特征可以不相同。若,预设恶意特征检测库及白名单中均不存在与行为特征对应的第二预设特征,此时可理解为行为特征不属于预设恶意特征检测库或白名单。在判断出,预设恶意特征检测库或白名单中存在与行为特征对应的第二预设特征时,通常也就表征待检测报文为安全的报文,此时,可理解为行为特征属于预设恶意特征检测库及白名单。
在预设恶意特征检测库或白名单中存在与行为特征对应的第二预设特征时(即待检测报文为安全的报文),此时嵌入式***10便将该待检测报文作为正常报文发送至于该待检测报文对应的业务设备20,以使业务设备20执行该待检测报文对应的操作。
例如,若待检测报文为用户终端40发起的用于向业务设备20发起数据获取请求的请求报文,那么业务设备20便响应该请求报文,并将与请求报文对应的数据发送至用户终端40。比如,待检测报文为用户终端40发起的用于向业务设备20获取指定日志信息的请求报文,业务设备20便会响应该请求报文,然后将指定日志信息发送至该用户终端40。
其中,待检测报文对应的业务可以根据实际情况而设置。例如,其业务可以是但不限于用于查询日志的业务、用于订单信息查询的业务、用于权限认证的业务等,这里对待检测报文的业务不作具体限定。若将发出待检测报文(或请求报文)的用户终端40称为第一用户终端,该业务设备20可以为第二用户终端,或者业务设备20也可以为用于响应请求报文的服务器。
可理解地,本实施例提供的方法可以对安全的报文正常处理,将具有攻击行为的报文诱导至蜜罐***50,从而有助于提升网络的安全等级。
作为一种可选的实施方式,将待检测报文发送至与待检测报文对应的业务设备20的步骤,可以包括:根据待检测报文携带的目的IP地址,将待检测报文发送至目的IP地址对应的业务设备20。
待检测报文通常携带有目的IP地址,以指明待检测报文需要传输的目标对象,该目标对象即为上述的业务设备20。若待检测报文为安全的,则会将待检测报文发送至目标对象,以使目标对象正常处理该报文。若待检测报文为攻击报文,则会将待检测报文发送至蜜罐***50,以使蜜罐***50对待检测报文进行处理,此时,不安全的待检测报文就无需发送至目标对象,从而提升网络的安全性。
作为一种可选的实施方式,方法还可以包括:在黑名单、白名单及预设恶意特征检测库中均不存在与行为特征对应的预设特征时,将待检测报文发送至预设的管理员服务器30,以使管理员服务器30根据预设规则确定出待检测报文的行为特征的安全类型。
在本实施例中,若待检测报文不属于黑名单,不属于白名单,也不属于预设恶意特征检测库,此时待检测报文会被确认为可疑报文。即,可疑报文指该待检测报文可能是安全报文,也可能是不安全报文(比如,攻击报文)。此时,嵌入式***10可以将待检测报文发送至管理员服务器30,由管理员服务器30来判断该待检测报文的安全类型。
可理解地,安全类型可以包括表征待检测报文安全的第一类型及表征待检测报文不安全的第二类型。其第一类型与第二类型可以根据实际情况设置而进行区分。
若管理员服务器30确定出安全类型为第一类型,则将待检测报文发送至业务设备20,以使业务设备20正常处理该报文。若管理员服务器30确定出安全类型为第二类型,则将待检测报文发送至蜜罐***50,由蜜罐***50来处理该报文,以避免待检测报文攻击业务设备20,从而提高网络的安全等级。
在本实施例中,管理员服务器30可以通过机器学习的方式来确定待检测报文是否安全。例如,管理员服务器30预先设置有训练好的深度学习识别模型,该深度学习识别模型可以用于判断待监测报文是否安全。当管理员服务器30接收到待监测报文时,便将待检测报文输入该深度学习识别模型中,由深度学习识别模型对待检测报文进行分析处理,然后输出表征报文安全的第一类型或表征报文不安全的第二类型。
或者,管理员可以通过终端设备从管理员服务器30或嵌入式***10获取到待检测报文(指上述的可疑报文),然后由管理员人工确定待检测报文是否安全。若待检测报文安全,则对待检测报文标记第一类型的标签;若待检测报文不安全,则对待检测报文标记第二类型的标签。基于此,对于可疑报文,可以通过手动的方式来确定报文是否安全,从而使得报文安全检查的方式多样化,避免因报文的安全类型无法被确认而使得网络安全无法得到保障。
作为一种可选的实施方式,方法还可以包括:根据安全类型,将行为特征录入黑名单、白名单或预设恶意特征检测库中。
在本实施例中,若预设恶意特征检测库、黑名单和白名单中均没有与待检测报文的行为特征对应的预设特征,此时,经过管理员服务器30解析出该行为特征的安全类型后,便会将该行为特征录入到相应的预设恶意特征检测库或黑名单或白名单中,以更新预设特征。
具体地,若行为特征为安全的,那么便会将该行为特征录入到白名单中,或者录入到预设恶意特征检测库中用于存储安全行为特征的存储区域。若行为特征为不安全的,便会将该行为特征录入到黑名单中,或者录入到预设恶意特征检测库中用于存储攻击行为特征的存储区域。基于此,方便后续遇到相同类型的行为特征所对应的待检测报文时,无需再将待检测报文发送至管理员服务器30进行解析处理,可以直接从预设恶意特征检测库或黑名单或白名单中便可以查找到该行为特征,从而有助于提升数据解析处理的效率。
请参照图4,本发明实施例还提供一种网络安全防护装置100,可以应用于上述的嵌入式***10,用于执行或实现网络安全防护方法的各步骤。其中,网络安全防护装置100可以包括获取确定单元110、判断单元120及发送单元130。
获取确定单元110,用于获取待检测报文,并确定与待检测报文对应的行为特征;
判断单元120,用于判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征;
发送单元130,用于在黑名单或预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐***50中,以使蜜罐***50响应与待检测报文对应的操作。
可选地,发送单元130还用于根据待检测报文携带的目的IP地址,将待检测报文发送至目的IP地址对应的业务设备20。
可选地,在判断单元120判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征之后,判断单元120还用于在黑名单、预设恶意特征检测库中均不存在与行为特征对应的第一预设特征时,判断预存的白名单或预设恶意特征检测库中是否存在与行为特征对应的表征安全行为的第二预设特征。
发送单元130还用于在白名单或预设恶意特征检测库中存在与行为特征对应的第二预设特征时,将待检测报文发送至与待检测报文对应的业务设备20。
可选地,发送单元130还用于在黑名单、白名单及预设恶意特征检测库中均不存在与行为特征对应的预设特征时,将待检测报文发送至预设的管理员服务器30,以使管理员服务器30根据预设规则确定出待检测报文的行为特征的安全类型。
可选地,网络安全防护装置100还可以包括录入单元。录入单元用于根据安全类型,将行为特征录入黑名单、白名单或预设恶意特征检测库中。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的网络安全防护装置100的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本发明实施例还提供一种计算机可读存储介质。可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的网络安全防护方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
综上所述,本发明提供一种网络安全防护方法、装置及嵌入式***。方法可以包括:获取待检测报文,并确定与待检测报文对应的行为特征;判断预存的黑名单、预设恶意特征检测库中是否存在与行为特征对应的表征攻击行为的第一预设特征;在黑名单、预设恶意特征检测库中存在与行为特征对应的第一预设特征时,将待检测报文发送至隐藏IP地址的蜜罐***中,以使蜜罐***响应与待检测报文对应的操作。本方案可以将具有攻击行为的报文发送至蜜罐***,因为蜜罐***隐藏了IP地址,所以攻击报文不易探测出蜜罐***,在攻击报文无法探测出蜜罐***后,便可以利用蜜罐***对攻击报文进行诱导,从而使得攻击报文不会攻击到目标对象,能够改善现有技术中因攻击报文容易探测出蜜罐***而避开蜜罐***进行网络攻击的技术问题。
在本发明所提供的实施例中,应该理解到,所揭露的装置、***和方法,也可以通过其它的方式实现。以上所描述的装置、***和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
可以替换的,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络安全防护方法,其特征在于,应用于嵌入式***,所述嵌入式***与隐藏IP地址的蜜罐***通信连接,所述方法包括:
获取待检测报文,并确定与所述待检测报文对应的行为特征;
判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征;
在所述黑名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第一预设特征时,将所述待检测报文发送至隐藏IP地址的所述蜜罐***中,以使所述蜜罐***响应与所述待检测报文对应的操作。
2.根据权利要求1所述的方法,其特征在于,在判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征之后,所述方法还包括:
在所述黑名单、预设恶意特征检测库中均不存在与所述行为特征对应的所述第一预设特征时,判断预存的白名单或所述预设恶意特征检测库中是否存在与所述行为特征对应的表征安全行为的第二预设特征;
在所述白名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第二预设特征时,将所述待检测报文发送至与所述待检测报文对应的业务设备。
3.根据权利要求2所述的方法,其特征在于,将所述待检测报文发送至与所述待检测报文对应的业务设备,包括:
根据所述待检测报文携带的目的IP地址,将所述待检测报文发送至所述目的IP地址对应的业务设备。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述黑名单、所述白名单及所述预设恶意特征检测库中均不存在与所述行为特征对应的预设特征时,将所述待检测报文发送至预设的管理员服务器,以使所述管理员服务器根据预设规则确定出所述待检测报文的所述行为特征的安全类型。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述安全类型,将所述行为特征录入所述黑名单、所述白名单或所述预设恶意特征检测库中。
6.一种网络安全防护装置,其特征在于,应用于嵌入式***,所述嵌入式***与隐藏IP地址的蜜罐***通信连接,所述装置包括:
获取确定单元,用于获取待检测报文,并确定与所述待检测报文对应的行为特征;
判断单元,用于判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征;
发送单元,用于在所述黑名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第一预设特征时,将所述待检测报文发送至隐藏IP地址的所述蜜罐***中,以使所述蜜罐***响应与所述待检测报文对应的操作。
7.根据权利要求6所述的装置,其特征在于,在所述判断单元判断预存的黑名单、预设恶意特征检测库中是否存在与所述行为特征对应的表征攻击行为的第一预设特征之后,所述判断单元还用于在所述黑名单、预设恶意特征检测库中均不存在与所述行为特征对应的所述第一预设特征时,判断预存的白名单或所述预设恶意特征检测库中是否存在与所述行为特征对应的表征安全行为的第二预设特征;
所述发送单元还用于在所述白名单或所述预设恶意特征检测库中存在与所述行为特征对应的所述第二预设特征时,将所述待检测报文发送至与所述待检测报文对应的业务设备。
8.根据权利要求7所述的装置,其特征在于,所述发送单元还用于在所述黑名单、所述白名单及所述预设恶意特征检测库中均不存在与所述行为特征对应的预设特征时,将所述待检测报文发送至预设的管理员服务器,以使所述管理员服务器根据预设规则确定出所述待检测报文的所述行为特征的安全类型。
9.一种嵌入式***,其特征在于,包括相互耦合的存储模块、处理模块、通信模块,所述存储模块内存储有隐藏IP地址的蜜罐***及计算机程序,当所述计算机程序被所述处理模块执行时,使得所述嵌入式***执行如权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-5中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811593929.4A CN109474625A (zh) | 2018-12-25 | 2018-12-25 | 网络安全防护方法、装置及嵌入式*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811593929.4A CN109474625A (zh) | 2018-12-25 | 2018-12-25 | 网络安全防护方法、装置及嵌入式*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109474625A true CN109474625A (zh) | 2019-03-15 |
Family
ID=65677451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811593929.4A Pending CN109474625A (zh) | 2018-12-25 | 2018-12-25 | 网络安全防护方法、装置及嵌入式*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474625A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN111526164A (zh) * | 2020-07-03 | 2020-08-11 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及*** |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐***的攻击数据获取方法、装置 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
| CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN113572785A (zh) * | 2021-08-05 | 2021-10-29 | 中国电子信息产业集团有限公司第六研究所 | 一种用于核电工控***的蜜罐防御方法及装置 |
| CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
| CN114257416A (zh) * | 2021-11-25 | 2022-03-29 | 中科创达软件股份有限公司 | 黑白名单的调整方法及装置 |
| CN115801459A (zh) * | 2023-02-03 | 2023-03-14 | 北京六方云信息技术有限公司 | 报文检测方法、装置、***及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170013122A1 (en) * | 2015-07-07 | 2017-01-12 | Teltech Systems, Inc. | Call Distribution Techniques |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
| CN107623693A (zh) * | 2017-09-30 | 2018-01-23 | 北京奇虎科技有限公司 | 域名解析防护方法及装置、***、计算设备、存储介质 |
-
2018
- 2018-12-25 CN CN201811593929.4A patent/CN109474625A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170013122A1 (en) * | 2015-07-07 | 2017-01-12 | Teltech Systems, Inc. | Call Distribution Techniques |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
| CN107623693A (zh) * | 2017-09-30 | 2018-01-23 | 北京奇虎科技有限公司 | 域名解析防护方法及装置、***、计算设备、存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 刘智宏: ""基于蜜罐技术的企业网络安全防御***研究与设计"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 徐嵩: ""基于社会工程学和蜜罐技术的跨境网络犯罪打击策略研究"", 《辽宁警专学报》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951477B (zh) * | 2019-03-18 | 2021-07-13 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN109951477A (zh) * | 2019-03-18 | 2019-06-28 | 武汉思普崚技术有限公司 | 一种基于威胁情报检测网络攻击的方法和装置 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN111526164A (zh) * | 2020-07-03 | 2020-08-11 | 北京每日优鲜电子商务有限公司 | 一种用于电商平台的网络攻击检测方法及*** |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐***的攻击数据获取方法、装置 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112417449A (zh) * | 2020-11-12 | 2021-02-26 | 北京鸿腾智能科技有限公司 | 异常行为检测方法、设备、存储介质及装置 |
| CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN112995162B (zh) * | 2021-02-07 | 2023-03-21 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
| CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
| CN113572785A (zh) * | 2021-08-05 | 2021-10-29 | 中国电子信息产业集团有限公司第六研究所 | 一种用于核电工控***的蜜罐防御方法及装置 |
| CN114257416A (zh) * | 2021-11-25 | 2022-03-29 | 中科创达软件股份有限公司 | 黑白名单的调整方法及装置 |
| CN115801459A (zh) * | 2023-02-03 | 2023-03-14 | 北京六方云信息技术有限公司 | 报文检测方法、装置、***及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474625A (zh) | 网络安全防护方法、装置及嵌入式*** | |
| US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
| US10282548B1 (en) | Method for detecting malware within network content | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US10826872B2 (en) | Security policy for browser extensions | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN109711171A (zh) | 软件漏洞的定位方法及装置、***、存储介质、电子装置 | |
| US9973531B1 (en) | Shellcode detection | |
| US8839442B2 (en) | System and method for enabling remote registry service security audits | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| EP3111330A1 (en) | System and method for verifying and detecting malware | |
| GB2507360A (en) | Threat detection through the accumulated detection of threat characteristics | |
| US20190394220A1 (en) | Automatic characterization of malicious data flows | |
| JP2007047884A (ja) | 情報処理システム | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN101675423A (zh) | 在外部设备与主机设备间提供数据和设备安全的***和方法 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| WO2018211827A1 (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN109936560A (zh) | 恶意软件防护方法及装置 | |
| CN109995716B (zh) | 基于高交互蜜罐***的行为激发方法及装置 | |
| CN111314370B (zh) | 一种业务漏洞攻击行为的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190315 |
|
| RJ01 | Rejection of invention patent application after publication |