CN110602104B - 一种防止公有云盘被僵尸网络恶意利用的方法及装置 - Google Patents
一种防止公有云盘被僵尸网络恶意利用的方法及装置 Download PDFInfo
- Publication number
- CN110602104B CN110602104B CN201910875679.1A CN201910875679A CN110602104B CN 110602104 B CN110602104 B CN 110602104B CN 201910875679 A CN201910875679 A CN 201910875679A CN 110602104 B CN110602104 B CN 110602104B
- Authority
- CN
- China
- Prior art keywords
- file
- address
- sensitivity
- public cloud
- cloud disk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种防止公有云盘被僵尸网络恶意利用的方法,包括:捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;对所述攻击IP地址进行禁用。上述的方法,通过对所述攻击IP地址进行禁用,来避免僵尸网络通过公有云盘攻击对用户造成威胁的问题。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种防止公有云盘被僵尸网络恶意利用的方法及装置。
背景技术
随着互联网的兴起和人工智能的普及,我们的信息受到了各式各样的威胁,由于僵尸网络的存在,从笔记本电脑、路由器、DVRs到安全摄像机,都处在危险之中。僵尸网络作为一种有效的网络攻击发起平台,既是当今互联网最大的安全威胁之一,也是网络战中的关键攻击武器之一。
僵尸网络的攻击形式主要有DDoS攻击、窃取主机信息、传播恶意软件、发送垃圾邮件等,随着互联网技术的发展,僵尸网络将公有云盘作为命令下载子信道、注册子信道、数据回传子信道,从事回传窃密文件、发送垃圾邮件、更新恶意软件等活动,对用户的信息安全造成了威胁。
亟需一种防止公有云盘被僵尸网络恶意利用的方法来避免僵尸网络通过公有云盘攻击对用户造成威胁的问题。
发明内容
有鉴于此,本发明提供了一种防止公有云盘被僵尸网络恶意利用的方法及装置,用以避免僵尸网络通过公有云盘攻击对用户造成威胁的问题,具体方案如下:
一种防止公有云盘被僵尸网络恶意利用的方法,包括:
捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印。
当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
对所述攻击IP地址进行禁用。
上述的方法,可选的,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址,包括:
获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述请求源IP地址为僵尸程序IP地址。
上述的方法,可选的,当所述类型为文本时,采用与所述类型对应的检测方法计算所述文件的敏感度,包括:
获取所述文件中敏感词和所述敏感词变体的内容信息和位置信息;
依据所述内容信息和所述位置信息,确定所述敏感词和所述变体的内容敏感度和位置敏感度;
n-频繁度即所述文本中敏感词及其变体出现的次数;
Sloc(Si)-位置敏感度;
Ti-内容敏感度;
S-敏感度。
上述的方法,可选的,还包括:
对所述敏感度进行归一化处理。
上述的方法,可选的,还包括:
当所述蜜标文件提交成功时,返回提交成功指令给所述僵尸程序。
一种防止公有云盘被僵尸网络恶意利用的装置,包括:
捕获获取模块,用于捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
截获模块,用于当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印。
确定模块,用于当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
禁用模块,用于对所述攻击IP地址进行禁用。
上述的装置,可选的,所述捕获获取模块包括:
地址获取单元,用于获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
计算单元,用于依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
判定单元,用于当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述的请求源IP地址为僵尸程序IP地址。
上述的装置,可选的,所述计算单元包括:
信息获取子单元,用于获取所述文件中敏感词和所述敏感词变体的内容信息和位置信息;
确定子单元,用于依据所述内容信息和所述位置信息,确定所述敏感词和所述变体的内容敏感度和位置敏感度;
n-频繁度即所述文本中敏感词及其变体出现的次数;
Sloc(Si)-位置敏感度;
Ti-内容敏感度;
S-敏感度。
上述的装置,可选的,还包括:
归一化子单元,用于对所述敏感度进行归一化处理。
上述的装置,可选的,还包括:
返回模块,用于当所述蜜标文件提交成功时,返回提交成功指令给所述僵尸程序。
与现有技术相比,本发明包括以下优点:
本发明公开了一种防止公有云盘被僵尸网络恶意利用的方法,包括:捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;对所述攻击IP地址进行禁用。上述的方法,通过对所述攻击IP地址进行禁用,来避免僵尸网络通过公有云盘攻击对用户造成威胁的问题。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种防止公有云盘被僵尸网络恶意利用的方法流程图;
图2为本申请实施例公开的一种防止公有云盘被僵尸网络恶意利用的又一方法流程图;
图3为本申请实施例公开的一种防止公有云盘被僵尸网络恶意利用的装置结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
本发明公开了一种防止公有云盘被僵尸网络恶意利用的方法及装置,应用在访问公有云盘的过程中,其中“公有云盘”是指无需用户注册便可共享文件的云盘,如filedropper、rapidshare、zippyshare等。公有云盘在形式上与便签网站类似,服务器端有无限的存储空间。僵尸网络可以利用公有云盘回传窃密文件、窃取主机信息、侵犯用户隐私等,为有效应对以上恶意行为、防止公有云盘被僵尸网络恶意利用,本发明将对网络流量进行监控,实现实时保护以及防御,为广大互联网用户增加一道安全屏障,所述方法的执行流程如图1所示,包括步骤:
S101、捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
本发明实施例中,所述目标公有云盘为避免被僵尸网络利用的云盘,采用捕包工具对所述目标公有云盘中的流量进行捕包,其中,所述捕包工具可以为Charles、Fiddler等。其中,所述流量中包含所有文件的URL地址以及对应请求源的IP地址。对所述流量中的文件进行敏感度检测,依据检测结果,获取所述流量中的所有疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址,其中,所述僵尸程序通常存储在计算机或者其它终端中,一旦终端中存储有僵尸程序则判定该终端被僵尸程序感染。
S102、当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;
本发明实施例中,截获所述僵尸程序IP地址传递给所述目标公有云盘的网络流量,遍历所述目标公有云盘,当检测到所述网络流量中包含所述僵尸程序IP地址上传的请求数据包时,截获所述请求数据包不对其进行上传,伪装成僵尸程序IP地址向所述目标公有云盘提交一个蜜标文件,其中,所述蜜标文件的类型与所述请求数据包相同且带有跟踪水印。
进一步的,所述目标公有云盘还可以返回一个提交成功指令给僵尸程序,令所述僵尸程序知道所述请求数据包上传成功,而实际上传的是所述蜜标文件。
S103、当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
本发明实施例中,由于所述僵尸程序只具有上传功能,可以实现下载并打开所述蜜标文件的是攻击者,当检测到所述攻击者下载了所述蜜标文件并打开时,可以对所述攻击者进行跟踪溯源,确定所述攻击者的网络位置,即所述攻击者的攻击IP地址,以所述目标文件中隐藏远程图片的URL为例说明确定所述攻击IP地址的过程:一旦所述攻击者打开所述蜜标文件,便会主动请求该远程图片的URL,对应的图片服务器可以根据请求源IP地址,溯源所述攻击者的位置信息,即所述攻击IP地址。
S104、对所述攻击IP地址进行禁用。
本发明实施例中,为了对所述攻击者的攻击行为进行防御,选择对所述攻击IP地址进行禁用,当所述攻击者请求下载文件时,阻止其和所述目标公有云盘的网络通信。
本发明公开了一种防止公有云盘被僵尸网络恶意利用的方法,包括:捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;对所述攻击IP地址进行禁用。上述的方法,通过对所述攻击IP地址进行禁用,来避免僵尸网络通过公有云盘攻击对用户造成威胁的问题。
本发明实施例中,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址的方法流程如图2所示,包括步骤:
S201、获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
本发明实施例中,采用捕包工具对所述目标公有云盘中的流量进行捕包,获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址。针对文件的URL地址的获取,所述目标公有云盘的类型不同,获取的方式不同。例如,FileDropper公有云盘,文件URL地址的寻找方法:寻找名称含有index.php的数据记录,继而找到response的headers信息,其中的Location内容便为文件URL地址。YourFileLink公有云盘,在名称为upload.php的数据记录中,找到response部分的Text字段,关键字是http://www.yourfilelink.com/get.php,后面的fid部分是独一无二的。RapidShare公有云盘,文件URL是在浏览器中生成的,数据记录为upload.php,从中获取id的值,文件URL地址是http://www.rapidshare.com.cn/+id的值。
S202、依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
本发明实施例中,依据所述URL地址,访问与其对应的文件,其中,所述文件可以包括文本、图片和视频中的至少一种,为每一种类型均设置了对应的敏感度计算方法,其中,针对类型为图片或者视频的敏感度计算主要采用图像处理技术,本发明实施例中不进行具体描述。
本发明实施例中,主要针对文件类型为文本的情况进行说明,具体的算法如下:
S1、获取所述文件中的敏感词及所述敏感词变体的内容信息和位置信息。
本发明实施例中,针对敏感词及所述敏感词变体的内容信息是与所述文件预设的敏感词库进行比对得到的,其中,所述预设的敏感词库是依据经验进行设定的,但是所述预设的敏感词库的具体设定原则在本发明实施例不进行限定。
S2、确定敏感词及其变体的位置敏感度Sloc(Si)
本发明实施例中,由于文件信息太多,为了在最短的时间内获取到更多的信息,人们往往只对信息的头部与尾部进行浏览,这也符合人们总是喜欢把概括性描述写在文章的头部与尾部的习惯。因此,敏感词出现在文件的头部对文件敏感程度的影响要比敏感词出现在尾部对文件敏感程度的影响要大,敏感词出现在文件的尾部对文件敏感程度的影响要比敏感词出现在文件其他位置对文件敏感程度的影响要大。敏感词Si的位置敏感度如下:
其中,α、β、γ、δ表示敏感词分别位于文件头部、中上部、中下部、尾部的位置权重。len(t)表示文件长度,a=len(t)/4,b=len(t)/2,c=len(t)*3/4。li为敏感词Si在文件中的位置信息。
S3、确定敏感词及其变体的内容敏感度Ti
本发明实施例中,所述内容敏感度也可以称为权重,可以自己设置。比如“密码”的权重高于“用户名”,可以根据重要性的不同分层次设置敏感词的权重。
S4、确定文件中敏感词及其变体的频繁度。
本发明实施例中,所述频繁度即文件中敏感词及其变体出现的次数。
S5、计算文件的敏感度
本发明实施例中,依据敏感词及其变体所在位置敏感度、内容敏感度、频繁度等作为文本敏感信度计算因子,利用下式计算文本的敏感程度。
其中:
n-频繁度即所述文本中敏感词及其变体出现的次数,频繁已包含在0~(n-1)中;
Sloc(Si)-位置敏感度;
Ti-内容敏感度;
S-敏感度。
将公式(2)归一化,使其值位于[0,1]内。归一化后的公式如下所示:
S203、当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述请求源IP地址为僵尸程序IP地址。
本发明实施例中,选定敏感度阈值0.3和0.7,当S’的值大于0.7时,我们认为该文件是疑似窃密文件和所述疑似窃密文件的请求源IP地址为僵尸程序IP地址,在0.3和0.7之间需要人工进行审查,在0.3之下我们认为不是窃密文件。其中,所述敏感度阈值依据文件的类型不同而不同,选定原则可以依据经验值确定,也可以通过实验进行大数据分析确定,本发明实施例中,对所述敏感度阈值的设定原则不进行限定。
本发明实施例中,可以将上述的方法以工具的形式部署在终端中,所述终端对工具进行启动、停止、更新以及删除。“启动”使所述目标公有云盘端的组件自动化运转,前期主要进行流量监控,后期再对攻击者进行防御;“停止”也就是终止该工具在所述目标公有云盘端的运行,更好地实现交互式操作;“更新”操作可以对该工具进行升级等;当所述目标公有云盘端不再需要该工具,为了防止该工具占用资源,可以使用删除操作对工具进行删除,需要注意的是,执行删除操作时需要多重验证,防止误删导致的无法恢复。
基于上述的一种防止公有云盘被僵尸网络恶意利用的方法,本发明实施例中,还提供了一种防止公有云盘被僵尸网络恶意利用的装置,所述装置的结构框图如图3所示,包括:
捕获获取模块301、截获模块302、确定模块303和禁用模块304。
其中,
所述捕获获取模块301,用于捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
所述截获模块302,用于当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;
所述确定模块303,用于当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
所述禁用模块304,用于对所述攻击IP地址进行禁用。
本发明公开了一种防止公有云盘被僵尸网络恶意利用的装置,包括:捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;对所述攻击IP地址进行禁用。上述的装置,通过对所述攻击IP地址进行禁用,来避免僵尸网络通过公有云盘攻击对用户造成威胁的问题。
本发明实施例中,所述捕获获取模块301包括:
地址获取单元305、计算单元306和判定单元307。
其中,
所述地址获取单元305,用于获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
所述计算单元306,用于依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
所述判定单元307,用于当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述的请求源IP地址为僵尸程序IP地址。
本发明实施例中,所述计算单元306包括:
信息获取子单元308、确定子单元309和计算子单元310。
其中,
所述信息获取子单元308,用于获取所述文件中敏感词和所述敏感词变体的内容信息和位置信息;
所述确定子单元309,用于依据所述内容信息和所述位置信息,确定所述敏感词和所述变体的内容敏感度和位置敏感度;
n-频繁度即所述文本中敏感词及其变体出现的次数;
Sloc(Si)-位置敏感度;
Ti-内容敏感度;
S-敏感度。
本发明实施例中,所述计算单元306还包括:归一化子单元311。
其中,
所述归一化子单元311,用于对所述敏感度进行归一化处理。
本发明实施例中,所述装置还包括:返回模块312。
其中,
所述返回模块312,用于当所述蜜标文件提交成功时,返回提交成功指令给所述僵尸程序。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上对本发明所提供的一种防止公有云盘被僵尸网络恶意利用的方法及装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (8)
1.一种防止公有云盘被僵尸网络恶意利用的方法,其特征在于,包括:
捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
其中,所述获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址,包括:
获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述请求源IP地址为僵尸程序IP地址;
当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;
当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
对所述攻击IP地址进行禁用。
3.根据权利要求2所述的方法,其特征在于,还包括:
对所述敏感度进行归一化处理。
4.根据权利要求1所述的方法,其特征在于,还包括:
当所述蜜标文件提交成功时,返回提交成功指令给所述僵尸程序。
5.一种防止公有云盘被僵尸网络恶意利用的装置,其特征在于,包括:
捕获获取模块,用于捕获目标公有云盘的流量,获取所述流量中疑似窃密文件和上传所述疑似窃密文件的僵尸程序IP地址;
其中,所述捕获获取模块包括:
地址获取单元,用于获取所述流量中文件的URL地址以及上传所述文件的请求源IP地址;
计算单元,用于依据所述URL地址,确定所述文件的类型,采用与所述类型对应的检测方法计算所述文件的敏感度;
判定单元,用于当所述文件的敏感度满足预设的敏感度阈值时,判定所述文件为疑似窃密文件和所述的请求源IP地址为僵尸程序IP地址;
截获模块,用于当检测到所述僵尸程序IP地址上传请求数据包到所述目标公有云盘时,截获所述请求数据包并伪装成所述僵尸程序IP地址向所述目标公有云盘提交蜜标文件,其中,所述蜜标文件与所述请求数据包类型相同且带有跟踪水印;
确定模块,用于当检测到攻击者下载了所述蜜标文件并打开时,确定所述攻击者的攻击IP地址;
禁用模块,用于对所述攻击IP地址进行禁用。
7.根据权利要求6所述的装置,其特征在于,还包括:
归一化子单元,用于对所述敏感度进行归一化处理。
8.根据权利要求5所述的装置,其特征在于,还包括:
返回模块,用于当所述蜜标文件提交成功时,返回提交成功指令给所述僵尸程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910875679.1A CN110602104B (zh) | 2019-09-17 | 2019-09-17 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910875679.1A CN110602104B (zh) | 2019-09-17 | 2019-09-17 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110602104A CN110602104A (zh) | 2019-12-20 |
CN110602104B true CN110602104B (zh) | 2022-02-18 |
Family
ID=68860072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910875679.1A Active CN110602104B (zh) | 2019-09-17 | 2019-09-17 | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110602104B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113068048A (zh) * | 2021-03-16 | 2021-07-02 | 上海宽带技术及应用工程研究中心 | 车载摄像头多媒体信息泄露告警方法、***、介质及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪*** |
CN101588276A (zh) * | 2009-06-29 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种检测僵尸网络的方法及其装置 |
CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
CN107046535A (zh) * | 2017-03-24 | 2017-08-15 | 中国科学院信息工程研究所 | 一种异常感知和追踪方法及*** |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8973142B2 (en) * | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
US10693892B2 (en) * | 2017-12-11 | 2020-06-23 | International Business Machines Corporation | Network attack tainting and tracking |
-
2019
- 2019-09-17 CN CN201910875679.1A patent/CN110602104B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪*** |
CN101588276A (zh) * | 2009-06-29 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种检测僵尸网络的方法及其装置 |
CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
CN107046535A (zh) * | 2017-03-24 | 2017-08-15 | 中国科学院信息工程研究所 | 一种异常感知和追踪方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN110602104A (zh) | 2019-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10785254B2 (en) | Network attack defense method, apparatus, and system | |
Konoth et al. | Minesweeper: An in-depth look into drive-by cryptocurrency mining and its defense | |
US11057427B2 (en) | Method for identifying phishing websites and hindering associated activity | |
CN105939326B (zh) | 处理报文的方法及装置 | |
US11228593B2 (en) | Session security splitting and application profiler | |
He et al. | Mobile application security: malware threats and defenses | |
JP5382850B2 (ja) | クライアントサイド攻撃対抗フィッシング検出 | |
CN105577608B (zh) | 网络攻击行为检测方法和装置 | |
US10148700B2 (en) | Classification of top-level domain (TLD) websites based on a known website classification | |
CN107465648B (zh) | 异常设备的识别方法及装置 | |
US8646038B2 (en) | Automated service for blocking malware hosts | |
US10708281B1 (en) | Content delivery network (CDN) bot detection using primitive and compound feature sets | |
US20130014253A1 (en) | Network Protection Service | |
JP2009527855A5 (zh) | ||
CN105592017B (zh) | 跨站脚本攻击的防御方法及*** | |
WO2009111224A1 (en) | Identification of and countermeasures against forged websites | |
CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
CN110674496A (zh) | 程序对入侵终端进行反制的方法、***以及计算机设备 | |
CN113518064A (zh) | 挑战黑洞攻击的防御方法、装置、计算机设备和存储介质 | |
CN108282443B (zh) | 一种爬虫行为识别方法和装置 | |
CN110602104B (zh) | 一种防止公有云盘被僵尸网络恶意利用的方法及装置 | |
CN112671736B (zh) | 一种攻击流量确定方法、装置、设备及存储介质 | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
CN108268774A (zh) | 攻击请求的判定方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |