CN112788034A - 对抗网络攻击的处理方法、装置、电子设备和存储介质 - Google Patents
对抗网络攻击的处理方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112788034A CN112788034A CN202110041910.4A CN202110041910A CN112788034A CN 112788034 A CN112788034 A CN 112788034A CN 202110041910 A CN202110041910 A CN 202110041910A CN 112788034 A CN112788034 A CN 112788034A
- Authority
- CN
- China
- Prior art keywords
- type
- suspicious
- attack
- attack traffic
- suspicious attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种对抗网络攻击的处理方法、装置、电子设备和存储介质,涉及计算机技术领域。其中,对抗网络攻击的处理方法包括:识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选;根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量;对可疑攻击流量进行特征识别;根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量;若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境;若存在第二类可疑攻击流量,则将第二类可疑攻击流量导入至真实运行环境。通过本公开的技术方案,提高了对抗网络攻击的效率和可靠性,降低了对真实运行环境的业务***的干扰。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种对抗网络攻击的处理方法、装置、电子设备和存储介质。
背景技术
黑客攻击手段可分为非破坏性攻击和破坏性攻击两类,其中,非破坏性攻击一般是为了扰乱***的运行,并不盗窃***资料,通常采用拒绝服务攻击或信息炸弹,破坏性攻击是以侵入他人电脑***、盗窃***保密信息、破坏目标***的数据为目的。
后门程序、信息炸弹、拒绝服务、网络监听、DDOS(Distributed Denial ofService,分布式拒绝服务)等为黑客常用的攻击手段。
相关技术中,黑客在进行攻击的时候,都会使用不同的工具进行攻击,而这些工具大多数来自于互联网,一方面,在海量攻击告警数据中筛选真实攻击事件的工作量大且效率较低,另一方面,对攻击流量的识别和筛选过程影响到真实运行环境的正常运行。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种对抗网络攻击的处理方法、装置、电子设备和存储介质,至少在一定程度上解决筛选出真实攻击事件的效率低的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种对抗网络攻击的处理方法,包括:识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选;根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量;对可疑攻击流量进行特征识别;根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量;若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境;若存在第二类可疑攻击流量,则将第二类可疑攻击流量导入至真实运行环境。
在本公开的一个实施例中,对可疑攻击流量进行特征识别包括:解析可疑攻击流量的数据包中的网络协议地址和特征语句;根据网络协议地址和特征语句确定匹配的异常日志记录。
在本公开的一个实施例中,异常日志记录包括杀毒日志记录、情报日志记录和历史日志记录中的至少一种。
在本公开的一个实施例中,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境包括:若存在第一类可疑攻击流量,则对第一类可疑攻击流量的数据包的五元组信息进行记录;对第一类可疑攻击流量的网络交互请求进行缓存;识别缓存的网络交互请求中请求进行访问的业务***;在仿真运行环境中,根据五元组信息将第一类可疑攻击流量导入至业务***。
在本公开的一个实施例中,仿真运行环境中预置有蜜罐***,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境还包括:通过蜜罐***对环境探测类的可疑攻击流量进行识别;在仿真运行环境中,通过蜜罐***的识别记录将环境探测类的可疑攻击流量导入至请求进行访问的业务***。
在本公开的一个实施例中,对抗网络攻击的处理方法还包括:判断业务***中的第一类可疑攻击流量是否存在攻击行为;根据攻击行为检测业务***产生的触发项;根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互。
在本公开的一个实施例中,根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互包括:根据触发项确定各类攻击行为的次数;比较次数与预设次数之间的大小关系;若次数小于或等于预设次数,则将第一类可疑攻击流量切换至真实运行环境;若次数大于预设次数,则阻断第一类可疑攻击流量的访问交互。
在本公开的一个实施例中,根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互还包括:将与切换至真实运行环境的第一类可疑攻击流量的网络协议地址相同的后续流量接入至真实运行环境。
在本公开的一个实施例中,触发项包括业务***的对外交互请求、新增日志和新增进程中的至少一种。
根据本公开的另一个方面,提供一种对抗网络攻击的处理装置,包括:筛选模块,用于识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选;确定模块,用于根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量;识别模块,用于对可疑攻击流量进行特征识别;确定模块还用于,根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量;处理模块,用于若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境;处理模块还用于,若存在第二类可疑攻击流量,则将第二类可疑攻击流量导入至真实运行环境。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任意一项的对抗网络攻击的处理方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意一项的对抗网络攻击的处理方法。
本公开的实施例所提供的对抗网络攻击的处理方案,通过对网络流量入口的攻击对象进行筛选进和识别后,将第一类可疑攻击流量导入至仿真运行环境,提高了对抗网络攻击的效率和可靠性,将不具备攻击力的第二类可疑攻击流量导入至真实运行环境,以实现真实运行环境的交互和访问,降低了对真实运行环境的业务***的干扰。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种对抗网络攻击的处理方法的流程图;
图2示出本公开实施例中另一种对抗网络攻击的处理方法的流程图;
图3示出本公开实施例中另一种对抗网络攻击的处理方法的流程图;
图4示出本公开实施例中另一种对抗网络攻击的处理方法的流程图;
图5示出本公开实施例中另一种对抗网络攻击的处理方法的流程图;
图6示出本公开实施例中另一种对抗网络攻击的处理方法的流程图;
图7示出本公开实施例中又一种对抗网络攻击的处理方法的流程图;
图8示出本公开实施例中一种对抗网络攻击的处理平台的示意图;
图9示出本公开实施例中一种对抗网络攻击的处理装置的示意图;
图10示出本公开实施例中一种电子设备的示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本申请提供的方案,通过对网络流量入口的攻击对象进行筛选进和识别后,将第一类可疑攻击流量导入至仿真运行环境,提高了对抗网络攻击的效率和可靠性,将不具备攻击力的第二类可疑攻击流量导入至真实运行环境,以实现真实运行环境的交互和访问,降低了对真实运行环境的业务***的干扰。
本申请实施例提供的方案涉及对抗网络攻击的处理和机器自动化部署等技术,具体通过如下实施例进行说明。
WAF:Web Application Firewall,Web应用防护***,即网站应用级入侵防御***,Web应用防火墙会对HTTP(HyperText Transfer Protocol,超文本传输协议)的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。另外,通过增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,从而减小Web服务器被攻击的可能性。
端口扫描攻击:攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据报协议)端口是开放的,过程如下:
(1)发出端口号从0开始依次递增的TCP SYN(synchronize,同步)包或UDP报文(端口号是一个16比特的数字,这样最大为65535,数量很有限)。
(2)如果收到了针对这个TCP报文的RST(复位)报文,或针对这个UDP报文的ICMP(Internet Control Message Protocol,Internet控制报文协议)不可达报文,则说明这个端口没有开放。
(3)如果收到了针对这个TCP SYN报文的ACK(确认)报文,或者没有接收到任何针对该UDP报文的ICMP报文,则说明该TCP端口是开放的,UDP端口可能开放(因为有的实现中可能不回应ICMP不可达报文,即使该UDP端口没有开放)。
基于此,便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口,然后针对端口的具体数字,进行下一步攻击。
分片IP报文攻击:为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU(Maximum Transmission Unit,最大传输单元,是指一种通信协议的某一层上面所能通过的最大数据包大小(以字节为单位)),对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。
如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS(DiskOperating System,磁盘操作***)攻击。
没有设置任何标志的TCP报文攻击:正常情况下,任何TCP报文都会设置SYN、FIN(用于指示连接一方再也没有更多新的数据发送)、ACK、RST和PSH(用于指示TCP的推送比特)五个标志中的至少一个标志,第一个TCP报文(TCP连接请求报文)设置SYN标志,后续报文都设置ACK标志。
有的协议栈基于这样的假设,没有针对不设置任何标志的TCP报文的处理过程,因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。
设置了FIN标志却没有设置ACK标志的TCP报文攻击:正常情况下,ACK标志在除了第一个报文(SYN报文)外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导致目标计算机崩溃。
死亡之PING攻击:TCP/IP规范要求IP报文的长度在一定范围内(比如,0-64K),但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。
地址猜测攻击:跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMP ECHO报文,来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
五元组:通常是指源IP地址,源端口,目的IP地址,目的端口和传输层协议,五元组能够区分不同会话,并且对应的会话是唯一的,例如:“192.168.1.1;10000;TCP;121.14.88.76;80”就构成了一个五元组。其意义是,一个IP地址为192.168.1.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76,端口为80的终端进行连接。
蜜罐***:类似于情报收集***,设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,一个蜜罐***拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。
下面,将结合附图及实施例对本示例实施方式中的对抗网络攻击的处理方法的各个步骤进行更详细的说明。
图1示出本公开实施例中一种对抗网络攻击的处理方法流程图。本公开实施例提供的方法可以由任意具备计算处理能力的电子设备执行,例如终端和/或服务器集群。在下面的举例说明中,以终端为执行主体进行示例说明。
如图1所示,终端执行对抗网络攻击的处理方法,包括以下步骤:
步骤S102,识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选。
步骤S104,根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量。
步骤S106,对可疑攻击流量进行特征识别。
步骤S108,根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量。
步骤S110,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境。
步骤S112,若存在第二类可疑攻击流量,则将第二类可疑攻击流量导入至真实运行环境。
在本公开的一个实施例中,通过识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选,根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量,所有的可疑攻击流量均在仿真环境中进行识别,提高了对抗网络攻击的效率和可靠性,将不具备攻击力的第二类可疑攻击流量导入至真实运行环境,以实现真实运行环境的交互和访问,降低了对真实运行环境的业务***的干扰。
另外,仿真运行环境的设备能够实现自由组合,避免了新安全设备上线,避免了对生产环境产生影响,在识别攻击流量的同时降低对***业务正常运行的实际影响,并且提升正常业务环境的运行性能。
如图2所示,对可疑攻击流量进行特征识别包括:
步骤S202,解析可疑攻击流量的数据包中的网络协议地址和特征语句。
步骤S204,根据网络协议地址和特征语句确定匹配的异常日志记录。
在本公开的一个实施例中,特征语句可例如以下几种,但不限于此:
1.htmlspecialchars()函数:用于转义处理在页面上显示的文本。
2.htmlentities()函数:用于转义处理在页面上显示的文本。
3.strip_tags()函数:过滤掉输入,输出里面的标签。
4.header()函数:使用header("Content-type:application/json")。
5.urlencode()函数:用于输出处理字符型参数带入页面链接中。
6.inval()函数:用于处理数值型参数输出页面中。
7.sql注入:就是通过把SQL命令***到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
在本公开的一个实施例中,通过网络协议地址和特征语句来确定匹配的异常日志记录,预存的异常日志记录用于对攻击者的攻击行为进行记录,其中包含攻击者的网络协议地址。
在本公开的一个实施例中,异常日志记录包括杀毒日志记录、情报日志记录和历史日志记录中的至少一种。
在本公开的一个实施例中,杀毒日志记录中包含本地查杀攻击者的记录,情报日志记录中包含蜜罐***收集的情报内容,首先让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,一个蜜罐***拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查等,但不限于此。
如图3所示,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境包括:
步骤S302,若存在第一类可疑攻击流量,则对第一类可疑攻击流量的数据包的五元组信息进行记录。
步骤S304,对第一类可疑攻击流量的网络交互请求进行缓存。
步骤S306,识别缓存的网络交互请求中请求进行访问的业务***。
步骤S308,在仿真运行环境中,根据五元组信息将第一类可疑攻击流量导入至业务***。
在本公开的一个实施例中,通过对第一类可疑攻击流量的网络交互请求进行缓存,并在仿真运行环境中,根据五元组信息将第一类可疑攻击流量导入至业务***,进而在仿真运行环境的业务***中记录第一类可疑攻击流量的攻击行为,通过攻击行为的记录和分析来提高网络攻击识别的可靠性和准确性。
如图4所示,仿真运行环境中预置有蜜罐***,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境还包括:
步骤S402,通过蜜罐***对环境探测类的可疑攻击流量进行识别。
步骤S404,在仿真运行环境中,通过蜜罐***的识别记录将环境探测类的可疑攻击流量导入至请求进行访问的业务***。
在本公开的一个实施例中,环境探测类的攻击属于APT((Advanced PersistentThreat,是指高级持续性威胁)攻击,是一个集合了多种常见攻击方式的综合攻击,综合多种攻击途径来尝试突破网络防御,通常是通过Web或电子邮件传递,利用应用程序或操作***的漏洞,利用传统的网络保护机制无法提供统一的防御,首先采用多个阶段穿透一个网络,然后提取有价值的信息,这使得它的攻击更不容易被发现,因此,通过蜜罐***对环境探测类的可疑攻击流量进行识别,并导入至请求进行访问的业务***,以提高对环境探测类的攻击流量的识别的准确率和可靠性。
如图5所示,对抗网络攻击的处理方法还包括:
步骤S502,判断业务***中的第一类可疑攻击流量是否存在攻击行为。
步骤S504,根据攻击行为检测业务***产生的触发项。
步骤S506,根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互。
在本公开的一个实施例中,通过根据攻击行为检测业务***产生的触发项,根据触发项将第一类可疑攻击流量切换至真实运行环境,即将不具备攻击力的第一类可疑攻击流量切换至真实运行环境,以实现真实运行环境中的业务交互和正常运行,若根据触发项阻断第一类可疑攻击流量的访问交互,即将具备攻击性的第一类可疑攻击流量的访问阻断,与真实运行环境的业务***进行隔离,以提高真实运行环境的安全性。
如图6所示,根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互包括:
步骤S602,根据触发项确定各类攻击行为的次数。
步骤S604,比较次数与预设次数之间的大小关系。
步骤S606,若次数小于或等于预设次数,则将第一类可疑攻击流量切换至真实运行环境。
步骤S608,若次数大于预设次数,则阻断第一类可疑攻击流量的访问交互。
在本公开的一个实施例中,通过比较次数与预设次数之间的大小关系确定第一类可疑攻击流量是否具备攻击力,可例如将预设次数设置为1,预设次数越小,则对第一类可疑攻击流量的判断条件越严格,对第一类可疑攻击流量识别的准确率越高。另外,触发项的类型越多,越有利于提高第一类可疑攻击流量识别的可靠性。
如图7所示,根据触发项将第一类可疑攻击流量切换至真实运行环境或阻断第一类可疑攻击流量的访问交互还包括:
步骤S702,将与切换至真实运行环境的第一类可疑攻击流量的网络协议地址相同的后续流量接入至真实运行环境。
在本公开的一个实施例中,将与切换至真实运行环境的第一类可疑攻击流量的网络协议地址相同的后续流量接入至真实运行环境,即在确认第一类可疑攻击流量不具备攻击力时,将与第一类可疑攻击流量相同来源的后续流量均放行,无需在仿真运行环境中进行攻击识别,不仅降低了仿真运行环境的交互压力和计算压力,也提高了真实运行环境中的业务***运行的流畅性。
在本公开的一个实施例中,触发项包括业务***的对外交互请求、新增日志和新增进程中的至少一种。
下面参照图8来描述根据本发明的这种实施方式的对抗网络攻击的处理平台800。图8所示的对抗网络攻击的处理平台800仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,对抗网络攻击的处理平台800包括:攻击捕获模块802、仿真***804、诱捕模块806和流量引导模块808。
(1)攻击捕获模块802:用于定义安全事件规则,用于在流量入口处新增攻击识别告警,并将识别到的流量引导至仿真***,未识别的正常流量引导至真实运行环境。
(2)仿真***804:用于构建仿真运行环境,可例如虚拟机话的***,虚拟资源以最小化的形式存在,不通的虚拟机环境部署不同的业务***、硬件设备,模拟真实机房环境(复制一份真实运行环境),由于不是真实运行环境,只对流量进行分析,消耗资源空间小,成本低。
(3)诱捕模块806:在仿真运行环境中,用于对攻击进行诱捕,诱捕***会设置一些存在漏洞的攻击点,诱惑攻击者进行攻击,并在流量中加入攻击识别***,对攻击流量进行剥离识别。
(4)流量引导模块808:对攻击流量在诱捕模块中产生的攻击事件进行计数打分,当触发的告警事件越多时分数越低,总分达到80%以上判断为正常流量,将这部分流量引导至真实业务场景,判断为正常访问。
在本公开的一个实施例中,对抗网络攻击的处理平台800执行抗网络攻击的处理步骤包括:
步骤(1):攻击者访问业务***触发捕获模块,模块会将数据发送至云waf,waf开启全策略,最大告警量,经过第一层攻击筛选后,再将结果与内部日志搜集平台对接,攻击流量包中的IP、特征语句会与日志平台中企业内部的异常日志,其中包含杀毒日志、情报日志、历史经常出问题的ip等,当可疑度达到内控阈值时触发第2步流程,当未触发时,流量直接访问真实运行环境。
步骤(2):捕获模块将攻击者的数据包五元组等信息进行记录,同时缓存TCP的交互式请求,并将流量导入至仿真运行环境,仿真运行环境对会自动识别攻击者访问的内网业务***,并将流量切换到该***中,该业务***已提前由诱捕******了基于***的行为分析***。
步骤(3):在识别到攻击后,引入攻击行为判断机制,行为判断机制主要用于判断攻击行为,可例如针对用户操作命令、***日志、端口、进程进行判断,但不限于此。攻击行为的触发项可例如当***上程序或脚本对外访问请求端口瞬间放大(默认***不会对外请求)、日志大量产生(虚拟***默认不会有日志产生)、新的进程出现(虚拟***默认不会有新进程)等等,根据触发项纳入攻击计数。
步骤(4):继续让攻击者完成攻击,当攻击的业务***越多,攻击识别度越高。
步骤(5):如果面对环境探测类的攻击,仿真***中实际也预置了蜜罐***、对端口等基于网络流量的探测进行识别。
步骤(6):确认非攻击行为后流量引导模块会自动将步骤(2)中的缓存流量在正式环境中针对指定的业务***进行重放,并且将后续的IP流量切换到真实运行环境,让用户正常访问,如果是攻击行为,反馈IP至防火墙,自动将IP进行阻断,并放入步骤(1)的捕获模块视为恶意IP,将后续访问均视为恶意IP。
步骤(7)由于用户在步骤(2)中记录了数据的包头(使用的浏览器、源IP、目标IP)等信息,后续用户在访问的过程中这些数据未变动的情况,默认在步骤(1)中判断为正常用户,不再进行仿真分析判断,直到本次完整业务交互结束。
下面参照图9来描述根据本发明的这种实施方式的对抗网络攻击的处理装置900。图9所示的对抗网络攻击的处理装置900仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
对抗网络攻击的处理装置900以硬件模块的形式表现。对抗网络攻击的处理装置900的组件可以包括但不限于:筛选模块902、确定模块904、识别模块906和处理模块908。
筛选模块902用于,识别网络流量入口的攻击对象,并将攻击对象的数据发送至web应用防火墙进行筛选。
确定模块904用于,根据web应用防火墙对攻击对象的筛选结果确定可疑攻击流量。
识别模块906用于,对可疑攻击流量进行特征识别。
确定模块904还用于,根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量。
处理模块908用于,若存在第一类可疑攻击流量,则将第一类可疑攻击流量导入至仿真运行环境。
处理模块908还用于,若存在第二类可疑攻击流量,则将第二类可疑攻击流量导入至真实运行环境。
下面参照图10来描述根据本发明的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于:上述至少一个处理单元1010、上述至少一个存储单元1020、连接不同***组件(包括存储单元1020和处理单元1010)的总线1030。
其中,存储单元存储有程序代码,程序代码可以被处理单元1010执行,使得处理单元1010执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元1010可以执行如图1至图7中所示的步骤,以及本公开的对抗网络攻击的处理方法中限定的其他步骤。
存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备1040(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器1060通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,对抗网络攻击的处理方法还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (12)
1.一种对抗网络攻击的处理方法,其特征在于,包括:
识别网络流量入口的攻击对象,并将所述攻击对象的数据发送至web应用防火墙进行筛选;
根据所述web应用防火墙对所述攻击对象的筛选结果确定可疑攻击流量;
对所述可疑攻击流量进行特征识别;
根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量;
若存在所述第一类可疑攻击流量,则将所述第一类可疑攻击流量导入至仿真运行环境;
若存在所述第二类可疑攻击流量,则将所述第二类可疑攻击流量导入至真实运行环境。
2.根据权利要求1所述的对抗网络攻击的处理方法,其特征在于,对所述可疑攻击流量进行特征识别包括:
解析所述可疑攻击流量的数据包中的网络协议地址和特征语句;
根据所述网络协议地址和所述特征语句确定匹配的异常日志记录。
3.根据权利要求2所述的对抗网络攻击的处理方法,其特征在于,
所述异常日志记录包括杀毒日志记录、情报日志记录和历史日志记录中的至少一种。
4.根据权利要求1-3中任一项所述的对抗网络攻击的处理方法,其特征在于,若存在所述第一类可疑攻击流量,则将所述第一类可疑攻击流量导入至仿真运行环境包括:
若存在所述第一类可疑攻击流量,则对所述第一类可疑攻击流量的数据包的五元组信息进行记录;
对所述第一类可疑攻击流量的网络交互请求进行缓存;
识别缓存的所述网络交互请求中请求进行访问的业务***;
在所述仿真运行环境中,根据所述五元组信息将所述第一类可疑攻击流量导入至所述业务***。
5.根据权利要求1-3中任一项所述的对抗网络攻击的处理方法,其特征在于,所述仿真运行环境中预置有蜜罐***,若存在所述第一类可疑攻击流量,则将所述第一类可疑攻击流量导入至仿真运行环境还包括:
通过所述蜜罐***对环境探测类的可疑攻击流量进行识别;
在所述仿真运行环境中,通过所述蜜罐***的识别记录将所述环境探测类的可疑攻击流量导入至请求进行访问的业务***。
6.根据权利要求4所述的对抗网络攻击的处理方法,其特征在于,对抗网络攻击的处理方法还包括:
判断所述业务***中的第一类可疑攻击流量是否存在攻击行为;
根据所述攻击行为检测所述业务***产生的触发项;
根据所述触发项将所述第一类可疑攻击流量切换至所述真实运行环境或阻断所述第一类可疑攻击流量的访问交互。
7.根据权利要求6所述的对抗网络攻击的处理方法,其特征在于,根据所述触发项将所述第一类可疑攻击流量切换至所述真实运行环境或阻断所述第一类可疑攻击流量的访问交互包括:
根据所述触发项确定各类攻击行为的次数;
比较所述次数与预设次数之间的大小关系;
若所述次数小于或等于所述预设次数,则将所述第一类可疑攻击流量切换至所述真实运行环境;
若所述次数大于所述预设次数,则阻断所述第一类可疑攻击流量的访问交互。
8.根据权利要求7所述的对抗网络攻击的处理方法,其特征在于,根据所述触发项将所述第一类可疑攻击流量切换至所述真实运行环境或阻断所述第一类可疑攻击流量的访问交互还包括:
将与切换至所述真实运行环境的第一类可疑攻击流量的网络协议地址相同的后续流量接入至所述真实运行环境。
9.根据权利要求6-8中任一项所述的对抗网络攻击的处理方法,其特征在于,
所述触发项包括所述业务***的对外交互请求、新增日志和新增进程中的至少一种。
10.一种对抗网络攻击的处理装置,其特征在于,包括:
筛选模块,用于识别网络流量入口的攻击对象,并将所述攻击对象的数据发送至web应用防火墙进行筛选;
确定模块,用于根据所述web应用防火墙对所述攻击对象的筛选结果确定可疑攻击流量;
识别模块,用于对所述可疑攻击流量进行特征识别;
所述确定模块还用于,根据特征识别结果确定是否存在第一类可疑攻击流量或第二类可疑攻击流量;
处理模块,用于若存在所述第一类可疑攻击流量,则将所述第一类可疑攻击流量导入至仿真运行环境;
所述处理模块还用于,若存在所述第二类可疑攻击流量,则将所述第二类可疑攻击流量导入至真实运行环境。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-9中任意一项所述的对抗网络攻击的处理方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,
所述计算机程序被处理器执行时实现权利要求1-9中任意一项所述的对抗网络攻击的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110041910.4A CN112788034B (zh) | 2021-01-13 | 2021-01-13 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110041910.4A CN112788034B (zh) | 2021-01-13 | 2021-01-13 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112788034A true CN112788034A (zh) | 2021-05-11 |
| CN112788034B CN112788034B (zh) | 2023-04-07 |
Family
ID=75755630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110041910.4A Active CN112788034B (zh) | 2021-01-13 | 2021-01-13 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112788034B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113992370A (zh) * | 2021-10-19 | 2022-01-28 | 广州锦行网络科技有限公司 | 一种流量转发控制方法及基于流量转发控制的诱捕节点 |
| CN114205306A (zh) * | 2021-11-26 | 2022-03-18 | 阿里云计算有限公司 | 流量识别方法、设备及存储介质 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN115529145A (zh) * | 2021-06-25 | 2022-12-27 | ***通信集团广东有限公司 | 网络安全入侵检测与防护***及方法 |
| CN116055222A (zh) * | 2023-03-23 | 2023-05-02 | 北京长亭未来科技有限公司 | 一种防止攻击文件绕过waf检测的方法与装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| US20190141061A1 (en) * | 2017-11-03 | 2019-05-09 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御***、方法和计算机设备 |
| CN111988265A (zh) * | 2019-05-23 | 2020-11-24 | 深信服科技股份有限公司 | 一种网络流量攻击识别方法、防火墙***及相关组件 |
| US20200389487A1 (en) * | 2019-06-04 | 2020-12-10 | Qatar Foundation For Education, Science And Community Development | Methods and systems for reducing unwanted data traffic in a computer network |
-
2021
- 2021-01-13 CN CN202110041910.4A patent/CN112788034B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180152475A1 (en) * | 2016-11-30 | 2018-05-31 | Foundation Of Soongsil University-Industry Cooperation | Ddos attack detection system based on svm-som combination and method thereof |
| US20190141061A1 (en) * | 2017-11-03 | 2019-05-09 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
| JP2020149390A (ja) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | サイバー攻撃検知装置 |
| CN111988265A (zh) * | 2019-05-23 | 2020-11-24 | 深信服科技股份有限公司 | 一种网络流量攻击识别方法、防火墙***及相关组件 |
| US20200389487A1 (en) * | 2019-06-04 | 2020-12-10 | Qatar Foundation For Education, Science And Community Development | Methods and systems for reducing unwanted data traffic in a computer network |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御***、方法和计算机设备 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529145A (zh) * | 2021-06-25 | 2022-12-27 | ***通信集团广东有限公司 | 网络安全入侵检测与防护***及方法 |
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113992370A (zh) * | 2021-10-19 | 2022-01-28 | 广州锦行网络科技有限公司 | 一种流量转发控制方法及基于流量转发控制的诱捕节点 |
| CN114205306A (zh) * | 2021-11-26 | 2022-03-18 | 阿里云计算有限公司 | 流量识别方法、设备及存储介质 |
| CN114374535A (zh) * | 2021-12-09 | 2022-04-19 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN114374535B (zh) * | 2021-12-09 | 2024-01-23 | 北京和利时***工程有限公司 | 一种基于虚拟化技术的控制器网络攻击防御方法与*** |
| CN116055222A (zh) * | 2023-03-23 | 2023-05-02 | 北京长亭未来科技有限公司 | 一种防止攻击文件绕过waf检测的方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112788034B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
| US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
| Harris et al. | TCP/IP security threats and attack methods | |
| JP2020515962A (ja) | Apt攻撃に対する防御 | |
| CN111526121A (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| Murphy et al. | An application of deception in cyberspace: Operating system obfuscation1 | |
| Wang et al. | RansomTracer: exploiting cyber deception for ransomware tracing | |
| Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
| Särelä et al. | Evaluating intrusion prevention systems with evasions | |
| Naseer et al. | Denial of Services (DoS) Attack: Implementation in Wireless LAN and Countermeasures | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Li-Juan | Honeypot-based defense system research and design | |
| Blackwell | Ramit-Rule-Based Alert Management Information Tool | |
| Iavich et al. | 5G security function and its testing environment | |
| Mabsali et al. | Effectiveness of Wireshark Tool for Detecting Attacks and Vulnerabilities in Network Traffic | |
| Singh et al. | Intrusion detection system and its variations | |
| Daimen et al. | Jamming Windows OS Through DDoS | |
| Rahmawati et al. | Web Application Firewall Using Proxy and Security Information and Event Management (SIEM) for OWASP Cyber Attack Detection | |
| Selvaraj | Distributed Denial of Service Attack Detection, Prevention and Mitigation Service on Cloud Environment | |
| Fleming et al. | Network intrusion and detection: An evaluation of snort | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| Morinaga et al. | Cyber Attack Countermeasure Technologies Using Analysis of Communication and Logs in Internal Network | |
| TWI648978B (zh) | Hacker reverse connection behavior detection method | |
| Allman et al. | Tracking the Role of Adversaries in Measuring Unwanted Traffic. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |