CN114598512B - 一种基于蜜罐的网络安全保障方法、装置及终端设备 - Google Patents

一种基于蜜罐的网络安全保障方法、装置及终端设备 Download PDF

Info

Publication number
CN114598512B
CN114598512B CN202210176034.0A CN202210176034A CN114598512B CN 114598512 B CN114598512 B CN 114598512B CN 202210176034 A CN202210176034 A CN 202210176034A CN 114598512 B CN114598512 B CN 114598512B
Authority
CN
China
Prior art keywords
attack
network security
data
determining
tool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210176034.0A
Other languages
English (en)
Other versions
CN114598512A (zh
Inventor
刘茂林
贺建鑫
赵重浩
龚亮华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fengtai Technology Beijing Co ltd
Original Assignee
Fengtai Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fengtai Technology Beijing Co ltd filed Critical Fengtai Technology Beijing Co ltd
Priority to CN202210176034.0A priority Critical patent/CN114598512B/zh
Publication of CN114598512A publication Critical patent/CN114598512A/zh
Application granted granted Critical
Publication of CN114598512B publication Critical patent/CN114598512B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请适用于网络安全技术领域,提供了一种基于蜜罐的网络安全保障方法、装置及终端设备,方法包括:通过蜜罐对流量数据进行分析,得到流量数据的特征数据;根据特征数据匹配到对应的攻击工具时,根据攻击工具确定漏洞特征;根据漏洞特征更新配置文件的配置参数,以阻断网络安全攻击。本申请通过蜜罐对流量数据进行分析,得到实时的流量数据的特征数据,在匹配到对应的攻击工具时,快速根据攻击工具确定攻击工具的漏洞特征,提高了对攻击工具的识别效率,并根据漏洞特征更新配置文件的配置参数,从而阻断攻击工具发起的网络安全攻击,提高了网络安全的稳定性。

Description

一种基于蜜罐的网络安全保障方法、装置及终端设备
技术领域
本申请属于网络安全技术领域,尤其涉及一种基于蜜罐的网络安全保障方法、装置、终端设备及可读存储介质。
背景技术
在网络技术飞速发展的过程中,计算机网络也存在着一定的危机,如遭受网络安全攻击。攻击者在进行攻击的时候,一般是通过现存已知的攻击工具(如端口扫描器、漏洞扫描器)对目标对象进行攻击。
为了保障网络安全,用户一般会安装防攻击程序用于保障网络安全。然而,相关的网络安全保障方法存在攻击工具识别效率较低,且精度不高的问题,导致网络安全的状态不稳定。
发明内容
本申请实施例提供了一种基于蜜罐的网络安全保障方法、装置、终端设备及可读存储介质,可以解决相关网络安全保障方法识别效率较低,且稳定性不高的问题。
第一方面,本申请实施例提供了一种基于蜜罐的网络安全保障方法,包括:
通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据;
根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征;
根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击。
在一个实施例中,所述特征数据包括流量特征指纹、通信协议;
所述通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据,包括:
通过蜜罐确定所述流量数据对应的通信协议;
分析确定所述流量数据的流量特征指纹。
在一个实施例中,所述根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征,包括:
将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;
在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;
根据所述攻击工具确定漏洞特征。
在一个实施例中,所述根据所述攻击工具确定漏洞特征,包括:
确定所述攻击工具的类型;
根据所述类型确定所述攻击工具的漏洞特征。
在一个实施例中,所述根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击,包括:
根据所述攻击工具确定攻击用户终端的IP地址;
根据所述漏洞特征和所述特征数据更新配置文件的配置参数,以阻断来自所述IP地址的网络安全攻击。
在一个实施例中,所述方法,还包括:
根据所述特征数据和所述攻击工具生成对应的告警信息;
显示所述告警信息并发送至目标用户终端。
在一个实施例中,所述方法,还包括:
在接收到安全控制指令时,确定所述安全控制指令携带的目标IP地址;
根据所述安全控制指令,断开与所述目标IP地址的通信连接关系,阻断所述目标IP地址的网络安全攻击。
第二方面,本申请实施例提供了一种基于蜜罐的网络安全保障装置,包括:
数据分析模块,用于通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据;
匹配模块,用于根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征;
参数配置模块,用于根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击。
在一个实施例中,所述特征数据包括流量特征指纹、通信协议;
所述数据分析模块,包括:
协议确定单元,用于通过蜜罐确定所述流量数据对应的通信协议;
匹配单元,用于分析确定所述流量数据的流量特征指纹。
在一个实施例中,所述匹配模块,包括:
比较单元,用于将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;
工具确定单元,用于在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;
特征确定单元,用于根据所述攻击工具确定漏洞特征。
在一个实施例中,所述特征确定单元,包括:
类型确定子单元,用于确定所述攻击工具的类型;
特征确定子单元,用于根据所述类型确定所述攻击工具的漏洞特征。
在一个实施例中,所述参数配置模块,包括:
IP地址确定单元,用于根据所述攻击工具确定攻击用户终端的IP地址;
参数配置单元,用于根据所述漏洞特征和所述特征数据更新配置文件的配置参数,以阻断来自所述IP地址的网络安全攻击。
在一个实施例中,所述装置,还包括:
信息生成模块,用于根据所述特征数据和所述攻击工具生成对应的告警信息;
显示模块,用于显示所述告警信息并发送至目标用户终端。
在一个实施例中,所述装置,还包括:
接收模块,用于在接收到安全控制指令时,确定所述安全控制指令携带的目标IP地址;
控制模块,用于根据所述安全控制指令,断开与所述目标IP地址的通信连接关系,阻断所述目标IP地址的网络安全攻击。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面中任一项所述的基于蜜罐的网络安全保障方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面中任一项所述的基于蜜罐的网络安全保障方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的基于蜜罐的网络安全保障方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:通过蜜罐对流量数据进行分析,得到实时的流量数据的特征数据,在根据特征数据匹配到对应的攻击工具时,快速根据攻击工具确定攻击工具的漏洞特征,提高了对攻击工具的识别效率,并根据漏洞特征更新配置文件的配置参数,从而阻断攻击工具发起的网络安全攻击,提高了网络安全的稳定性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的基于蜜罐的网络安全保障方法的流程示意图;
图2是本申请实施例提供的基于蜜罐的网络安全保障方法步骤S101的流程示意图;
图3是本申请实施例提供的基于蜜罐的网络安全保障方法步骤S102的流程示意图;
图4是本申请实施例提供的基于蜜罐的网络安全保障方法步骤S103的流程示意图;
图5是本申请实施例提供的基于蜜罐的网络安全保障装置的结构示意图;
图6是本申请实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的基于蜜罐的网络安全保障方法可以应用于服务器、工控设备、手机、平板电脑、个人数字助理(personal digital assistant,PDA)等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
图1示出了本申请提供的基于蜜罐的网络安全保障方法的示意性流程图,作为示例而非限定,该方法可以应用于上述工控设备中。
S101、通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据。
具体地,预先在当前终端设备中安全蜜罐程序,并通过蜜罐对当前终端设备中的流量数据进行实时分析,从而得到实时流量数据的特征数据。
通过对流量数据进行分析,得到特征数据可以确定当前终端设备中是否出现异常流量数据,从而确定当前网络或设备是否来自其他用户终端的网络安全攻击。
其中,蜜罐程序是一种软件应用***(具体为网络监控***),常用来称当入侵诱饵,引诱黑客前来进行网络攻击。在检测到攻击者入侵后,通过对流量数据监测与分析,确定攻击工具的入侵方式,以及攻击方法和攻击漏洞特征等。
S102、根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征。
具体地,将流量数据的特征数据与预先建立的网络安全数据库中的攻击特征进行匹配,在检测到与流量数据的特征数据匹配的攻击特征时,确定与攻击特征对应的攻击工具,从而根据攻击工具确定对应的漏洞特征,以基于漏洞特征保障当前终端设备的网络安全。
S103、根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击。
具体地,根据攻击工具的漏洞特征对当前网络或设备的配置文件的配置参数进行更新,从而阻断网络安全攻击。
其中,更新配置文件的配置参数包括但不限于:1、阻断来自攻击工具对应的IP地址的所有流量数据;2、根据漏洞特征调用不同定制的反制方法,对攻击工具进行有限的反制,以防止攻击工具的持续攻击等。
在一个实施例中,所述特征数据包括流量特征指纹、通信协议;
如图2所示,所述通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据,包括:
S1011、通过蜜罐确定所述流量数据对应的通信协议;
S1012、分析确定所述流量数据的流量特征指纹。
具体地,特征数据包括但不限于流量特征指纹、通信协议;通过蜜罐程序实时对流量数据进行分析,确定与流量数据对应的通信协议,基于不同的通信协议将流量数据(通过将流量数据转换成16进制数据)分别写入不同的消息队列(kafka)的不同订阅标题(topic)中,分析确定流量数据的流量特征指纹。
具体的,多个消息队列(kafka)节点(Boeker)需要注册到同一个Zookeeper上,Zookeeper具体为一个开放源码的分布式应用程序协调服务。其中,每个节点(Boeker)包括多个分区(partition),用于存放流量数据。
如图3所示,在一个实施例中,所述根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征,包括:
S1021、将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;
S1022、在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;
S1023、根据所述攻击工具确定漏洞特征。
具体地,预先分析现存所有已知的攻击工具,得到每个攻击工具的攻击特征,所述攻击特征包括但不限于攻击通信协议和攻击流量特征指纹。并根据攻击工具和攻击特征,预先建立网络安全数据库(网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征)。在确定流量数据的特征数据时,通过逻辑规则将特征数据与预先建立的网络安全数据库中存储的攻击特征进行匹配,在匹配到与特征数据对应的攻击特征时,确定与攻击特征对应的攻击工具,从而根据攻击工具确定对应的漏洞特征。
在一个实施例中,所述根据所述攻击工具确定漏洞特征,包括:
确定所述攻击工具的类型;
根据所述类型确定所述攻击工具的漏洞特征。
具体地,在确定攻击工具后,对攻击工具进行分析,确定该攻击工具的类型,基于攻击工具的类型,确定该攻击工具的漏洞特征。其中,攻击工具的类型包括但不限于端口扫描器、漏洞扫描器等;漏洞特征是指攻击工具中存在的,可以对攻击工具发起反制的程序漏洞(bug)。
如图4所示,在一个实施例中,所述根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击,包括:
S1031、根据所述攻击工具确定攻击用户终端的IP地址;
S1032、根据所述漏洞特征和所述特征数据更新配置文件的配置参数,以阻断来自所述IP地址的网络安全攻击。
具体地,在确定攻击工具后,通过溯源程序确定使用该攻击工具的攻击用户终端的IP地址,根据漏洞特征和特征数据更新配置文件的配置参数,以阻断来自IP地址的具有上述特征数据的网络安全攻击。
通过IP地址、漏洞特征和特征数据更新配置文件的配置参数,实现基于攻击工具的漏洞特征进行反制,有效的保障了网络安全。
在一个实施例中,所述方法,还包括:
根据所述特征数据和所述攻击工具生成对应的告警信息;
显示所述告警信息并发送至目标用户终端。
具体地,根据流量数据的特征数据和攻击工具生成对应的告警信息(告警信息包括但不限于流量数据的特征数据和攻击工具及攻击用户终端的IP地址),通过显示设备显示该告警信息,并发送至目标用户终端。其中,目标用户终端为与当前终端设备通信连接的,管理人员的终端(如手机、平板电脑、PC等)。
在一个实施例中,所述方法,还包括:
在接收到安全控制指令时,确定所述安全控制指令携带的目标IP地址;
根据所述安全控制指令,断开与所述目标IP地址的通信连接关系,阻断所述目标IP地址的网络安全攻击。
具体地,在接收到安全控制指令时,确定安全控制指令携带的目标IP地址,根据安全控制指令,断开与目标IP地址的通信连接关系,从而拒绝接收该目标IP地址的流量数据,实现阻断该目标IP地址的网络安全攻击。
在一个实施例中,所述方法还包括在未匹配到与所述特征数据对应的攻击工具时,实时记录流量日志,以在接收到流量日志显示指令时,显示所述流量日志。
本实施例通过蜜罐对流量数据进行分析,得到实时的流量数据的特征数据,在根据特征数据匹配到对应的攻击工具时,快速根据攻击工具确定攻击工具的漏洞特征,提高了对攻击工具的识别效率,并根据漏洞特征更新配置文件的配置参数,从而阻断攻击工具发起的网络安全攻击,提高了网络安全的稳定性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的基于蜜罐的网络安全保障方法,图5示出了本申请实施例提供的基于蜜罐的网络安全保障装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参照图5,该基于蜜罐的网络安全保障装置100包括:
数据分析模块101,用于通过蜜罐对流量数据进行分析,得到所述流量数据的特征数据;
匹配模块102,用于根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征;
参数配置模块103,用于根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击。
在一个实施例中,所述特征数据包括流量特征指纹、通信协议;
所述数据分析模块,包括:
协议确定单元,用于通过蜜罐确定所述流量数据对应的通信协议;
匹配单元,用于分析确定所述流量数据的流量特征指纹。
在一个实施例中,所述匹配模块,包括:
比较单元,用于将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;
工具确定单元,用于在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;
特征确定单元,用于根据所述攻击工具确定漏洞特征。
在一个实施例中,所述特征确定单元,包括:
类型确定子单元,用于确定所述攻击工具的类型;
特征确定子单元,用于根据所述类型确定所述攻击工具的漏洞特征。
在一个实施例中,所述参数配置模块,包括:
IP地址确定单元,用于根据所述攻击工具确定攻击用户终端的IP地址;
参数配置单元,用于根据所述漏洞特征和所述特征数据更新配置文件的配置参数,以阻断来自所述IP地址的网络安全攻击。
在一个实施例中,所述装置,还包括:
信息生成模块,用于根据所述特征数据和所述攻击工具生成对应的告警信息;
显示模块,用于显示所述告警信息并发送至目标用户终端。
在一个实施例中,所述装置,还包括:
接收模块,用于在接收到安全控制指令时,确定所述安全控制指令携带的目标IP地址;
控制模块,用于根据所述安全控制指令,断开与所述目标IP地址的通信连接关系,阻断所述目标IP地址的网络安全攻击。
本实施例通过蜜罐对流量数据进行分析,得到实时的流量数据的特征数据,在根据特征数据匹配到对应的攻击工具时,快速根据攻击工具确定攻击工具的漏洞特征,提高了对攻击工具的识别效率,并根据漏洞特征更新配置文件的配置参数,从而阻断攻击工具发起的网络安全攻击,提高了网络安全的稳定性。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
图6为本实施例提供的终端设备的结构示意图。如图6所示,该实施例的终端设备6包括:至少一个处理器60(图6中仅示出一个)、存储器61以及存储在所述存储器61中并可在所述至少一个处理器60上运行的计算机程序62,所述处理器60执行所述计算机程序62时实现上述任意各个基于蜜罐的网络安全保障方法实施例中的步骤。
所述终端设备6可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。该终端设备可包括,但不仅限于,处理器60、存储器61。本领域技术人员可以理解,图6仅仅是终端设备6的举例,并不构成对终端设备6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入输出设备、网络接入设备等。
所称处理器60可以是中央处理单元(Central Processing Unit,CPU),该处理器60还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器61在一些实施例中可以是所述终端设备6的内部存储单元,例如终端设备6的硬盘或内存。所述存储器61在另一些实施例中也可以是所述终端设备6的外部存储设备,例如所述终端设备6上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字卡(Secure Digital,SD),闪存卡(Flash Card)等。进一步地,所述存储器61还可以既包括所述终端设备6的内部存储单元也包括外部存储设备。所述存储器61用于存储操作***、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如所述计算机程序的程序代码等。所述存储器61还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种终端设备,该终端设备包括:至少一个处理器、存储器以及存储在所述存储器中并可在所述至少一个处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (8)

1.一种基于蜜罐的网络安全保障方法,其特征在于,包括:
预先在当前设备中安装蜜罐,通过所述蜜罐对当前终端设备中的实时流量数据进行分析,得到所述流量数据的特征数据,其中,所述特征数据包括流量特征指纹、通信协议;
所述通过所述蜜罐对当前终端设备中的实时流量数据进行分析,得到所述流量数据的特征数据,包括:通过所述蜜罐实时对所述流量数据进行分析,确定与所述流量数据对应的通信协议,将所述流量数据转换成16进制数据,基于不同的通信协议将所述流量数据分别写入不同的消息队列的不同订阅标题中,分析确定所述流量数据的流量特征指纹,其中,多个所述消息队列的节点注册到同一个Zookeeper上,所述Zookeeper为开放源码的分布式应用程序协调服务,每个所述节点包括多个分区,用于存放流量数据;
根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征,包括:将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;根据所述攻击工具确定漏洞特征,其中,所述预先建立的网络安全数据库通过如下方式建立:预先分析现存所有已知的所述攻击工具,得到每个所述攻击工具的所述攻击特征;根据所述攻击工具和所述攻击特征,预先建立所述网络安全数据库;
根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击,所述更新配置文件的配置参数包括:更新用于阻断来自所述攻击工具对应的IP地址的所有流量数据的参数、根据所述漏洞特征调用不同定制的反制方法。
2.如权利要求1所述的基于蜜罐的网络安全保障方法,其特征在于,所述根据所述攻击工具确定漏洞特征,包括:
确定所述攻击工具的类型;
根据所述类型确定所述攻击工具的漏洞特征。
3.如权利要求1所述的基于蜜罐的网络安全保障方法,其特征在于,所述根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击,包括:
根据所述攻击工具确定攻击用户终端的IP地址;
根据所述漏洞特征和所述特征数据更新配置文件的配置参数,以阻断来自所述IP地址的网络安全攻击。
4.如权利要求1所述的基于蜜罐的网络安全保障方法,其特征在于,所述方法,还包括:
根据所述特征数据和所述攻击工具生成对应的告警信息;
显示所述告警信息并发送至目标用户终端。
5.如权利要求1所述的基于蜜罐的网络安全保障方法,其特征在于,所述方法,还包括:
在接收到安全控制指令时,确定所述安全控制指令携带的目标IP地址;
根据所述安全控制指令,断开与所述目标IP地址的通信连接关系,阻断所述目标IP地址的网络安全攻击。
6.一种基于蜜罐的网络安全保障装置,其特征在于,包括:
数据分析模块,用于预先在当前设备中安装蜜罐,通过所述蜜罐对当前终端设备中的实时流量数据进行分析,得到所述流量数据的特征数据,其中,所述特征数据包括流量特征指纹、通信协议;
所述通过所述蜜罐对当前终端设备中的实时流量数据进行分析,得到所述流量数据的特征数据,包括:通过所述蜜罐实时对所述流量数据进行分析,确定与所述流量数据对应的通信协议,将所述流量数据转换成16进制数据,基于不同的通信协议将所述流量数据分别写入不同的消息队列的不同订阅标题中,分析确定所述流量数据的流量特征指纹,其中,多个所述消息队列的节点注册到同一个Zookeeper上,所述Zookeeper为开放源码的分布式应用程序协调服务,每个所述节点包括多个分区,用于存放流量数据;
匹配模块,用于根据所述特征数据匹配到对应的攻击工具时,根据所述攻击工具确定漏洞特征,包括:将所述特征数据与预先建立的网络安全数据库中的攻击特征进行匹配;在匹配到与所述特征数据对应的攻击特征时,确定与所述攻击特征对应的攻击工具;所述网络安全数据库包括多个攻击工具及与每个攻击工具对应的攻击特征,所述攻击特征包括攻击通信协议和攻击流量特征指纹;根据所述攻击工具确定漏洞特征,其中,所述预先建立的网络安全数据库通过如下方式建立:预先分析现存所有已知的所述攻击工具,得到每个所述攻击工具的所述攻击特征;根据所述攻击工具和所述攻击特征,预先建立所述网络安全数据库;
参数配置模块,用于根据所述漏洞特征更新配置文件的配置参数,以阻断网络安全攻击,所述更新配置文件的配置参数包括:更新用于阻断来自所述攻击工具对应的IP地址的所有流量数据的参数、根据所述漏洞特征调用不同定制的反制方法。
7.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的方法。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的方法。
CN202210176034.0A 2022-02-24 2022-02-24 一种基于蜜罐的网络安全保障方法、装置及终端设备 Active CN114598512B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210176034.0A CN114598512B (zh) 2022-02-24 2022-02-24 一种基于蜜罐的网络安全保障方法、装置及终端设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210176034.0A CN114598512B (zh) 2022-02-24 2022-02-24 一种基于蜜罐的网络安全保障方法、装置及终端设备

Publications (2)

Publication Number Publication Date
CN114598512A CN114598512A (zh) 2022-06-07
CN114598512B true CN114598512B (zh) 2024-02-06

Family

ID=81805200

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210176034.0A Active CN114598512B (zh) 2022-02-24 2022-02-24 一种基于蜜罐的网络安全保障方法、装置及终端设备

Country Status (1)

Country Link
CN (1) CN114598512B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114944961B (zh) * 2022-07-01 2023-04-18 广东瑞普科技股份有限公司 网络安全防护方法、装置、***和电子设备
CN116170352A (zh) * 2023-02-01 2023-05-26 北京首都在线科技股份有限公司 网络流量的处理方法、装置、电子设备及存储介质
CN116170242A (zh) * 2023-04-26 2023-05-26 烽台科技(北京)有限公司 网络攻击处理方法、装置、服务器及存储介质

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107404465A (zh) * 2016-05-20 2017-11-28 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN109314698A (zh) * 2016-02-23 2019-02-05 区块链控股有限公司 保护计算机网络与***的抢占式响应安全***
CN109361670A (zh) * 2018-10-21 2019-02-19 北京经纬信安科技有限公司 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗***与方法
CN111767548A (zh) * 2020-06-28 2020-10-13 杭州迪普科技股份有限公司 一种漏洞捕获方法、装置、设备及存储介质
CN111885067A (zh) * 2020-07-28 2020-11-03 福建奇点时空数字科技有限公司 一种面向流量的集成式蜜罐威胁数据捕获方法
CN111885060A (zh) * 2020-07-23 2020-11-03 上海交通大学 面向车联网的无损式信息安全漏洞检测***和方法
CN112383546A (zh) * 2020-11-13 2021-02-19 腾讯科技(深圳)有限公司 一种处理网络攻击行为的方法、相关设备及存储介质
WO2021033506A1 (ja) * 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
CN112615863A (zh) * 2020-12-18 2021-04-06 成都知道创宇信息技术有限公司 反制攻击主机的方法、装置、服务器及存储介质
CN113676497A (zh) * 2021-10-22 2021-11-19 广州锦行网络科技有限公司 数据阻断的方法和装置、电子设备和存储介质
CN113904820A (zh) * 2021-09-27 2022-01-07 杭州安恒信息技术股份有限公司 网络入侵防护方法、***、计算机及可读存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109314698A (zh) * 2016-02-23 2019-02-05 区块链控股有限公司 保护计算机网络与***的抢占式响应安全***
CN107404465A (zh) * 2016-05-20 2017-11-28 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN109361670A (zh) * 2018-10-21 2019-02-19 北京经纬信安科技有限公司 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗***与方法
WO2021033506A1 (ja) * 2019-08-21 2021-02-25 株式会社日立製作所 ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体
CN111767548A (zh) * 2020-06-28 2020-10-13 杭州迪普科技股份有限公司 一种漏洞捕获方法、装置、设备及存储介质
CN111885060A (zh) * 2020-07-23 2020-11-03 上海交通大学 面向车联网的无损式信息安全漏洞检测***和方法
CN111885067A (zh) * 2020-07-28 2020-11-03 福建奇点时空数字科技有限公司 一种面向流量的集成式蜜罐威胁数据捕获方法
CN112383546A (zh) * 2020-11-13 2021-02-19 腾讯科技(深圳)有限公司 一种处理网络攻击行为的方法、相关设备及存储介质
CN112615863A (zh) * 2020-12-18 2021-04-06 成都知道创宇信息技术有限公司 反制攻击主机的方法、装置、服务器及存储介质
CN113904820A (zh) * 2021-09-27 2022-01-07 杭州安恒信息技术股份有限公司 网络入侵防护方法、***、计算机及可读存储介质
CN113676497A (zh) * 2021-10-22 2021-11-19 广州锦行网络科技有限公司 数据阻断的方法和装置、电子设备和存储介质

Also Published As

Publication number Publication date
CN114598512A (zh) 2022-06-07

Similar Documents

Publication Publication Date Title
CN114598512B (zh) 一种基于蜜罐的网络安全保障方法、装置及终端设备
US11936666B1 (en) Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US8220048B2 (en) Network intrusion detector with combined protocol analyses, normalization and matching
US9256831B2 (en) Match engine for detection of multi-pattern rules
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN109766694B (zh) 一种工控主机的程序协议白名单联动方法及装置
US10489720B2 (en) System and method for vendor agnostic automatic supplementary intelligence propagation
CN111526121A (zh) 入侵防御方法、装置、电子设备及计算机可读介质
US11785034B2 (en) Detecting security risks based on open ports
US11711383B2 (en) Autonomous generation of attack signatures to detect malicious network activity
CN113746810B (zh) 一种网络攻击诱导方法、装置、设备及存储介质
CN111464513A (zh) 数据检测方法、装置、服务器及存储介质
EP3462699B1 (en) System and method of identifying a malicious intermediate language file
WO2017032287A1 (zh) 信息获取方法及装置
CN114666101A (zh) 一种攻击溯源检测***、方法、设备及介质
CN114567678B (zh) 一种云安全服务的资源调用方法、装置及电子设备
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN112953957B (zh) 一种入侵防御方法、***及相关设备
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN113259299B (zh) 一种标签管理方法、上报方法、数据分析方法及装置
CN115118481B (zh) 一种主机信息采集方法、装置、设备及介质
CN117221009B (zh) 网络安全态势预测方法、装置、服务器及存储介质
Li M-ISDS: A Mobilized Intrusion and Spam Detection System
CN116582347A (zh) 安全检测方法、装置、电子设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant