CN116723020A - 网络服务模拟方法、装置、电子设备及存储介质 - Google Patents
网络服务模拟方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116723020A CN116723020A CN202310736865.3A CN202310736865A CN116723020A CN 116723020 A CN116723020 A CN 116723020A CN 202310736865 A CN202310736865 A CN 202310736865A CN 116723020 A CN116723020 A CN 116723020A
- Authority
- CN
- China
- Prior art keywords
- network
- protocol
- service
- traffic
- communication protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004088 simulation Methods 0.000 title claims abstract description 102
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000004891 communication Methods 0.000 claims abstract description 133
- 230000004044 response Effects 0.000 claims abstract description 48
- 238000004590 computer program Methods 0.000 claims description 7
- 230000006399 behavior Effects 0.000 abstract description 25
- 238000012545 processing Methods 0.000 abstract description 23
- 230000008569 process Effects 0.000 description 24
- 238000005516 engineering process Methods 0.000 description 8
- 238000012546 transfer Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 244000035744 Hura crepitans Species 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- GKSPIZSKQWTXQG-UHFFFAOYSA-N (2,5-dioxopyrrolidin-1-yl) 4-[1-(pyridin-2-yldisulfanyl)ethyl]benzoate Chemical compound C=1C=C(C(=O)ON2C(CCC2=O)=O)C=CC=1C(C)SSC1=CC=CC=N1 GKSPIZSKQWTXQG-UHFFFAOYSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络服务模拟方法、装置、电子设备及存储介质,涉及计算机技术领域。该方法通过在***中部署网络模拟服务,将各个端口接收到的恶意软件的网络流量进行重定向,也即将恶意软件发送到不同IP和端口的网络流量重定向到网络模拟服务,然后在内部识别网络流量的通信协议是否为所支持的公共协议或私有协议,然后根据识别结果对网络流量进行响应处理,如此可将部署的通信协议与端口解耦,这样对于任意端口的流量,均能提供服务,且内部还拓展了对私有协议的识别,如此可支持更多的协议,从而可以在更多情况下均能与恶意软件建立通信,进而诱发恶意软件实施更多的网络行为,有利于后续对恶意行为进行分析以确保网络安全。
Description
技术领域
本申请涉及计算机技术领域,具体而言,涉及一种网络服务模拟方法、装置、电子设备及存储介质。
背景技术
许多恶意软件在运行过程中会产生网络通信行为,但是可能会由于与恶意软件通信的主机关闭等原因导致网络无法联通,为防止恶意软件因网络阻塞问题而导致恶意行为无法进一步触发,故通常会引入网络模拟技术缓解此问题。
目前的网络模拟技术只能在特定端口部署特定的网络服务,比如在80端口部署HTTP服务,当恶意软件访问该端口时,可通过HTTP服务与其建立通信,但是如果恶意软件在该端口通过其他协议建立通信,或者访问其他非特定端口时,导致与恶意软件之间的通信无法建立,从而无法分析恶意软件的恶意行为。
发明内容
本申请实施例的目的在于提供一种网络服务模拟方法、装置、电子设备及存储介质,用以改善现有的网络模拟技术在特定端口部署服务的方式,大多情况下无法与恶意软件建立通信进而无法分析恶意行为的问题。
第一方面,本申请实施例提供了一种网络服务模拟方法,所述方法包括:
通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量;
通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理。
在上述实现过程中,通过在***中部署网络模拟服务,将各个端口接收到的恶意软件的网络流量进行重定向,然后在内部识别网络流量的通信协议是否为所支持的公共协议或私有协议,然后根据识别结果对网络流量进行响应处理,如此可将部署的通信协议与端口解耦,这样对于任意端口的流量,均能提供服务,且内部还拓展了对私有协议的识别,如此可支持更多的协议,从而可以在更多情况下均能与恶意软件建立通信,进而诱发恶意软件实施更多的网络行为,有利于后续对恶意行为进行分析以确保网络安全。
可选地,所述通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理,包括:
若所述识别结果为所述网络流量的通信协议为所支持的通信协议,则通过所述网络模拟服务将与所述恶意软件建立的会话调度到协议服务端,通过所述协议服务端与所述恶意软件建立通信;
若所述识别结果为所述网络流量的通信协议不为所支持的通信协议,则通过所述网络模拟服务向所述恶意软件返回默认响应报文。
在上述实现过程中,针对所支持的通信协议,通过调度到协议服务端进行处理,而对于不支持的通信协议,则直接返回默认响应报文,如此可支持对私有协议和公共协议的处理,并且对于不支持的协议可快速响应。
可选地,在通过网络模拟服务所述接收重定向的各个端口的恶意软件的网络流量之后,所述通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议之前,还包括:
通过所述网络模拟服务识别所述网络流量是否为高负载流量;
若是,则通过所述网络模拟服务向所述恶意软件返回默认响应报文;
其中,若所述网络流量识别为不是高负载流量,则执行步骤:通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议。
在上述实现过程中,通过对高负载流量的识别,则可采用负载均衡技术,降低对高负载流量的处理压力,以更好地应对高负载流量。
可选地,所述通过所述网络模拟服务识别所述网络流量是否为高负载流量,包括:
通过所述网络模拟服务统计所述网络流量的请求频率;
若所述请求频率大于设定阈值,则通过所述网络模拟服务确定所述网络流量为高负载流量。
在上述实现过程中,通过统计请求频率来识别高负载流量,如此可有效对僵尸网络的攻击进行识别,进而快速响应。
可选地,所述通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量之前,还包括:
通过所述网络模拟服务扫描插件目录,获取每个插件的注册信息,所述注册信息包括所支持的私有协议的相关信息。
在上述实现过程中,通过插件形式进行私有协议的拓展,从而可以对各种私有协议提供更完善的支持,且对私有协议的扩展更便捷。
可选地,所述通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理,包括:
若所述识别结果为所述网络流量的通信协议为所支持的私有协议,则通过所述网络模拟服务将与所述恶意软件建立的会话调度到所述私有协议对应的插件,通过所述插件与所述恶意软件建立通信。
在上述实现过程中,通过将插件作为私有协议的服务端进行响应处理,从而便于私有协议的扩展。
可选地,所述通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量,包括:
通过所述网络模拟服务接收通过iptables工具重定向的各个端口的恶意软件的网络流量。
在上述实现过程中,通过iptables工具将任意端口的流量进行重定向,从而可使得网络模拟服务支持通过任意端口与恶意软件建立通信。
第二方面,本申请实施例提供了一种网络服务模拟装置,所述装置包括:
流量接收模块,用于接收重定向的各个端口的恶意软件的网络流量;
协议识别模块,用于识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
响应模块,用于根据所述识别结果对所述网络流量进行响应处理。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络模拟方法的流程图;
图2为本申请实施例提供的一种网络模拟服务的实现框图;
图3为本申请实施例提供的一种网络模拟装置的结构框图;
图4为本申请实施例提供的一种用于执行网络服务模拟方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“***”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供一种网络服务模拟方法,该方法通过在***中部署网络模拟服务,将各个端口接收到的恶意软件的网络流量进行重定向,然后在内部识别网络流量的通信协议是否为所支持的公共协议或私有协议,然后根据识别结果对网络流量进行响应处理,如此可将部署的通信协议与端口解耦,这样对于任意端口的流量,均能提供服务,且内部还拓展了对私有协议的识别,如此可支持更多的协议,从而可以在更多情况下均能与恶意软件建立通信,进而诱发恶意软件实施更多的网络行为,有利于后续对恶意行为进行分析以确保网络安全。
请参照图1,图1为本申请实施例提供的一种网络服务模拟方法的流程图,该方法包括如下步骤:
步骤S110:通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量。
其中,网络模拟服务是指一种在实验环境中模拟常见网络服务的技术,常用于分析未知恶意软件的网络行为,该技术会根据恶意软件的网络行为做出相应的响应,以达到欺骗恶意软件的目的。
本申请实施例中所指的恶意软件可如木马、勒索软件、间谍软件等,该恶意软件是由安全管理人员为了分析恶意攻击行为而部署的。
本申请实施例提供的方法由设备中的网络模拟服务执行,网络模拟服务和恶意软件均部署在设备上。为了确保安全性,恶意软件和网络模拟服务可以部署于两个隔离环境中,比如恶意软件可以运行在沙箱中,网络模拟服务部署在沙箱宿主机中,沙箱中的恶意软件可以向外网服务器(比如C2主机,是一种命令与控制服务器,可用于向恶意软件下发指令)发起连接请求,网络模拟服务即可根据连接请求与恶意软件建立通信连接,后续可用于对恶意软件的网络行为进行分析。
恶意软件可通过设备上的各个端口发送连接请求,这些连接请求在本申请方案中可称为网络流量,当然恶意软件发送的任何报文(包含连接请求报文)均可称为是网络流量,这些网络流量均可通过设备上的任意端口发送。
而为了避免在特定的端口部署相关的服务,而恶意软件不访问该端口而是访问其他端口而无法与恶意软件建立通信的问题,本申请实施例中,将端口与协议服务解绑,即将协议服务与端口解耦,不在特定的端口部署特定的协议服务,而是针对所有的端口,将其端口获得的网络流量进行重定向到网络模拟服务,然后再对网络流量的通信协议进行识别。
网络模拟服务可以理解为是一种设备的内部服务***,在一些实施方式中,为了实现网络流量的重定向,设备上还可部署有iptables工具,该iptables工具是一个运行于操作***上,用于对网络流量进行处理和转发的软件,所以可以通过iptables工具对各个端口的恶意软件的网络流量进行重定向到网络模拟服务。
也就是说,只要从任意端口接收到恶意软件的网络流量,则通过iptables工具将其网络流量重定向到网络模拟服务,也即恶意软件发往不同IP和端口的网络流量均重定向到网络模拟服务,这样通过网络流量的重定向技术,可使得网络模拟服务支持与恶意软件通过任意端口建立通信,而不局限于特定端口。
步骤S120:通过网络模拟服务识别网络流量的通信协议是否为所支持的通信协议,获得识别结果。
其中,本申请实施例中所支持的通信协议包括公共协议和私有协议,公开协议可如HTTP(Hyper Text Transfer Protocol,超文本传输协议)、HTTPS(Hypertext TransferProtocol Secure,超文本传输安全协议)、FTP(File Transfer Protocol,文件传输协议)、SSH(Secure Shell,安全外壳)协议、SFTP(SSH File Transfer Protocol,安全文件传输协议)、TELNET(远程终端协议)、SMPT(S)(Simple Mail Transfer Protocol,简单邮件传输协议)、DNS(Domain Name System,域名***)协议、BT-DHT(Bit Torrent-Distributed HashTable,BT-分布式哈希表)协议、ICMP(Internet Control Message Protocol,网络控制报文协议)等协议,私有协议可如CobaltStrike、Metasploit、Sliver、AgentTesla、Mirai、Gafgyt、Momentum等协议,这些私有协议可通过预先对大量的恶意软件的网络流量进行分析获得。
由于本方案中将协议服务与端口解耦,所以网络模拟服务不需要通过端口来识别恶意软件的网络流量的通信协议,而是通过识别网络流量的具体内容来识别通信协议,以达到更准确的协议识别。
比如网络模拟服务可以对接收到的恶意软件的网络流量进行解析,获取报文特征信息,比如五元组信息,其中包括通信协议,然后即可识别该通信协议是否包含在网络模拟服务所支持的通信协议中,获得识别结果。
网络模拟服务通过网络流量的内容来识别其通信协议,而非简单通过端口识别,从而可提升协议识别的正确性。
步骤S130:通过网络模拟服务根据识别结果对网络流量进行响应处理。
识别结果可以包括网络流量的通信协议是否是所支持的通信协议,以及网络流量的通信协议是公开协议还是私有协议等结果,然后针对不同的识别结果可进行不同的响应处理,如针对不同的识别结果向恶意软件返回的响应报文不同,且响应报文所携带的内容不同,即响应报文所表征的含义可不同;或者,针对不同的识别结果进行的处理不同,如下述实施例中,针对受支持的网络流量,则调度对应的协议服务端(如公共协议对应的服务端和私有协议对应的协议插件)进行处理公共协议的网络流量,而针对不受支持的网络流量,则直接返回默认响应报文,具体实现过程可参见后续实施例的描述。
在上述实现过程中,通过在***中部署网络模拟服务,将各个端口接收到的恶意软件的网络流量进行重定向,然后在内部识别网络流量的通信协议是否为所支持的公共协议或私有协议,然后根据识别结果对网络流量进行响应处理,如此可将部署的通信协议与端口解耦,这样对于任意端口的流量,均能提供服务,且内部还拓展了对私有协议的识别,如此可支持更多的协议,从而可以在更多情况下均能与恶意软件建立通信,进而诱发恶意软件实施更多的网络行为,有利于后续对恶意行为进行分析以确保网络安全。
在上述实施例的基础上,在根据识别结果对网络流量进行响应处理的方式中,包括:若识别结果为网络流量的通信协议为所支持的通信协议,则通过网络模拟服务将与恶意软件建立的会话调度到协议服务端,通过协议服务端与恶意软件建立通信;若识别结果为网络流量的通信协议不为所支持的通信协议,则通过网络模拟服务向恶意软件返回默认响应报文。
网络模拟服务可内置一主服务来实现通信协议的识别以及响应处理,主服务是指用于接收、识别和响应恶意软件的网络流量的服务端程序。在一些实施方式中,网络模拟服务还可包括协议检测服务,该协议检测服务用于识别网络流量的通信协议,其可以理解为是用于识别通信协议的服务端程序。
如果网络流量的通信协议为公共协议或私有协议,则表示其通信协议为所支持的通信协议,否则不为所支持的通信协议,若是所支持的通信协议,此时主服务可将与恶意软件建立的会话调度到协议服务端进行处理。
这里将会话调度到协议服务端可以理解为是调度协议服务端来对该会话进行处理,即通过协议服务端来与恶意软件建立通信,协议服务端也可以理解为是网络模拟服务的一部分,比如可以是指主服务的一部分,当然协议服务端也可以是网络模拟服务外的服务,具体在实际应用中,可以灵活部署。
可以理解地,不同的通信协议可对应不同的协议服务端,如HTTP协议对应HTTP协议服务端,FTP协议对应FTP协议服务端。由于本方案可支持公共协议和私有协议,所以恶意软件采用不同的协议进行通信时,网络模拟服务均能与其建立通信,从而能够获取到恶意软件更多的网络行为,以根据恶意软件的网络行为做出相应的响应,以达到欺骗恶意软件的目的。
而若识别结果为网络流量的通信协议不为所支持的通信协议时,此时表示网络模拟服务无法对其进行响应并建立通信,所以可以向恶意软件返回默认响应报文,恶意软件接收到默认响应报文可知晓当前连接未成功,则后续可再通过其他方式进行连接。该默认响应报文可以是预先设置的默认报文,默认响应报文的具体内容可以自定义,比如通常可以为HTTP/1.1200OK\r\n\r\n。
在另外一些实施方式中,网络模拟服务也可不对该请求进行响应,这样恶意软件在一定时间内未接收到反馈,则可能会通过其他方式进行再次请求,以再次触发恶意行为。
在上述实现过程中,针对所支持的通信协议,通过调度到协议服务端进行处理,而对于不支持的通信协议,则直接返回默认响应报文,如此可支持对私有协议和公共协议的处理,并且对于不支持的协议可快速响应。
在上述实施例的基础上,为了应对高负载流量,比如在应对僵尸网络病毒的流量攻击时,可能出现服务崩溃的情况,本申请实施例中还可以在接收到恶意软件的网络流量之后,先通过网络模拟服务识别网络流量是否为高负载流量,若是,则通过网络模拟服务向恶意软件返回默认响应报文,而若网络流量不是高负载流量,则通过网络模拟服务识别网络流量的通信协议是否为所支持的通信协议。
网络模拟服务还可包括防火墙和高负载服务,其可以通过防火墙来检测网络流量是否为高负载流量,若是,则防火墙可将网络流量转发到高负载服务,通过高负载服务对该网络流量进行响应处理,比如向恶意软件返回默认响应报文。这里的默认响应报文和上述的主服务返回的默认响应报文可以是相同的默认报文,即报文内容相同,也可以是不同的报文,实际应用中,也可支持自定义。
防火墙若检测到网络流量不是高负载流量,则将网络流量转发给上述的主服务,由主服务来对网络流量的通信协议进行识别。
这里先对网络流量进行高负载流量检测是因为:通常这类高负载流量是DDoS(Distributed denial of service attack,分布式拒绝服务攻击)流量,对此类流量分析的价值较低,所以通过高负载服务快速返回默认响应报文即可,恶意软件接收到默认响应报文可知晓当前连接未成功,则后续可再通过其他方式进行连接。
在另外一些实施方式中,高负载服务也可不对该请求进行响应,这样恶意软件在一定时间内未接收到反馈,则可能会通过其他方式进行再次请求,以再次触发恶意行为。
上述中的高负载服务可以是指用来承受僵尸网络泛洪、DDoS、漏洞等大量攻击流量的服务端程序,高负载服务接收到高负载流量后,不会尝试解析报文内容,仅用于对报文进行快速响应,如此可极大程度的减缓主服务的负载压力。
在上述实现过程中,通过对高负载流量的识别,则可采用负载均衡技术,降低对高负载流量的处理压力,以更好地应对高负载流量。
在上述实施例的基础上,在上述识别网络流量是否为高负载流量的方式中,包括:通过网络模拟服务统计网络流量的请求频率,若请求频率大于设定阈值,则通过网络模拟服务确定网络流量为高负载流量,否则,则不为高负载流量。
这里的请求频率可以理解为是设定时间段内接收到的请求报文的频率,比如统计5s内接收到的请求报文的数量,然后基于数量计算出对应的频率,如果频率超过设定阈值(设定阈值的具体取值可以根据实际情况灵活设置),则认为是高负载流量,此时可将网络流量转发到高负载服务进行处理,如果不是高负载流量,则将网络流量转发到主服务进行处理,这样主服务只需要处理非高负载流量的协议识别,而不需要应对大量的攻击流量,负载压力更小。
可以理解地,在实际应用中,对于高负载流量的识别还可以有其他方式,比如直接基于设定时间段内接收到的报文的数量来识别,如数量超过设定数量,则认为是高负载流量,反之则不是。
在上述实施例的基础上,为了支持自定义协议,本方案中还可以以插件形式加载自定义协议,这样可对各类私有协议提供更完善的支持。具体实现时,可通过网络模拟服务扫描插件目录,获取每个插件的注册信息,该注册信息包括所支持的私有协议的相关信息。
本申请实施例中,针对每个私有协议可配置一个对应的插件,这些插件可作为协议服务端来处理对应协议的网络流量。
网络模拟服务中可存储有插件目录,网络模拟服务在启动时,可扫描插件目录,然后逐个读取每个插件的注册信息,注册信息包括的私有协议的相关信息可包括协议名、报文特征(比如目的IP地址、源IP地址等信息)、协议基本信息等内容。网络模拟服务启动后,可以线程的方式加载插件,插件会一直在后台运行,以作为协议服务端处理受支持的协议。
在上述实现过程中,通过插件形式进行私有协议的拓展,从而可以对各种私有协议提供更完善的支持,且对私有协议的扩展更便捷。
在上述实施例的基础上,若识别结果为网络流量的通信协议为所支持的私有协议,此时则可通过网络模拟服务将与恶意软件建立的会话调度到私有协议对应的插件,通过插件与恶意软件建立通信,如果网络流量的通信协议为所支持的公共协议,则可通过上述的主服务进行响应,比如通过将会话调度给对应的协议服务端,然后通过协议服务端来与恶意软件建立通信。
本方案中,将私有协议对应的服务端通过插件来实现,不需要再额外去搭建私有协议对应的服务端,如此可支持对私有协议的自定义,比如在增加私有协议时,可通过配置对应的插件即可实现,如果需要删除某个私有协议时,则可删除该私有协议对应的插件即可,从而可便于对私有协议进行扩展。
为了便于理解,具体实现框图可如图2所示,其恶意软件部署在隔离环境中,比如沙箱,恶意软件的网络流量会先经过iptables工具重定向到网络模拟服务的防火墙,然后通过防火墙进行高负载流量检测,如果是高负载流量,则转发给高负载服务,由高负载服务返回默认响应报文,如果是非高负载流量,即普通流量,则转发给主服务处理,主服务识别出流量的通信协议为受支持的通信协议后,调度对应的协议服务端进行处理,通过协议服务端返回对应的响应报文与恶意软件建立通信,如此本方案中的网络模拟服务可支持不同的通信协议调度到对应的协议服务端处理;如果不是受支持的通信协议,则返回默认响应报文,这里可以是通过一个默认服务端来返回默认响应报文。
因此,本申请提供的网络模拟方法可以实现对任意端口的恶意流量进行响应,并能识别公共协议和私有协议,同时支持负载均衡技术,解决目前方式只能响应特定端口、不支持私有协议、无负载均衡的问题,极大提升了网络模拟服务的拟真性和稳定性,并且可以诱发恶意软件实施更多的恶意行为,进而可以有效获取这些恶意行为,后续可对这些恶意行为进行分析,以提前进行安全措施部署,确保网络安全。
请参照图3,图3为本申请实施例提供的一种网络模拟装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
流量接收模块210,用于接收重定向的各个端口的恶意软件的网络流量;
协议识别模块220,用于识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
响应模块230,用于根据所述识别结果对所述网络流量进行响应处理。
可选地,所述响应模块230,用于若所述识别结果为所述网络流量的通信协议为所支持的通信协议,则将与所述恶意软件建立的会话调度到协议服务端,通过所述协议服务端与所述恶意软件建立通信;若所述识别结果为所述网络流量的通信协议不为所支持的通信协议,则向所述恶意软件返回默认响应报文。
可选地,所述装置200还包括:
高负载流量识别模块,用于识别所述网络流量是否为高负载流量;若是,则向所述恶意软件返回默认响应报文;
其中,若所述网络流量识别为不是高负载流量,则识别所述网络流量的通信协议是否为所支持的通信协议。
可选地,所述高负载流量识别模块,用于统计所述网络流量的请求频率;若所述请求频率大于设定阈值,则确定所述网络流量为高负载流量。
可选地,所述装置200还包括:
插件扫描模块,用于扫描插件目录,获取每个插件的注册信息,所述注册信息包括所支持的私有协议的相关信息。
可选地,所述响应模块230,用于若所述识别结果为所述网络流量的通信协议为所支持的私有协议,则将与所述恶意软件建立的会话调度到所述私有协议对应的插件,通过所述插件与所述恶意软件建立通信。
可选地,所述流量接收模块210,用于接收通过iptables工具重定向的各个端口的恶意软件的网络流量。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图4,图4为本申请实施例提供的一种用于执行网络服务模拟方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器310,例如CPU,至少一个通信接口320,至少一个存储器330和至少一个通信总线340。其中,通信总线340用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器310执行时,电子设备执行上述图1所示方法过程。
可以理解,图4所示的结构仅为示意,所述电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图1所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:
通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量;
通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理。
综上所述,本申请实施例提供一种网络服务模拟方法、装置、电子设备及存储介质,该方法通过在***中部署网络模拟服务,将各个端口接收到的恶意软件的网络流量进行重定向,然后在内部识别网络流量的通信协议是否为所支持的公共协议或私有协议,然后根据识别结果对网络流量进行响应处理,如此可将部署的通信协议与端口解耦,这样对于任意端口的流量,均能提供服务,且内部还拓展了对私有协议的识别,如此可支持更多的协议,从而可以在更多情况下均能与恶意软件建立通信,进而诱发恶意软件实施更多的网络行为,有利于后续对恶意行为进行分析以确保网络安全。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络服务模拟方法,其特征在于,所述方法包括:
通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量;
通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理。
2.根据权利要求1所述的方法,其特征在于,所述通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理,包括:
若所述识别结果为所述网络流量的通信协议为所支持的通信协议,则通过所述网络模拟服务将与所述恶意软件建立的会话调度到协议服务端,通过所述协议服务端与所述恶意软件建立通信;
若所述识别结果为所述网络流量的通信协议不为所支持的通信协议,则通过所述网络模拟服务向所述恶意软件返回默认响应报文。
3.根据权利要求1所述的方法,其特征在于,在通过网络模拟服务所述接收重定向的各个端口的恶意软件的网络流量之后,所述通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议之前,还包括:
通过所述网络模拟服务识别所述网络流量是否为高负载流量;
若是,则通过所述网络模拟服务向所述恶意软件返回默认响应报文;
其中,若所述网络流量识别为不是高负载流量,则执行步骤:通过所述网络模拟服务识别所述网络流量的通信协议是否为所支持的通信协议。
4.根据权利要求3所述的方法,其特征在于,所述通过所述网络模拟服务识别所述网络流量是否为高负载流量,包括:
通过所述网络模拟服务统计所述网络流量的请求频率;
若所述请求频率大于设定阈值,则通过所述网络模拟服务确定所述网络流量为高负载流量。
5.根据权利要求1所述的方法,其特征在于,所述通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量之前,还包括:
通过所述网络模拟服务扫描插件目录,获取每个插件的注册信息,所述注册信息包括所支持的私有协议的相关信息。
6.根据权利要求5所述的方法,其特征在于,所述通过所述网络模拟服务根据所述识别结果对所述网络流量进行响应处理,包括:
若所述识别结果为所述网络流量的通信协议为所支持的私有协议,则通过所述网络模拟服务将与所述恶意软件建立的会话调度到所述私有协议对应的插件,通过所述插件与所述恶意软件建立通信。
7.根据权利要求1所述的方法,其特征在于,所述通过网络模拟服务接收重定向的各个端口的恶意软件的网络流量,包括:
通过所述网络模拟服务接收通过iptables工具重定向的各个端口的恶意软件的网络流量。
8.一种网络服务模拟装置,其特征在于,所述装置包括:
流量接收模块,用于接收重定向的各个端口的恶意软件的网络流量;
协议识别模块,用于识别所述网络流量的通信协议是否为所支持的通信协议,获得识别结果,其中,所支持的通信协议包括公共协议和私有协议;
响应模块,用于根据所述识别结果对所述网络流量进行响应处理。
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310736865.3A CN116723020A (zh) | 2023-06-20 | 2023-06-20 | 网络服务模拟方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310736865.3A CN116723020A (zh) | 2023-06-20 | 2023-06-20 | 网络服务模拟方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116723020A true CN116723020A (zh) | 2023-09-08 |
Family
ID=87867615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310736865.3A Pending CN116723020A (zh) | 2023-06-20 | 2023-06-20 | 网络服务模拟方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116723020A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118174961A (zh) * | 2024-05-10 | 2024-06-11 | 深圳融安网络科技有限公司 | 数据处理方法、终端设备以及存储介质 |
-
2023
- 2023-06-20 CN CN202310736865.3A patent/CN116723020A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118174961A (zh) * | 2024-05-10 | 2024-06-11 | 深圳融安网络科技有限公司 | 数据处理方法、终端设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111737696A (zh) | 一种恶意文件检测的方法、***、设备及可读存储介质 | |
| US10581880B2 (en) | System and method for generating rules for attack detection feedback system | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| US10560452B2 (en) | Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US11836253B2 (en) | Malicious file detection method, device, and system | |
| US10397225B2 (en) | System and method for network access control | |
| US12021836B2 (en) | Dynamic filter generation and distribution within computer networks | |
| US20170142155A1 (en) | Advanced Local-Network Threat Response | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| US20170180401A1 (en) | Protection Against Malicious Attacks | |
| US8661102B1 (en) | System, method and computer program product for detecting patterns among information from a distributed honey pot system | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| Zhu et al. | Internet security protection for IRC-based botnet | |
| US11363065B2 (en) | Networked device identification and classification | |
| US20220337488A1 (en) | Network device type classification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |