CN117955675A - 一种网络攻击的防御方法、装置、电子设备及存储介质 - Google Patents

一种网络攻击的防御方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117955675A
CN117955675A CN202211352370.2A CN202211352370A CN117955675A CN 117955675 A CN117955675 A CN 117955675A CN 202211352370 A CN202211352370 A CN 202211352370A CN 117955675 A CN117955675 A CN 117955675A
Authority
CN
China
Prior art keywords
information
data stream
port
target
pseudo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211352370.2A
Other languages
English (en)
Inventor
吴岳廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202211352370.2A priority Critical patent/CN117955675A/zh
Publication of CN117955675A publication Critical patent/CN117955675A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及计算机技术领域,尤其涉及一种网络攻击的防御方法、装置、电子设备及存储介质,该方法为:终端设备获取服务端设备下发的防域配置信息,确定至少一个伪端口的描述信息;接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将该其他设备确定为触发网络攻击的异常设备;进而将原始数据流携带的内容信息上报至服务端设备,并针对原始数据流配置伪响应数据流,以及将伪响应数据流反馈至所述异常设备。这样,使得终端设备能够敏感的感知异常设备触发的攻击行为,提高了对于网络攻击的主动防御能力和检测能力,保障了对于网络攻击处理的及时性和高效性。

Description

一种网络攻击的防御方法、装置、电子设备及存储介质
技术领域
本申请涉及计算机技术领域,尤其涉及一种网络攻击的防御方法、装置、电子设备及存储介质。
背景技术
为了保障终端在网络环境下的安全运行,避免终端内的敏感数据被窃取,通常对终端可能受到的网络攻击进行防御。
相关技术下,通常采用防御能力加强和事后溯源分析相结合的方式,在终端受到攻击之前,配置对于已知攻击行为的防御能力,阻止攻击者借助于漏洞或者钓鱼邮件等对终端进行攻击,或者,在终端受到攻击之后,溯源曾发生的攻击过程,使得后续能够防御终端再次受到同种攻击行为的攻击。
这样,采用的事前防御能力加强与事后溯源分析相结合的防御方式,对于终端而言只能实现被动防御,且仅能在攻击行为发生之前和结束之后做出处理,无法有效感知正在发生的攻击行为,难以实现对终端的有效保护,无法保证安全防御的及时性,极大的威胁了终端的安全运行。
发明内容
本申请实施例提供一种网络攻击的防御方法、装置、电子设备及存储介质,以解决现有技术下对于网络攻击的感知不及时,无法实现有效防御问题。
第一方面,提出一种网络攻击的防御方法,应用于终端设备,包括:
获取服务端设备下发的防域配置信息;所述防御配置信息中至少包括:针对所述终端设备配置的至少一个伪端口的描述信息,其中,所述伪端口为所述终端设备未开放的端口;
接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备;
将所述原始数据流携带的内容信息上报至所述服务端设备,并获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备。
第二方面,提出一种网络攻击的防御装置,包括:
获取单元,用于获取服务端设备下发的防域配置信息;所述防御配置信息中至少包括:针对所述终端设备配置的至少一个伪端口的描述信息,其中,所述伪端口为所述终端设备未开放的端口;
接收单元,用于接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备;
上报单元,用于将所述原始数据流携带的内容信息上报至所述服务端设备,并获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备。
可选的,所述接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备时,所述接收单元用于:
采用内核过滤驱动的方式,将其他设备发送的原始数据流中携带的目标端口信息,修改为所述固定功能端口的端口信息,得到重构数据流,并构建所述重构数据流与所述原始数据流之间端口信息的映射关系;
通过实时监测所述固定功能端口的处理进程,基于所述重构数据流和所述映射关系,确定所述原始数据流中的目标端口信息,并在确定所述目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备。
可选的,所述获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备时,所述接收单元用于:
将所述重构数据流转发至预设的伪端口响应设备,并采用内核过滤驱动的方式,将所述伪端口响应设备发送的反馈数据流,配置为所述原始数据流对应的伪响应数据流,以及将所述伪响应数据流发送至所述异常设备。
可选的,所述将所述伪端口响应设备发送的反馈数据流,配置为所述原始数据流对应的伪响应数据流时,所述接收单元用于:
将所述原始数据流中的目标IP信息和目标端口信息,配置为所述反馈数据流的源IP信息和源端口信息,以及将所述原始数据流中的源IP信息和源端口信息,配置为所述反馈数据流的目标IP信息和目标端口信息;
将配置后的所述反馈数据流,确定为所述原始数据流对应的伪响应数据流。
可选的,所述防御配置信息中还包括各诱饵文件,所述各诱饵文件对应的各类描述信息集合和各存储位置指示信息,所述装置还包括校验单元,所述校验单元用于:
根据由所述各存储位置指示信息确定的各存储路径,存储所述各诱饵文件,并基于所述各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出的目标文件读取行为;
针对筛选出的每个目标文件读取行为,执行以下操作:
校验所述目标文件读取行为归属的目标应用进程的合规状态,并在确定所述目标应用进程为不合规状态时,向所述服务端上报所述终端设备的标识信息、所述目标应用进程关联的进程信息和所述目标诱饵文件的存储路径。
可选的,各类描述信息包括文件名信息和文件类型信息,所述基于所述各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出目标文件读取行为时,所述校验单元用于:
采用文件过滤驱动功能,将同一应用进程初次读取同一文件时的文件读取行为,作为候选文件读取行为;其中,针对每个候选文件读取行为,执行以下操作:
当确定所述各诱饵文件中,存在文件名信息和文件类型信息与读取的目标文件匹配的目标诱饵文件时,将候选文件读取行为,确定为目标文件读取行为,其中,所述目标文件由所述候选文件读取行为读取得到。
可选的,所述校验所述目标文件读取行为归属的目标应用进程的合规状态时,所述校验单元用于:
采用进程信息查询接口,获取所述目标文件读取行为归属的目标应用进程的标识信息;
基于所述目标应用进程的标识信息,从动态进程缓存中获取所述目标应用进程关联的进程信息;所述动态进程缓存中存储有处于运行状态的各个进程的进程信息,所述进程信息中包括进程对应的应用的版权信息和签名信息;
基于所述进程信息,校验所述目标应用进程的合规状态。
可选的,所述基于所述进程信息,校验所述目标应用进程的合规状态时,所述校验单元执行以下操作中的任意一项:
确定所述目标应用进程对应的目标应用,并通过校验所述目标应用的应用安装路径,对于所述目标诱饵文件的存储路径的包含情况,以及校验所述目标应用的签名信息,确定所述目标应用进程的合规状态;
确定所述目标应用进程对应的目标应用,并通过校验所述目标应用进程对应的目标应用,在所述服务端设备预先下发的应用信息白名单中的包含情况,确定所述目标应用进程的合规状态。
可选的,所述获取服务端设备下发的防域配置信息之前,所述获取单元还用于:
基于内置的客户端应用,在服务端设备上完成注册登录;
向所述服务端设备发送出厂配置的各个端口的描述信息,以及已开放端口的描述信息。
可选的,所述将所述原始数据流携带的内容信息上报至所述服务端设备时,所述上报单元用于:
获取所述原始数据流中携带的内容信息,并将所述内容信息异步上报至所述服务端设备,其中,所述内容信息中至少包括五元组信息。
第三方面,提出一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述的网络攻击的防御方法。
第四方面,提出一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的网络攻击的防御方法。
第五方面,提出一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的网络攻击的防御方法。
本申请有益效果如下:
本申请实施例中,提出了一种网络攻击的防御方法、装置、电子设备及存储介质,终端设备获取服务端设备下发的防域配置信息;防御配置信息中至少包括:针对终端配置的至少一个伪端口的描述信息,其中,伪端口为终端设备未开放的端口;再接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将该其他设备确定为触发网络攻击的异常设备;进而将原始数据流携带的内容信息上报至服务端设备,并针对原始数据流配置伪响应数据流,以及将伪响应数据流反馈至所述异常设备。
这样,终端设备通过检测原始数据流中的目标端口与伪端口的匹配情况,能够判断发送原始数据流的其他设备是否对伪端口进行了探测,进而能够有效识别出对伪端口进行探测的异常设备,使得能够敏感的感知异常设备触发的攻击行为;与此同时,通过向服务端设备主动上报原始数据流的内容信息,以及向异常设备发送伪响应数据流,能够在网络攻击进行的初期,即端口探测阶段,主动实现对于网络攻击的识别和处理,提高了对于网络攻击的主动防御能力和检测能力,保障了对于网络攻击处理的及时性和高效性;另外,通过向异常设备发送伪响应数据流,能够对异常设备构造伪端口处于开放状态的假象,有助于捕获异常设备进一步触发的攻击操作,能够为分析网络攻击的攻击手段提供处理依据。
附图说明
图1为本申请实施例中可能的一种应用场景示意图;
图2为本申请实施例中网络攻击的防御流程示意图;
图3为本申请实时例中基于诱饵文件进行防御的流程示意图;
图4A为本申请实施例中零信任网络架构下终端设备和服务端设备关系示意图;
图4B为本申请实施例中零信任网络结构下终端设备和服务端设备的交互示意图;
图4C其为本申请实施例中构建伪端口开放的假象时的过程示意图;
图5A为本申请实施例中服务端设备制定互联网应用访问策略的页面示意图;
图5B为本申请实施例中服务端设备添加互联网应用资源的页面示意图;
图6为本申请实施例中网络攻击的防御装置的逻辑结构示意图;
图7为本申请实施例的一种电子设备的一个硬件组成结构示意图;
图8为本申请实施例中的一个计算装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请技术方案的一部分实施例,而不是全部的实施例。基于本申请文件中记载的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请技术方案保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够在除了这里图示或描述的那些以外的顺序实施。
以下对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
下面对本申请实施例的设计思想进行简要介绍:
零信任访问控制策略:由用户可使用的进程信息(可信应用)以及可访问的业务站点(可达区域)组成,在权限开通的情况下,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
可信应用:是指服务端设备授信的,终端设备可访问受保护的业务***的应用载体,其中,可信应用通常包括应用名,应用MD5值,签名信息等。
可达区域:在零信任网络的场景下,可达区域包括终端用户可以通过零信任网络访问的受保护资源,例如,可达区域是指企业设置的内部站点列表。
访问代理:在零信任网络访问架构中,终端访问代理是部署于受控设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与访问网关建立加密的访问连接,同时也是访问控制的策略执行点。
直连访问:在零信任网络访问架构中,某个应用对站点发起网络访问请求,由访问代理客户端劫持到流量后,经由访问代理客户端向该目标站点发起网络访问,即发起直接连接的访问,由访问代理客户端将该目标站点的网络响应发送给该应用,这种访问模式称为直连访问。
代理访问:在零信任网络访问架构中,某个应用对站点发起网络访问请求,由访问代理客户端劫持到流量后,由访问代理客户端向智能网关发起流量转发,经由智能网关代理针对目标业务站点的访问,访问后由智能网关将该目标站点的网络响应发送给访问代理客户端,由访问代理客户端将目标站点的网络响应转发至该应用,这种访问模式称为代理访问。
访问主体:在网络中,发起访问的一方,访问内网业务资源的人/设备/应用/,是由人、设备、应用等因素单一组成或者组合形成的一种数字实体。
访问客体:在网络中,被访问的一方,即企业内网业务资源,包括应用,***(开发测试环境,运维环境,生产环境等),数据,接口,功能等。
内网横向攻击:在恶意攻击者成功控制部分目标内网的设备后,以被攻陷的机器为跳板,攻击其他内网主机,获取包括凭证信息,共享文件夹等敏感信息,利用这些敏感信息进一步达成控制整个目标内网、拥有最高访问控制权限等目的。
网络会话:用户与业务***执行一次信息交互的过程,例如客户端与服务器建立网络链接后数据发送或接收的过程。包括连接建立和结束,或者数据的发送和接收。
五元组:通信术语,由网络访问数据流的源IP地址,源端口,目标IP地址,目标端口,和传输层协议这五个量组成的一个集合。
诱饵文件:用于迷惑攻击者的数据,具体可以是文件、数据库、配置、日志和代码等信息,通过诱使攻击者触碰文件,从而捕获攻击行为,分析和了解攻击方所使用的工具和方法,进而推测攻击意图和动机。
伪端口:本申请实施例中,是指就正常交互而言处于不开放状态,但伪造处于开放状态的端口。对于终端设备而言,终端设备具有为了实现正常交互而开放的端口和不开放的端口,而对于触发网络攻击的异常设备而言,异常设备通常会试图探测终端设备上的一些敏感端口是否开放,以便从敏感端口入手实现对于终端设备的攻击;基于此,由于正常交互的过程中伪端口不会被访问,故本申请通过构造伪端口,以及识别伪端口是否被访问,能够识别触发网络攻击的异常设备。
相关技术下,在进行网络攻击的防御时,通常采用事前防御能力加强与事后溯源分析的传统应对方案。这使得网络攻击的防护重心侧重于,在针对内网终端配置包括安全终端管控模块与反病毒软件在内的***安全防御体系后,通过开启***安全防御体系,阻止触发网络攻击的异常设备利用漏洞、钓鱼邮件等攻击内网终端,继而阻止采用跳板攻击的方式攻击内网其他软硬件资产,扩大攻击面。
这样,基于现有技术下提出的防御方式,对于终端而言只能实现被动防御,而且当检测出攻击行为后,已进入事后分析和溯源阶段,使得无法实现对网络攻击的及时处置,降低了对于网络攻击的防御能力,威胁了设备办公的安全性,难以对正在进行的攻击行为进行有效感知,对诸如网络嗅探或横向移动等攻击识别准确率很低,无法实现有效防御。
有鉴于此,本申请实施例中,提出了一种网络攻击的防御方法、装置、电子设备及存储介质,终端设备获取服务端设备下发的防域配置信息;防御配置信息中至少包括:针对终端配置的至少一个伪端口的描述信息,其中,伪端口为终端设备未开放的端口;再接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将该其他设备确定为触发网络攻击的异常设备;进而将原始数据流携带的内容信息上报至服务端设备,并针对原始数据流配置伪响应数据流,以及将伪响应数据流反馈至异常设备。
这样,终端设备通过检测原始数据流中的目标端口与伪端口的匹配情况,能够判断发送原始数据流的其他设备是否对伪端口进行了探测,进而能够有效识别出对伪端口进行探测的异常设备,使得能够敏感的感知异常设备触发的攻击行为;与此同时,通过向服务端设备主动上报原始数据流的内容信息,以及向异常设备发送伪响应数据流,能够在网络攻击进行的初期,即端口探测阶段,主动实现对于网络攻击的识别和处理,提高了对于网络攻击的主动防御能力和检测能力,保障了对于网络攻击处理的及时性和高效性;另外,通过向异常设备发送伪响应数据流,能够对异常设备构造伪端口处于开放状态的假象,有助于捕获异常设备进一步触发的攻击操作,能够为分析网络攻击的攻击手段提供处理依据。
以下结合说明书附图对本申请的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本申请,并不用于限定本申请,并且在不冲突的情况下,本申请实施例及实施例中的特征可以相互组合。
参阅图1所示,为本申请实施例中可能的应用场景示意图。该应用场景示意图中,为本申请实施例中可能的应用场景示意图。该应用场景示意图中,包括终端设备110(可能包括终端设备1101、1102…),以及服务端设备120。
需要说明的是,终端设备110与服务端设备120之间,可以通过有线网络或无线网络进行通信连接。
终端设备110具体可以是个人计算机、手机、平板电脑、笔记本、电子书阅读器、智能家居,以及车载终端等具有一定计算能力的计算机设备。
服务端设备120可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
本申请提出的技术方案,可以应用于各样网络攻击的防御场景中的终端设备上,实现终端设备对于网络攻击的主动防御,下面结合几种可能的场景进行示意性说明:
场景一、应用在自研的零信任网络架构下的防御场景中。
在自研的零信任网络架构中,具体包括有客户端应用、访问代理客户端、服务端设备,以及智能网关,其中,
终端设备上安装有客户端应用(记为iOA客户端)和访问代理客户端,其中,客户端应用和访问代理客户端可以视为服务端授信的可信应用,客户端应用负责验证终端设备上的用户身份是否可信,验证终端设备自身是否可信,以及验证终端设备上请求访问数据的其他应用是否可信;访问代理客户端能够通过TUN/TAP虚拟网卡截获终端设备发送的数据流,通过应用鉴权后将数据流转发给智能网关,以及在确定数据流没有通过鉴权,且该数据流请求的不是受保护资源时,则可以直接将数据流转发相应的目标设备;另外,在确定数据流没有通过鉴权,且该请求流请求的是受保护资源时,则中断该数据流的发送。另外,本申请实施例中,在零信任网络架构中,根据实际的处理需要,访问代理客户端和客户端应用具体可以对应一个相同的应用,即,访问代理客户端实现的功能,以及客户端应用实现的功能,分别作为该应用中的不同功能组件;或者,访问代理客户端和客户端应用可以对应不同的应用,本申请对此不做具体限制。
智能网关:也称零信任网关,在零信任网络架构中,部署在受保护资源的入口,负责对每一个访问受保护资源的会话请求进行验证和请求转发,例如,受保护资源可以是企业内部的应用程序和数据资源;
服务端设备:能够实现对业务流量进行安全调度,按照人-设备-软件-应用颗粒度授权。其中,服务端设备中包括验证用户身份、验证设备硬件信息和设备安全状态,以及检测应用进程是否安全(如,是否有漏洞,是否有病毒木马等)的功能。服务端设备可以定期向威胁情报云查服务(安知或tav)定期发起文件送检,识别出恶意进程后则通知客户端应用执行异步阻断操作。
本申请提出的网络攻击的防御方法,在应用于上述零信任网络***中时,终端设备随着客户端应用和访问代理客户端的安装,同步安装各类驱动文件,使得能够在Ring0层执行对于数据流中端口信息的修改,以及能够实现监测终端设备中各进程的文件读取行为;与此同时,终端设备能够根据服务端设备配置的伪端口,对其他设备发送的原始数据流进行检测,识别出存在端口探测行为的异常设备;进而通过将原始数据流中的内容信息上报服务端设备,实现对于异常设备的上报,并通过向异常设备发送伪响应数据流,迷惑异常设备,并诱使异常设备触发进一步的攻击操作。
场景二、应用在已有的各类网络攻击防御场景中。
本申请提出的技术方案中,能够应用在已有的各类网络攻击防御***中,实现终端设备的主动防御。
具体实现时,可以在终端设备上随着客户端应用和访问代理客户端的安装,同步安装各类驱动文件,并接收配置的至少一个伪端口的描述信息,使得终端设备上的各类驱动文件在执行时,能够在Ring0层实现对于数据流中端口信息的修改,以及能够实现监测终端设备中各进程的文件读取行为;与此同时,终端设备可以将配置的伪端口,与其他设备发送的原始数据流中的目标端口进行匹配,识别出存在端口探测行为的异常设备;进而通过将原始数据流中的内容信息上报至相应的服务端设备,实现对于异常设备的上报,另外,可以通过向异常设备发送伪响应数据流,迷惑异常设备,并诱使异常设备触发进一步的攻击操作。
下面结合附图,从终端设备的角度,对本申请实施例中基于其他设备发送的原始数据流,进行网络攻击防御的过程进行具体说明:
参阅图2所示,其为本申请实施例中网络攻击的防御流程示意图,下面结合附图2,对本申请实施例中网络攻击的防御过程进行详细说明:
步骤201:终端设备获取服务端设备下发的防域配置信息;防御配置信息中至少包括:针对终端设备配置的至少一个伪端口的描述信息,其中,伪端口为终端设备未开放的端口。
本申请实施例中,终端设备在获取服务端设备下发的防御配置信息之前,基于内置的客户端应用,在服务端设备上完成注册登录;再向服务端设备发送出厂配置的各个端口的描述信息,以及已开放端口的描述信息。
具体的,终端设备安装有由服务端设备提供服务的客户端应用后,可以借助于内置的客户端应用,在服务端设备上完成注册登录,使得能够借助于客户端应用,在终端设备上完成身份验证。
进而,终端设备向服务端设备发送出厂配置的各个端口的描述信息,以及已开放端口的描述信息,这使得服务端设备能够依据终端设备发送的描述信息,确定可以作为伪端口的端口;因而终端设备能够从服务端设备处获取的至少一个伪端口的描述信息,其中,伪端口可以对应单个端口,或者,可以对应端口段。
例如,终端设备基于接收的至少一个伪端口的描述信息,确定伪端口为标号是521的端口。
又例如,终端设备基于接收的至少一个伪端口的描述信息,确定伪端口是1026-65535之间所有标号的端口。
这样,通过向服务端设备上报出厂配置的各个端口的描述信息,以及已开放端口的描述信息,相当于告知了服务端设备能够作为伪端口的端口范围,使得配置的伪端口中不会包括已开放端口,能够避免后续将访问已开放端口的其他设备误判定为异常设备。
步骤202:终端设备接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将其他设备确定为触发网络攻击的异常设备。
需要说明的是,为了实现对于其他设备发送的原始数据流的统一处理,以及实现对于伪响应数据流的配置,需要预先针对终端设备配置相应的处理能力。
在预先的配置过程中,具有实现数据流分析能力的实现代码可以随客户端应用的安装而配置,其中,在执行该实现代码的业务功能时,将该实现代码中指定的端口,或者,将从终端设备本地端口列表中随机选择的未被占用的端口,作为占用的固定功能端口,并启动一个实时监测该固定功能端口的处理进程,监测发送至该固定端口的数据流,并分析数据流对应的目标端口与伪端口的匹配情况;另外,由于针对该固定功能端口的监测是实时持续进行的,故该固定功能端口相当于处于持续被占用的状态。
在实现配置伪响应数据流的功能时,终端设备可以借助于预先配置的、具有实现内核过滤驱动功能的驱动文件,其中,该驱动文件是在开发***提供的操作框架下开发的,并随着客户端应用的安装挂载在终端设备的操作***上,用于在Ring0层修改数据流中的端口信息,使得能够将其他设备发送的原始数据流发送至配置的固定功能端口,换言之,使得监测该固定功能端口的处理进程,能够接收来自其他设备的全部数据流,进而能够实现对于其他设备是否探测伪端口的判定。
在执行步骤202时,终端设备可以采用内核过滤驱动的方式,将其他设备发送的原始数据流中携带的目标端口信息,修改为固定功能端口的端口信息,得到重构数据流,并构建重构数据流与原始数据流之间端口信息的映射关系;进而通过实时监测该固定功能端口的处理进程,基于重构数据流和映射关系,确定原始数据流中的目标端口信息,并在确定目标端口信息与至少一个伪端口的描述信息匹配成功时,将发送原始数据流的其他设备确定为触发网络攻击的异常设备,其中,端口的描述信息可以是能够确定具体端口的内容,如,端口号。
具体的,终端设备可以采用诸如内核过滤驱动的方式,接收其他设备发送的原始数据流后,将原始数据流中的目标端口修改为本地监测的固定功能端口,得到重构数据流,并构建原始数据流与重构数据流之间端口信息的映射关系;之后,借助于在该固定功能端口上监测的处理进程,基于该映射关系和获得的重构数据流,确定对应的原始数据流中的目标端口信息是否与伪端口的描述信息匹配,换言之,确定对应的原始数据流是否针对伪端口发起请求;进而终端设备在确定原始数据流中的目标端口信息与伪端口匹配时,将发送该原始数据流的其他设备确定为触发网络攻击的异常设备。
例如,正常情况下,假设终端设备1正常对外开放的端口为端口号542的端口,固定功能端口为端口号521的端口,伪端口的描述信息为:端口号1028;假设终端设备2向终端设备1发送了目标端口为端口号542的数据流1,终端设备3向终端设备1发送了目标端口为端口号1028的数据流2;在具体处理时,终端设备1在通过网线或者网卡接收到数据流后,借助执行于物理层操作和应用层操作之间的内核过滤驱动方式,将数据流1的目标端口修改为端口号为521的端口,并记录端口号为521的端口与端口号为542的端口之间的映射关系,同理,将数据流2的目标端口由端口号1028的端口修改为端口号521的端口,并记录端口号521的端口与端口号1028的端口之间的映射关系。
这样,通过将接收的数据流的目标端口信息修改为固定功能端口的端口信息,使得其他设备发送的全部数据流,均能被监测固定功能端口的处理进程接收到,使得能够对外部发送的数据流进行统一检测判断,避免对于数据流的分析漏判。
步骤203:终端设备将原始数据流携带的内容信息上报至服务端设备,并获取针对原始数据流配置的伪响应数据流,以及将伪响应数据流反馈至异常设备。
终端设备在确定原始数据流中的目标端口信息,与伪端口的描述信息匹配时,则可以确定该原始数据流为用于端口探测的数据流,并能够将发送该原始数据流的其他设备判定为异常设备。进而,终端设备可以将原始数据流携带的内容信息上报至服务端设备。
具体的,终端设备可以获取原始数据流中携带的内容信息,并将内容信息异步上报至服务端设备,其中,内容信息中至少包括五元组信息。
需要说明的是,将内容信息异步上报至服务端设备是指,终端设备将原始数据流中携带的内容信息上报至服务端设备时,不需要等待接收服务端设备的响应信息。数据流的五元组信息包括:源IP地址,源端口,目标IP地址,目标端口,和传输层协议类型,其中,传输层协议类型根据实际的处理需要,具体可以是TCP类型,UDP类型,或者TCP协议中的SYN请求类型中的任意一种,本申请对此不做具体限制。
这样,通过上报数据流的五元组信息,能够告知服务端设备异常设备相关的信息,一方面使得服务端设备能够基于获得的数据实现对异常设备的审计,另一方面,使得服务端设备能够及时获取异常设备在同类设备间横向移动发起攻击的第一手讯息和攻击轨迹。
与此同时,为了实现端口伪装的目的,终端设备将针对原始数据流配置的伪响应数据流,反馈至异常设备。
具体的,终端设备可以将重构数据流转发至预设的伪端口响应设备,并采用内核过滤驱动的方式,将伪端口响应设备发送的反馈数据流,配置为原始数据流对应的伪响应数据流后,将伪响应数据流发送至异常设备。
需要说明的是,本申请实施例中,伪端口响应设备可是指本机设备,或者,可以是指其他设备;另外,实现数据反馈的具体可以是伪端口响应设备,其中,伪端口响应设备可以是高仿真应用或者站点。
例如,高仿真应用或站点,具体可以是办公自动化***(Office Automation,OA)中的一个不涉及敏感数据的站点、打印机、门禁,或者,邮件***,又或者,可以是针对性开发的能够基于请求发送反馈的应用。
本申请实施例中,终端设备将伪端口响应设备发送的反馈数据流,配置为原始数据流对应的伪响应数据流时,将原始数据流中的目标IP信息和目标端口信息,配置为反馈数据流的源IP信息和源端口信息,以及将原始数据流中的源IP信息和源端口信息,配置为反馈数据流的目标IP信息和目标端口信息;进而将配置后的反馈数据流,确定为原始数据流对应的伪响应数据流。
这样,对于构造的伪响应数据流而言,伪响应数据流的端口信息和IP信息均与原始数据流相对应,使得能够为接收伪响应数据流的异常设备造成端口开放的假象,为后续进一步捕获异常设备的攻击行为提供了可能。
需要说明的是,本申请实施例中,终端设备接收的入站数据流是直接通过物理网卡接收到的流量(或称数据流),再通过***协议栈流入在固定功能端口上监测的应用;进而采用在固定功能端口上监测的处理进程,对原始数据流的目标端口与伪端口的匹配情况进行判定,以及基于得到的判定结果实现对原始数据流的处理。基于此,存在如下两种处理场景:
处理场景一、原始数据流的目标端口不是伪端口。
具体的,当确定原始数据流的目标端口不是伪端口时,换言之,当确定该目标端口是本机正常对外开放的端口时,直接向相应的目标端口发送数据流,那么,如果有应用进程监测该目标端口,则能够得到该应用进程做出的正常响应,反之,如果没有进程监测该目标端口,则无法得到响应,这种场景即可理解为端到端正常的服务请求与响应。
例如,假设终端设备的远程桌面服务TermService基于TCP协议监测的3389端口为对外正常开放端口,则在符合安全策略的情况下,其他设备可正常请求该终端设备的远程桌面服务。
处理场景二、原始数据流的目标端口是伪端口。
具体的,当确定原始数据流的目标端口是本机对外伪装的伪端口,终端设备将基于原始数据流确定的五元组信息,作为审计数据上报至服务端设备,用作精确分析攻击源、攻击路径和手法类型的原始数据;与此同时,在固定功能端口处监测的处理进程,将数据内容转发至伪响应设备,进而将伪响应设备发送的反馈数据流配置为原始数据流的伪响应数据流后,将伪响应数据流发送至相应的异常设备,使得对于异常设备来说,针对未开放的伪端口伪造出已开放的效果,达到欺骗攻击者的目的。
下面以一个具体的举例,对零信任网络的场景下终端设备接收原始数据流,并针对原始数据流配置伪响应数据流,以及将伪响应数据流发送至相应的异常设备的过程进行说明:
首先,终端设备通过随客户端应用的安装而配置的内核过滤驱动,拦截其他设备发送的原始数据流,并将原始数据流中的目标端口修改为本地的固定功能端口,得到重构数据流,以及构建目标端口与固定功能端口之间的映射关系;
之后,终端设备将重构数据流和该映射关系发送至本地的固定功能端口,并由在该固定功能端口处监测的处理进程,确定原始数据流的目标端口是否为伪端口,以及在确定对应的原始数据流的目标端口为伪端口时,将该原始数据流的五元组信息异步上报至服务端设备,用以实现综合审计;与此同时,将原始数据流中的数据内容转发至访问代理客户端,并指定访问代理客户端下一跳地址为伪端口响应设备的地址信息,以及将基于原始数据流的数据内容和伪端口响应设备的地址信息构建的传输数据流发送至相应的伪端口响应设备;
进而,终端设备通过内核过滤驱动,接收到伪端口响应设备发送的反馈数据流后,将反馈数据流整理为原始数据流的响应数据流,即,伪响应数据流,并将伪响应数据流发送至相应的异常设备,使得能够迷惑异常设备,并诱导异常设备触发进一步的攻击行为。
这样,终端设备通过对接收的数据流进行端口匹配,能够对请求开放端口的原始数据流和请求伪端口的原始数据流进行差异性处置,能够在不影响正常数据流传输的前提下,实现对于异常设备的探测防御。
本申请实施例中,根据实际的处理需要,终端设备接收的防御配置信息中还可能包括用于生成诱饵文件的各类描述信息集合和各存储位置指示信息;或者,终端设备接收的防御配置信息中还可能包括各诱饵文件、各诱饵文件对应的各类描述信息集合和各存储位置指示信息;又或者,终端设备接收的防御配置信息中还可能包括用于生成诱饵文件的各类描述信息集合。
当防御配置信息中还包括用于生成各诱饵文件的各类描述信息集合和各存储位置指示信息时,终端设备可以从各类描述信息集合中分别获取描述信息,并基于各类描述信息组合创建一个诱饵文件,并同理构建各诱饵文件,其中,各类描述信息可能包括文件名信息和文件类型信息,构建的诱饵文件总数根据实际的处理需要设置;进而按照各存储位置指示信息,存储各诱饵文件,其中,存储位置指示信息具体可以是指示具体存储位置的信息,和/或,指示根目录和相对于根目录的存储层数的信息。
例如,假设终端设备接收的文件名信息集合为{“密码”、“账号”、"VPN"、“资产”、"邮箱"、…},文件类型信息集合为{.xls、.xlsx、.docx、.txt、.doc、.md、…},那么,在生成诱饵文件时,可以随机从文件名信息集合和文件类型信息集合中抽取内容,组合得到诱饵文件。
又例如,基于文件名信息集合为{“密码”、“账号”、"VPN"、“资产”、"邮箱"…},文件类型信息集合为{.xls、.xlsx、.docx、.txt、.md、…}生成的诱饵文件可能是:文件“密码.xls”、文件“密码.xlsx”、文件“账号.md”等。
终端设备接收的防御配置信息中还包括用于生成诱饵文件的各类描述信息集合时,终端设备可以自行生成诱饵文件,并决定诱饵文件的存储位置。
终端设备接收的防御配置信息中还包括各诱饵文件、各诱饵文件对应的各类描述信息集合和各存储位置指示信息时,终端设备可以依据各存储位置指示信息,对各诱饵文件进行存储,其中,各存储位置指示信息与各诱饵文件可以是一一对应的关系,或者,针对每个诱饵文件可以在各存储位置指示信息中随机确定存储位置,本申请对此不做具体限制。
以下的说明中,将仅以防御配置信息中还包括各诱饵文件,各诱饵文件对应的各类描述信息集合和各存储位置指示信息为例,示意性地说明终端设备基于诱饵文件的防御方式:
参阅图3所示,其为本申请实时例中基于诱饵文件进行防御的流程示意图,下面结合附图3,对基于诱饵文件执行的防御过程进行说明:
步骤301:终端设备根据由各存储位置指示信息确定的各存储路径,存储各诱饵文件,并基于各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出的目标文件读取行为。
终端设备根据各存储位置指示信息确定各存储路径,进而基于各存储路径存储各诱饵文件。进而在完成诱饵文件存储后,终端设备可以基于各类生描述信息集合,在各个应用进程的候选文件读取行为中筛选出目标文件读取行为。
本申请实施例中,终端设备可以采用文件过滤驱动功能,将同一应用进程初次读取同一文件时的文件读取行为,作为候选文件读取行为;其中,针对每个候选文件读取行为,执行以下操作:当确定各诱饵文件中,存在文件名信息和文件类型信息与读取的目标文件匹配的目标诱饵文件时,将候选文件读取行为,确定为目标文件读取行为,其中,目标文件由候选文件读取行为读取得到。
具体的,终端设备可以借助安装客户端应用时部署的、实现文件过滤驱动功能的驱动文件,在Ring0层监测进程对于文件的文件读取行为,与此同时,考虑到在读取文件时由于通常分块读取文件内容,故针对一个文件的读取存在多个文件读取行为,基于此,终端设备可以对文件读取行为进行初步筛选,将同一应用进程初次读取同一文件时的文件读取行为,作为候选文件读取行为。
例如,在文件过滤驱动具体为文件***微型过滤驱动(File System MinifilterDrivers)的情况下,为降低监测数据量借助于一个表示读取文件内容或属性的WindowsAPI(ReadFile),根据输入输出(Input/Output,I/O)操作时FLT_IO_PARAMETER_BLOCK类型参数,过滤出Offset等于0的读取操作,即,只监测进程刚开始第一次读取文件内容块的操作,其中,进程读取文件时存在大量的ReadFile操作,每一次读取文件的一个内容块,并使用指针标识读取位置。
这样,通过对文件读取行为进行筛选得到候选文件读取行为,能够极大的减少监测数据量,有助于提高针对进程触碰诱饵文件的监测性能。
进一步的,终端设备在从候选文件读取行为中确定目标文件读取行为时,识别候选文件读取行为所读取的目标文件,是否与服务端设备下发的各类描述信息集合中的内容匹配。
具体的,在各类描述信息包括文件名信息和文件类型信息的情况下,确定目标文件的文件名信息和文件类型信息,是否能够在对应的文件名信息集合和文件类型信息集合中找到匹配的内容;进而,在确定无法找到匹配的内容时,可确定该目标文件不是诱饵文件,故可以直接忽略该候选文件读取行为,反之,在确定能够找到匹配的内容时,可以确定该候选文件读取行为读取的目标文件为诱饵文件,故可以将该候选文件读取行为确定为目标文件读取行为,并将读取的诱饵文件确定为目标诱饵文件。
这样,能够从候选文件读取行为中进一步筛选出读取诱饵文件的目标文件读取行为,并能够为确定出相关的异常进程提供了分析依据。
步骤302:终端设备针对筛选出的每个目标文件读取行为,执行以下操作:校验目标文件读取行为归属的目标应用进程的合规状态,并在确定目标应用进程为异常状态时,向服务端上报终端设备的标识信息、目标应用进程关联的进程信息和目标诱饵文件的存储路径。
本申请实施例中,终端设备在校验目标文件读取行为归属的目标应用进程的合规状态时,可以采用进程信息查询接口,获取目标文件读取行为归属的目标应用进程的标识信息;再基于目标应用进程的标识信息,从动态进程缓存中获取目标应用进程关联的进程信息;动态进程缓存中存储有处于运行状态的各个进程的进程信息,进程信息中包括进程对应的应用的版权信息和签名信息;进而基于进程信息,校验目标应用进程的合规状态。
具体的,可以采用诸如PsGetCurrentProcess的进程信息查询接口,获取文件读取行为归属的目标应用进程,以及获取该目标应用进程的标识信息,其中,进程的标识信息具体可以是进程ID;进而,终端设备基于目标应用进程的标识信息,从动态进程缓存中查询进程信息,其中,动态进程缓存中存储有当前处于运行状态的各个进程的进程信息,进程信息中包括进程名、进程对应的应用的版权信息和签名信息等内容。
需要说明的是,本申请实施例中,考虑到诱饵文件被读取,不一定是攻击者的行为,可能是正常的应用扫描目录,如,反病毒软件,文件查找软件(例如windows上的everything)的读取扫描,或者,也有可能是终端用户正常打开文件,因此,对于诱饵文件的读取操作,不一定对应攻击者翻找文件或者窃取数据的异常行为。基于此,可以将驱动层(文件过滤驱动)检测得到的目标文件读取行为,视为需要去噪的基础数据,并具体通过对目标应用进程进行运行状态校验的方式,去除合规的文件读取操作。
具体的,终端设备在确定目标文件读取行为对应的目标应用进程、读取的目标诱饵文件,以及确定目标应用进程对应的进程信息后,可以采用包括但不限于以下任意一种的实现方式,基于该进程信息实现对目标应用进程的合规状态的校验:
实现方式一、校验目标应用进程对应的目标应用的安装路径,与目标诱饵文件的存储路径的包含情况。
在执行实现方式一时,终端设备确定目标应用进程对应的目标应用,并通过校验目标应用的应用安装路径,对于目标诱饵文件的存储路径的包含情况,以及校验目标应用的签名信息,确定目标应用进程的合规状态。
具体的,如果诱饵文件被下发至某个应用安装目录内,则该应用在正常的处理过程中,很可能会读取该诱饵文件;基于此,终端设备确定目标应用进程对应的目标应用,并确定目标应用进程读取的目标诱饵文件后,将目标诱饵文件的存储路径,与目标应用的应用安装路径进行对比。
如果确定目标诱饵文件所在的存储路径包含在目标应用的应用安装路径中,且该目标应用具备合法的数字签名,则认为目标应用进程对应的是目标应用在正常处理安装目录内的文件,故可以将目标应用进程判定为合规。
反之,如果确定目标诱饵文件所在的存储路径不包含在目标应用的应用安装路径中,或者,确定目标应用的数字签名不合法,则可以将目标应用进程判定为不合规。
实现方式二、校验目标应用进程对应的目标应用,与服务端设备预先下发的应用信息白名单的包括情况。
在执行实现方式二时,终端设备确定目标应用进程对应的目标应用,并通过校验目标应用进程对应的目标应用,在服务端设备预先下发的应用信息白名单中的包含情况,确定目标应用进程的合规状态。
具体的,在服务端设备预先针对确定合规的应用下发有应用白名单的情况下,终端设备可以通过校验目标应用是否在该应用白名单中,确定对应的目标应用进程是否合规,若确定目标应用包含在该应用白名单中,则可以判定为合规,以及若确定目标应用不包含在该应用白名单中,则可以判定为不合规。
这样,通过判定目标文件读取行为对应的目标应用进程是否合规,能够过滤掉正常应用对于诱饵文件的读取,避免将正常应用误判为异常。
终端设备经过上述逻辑过滤后,确定目标应用进程为不合规状态时,向服务端上报终端设备的标识信息、目标应用进程关联的进程信息和目标诱饵文件的存储路径
本申请实施例中,终端设备通过文件过滤驱动将进程信息上报至应用层,并由应用层实现进一步上报。
具体的,将包括目标应用的签名信息、版权信息、应用版本号,进程路径,以及文件哈希等在内的进程信息、终端设备的标识信息,以及目标诱饵文件的存储路径,经由Ring3层的客户端进程向服务端设备上报,其中,终端设备的标识信息可能包括有设备唯一标识符和当前客户端上的登录账户名。
这样,从终端设备的角度而言,通过监测诱饵文件是否被触碰,能够有效鉴别出正在进行的攻击操作,使得能够及时发现攻击行为,提高了终端设备的主动防御能力和风险感知能力。
本申请实施例中,对于网络攻击防御过程中涉及到的服务端设备而言,服务端设备针对终端设备下发防御配置信息的同时,还可以对各终端设备上报的内容进行分析,并配置相应的处理规则。下面从服务端设备的角度,对相关的处理过程进行说明。
服务端设备可以对终端设备下发辅助实现攻击行为识别的防御配置信息,以及可以配置自动处置规则,使得在确定终端设备满足自动处置规则所限制的约束条件时,自动按照对应的自动处置规则执行处理,下面以几种可能的自动处置规则为例进行示意性说明:
自动处置规则1:服务端设备基于终端设备发起的,针对其他终端设备上伪端口探测的审计数据,实现对终端设备的自动处置。
具体的,服务端设备若确定终端设备(假设为终端设备A),针对其他终端设备上的伪端口进行探测的次数达到预设的第一设定值,则可以自动将终端设备A的原始进程加入访问黑名单,阻止其访问受保护的企业资源,或者,可以将该进程针对企业资源的访问转至高仿真应用或站点等伪端口响应设备。
规则2:服务端设备基于终端设备上报的读取诱饵文件的记录,实现对终端设备的处置。
具体的,出于收集攻击者攻击轨迹,分析攻击路径和手法类型的目的,服务端设备接收终端设备上报的监测点的敏感操作数据,如,诱饵文件的读取操作,对于伪端口的探测及访问等内容;进而可以存储接收的内容,而不对终端设备执行自动处置措施;并可以配置后续由安全人员分析详情后,再对特定终端进行隔离处置。
规则3:服务端设备基于终端设备内部进程读取诱饵文件的记录,实现对终端设备的处置。
具体的,服务端设备若确定终端设备(假设为终端设备A)未有针对其他终端设备内伪端口的探测请求,仅存在多个进程触碰诱饵文件的审计记录(剔除白名单应用进程的触碰动作后的),服务端设备可以将触碰诱饵文件的应用进程加入高危进程名单,阻止其针对受保护资源的访问。进一步的,当确定终端设备A中某应用进程触碰诱饵文件的频次达到第二设定值,则可以将该应用进程加入隔离网络,阻止其请求服务。
规则4:服务端设备基于接收的探测伪端口的终端设备信息,以及终端设备内部读取诱饵文件的记录,实现对终端设备的处置。
具体的,若服务端设备通过对接收的审计数据进行聚合,确定终端设备(假设为终端设备A)发起的针对多个其他终端内伪装端口的探测,则可以确定终端设备A针对多个其他终端存在横向探测;与此同时,服务端设备接收到终端设备A中的进程对于诱饵文件的触碰记录,则服务端设备可以配置禁止终端设备A访问任何受保护资源,如,企业内站点,数据或应用;另外,根据实际处理需要,可以将终端设备A转入隔离网,中断终端设备A的网络访问,以及可以将终端设备A加入黑名单,并在针对性进行安全事件排查后再恢复其访问权限和网络。
需要说明的是,本申请实施例中,服务端设备与终端设备之间可以维持心跳长链,服务端设备可以感知终端设备的活跃状态,并能够向终端设备发送用于监测异常攻击行为的防御配置信息;服务端设备针对异常的终端设备配置的自动处置规则可以是动态变化的,涉及到的配置规则包括禁止暴露攻击的特定应用访问网络、联动网络准入模块自动将终端设备转入隔离网、将终端设备拉入黑名单等操作。特别的,根据实际的处理需要,当确定针对诱捕节点(诱饵文件和伪端口)的识别率降低,存在大量误报的情况时,例如,正常进程因为触碰文件或探测端口而禁止网络访问或者转至伪端口响应设备,服务端设备可适当地将规则放宽。与之相反的是,当出现超出预定数量的漏报情形,则相应地收紧规则,以此形成动态的反馈机制。
下面结合一个具体的举例,对零信任网络下涉及到的网络攻击的防御方法进行说明:
参阅图4A所示,其为本申请实施例中零信任网络架构下终端设备和服务端设备关系示意图,根据图4A所示,服务端设备充当零信任网络的安全服务提供方,通过零信任代理(或称访问代理,记为proxy)和智能网关,为访问主体通过网络请求访问客体的资源提供统一入口,服务端设备为统一入口提供鉴权操作,只有通过鉴权的网络请求(或称数据流)才能由零信任代理转发给智能网关,进而通过智能网关代理实际业务***的访问。
进一步的,参阅图4B,其为本申请实施例中零信任网络结构下终端设备和服务端设备的交互示意图,访问主体通过应用(或称客户端应用,简称客户端)发起针对访问客体的网络请求(或称数据流),终端设备中的iOA客户端通过访问代理客户端劫持到网络请求,并由访问代理客户端向iOA客户端发起鉴权请求(即向iOA客户端申请当次网络请求的凭证),涉及到的请求参数包括源IP或者域名,源端口,目标IP或者域名,目标端口,应用对应的进程PID。
之后,终端设备中的iOA客户端通过访问代理客户端发送的进程PID,获取进程的MD5、进程路径、进程最近修改时间、版权信息,以及签名信息等内容,进而连同访问代理客户端传递过来的网络请求的源IP信息或者域名信息、源端口信息、目标IP信息或者域名信息,以及目标端口信息,向iOA服务端(服务端设备)申请票据;如果申请成功,则将票据、票据最大使用次数,以及票据有效时间作为响应发送给终端设备中的访问代理客户端。
终端设备中的访问代理客户端首先向智能网关发起加增安全层的超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,Https)请求,其中,在授权(Authorization)首部字段中带上iOA客户端传递过来的网络请求凭证(票据);智能网关收到访问代理客户端发送的请求后,解析出首部字段中的票据,向iOA服务端校验票据,如果校验成功,则智能网关与访问代理客户端成功建立连接;之后,终端设备中的访问代理客户端将原始网络请求发送给智能网关,并由智能网关转发至到对应的业务服务器,代理实际的应用网络访问;如果访问网关校验票据失败,则代理客户端与智能网关的连接中断,针对零信任策略以外的应用访问特定站点的流量,则通过代理客户端直接向目标业务服务器发起网络访问请求实现直连访问。
终端设备中的访问代理客户端是通过TUN/TAP虚拟网卡劫持设备流量的。如果经过零信任访问控制策略判定是代理访问的类型,则代理客户端向iOA客户端请求网络访问票据,终端设备中的iOA客户端进而向服务端设备申请票据,iOA客户端成功申请到票据后将票据响应给访问代理客户端,通过访问代理客户端将实际的网络访问流量通过物理网卡发送给智能网关,由智能网关代理实际的业务访问;如果经零信任访问控制策略判定是直连访问类型,则代理客户端劫持到原始网络访问流量后,直接通过物理网卡与对应的目的业务站点进行网络访问和响应过程,实现直连访问。
进一步的,本申请实施例中,面对的网络攻击可能是高级持续性威胁(APT),其中,APT具有攻击者组织严密、隐蔽性强、针对性强和持续时间长等特点,通常利用定制的恶意软件、0Day漏洞或相关逃逸技术,突破IPC、防火墙,AV等基于文件特征的传统防御检测设备,针对***中未知漏洞以及未能及时修复的已知漏洞进行攻击。经过统计研究发现,APT的攻击链路大体分为探测、横向移动以及数据窃取这三个阶段。首先通过水坑攻击、钓鱼邮件等方式成功获取目标主机的访问权限。接下来攻击者尝试对内网进行探测,尝试执行横向移动。在内网渗透中,当攻击者获取到内网某台机器的控制权后,攻击者会以被攻陷的主机为跳板,通过包括收集域内凭证等各种方法,访问域内其他机器,进一步扩大攻击范围。当攻击者获取到某些机器的控制权后,进入到第三阶段,通过在被攻击设备中翻找文件,偷取相关数据,进行敏感文件打开、读取,下载或数据打包等动作。
现有技术更多地针对事前防御和事后溯源,无法敏感的察觉到正在进行的供给,使得无法在探测、横向移动和数据窃取过程中执行实时检测和处置。本申请提出的防御方法能够提升终端设备针对APT高级持续性威胁的检测能力和主动对抗能力,为安全运营人员提供精确分析攻击源、攻击路径及手法类型的依据,而且可以联动分析攻击行为与攻击轨迹,能够降低保护范围内的终端设备感染0Day攻击(APT的一种具体攻击形式)的风险,提高风险感知能力,保障终端设备的运行安全。
为了使得终端设备能够对不同攻击阶段的APT进行主动防御,终端设备与服务端设备建立交互,预先安装有客户端应用和访问代理客户端,并随着客户端的安装,实现对于内核过滤驱动功能和文件过滤驱动功能各自对应的驱动文件的安装,使得能通过内核驱动的方式,修改接收的每个原始数据流的端口信息,以及监测每个文件读取行为,并能够实时对固定功能端口进行监测,验证目标端口信息是否与伪端口匹配。
基于此,终端设备基于客户端应用,在服务端设备上完成注册登录验证后,能够接收服务端设备发送的防御配置信息,并基于防御配置信息确定伪端口的描述信息、各诱饵文件、各诱饵文件对应的各类描述信息集合,以及各存储位置指示信息;进而,终端设备完成诱饵文件的存储后,在检测其他设备发送的原始数据流中的目标端口信息,是否与伪端口匹配的同时,还通过监测文件读取操作,确定是否存在读取诱饵文件的异常行为;进而向服务端设备上报发生的伪端口探测行为和诱饵文件读取行为,并为进行伪端口探测的异常设备造成伪端口开放的假象,以诱使异常设备触发进一步的攻击操作。
其中,在为进行伪端口探测的异常设备造成伪端口开放的假象时,参阅图4C所示,其为本申请实施例中构建伪端口开放的假象时的过程示意图,根据图4C所示意的内容可知,终端设备接收其他设备发送的原始数据流,并确定原始数据流中的目标端口信息与伪端口匹配后,可以通过客户端应用将流量转发至内部的访问代理客户端,并指示流量下一跳地址;进而,终端设备中的访问代理客户端按照指示的下一跳地址,将流量转发至充当伪端口响应设备的高仿真站点,以及接受高仿真站点发送的流量响应。
对应的,对于服务端设备而言,服务端设备可以实现诱饵文件的生成,并确定诱饵文件的投放规则。具体的,可以基于文件投放路径的特征库、文件名称字典、诱饵文件内容字段,以及文件类型信息集合批量生成诱饵文件。诱饵文件的文件名或文件内容包含字典库中设定的一些关键字,在具体投放时,可将诱饵文件下发到指定的终端设备,或者,按照设置的比例随机下发到某个组织架构下的各终端设备,使得终端设备收到诱饵文件后,自动按照诱饵文件的投放规则,在指定的目录或随机目录存储诱饵文件,其中,诱饵文件投放的终端目录一般设置为***目录下比较深的子目录中,避免被正常的终端用户查找到。
另外,服务端设备可以实现制定互联网应用访问策略,以及添加互联网应用资源。
例如,参阅图5A所示,其为本申请实施例中服务端设备制定互联网应用访问策略的页面示意图,在图5A所示意的页面中,可以配置在终端设备登录的用户所不能访问的互联网资源。
又例如,参阅图5B所示,其为本申请实施例中服务端设备添加互联网应用资源的页面示意图,在图5B所示意的页面中,可以配置新添加的互联网应用资源。
基于本申请以上的说明,本申请提出的技术方案中,一方面,可以借助于服务端设备下发的防御配置信息,在终端设备的网络层面伪造开放端口(伪端口),在文件层面布置伪造的敏感数据(诱饵文件),诱捕攻击者执行相关操作,暴露关键的攻击特征,提高终端主动防御的能力。另一方面,基于服务端设备可以联动零信任网络访问功能,禁止特定暴露攻击的应用访问网络,甚至联动网络准入模块自动将终端设备转入隔离网,联动将特定终端设备加入黑名单的功能等。以此在提升攻击行为识别准确率的基础上提升针对APT高级持续性威胁的主动对抗能力,为安全运营人员提供精确分析攻击源,攻击路径及手法类型的依据,降低企业内设备受到0Day攻击的风险,提高风险感知能力和办公的安全性。
基于同一发明构思,参阅图6所示,其为本申请实施例中网络攻击的防御装置的逻辑结构示意图,网络攻击的防御装置600中包括获取单元601、接收单元602,以及上报单元603,其中,
获取单元601,用于获取服务端设备下发的防域配置信息;防御配置信息中至少包括:针对终端设备配置的至少一个伪端口的描述信息,其中,伪端口为终端设备未开放的端口;
接收单元602,用于接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将其他设备确定为触发网络攻击的异常设备;
上报单元603,用于将原始数据流携带的内容信息上报至服务端设备,并获取针对原始数据流配置的伪响应数据流,以及将伪响应数据流反馈至异常设备。
可选的,接收其他设备发送的原始数据流,当确定原始数据流携带的目标端口信息与至少一个伪端口的描述信息匹配成功时,将其他设备确定为触发网络攻击的异常设备时,接收单元602用于:
采用内核过滤驱动的方式,将其他设备发送的原始数据流中携带的目标端口信息,修改为固定功能端口的端口信息,得到重构数据流,并构建重构数据流与原始数据流之间端口信息的映射关系;
通过实时监测固定功能端口的处理进程,基于重构数据流和映射关系,确定原始数据流中的目标端口信息,并在确定目标端口信息与至少一个伪端口的描述信息匹配成功时,将其他设备确定为触发网络攻击的异常设备。
可选的,获取针对原始数据流配置的伪响应数据流,以及将伪响应数据流反馈至异常设备时,接收单元602用于:
将重构数据流转发至预设的伪端口响应设备,并采用内核过滤驱动的方式,将伪端口响应设备发送的反馈数据流,配置为原始数据流对应的伪响应数据流,以及将伪响应数据流发送至异常设备。
可选的,将伪端口响应设备发送的反馈数据流,配置为原始数据流对应的伪响应数据流时,接收单元602用于:
将原始数据流中的目标IP信息和目标端口信息,配置为反馈数据流的源IP信息和源端口信息,以及将原始数据流中的源IP信息和源端口信息,配置为反馈数据流的目标IP信息和目标端口信息;
将配置后的反馈数据流,确定为原始数据流对应的伪响应数据流。
可选的,防御配置信息中还包括各诱饵文件,各诱饵文件对应的各类描述信息集合和各存储位置指示信息,装置还包括校验单元604,校验单元604用于:
根据由各存储位置指示信息确定的各存储路径,存储各诱饵文件,并基于各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出的目标文件读取行为;
针对筛选出的每个目标文件读取行为,执行以下操作:
校验目标文件读取行为归属的目标应用进程的合规状态,并在确定目标应用进程为不合规状态时,向服务端上报终端设备的标识信息、目标应用进程关联的进程信息和目标诱饵文件的存储路径。
可选的,各类描述信息包括文件名信息和文件类型信息,基于各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出目标文件读取行为时,校验单元604用于:
采用文件过滤驱动功能,将同一应用进程初次读取同一文件时的文件读取行为,作为候选文件读取行为;其中,针对每个候选文件读取行为,执行以下操作:
当确定各诱饵文件中,存在文件名信息和文件类型信息与读取的目标文件匹配的目标诱饵文件时,将候选文件读取行为,确定为目标文件读取行为,其中,目标文件由候选文件读取行为读取得到。
可选的,校验目标文件读取行为归属的目标应用进程的合规状态时,校验单元604用于:
采用进程信息查询接口,获取目标文件读取行为归属的目标应用进程的标识信息;
基于目标应用进程的标识信息,从动态进程缓存中获取目标应用进程关联的进程信息;动态进程缓存中存储有处于运行状态的各个进程的进程信息,进程信息中包括进程对应的应用的版权信息和签名信息;
基于进程信息,校验目标应用进程的合规状态。
可选的,基于进程信息,校验目标应用进程的合规状态时,校验单元604执行以下操作中的任意一项:
确定目标应用进程对应的目标应用,并通过校验目标应用的应用安装路径,对于目标诱饵文件的存储路径的包含情况,以及校验目标应用的签名信息,确定目标应用进程的合规状态;
确定目标应用进程对应的目标应用,并通过校验目标应用进程对应的目标应用,在服务端设备预先下发的应用信息白名单中的包含情况,确定目标应用进程的合规状态。
可选的,获取服务端设备下发的防域配置信息之前,获取单元601还用于:
基于内置的客户端应用,在服务端设备上完成注册登录;
向服务端设备发送出厂配置的各个端口的描述信息,以及已开放端口的描述信息。
可选的,将原始数据流携带的内容信息上报至服务端设备时,上报单元603用于:
获取原始数据流中携带的内容信息,并将内容信息异步上报至服务端设备,其中,内容信息中至少包括五元组信息。
在介绍了本申请示例性实施方式的网络攻击的防御方法和装置之后,接下来,介绍根据本申请的另一示例性实施方式的电子设备。
所属技术领域的技术人员能够理解,本申请的各个方面可以实现为***、方法或程序产品。因此,本申请的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。
与上述方法实施例基于同一发明构思,本申请实施例中还提供了一种电子设备,参阅图7所示,其为应用本申请实施例的一种电子设备的一个硬件组成结构示意图,电子设备700可以至少包括处理器701、以及存储器702。其中,存储器702存储有程序代码,当程序代码被处理器701执行时,使得处理器701执行上述任意一种网络攻击的防御的步骤。
在一些可能的实施方式中,根据本申请的计算装置可以至少包括至少一个处理器、以及至少一个存储器。其中,存储器存储有程序代码,当程序代码被处理器执行时,使得处理器执行本说明书上述描述的根据本申请各种示例性实施方式的网络攻击的防御的步骤。例如,处理器可以执行如图2、图3中所示的步骤。
下面参照图8来描述根据本申请的这种实施方式的计算装置800。如图8所示,计算装置800以通用计算装置的形式表现。计算装置800的组件可以包括但不限于:上述至少一个处理单元801、上述至少一个存储单元802、连接不同***组件(包括存储单元802和处理单元801)的总线803。
总线803表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器、***总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
存储单元802可以包括易失性存储器形式的可读介质,例如随机存取存储器(RAM)8021和/或高速缓存存储器8022,还可以进一步包括只读存储器(ROM)8023。
存储单元802还可以包括具有一组(至少一个)程序模块8024的程序/实用工具8025,这样的程序模块8024包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
计算装置800也可以与一个或多个外部设备804(例如键盘、指向设备等)通信,还可与一个或者多个使得对象能与计算装置800交互的设备通信,和/或与使得该计算装置800能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口805进行。并且,计算装置800还可以通过网络适配器806与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器806通过总线803与用于计算装置800的其它模块通信。应当理解,尽管图中未示出,可以结合计算装置800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
与上述方法实施例基于同一发明构思,本申请提供的网络攻击的防御的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使电子设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络攻击的防御方法中的步骤,例如,电子设备可以执行如图2、图3中所示的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (15)

1.一种网络攻击的防御方法,其特征在于,应用于终端设备,包括:
获取服务端设备下发的防域配置信息;所述防御配置信息中至少包括:针对所述终端设备配置的至少一个伪端口的描述信息,其中,所述伪端口为所述终端设备未开放的端口;
接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备;
将所述原始数据流携带的内容信息上报至所述服务端设备,并获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备。
2.如权利要求1所述的方法,其特征在于,所述接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备,包括:
采用内核过滤驱动的方式,将其他设备发送的原始数据流中携带的目标端口信息,修改为所述固定功能端口的端口信息,得到重构数据流,并构建所述重构数据流与所述原始数据流之间端口信息的映射关系;
通过实时监测所述固定功能端口的处理进程,基于所述重构数据流和所述映射关系,确定所述原始数据流中的目标端口信息,并在确定所述目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备。
3.如权利要求2所述的方法,其特征在于,所述获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备,包括:
将所述重构数据流转发至预设的伪端口响应设备,并采用内核过滤驱动的方式,将所述伪端口响应设备发送的反馈数据流,配置为所述原始数据流对应的伪响应数据流,以及将所述伪响应数据流发送至所述异常设备。
4.如权利要求3所述的方法,其特征在于,所述将所述伪端口响应设备发送的反馈数据流,配置为所述原始数据流对应的伪响应数据流,包括:
将所述原始数据流中的目标IP信息和目标端口信息,配置为所述反馈数据流的源IP信息和源端口信息,以及将所述原始数据流中的源IP信息和源端口信息,配置为所述反馈数据流的目标IP信息和目标端口信息;
将配置后的所述反馈数据流,确定为所述原始数据流对应的伪响应数据流。
5.如权利要求1-4任一项所述的方法,其特征在于,所述防御配置信息中还包括各诱饵文件,所述各诱饵文件对应的各类描述信息集合和各存储位置指示信息,所述方法还包括:
根据由所述各存储位置指示信息确定的各存储路径,存储所述各诱饵文件,并基于所述各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出的目标文件读取行为;
针对筛选出的每个目标文件读取行为,执行以下操作:
校验所述目标文件读取行为归属的目标应用进程的合规状态,并在确定所述目标应用进程为不合规状态时,向所述服务端上报所述终端设备的标识信息、所述目标应用进程关联的进程信息和所述目标诱饵文件的存储路径。
6.如权利要求5所述的方法,其特征在于,各类描述信息包括文件名信息和文件类型信息,所述基于所述各类描述信息集合,在各个应用进程的候选文件读取行为中筛选出目标文件读取行为,包括:
采用文件过滤驱动功能,将同一应用进程初次读取同一文件时的文件读取行为,作为候选文件读取行为;其中,针对每个候选文件读取行为,执行以下操作:
当确定所述各诱饵文件中,存在文件名信息和文件类型信息与读取的目标文件匹配的目标诱饵文件时,将候选文件读取行为,确定为目标文件读取行为,其中,所述目标文件由所述候选文件读取行为读取得到。
7.如权利要求5所述的方法,其特征在于,所述校验所述目标文件读取行为归属的目标应用进程的合规状态,包括:
采用进程信息查询接口,获取所述目标文件读取行为归属的目标应用进程的标识信息;
基于所述目标应用进程的标识信息,从动态进程缓存中获取所述目标应用进程关联的进程信息;所述动态进程缓存中存储有处于运行状态的各个进程的进程信息,所述进程信息中包括进程对应的应用的版权信息和签名信息;
基于所述进程信息,校验所述目标应用进程的合规状态。
8.如权利要求7所述的方法,其特征在于,所述基于所述进程信息,校验所述目标应用进程的合规状态时,执行以下操作中的任意一项:
确定所述目标应用进程对应的目标应用,并通过校验所述目标应用的应用安装路径,对于所述目标诱饵文件的存储路径的包含情况,以及校验所述目标应用的签名信息,确定所述目标应用进程的合规状态;
确定所述目标应用进程对应的目标应用,并通过校验所述目标应用进程对应的目标应用,在所述服务端设备预先下发的应用信息白名单中的包含情况,确定所述目标应用进程的合规状态。
9.如权利要求1-4任一项所述的方法,其特征在于,所述获取服务端设备下发的防域配置信息之前,还包括:
基于内置的客户端应用,在服务端设备上完成注册登录;
向所述服务端设备发送出厂配置的各个端口的描述信息,以及已开放端口的描述信息。
10.如权利要求1-4任一项所述的方法,其特征在于,所述将所述原始数据流携带的内容信息上报至所述服务端设备,包括:
获取所述原始数据流中携带的内容信息,并将所述内容信息异步上报至所述服务端设备,其中,所述内容信息中至少包括五元组信息。
11.一种网络攻击的防御装置,其特征在于,包括:
获取单元,用于获取服务端设备下发的防域配置信息;所述防御配置信息中至少包括:针对所述终端设备配置的至少一个伪端口的描述信息,其中,所述伪端口为所述终端设备未开放的端口;
接收单元,用于接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备;
上报单元,用于将所述原始数据流携带的内容信息上报至所述服务端设备,并获取针对所述原始数据流配置的伪响应数据流,以及将所述伪响应数据流反馈至所述异常设备。
12.如权利要求11所述的装置,其特征在于,所述接收其他设备发送的原始数据流,当确定所述原始数据流携带的目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备时,所述接收单元用于:
采用内核过滤驱动的方式,将其他设备发送的原始数据流中携带的目标端口信息,修改为所述固定功能端口的端口信息,得到重构数据流,并构建所述重构数据流与所述原始数据流之间端口信息的映射关系;
通过实时监测所述固定功能端口的处理进程,基于所述重构数据流和所述映射关系,确定所述原始数据流中的目标端口信息,并在确定所述目标端口信息与所述至少一个伪端口的描述信息匹配成功时,将所述其他设备确定为触发网络攻击的异常设备。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-10任一项所述的网络攻击的防御方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-10任一项所述的网络攻击的防御方法。
15.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-10任一项所述的网络攻击的防御方法。
CN202211352370.2A 2022-10-31 2022-10-31 一种网络攻击的防御方法、装置、电子设备及存储介质 Pending CN117955675A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211352370.2A CN117955675A (zh) 2022-10-31 2022-10-31 一种网络攻击的防御方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211352370.2A CN117955675A (zh) 2022-10-31 2022-10-31 一种网络攻击的防御方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117955675A true CN117955675A (zh) 2024-04-30

Family

ID=90796863

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211352370.2A Pending CN117955675A (zh) 2022-10-31 2022-10-31 一种网络攻击的防御方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117955675A (zh)

Similar Documents

Publication Publication Date Title
US11709945B2 (en) System and method for identifying network security threats and assessing network security
US11616791B2 (en) Process-specific network access control based on traffic monitoring
Panchal et al. Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures
US10454950B1 (en) Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US20190354709A1 (en) Enforcement of same origin policy for sensitive data
US10057284B2 (en) Security threat detection
US8839442B2 (en) System and method for enabling remote registry service security audits
US8925080B2 (en) Deception-based network security using false positive responses to unauthorized access requests
US9648029B2 (en) System and method of active remediation and passive protection against cyber attacks
US10033745B2 (en) Method and system for virtual security isolation
CN107872456A (zh) 网络入侵防御方法、装置、***及计算机可读存储介质
CN104468632A (zh) 防御漏洞攻击的方法、设备及***
TWI407328B (zh) 網路病毒防護方法及系統
CN115694928A (zh) 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法
US20240073244A1 (en) Inline package name based supply chain attack detection and prevention
CN112583841B (zh) 虚拟机安全防护方法及***、电子设备和存储介质
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及***
CN117544335A (zh) 诱饵激活方法、装置、设备及存储介质
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
CN107294994B (zh) 一种基于云平台的csrf防护方法和***
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
CN117955675A (zh) 一种网络攻击的防御方法、装置、电子设备及存储介质
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
US12063251B1 (en) Methods for improved network security for web applications and devices thereof
US20230344866A1 (en) Application identification for phishing detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination