CN107426242B - 网络安全防护方法、装置及存储介质 - Google Patents

网络安全防护方法、装置及存储介质 Download PDF

Info

Publication number
CN107426242B
CN107426242B CN201710742916.8A CN201710742916A CN107426242B CN 107426242 B CN107426242 B CN 107426242B CN 201710742916 A CN201710742916 A CN 201710742916A CN 107426242 B CN107426242 B CN 107426242B
Authority
CN
China
Prior art keywords
attack
attack behavior
library
virtual honeypot
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710742916.8A
Other languages
English (en)
Other versions
CN107426242A (zh
Inventor
万巍
龙春
申罕骥
高鹏
赵静
付豫豪
杨帆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Computer Network Information Center of CAS
Original Assignee
Computer Network Information Center of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Network Information Center of CAS filed Critical Computer Network Information Center of CAS
Priority to CN201710742916.8A priority Critical patent/CN107426242B/zh
Publication of CN107426242A publication Critical patent/CN107426242A/zh
Application granted granted Critical
Publication of CN107426242B publication Critical patent/CN107426242B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种网络安全防护方法、装置及存储介质,可有效阻截多种攻击,减轻业务系统遭受攻击的风险。本发明实施例方法包括:对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。

Description

网络安全防护方法、装置及存储介质
技术领域
本发明涉及网络安全技术,尤其涉及一种网络安全防护方法、装置及存储介质。
背景技术
随着计算机网络的发展和普及,网络上各种黑客、蠕虫等非法网络攻击日益猖獗,为了保护计算机网络和系统,各种安全防护系统应运而生。目前主机的安全防护主要依赖于终端安全防护系统,比如杀毒软件等,然而,传统的终端安全防护系统虽然在针对恶意代码的检测和清除上具有一定的效果,但是针对口令猜解、漏洞利用等恶意攻击行为检测和防护效果一般。随着时间的推移,难以适应不断动态变化的网络攻击态势,因此有必要对传统终端安全防护系统进行技术改造,使之适应新的网络安全需求。
通常情况下在网络出口处部署防火墙、入侵检测系统、入侵防御系统通过制定相关的安全策略对恶意攻击行为进行发现和拦截,但是由于网络上大量主机的所使用的操作系统、运行的业务和软件、开放的服务各不相同,导致通用的安全策略并不能有效的对特定攻击进行防御。
发明内容
本发明实施例提供了一种网络安全防护方法、装置及存储介质,可动态阻截多种攻击,有效减轻业务系统遭受攻击的风险。
本发明实施例的第一方面提供一种网络安全防护方法,包括:
对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。
可选地,在销毁所述虚拟蜜罐之前,所述方法还包括:
根据预设规则,将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐,其中,所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。
可选地,所述对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征包括:
对所述虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
对新型攻击行为进行建模,以提取攻击特征。
可选地,在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为之后,销毁所述虚拟蜜罐之前,所述方法还包括:
保存日志信息。
可选地,所述攻击行为特征库记录有多个与主机业务相关的攻击行为。
本发明实施例第二方面提供了一种网络安全防护装置,包括:
攻击检测模块,用于对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
虚拟蜜罐模块,用于若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
样本分析模块,用于对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
记录模块,在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
所述虚拟蜜罐模块,还用于若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。
可选地,所述虚拟蜜罐模块,还用于在销毁所述虚拟蜜罐之前,根据预设规则,将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐,其中,所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。
可选地,所述样本分析模块包括:
确定子模块,用于对所述虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
提取子模块,对新型攻击行为进行建模,以提取攻击特征。
可选地,保存模块,还用于在将所述新的攻击行为写入所述攻击行为特征库之后,销毁所述虚拟蜜罐之前,保存日志信息。
可选地,所述攻击行为特征库记录有多个与主机业务相关的攻击行为。
本发明实施例第三方面提供了一种网络安全防护装置,所述装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为实现上述第一方面提供的网络安全防护方法的步骤。
本发明实施例第四方面提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时实现上述第一方面提供的网络安全防护方法的步骤。
本发明实施例提供的技术方案中对进入主机的网络流量进行检测,当与攻击行为特征库匹配时,确定存在攻击行为,此时,根据该攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入该虚拟蜜罐,以便经该虚拟蜜罐最大程度采集攻击数据,再对虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征,并在攻击行为特征库中写入包含该攻击特征的新型攻击行为,以便在将获取到的新型攻击行为更新到攻击行为特征库中,若在预设时间内未接收到网络流量,则销毁虚拟蜜罐。因此相对于现有技术,本发明实施例可以针对不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应网络流量的攻击数据,并将网络流量中的新型攻击行为更新在攻击行为特征库中,以不断扩充攻击行为特征库的攻击行为样本,从而有效阻截多种攻击,减轻业务系统遭受攻击的风险。
附图说明
图1为本发明实施例中网络安全防护方法一个实施例示意图;
图2为本发明实施例中网络安全防护方法另一实施例示意图;
图3为本发明实施例中网络安全防护装置一个实施例示意图。
具体实施方式
本发明实施例提供了一种网络安全防护方法、装置及存储介质,可有效阻截多种攻击,减轻业务系统遭受攻击的风险,以下分别进行详细说明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,本发明实施例中网络安全防护方法一个实施例包括:
101、对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
在本实施例中,网络安全防护装置可以结合攻击行为特征库对访问主机的网络流量进行监听,并检测该网络流量是否存在攻击行为。其中,网络安全防护装置预先配置有攻击行为特征库,该攻击行为特征库中记录有至少一种攻击行为,且记载有各攻击行为的攻击特征,此处,攻击行为特征库中多个攻击行为样本的记录可以是预先建立,也可以实时更新,具体此处不做限定。在网络流量检测过程中,网络安全防护装置查询该网络流量是否与攻击行为特征库中的攻击特征匹配,若不匹配,则放直接放行,若匹配,则确定存在攻击行为。
102、若存在攻击行为,则根据攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入虚拟蜜罐;
在本实施例中,如果检测到存在攻击行为,则针对该攻击行为,网络安全防护装置的虚拟蜜罐模块生成具有相应漏洞的虚拟蜜罐,并将网络流量全部引入虚拟蜜罐,以便通过该虚拟蜜罐最大程度的收集攻击数据。
其中,虚拟蜜罐模块能够模仿IP栈,OS,和真实系统的应用程序,可被用来模仿成多个系统,每个系统使用成多个端口且使用不同的IP。
103、对虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
在经虚拟蜜罐收集攻击数据后,网络安全防护装置进一步对虚拟蜜罐中的网络流量进行分析,以发现未知新型攻击,提取新型攻击行为的攻击特征。以便获取新的攻击行为样本。
104、在攻击行为特征库中写入包含攻击特征的新型攻击行为;
在本实施例中,在获取到新的攻击行为样本后,在攻击行为特征库中写入包含攻击特征的新型攻击行为,由此得到更新后的攻击行为特征库,以不断扩充攻击行为特征库的攻击行为样本。
105、若在预设时间内未接收到网络流量,则销毁虚拟蜜罐;
在本实施例中,预设时间可以根据实际需求调整,具体此处不做限定。可以理解的是,在本实施例中,预设时间可以是指攻击结束,也可以是指在某一段时间内没有遭受攻击。
本发明实施例提供的技术方案中对进入主机的网络流量进行检测,当与攻击行为特征库匹配时,确定存在攻击行为,此时,根据该攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入该虚拟蜜罐,以便经该虚拟蜜罐最大程度采集攻击数据,再对虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征,并在攻击行为特征库中写入包含该攻击特征的新型攻击行为,以便在将获取到的新型攻击行为更新到攻击行为特征库中,若在预设时间内未接收到网络流量,则销毁虚拟蜜罐。因此相对于现有技术,本发明实施例可以针对不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应网络流量的攻击数据,并将网络流量中的新型攻击行为更新在攻击行为特征库中,以不断扩充攻击行为特征库的攻击行为样本,从而有效阻截多种攻击,减轻业务系统遭受攻击的风险。
下面在图1所示实施例的基础上,进一步对网络安全防护方法进行介绍,请参阅图2,本发明实施例中另一种网络安全防护方法包括:
201、对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
在本实施例中,网络安全防护装置可以结合攻击行为特征库对访问主机的网络流量进行监听,并检测该网络流量是否存在攻击行为。其中,网络安全防护装置预先配置有攻击行为特征库,该攻击行为特征库中记录有至少一种攻击行为,且记载有各攻击行为的攻击特征,此处,攻击行为特征库中多个攻击行为样本的记录可以是预先建立,也可以实时更新,具体此处不做限定。在网络流量检测过程中,网络安全防护装置查询该网络流量是否与攻击行为特征库中的攻击特征匹配,若不匹配,则直接放行,若匹配,则确定存在攻击行为。
在检测该网络流量是否存在攻击行为的过程中,网络安全防护装置可以从网络流量中提取一些描述网络流量运行状态的基本特征参数,比如,流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等,若预设的某项基本特征参数与攻击行为特征库中描述某攻击行为的攻击特征匹配,则将网络流量识别为攻击行为。
202、若存在攻击行为,则根据攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入虚拟蜜罐;
在本实施例中,如果检测到存在攻击行为,则针对该攻击行为,网络安全防护装置的虚拟蜜罐模块生成具有相应漏洞的虚拟蜜罐,并将网络流量全部引入虚拟蜜罐,以便通过该虚拟蜜罐最大程度的收集攻击数据。
其中,虚拟蜜罐模块能够模仿IP栈,OS,和真实系统的应用程序,可被用来模仿成多个系统,每个系统使用成多个端口且使用不同的IP。在本实施例中,虚拟蜜罐与物理主机之间还通过强隔离防止穿透攻击。
例如,上述虚拟蜜罐模块可以为Honeyd,其中,Honeyd是一个轻型的开放源代码的虚拟蜜罐的框架,可以模拟多个操作系统,同时支持IP协议族,允许创建任意拓扑结构,支持网络通道的虚拟网络。
优选地,本实施例还可以包括:
根据预设规则,将与攻击行为相关的网络流量持续引入虚拟蜜罐,其中,预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型,由此,可以进一步扩大捕捉和分析范围。
203、对虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
在本实施例中,虚拟蜜罐作为诱饵,引诱攻击者攻击并获取攻击样本进行分析,以便发现新型攻击行为。
204、对新型攻击行为进行建模,以提取攻击特征;
在本实施例中,当发现新型攻击行为时,对新型攻击行为进行建模,以提取攻击特征,完成新型攻击行为的特征归纳。
205、在攻击行为特征库中写入包含攻击特征的新型攻击行为;
在本实施例中,在获取到新的攻击行为样本并完成特征归纳后,在攻击行为特征库中写入包含攻击特征的新型攻击行为,由此得到更新后的攻击行为特征库,以不断扩充攻击行为特征库的攻击行为样本。
206、若在预设时间内未接收到网络流量,则销毁虚拟蜜罐;
在本实施例中,预设时间可以根据实际需求调整,具体此处不做限定。可以理解的是,在本实施例中,预设时间可以是指攻击结束,也可以是指在某一段时间内没有遭受攻击,即当主机没有遭受攻击或者攻击结束时,网络安全防护装置可以收回虚拟蜜罐。
作为优先,在本实施例中,在攻击行为特征库中写入包含攻击特征的新型攻击行为之后,销毁虚拟蜜罐之前,本实施例还可以包括:
保存日志信息。
可选地,在本实施例中,攻击行为特征库中可以包括多种攻击行为,进一步地,可以对上述多个攻击行为进行业务划分,得到基于不同业务类型的多种攻击行为及对应的安全策略,例如,第一业务类型,对应第一子库,包括与第一业务类型对应的至少一种攻击行为;第二业务类型,对应第二子库,包括与第二业务类型对应的至少一种攻击行为。基于此,在查询攻击行为特征库确定是否存在攻击行为时,可以先确定主机当前运行的业务类型,再根据业务类型在攻击行为特征库的对应子库中去匹配攻击行为样本,以实现分类快速查找。对应地,在攻击行为特征库中写入新型攻击行为时,也可以根据业务类型将该新型攻击行为写入对应的子库中。
本发明实施例提供的技术方案中对进入主机的网络流量进行检测,当与攻击行为特征库匹配时,确定存在攻击行为,此时,根据该攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入该虚拟蜜罐,以便经该虚拟蜜罐最大程度采集攻击数据,再对虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征,并在攻击行为特征库中写入包含该攻击特征的新型攻击行为,以便在将获取到的新型攻击行为更新到攻击行为特征库中,若在预设时间内未接收到网络流量,则销毁虚拟蜜罐。因此相对于现有技术,本发明实施例可以针对不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应网络流量的攻击数据,并将网络流量中的新型攻击行为更新在攻击行为特征库中,以不断扩充攻击行为特征库的攻击行为样本,从而有效阻截多种攻击,减轻业务系统遭受攻击的风险。
上面对本发明实施例中的网络安全防护方法进行了描述,下面对本发明实施例中的网络安全防护装置进行描述,请参阅图3,本发明实施例中网络安全防护装置一个实施例包括:
攻击检测模块301,用于对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
虚拟蜜罐模块302,用于若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
样本分析模块303,用于在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
记录模块304,用于根据所述攻击特征生成针对所述攻击行为的安全策略并阻截;
所述虚拟蜜罐模块302,还用于若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。
本发明实施例提供的技术方案中攻击检测模块301对进入主机的网络流量进行检测,当与攻击行为特征库匹配时,确定存在攻击行为,此时,虚拟蜜罐模块302根据该攻击行为生成具有相应漏洞的虚拟蜜罐,并将网络流量引入该虚拟蜜罐,以便经该虚拟蜜罐最大程度采集攻击数据,再由样本分析模块303对虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征,并由记录模块304在攻击行为特征库中写入包含该攻击特征的新型攻击行为,以便在将获取到的新型攻击行为更新到攻击行为特征库中,若在预设时间内未接收到网络流量,则虚拟蜜罐模块302销毁虚拟蜜罐。因此相对于现有技术,本发明实施例可以针对不同攻击行为生成对应不同漏洞的虚拟蜜罐,以最大程度收集对应网络流量的攻击数据,并将网络流量中的新型攻击行为更新在攻击行为特征库中,以不断扩充攻击行为特征库的攻击行为样本,从而有效阻截多种攻击,减轻业务系统遭受攻击的风险。
本发明实施例中网络安全防护装置另一实施例包括:
攻击检测模块,用于对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
虚拟蜜罐模块,用于若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
样本分析模块,用于在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
记录模块,用于根据所述攻击特征生成针对所述攻击行为的安全策略并阻截;
所述虚拟蜜罐模块,还用于若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。
其中,样本分析模块包括:
确定子模块,用于对所述虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
提取子模块,对新型攻击行为进行建模,以提取攻击特征。
可选地,在本实施例中,
所述虚拟蜜罐模块,还可以用于在销毁所述虚拟蜜罐之前,根据预设规则,将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐,其中,所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。
可选地,在本实施例中,
所述装置还可以包括:
保存模块,还用于在将所述新的攻击行为写入所述攻击行为特征库之后,销毁所述虚拟蜜罐之前,保存日志信息。
可选地,在本实施例中,所述攻击行为特征库记录有多个与主机业务相关的攻击行为及对应的安全策略。
本发明实施例还提供了另一种网络安全防护装置,所述网络安全防护装置包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为:
对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;
若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质;也可以是单独存在,未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序,所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的网络安全防护方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.网络安全防护方法,其特征在于,包括:
对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;攻击行为特征库中包括第一子库和第二子库,其中,第一子库包括与第一业务类型对应的至少一种攻击行为;第二业务类型,对应第二子库,包括与第二业务类型对应的至少一种攻击行为;
若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐;
所述通过查询攻击行为特征库确定是否存在攻击行为具体包括:
确定主机当前运行的业务类型;
根据业务类型在攻击行为特征库的对应子库中去匹配攻击行为;
所述在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为具体包括:
根据业务类型将所述新型攻击行为写入所述攻击行为特征库对应的子库中。
2.如权利要求1所述的网络安全防护方法,其特征在于,在销毁所述虚拟蜜罐之前,所述方法还包括:
根据预设规则,将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐,其中,所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。
3.如权利要求1所述的网络安全防护方法,其特征在于,所述对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征包括:
对所述虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
对新型攻击行为进行建模,以提取攻击特征。
4.如权利要求1所述的网络安全防护方法,其特征在于,在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为之后,销毁所述虚拟蜜罐之前,所述方法还包括:保存日志信息。
5.网络安全防护装置,其特征在于,包括:
攻击检测模块,用于对进入主机的网络流量进行检测,并通过查询攻击行为特征库确定是否存在攻击行为;攻击行为特征库中包括第一子库和第二子库,其中,第一子库包括与第一业务类型对应的至少一种攻击行为;第二业务类型,对应第二子库,包括与第二业务类型对应的至少一种攻击行为;
虚拟蜜罐模块,用于若存在攻击行为,则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐,并将所述网络流量引入所述虚拟蜜罐;
样本分析模块,用于对所述虚拟蜜罐中的网络流量进行分析,以获取新型攻击行为的攻击特征;
记录模块,用于在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为;
所述虚拟蜜罐模块,还用于若在预设时间内未接收到网络流量,则销毁所述虚拟蜜罐;
所述攻击检测模块具体用于:确定主机当前运行的业务类型;根据业务类型在攻击行为特征库的对应子库中去匹配攻击行为;
所述记录模块具体用于:根据业务类型将所述新型攻击行为写入所述攻击行为特征库对应的子库中。
6.如权利要求5所述的网络安全防护装置,其特征在于,
所述虚拟蜜罐模块,还用于在销毁所述虚拟蜜罐之前,根据预设规则,将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐,其中,所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。
7.如权利要求5所述的网络安全防护装置,其特征在于,所述样本分析模块包括:
确定子模块,用于对所述虚拟蜜罐中的网络流量进行分析,以确定发现新型攻击行为;
提取子模块,对新型攻击行为进行建模,以提取攻击特征。
8.如权利要求5所述的网络安全防护装置,其特征在于,所述装置还包括:
保存模块,还用于在将新型攻击行为写入攻击行为特征库之后,销毁所述虚拟蜜罐之前,保存日志信息。
9.计算机可读存储介质,所述存储介质上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-4所述方法的步骤。
CN201710742916.8A 2017-08-25 2017-08-25 网络安全防护方法、装置及存储介质 Active CN107426242B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710742916.8A CN107426242B (zh) 2017-08-25 2017-08-25 网络安全防护方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710742916.8A CN107426242B (zh) 2017-08-25 2017-08-25 网络安全防护方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN107426242A CN107426242A (zh) 2017-12-01
CN107426242B true CN107426242B (zh) 2020-03-31

Family

ID=60433995

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710742916.8A Active CN107426242B (zh) 2017-08-25 2017-08-25 网络安全防护方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN107426242B (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107872467A (zh) * 2017-12-26 2018-04-03 中国联合网络通信集团有限公司 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
CN108306857A (zh) * 2017-12-26 2018-07-20 努比亚技术有限公司 异常操作拦截方法、网络安全设备及计算机可读存储介质
CN111183612B (zh) * 2017-12-27 2023-08-29 西门子股份公司 一种网络流量的发送方法、装置及混合蜜罐系统
CN109474625A (zh) * 2018-12-25 2019-03-15 北京知道创宇信息技术有限公司 网络安全防护方法、装置及嵌入式系统
CN109889486A (zh) * 2018-12-28 2019-06-14 武汉职业技术学院 移动办公安全接入平台
CN110719299A (zh) * 2019-11-18 2020-01-21 中国移动通信集团内蒙古有限公司 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN112333157B (zh) * 2020-10-20 2021-07-09 深圳格隆汇信息科技有限公司 基于大数据的网络安全防护方法和网络安全防护平台
CN112491883A (zh) * 2020-11-27 2021-03-12 杭州安恒信息安全技术有限公司 一种检测web攻击的方法、装置、电子装置和存储介质
CN112685734B (zh) * 2020-12-25 2024-07-02 深圳供电局有限公司 安全防护方法、装置、计算机设备和存储介质
CN112738077A (zh) * 2020-12-26 2021-04-30 北京珞安科技有限责任公司 一种工控网络安全检测系统
CN112748987B (zh) * 2021-01-19 2021-08-06 北京智仁智信安全技术有限公司 一种基于虚拟主机的行为安全处理方法及设备
CN113572730A (zh) * 2021-06-15 2021-10-29 郑州云智信安安全技术有限公司 一种基于web的主动自动诱捕蜜罐的实现方法
CN113691527A (zh) * 2021-08-23 2021-11-23 海尔数字科技(青岛)有限公司 安全处理方法、装置、电子设备、及存储介质
CN113810408B (zh) * 2021-09-16 2023-04-07 杭州安恒信息技术股份有限公司 网络攻击组织的探测方法、装置、设备及可读存储介质
CN114157450B (zh) * 2021-11-04 2024-03-15 南方电网数字平台科技(广东)有限公司 基于物联网蜜罐的网络攻击诱导方法及装置
CN114205127B (zh) * 2021-11-29 2024-07-09 中国铁路北京局集团有限公司北京通信段 一种针对铁路的网络安全监测方法及系统
CN115065495A (zh) * 2022-04-07 2022-09-16 京东科技信息技术有限公司 蜜罐网络运行方法、装置、设备及存储介质
CN115065528A (zh) * 2022-06-14 2022-09-16 上海磐御网络科技有限公司 一种基于ftp服务的攻击反制系统及方法
CN118018327B (zh) * 2024-04-08 2024-06-25 畅捷通信息技术股份有限公司 一种主动式全网异常攻击处理方法、系统、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014138A (zh) * 2010-12-16 2011-04-13 北京安天电子设备有限公司 嵌入式病毒捕获设备和电路板
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN103607399A (zh) * 2013-11-25 2014-02-26 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2006236283A1 (en) * 2005-04-18 2006-10-26 The Trustees Of Columbia University In The City Of New York Systems and methods for detecting and inhibiting attacks using honeypots

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102014138A (zh) * 2010-12-16 2011-04-13 北京安天电子设备有限公司 嵌入式病毒捕获设备和电路板
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN103607399A (zh) * 2013-11-25 2014-02-26 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法

Also Published As

Publication number Publication date
CN107426242A (zh) 2017-12-01

Similar Documents

Publication Publication Date Title
CN107426242B (zh) 网络安全防护方法、装置及存储介质
CN111385236B (zh) 一种基于网络诱骗的动态防御系统
CN107888607B (zh) 一种网络威胁检测方法、装置及网络管理设备
CN107659583B (zh) 一种检测事中攻击的方法及系统
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
EP3337106B1 (en) Identification system, identification device and identification method
EP3509001B1 (en) Method and apparatus for detecting zombie feature
US12069076B2 (en) System and method for detecting and classifying malware
CN111565202B (zh) 一种内网漏洞攻击防御方法及相关装置
EP2998901A1 (en) Unauthorized-access detection system and unauthorized-access detection method
CN107579997A (zh) 无线网络入侵检测系统
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
CN110401638B (zh) 一种网络流量分析方法及装置
CN112532631A (zh) 一种设备安全风险评估方法、装置、设备及介质
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US10645107B2 (en) System and method for detecting and classifying malware
Karthikeyan et al. Honeypots for network security
CN114143096A (zh) 安全策略配置方法、装置、设备、存储介质及程序产品
CN106973051B (zh) 建立检测网络威胁模型的方法、装置和存储介质
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
CN115242466A (zh) 一种基于高仿真虚拟环境的入侵主动诱捕系统和方法
CN106209867B (zh) 一种高级威胁防御方法及系统
CN107517226B (zh) 基于无线网络入侵的报警方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant