CN107566401B - 虚拟化环境的防护方法及装置 - Google Patents
虚拟化环境的防护方法及装置 Download PDFInfo
- Publication number
- CN107566401B CN107566401B CN201710940390.4A CN201710940390A CN107566401B CN 107566401 B CN107566401 B CN 107566401B CN 201710940390 A CN201710940390 A CN 201710940390A CN 107566401 B CN107566401 B CN 107566401B
- Authority
- CN
- China
- Prior art keywords
- type
- access
- request message
- virtualized environment
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种虚拟化环境的防护方法及装置,该方法包括:当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理。由此可见,本发明能够监测用于访问虚拟化环境的环境特征信息的访问请求消息,并针对该访问请求消息执行对应的防护处理,以防止被人识别出虚拟化环境,提升了虚拟化环境的防护效果。
Description
技术领域
本发明涉及网络通信技术领域,具体涉及一种虚拟化环境的防护方法及装置。
背景技术
随着通信技术的不断发展,互联网已经融入了生活的方方面面。然而,黑客技术作为互联网发展的衍生物,也变得无孔不入,日益严峻地威胁着网络安全。以无线网络为例而言,虽然无线网络以其便于接入的优势赢得了越来越多的用户。但是,通过入侵无线网络而实现黑客攻击的事件也日益高发。为此,出现了各种各样的防御手段来应对黑客的入侵。例如,通过虚拟化环境能够检测并分析黑客的行为,以便于做出有针对性地防御措施。
但是,发明人在实现本发明的过程中,发现现有的虚拟化环境至少存在如下问题:有经验的黑客通常会编写代码访问虚拟化环境的相关特征信息,以便根据访问结果检测当前所处的环境是否为虚拟化环境,一旦检测出虚拟化环境则会立刻逃离,从而规避系统的检测分析。但是,现有的虚拟化环境无法防止黑客的检测,防护功能较差。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的虚拟化环境的防护方法及装置。
依据本发明的一个方面,提供了一种虚拟化环境的防护方法,包括:
当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理。
根据本发明的另一方面,提供了一种虚拟化环境的防护装置,包括:
拦截模块,适于当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定模块,适于确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
防护模块,适于查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理。
根据本发明的再一个方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述虚拟化环境的防护方法对应的操作。
根据本发明的再一个方面,提供了一种计算机存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行上述虚拟化环境的防护方法对应的操作。
在本发明提供的虚拟化环境的防护方法及装置中,当监测到用于访问虚拟化环境的环境特征信息的访问请求消息时,拦截该访问请求消息;确定与该访问请求消息相对应的访问结果数据,并确定该访问结果数据的数据类型;然后,查询与该访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对该访问请求消息进行防护处理。由此可见,本发明能够监测用于访问虚拟化环境的环境特征信息的访问请求消息,并针对该访问请求消息执行对应的防护处理,以防止被人识别出虚拟化环境,提升了虚拟化环境的防护效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明一个实施例提供的虚拟化环境的防护方法的流程图;
图2示出了一种无线网络入侵检测系统的结构图;
图3示出了无线网络入侵检测系统中的多层环的结构示意图;
图4示出了本发明一个实施例提供的虚拟化环境的防护装置的结构图;
图5示出了根据本发明一个实施例提供的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了本发明一个实施例提供的一种虚拟化环境的防护方法的流程图。其中,本实施例中的虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。如图1所示,该方法包括以下步骤:
步骤S100:预先确定用于访问虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口,针对该应用程序接口设置挂钩函数。
其中,环境特征信息是指:与运行环境相关的网络信息、和/或软硬件信息。相应地,通过环境特征信息能够判断当前运行环境为真实环境或虚拟化环境。例如,环境特征信息包括以下中的至少一个:物理网卡信息、注册表信息、以及驱动信息。黑客等攻击者通过用于访问虚拟化环境的环境特征信息的访问请求消息能够实现检测虚拟化环境的目的。为此,本发明实施例的目的在于:预先确定被攻击者用来访问虚拟化环境的环境特征信息的访问请求消息及其对应的应用程序接口,并在相应的应用程序接口处设置挂钩函数,以实现对该类访问请求消息的监控。其中,挂钩函数用于监测通过应用程序接口触发的访问请求消息。
具体地,由于访问请求消息包括多种类型,因此,如何判断一个访问请求消息是否属于用于访问虚拟化环境的环境特征信息的访问请求消息是本发明需要解决的技术问题之一。为了解决这一问题,在本实施例中,预先监测入侵虚拟化环境的电子设备针对该虚拟化环境发出的访问行为,根据该访问行为所对应的访问结果确定用于访问虚拟化环境的环境特征信息的访问请求消息。
例如,若通过监测发现,攻击者通常会利用访问请求消息1以及访问请求消息1’来获取物理网卡信息,利用访问请求消息2来获取注册表信息,利用访问请求消息3以及访问请求消息3’来获取驱动信息,相应地,将访问请求消息1、访问请求消息1’、访问请求消息2、访问请求消息3以及访问请求消息3’均确定为用于访问虚拟化环境的环境特征信息的访问请求消息。然后,进一步确定上述的每个访问请求消息所对应的应用程序接口(API),这些应用程序接口可能是系统中自带的接口,也可能是攻击者自行编写的接口,通过在这些应用程序接口处设置挂钩函数即可实现监测目的。
其中,步骤S100为一个可选的步骤,在本发明其他的实施例中,也可以省略步骤S100,或者,通过其他替代方式实现步骤S100的目的。
步骤S110:当监测到用于访问虚拟化环境的环境特征信息的访问请求消息时,拦截该访问请求消息。
其中,通过挂钩函数(即HOOK机制)拦截该访问请求消息,以便根据挂钩函数中预设的处理逻辑来处理该访问请求消息。
步骤S120:确定与该访问请求消息相对应的访问结果数据,并确定访问结果数据的数据类型。
其中,访问结果数据的数据类型可以根据多种因素确定。在本实施例中,主要是根据防护策略确定的。具体地,需要预先获取访问结果数据的全部数据内容,然后,分别针对其中的每一项数据内容设置对应的防护策略,将防护策略相同的数据内容划分为同一种数据类型。
例如,访问结果数据的数据类型包括:第一类数据类型和/或第二类数据类型。其中,第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型。例如,无论是虚拟化环境还是非虚拟化环境,都需要具备网卡信息和注册表信息,因此,将该类信息所对应的访问结果数据作为第一类数据类型。第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型。例如,将虚拟化环境中独有的数据所对应的类型作为第二类数据类型。
步骤S130:查询与访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对访问请求消息进行防护处理。
其中,在本实施例中,与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与第一类数据类型的访问结果数据相对应的伪结果数据。由于该类型的数据是所有环境中都存在的,因此,必须向电子设备返回访问结果,否则会引起电子设备使用者的怀疑,为此,本实施例采用返回伪结果数据的方式实现。实际上,也可以预先判断访问结果数据的真实内容是否会泄露虚拟化环境的特征,若是,则返回伪结果数据;若否,也可以直接返回真实的访问结果数据。
与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。由于该类型的数据是仅存在于虚拟化环境中的,因此,一旦向电子设备返回对应的数据则会使电子设备识破虚拟化环境。所以,对于第二类数据类型所对应的访问请求消息不予返回响应结果,以使电子设备无法获取到用于识别虚拟化环境特征的数据。
由此可见,本发明能够监测用于访问虚拟化环境的环境特征信息的访问请求消息,并针对该访问请求消息执行对应的防护处理,以防止被人识别出虚拟化环境,提升了虚拟化环境的防护效果。
为了便于理解本发明,图2示出了本发明提供的一种具体的无线网络入侵检测系统的结构示意图,相应地,本发明中的虚拟化环境的防护方法可基于该系统实现。如图2所示,该系统包括:无线接入模块21、网络传输模块22、第一入侵检测模块23、以及第二入侵检测模块24。其中,图2所示的第二入侵检测模块24的数量为多个,实际情况中,第二入侵检测模块24的数量也可以仅为一个。并且,在本发明其他的实施例中,第一入侵检测模块23的数量也可以为多个。
在本实施例中,无线网络入侵检测系统主要用于诱使攻击者接入,监视并记录攻击者的设备信息及攻击行为,相应地,可以实现有针对性地防御措施,也可以在必要时实施报警,还可以针对攻击者进行溯源追踪等。因此,本实施例中的无线网络入侵检测系统也可以理解为通过蜜罐技术实现的蜜罐系统,该蜜罐系统能够实现多种功能。下面分别介绍该系统中的各个模块的具体结构和工作原理:
一、无线接入模块
系统的最外层为无线接入模块21。无线接入模块21适于监测是否存在通过预设的网络漏洞入侵无线网络的电子设备;当监测结果为是时,获取该电子设备的设备标识以及与该设备标识相对应的设备接入信息;可选的,还可以针对该设备接入信息进行分析,根据分析结果对该电子设备进行定位。由此可见,无线接入模块21主要具备两方面的功能:一方面,主动设置网络漏洞,以便诱使攻击者接入;另一方面,一旦发现接入无线网络的电子设备则记录该电子设备的设备标识以及设备接入信息。
首先,介绍设置网络漏洞的具体实现方式:具体地,无线接入模块21在预设的无线接入设备中设置网络漏洞,以供外部的电子设备接入无线网络。其中,无线接入设备可以为路由器等各类能够用于接入无线网络的接入点。具体地,设置网络漏洞时,可以通过开启无线网络端口、和/或弱化无线网络密码等多种方式实现。其中,网络漏洞也可以理解为陷阱,主要用于诱骗攻击者接入。本发明对设置网络漏洞的具体实现方式不做限定。
然后,介绍记录电子设备的设备标识以及设备接入信息的具体实现方式。其中,设备标识可以是各种能够唯一标识一台电子设备的信息,以便于在后续过程中根据设备标识对该电子设备的相关信息进行追踪。设备接入信息是指:能够在设备接入无线网络的过程中获取到的与该设备相关的信息。相应地,无线接入模块21记录连接该无线网络的设备名称、IP地址、MAC地址等设备接入信息,以便定位攻击者的物理位置,使攻击者一接入无线网络就处于被监视状态。可选的,为了迫使攻击者泄露更多的信息,在本实施例中,无线接入模块21在获取该电子设备的设备标识以及与该设备标识相对应的设备接入信息时,还可以进一步向电子设备推送预设网页,获取该电子设备针对预设网页产生的访问结果,根据访问结果确定该电子设备的设备接入信息。其中,预设网页包括:通过社交账号登录的社交网页或其他需要通过个人信息而登录的页面,相应地,电子设备的设备接入信息进一步包括:根据针对社交网页产生的访问结果确定的社交账号信息,例如,微博账号及密码信息、QQ账号及密码信息等。除此之外,在电子设备访问网页的过程中,还可以进一步获取到其他的设备接入信息,例如,浏览器版本、操作系统版本、设备屏幕分辨率、以及浏览器插件信息等设备接入信息。无线接入模块21将该电子设备的设备接入信息与该电子设备的设备标识关联存储到预设的设备接入表中,以备后续查询。
由此可见,无线接入模块主要用于诱使攻击者接入并获取相应的设备接入信息,以便实现定位或预警等功能。
二、网络传输模块
系统的次外层为网络传输模块22。网络传输模块22适于获取电子设备接入无线网络后产生的网络流量信息,并将获取到的网络流量信息提供给第一入侵检测模块23进行后续分析。另外,网络传输模块22还适于确定电子设备接入无线网络后产生的网络流量信息中是否包含由符合预设预警规则的访问行为触发的网络流量,若是,则生成入侵预警信号。具体实施时,网络传输模块22获取入侵无线网络的电子设备产生的网络流量信息;针对该网络流量信息进行分析,根据分析结果确定电子设备的网络访问行为;判断该电子设备的网络访问行为是否符合预设的预警规则,若是,则生成用于预警的入侵预警信号。
其中,网络传输模块主要通过网络抓包等方式获取电子设备接入无线网络后的网络流量信息。另外,发明人在实现本发明的过程中发现:传统的网络抓包方式只能获取到电子设备通过无线网络访问外部网站的流量,而无法获取到电子设备与无线网络内部的各个设备之间的流量。例如,在本实施例中,由于无线网络中包含第一入侵检测模块以及多个第二入侵检测模块等多个预设设备,因此,为了更加准确地获取电子设备针对每个入侵检测模块产生的网络流量信息,在本实施例中,将各个第一入侵检测模块以及第二入侵检测模块以桥接方式接入无线网络,相应地,网络传输模块分别获取电子设备入侵无线网络后针对无线网络中的各个预设设备(即:第一入侵检测模块以及第二入侵检测模块)产生的点对点网络流量信息,并将该点对点网络流量信息提供给对应的预设设备。例如,针对获取到的电子设备访问第一入侵检测模块的网络流量信息,将该部分网络流量信息提供给第一入侵检测模块进行后续分析处理。由此可见,本发明通过桥接方式能够准确获取到电子设备与各个入侵检测模块之间的点对点流量信息,从而便于确定电子设备分别针对每个入侵检测模块实施的网络行为。
通过分析上述获取到的网络流量信息,能够获知电子设备的网络访问行为(例如,打开的网页数量和网页地址等)。可选的,在本实施例中,网络传输模块还能够根据预设的预警规则确定是否针对电子设备的网络访问行为触发预警信号,从而实现预警作用。预警规则包括多个网络安全等级的预警规则,相应地,网络传输模块首先要确定当前的网络安全等级,然后,选择与当前的网络安全等级相匹配的预警规则。例如,可以将网络安全等级分为三个安全等级:高安全等级、中安全等级、以及低安全等级,相应地,分别为每种安全等级设定对应的预警规则。系统运营人员可以根据当前业务的需求设置网络安全等级。相应地,预警规则可以包括以下三种规则中的至少一个:
第一种预警规则为:当监测到通过预设扫描工具实施扫描行为时进行预警的规则。其中,网络传输模块可以预先获取黑客常用的扫描工具,并将获取到的扫描工具存储到黑客工具列表中,一旦根据网络流量信息监测到电子设备利用黑客工具列表中的扫描工具实施扫描的行为则进行预警。其中,黑客工具列表中存储的扫描工具可以包括:NMAP、SQLMAP、WVS等。第二种预警规则为:当监测到针对无线网络内的预设设备实施试探性连接的行为时进行预警的规则。该规则可应用于高安全等级的网络设置中,通过该规则,只要发现试图连接入侵检测模块等预设设备的行为则进行预警。第三种预警规则为:当监测到针对无线网络内的预设设备连接成功的行为时进行预警的规则。该规则可应用于中安全等级或低安全等级的网络设置中,通过该规则,只有发现连接成功的行为时才进行预警。例如,当检测到针对入侵检测模块触发的访问请求时则触发预警。
由此可见,网络传输层能够监测全网范围内的网络流量信息,并根据监测结果进行预警,以提升系统的安全性。其中,预警规则可由本领域技术人员灵活设置,本发明对此不做限定。
可选的,为了获取到电子设备的更多信息,在本实施例中,网络传输模块还可以进一步实施以下操作:根据电子设备产生的网络流量信息,拦截电子设备发送的网站访问请求,在拦截到的网站访问请求中插入用于访问预设网站的预设访问脚本;接收与预设网站相对应的访问结果数据,根据该访问结果数据确定电子设备的设备属性信息。相应地,网络传输模块也可以进一步根据设备属性信息定位电子设备。具体实施时,首先,预先设置待拦截的网站访问请求的类型,例如,可以设置为针对百度等搜索类网站的访问请求进行拦截等。然后,在拦截到的网站访问请求中插入用于访问预设网站的预设访问脚本。其中,该预设访问脚本可由第一入侵检测模块负责生成并维护,网络传输模块只需调用该脚本即可。该预设访问脚本可以通过JS脚本或URL网址实现,用于访问人人网、微博等社交类型的网站。最后,接收与预设网站相对应的访问结果数据,根据该访问结果数据确定电子设备的设备属性信息,其中,确定设备属性信息的操作可由第一入侵检测模块实现,相应地,网络传输模块将接收到的预设网站反馈的访问结果数据发送给第一入侵检测模块,以供第一入侵检测模块结合该访问结果数据确定电子设备的设备属性信息。由此可见,网络传输模块在上述过程中主要实现了以下功能:一方面,代替用户向预设网站的服务器发送针对预设网站的访问请求;另一方面,代替用户接收服务器返回的访问结果。因此,网络传输模块可以在入侵无线网络的电子设备的用户毫不知情的情况下访问预设网站并获取访问结果,进而获取电子设备的相关信息。其中,设备属性信息与设备接入信息的主要区别在于:二者获取的时机以及获取的主体不同。具体地,设备接入信息在接入阶段由无线接入模块获取,而设备属性信息则在电子设备渗透到无线网络中并访问第一入侵检测模块时,由第一入侵检测模块获取,用于反映设备的属性信息。实际情况中,设备接入信息与设备属性信息的内容可以存在交叉。
三、第一入侵检测模块
第一入侵检测模块位于网络传输层与第二入侵检测模块之间,用于分析网络传输模块提供的网络流量信息,根据分析结果确定电子设备的设备属性信息。具体实施时,第一入侵检测模块可通过多种实现方式实现,例如,可以利用蜜罐技术通过虚拟机或沙箱来实现。蜜罐技术本质上是一种对攻击者进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击者对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击者所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解自身所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。在本实施例中,第一入侵检测模块为web型蜜罐(即:服务型蜜罐),并且,第一入侵检测模块的交互性低于第二入侵检测模块,因此,也可以将第一入侵检测模块称作Web型低交互性入侵检测模块。在下文中,为了描述方便,将第一入侵检测模块称作Web型低交互性蜜罐。
Web型低交互性蜜罐能够获取入侵无线网络的电子设备所产生的网络流量信息;针对该网络流量信息进行分析,根据分析结果确定电子设备的设备标识以及与该设备标识相对应的设备属性信息。可选的,Web型低交互性蜜罐还能够根据设备属性信息检测电子设备的位置信息,以便对电子设备进行定位或溯源。由此可见,Web型低交互性蜜罐主要用于进一步收集攻击者的信息。具体地,可供收集的设备属性信息包括但不限于:浏览器版本、操作系统版本、设备屏幕分辨率、浏览器插件信息、社交账号信息、设备指纹、插件信息、时区信息、GPU信息、以及设备语言信息等。
另外,为了便于收集更多信息,Web型低交互性蜜罐进一步用于:预先生成用于访问预设网站的预设访问脚本;其中,预设访问脚本用于插入拦截到的电子设备发送的网站访问请求中。相应地,Web型低交互性蜜罐根据分析结果确定电子设备的设备标识以及与该设备标识相对应的设备属性信息时,结合获取到的与预设网站相对应的访问结果数据确定电子设备的设备属性信息。其中,预设网站包括:通过社交账号登录的社交网站等,该预设访问脚本可以通过JS脚本或URL网址实现,用于访问人人网、微博等预设网站。相应地,电子设备的设备属性信息包括:根据针对社交网站产生的访问结果确定的社交账号信息。也就是说,Web型低交互性蜜罐负责维护预设访问脚本,以供网络传输模块调用;并且,Web型低交互性蜜罐进一步用于分析网络传输模块得到的网络流量信息以及访问结果数据等,以便确定电子设备的设备属性信息。由此可见,通过Web型低交互性蜜罐以及网络传输模块的相互配合,能够在电子设备的使用者毫无察觉的情况下自动访问预设网站并获取相关信息,为后续的攻击者定位及溯源等操作提供了更多有价值的信息。
四、第二入侵检测模块
第二入侵检测模块位于整个系统的最内层,用于获取电子设备的行为特征信息,当确定行为特征信息符合预设报警规则时,生成入侵报警信号。具体实施时,第二入侵检测模块也可通过多种实现方式实现,例如,可以利用蜜罐技术通过虚拟机或沙箱来实现。在本实施例中,第二入侵检测模块的交互性高于第一入侵检测模块,因此,也可以将第二入侵检测模块称作高交互性入侵检测模块。另外,第二入侵检测模块既可以应用于Windows系统,也可以应用于Linux系统,相应地,第二入侵检测模块的种类可以分为两种,分别是Windows型高交互性蜜罐和Linux型高交互性蜜罐。在本实施例中,主要以Windows型高交互性蜜罐为例进行介绍。
具体地,Windows型高交互性蜜罐获取到的电子设备的行为特征信息可以包括多种,相应地,预设报警规则也可以包括多种规则:
第一种规则为:确定行为特征信息是否与预设黑名单中存储的恶意命令匹配,若是,则生成入侵报警信号(也叫行为入侵报警信号)。具体地,Windows型高交互性蜜罐监视系统活动以及电子设备的各项行为,若监测到电子设备执行了预设黑名单中存储的恶意命令时,则触发入侵报警信号。其中,预设黑名单用于存储预先确定的黑客常用的各项攻击命令。表1、表2和表3示出了黑名单中存储的部分恶意命令的示意图。
表1
| 顺序 | 命令 | 执行次数 | 选项 |
| 1 | tasklist | 119 | /s/v |
| 2 | ver | 92 | |
| 3 | ipconfig | 58 | /all |
| 4 | Net time | 30 | |
| 5 | systeminfo | 24 | |
| 6 | netstat | 22 | -ano |
| 7 | qprocess | 15 | |
| 8 | query | 14 | user |
| 9 | whoami | 14 | /all |
| 10 | Net start | 10 | |
| 11 | nslookup | 4 | |
| 12 | fsutil | 3 | Fsinfo drives |
| 13 | time | 2 | /t |
| 14 | set | 1 |
表2
| 顺序 | 命令 | 执行次数 | 选项 |
| 1 | dir | 903 | |
| 2 | Net view | 226 | |
| 3 | ping | 196 | |
| 4 | Net use | 193 | |
| 5 | type | 118 | |
| 6 | Net user | 74 | |
| 7 | Net localgroup | 35 | |
| 8 | Net group | 19 | |
| 9 | Net config | 16 | |
| 10 | Net share | 11 | |
| 11 | dsquery | 6 | |
| 12 | csvde | 5 | /f/q |
| 13 | nbtstat | 5 | -a |
| 14 | Net session | 3 | |
| 15 | nltest | 3 | /dclist |
| 16 | wevtutil | 2 |
表3
| 顺序 | 命令 | 执行次数 | 选项 |
| 1 | at | 98 | |
| 2 | reg | 29 | Add export query |
| 3 | wmic | 24 | |
| 4 | Netsh advfirewall | 4 | |
| 5 | sc | 4 | Qc query |
| 6 | wusa | 2 |
第二种规则为:将电子设备操作过的文件记录到预设的操作文件列表中,将与操作文件列表中的文件存在预设关联关系的文件记录到预设的可疑文件列表中,通过监测操作文件列表以及可疑文件列表中的文件来确定是否生成入侵报警信号(也叫文件入侵报警信号)。例如,当监测到可疑文件列表中的文件被执行时,生成文件入侵报警信号。该规则也可以称作污点追踪技术,主要思想在于:持续监测并追踪与电子设备有关的所有文件,并在发现可疑情况时报警。
例如,可以监视文件的创建、修改、删除等各类操作,将这些文件全部作为电子设备操作过的文件记录到预设的操作文件列表中。由此可见,操作文件列表用于记录电子设备直接操作过的所有文件,操作类型包括多种类型。另外,进一步确定与操作文件列表中的文件存在预设关联关系的文件。其中,存在预设关联关系的文件包括但不限于:与操作文件列表中的文件存在捆绑关系的文件。举例而言,若电子设备在创建文件A的同时,进一步创建了文件A的捆绑文件A’,相应地,将文件A记录到操作文件列表中,将文件A’记录到可疑文件列表中。并且,在后续过程中,持续针对操作文件列表以及可疑文件列表进行监测。一旦监测到可疑文件列表中的文件被执行则立刻报警。也就是说,操作文件列表中的文件时电子设备直接操作的文件,而可疑文件列表中的文件则是电子设备尚未操作或尚未直接操作(可能间接操作或隐含操作)的文件。将这两类文件分别存储在不同的列表中,便于根据每种文件的特点分别为其设定不同的监测方式及报警方式。例如,电子设备之所以要创建捆绑文件,其目的往往是为了规避针对操作文件列表的监测操作,通常,捆绑文件不出现在桌面系统中,并非真实的文件,只在内存中存在,因此,具有更强的隐蔽性,但是,一旦该类文件得以执行则会对系统造成危害。为此,在本实施例中将捆绑文件、隐藏文件等关联文件单独存储到可疑文件列表中,便于对该部分文件实施更强监控力度的监控,以防止其实施恶意行为。
除此之外,Windows型高交互性蜜罐还可以进一步监视进程的创建,并对可疑进程注入monitor.dll(用于监视进程的动态链接库),以跟踪进程行为。而且,还可以设置进程黑名单,例如,将非系统级进程全部列入进程黑名单中,对进程黑名单中的各个进程进行持续监测,一旦发现危险进程的创建操作则触发报警。另外,Windows型高交互性蜜罐还可以监视注册表操作,以便于发现危险行为。
另外,每个Windows型高交互性蜜罐还可以进行日志、报警信息的处理,并且,还可以实现与第一入侵检测模块或其他Windows型高交互性蜜罐之间的通信,以实现整个系统的联动处理。为此,无线接入模块进一步适于:将电子设备的设备接入信息与电子设备的设备标识关联存储;且第一入侵检测模块进一步适于:将电子设备的设备属性信息与电子设备的设备标识关联存储;则第二入侵检测模块进一步适于:当确定行为特征信息符合预设的报警行为规则时,获取并分析与该电子设备的设备标识关联存储的设备接入信息以及设备属性信息等。也就是说,在本系统中,每个模块针对电子设备获取到的相关信息(包括设备接入信息、设备属性信息以及行为特征信息等)都与该电子设备的设备标识关联存储,相应地,各个模块能够通过设备标识获取到与该设备标识关联存储的全部信息。即:每个模块不仅能够获取到自身确定的信息,还能够获取到其他模块确定的信息,从而实现信息的共享。相应地,第一入侵检测模块和/或第二入侵检测模块还可以进一步适于:根据电子设备的设备接入信息、设备属性信息和/或行为特征信息确定与电子设备相对应的用户标识以及用户特征信息,以便根据用户标识以及用户特征信息进行溯源。
由此可见,第一入侵检测模块和/或第二入侵检测模块主要用于给攻击者留下突破口,使攻击者有机会登录到系统中;然后,记录攻击者的系统活动,对危险行为进行报警,并捕获恶意行为所对应的样本,以便利用沙箱技术进行分析。
另外,本系统实质上利用了多层环来实现对入侵设备的全面监控,图3示出了本系统中的多层环的结构示意图。如图3所示,本系统从外到内共分为三层环,位于最外层的环3主要由无线接入模块构成,位于中间的环2主要由第一入侵检测模块构成,位于最内层的环1主要由第二入侵检测模块构成。网络传输模块介于环3与环2之间。由此可见,本系统通过多层环的设计方式诱使攻击者逐环渗入,并泄露更多的信息;并且,各环内收集到的信息可以联动查询。
另外,环2和环3中的第一入侵检测模块以及第二入侵检测模块均为安装有真实操作系统的虚拟机,以便于更好的收集信息。并且,为了防止入侵的电子设备识破蜜罐机制,虚拟机的指纹特征信息通过运行于系统层的预设程序插件进行管理;其中,指纹特征信息包括:网卡信息、注册表信息和/或键值信息等。其中,指纹特征信息属于环境特征信息的一种。并且,该程序插件运行于系统层,其运行权限大于电子设备中的其他进程的权限,因此,可以有效避免其他进程访问虚拟机的指纹特征信息。
具体实施时,为了对第一入侵检测模块以及第二入侵检测模块内部的虚拟化环境进行防护,以防止电子设备识破,第一入侵检测模块和/或第二入侵检测模块还可以进一步执行以下操作:当监测到用于访问虚拟化环境的环境特征信息的访问请求消息时,拦截该访问请求消息;确定与该访问请求消息相对应的访问结果数据,并确定访问结果数据的数据类型;查询与访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对该访问请求消息进行防护处理。
具体地,需要预先确定用于访问虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口(API),针对这些应用程序接口设置挂钩函数;其中,挂钩函数用于监测通过应用程序接口触发的访问请求消息。其中,虚拟化环境的环境特征信息包括与系统环境相关的所有特征,例如,包括上述的虚拟机的指纹特征信息。在确定用于访问虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口时,可以监测入侵虚拟化环境的电子设备针对虚拟化环境发出的访问行为,根据访问行为确定用于访问所述虚拟化环境的环境特征信息的访问请求消息。举例而言,由于入侵虚拟化环境的电子设备往往会有意识地获取虚拟化环境的环境特征信息,以便确定当前的系统环境是否为通过蜜罐技术实现的虚拟化环境,一旦电子设备发现当前的系统环境是通过蜜罐技术实现的虚拟化环境,则会离开当前环境。因此,通过监测电子设备的访问行为,能够确定电子设备常用于获取虚拟化环境的环境特征信息的访问请求消息所对应的API,并针对这些API进行监控。例如,在本实施例中,通过监测电子设备的访问行为发现,电子设备检测虚拟机时一般通过以下几种手段实现:检测执行环境中的特定CPU指令、检测执行环境中的特定注册表信息及配置信息、检测执行环境中的特定进程和服务、检测执行环境中的文件系统和特定硬件信息(MAC地址、硬盘)、检测执行环境中的内存特征、检测执行环境的配置(硬盘大小、内存大小、CPU核数等)。另外,由于本实施例中的入侵检测模块还可以通过沙盒实现,因此,通过监测电子设备的访问行为发现,电子设备检测沙盒时一般通过以下几种手段实现:检测执行环境中是否有特定的用户活动(比如鼠标移动,访问某个网址等)、Sleep一段时间再执行、循环延迟执行、检测挂钩Hook(包括:用户Hook、内核Hook等)、检测网络连通性、检测用户名称、只在特定日期执行、检测时间加速、结束分析工具执行、检测浏览器记录、运行程序、安装的程序等。并且,电子设备通常会利用多种手段的组合来实现虚拟机和沙箱的检测操作,为此,本实施例通过预先监测电子设备的上述操作,确定出上述操作所对应的访问请求消息及其对应的API,相应地,在该API处设置挂钩函数,以便截获并处理通过该API发送的访问请求消息。
针对截获到的访问请求消息,确定与该访问请求消息相对应的访问结果数据,并确定访问结果数据的数据类型;查询与访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对该访问请求消息进行防护处理。在本实施例中,预先将访问请求消息相对应的访问结果数据划分为第一类数据类型以及第二类数据类型。
其中,第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型。例如,无论是虚拟化环境还是非虚拟化环境,都需要具备网卡信息和注册表信息,因此,将该类信息所对应的访问结果数据作为第一类数据类型。由于该类型的数据是所有环境中都存在的,因此,必须向电子设备返回访问结果,否则会引起电子设备使用者的怀疑。对此,本实施例设置的与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与第一类数据类型的访问结果数据相对应的伪结果数据。也就是说,针对第一类数据类型的访问结果数据,预先确定该数据的数值是否会泄露虚拟化环境的特征,若是,则针对该数据设置对应的伪结果数据,并向电子设备返回对应的伪结果数据。例如,对于物理网卡而言,虽然虚拟化环境和非虚拟化环境都具备物理网卡,但是,两种环境中的网卡特征可能不同,对此,针对网卡的访问结果数据,为其设置相对应的伪结果数据(即与非虚拟化环境一致的数据),一旦电子设备请求网卡数据,则会收到对应的伪结果数据,以使电子设备无法识破虚拟化环境。
第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型。由于该类型的数据是仅存在于虚拟化环境中的,因此,一旦向电子设备返回对应的数据则会使电子设备识破虚拟化环境。为此,本实施例中设置的与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。也就是说,对于第二类数据类型所对应的访问请求消息不予返回响应结果,以使电子设备无法获取到用于识别虚拟化环境特征的数据。由此可见,本实施例中的虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。无论是哪种类型的虚拟化环境,都能够通过上述的两种策略实现防护。
除此之外,本实施例中还可以通过以下方式实现虚拟化环境的防护:(1)利用开源硬件虚拟化软件,源码编译去掉或修改虚拟机特定指纹信息,令电子设备中的恶意软件检测失效;(2)更改沙盒硬件配置使其更像一台真实的机器(可选的还可以通过Hook方式返回虚假配置信息);(3)正常配置系统,安装常用软件,以增加迷惑性;(4)模拟用户正常操作(鼠标点击,网络访问),以防止被电子设备识破;(5)适当增加检测时间;(6)Hook掉一些非正常操作(重启、关机);(7)针对Hook检测做相应的对抗;(8)通过其他能够规避检测的方式配置虚拟网络环境等。
由此可见,本系统中的第一入侵检测模块和第二入侵检测模块能够对虚拟化环境进行隐藏,以防止被电子设备识别出蜜罐环境,从而提升系统的可用性。
另外,本系统还能够根据各个模块收集到的信息实现黑客画像功能,以实现对攻击者的定位。相应地,该系统进一步执行以下操作:当检测到入侵无线网络的电子设备时,记录该电子设备的设备接入信息(即上述无线接入模块实现的功能);获取所述电子设备产生的网络流量信息,根据网络流量信息确定电子设备的设备属性信息以及与电子设备相对应的用户属性信息;将电子设备的设备接入信息、电子设备的设备属性信息以及与电子设备相对应的用户属性信息进行关联分析,根据分析结果确定与电子设备相对应的攻击用户信息;其中,攻击用户信息用于定位攻击者和/或检测电子设备的位置。其中,设备接入信息以及设备属性信息的具体内涵和获取方式均已在上文中予以描述,此处不再赘述。与电子设备相对应的用户属性信息主要是指与攻击者相关的个人行为信息,该部分信息既可以通过设备属性信息确定,也可以根据上文中提到的行为特征信息确定。在本实施例中,用户属性信息可以包括用户身份信息,例如包括:社交账号信息、攻击工具信息、远控木马的上线地址信息、以及后门的登录密码信息。也就是说,在本实施例中,可以将上文提到的设备属性信息中与用户行为相关的信息分离出来作为用户属性信息。
为了便于理解,下面以设备指纹类信息为例,列举几种常见的设备属性信息,具体包括:IP地址、地理位置、网络身份、设备指纹、操作系统、浏览器等。除此之外,设备属性信息还可以通过WebRTC(Web Real-Time Communication,网页实时通信)、UA(User Agent,用户代理)、绘图(Canvas)、分辨率(包括:尺寸、颜色16/24)、插件、时区、语言(language)、GPU(Graphics Processing Unit,图形处理器)、AudioContext等辅助确定。具体地,利用WebRTC协议能够获取内外网的IP地址,即使有VPN(Virtual Private Network,虚拟专用网络)也可以获取到。通过UA能够判断浏览器版本及操作系统版本。另外,绘制Canvas图片时,同样的Canvas绘制代码,在不同机器和浏览器中绘制的图片特征是相同并且独一无二的,基于这一特性,本发明只需提取最简单的CRC(Cyclic Redundancy Code,循环冗余校验)值便可以唯一标识和跟踪一个电子设备及其对应的用户。通过获取攻击者电子设备的分辨率作为辅助条件,能够更加准确地确定电子设备的唯一性。并且,通过获取攻击者电子设备的插件来判断攻击者安装的软件及作为辅助条件,能够更为准确地确定电子设备的唯一性。并且,通过获取攻击者电子设备的时区,能够判断攻击者所属的国家或地区,并作为辅助条件来确定电子设备的唯一性。通过获取攻击者电子设备的GPU型号,能够作为辅助条件来确定电子设备的唯一性。另外,关于上述提到的语言(即language),并不限定于当前浏览器所使用的语言,而是包括系统支持的所有语言,比如中文简体、中文繁体、英语。发明人在实现本发明的过程中发现,现有技术中并没有现成的调用接口来获取系统的语言信息,为了解决这一问题,本实施例中采取如下方式:要求电子设备的使用者在页面中用所有的语言写两个字,如果系统支持该语言,那么就能正常写出来;如果不支持,显示出来的就是方框,通过这种方法即可获取系统支持的语言,进而通过系统支持的语言辅助确定电子设备的唯一性以及电子设备使用者的身份信息。具体实施时,可以通过挂钩函数拦截电子设备发出的预设指令,并通过挂钩函数中设置的分别通过各种语言实现书写的操作逻辑确定系统支持的语言。由此可见,本实施例中的设备属性信息可以包括多种内容,并且,其中的部分信息还可以用于辅助确定用户属性信息。
下面介绍几种常见的用户属性信息:
首先,用户属性信息包括用户身份信息。例如,包括通过上文提到的方式获取到的用户账号信息。其中,用户账号信息包括用户在各大网站注册的账号及对应的密码信息。除用户账号信息外,还可以包括其他各类能够反映用户身份的信息。
其次,用户属性信息还包括用户行为信息,该用户行为信息主要用于确定攻击者的攻击工具及攻击手法。具体地,捕获攻击者使用的攻击工具及攻击手法,提取工具中的特征,如:URL、IP、样本的MD5、远控木马的上线地址、后门的登录密码等;通过上述特征来确定两个攻击者是否为同一个人,并且,还能够确定攻击者的等级。例如,同一个攻击者,其每次登陆后下载的样本是相同的,因此,样本的MD5必然也相同。并且,同一个攻击者,其远控木马的上线地址以及后门的登录密码必然也相同。相应地,通过上述信息即可唯一地确定一个攻击者。
在得到上述的设备接入信息、设备属性信息以及用户属性信息之后,将上述信息进行关联分析,根据分析结果确定与该电子设备相对应的攻击用户信息。所谓关联分析,是指根据设备标识将上述的各项信息关联到一起后进行分析。由于同一个用户的设备接入信息、设备属性信息以及用户属性信息所对应的设备标识均相同,因此,通过设备标识可以将同一个用户的各项信息相互关联,并将关联后得到的结果作为攻击用户信息。
接下来,在根据分析结果确定与电子设备相对应的攻击用户信息之后,进一步设置与攻击用户信息相对应的攻击用户标识,将攻击用户信息与攻击用户标识作为一条数据记录关联存储到预设的攻击用户列表中。这里,攻击用户标识与设备标识的区别在于:设备标识主要用于唯一地确定一个电子设备,因此,设备标识与电子设备的硬件特征相互关联,例如,一个电子设备的显卡、分辨率、网卡等硬件特征是不变的,因此,设备标识主要用于标识一个电子设备本身。然而,攻击用户标识主要用于唯一地确定一个攻击者,通常情况下,一个攻击者各次攻击时所使用的电子设备是相同的,因此,通常情况下,设备标识与攻击用户标识的作用可相互替代。但是,不排除某些特殊情况下,一个攻击者各次攻击时所使用的电子设备不同,此时,设备标识与攻击用户标识的内涵和作用则截然不同。通俗的说,攻击用户标识与攻击者的用户属性信息相互关联,例如,同一个攻击者的社交账号信息是不变的,且同一个攻击者的攻击手法和攻击工具是固定不变的,因此,攻击用户标识主要用于标识一个攻击者本身。
具体实施时,可以将设备接入信息以及设备属性信息作为与设备标识一一对应的信息,将用户属性信息作为与攻击用户标识一一对应的信息。相应地,通过本发明中的方式,不仅能够唯一地确定一个电子设备,还能够唯一地确定一个攻击者,从而既可以实现对电子设备的定位,还可以实现对攻击者的信息收集和查找。
相应地,在根据分析结果确定与电子设备相对应的攻击用户信息时,进一步查询该攻击用户列表中是否包含与分析结果相匹配的数据记录;若是,根据分析结果更新该数据记录。具体地,分别针对攻击用户列表中的每条数据记录,确定该数据记录中是否包含与分析结果中的信息项取值相同的信息项;若是,判断该取值相同的信息项的名称和/或数量是否符合预设匹配规则,若是,确定该数据记录与分析结果相匹配。通过该种方式即可通过攻击用户列表存储各个攻击者的信息,并针对攻击者进行定位和查询,从而提升系统的安全性。
综上可知,通过本发明提供的系统,能够诱使攻击者进入蜜罐,并暴露相关信息。系统中的各个模块以逐层递进的方式收集多方面的信息,并且,这些信息可以联动查询。该系统还支持通过短信或邮件等方式进行攻击告警。而且,还可以通过定位攻击者位置以及制止攻击行为等方式实现应急处理。除此之外,该系统还能够通过查看攻击日志实现溯源、取证分析等目的。
另外,本实施例中的系统的第二入侵检测模块是以Windows型高交互性蜜罐为例进行介绍的,实质上,该系统中的第二入侵检测模块还可以是Linux型高交互性蜜罐。另外,系统中的各个模块可以运行于同一台硬件设备上,相应地,该系统中的各个模块也可以合并为更少的模块(例如合并为一个模块),或拆分为更多的模块,本发明对该系统的具体实现方式不做限定。
综上可知,本发明中的虚拟化环境的防护方法可由上述系统中的第一入侵检测模块和/或第二入侵检测模块实现。相应地,关于本发明中的虚拟化环境的防护方法中的具体细节可参照上述系统中相应部分的描述。
图4示出了本发明另一个实施例提供的一种虚拟化环境的防护装置的结构示意图,如图4所示,该装置包括:
拦截模块41,适于当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定模块42,适于确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
防护模块43,适于查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理。
可选地,所述访问结果数据的数据类型包括:第一类数据类型和/或第二类数据类型;
其中,与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与所述第一类数据类型的访问结果数据相对应的伪结果数据;
与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。
可选地,所述第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型;
所述第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型;
其中,所述虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。
可选地,所述拦截模块进一步适于:
预先确定用于访问所述虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口,针对所述应用程序接口设置挂钩函数;
其中,所述挂钩函数用于监测通过所述应用程序接口触发的访问请求消息。
可选地,所述拦截模块具体适于:
监测入侵所述虚拟化环境的电子设备针对所述虚拟化环境发出的访问行为,根据所述访问行为确定所述用于访问所述虚拟化环境的环境特征信息的访问请求消息。
可选地,所述环境特征信息包括以下中的至少一个:物理网卡信息、注册表信息、以及驱动信息。
其中,该装置可由上述系统中的第一入侵检测模块和/或第二入侵检测模块实现。
根据本发明一个实施例提供了一种非易失性计算机存储介质,所述计算机存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的虚拟化环境的防护方法。
图5示出了根据本发明一个实施例提供的电子设备的结构示意图,本发明具体实施例并不对电子设备的具体实现做限定。
如图5所示,该电子设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述性能测试方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行以下操作:
当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理。
其中,所述访问结果数据的数据类型包括:第一类数据类型和/或第二类数据类型;
其中,与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与所述第一类数据类型的访问结果数据相对应的伪结果数据;
与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。
其中,所述第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型;
所述第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型;
其中,所述虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。
程序510具体可以用于使得处理器502执行以下操作:预先确定用于访问所述虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口,针对所述应用程序接口设置挂钩函数;
其中,所述挂钩函数用于监测通过所述应用程序接口触发的访问请求消息。
程序510具体可以用于使得处理器502执行以下操作:监测入侵所述虚拟化环境的电子设备针对所述虚拟化环境发出的访问行为,根据所述访问行为确定所述用于访问所述虚拟化环境的环境特征信息的访问请求消息。
其中,所述环境特征信息包括以下中的至少一个:物理网卡信息、注册表信息、以及驱动信息。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (14)
1.一种虚拟化环境的防护方法,包括:
当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理;
其中,所述访问结果数据的数据类型包括:第一类数据类型和第二类数据类型;所述第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型;与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。
2.根据权利要求1所述的方法,其中,
与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与所述第一类数据类型的访问结果数据相对应的伪结果数据。
3.根据权利要求2所述的方法,所述第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型;
其中,所述虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。
4.根据权利要求1-3任一所述的方法,其中,所述方法执行之前,进一步包括步骤:
预先确定用于访问所述虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口,针对所述应用程序接口设置挂钩函数;
其中,所述挂钩函数用于监测通过所述应用程序接口触发的访问请求消息。
5.根据权利要求4所述的方法,其中,所述预先确定用于访问所述虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口的步骤具体包括:
监测入侵所述虚拟化环境的电子设备针对所述虚拟化环境发出的访问行为,根据所述访问行为确定所述用于访问所述虚拟化环境的环境特征信息的访问请求消息。
6.根据权利要求1所述的方法,其中,所述环境特征信息包括以下中的至少一个:物理网卡信息、注册表信息、以及驱动信息。
7.一种虚拟化环境的防护装置,包括:
拦截模块,适于当监测到用于访问所述虚拟化环境的环境特征信息的访问请求消息时,拦截所述访问请求消息;
确定模块,适于确定与所述访问请求消息相对应的访问结果数据,并确定所述访问结果数据的数据类型;
防护模块,适于查询与所述访问结果数据的数据类型相匹配的防护策略,根据查询到的防护策略对所述访问请求消息进行防护处理;
其中,所述访问结果数据的数据类型包括:第一类数据类型和第二类数据类型;所述第二类数据类型包括:在虚拟化环境中具备、且在非虚拟化环境中不具备的数据所对应的类型;与第二类数据类型相匹配的防护策略包括:当拦截到针对第二类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回空消息。
8.根据权利要求7所述的装置,其中,与第一类数据类型相匹配的防护策略包括:预先针对第一类数据类型的访问结果数据设置对应的伪结果数据,当拦截到针对第一类数据类型的访问结果数据发出的访问请求消息时,针对该访问请求消息返回与所述第一类数据类型的访问结果数据相对应的伪结果数据。
9.根据权利要求8所述的装置,其中,所述第一类数据类型包括:在虚拟化环境中以及非虚拟化环境中同时具备的数据所对应的类型;
其中,所述虚拟化环境包括:由虚拟机构造的虚拟化环境、和/或由沙箱构造的虚拟化环境。
10.根据权利要求7-9任一所述的装置,其中,所述拦截模块进一步适于:
预先确定用于访问所述虚拟化环境的环境特征信息的访问请求消息所对应的应用程序接口,针对所述应用程序接口设置挂钩函数;
其中,所述挂钩函数用于监测通过所述应用程序接口触发的访问请求消息。
11.根据权利要求10所述的装置,其中,所述拦截模块具体适于:
监测入侵所述虚拟化环境的电子设备针对所述虚拟化环境发出的访问行为,根据所述访问行为确定所述用于访问所述虚拟化环境的环境特征信息的访问请求消息。
12.根据权利要求7所述的装置,其中,所述环境特征信息包括以下中的至少一个:物理网卡信息、注册表信息、以及驱动信息。
13.一种电子设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-6中任一项所述的虚拟化环境的防护方法对应的操作。
14.一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-6中任一项所述的虚拟化环境的防护方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710940390.4A CN107566401B (zh) | 2017-09-30 | 2017-09-30 | 虚拟化环境的防护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710940390.4A CN107566401B (zh) | 2017-09-30 | 2017-09-30 | 虚拟化环境的防护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107566401A CN107566401A (zh) | 2018-01-09 |
| CN107566401B true CN107566401B (zh) | 2021-01-08 |
Family
ID=60984449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710940390.4A Active CN107566401B (zh) | 2017-09-30 | 2017-09-30 | 虚拟化环境的防护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566401B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110198300B (zh) * | 2019-03-13 | 2022-01-14 | 腾讯科技(深圳)有限公司 | 一种蜜罐操作系统指纹隐蔽方法及装置 |
| CN110351237B (zh) * | 2019-05-23 | 2020-07-10 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110427785B (zh) * | 2019-07-23 | 2023-07-14 | 腾讯科技(深圳)有限公司 | 设备指纹的获取方法和装置、存储介质及电子装置 |
| CN111490996B (zh) * | 2020-06-24 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
| CN114465748B (zh) * | 2021-09-28 | 2022-10-11 | 北京卫达信息技术有限公司 | 基于多诱饵动态协同的攻击诱捕方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN105978911A (zh) * | 2016-07-15 | 2016-09-28 | 江苏博智软件科技有限公司 | 基于虚拟执行技术的恶意代码检测方法及装置 |
| CN106650423A (zh) * | 2016-11-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
| CN106778257A (zh) * | 2016-12-08 | 2017-05-31 | 北京国电通网络技术有限公司 | 一种虚拟机防逃逸装置 |
-
2017
- 2017-09-30 CN CN201710940390.4A patent/CN107566401B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104766011A (zh) * | 2015-03-26 | 2015-07-08 | 国家电网公司 | 基于主机特征的沙箱检测告警方法和系统 |
| CN105978911A (zh) * | 2016-07-15 | 2016-09-28 | 江苏博智软件科技有限公司 | 基于虚拟执行技术的恶意代码检测方法及装置 |
| CN106650423A (zh) * | 2016-11-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
| CN106778257A (zh) * | 2016-12-08 | 2017-05-31 | 北京国电通网络技术有限公司 | 一种虚拟机防逃逸装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107566401A (zh) | 2018-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN109067815B (zh) | 攻击事件溯源分析方法、系统、用户设备及存储介质 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US20130232576A1 (en) | Systems and methods for cyber-threat detection | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN108134761B (zh) | 一种apt检测系统及装置 | |
| CN107579997A (zh) | 无线网络入侵检测系统 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| CN108234480B (zh) | 入侵检测方法及装置 | |
| CN107515778B (zh) | 一种基于上下文感知的起源追踪方法及系统 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| CN107509200A (zh) | 基于无线网络入侵的设备定位方法及装置 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN112583841B (zh) | 虚拟机安全防护方法及系统、电子设备和存储介质 | |
| CN107517226B (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |