CN109257326A - 防御数据流攻击的方法、装置和存储介质及电子设备 - Google Patents
防御数据流攻击的方法、装置和存储介质及电子设备 Download PDFInfo
- Publication number
- CN109257326A CN109257326A CN201710576356.3A CN201710576356A CN109257326A CN 109257326 A CN109257326 A CN 109257326A CN 201710576356 A CN201710576356 A CN 201710576356A CN 109257326 A CN109257326 A CN 109257326A
- Authority
- CN
- China
- Prior art keywords
- data flow
- attack
- attack data
- honey jar
- threat level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开涉及一种防御数据流攻击的方法、装置和存储介质及电子设备,可以通过终端获取数据流以及全网安全规则,并根据全网安全规则从数据流中确定攻击数据流,且对该攻击数据流进行威胁标记生成威胁标识,该威胁标识表示该攻击数据流对应的威胁等级,将攻击数据流发送至蜜罐服务端,以便该蜜罐服务端根据该威胁标识表示的威胁等级对该攻击数据流进行诱骗处理,这样,终端将攻击数据流发送至蜜罐服务端,并由蜜罐服务端对攻击数据流进行诱骗处理,从而降低了对终端资源的占用,提高了终端对数据处理的效率。
Description
技术领域
本公开涉及通信领域,具体地,涉及一种防御数据流攻击的方法、装置和存储介质及电子设备。
背景技术
随着物联网、云计算和大数据等信息技术的快速发展,工业制造业也逐渐打破了以往的封闭性,将工控终端与信息技术进行深度融合,从而呈现出网络化和智能化等特征,但是,基于信息技术使得工控终端提高生产力和增强创新性的同时,也出现了严峻的网络安全问题,目前,对工控网络的攻击主要有以下两类:一类是窃取工控信息,另一类是破坏工控网络的运行,这样,造成工业制造业企业出现巨大损失。
蜜罐技术作为一种主动防御的网络诱捕技术,可以在计算机等终端上直接部署蜜罐,从而在攻击数据流对该计算机进行攻击时,该蜜罐可以直接对该攻击数据流进行诱骗,以实现对该攻击数据流进行长时间地监视、检测、分析和预警,这样,保证了网络可以处于安全状态,但是,由于工控终端的资源有限,从而使得工控终端的处理能力受到限制,因此,若在该工控终端上直接配置蜜罐,蜜罐占用大量资源,从而降低了工控终端的运行速度,进而降低了工控终端对数据处理的效率。
发明内容
本公开的目的是提供一种设备,该设备为一种防御数据流攻击的方法、装置和存储介质及电子设备。
为了实现上述目的,根据本公开的第一方面,提供一种防御数据流攻击的方法,应用于终端,该方法包括:获取数据流以及全网安全规则;根据全网安全规则从数据流中确定攻击数据流;对所述攻击数据流进行威胁标记生成威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;将所述攻击数据流发送至蜜罐服务端,以便所述蜜罐服务端根据所述威胁标识表示的威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述蜜罐服务端包括蜜罐服务器,所述将攻击数据流发送至蜜罐服务端包括:将所述攻击数据流重定向至所述蜜罐服务器,以便所述蜜罐服务器根据所述攻击数据流中的威胁标识确定所述攻击数据流对应的威胁等级,并根据所述威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述蜜罐服务端包括蜜罐装置,所述将所述攻击数据流发送至蜜罐服务端包括:将所述攻击数据流重定向至所述蜜罐装置,以便所述蜜罐装置根据所述攻击数据流中的威胁标识确定所述攻击数据流对应的威胁等级,并根据所述威胁等级对所述攻击数据流中的第一攻击数据流进行诱骗处理,且将所述攻击数据流中的第二攻击数据流发送至所述蜜罐服务器,以便所述蜜罐服务器对所述第二攻击数据流进行诱骗处理,所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,所述获取全网安全规则包括:接收所述蜜罐服务器发送的全网安全规则。
根据本公开的第二方面,提供一种防御数据流攻击的方法,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐服务器,所述方法包括:接收发送端发送的攻击数据流;其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;根据所述威胁标识确定所述攻击数据流对应的威胁等级;根据所述威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述发送端包括终端或者蜜罐装置。
可选地,在所述发送端包括蜜罐装置时,所述攻击数据流包括第一攻击数据流中的剩余数据流,以及第二攻击数据流;所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流,所述剩余数据流包括所述第一攻击数据流中除所述蜜罐装置已处理的攻击数据流外的攻击数据流,所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,所述威胁等级包括高威胁等级或者低威胁等级,所述根据所述威胁等级对所述攻击数据流进行诱骗处理包括:在所述威胁等级为高威胁等级时,通过高交互蜜罐对所述攻击数据流进行诱骗处理;在所述威胁等级为低威胁等级时,通过低交互蜜罐对所述攻击数据流进行诱骗处理。
可选地,在所述接收发送端发送的攻击数据流后,所述方法还包括:在所述蜜罐装置通过提取所述攻击数据流的数据特征信息生成网内安全规则后,接收所述蜜罐装置发送的网内安全规则,并根据所述网内安全规则对全网安全规则进行更新得到新的全网安全规则;将所述新的全网安全规则发送至所述蜜罐装置,以便所述蜜罐装置将所述全网安全规则发送至所述终端,使得所述终端根据所述新的全网安全规则从数据流中确定攻击数据流。
根据本公开的第三方面,提供一种防御数据流攻击的方法,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐装置,所述方法包括:接收终端发送的攻击数据流;其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;根据所述威胁标识确定所述攻击数据流对应的威胁等级,所述威胁等级包括高威胁等级或者低威胁等级;对所述攻击数据流中的第一攻击数据流进行诱骗处理;所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;将所述攻击数据流中的第二攻击数据流发送至蜜罐服务器,以便所述蜜罐服务器对所述第二攻击数据流进行诱骗处理;所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,在所述对所述攻击数据流中的第一攻击数据流进行诱骗处理前,所述方法还包括:确定所述蜜罐装置包括的交互蜜罐,所述交互蜜罐包括用于处理低威胁等级的攻击数据流的低交互蜜罐和用于处理高威胁等级的攻击数据流的高交互蜜罐;所述对所述攻击数据流中的第一攻击数据流进行诱骗处理包括:在所述蜜罐装置包括低交互蜜罐时,通过所述低交互蜜罐对低威胁等级的第一攻击数据流进行诱骗处理;在所述蜜罐装置包括高交互蜜罐时,通过所述高交互蜜罐对高威胁等级的第一攻击数据流进行诱骗处理。
可选地,在对所述攻击数据流中的第一攻击数据流进行诱骗处理后,所述方法还包括:确定所述第一攻击数据流中所述蜜罐装置已处理的数据流的处理数量;在所述处理数量达到预设数量时,将所述第一攻击数据流中除所述已处理的数据流外的剩余数据流重定向至蜜罐服务器,以便所述蜜罐服务器对所述剩余数据流进行诱骗处理。
可选地,在接收终端发送的攻击数据流后,所述方法还包括:提取所述攻击数据流中的数据特征信息;根据所述数据特征信息生成网内安全规则;将所述网内安全规则发送至蜜罐服务器,以便所述蜜罐服务器根据所述网内安全规则对全网安全规则进行更新得到新的全网安全规则,并将所述新的全网安全规则发送至所述蜜罐装置;将所述新的全网安全规则发送至终端,以便所述终端根据所述新的全网安全规则从数据流中确定攻击数据流。
根据本公开的第四方面,提供一种防御数据流攻击的装置,应用于终端,所述装置包括:第一获取模块,用于获取数据流;第二获取模块,用于获取全网安全规则;第一确定模块,用于根据所述全网安全规则从所述数据流中确定攻击数据流;标记模块,用于对所述攻击数据流进行威胁标记生成威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;第一发送模块,用于将所述攻击数据流发送至蜜罐服务端,以便所述蜜罐服务端根据所述威胁标识表示的威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述蜜罐服务端包括蜜罐服务器,所述第一发送模块,用于将所述攻击数据流重定向至所述蜜罐服务器,以便所述蜜罐服务器根据所述攻击数据流中的威胁标识确定所述攻击数据流对应的威胁等级,并根据所述威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述蜜罐服务端包括蜜罐装置,所述第一发送模块,用于将所述攻击数据流重定向至所述蜜罐装置,以便所述蜜罐装置根据所述攻击数据流中的威胁标识确定所述攻击数据流对应的威胁等级,并根据所述威胁等级对所述攻击数据流中的第一攻击数据流进行诱骗处理,且将所述攻击数据流中的第二攻击数据流发送至所述蜜罐服务器,以便所述蜜罐服务器对所述第二攻击数据流进行诱骗处理,所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,所述第二获取模块,用于接收所述蜜罐服务器发送的全网安全规则。
根据本公开的第五方面,提供一种防御数据流攻击的装置,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐服务器,所述装置包括:第一接收模块,用于接收发送端发送的攻击数据流;其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;第二确定模块,用于根据所述威胁标识确定所述攻击数据流对应的威胁等级;第一处理模块,用于根据所述威胁等级对所述攻击数据流进行诱骗处理。
可选地,所述发送端包括终端或者蜜罐装置。
可选地,在所述发送端包括蜜罐装置时,所述攻击数据流包括第一攻击数据流中的剩余数据流,以及第二攻击数据流;
所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流,所述剩余数据流包括所述第一攻击数据流中除所述蜜罐装置已处理的攻击数据流外的攻击数据流,所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,所述威胁等级包括高威胁等级或者低威胁等级,所述第一处理模块用于在所述威胁等级为高威胁等级时,通过高交互蜜罐对所述攻击数据流进行诱骗处理;在所述威胁等级为低威胁等级时,通过低交互蜜罐对所述攻击数据流进行诱骗处理。
可选地,所述装置还包括:第二接收模块,用于在所述蜜罐装置通过提取所述攻击数据流的数据特征信息生成网内安全规则后,接收所述蜜罐装置发送的网内安全规则;更新模块,用于根据所述网内安全规则对全网安全规则进行更新得到新的全网安全规则;第二发送模块,用于将所述新的全网安全规则发送至所述蜜罐装置,以便所述蜜罐装置将所述全网安全规则发送至所述终端,使得所述终端根据所述新的全网安全规则从数据流中确定攻击数据流。
根据本公开的第六方面,提供一种防御数据流攻击的装置,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐装置,所述装置包括:第三接收模块,用于接收终端发送的攻击数据流,其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;第三确定模块,用于根据所述威胁标识确定所述攻击数据流对应的威胁等级,所述威胁等级包括高威胁等级或者低威胁等级;第二处理模块,用于对所述攻击数据流中的第一攻击数据流进行诱骗处理;所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;第三发送模块,用于将所述攻击数据流中的第二攻击数据流发送至蜜罐服务器,以便所述蜜罐服务器对所述第二攻击数据流进行诱骗处理;所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
可选地,所述装置还包括:第四确定模块,用于确定所述蜜罐装置包括的交互蜜罐,所述交互蜜罐包括用于处理低威胁等级的攻击数据流的低交互蜜罐和用于处理高威胁等级的攻击数据流的高交互蜜罐;所述第二处理模块,用于在所述蜜罐装置包括低交互蜜罐时,通过所述低交互蜜罐对低威胁等级的第一攻击数据流进行诱骗处理;在所述蜜罐装置包括高交互蜜罐时,通过所述高交互蜜罐对高威胁等级的第一攻击数据流进行诱骗处理。
可选地,所述装置还包括:第五确定模块,用于确定所述第一攻击数据流中所述蜜罐装置已处理的数据流的处理数量;第四发送模块,用于在所述处理数量达到预设数量时,将所述第一攻击数据流中除所述已处理的数据流外的剩余数据流重定向至蜜罐服务器,以便所述蜜罐服务器对所述剩余数据流进行诱骗处理。
可选地,所述装置还包括:提取模块,用于提取所述攻击数据流中的数据特征信息;生成模块,用于根据所述数据特征信息生成网内安全规则;第五发送模块,用于将所述网内安全规则发送至蜜罐服务器,以便所述蜜罐服务器根据所述网内安全规则对全网安全规则进行更新得到新的全网安全规则,并将所述新的全网安全规则发送至所述蜜罐装置;第六发送模块,用于将所述新的全网安全规则发送至终端,以便所述终端根据所述新的全网安全规则从数据流中确定攻击数据流。
根据本公开的第七方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面所述方法的步骤。
根据本公开的第八方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第二方面所述方法的步骤。
根据本公开的第九方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第三方面所述方法的步骤。
根据本公开的第十方面,提供一种电子设备,包括:上述第七方面中所述的计算机可读存储介质;以及一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
根据本公开的十一方面,提供一种电子设备,包括:上述第八方面中所述的计算机可读存储介质;以及一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
根据本公开的十二方面,提供一种电子设备,包括:上述第九方面中所述的计算机可读存储介质;以及一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
在上述技术方案中,通过终端获取数据流以及全网安全规则,并根据全网安全规则从数据流中确定攻击数据流,且对该攻击数据流进行威胁标记生成威胁标识,该威胁标识表示该攻击数据流对应的威胁等级,将攻击数据流发送至蜜罐服务端,以便蜜罐服务端根据该威胁标识表示的威胁等级对该攻击数据流进行诱骗处理,这样,终端将攻击数据流发送至蜜罐服务端,并由蜜罐服务端对攻击数据流进行诱骗处理,从而降低了对终端资源的占用,提高了终端对数据处理的效率。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是根据本公开的第一种实施方式提供的防御数据流攻击的方法的流程图;
图2是根据本公开的第二种实施方式提供的防御数据流攻击的方法的流程图;
图3是根据本公开的第三种实施方式提供的防御数据流攻击的方法的流程图;
图4是根据本公开的第四种实施方式提供的防御数据流攻击的方法的流程图;
图5是根据本公开的实施例示出的一种防御数据流攻击的系统的结构图;
图6是根据本公开的第五种实施方式提供的防御数据流攻击的方法的流程图;
图7是根据本公开的实施例示出的另一种防御数据流攻击的系统的结构图;
图8是根据本公开的第一种实施方式提供的防御数据流攻击的装置的框图;
图9是根据本公开的第二种实施方式提供的防御数据流攻击的装置的框图;
图10是根据本公开的第三种实施方式提供的防御数据流攻击的装置的框图;
图11是根据本公开的第四种实施方式提供的防御数据流攻击的装置的框图;
图12是根据本公开的第五种实施方式提供的防御数据流攻击的装置的框图;
图13是根据本公开的第六种实施方式提供的防御数据流攻击的装置的框图;
图14是根据本公开的第七种实施方式提供的防御数据流攻击的装置的框图;
图15是根据一示例性实施例示出的一种电子设备的框图;
图16是根据一示例性实施例示出的又一种电子设备的框图;
图17是根据一示例性实施例示出的再一种电子设备的框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
首先,对本公开的应用场景进行说明,本公开可以应用在工控网络中,通过蜜罐技术防御数据流攻击,其中,蜜罐技术可以通过利用真实或模拟的漏洞等引诱攻击数据流进行进攻,从而保证网络处于安全状态,其中,该蜜罐可以是在终端上设置的陷阱程序(如该陷阱程序可以是模拟的系统漏洞),这样,在该陷阱程序引诱攻击数据流进行扫描或者攻击时,可以激活报警及控制决策树以进行报警。
但是,由于工控终端的资源有限,从而使得工控终端的处理能力受到限制,因此,若在该工控终端上直接配置蜜罐,该蜜罐占用大量资源,从而降低了工控终端的运行速度,进而降低了工控终端对数据处理的效率,本公开通过终端将攻击数据流发送至蜜罐服务端,并由蜜罐服务端对攻击数据流进行诱骗处理,从而降低了对终端资源的占用,提高了终端对数据处理的效率。
以下对本公开的具体实施方式进行详细说明。
图1是本公开实施例提供的一种防御数据流攻击的方法,应用于终端,如图1所示,该方法包括:
S101、获取数据流以及全网安全规则。
其中,该全网安全规则可以包括该攻击数据流的数据特征的集合,该全网安全规则可以是预设的规则,也可以通过蜜罐服务器进行获取。
S102、根据该全网安全规则从该数据流中确定攻击数据流。
其中,该攻击数据流为攻击该终端的数据流,示例地,若该终端为工控终端(如总线工业电脑和可编程控制机等),该全网安全规则可以为:数据流发送的端口号为A、IP(Internet Protocol;网络之间互连的协议)地址为B和C、以及在预设时间内产生的流量达到预设阈值,这样,当该数据流满足上述全网安全规则中的任一条件时,可以确定该数据流为攻击该工控终端的攻击数据流,上述确定攻击数据流的方法只是举例说明,本公开对此不作限定。
S103、对该攻击数据流进行威胁标记生成威胁标识。
在本步骤中,该威胁标识用于表示该攻击数据流对应的威胁等级,在一种可能的实现方式中,可以根据该攻击数据流的攻击行为确定该威胁等级,示例地,若该攻击数据流对固定端口持续扫描攻击,则可确定该攻击数据流的威胁等级为低威胁等级;若该攻击数据流存在窃取该终端的数据、或者非法篡改该终端的文件等恶意行为,则可确定该攻击数据流的威胁等级为高威胁等级,上述示例只是举例说明,本公开对此不作限定。
S104、将该攻击数据流发送至蜜罐服务端,以便该蜜罐服务端根据该威胁标识表示的威胁等级对该攻击数据流进行诱骗处理。
其中,该蜜罐服务端可以包括蜜罐装置或者蜜罐服务器。
采用上述方法,通过终端将攻击数据流发送至蜜罐服务端,并由蜜罐服务端对攻击数据流进行诱骗处理,从而降低了对终端资源的占用,提高了终端对数据处理的效率。
图2是本公开实施例提供的一种防御数据流攻击的方法,应用于蜜罐服务端,该蜜罐服务端包括蜜罐服务器,如图2所示,该方法包括:
S201、接收发送端发送的攻击数据流。
其中,该攻击数据流为攻击该终端的数据流,该攻击数据流中包括威胁标识,且威胁标识表示该攻击数据流对应的威胁等级。
该发送端可以包括终端或者蜜罐装置,当该发送端为终端时,该终端可以直接将该攻击数据流重定向至蜜罐服务器;当该发送端为蜜罐装置时,在终端将该攻击数据流重定向至蜜罐装置后,蜜罐装置可根据该攻击数据流中包括的威胁标识确定该攻击数据流的威胁等级,并根据该威胁等级将该攻击数据流中的第一攻击数据流进行诱骗处理,并将剩余数据流和该攻击数据流中的第二攻击数据流发送至该蜜罐服务器,其中,该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流,该第二攻击数据流包括该攻击数据流中除该第一攻击数据流外的其他数据流,该剩余数据流包括该第一攻击数据流中除该蜜罐装置已处理的攻击数据流外的攻击数据流,这样,在后续步骤中,该蜜罐服务器可以将该剩余数据流和该攻击数据流中的第二攻击数据流进行诱骗处理,综上所述,在该发送端为蜜罐装置时,该攻击数据流可以是第二攻击数据流和剩余数据流。
S202、根据该威胁标识确定该攻击数据流对应的威胁等级。
在本步骤中,该威胁等级可以包括高威胁等级或者低威胁等级。
S203、根据该威胁等级对该攻击数据流进行诱骗处理。
采用上述方法,可以根据发送端发送的攻击数据流确定该攻击数据流对应的威胁等级,并利用蜜罐服务器的高计算能力根据该威胁等级对该攻击数据流进行诱骗处理,这样,降低了对终端资源的占用,提高了终端对数据处理的效率。
图3是本公开实施例提供的一种防御数据流攻击的方法,应用于蜜罐服务端,该蜜罐服务端包括蜜罐装置,如图3所示,该方法包括:
S301、接收终端发送的攻击数据流。
其中,该攻击数据流为攻击该终端的数据流,且该攻击数据流中包括威胁标识,该威胁标识用于表示该攻击数据流对应的威胁等级,该终端可以包括工控终端(如总线工业电脑和可编程控制机等)。
S302、根据该威胁标识确定该攻击数据流对应的威胁等级。
在本步骤中,该威胁等级包括高威胁等级或者低威胁等级。
S303、对该攻击数据流中的第一攻击数据流进行诱骗处理。
其中,该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流。
S304、将该攻击数据流中的第二攻击数据流发送至蜜罐服务器,以便该蜜罐服务器对该第二攻击数据流进行诱骗处理。
在本公开中,该第二攻击数据流可以包括该攻击数据流中除该第一攻击数据流外的其他数据流。
采用上述方法,该蜜罐装置可以将终端发送的攻击数据流中的第一攻击数据流进行诱骗处理,并将第二攻击数据流发送至蜜罐服务器,以使得蜜罐对该第二攻击数据流进行诱骗处理,这样,通过蜜罐装置和蜜罐服务器分别对第一攻击数据流和第二攻击数据流进行诱骗处理,减轻了蜜罐服务器的处理负担,且降低了对终端资源的占用,提高了终端对数据处理的效率。
图4是本公开实施例提供的一种防御数据流攻击的方法,该方法可以应用于一种防御数据流攻击的系统,在一种可能的实现方式中,该系统如图5所示,包括至少一个终端以及与该至少一个终端连接的蜜罐服务端,该蜜罐服务端可以包括蜜罐服务器,示例地,该终端可以包括网络适配器,以及分别与该网络适配器连接的规则配置器、规则数据捕获器以及数据重定向器,其中,该网络适配器,用于使终端能够适用于工业以太网、工业物联网等多种类型的组网方式;该规则配置器,用于接收蜜罐服务器发送的全网安全规则并存储该全网安全规则;规则数据捕获器,用于基于全网安全规则获取攻击终端的攻击数据流;数据重定向器,用于将获取的攻击数据流以加密隧道方式重定向至蜜罐服务器。
该蜜罐服务器包括:过滤器、分别与过滤器连接的业务分流器、报警及控制决策器,与该业务分流器连接的虚拟蜜罐集群,该虚拟蜜罐集群包括节点控制器和包括至少一个虚拟蜜罐的虚拟蜜罐池、以及与该虚拟蜜罐集群连接的日志收集群,日志收集群分别与报警及控制决策器和数据分析器连接,数据分析器与异常流量识别与规则处理器连接,其中,过滤器,用于负责过滤攻击数据流以获取从终端重定向的攻击数据流,以减轻蜜罐服务器的处理性能压力,降低蜜罐服务器被攻破的可能性;分流器,用于对过滤后的攻击数据流进行聚类,并利用分流技术将不同类型的攻击数据流分流到虚拟蜜罐集群;异常流量识别与规则处理器,用于采用特征检测与异常检测等技术获取攻击数据流的数据特征信息,并根据该数据特征信息生成网内安全规则;节点控制器,用于实时分配虚拟蜜罐集群中虚拟蜜罐的资源;至少一个虚拟蜜罐,用于对不同类型的攻击数据流分别进行诱骗处理并生成第一日志记录,该虚拟蜜罐可以包含低交互蜜罐和高交互蜜罐;日志收集器:用于收集第一日志记录;数据分析器,对日志收集器收集的第一日志记录进行分析,以进行攻击规则提取等工作,并将获取的攻击规则和网内安全规则进行聚合生成全网安全规则;报警及控制决策模块,用于实现及时高效的报警及自动化决策,方便管理人员采取相应的处理策略。
需要说明的是,上述防御数据流攻击的系统只是示例性说明,本公开对此不作限定。
如图4所示,本实施例以蜜罐服务端和终端之间的交互为例进行说明,其中,该蜜罐服务端包括蜜罐服务器,该方法包括:
S401、终端获取数据流。
在本步骤中,该终端可以包括工控终端(如总线工业电脑和可编程控制机等),上述示例只是举例说明,本公开对此不作限定。
S402、终端接收蜜罐服务器发送的全网安全规则。
在本公开中,该全网安全规则可以包括该攻击数据流的数据特征的集合,该全网安全规则可以是预设的规则,也可以是通过蜜罐服务器进行获取,其中,在通过蜜罐服务器进行获取的情况下,可以由蜜罐服务器中的异常流量识别与规则处理器采用特征检测与异常检测等技术获取攻击数据流的数据特征信息(如报文数和会话错误数等信息),并根据该数据特征信息生成网内安全规则,且通过蜜罐服务器中的日志收集器收集第一日志记录,该第一日志记录包括蜜罐服务器中的虚拟蜜罐上传的攻击日志,如攻击数据流的攻击时间和攻击类型等,这样,蜜罐服务器中的数据分析器可以对日志收集器收集的第一日志记录进行分析,以进行攻击规则提取等工作,从而可以将获取的攻击规则和网内安全规则进行聚合生成全网安全规则,并将生成的全网安全规则发送至该至少一个终端。
S403、终端根据该全网安全规则从该数据流中确定攻击数据流。
示例地,该攻击数据流为攻击该终端的数据流,若该终端为工控终端(如总线工业电脑和可编程控制机等),该全网安全规则可以为:数据流发送的端口号为A、IP(InternetProtocol;网络之间互连的协议)地址为B和C、以及在预设时间内产生的流量达到预设阈值,这样,若该数据流满足上述全网安全规则中的任一条件时,可以确定该数据流为攻击该工控终端的攻击数据流,上述确定攻击数据流的方法只是举例说明,本公开对此不作限定。
S404、终端对该攻击数据流进行威胁标记生成威胁标识。
在本公开中,该威胁标识表示该攻击数据流对应的威胁等级,在一种可能的实现方式中,可以根据攻击数据流的攻击行为确定该威胁等级,示例地,若该攻击数据流对固定端口持续扫描攻击,则可确定该攻击数据流的威胁等级为低威胁等级;若该攻击数据流存在窃取该终端的数据、或者非法篡改该终端的文件等恶意行为,则可确定该攻击数据流的威胁等级为高威胁等级,上述示例只是举例说明,本公开对此不作限定。
S405、终端将该攻击数据流重定向至蜜罐服务器。
S406、该蜜罐服务器在接收到终端发送的攻击数据流后,根据该攻击数据流中的威胁标识确定该攻击数据流对应的威胁等级。
其中,该威胁等级可以包括高威胁等级或者低威胁等级。
S407、该蜜罐服务器根据该威胁等级对该攻击数据流进行诱骗处理。
在本步骤中,在该威胁等级为高威胁等级时,通过高交互蜜罐对该攻击数据流进行诱骗处理;在该威胁等级为低威胁等级时,通过低交互蜜罐对该攻击数据流进行诱骗处理。
需要说明的是,本公开还可以对全网安全规则进行更新,在一种可能的实现方式中,该蜜罐服务器在接收到至少一个终端发送的当前攻击数据流时,可以根据蜜罐服务器中的异常流量识别与规则处理器采用特征检测与异常检测等技术提取该当前攻击数据流的数据特征信息(如报文数和会话错误数等信息),并根据该当前攻击数据流的数据特征信息生成新网内安全规则,并通过蜜罐服务器中的日志收集器收集关于该当前攻击数据流的第一日志记录,该第一日志记录包括蜜罐服务器中的虚拟蜜罐在处理该当前攻击数据流所上传的当前攻击日志,如当前攻击数据流攻击的时间和攻击的类型等,这样,蜜罐服务器中的数据分析器可以对日志收集器收集的关于该当前攻击数据流的第一日志记录进行分析,以进行新攻击规则提取等工作,从而可以根据获取的新攻击规则和新网内安全规则对全网安全规则进行更新得到新的全网安全规则,并将新的全网安全规则发送至终端,以便终端在后续可以根据新的全网安全规则从数据流中确定攻击数据流,这样,通过不断更新全网安全规则,提高了从数据流中确定攻击数据流的准确性。
采用上述方法,终端可以根据全网安全规则获取攻击数据流,并对该攻击数据流进行威胁标记,使得蜜罐服务器可以根据该攻击数据流对应的威胁等级进行诱骗处理,这样,降低了对终端资源的占用,提高了终端对数据处理的效率。
图6是本公开实施例提供的一种防御数据流攻击的方法,本实施例中蜜罐服务端是以蜜罐装置为例进行说明的,这样,能够通过蜜罐装置对部分攻击数据流进行处理,从而减轻蜜罐服务器的处理负担,提高数据处理的效率,因此,本实施例应用的系统相比于图5所示的系统,增加了一个蜜罐装置,示例地,该系统如图7所示,包括至少一个终端、至少一个蜜罐装置以及与该蜜罐装置连接的蜜罐服务器,每个蜜罐装置可以与多个终端连接,其中,终端的结构与图5中终端的结构相同,但是,在本实施例中,终端中的数据重定向器用于将获取的攻击数据流以加密隧道方式重定向至蜜罐装置,终端中的其他结构可以参考上述对图5的描述,在此不再赘述,而图5的蜜罐服务器中的异常流量识别与规则处理器可以设置到每个蜜罐装置中,从而由蜜罐装置通过采用特征检测与异常检测等技术获取与该蜜罐装置连接的多个终端中的攻击数据流的数据特征信息,并根据该数据特征信息生成网内安全规则,以下对蜜罐装置进行详细说明:
该蜜罐装置还包括网络适配器、与网络适配器连接的业务分流器、以及分别与业务分流器连接的异常流量识别与规则处理器、低交互蜜罐以及攻击数据重定向器,其中,该网络适配器,用于基于配置的网络适配功能,完成与该蜜罐装置连接的多个终端的组网,实现该蜜罐装置与该多个终端之间的通信,以及该蜜罐装置与该蜜罐服务器之间的通信;业务分流器,用于接收与该蜜罐装置连接的多个终端发送的攻击数据流,并确定攻击数据流的威胁等级,根据该攻击数据流的威胁等级将该攻击数据流发送至不同的处理单元(如蜜罐装置中的低交互蜜罐和蜜罐服务器中的虚拟蜜罐集群)以进行诱骗处理;交互蜜罐,用于接收业务分流器发送的攻击数据流中的第一攻击数据流,并对第一攻击数据流进行诱骗处理,生成第二日志记录,第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;攻击数据重定向器,用于将第二攻击数据流以及第一攻击数据流中除蜜罐装置已处理的数据流外的剩余数据流重定向至蜜罐服务器,第二攻击数据流包括攻击数据流中除第一攻击数据流外的其他数据流。
该蜜罐服务器的结构可以参考图5,不再赘述,其中,该日志收集器:用于收集第一日志记录和至少一个蜜罐装置生成的第二日志记录;数据分析器,对日志收集器收集的第一日志记录和至少一个蜜罐装置生成的第二日志记录进行分析,以进行攻击规则提取等工作,从而可以将该攻击规则和至少一个蜜罐装置生成的网内安全规则进行聚合生成全网安全规则。
需要说明的是,上述防御数据流攻击的系统只是示例性说明,本公开对此不作限定。
如图6所示,本实施例以终端和蜜罐服务端以及蜜罐服务器三者之间的交互为例进行说明,其中,该蜜罐服务端包括蜜罐装置,该方法包括:
S601、终端获取数据流。
在本步骤中,该终端可以包括工控终端(如总线工业电脑和可编程控制机等),上述示例只是举例说明,本公开对此不作限定。
S602、终端接收蜜罐装置发送的全网安全规则。
在本公开中,该全网安全规则可以包括该攻击数据流的数据特征的集合,该全网安全规则可以是预设的规则,也可以通过蜜罐服务器进行获取,其中,在通过蜜罐服务器进行获取的情况下,可以由蜜罐装置中的异常流量识别与规则处理器采用特征检测与异常检测等技术获取与该蜜罐装置连接的多个终端中的攻击数据流的数据特征信息(如报文数和会话错误数等信息),并根据该数据特征信息生成网内安全规则,为了防止网内安全规则被窃听或者被攻击,可以采用加密隧道方式将该网内安全规则按照预设周期传输至蜜罐服务器中的数据分析器,蜜罐服务器中的日志收集器收集第一日志记录和至少一个蜜罐装置生成的第二日志记录,该第一日志记录包括蜜罐服务器中的虚拟蜜罐上传的攻击日志,如攻击数据流的攻击时间和攻击类型等,该第二日志记录包括蜜罐装置中交互蜜罐上传的攻击日志,这样,数据分析器可以对日志收集器收集的第一日志记录和至少一个蜜罐装置生成的第二日志记录进行分析,以进行攻击规则提取等工作,从而可以将该攻击规则和至少一个蜜罐装置生成的网内安全规则进行聚合生成全网安全规则,并将该全网安全规则发送至该至少一个蜜罐装置,以便该至少一个蜜罐装置可以将该全网安全规则发送至与该至少一个蜜罐装置连接的多个终端。
S603、终端根据该全网安全规则从该数据流中确定攻击数据流。
其中,该攻击数据流为攻击该终端的数据流,示例地,若该终端为工控终端(如总线工业电脑和可编程控制机等),该全网安全规则为:数据流发送的端口号为A、IP(Internet Protocol;网络之间互连的协议)地址为B和C以及在预设时间内产生的流量达到预设阈值,这样,若该数据流满足上述全网安全规则中的任一条件时,可以确定该数据流为攻击该工控终端的攻击数据流,上述确定攻击数据流的方法只是举例说明,本公开对此不作限定。
S604、终端对该攻击数据流进行威胁标记生成威胁标识。
在本步骤中,该威胁标识表示该攻击数据流对应的威胁等级,在一种可能的实现方式中,可以根据攻击数据流的攻击行为确定该威胁等级,示例地,若该攻击数据流对固定端口持续扫描攻击,则可确定该攻击数据流的威胁等级为低威胁等级;若该攻击数据流存在窃取该终端的数据、或者非法篡改该终端的文件等恶意行为,则可确定该攻击数据流的威胁等级为高威胁等级,上述示例只是举例说明,本公开对此不作限定。
S605、终端将该攻击数据流重定向至该蜜罐装置。
S606、该蜜罐装置在接收到该终端发送的攻击数据流后,根据该攻击数据流中的威胁标识确定该攻击数据流对应的威胁等级。
其中,该威胁等级可以包括高威胁等级或者低威胁等级。
S607、该蜜罐装置确定该蜜罐装置包括的交互蜜罐。
在本公开中,该交互蜜罐包括用于处理低威胁等级的攻击数据流的低交互蜜罐和用于处理高威胁等级的攻击数据流的高交互蜜罐。
S608、该蜜罐装置对该攻击数据流中的第一攻击数据流进行诱骗处理。
其中,该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流。
在步骤S607中,若确定该蜜罐装置包括的交互蜜罐为低交互蜜罐,则该第一攻击数据流包括低威胁等级的攻击数据流,可以通过该低交互蜜罐对低威胁等级的第一攻击数据流进行诱骗处理;
在步骤S607中,若确定该蜜罐装置包括的交互蜜罐为高交互蜜罐,则该第一攻击数据流包括高威胁等级的攻击数据流,可以通过该高交互蜜罐对高威胁等级的第一攻击数据流进行诱骗处理。
需要说明的是,由于高交互蜜罐可以提供一个完全交互的真实的计算机系统(如个人电脑等),并允许攻击数据流获得对高交互蜜罐的完全访问权限,而低交互蜜罐是模拟计算机系统中的部分功能,因此,低交互蜜罐的功能固定、成本较低、处理速度较快,基于此,通常在该蜜罐装置中设置的是低交互蜜罐,这样,提高了蜜罐装置的处理速度。
S609、该蜜罐装置确定该第一攻击数据流中该蜜罐装置已处理的数据流的处理数量。
S610、该蜜罐装置确定该已处理的数据流的处理数量是否达到预设数量。
其中,该预设数量是根据该蜜罐装置的处理能力进行设置,若该蜜罐装置最多处理150个攻击数据流,则该预设数量即为150,上述示例只是举例说明,本公开对此不作限定。
在确定该已处理的数据流的处理数量达到该预设数量,执行步骤S611;
在确定该已处理的数据流的处理数量未达到该预设数量,返回步骤S609。
S611、该蜜罐装置将该第一攻击数据流中除该已处理的数据流外的剩余数据流重定向至蜜罐服务器。
S612、该蜜罐装置将该攻击数据流中的第二攻击数据流发送至蜜罐服务器。
其中,第二攻击数据流包括该攻击数据流中除该第一攻击数据流外的其他数据流。
为了缩短对该攻击数据流的处理时间,可以在步骤S608中该蜜罐装置对该攻击数据流中的第一攻击数据流进行诱骗处理的同时,将第二攻击数据流发送至蜜罐服务器,这样,基于负载均衡技术通过蜜罐装置和蜜罐服务器分别对该第一攻击数据流和该第二攻击数据流进行诱骗处理,缩短了对该攻击数据流的诱骗处理的时间,并且减轻了蜜罐服务器的处理负担,从而提升了该防御数据流攻击的系统的处理能力。
S613、该蜜罐服务器在接收到该蜜罐装置发送的第二攻击数据流和第一攻击数据流中除蜜罐装置已处理的数据流外的剩余数据流后,确定该第二攻击数据流和剩余数据流的威胁等级。
在本步骤中,可以获取该第二攻击数据流和该剩余数据流中包括的威胁标识,并根据该威胁标识确定该攻击数据流对应的威胁等级。
S614、该蜜罐服务器根据该威胁等级对该第二攻击数据流和剩余数据流进行诱骗处理。
在本步骤中,在该威胁等级为高威胁等级时,通过高交互蜜罐对该攻击数据流进行诱骗处理;在该威胁等级为低威胁等级时,通过低交互蜜罐对该攻击数据流进行诱骗处理。
需要说明的是,本公开还可以对全网安全规则进行更新,在一种可能的实现方式中,该蜜罐装置在接收到与该蜜罐装置连接的多个终端发送的当前攻击数据流时,可以根据蜜罐装置中的异常流量识别与规则处理器采用特征检测与异常检测等技术提取该当前攻击数据流的数据特征信息(如报文数和会话错误数等信息),并根据该当前攻击数据流的数据特征信息生成新网内安全规则,且将该新网内安全规则发送至蜜罐服务器,通过蜜罐服务器中的日志收集器收集关于该当前攻击数据流的第一日志记录和/或第二日志记录,该第一日志记录包括蜜罐服务器中的虚拟蜜罐在处理该当前攻击数据流所上传的当前攻击日志,该第二日志记录包括蜜罐装置中的交互蜜罐在处理该当前攻击数据流所上传的当前攻击日志,如当前攻击数据流攻击的时间和攻击的类型等,这样,蜜罐服务器中的数据分析器可以对日志收集器收集的关于该当前攻击数据流的第一日志记录和/或第二日志记录进行分析,以进行新攻击规则提取等工作,从而可以根据获取的新攻击规则和新网内安全规则对全网安全规则进行更新得到新的全网安全规则,并将新的全网安全规则发送至该至少一个蜜罐装置,该至少一个蜜罐装置将新的全网安全规则发送至与该至少一个蜜罐装置连接的多个终端,以便图5所示的系统中的所有终端在后续可以根据新的全网安全规则从数据流中确定攻击数据流,这样,通过不断更新全网安全规则,提高了从数据流中确定攻击数据流的准确性。
采用上述方法,基于终端、蜜罐装置和蜜罐服务器三者之间的交互,根据攻击数据流的威胁等级在该蜜罐装置和蜜罐服务器中分别进行诱骗处理,这样,通过蜜罐装置和蜜罐服务器分别对第一攻击数据流和第二攻击数据流进行诱骗处理,减轻了蜜罐服务器的处理负担,且降低了对终端资源的占用,提高了终端对数据处理的效率。
图8是示例性实施例示出的一种防御数据流攻击的装置,应用于终端,如图8所示,该装置包括:
第一获取模块801,用于获取数据流;
第二获取模块802,用于获取全网安全规则;
第一确定模块803,用于根据该全网安全规则从该数据流中确定攻击数据流;
标记模块804,用于对该攻击数据流进行威胁标记生成威胁标识,该威胁标识表示该攻击数据流对应的威胁等级;
第一发送模块805,用于将攻击数据流发送至蜜罐服务端,以便该蜜罐服务端根据该威胁标识表示的威胁等级对该攻击数据流进行诱骗处理。
可选地,该蜜罐服务端包括蜜罐服务器,该第一发送模块805,用于将该攻击数据流重定向至该蜜罐服务器,以便该蜜罐服务器根据该攻击数据流中的威胁标识确定该攻击数据流对应的威胁等级,并根据该威胁等级对该攻击数据流进行诱骗处理。
可选地,该蜜罐服务端包括蜜罐装置,该第一发送模块805,用于将该攻击数据流重定向至该蜜罐装置,以便该蜜罐装置根据该攻击数据流中的威胁标识确定该攻击数据流对应的威胁等级,并根据该威胁等级对该攻击数据流中的第一攻击数据流进行诱骗处理,且将该攻击数据流中的第二攻击数据流发送至该蜜罐服务器,以便该蜜罐服务器对该第二攻击数据流进行诱骗处理,该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;该第二攻击数据流包括该攻击数据流中除该第一攻击数据流外的其他数据流。
可选地,该第二获取模块802,用于接收该蜜罐服务器发送的全网安全规则。
采用上述装置,通过终端将攻击数据流发送至蜜罐服务端,并由蜜罐服务端对攻击数据流进行诱骗处理,从而降低了对终端资源的占用,提高了终端对数据处理的效率。
图9是示例性实施例示出的一种防御数据流攻击的装置,应用于蜜罐服务端,该蜜罐服务端包括蜜罐服务器,该装置包括:
第一接收模块901,用于接收发送端发送的攻击数据流;其中,该攻击数据流中包括威胁标识,该威胁标识表示该攻击数据流对应的威胁等级;
第二确定模块902,用于根据该威胁标识确定该攻击数据流对应的威胁等级;
第一处理模块903,用于根据该威胁等级对该攻击数据流进行诱骗处理。
可选地,该发送端包括终端或者蜜罐装置。
可选地,在该发送端包括蜜罐装置时,该攻击数据流包括第一攻击数据流中的剩余数据流,以及第二攻击数据流;该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流,该剩余数据流包括该第一攻击数据流中除该蜜罐装置已处理的攻击数据流外的攻击数据流,该第二攻击数据流包括该攻击数据流中除该第一攻击数据流外的其他数据流。
可选地,该威胁等级包括高威胁等级或者低威胁等级,该第一处理模块903,用于在该威胁等级为高威胁等级时,通过高交互蜜罐对该攻击数据流进行诱骗处理;在该威胁等级为低威胁等级时,通过低交互蜜罐对该攻击数据流进行诱骗处理。
图10是示例性实施例示出的一种防御数据流攻击的装置,如图10所示,该装置还包括:
第二接收模块904,用于在该蜜罐装置通过提取该攻击数据流的数据特征信息生成网内安全规则后,接收该蜜罐装置发送的网内安全规则;
更新模块905,用于根据该网内安全规则对全网安全规则进行更新得到新的全网安全规则;
第二发送模块906,用于将该新的全网安全规则发送至该蜜罐装置,以便该蜜罐装置将该全网安全规则发送至该终端,使得该终端根据该新的全网安全规则从数据流中确定攻击数据流。
采用上述装置,可以根据发送端发送的攻击数据流确定该攻击数据流对应的威胁等级,并利用蜜罐服务器的高计算能力根据该威胁等级对该攻击数据流进行诱骗处理,这样,降低了对终端资源的占用,提高了终端对数据处理的效率。
图11是示例性实施例示出的一种防御数据流攻击的装置,应用于蜜罐服务端,该蜜罐服务端包括蜜罐装置,如图11所示,该装置包括:
第三接收模块1101,用于接收终端发送的攻击数据流;其中,该攻击数据流中包括威胁标识,该威胁标识表示该攻击数据流对应的威胁等级;
第三确定模块1102,用于根据该威胁标识确定该攻击数据流对应的威胁等级,该威胁等级包括高威胁等级或者低威胁等级;
第二处理模块1103,用于对该攻击数据流中的第一攻击数据流进行诱骗处理;该第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;
第三发送模块1104,用于将该攻击数据流中的第二攻击数据流发送至蜜罐服务器,以便该蜜罐服务器对该第二攻击数据流进行诱骗处理;该第二攻击数据流包括该攻击数据流中除该第一攻击数据流外的其他数据流。
图12是示例性实施例示出的一种防御数据流攻击的装置,如图12所示,该装置还包括:
第四确定模块1105,用于确定该蜜罐装置包括的交互蜜罐,该交互蜜罐包括用于处理低威胁等级的攻击数据流的低交互蜜罐和用于处理高威胁等级的攻击数据流的高交互蜜罐;
该第二处理模块1103,用于在该蜜罐装置包括低交互蜜罐时,通过该低交互蜜罐对低威胁等级的第一攻击数据流进行诱骗处理;在该蜜罐装置包括高交互蜜罐时,通过该高交互蜜罐对高威胁等级的第一攻击数据流进行诱骗处理。
图13是示例性实施例示出的一种防御数据流攻击的装置,如图13所示,该装置包括:
第五确定模块1106,用于确定该第一攻击数据流中该蜜罐装置已处理的数据流的处理数量;
第四发送模块1107,用于在该处理数量达到预设数量时,将该第一攻击数据流中除该已处理的数据流外的剩余数据流重定向至蜜罐服务器,以便该蜜罐服务器对该剩余数据流进行诱骗处理。
图14是示例性实施例示出的一种防御数据流攻击的装置,如图14所示,该装置包括:
提取模块1108,用于提取该攻击数据流中的数据特征信息;
生成模块1109,用于根据该数据特征信息生成网内安全规则;
第五发送模块1110,用于将该网内安全规则发送至蜜罐服务器,以便该蜜罐服务器根据该网内安全规则对全网安全规则进行更新得到新的全网安全规则,并将该新的全网安全规则发送至该蜜罐装置;
第六发送模块1111,用于将该新的全网安全规则发送至终端,以便该终端根据该新的全网安全规则从数据流中确定攻击数据流。
采用上述装置,该蜜罐装置可以将终端发送的攻击数据流中的第一攻击数据流进行诱骗处理,并将第二攻击数据流发送至蜜罐服务器,以使得蜜罐对该第二攻击数据流进行诱骗处理,这样,通过蜜罐装置和蜜罐服务器分别对第一攻击数据流和第二攻击数据流进行诱骗处理,减轻了蜜罐服务器的处理负担,且降低了对终端资源的占用,提高了终端对数据处理的效率。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图15是根据一示例性实施例示出的一种电子设备1500的框图。如图15所示,该电子设备1500可以包括:处理器1501,存储器1502,多媒体组件1503,输入/输出(I/O)接口1504,以及通信组件1505。
其中,处理器1501用于控制该电子设备1500的整体操作,以完成上述图1提供的防御数据流攻击的方法中的全部或部分步骤。存储器1502用于存储各种类型的数据以支持在该电子设备1500的操作,这些数据例如可以包括用于在该电子设备1500上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器1502可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件1503可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1502或通过通信组件1505发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口1504为处理器1501和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件1505用于该电子设备1500与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件1505可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备1500可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(FieldProgrammable GateArray,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述图1所述的防御数据流攻击的方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,例如包括程序指令的存储器1502,上述程序指令可由电子设备1500的处理器1501执行以完成上述图1所述的防御数据流攻击的方法。
图16是根据一示例性实施例示出的一种电子设备1600的框图。例如,电子设备1600可以被提供为一服务器。参照图16,电子设备1600包括处理器1622,其数量可以为一个或多个,以及存储器1632,用于存储可由处理器1622执行的计算机程序。存储器1632中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器1622可以包括执行该计算机程序,以执行上述图2提供的防御数据流攻击的方法。
另外,电子设备1600还可以包括电源组件1626和通信组件1650,该电源组件1626可以包括执行电子设备1600的电源管理,该通信组件1650可以包括实现电子设备1600的通信,例如,有线或无线通信。此外,该电子设备1600还可以包括输入/输出(I/O)接口1658。电子设备1600可以操作基于存储在存储器1632的操作系统,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,例如包括程序指令的存储器1632,上述程序指令可由电子设备1600的处理器1622执行以完成上述图2所述的防御数据流攻击的方法。
图17是根据一示例性实施例示出的一种电子设备1700的框图。如图17所示,该电子设备1700可以包括:处理器1701,存储器1702,多媒体组件1703,输入/输出(I/O)接口1704,以及通信组件1705。
其中,处理器1701用于控制该电子设备1700的整体操作,以完成上述图3提供的防御数据流攻击的方法中的全部或部分步骤。存储器1702用于存储各种类型的数据以支持在该电子设备1700的操作,这些数据例如可以包括用于在该电子设备1700上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器1702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static RandomAccess Memory,简称SRAM),电可擦除可编程只读存储器(Electrically ErasableProgrammable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件1703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器1702或通过通信组件1705发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口1704为处理器1701和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件1705用于该电子设备1700与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件1705可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备1700可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(FieldProgrammable GateArray,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述图3所述的防御数据流攻击的方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,例如包括程序指令的存储器1702,上述程序指令可由电子设备1700的处理器1701执行以完成上述图3所述的防御数据流攻击的方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (10)
1.一种防御数据流攻击的方法,其特征在于,应用于终端,所述方法包括:
获取数据流以及全网安全规则;
根据所述全网安全规则从所述数据流中确定攻击数据流;
对所述攻击数据流进行威胁标记生成威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;
将所述攻击数据流发送至蜜罐服务端,以便所述蜜罐服务端根据所述威胁标识表示的威胁等级对所述攻击数据流进行诱骗处理。
2.一种防御数据流攻击的方法,其特征在于,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐服务器,所述方法包括:
接收发送端发送的攻击数据流;其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;
根据所述威胁标识确定所述攻击数据流对应的威胁等级;
根据所述威胁等级对所述攻击数据流进行诱骗处理。
3.一种防御数据流攻击的方法,其特征在于,应用于蜜罐服务端,所述蜜罐服务端包括蜜罐装置,所述方法包括:
接收终端发送的攻击数据流;其中,所述攻击数据流中包括威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;
根据所述威胁标识确定所述攻击数据流对应的威胁等级,所述威胁等级包括高威胁等级或者低威胁等级;
对所述攻击数据流中的第一攻击数据流进行诱骗处理;所述第一攻击数据流包括低威胁等级的攻击数据流或者高威胁等级的攻击数据流;
将所述攻击数据流中的第二攻击数据流发送至蜜罐服务器,以便所述蜜罐服务器对所述第二攻击数据流进行诱骗处理;所述第二攻击数据流包括所述攻击数据流中除所述第一攻击数据流外的其他数据流。
4.一种防御数据流攻击的装置,其特征在于,应用于终端,所述装置包括:
第一获取模块,用于获取数据流;
第二获取模块,用于获取全网安全规则;
第一确定模块,用于根据所述全网安全规则从所述数据流中确定攻击数据流;
标记模块,用于对所述攻击数据流进行威胁标记生成威胁标识,所述威胁标识表示所述攻击数据流对应的威胁等级;
第一发送模块,用于将攻击数据流发送至蜜罐服务端,以便所述蜜罐服务端根据所述威胁标识表示的威胁等级对所述攻击数据流进行诱骗处理。
5.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1所述方法的步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求2所述方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求3所述方法的步骤。
8.一种电子设备,其特征在于,包括:
权利要求5中所述的计算机可读存储介质;以及
一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
9.一种电子设备,其特征在于,包括:
权利要求6中所述的计算机可读存储介质;以及
一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
10.一种电子设备,其特征在于,包括:
权利要求7中所述的计算机可读存储介质;以及
一个或者多个处理器,用于执行所述计算机可读存储介质中的程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710576356.3A CN109257326B (zh) | 2017-07-14 | 2017-07-14 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710576356.3A CN109257326B (zh) | 2017-07-14 | 2017-07-14 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109257326A true CN109257326A (zh) | 2019-01-22 |
| CN109257326B CN109257326B (zh) | 2021-05-04 |
Family
ID=65051823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710576356.3A Active CN109257326B (zh) | 2017-07-14 | 2017-07-14 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109257326B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981615A (zh) * | 2019-03-12 | 2019-07-05 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击系统及方法 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110266719A (zh) * | 2019-07-04 | 2019-09-20 | 杭州吉讯汇通科技有限公司 | 安全策略下发方法、装置、设备及介质 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111885046A (zh) * | 2020-07-21 | 2020-11-03 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
| CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
| CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN113158184A (zh) * | 2021-03-03 | 2021-07-23 | 中国人民解放军战略支援部队信息工程大学 | 基于有限状态自动机的攻击脚本生成方法及相关装置 |
| CN113452684A (zh) * | 2021-06-17 | 2021-09-28 | 湖南工程学院 | 一种网络安全检测网关及系统 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| US11343267B2 (en) * | 2019-08-07 | 2022-05-24 | Hitachi Solutions, Ltd. | Threat monitor, threat monitoring method, and recording medium therefore |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
| CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
-
2017
- 2017-07-14 CN CN201710576356.3A patent/CN109257326B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
| US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
| CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981615B (zh) * | 2019-03-12 | 2023-11-14 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击系统及方法 |
| CN109981615A (zh) * | 2019-03-12 | 2019-07-05 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击系统及方法 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110266719B (zh) * | 2019-07-04 | 2021-08-13 | 杭州吉讯汇通科技有限公司 | 安全策略下发方法、装置、设备及介质 |
| CN110266719A (zh) * | 2019-07-04 | 2019-09-20 | 杭州吉讯汇通科技有限公司 | 安全策略下发方法、装置、设备及介质 |
| US11343267B2 (en) * | 2019-08-07 | 2022-05-24 | Hitachi Solutions, Ltd. | Threat monitor, threat monitoring method, and recording medium therefore |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111885046A (zh) * | 2020-07-21 | 2020-11-03 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
| CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
| CN113158184A (zh) * | 2021-03-03 | 2021-07-23 | 中国人民解放军战略支援部队信息工程大学 | 基于有限状态自动机的攻击脚本生成方法及相关装置 |
| CN113158184B (zh) * | 2021-03-03 | 2023-05-19 | 中国人民解放军战略支援部队信息工程大学 | 基于有限状态自动机的攻击脚本生成方法及相关装置 |
| CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN113452684A (zh) * | 2021-06-17 | 2021-09-28 | 湖南工程学院 | 一种网络安全检测网关及系统 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109257326B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109257326A (zh) | 防御数据流攻击的方法、装置和存储介质及电子设备 | |
| Karie et al. | IoT threat detection advances, challenges and future directions | |
| WO2019032745A1 (en) | SYSTEM AND METHOD FOR HOST NETWORK STREAM ANALYSIS OF MALWARE SOFTWARE | |
| CN106101104A (zh) | 一种基于域名解析的恶意域名检测方法及系统 | |
| KR20110070189A (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN103916384A (zh) | 一种面向gap隔离交换设备的渗透测试方法 | |
| CN106936799B (zh) | 报文清洗方法及装置 | |
| CN107612890B (zh) | 一种网络监测方法及系统 | |
| Aiello et al. | Basic classifiers for DNS tunneling detection | |
| Rebecchi et al. | DDoS protection with stateful software‐defined networking | |
| Zolotukhin et al. | On artificial intelligent malware tolerant networking for IoT | |
| CN112217800A (zh) | 一种蜜罐识别方法、系统、装置及介质 | |
| Salih et al. | Detection and classification of covert channels in IPv6 using enhanced machine learning | |
| JPWO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| Kornyo et al. | Botnet attacks classification in AMI networks with recursive feature elimination (RFE) and machine learning algorithms | |
| Radoglou-Grammatikis et al. | Trusty: A solution for threat hunting using data analysis in critical infrastructures | |
| CN117155629A (zh) | 一种基于人工智能的电力信息系统网络主动防御方法及系统 | |
| CN101902758A (zh) | 基于协议测试的无线网络中的数据处理方法和装置 | |
| KAMAL et al. | Dolphin and elephant herding optimization swarm intelligence algorithms used to detect neris botnet | |
| Vishnevsky et al. | A survey of game-theoretic approaches to modeling honeypots | |
| Salih et al. | New intelligent heuristic algorithm to mitigate security vulnerabilities in IPv6 | |
| Friday et al. | Offloading network forensic analytics to programmable data plane switches | |
| CN114765553B (zh) | 访问数据的安全管理方法、装置、计算机设备和存储介质 | |
| Yücebaş | An entropy based DDoS detection method and implementation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |