CN109257389A - 一种攻击处理方法、装置及电子设备 - Google Patents

一种攻击处理方法、装置及电子设备 Download PDF

Info

Publication number
CN109257389A
CN109257389A CN201811409818.3A CN201811409818A CN109257389A CN 109257389 A CN109257389 A CN 109257389A CN 201811409818 A CN201811409818 A CN 201811409818A CN 109257389 A CN109257389 A CN 109257389A
Authority
CN
China
Prior art keywords
attack
trojan horse
equipment
program
horse program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811409818.3A
Other languages
English (en)
Other versions
CN109257389B (zh
Inventor
李泷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd, Beijing Kingsoft Cloud Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN201811409818.3A priority Critical patent/CN109257389B/zh
Publication of CN109257389A publication Critical patent/CN109257389A/zh
Application granted granted Critical
Publication of CN109257389B publication Critical patent/CN109257389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种攻击处理方法、装置及电子设备,该方法包括:当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;根据所述攻击信息,进行攻击报警处理。通过本发明实施例提供的技术方案,可以及时地获知黑客服务器将利用肉鸡攻击目标设备。

Description

一种攻击处理方法、装置及电子设备
技术领域
本发明涉及互联网安全技术领域,特别是涉及一种攻击处理方法、装置及电子设备。
背景技术
僵尸网络中的肉鸡也称傀儡机,是指可以被黑客服务器远程控制的设备。具体的,黑客服务器可以通过“灰鸽子”等远程控制软件在肉鸡中种植木马程序,以实现随意操控肉鸡。
举例而言,黑客在各个肉鸡中种植木马程序后,可以向各个肉鸡发送攻击指令;各个肉鸡在接收到该攻击指令后,对目标设备进行恶意攻击。其中,该攻击指令可以用于控制各个肉鸡攻击目标设备,该目标设备为黑客服务器待攻击的设备。
可见,目标设备一旦被各个肉鸡攻击,会造成不可避免的损失。因此,如何及时获知黑客服务器将利用肉鸡攻击目标设备,是一个亟待解决的问题。
发明内容
本发明实施例的目的在于提供一种攻击处理方法、装置及电子设备,以及时地获知黑客服务器将利用肉鸡攻击目标设备。具体技术方案如下:
第一方面,本发明实施例提供了一种攻击处理方法,所述方法包括:
当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;
当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;
根据所述攻击信息,进行攻击报警处理。
可选的,所述对所述木马程序进行洗白处理,得到洗白后的木马程序的步骤,包括:
确定所述木马程序中的目标子程序,其中,所述目标子程序为与所述设备攻击功能对应的程序代码;
将所述木马程序中的所述目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
可选的,所述攻击信息包括:
待攻击设备的网络标识和攻击类型,或者,待攻击设备的网络标识、攻击时刻和攻击类型,或者,待攻击设备的网络标识和攻击时刻。
可选的,所述根据所述攻击信息,进行攻击报警处理的步骤,包括:
根据所述攻击信息,输出报警信息,所述报警信息里携带有所述攻击信息。
可选的,所述输出报警信息包括:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
可选的,在所述提取所述攻击指令中携带的攻击信息步骤之后,所述方法还包括:
确定所述攻击信息包括的待攻击设备的网络标识是否为预定网络标识;
所述根据所述攻击信息,进行攻击报警处理包括:
如果确定所述攻击信息包括的待攻击设备的网络标识为预定网络标识,根据所述攻击信息,进行攻击报警处理。
第二方面,本发明实施例提供了一种攻击处理装置,所述装置包括:
木马处理模块,用于当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;
信息提取模块,用于当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;
攻击报警模块,用于根据所述攻击信息,进行攻击报警处理。
可选的,所述木马处理模块,具体用于:
确定所述木马程序中的目标子程序,其中,所述目标子程序为与所述设备攻击功能对应的程序代码;
将所述木马程序中的所述目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
可选的,所述攻击信息包括:
待攻击设备的网络标识和攻击类型;
或者,
待攻击设备的网络标识、攻击时刻和攻击类型,或者,待攻击设备的网络标识和攻击时刻。
可选的,所述攻击报警模块,具体用于:
根据所述攻击信息,输出报警信息,所述报警信息里携带有所述攻击信息。
可选的,所述攻击报警模块具体用于:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
可选的,所述装置还包括:
网络标识确定模块,用于在所述提取所述攻击指令中携带的攻击信息步骤之后,确定所述攻击信息包括的待攻击设备的网络标识是否为预定网络标识;
攻击报警模块,具体用于:
如果确定所述攻击信息包括的待攻击设备的网络标识为预定网络标识,根据所述攻击信息,进行攻击报警处理。
第三方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的攻击处理方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的攻击处理方法。
本发明实施例提供的攻击处理方法,预先在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序,该木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,根据该攻击指令中的攻击信息,进行攻击报警处理。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,在攻击未开始前或者在攻击未形成规模时可以预先进行攻击报警,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的一种攻击处理方法的流程图;
图2为本发明实施例所提供的另一种攻击处理方法的流程图;
图3为本发明实施例所提供的一种攻击处理装置的示意图;
图4为本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于黑客服务器在通过控制肉鸡发动攻击时,很多情况下会给被攻击的设备造成重大损失。因此,本发明实施例提供了一种攻击处理方法、装置及电子设备,可以进行攻击的预报警,即在攻击未开始前或者在攻击未形成规模时可以预先进行攻击报警,以及时地获知黑客服务器将利用肉鸡攻击目标设备。
在对本发明实施例所提供的攻击处理方法、装置及电子设备进行介绍之前,首先对本发明实施例的应用场景进行简单介绍。
黑客服务器会搜寻存在系统漏洞的设备,以便入侵该设备,并且通过在该设备中植入木马程序,达到控制该设备的目的。该被控制的设备通常被称为肉鸡。在本发明提供的实施例中,利用肉鸡的特点,可以在网络中专门设置带有系统漏洞的设备,以诱导黑客服务器来控制该设备,该设备在本发明实施例中被称为蜜罐。
需要说明的是,蜜罐与肉鸡具有相同点,也具有不同点。具体的,蜜罐与肉鸡的相同点为:二者均是具有系统漏洞的设备,均可能被黑客服务器种植木马;蜜罐与肉鸡的不同点为:蜜罐是网络管理员经过周密布置而设下的“黑匣子”,蜜罐中部署有相关安全措施,其不会被黑客服务器攻击;而肉鸡中没有部署相关安全措施,其可以被黑客服务器攻击。可以理解的是,肉鸡和蜜罐均可以是电脑终端或者服务器等设备,本发明实施例对肉鸡和蜜罐不做具体限定。
第一方面,对本发明实施例所提供的一种攻击处理方法进行介绍。
需要说明的是,本发明实施例所述的攻击处理方法的执行主体可以是一种电子设备,该电子设备可以为蜜罐,还可以是与蜜罐通信的其他设备,这都是合理的。如图1所示,本发明实施例所提供的一种攻击处理方法,可以包括如下步骤:
S110,当监控到预先设置的蜜罐中存在木马程序时,对木马程序进行洗白处理,得到洗白后的木马程序。
其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能。
本发明实施例中,可以对预先设置的蜜罐进行实时监控,一旦黑客服务器在预先设置的蜜罐中植入木马程序,可以对该木马程序进行洗白处理。可以理解的是,由于黑客服务器需要对植入的木马程序发送攻击指令,所以木马程序具有与黑客服务器通信的功能。因此,为了使得洗白后的木马程序仍能够接收到黑客服务器发送的攻击指令,洗白后的木马程序仍保留与黑客服务器通信的功能。并且,为了防止黑客服务器通过蜜罐中的木马程序攻击目标设备,洗白后的木马程序不具备攻击目标设备的功能。
为了方案描述清楚和布局清晰,将在下面实施例对所述对木马程序进行洗白处理来得到洗白后的木马程序的步骤进行详细描述。
步骤S120,当监控到洗白后的木马程序接收到黑客服务器发送的攻击指令时,提取攻击指令中携带的攻击信息。
本领域技术人员可以理解的是,黑客服务器在肉鸡中植入木马程序后,可以向肉鸡中的木马程序发送攻击指令,这样肉鸡中的木马程序在接收到该攻击指令后,可以按照攻击指令中携带的攻击信息来攻击目标设备。而蜜罐中的木马程序还保留与黑客服务器通信的功能,因此蜜罐在接收到黑客服务器发送的攻击指令之后,就可以提取攻击指令中携带的攻击信息。
其中,该攻击信息可以包含待攻击设备的网络标识和攻击类型;或者,该攻击信息可以包含待攻击设备的网络标识、攻击时刻和攻击类型;或者,该攻击信息可以包括待攻击设置的网络标识和攻击时刻。当然,该攻击信息除了包括待攻击设备的网络标识、攻击时刻、攻击类型等信息,还可以包括黑客服务器的IP地址,这都是合理的,本发明实施例对该攻击信息不做具体限定。
需要说明的是,上述待攻击设备可以为视频门户网站的服务器、购物网站的服务器或新闻网站的服务器等,上述待攻击设备的网络标识可以为待攻击设备的IP地址。
上述攻击时刻可以为木马程序接收到攻击指令后的任一时刻。
上述攻击类型可以为网络流量攻击,例如DDOS攻击,还可以是信息炸弹密码破解等。
具体的,网络流量攻击是指向被攻击设备发送大量流量,使得被攻击设备因响应这些流量而造成被攻击设备超负荷、网络堵塞、系统崩溃的攻击类型。其中,流量可以是信息、数据等。
信息炸弹是指使用一些特殊的工具软件,短时间内向被攻击设备发送大量超出系统负荷的信息,造成被攻击设备超负荷、网络堵塞、系统崩溃的攻击类型。
DDOS攻击可以称为分布式拒绝服务,,它是使用超出被攻击设备处理能力的大量数据包来消耗可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击类型。
当然,上述描述只是以举例地方式来描述待攻击设备的网络标识、攻击时刻及攻击类型,本发明实施对待攻击设备的网络标识、攻击时刻及攻击类型不做具体限定。
步骤S130,根据攻击信息,进行攻击报警处理。
在该步骤中,通过提取黑客服务器发送的攻击指令中携带的攻击信息,可以进行攻击报警处理。
在一种实施方式中,根据攻击信息,进行攻击报警处理的步骤,可以包括:
根据攻击信息,输出报警信息,报警信息里携带有攻击信息。
在该实施方式中,在提取到攻击指令中携带的攻击信息后,可以生成包含攻击信息的报警信息,并输出所生出的报警信息。这样,通过将报警信息发送给网络管理员,以便网络管理员可以及时采取有效措施,尽量避免因黑客服务器攻击目标设备而为目标设备造成不可避免的损失。
需要说明的是,报警信息的内容可以有多种,例如,报警信息的内容可以是简单的报警声,还可以是包含攻击信息的报警信息。
并且,可以通过多种方式来输出报警信息,作为本发明实施例的一种实现方式,输出报警信息可以包括:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
具体的,当输出报警信息包括电子邮件时,可以将网络管理人员的邮箱发送电子邮件;当输出报警信息包括短信息时,可以向网络管理人员所使用的终端发送短消息;当输出报警信息包括语音通话时,可以向网络管理人员所使用的终端拨打电话,或者进行视频通话。这都是合理的。
本发明实施例提供的对攻击进行预报警方法,在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,基于该攻击指令中的攻击信息,生成报警信息并输出该报警信息。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
下面对所述对木马程序进行洗白处理,得到洗白后的木马程序的步骤的具体实现方式进行介绍。
在一种具体实现方式中,所述对木马程序进行洗白处理,得到洗白后的木马程序的步骤可以包括:
步骤S1,确定木马程序中的目标子程序;
其中,目标子程序为与攻击目标设备功能对应的程序代码。
需要说明的是,确定木马程序中的目标子程序的具体实现方式存在多种。举例而言,可以检测木马程序的每段程序代码中是否存在预定的关键字符,当存在该关键字符时,判定该段程序代码具有设备攻击功能,即将该段程序代码确定为目标子程序,其中,该预定关键字符为:对具有设备攻击功能的程序代码样本进行分析所得到的字符,等等。
步骤S2,将木马程序中的目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
按照木马程序中各个子程序的功能,可以将木马程序划分为具有攻击功能的子程序和不具有攻击功能的子程序。为了避免蜜罐中的木马程序对目标设备进行攻击,将木马程序中具有攻击功能的子程序的删除,得到洗白后的木马程序;或者,将木马程序中具有攻击功能的子程序替换为预定程序。这样,洗白后的木马程序不具备攻击功能,可以避免因蜜罐中的木马程序对目标设备进行攻击而导致目标设备造成损失。需要说明的是,预定程序可以是任一种不具有攻击功能的程序,本发明实施例对预定程序不做具体限定。
为了使得报警信息具有针对性,基于图1所示的实施例,如图2所示,在步骤S120之后,本发明提供的实施例还可以包括如下步骤:
步骤S120a,确定攻击信息包括的待攻击设备的网络标识是否为预定网络标识。
相应的,S130,根据攻击信息,进行攻击报警处理,可以包括:
如果确定攻击信息包括的待攻击设备的网络标识为预定网络标识,根据攻击信息,进行攻击报警处理。
本发明实施例可以确定攻击信息包含的待攻击设备的网络标识是否为预定网络标识,如果确定出攻击信息中包括的待攻击设备的网络标识为预定网络标识,及时进行攻击报警处理,以避免被攻击设备造成重大损失。
需要说明的是,上述预定网络标识可以为设置蜜罐的网络管理员所管理设备的网络标识;还可以是比较重要的服务器,例如,具有保密资料的服务器等。
本发明实施例提供的对攻击进行预报警方法,在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,确定攻击信息包括的待攻击设备的网络标识是否为预定网络标识,如果确定攻击信息包括的待攻击设备的网络标识为预定网络标识,根据攻击信息,进行攻击报警处理。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
第二方面,本发明实施例还提供了一种对攻击处理装置,如图3所示,所述装置可以包括:
木马处理模块310,用于当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;
信息提取模块320,用于当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;
攻击报警模块330,用于根据所述攻击信息,进行攻击报警处理。
本发明实施例提供的攻击处理方法,在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,根据该攻击指令中的攻击信息,进行攻击报警处理。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
可选的,所述木马处理模块,具体用于:
确定所述木马程序中的目标子程序,其中,所述目标子程序为与所述设备攻击功能对应的程序代码;
将所述木马程序中的所述目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
可选的,所述攻击信息包括:
待攻击设备的网络标识和攻击类型;
或者,
待攻击设备的网络标识、攻击时刻和攻击类型,或者,待攻击设备的网络标识和攻击时刻。
可选的,所述攻击报警模块,具体用于:
根据所述攻击信息,输出报警信息,所述报警信息里携带有所述攻击信息。
可选的,所述输出报警信息包括:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
可选的,所述装置还包括:
网络标识确定模块,用于在所述提取所述攻击指令中携带的攻击信息步骤之后,确定所述攻击信息包括的待攻击设备的网络标识是否为预定网络标识;
攻击报警模块,具体用于:
如果确定所述攻击信息包括的待攻击设备的网络标识为预定网络标识,根据所述攻击信息,进行攻击报警处理。
第三方面,本发明实施例还提供了一种电子设备,如图4所示,包括处理器401、通信接口402、存储器403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信,
存储器403,用于存放计算机程序;
处理器401,用于执行存储器403上所存放的程序时,实现第一方面所述的攻击处理方法。
上述宿主机提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述宿主机与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例提供的攻击处理方法,在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,根据该攻击指令中的攻击信息,进行攻击报警处理。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的攻击处理方法。
本发明实施例提供的攻击处理方法,在僵尸网络中加入蜜罐,一旦蜜罐中存在黑客植入的木马程序,对该木马程序进行洗白处理,使得洗白后的木马程序虽然可以接收黑客服务器发送的攻击指令但不具有设备攻击功能;进而,在检测到洗白后的木马程序接收到攻击指令时,根据该攻击指令中的攻击信息,进行攻击报警处理。可见,通过本方案可以及时地获知黑客服务器将利用肉鸡攻击目标设备,进而网络管理员可以及时有效地采取相关安全措施,以免被攻击设备造成不可避免的损失。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (14)

1.一种攻击处理方法,其特征在于,所述方法包括:
当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;
当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;
根据所述攻击信息,进行攻击报警处理。
2.根据权利要求1所述的方法,其特征在于,所述对所述木马程序进行洗白处理,得到洗白后的木马程序的步骤,包括:
确定所述木马程序中的目标子程序,其中,所述目标子程序为与所述设备攻击功能对应的程序代码;
将所述木马程序中的所述目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
3.根据权利要求1所述的方法,其特征在于,所述攻击信息包括:
待攻击设备的网络标识和攻击类型,或者,待攻击设备的网络标识、攻击时刻和攻击类型,或者,待攻击设备的网络标识和攻击时刻。
4.根据权利要求1项所述的方法,其特征在于,所述根据所述攻击信息,进行攻击报警处理的步骤,包括:
根据所述攻击信息,输出报警信息,所述报警信息里携带有所述攻击信息。
5.根据权利要求4所述的方法,其特征在于,所述输出报警信息包括:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
6.根据权利要求3所述的方法,其特征在于,在所述提取所述攻击指令中携带的攻击信息步骤之后,所述方法还包括:
确定所述攻击信息包括的待攻击设备的网络标识是否为预定网络标识;
所述根据所述攻击信息,进行攻击报警处理包括:
如果确定所述攻击信息包括的待攻击设备的网络标识为预定网络标识,根据所述攻击信息,进行攻击报警处理。
7.一种攻击处理装置,其特征在于,所述装置包括:
木马处理模块,用于当监控到预先设置的蜜罐中存在木马程序时,对所述木马程序进行洗白处理,得到洗白后的木马程序,其中,所述洗白后的木马程序具有与黑客服务器通信的功能但不具有设备攻击功能;
信息提取模块,用于当监控到所述洗白后的木马程序接收到所述黑客服务器发送的攻击指令时,提取所述攻击指令中携带的攻击信息;
攻击报警模块,用于根据所述攻击信息,进行攻击报警处理。
8.根据权利要求7所述的装置,其特征在于,所述木马处理模块,具体用于:
确定所述木马程序中的目标子程序,其中,所述目标子程序为与所述设备攻击功能对应的程序代码;
将所述木马程序中的所述目标子程序删除或者将所述木马程序中的所述目标子程序替换为预定程序,得到洗白后的木马程序。
9.根据权利要求7所述的装置,其特征在于,所述攻击信息包括:
待攻击设备的网络标识和攻击类型;
或者,
待攻击设备的网络标识、攻击时刻和攻击类型,或者,待攻击设备的网络标识和攻击时刻。
10.根据权利要求7所述的装置,其特征在于,所述攻击报警模块,具体用于:
根据所述攻击信息,输出报警信息,所述报警信息里携带有所述攻击信息。
11.根据权利要求10所述的装置,其特征在于,所述攻击报警模块具体用于:
以电子邮件、短消息、语音通话中的至少一种方式输出报警信息。
12.根据权利要求9所述的装置,其特征在于,所述装置还包括:
网络标识确定模块,用于在所述提取所述攻击指令中携带的攻击信息步骤之后,确定所述攻击信息包括的待攻击设备的网络标识是否为预定网络标识;
所述攻击报警模块,具体用于:
如果确定所述攻击信息包括的待攻击设备的网络标识为预定网络标识,根据所述攻击信息,进行攻击报警处理。
13.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-6任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6任一所述的方法步骤。
CN201811409818.3A 2018-11-23 2018-11-23 一种攻击处理方法、装置及电子设备 Active CN109257389B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811409818.3A CN109257389B (zh) 2018-11-23 2018-11-23 一种攻击处理方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811409818.3A CN109257389B (zh) 2018-11-23 2018-11-23 一种攻击处理方法、装置及电子设备

Publications (2)

Publication Number Publication Date
CN109257389A true CN109257389A (zh) 2019-01-22
CN109257389B CN109257389B (zh) 2021-09-17

Family

ID=65042038

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811409818.3A Active CN109257389B (zh) 2018-11-23 2018-11-23 一种攻击处理方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN109257389B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683055A (zh) * 2020-05-14 2020-09-18 北京邮电大学 一种工控蜜罐方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447991A (zh) * 2008-11-19 2009-06-03 中国人民解放军信息安全测评认证中心 用于测试入侵检测系统的测试装置及测试方法
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN102014138A (zh) * 2010-12-16 2011-04-13 北京安天电子设备有限公司 嵌入式病毒捕获设备和电路板
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103150509A (zh) * 2013-03-15 2013-06-12 长沙文盾信息技术有限公司 一种基于虚拟执行的病毒检测系统
US20150047044A1 (en) * 2013-08-06 2015-02-12 Medknex Software, Llc System and methods for protecting and using digital data
CN105187367A (zh) * 2015-06-04 2015-12-23 何飚 基于大数据发现的僵尸木马病毒检测及管控方法
CN105787370A (zh) * 2016-03-07 2016-07-20 成都驭奔科技有限公司 一种基于蜜罐的恶意软件收集和分析方法
CN107644161A (zh) * 2016-07-22 2018-01-30 阿里巴巴集团控股有限公司 样本的安全测试方法、装置和设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447991A (zh) * 2008-11-19 2009-06-03 中国人民解放军信息安全测评认证中心 用于测试入侵检测系统的测试装置及测试方法
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN102014138A (zh) * 2010-12-16 2011-04-13 北京安天电子设备有限公司 嵌入式病毒捕获设备和电路板
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御系统
CN103150509A (zh) * 2013-03-15 2013-06-12 长沙文盾信息技术有限公司 一种基于虚拟执行的病毒检测系统
US20150047044A1 (en) * 2013-08-06 2015-02-12 Medknex Software, Llc System and methods for protecting and using digital data
CN105187367A (zh) * 2015-06-04 2015-12-23 何飚 基于大数据发现的僵尸木马病毒检测及管控方法
CN105787370A (zh) * 2016-03-07 2016-07-20 成都驭奔科技有限公司 一种基于蜜罐的恶意软件收集和分析方法
CN107644161A (zh) * 2016-07-22 2018-01-30 阿里巴巴集团控股有限公司 样本的安全测试方法、装置和设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683055A (zh) * 2020-05-14 2020-09-18 北京邮电大学 一种工控蜜罐方法及装置

Also Published As

Publication number Publication date
CN109257389B (zh) 2021-09-17

Similar Documents

Publication Publication Date Title
CN110381045B (zh) 攻击操作的处理方法和装置、存储介质及电子装置
EP3818675B1 (en) System and method for polluting phishing campaign responses
US10467411B1 (en) System and method for generating a malware identifier
CN112769821B (zh) 一种基于威胁情报和att&ck的威胁响应方法及装置
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8635666B2 (en) Anti-phishing system
CN106657025A (zh) 网络攻击行为检测方法及装置
CN107046518A (zh) 网络攻击的检测方法及装置
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
Chung et al. Allergy attack against automatic signature generation
CN105959250A (zh) 网络攻击黑名单管理方法及装置
CN105915532A (zh) 一种失陷主机的识别方法及装置
CN105939311A (zh) 一种网络攻击行为的确定方法和装置
CN106992955A (zh) Apt防火墙
CN106982188A (zh) 恶意传播源的检测方法及装置
CN113411314A (zh) 引诱攻击者访问蜜罐系统的方法、装置和电子装置
CN111787021A (zh) 基于攻击行为的蜜饵生成方法、装置、设备和介质
CN101588276A (zh) 一种检测僵尸网络的方法及其装置
CN113645181B (zh) 一种基于孤立森林的分布式规约攻击检测方法及系统
CN108737332A (zh) 一种基于机器学习的中间人攻击预测方法
CN109474567B (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
CN109257389A (zh) 一种攻击处理方法、装置及电子设备
CN114448731B (zh) 蜜罐部署方法、装置、设备及计算机可读介质
CN113037779B (zh) 一种积极防御系统中的智能自学习白名单方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant