CN109302426A - 未知漏洞攻击检测方法、装置、设备及存储介质 - Google Patents
未知漏洞攻击检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109302426A CN109302426A CN201811458345.6A CN201811458345A CN109302426A CN 109302426 A CN109302426 A CN 109302426A CN 201811458345 A CN201811458345 A CN 201811458345A CN 109302426 A CN109302426 A CN 109302426A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- flow
- primary server
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种未知漏洞攻击检测方法、装置、设备及存储介质,通过对待进入主服务器的流量进行攻击检测,当检测到攻击时则获取攻击源特征信息;然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量,并将攻击者流量分发给蜜罐服务器;对蜜罐服务器进行实时监控,获取异常行为信息,异常行为信息用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。本发明的方法能够使攻击者无法或很难感知到安全防护系统的存在,大大增加攻击难度,延缓攻击成功的时间,并且能够有效检测出系统遭受未知漏洞的攻击,能够对已遭受攻击的系统进行有效检测,同时不需要人工参与,响应时间快。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种未知漏洞攻击检测方法、装置、设备及存储介质。
背景技术
随着全球信息化步伐的加快以及信息技术的深入发展,网络安全越来越重要,关系到国家安全和国家发展、关系到广大人民群众的切实利益,深刻影响政治、经济、文化、社会、军事等各领域安全。
传统安全防护技术共同特点是匹配检测,是规则或以特征匹配的方式进行判断,需要获得已知的攻击或木马病毒样本。对于传统安全防护技术,利用未知漏洞方式的攻击是难以匹配到的。另外传统安全防护系统对通常对攻击进行实时阻断。
传统安全防护系统仅能防护已知安全威胁,对于未知攻击特征的攻击无法识别,并且需要人工通过攻击特征开发攻击签名,反应时间慢,在攻击被阻断后攻击者会立即感知到安全防护系统的存在,并在进行后续攻击动作时有针对性的考虑安全防护系统,此外,对已遭受攻击的系统无有效抵御手段。
发明内容
本发明提供一种未知漏洞攻击检测方法、装置、设备及存储介质,以有效的检测出系统遭受未知漏洞的攻击,也能够对已遭受攻击的系统进行有效检测,不需要人工参与。
本发明的第一方面是提供一种未知漏洞攻击检测方法,包括:
对待进入主服务器的流量进行攻击检测;
当检测到攻击时,获取攻击源特征信息;
根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器;
对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
本发明的第二方面是提供一种未知漏洞攻击检测装置,包括:
攻击检测模块,用于对待进入主服务器的流量进行攻击检测;当检测到攻击时,获取攻击源特征信息;
流量分发模块,用于根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器;
监控模块,用于对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
本发明的第三方面是提供一种未知漏洞攻击检测设备,包括:
发送器、接收器、存储器、处理器以及计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如第一方面所述的方法。
本发明的第四方面是提供一种计算机可读存储介质,其上存储有计算机程序;
所述计算机程序被处理器执行时实现如第一方面所述的方法。
本发明提供的未知漏洞攻击检测方法、装置、设备及存储介质,通过对待进入主服务器的流量进行攻击检测,当检测到攻击时则获取攻击源特征信息;然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量,并将攻击者流量分发给蜜罐服务器;对蜜罐服务器进行实时监控,获取异常行为信息,异常行为信息用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。本发明的方法能够使攻击者无法或很难感知到安全防护系统的存在,大大增加攻击难度,延缓攻击成功的时间;并且通过获取攻击者流量攻击蜜罐服务器时的异常行为信息,当主服务器运行过程中存在与异常行为信息一致的行为时,则能够有效检测出系统遭受未知漏洞的攻击,能够对已遭受攻击的系统进行有效检测,同时不需要人工参与,响应时间快。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的未知漏洞攻击检测方法流程图;
图2为本发明另一实施例提供的未知漏洞攻击检测方法流程图;
图3为本发明实施例提供的未知漏洞攻击检测装置的结构图;
图4为本发明实施例提供的未知漏洞攻击检测设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的未知漏洞攻击检测方法流程图。本实施例提供了一种未知漏洞攻击检测方法,该方法具体步骤如下:
S101、对待进入主服务器的流量进行攻击检测。
在本实施例中,攻击检测可采用现有技术中的检测方法,具体可包括探测扫描检测、已知攻击特征检测、异常流量检测等,也可根据攻击签名检测出已知攻击特征的攻击流量。具体的攻击检测方法,此处不再赘述。此外本实施例中也可根据黑白名单技术进行攻击检测,具体的,所述对待进入主服务器的流量进行攻击检测,包括:
根据白名单对所述待进入主服务器的流量进行攻击检测;
若所述待进入主服务器的流量不与白名单匹配,则视为检测到攻击,将所述待进入主服务器的流量分发给所述蜜罐服务器;
若所述待进入主服务器的流量与白名单匹配,将所述待进入主服务器的流量分发给所述主服务器。
在本实施例中,可以预先获取黑白名单,其中可包括流量的特征信息,也可包括IP地址、会话信息(如IP端口信息)、应用层信息(如HTTP会话ID)中的至少一项。当待进入主服务器的流量与黑名单匹配,则判断为可疑流量,或者当待进入主服务器的流量与黑名单和白名单均不匹配,也判断为可疑流量,对于可以流量可以视为检测到攻击,后续可获取攻击者流量分发给蜜罐服务器;而当待进入主服务器的流量与白名单匹配,则确定为未检测到攻击,可进入主服务器。
S102、当检测到攻击时,获取攻击源特征信息。
在本实施例中,当检测到攻击时获取攻击源特征信息,具体的,攻击源特征信息可包括IP地址、会话信息(如IP端口信息)、应用层信息(如HTTP会话ID)中的至少一项,用于进行攻击溯源,以便于后续对攻击者流量的识别,从而能够进行后续流量分发过程,当然并不仅限于上述所列举的信息,也可包括其他的信息,在获取到攻击源特征信息可进行存储。更进一步的,当检测到攻击时,还可进行报警。
S103、根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器。
在本实施例中,当检测到攻击时,并不对攻击行为进行阻断,而是将攻击者流量分发给蜜罐服务器,其中蜜罐服务器一种对攻击者进行欺骗的服务器,诱使攻击者对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐服务器中具有与主服务器同样的操作系统、应用软件、服务内容等,但密罐服务器中的持久化数据为脱敏数据,保证在泄露后,不会造成危害。本实施例中可针对高级持续性威胁(Advanced Persistent Threat,简称APT),即攻击源对特定目标进行长期持续性网络攻击,现有技术中若不将攻击者流量放入蜜罐服务器中,攻击源不断试探系统漏洞,当攻击者流量被现有的攻击检测方法检测出来后,其攻击者流量会被阻截,而攻击源会尝试新的攻击方式,直至攻击者流量无法被检测出来后则会攻击主服务器,而可能无法被主服务器所察觉;本申请中在检测到攻击者流量后将攻击者流量放入蜜罐服务器中,诱使攻击者对蜜罐服务器实施攻击,而使攻击者无法或很难感知到蜜罐服务器的存在,从而减少了蜜罐服务器不断试探系统漏洞的机会,大大增加攻击难度,延缓攻击成功的时间。
本实施例中对于攻击者流量的识别,可以将待进入主服务器的流量的特征信息与攻击源特征信息进行逐一比对,若比对一致则确定为攻击者流量。
S104、对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
在本实施例中,攻击者流量被分发至蜜罐服务器后发生攻击过程,遭受攻击后的不良后果都发生在蜜罐服务器中。对应普通请求和遭受攻击后的响应,会正常返回给请求端(攻击者)。本实施例中可在系统运行期间始终对蜜罐服务器进行实时监控,当然也可仅在将攻击者流量分发至蜜罐服务器后启动对蜜罐服务器的实时监控。其中监控内容可以包括操作系统的文件、进程、网络连接、系统内核或程序行为中的一项或多项。蜜罐服务器接收到攻击者流量后,对产生的相关异常行为信息保存,以用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测,由于未知漏洞攻击很可能无法被主服务器所感知到,但通过将实时行为信息与多种所述异常行为信息的比对,从而能够有效的检测出主服务器是否遭到同样的攻击行为,当检测到主服务器遭受攻击,可进一步对系统发生的异常行为进行阻断。
本实施例提供的未知漏洞攻击检测方法,通过对待进入主服务器的流量进行攻击检测,当检测到攻击时则获取攻击源特征信息;然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量,并将攻击者流量分发给蜜罐服务器;对蜜罐服务器进行实时监控,获取异常行为信息,异常行为信息用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。本实施例提供的方法能够使攻击者无法或很难感知到安全防护系统的存在,大大增加攻击难度,延缓攻击成功的时间;并且通过获取攻击者流量攻击蜜罐服务器时的异常行为信息,当主服务器运行过程中存在与异常行为信息一致的行为时,则能够有效检测出系统遭受未知漏洞的攻击,能够对已遭受攻击的系统进行有效检测,同时不需要人工参与,响应时间快。
在上述实施例的基础上,S104后还可包括:
S201、对所述主服务器在运行过程中进行实时监控,获取所述实时行为信息;
S202、将所述异常行为信息与所述实时行为信息进行比对;
S203、若一致,则阻断所述主服务器发生的异常行为。
在本实施例中,可在系统运行期间始终对主服务器进行实时监控,获取实时行为信息,其中监控的内容可与对于蜜罐服务器监控的内容相同或多于蜜罐服务器监控的内容。将实时行为信息于异常行为信息进行比对,若比对一致,则判定主服务器也遭受与蜜罐服务器相同的未知漏洞攻击,则可阻断主服务器发生的异常行为,其中阻断主服务器发生的异常行为,具体可包括:阻断恶意文件的创建或修改,和/或阻断恶意进程,和/或阻断恶意网络流量,和/或阻断恶意系统操作,和/或阻断程序的恶意行为,也即,可以阻断上述列举的阻断内容中的任意一项或任意几项的组合。进一步的,还可以进行报警。需要说明的是,对于一种攻击可以获取到一种异常行为信息,并保存到数据库中,当将异常行为信息与实时行为信息进行比对时,可将数据库中所有的异常行为信息分别与实时行为信息,当实时行为信息与任意一种异常行为信息对一致,则判定主服务器遭受到未知漏洞攻击。
在上述实施例中,对蜜罐服务器进行实时监控获取异常行为信息,具体可对蜜罐服务器进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控,从而获取异常行为信息;相应的,对于主服务器在运行过程中进行实时监控获取实时行为信息,同样可进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控;而在将异常行为信息与实时行为信息进行比对时,则将异常行为信息和实时行为信息中的操作系统的文件监控信息、进程监控信息、网络连接监控信息、系统内核监控信息和程序行为监控信息进行比对,从而提高比对过程的准确性。
进一步的,在上述实施例的基础上,S102所述的获取攻击源特征信息,具体可包括:获取攻击源的IP地址、会话信息和应用层信息。
相应的,S103所述根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,可包括:
将所述待进入主服务器的流量中的IP地址、会话信息和应用层信息与所述攻击源的IP地址、会话信息和应用层信息进行比对;
若会话信息和应用层信息中至少一项比对一致,则确定为攻击者流量;
若IP地址比对一致,则进行进一步识别。
在本实施例中,对于待进入主服务器的流量分别获取IP地址、会话信息和应用层信息,并与攻击源的IP地址、会话信息和应用层信息进行对比,若会话信息一致、或者应用层信息一致、或者会话信息和应用层信息均一致,则确定为攻击者流量,当然若会话信息和IP地址均一致、或者应用层信息和IP地址均一致、或者IP地址、会话信息和应用层信息均一致,也同样可以确定为攻击者流量。而仅IP地址比对一致时,可能是攻击者发送的正常流量,当然也可能是攻击者发送的攻击流量,因此需要进一步的判断和识别。在本实施例中,当识别出待进入主服务器的流量中的攻击者流量,将攻击者流量分发给蜜罐服务器,而除攻击者流量外的正常流量则分发给主服务器。
本实施例提供的未知漏洞攻击检测方法,通过对待进入主服务器的流量进行攻击检测,当检测到攻击时则获取攻击源特征信息;然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量,并将攻击者流量分发给蜜罐服务器;对蜜罐服务器进行实时监控,获取异常行为信息,异常行为信息用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。本实施例提供的方法能够使攻击者无法或很难感知到安全防护系统的存在,大大增加攻击难度,延缓攻击成功的时间,并且能够有效检测出系统遭受未知漏洞的攻击,能够对已遭受攻击的系统进行有效检测,同时不需要人工参与,响应时间快。
图3为本发明实施例提供的未知漏洞攻击检测装置的结构图。本实施例提供的未知漏洞攻击检测装置可以执行未知漏洞攻击检测方法实施例提供的处理流程,如图3所示,所述未知漏洞攻击检测装置包括攻击检测模块31、流量分发模块32以及监控模块33。
其中,攻击检测模块31,用于对待进入主服务器的流量进行攻击检测;当检测到攻击时,获取攻击源特征信息;
流量分发模块32,用于根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器;
监控模块33,用于对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
进一步的,所述攻击检测模块31用于:
根据白名单对所述待进入主服务器的流量进行攻击检测;
若所述待进入主服务器的流量不与白名单匹配,则视为检测到攻击,将所述待进入主服务器的流量分发给所述蜜罐服务器;
若所述待进入主服务器的流量与白名单匹配,将所述待进入主服务器的流量分发给所述主服务器。
进一步的,所述监控模块33还用于:
对所述主服务器在运行过程中进行实时监控,获取所述实时行为信息;
将所述异常行为信息与所述实时行为信息进行比对;
若一致,则阻断所述主服务器发生的异常行为。
进一步的,所述监控模块33具体用于:
对所述蜜罐服务器进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控,从而获取所述异常行为信息;
对所述主服务器在运行过程中进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控,从而获取所述实时行为信息;
将所述异常行为信息和所述实时行为信息中的操作系统的文件监控信息、进程监控信息、网络连接监控信息、系统内核监控信息和程序行为监控信息进行比对。
进一步的,如图3所示,所述装置还包括攻击阻断模块34,用于:
阻断恶意文件的创建或修改,和/或
阻断恶意进程,和/或
阻断恶意网络流量,和/或
阻断恶意系统操作,和/或
阻断程序的恶意行为。
进一步的,所述攻击检测模块31具体用于:
获取攻击源的IP地址、会话信息和应用层信息;
所述流量分发模块32具体用于:
将所述待进入主服务器的流量中的IP地址、会话信息和应用层信息与所述攻击源的IP地址、会话信息和应用层信息进行比对;
若会话信息和应用层信息中至少一项比对一致,则确定为攻击者流量;
若IP地址比对一致,则进行进一步识别。
进一步的,所述流量分发模块32还用于:
对所述待进入主服务器的流量中除所述攻击者流量外的正常流量分发给所述主服务器。
本实施例提供的未知漏洞攻击检测装置可以具体用于执行上述图1所提供的方法实施例,具体功能此处不再赘述。
本实施例提供的未知漏洞攻击检测装置,通过对待进入主服务器的流量进行攻击检测,当检测到攻击时则获取攻击源特征信息;然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量,并将攻击者流量分发给蜜罐服务器;对蜜罐服务器进行实时监控,获取异常行为信息,异常行为信息用于与主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。本实施例能够使攻击者无法或很难感知到安全防护系统的存在,大大增加攻击难度,延缓攻击成功的时间,并且能够有效检测出系统遭受未知漏洞的攻击,能够对已遭受攻击的系统进行有效检测,同时不需要人工参与,响应时间快。
图4为本发明另一实施例提供的未知漏洞攻击检测设备的结构图。如图4所示,本实施例提供一种未知漏洞攻击检测设备,所述装置包括:处理器41;存储器42;以及计算机程序。
其中,所述计算机程序存储在所述存储器42中,并被配置为由所述处理器41执行以实现如图1或图2所提供的方法实施例提供的处理流程,具体功能此处不再赘述。
更具体的,所述未知漏洞攻击检测设备还包括接收器43和发送器44,接收器43、发送器44、处理器41、以及存储器42通过总线连接。
本发明另一实施例提供一种计算机可读存储介质,其上存储有计算机程序;
所述计算机程序被处理器执行时实现如上述实施例所述的未知漏洞攻击检测方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种未知漏洞攻击检测方法,其特征在于,包括:
对待进入主服务器的流量进行攻击检测;
当检测到攻击时,获取攻击源特征信息;
根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器;
对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
2.根据权利要求1所述的方法,其特征在于,所述对待进入主服务器的流量进行攻击检测,包括:
根据白名单对所述待进入主服务器的流量进行攻击检测;
若所述待进入主服务器的流量不与白名单匹配,则视为检测到攻击,将所述待进入主服务器的流量分发给所述蜜罐服务器;
若所述待进入主服务器的流量与白名单匹配,将所述待进入主服务器的流量分发给所述主服务器。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
对所述主服务器在运行过程中进行实时监控,获取所述实时行为信息;
将所述异常行为信息与所述实时行为信息进行比对;
若一致,则阻断所述主服务器发生的异常行为。
4.根据权利要求3所述的方法,其特征在于,所述对所述蜜罐服务器进行实时监控,获取异常行为信息,包括:
对所述蜜罐服务器进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控,从而获取所述异常行为信息;
所述对所述主服务器在运行过程中进行实时监控,获取所述实时行为信息,包括:
对所述主服务器在运行过程中进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控,从而获取所述实时行为信息;
相应的,所述将所述异常行为信息与所述实时行为信息进行比对包括:
将所述异常行为信息和所述实时行为信息中的操作系统的文件监控信息、进程监控信息、网络连接监控信息、系统内核监控信息和程序行为监控信息进行比对。
5.根据权利要求1所述的方法,其特征在于,所述获取攻击源特征信息,包括:
获取攻击源的IP地址、会话信息和应用层信息;
所述根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,包括:
将所述待进入主服务器的流量中的IP地址、会话信息和应用层信息与所述攻击源的IP地址、会话信息和应用层信息进行比对;
若会话信息和应用层信息中至少一项比对一致,则确定为攻击者流量;
若IP地址比对一致,则进行进一步识别。
6.根据权利要求1所述的方法,其特征在于,所述获取所述待进入主服务器的流量中的攻击者流量后,还包括:
对所述待进入主服务器的流量中除所述攻击者流量外的正常流量分发给所述主服务器。
7.一种未知漏洞攻击检测装置,其特征在于,包括:
攻击检测模块,用于对待进入主服务器的流量进行攻击检测;当检测到攻击时,获取攻击源特征信息;
流量分发模块,用于根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量,并将所述攻击者流量分发给蜜罐服务器;
监控模块,用于对所述蜜罐服务器进行实时监控,获取异常行为信息,所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对,以进行未知漏洞攻击检测。
8.根据权利要求7所述的装置,其特征在于,所述攻击检测模块用于:
根据白名单对所述待进入主服务器的流量进行攻击检测;
若所述待进入主服务器的流量不与白名单匹配,则视为检测到攻击,将所述待进入主服务器的流量分发给所述蜜罐服务器;
若所述待进入主服务器的流量与白名单匹配,将所述待进入主服务器的流量分发给所述主服务器。
9.一种未知漏洞攻击检测设备,其特征在于,包括:
发送器、接收器、存储器、处理器、以及计算机程序;
其中,所述计算机程序存储在所述存储器中,并被配置为由所述处理器执行以实现如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序;
所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811458345.6A CN109302426B (zh) | 2018-11-30 | 2018-11-30 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811458345.6A CN109302426B (zh) | 2018-11-30 | 2018-11-30 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109302426A true CN109302426A (zh) | 2019-02-01 |
CN109302426B CN109302426B (zh) | 2021-04-13 |
Family
ID=65142271
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811458345.6A Active CN109302426B (zh) | 2018-11-30 | 2018-11-30 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109302426B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
CN111027063A (zh) * | 2019-09-12 | 2020-04-17 | 北京安天网络安全技术有限公司 | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
CN114285588A (zh) * | 2020-09-21 | 2022-04-05 | 奇安信科技集团股份有限公司 | 获取攻击对象信息的方法、装置、设备及存储介质 |
CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
CN117040871A (zh) * | 2023-08-18 | 2023-11-10 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
WO2016042587A1 (ja) * | 2014-09-17 | 2016-03-24 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
CN107370724A (zh) * | 2017-06-09 | 2017-11-21 | 北京易华录信息技术股份有限公司 | 一种分布式云计算系统 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN107967427A (zh) * | 2017-12-11 | 2018-04-27 | 北京奇虎科技有限公司 | 监测漏洞攻击的方法、装置及终端设备 |
CN108446557A (zh) * | 2018-03-12 | 2018-08-24 | 江苏中天科技软件技术有限公司 | 基于防御蜜罐的安全威胁主动感知方法 |
-
2018
- 2018-11-30 CN CN201811458345.6A patent/CN109302426B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
WO2016042587A1 (ja) * | 2014-09-17 | 2016-03-24 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN107370724A (zh) * | 2017-06-09 | 2017-11-21 | 北京易华录信息技术股份有限公司 | 一种分布式云计算系统 |
CN107967427A (zh) * | 2017-12-11 | 2018-04-27 | 北京奇虎科技有限公司 | 监测漏洞攻击的方法、装置及终端设备 |
CN108446557A (zh) * | 2018-03-12 | 2018-08-24 | 江苏中天科技软件技术有限公司 | 基于防御蜜罐的安全威胁主动感知方法 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110381041A (zh) * | 2019-06-28 | 2019-10-25 | 奇安信科技集团股份有限公司 | 分布式拒绝服务攻击态势检测方法及装置 |
WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
CN111027063A (zh) * | 2019-09-12 | 2020-04-17 | 北京安天网络安全技术有限公司 | 防止终端感染蠕虫的方法、装置、电子设备及存储介质 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
CN114285588A (zh) * | 2020-09-21 | 2022-04-05 | 奇安信科技集团股份有限公司 | 获取攻击对象信息的方法、装置、设备及存储介质 |
CN112217828A (zh) * | 2020-10-16 | 2021-01-12 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
CN113792296A (zh) * | 2021-08-24 | 2021-12-14 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
CN113792296B (zh) * | 2021-08-24 | 2023-05-30 | 中国电子科技集团公司第三十研究所 | 一种基于聚类的漏洞组合方法及系统 |
CN115051875A (zh) * | 2022-08-02 | 2022-09-13 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
CN115051875B (zh) * | 2022-08-02 | 2024-05-24 | 软极网络技术(北京)有限公司 | 一种基于新型蜜罐的攻击检测方法 |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
CN117040871A (zh) * | 2023-08-18 | 2023-11-10 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
CN117040871B (zh) * | 2023-08-18 | 2024-03-26 | 广州唐邦信息科技有限公司 | 一种网络安全运营服务方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109302426B (zh) | 2021-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109302426A (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
Zeng et al. | Detection of botnets using combined host-and network-level information | |
CN109246108B (zh) | 拟态化蜜罐指纹混淆系统及其sdn网络架构 | |
US20120324575A1 (en) | System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
EP3171567B1 (en) | Advanced persistent threat detection | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
CN110650142B (zh) | 访问请求处理方法、装置、系统、存储介质和计算机设备 | |
CN110213208B (zh) | 一种处理请求的方法和装置以及存储介质 | |
CN106992955A (zh) | Apt防火墙 | |
CN110401638B (zh) | 一种网络流量分析方法及装置 | |
Cheetancheri et al. | A distributed host-based worm detection system | |
US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
Ramanauskaite et al. | Taxonomy of DoS attacks and their countermeasures | |
CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
CN112822163B (zh) | 数据流量的生成方法及装置、系统 | |
Goutam | The problem of attribution in cyber security | |
US20040193923A1 (en) | Systems and methods for enterprise security with collaborative peer to peer architecture | |
CN101453363A (zh) | 网络入侵检测系统 | |
Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
US20160149933A1 (en) | Collaborative network security | |
US20210058414A1 (en) | Security management method and security management apparatus | |
Panimalar et al. | A review on taxonomy of botnet detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |