CN109413046A - 一种网络防护方法、系统及终端设备 - Google Patents
一种网络防护方法、系统及终端设备 Download PDFInfo
- Publication number
- CN109413046A CN109413046A CN201811146933.6A CN201811146933A CN109413046A CN 109413046 A CN109413046 A CN 109413046A CN 201811146933 A CN201811146933 A CN 201811146933A CN 109413046 A CN109413046 A CN 109413046A
- Authority
- CN
- China
- Prior art keywords
- terminal
- attack
- scan request
- script
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于计算机应用技术领域,提供了一种网络防护方法、系统以及终端设备,所述方法包括:发布伪装对象,若通过伪装对象接收到第一终端发送的扫描请求,则检测扫描请求是否包含攻击信息,若扫描请求包含攻击信息,则获取第一终端对应的第一攻击脚本,将第一攻击脚本发送至第一终端,第一攻击脚本用于指示第一终端运行第一攻击脚本。本发明通过判断第一终端发送的扫描请求是否包含攻击信息,若包含攻击信息,则确认第一终端为攻击方,发送第一攻击脚本至第一终端以实现对第一终端的控制,从而实现了对攻击方的主动追踪以及远程控制,提高了防护效果,有效解决了蜜罐只能对攻击方的攻击行为进行分析导致防护效果较差的问题。
Description
技术领域
本发明属于计算机应用技术领域,尤其涉及一种网络防护方法、系统及终端设备。
背景技术
蜜罐是一种主动防御的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,并通过技术和管理手段来增强实际系统的安全防护能力。
现有技术中,蜜罐只能对攻击方的攻击行为进行分析,根据分析结果增强安全防护能力,防护效果差。
发明内容
有鉴于此,本发明实施例提供了一种网络防护方法、系统及终端设备,以解决现有技术中蜜罐只能对攻击方的攻击行为进行分析导致防护效果较差的问题。
本发明实施例的第一方面提供了一种网络防护方法,包括:
发布伪装对象;
若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息;
若所述扫描请求包含所述攻击信息,则获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,所述第一攻击脚本用于指示所述第一终端运行所述第一攻击脚本。
本发明实施例的第二方面提供了一种网络防护系统,包括:
网页发布模块,用于发布伪装对象;
攻击信息检测模块,用于若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息;
第一处理模块,用于若所述扫描请求包含所述攻击信息,则获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,所述第一攻击脚本用于指示所述第一终端运行所述第一攻击脚本。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述网络防护方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上所述网络防护方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例发布伪装对象,若通过伪装对象接收到第一终端发送的扫描请求,则检测扫描请求是否包含攻击信息,若扫描请求包含攻击信息,则获取第一终端对应的第一攻击脚本,将第一攻击脚本发送至第一终端,第一攻击脚本用于指示第一终端运行第一攻击脚本。本发明实施例通过判断第一终端发送的扫描请求是否包含攻击信息,若包含攻击信息,则确认第一终端为攻击方,发送第一攻击脚本至第一终端以实现对第一终端的控制,从而实现了对攻击方的主动追踪以及远程控制,提高了防护效果,有效解决了蜜罐只能对攻击方的攻击行为进行分析导致防护效果较差的问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的网络防护方法的实现流程示意图;
图2是本发明另一个实施例提供的网络防护方法的实现流程示意图;
图3是本发明一个实施例提供的网络防护系统的结构示意图;
图4是本发明一个实施例提供的攻击信息检测单元的结构示意图;
图5是本发明一个实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例1:
图1示出了本发明的一个实施例提供的网络防护方法的实现流程,本申请实施例的流程执行主体可以是终端设备,其过程详述如下:
在步骤S101中,发布伪装对象。
在本实施例中,伪装对象包括伪装页面和/或伪装API接口(ApplicationProgramming Interface),用于诱使黑客进行攻击。
在本实施例中,开发人员可以利用docker技术,在终端设备上搭建不同业务类型的蜜罐,不需要昂贵硬件设备的部署支撑,大大减少了蜜罐的部署成本,每种业务类型的蜜罐包含有对应的伪装页面和伪装API接口,不同业务类型对应的伪装API接口以及伪装页面包含的信息不同。
其中,蜜罐的业务类型包括web(World Wide Web,全球广域网)业务类型,ssh(Struts,Spring,Hibernate)应用类型、网络协议栈类型和系统主机类型。
在步骤S102中,若通过伪装对象接收到第一终端发送的扫描请求,则检测扫描请求是否包含攻击信息。
在本发明的一个实施例中,步骤S102包括:
若通过伪装对象接收到第一终端中的扫描工具发送的扫描请求,则检测扫描请求是否包含攻击信息。
在本实施例中,伪装对象将接收到的扫描请求发送给终端设备,终端设备检测第一终端的扫描工具,例如,WVS(Web Vulnerability Scanner),发送的扫描请求是否包含攻击信息,确定出第一终端是否为攻击终端,从而确定是否对第一终端实施远程控制。
在步骤S103中,若扫描请求包含攻击信息,则获取第一终端对应的第一攻击脚本,将第一攻击脚本发送至第一终端,第一攻击脚本用于指示第一终端运行第一攻击脚本。
在本发明的一个实施例中,步骤S103包括:
1)获取扫描工具对应的第一攻击脚本。
2)获取扫描工具对应的网络地址。
3)将第一攻击脚本通过网络地址对应的接口发送至第一终端。
在本实施例中,若扫描请求包含攻击信息,则确定第一终端为攻击终端,对第一终端进行反攻击以及远程控制。
在一个实施例中,获取扫描工具的名称和扫描版本,并作为目标工具名称和目标工具版本。
在本实施例中,从本地数据库中获取目标工具名称和目标工具对应的第一攻击脚本。
在本实施例中,第一攻击脚本与扫描工具相对应,是研究人员根据黑客常用的扫描工具存在的漏洞信息生成的攻击脚本,不同名称以及版本的扫描工具存在的漏洞信息不同,因此,不同的扫描工具对应的第一攻击脚本不同。
在本实施例中,终端设备可以获取到访问伪装对象的终端或工具的网络地址,其中,网络地址为IP地址(Internet Protocol Address,互联网协议地址)。
在本实施例中,当终端设备获取到扫描工具的网络地址后,通过网络地址对应的应用程序编程接口(API,Application Programming Interface),将第一攻击脚本写入到第一终端,第一终端立即运行该第一攻击脚本。当第一终端运行第一攻击脚本后,终端设备可以远程控制该第一终端。
在本发明的一个实施例中,在步骤S103之后,包括:
发送控制指令至第一终端,控制指令用于使第一终端停止对本地的网络攻击。
在本实施例中,控制指令包括获取信息指令、停止攻击指令和创建用户指令等等。
在本实施例中,发送获取信息指令至第一终端,当第一终端接收到获取信息指令后,将对应的信息发送至该终端设备。
其中,获取信息指令可以包括待获取的信息地址(例如,本地C盘文件)和/或待获取的信息类型(例如,DOC类型)。
在本实施例中,发送停止攻击指令至第一终端,当第一终端接收到停止攻击指令后,停止对终端设备进行的攻击。
在本实施例中,发送创建用户指令至第一终端,可以在第一终端创建新用户,创建用户指令包括新用户名称和新用户密码。
在本实施例中,当发送第一攻击脚本到第一终端后,便可以将第一终端添加至控制序列表中,当用户想要控制某个终端或从某个终端获取信息时,便直接从控制序列表中查找该终端,发送相关指令实现对该终端的控制。
在本实施例中,还可以通过日志记录搜集到关于攻击方的信息,便于后续分析。
在一个实施例中,终端设备还可以通过每隔一段时间发送测试信息来检测是否仍可以远程控制控制序列表中的终端,其具体为:间隔预设测试时间,便依次发送预设测试信息至控制序列表中的终端,预设测试信息用于指示接收到预设测试信息的终端发送反馈信息至终端设备。若在预设反馈时长内未接收到终端发送的反馈信息或终端发送的反馈信息与预设反馈信息不匹配,则从控制序列表中删除该终端。若在预设反馈时长内接收到终端发送的反馈信息且反馈信息与预设反馈信息匹配,则表示终端设备还可以远程控制该终端。
在本实施例中,每隔预设测试时间(例如,2天)便分别发送预设测试信息至控制序列表中的终端,若该终端依然受终端设备的远程控制,则该终端在预设反馈时长内,会发送与预设反馈信息匹配的反馈信息,若该终端已经不受终端设备的远程控制,终端设备在预设反馈时长内可能无法接收到该终端发送的反馈信息,或者是接收到的反馈信息与预设反馈信息不匹配,则终端设备从控制序列表中删除该终端,实现对控制序列表的更新。
在本发明的一个实施例中,网络防护方法还包括:
若通过伪装对象接收到第二终端发送的访问请求,则生成包含有第二攻击脚本的数据报文发送至第二终端,第二攻击脚本用于第二终端在特定运行环境中运行第二攻击脚本时允许本地对第二终端的远程控制。
在本实施例中,当一个终端访问一个网页时,会产生相应的数据报文。
在本实施例中,特定运行环境是指在特定工具中运行,本地是指终端设备本地。
在本实施例中,伪装对象将接收到的第二终端发送的访问请求发送至终端设备,终端设备生成包含有第二攻击脚本的数据报文发送至第二终端。若第二终端将包含有第二攻击脚本的数据报文输入至特定工具,则终端设备可以远程控制该第二终端。
其中,第二攻击脚本是研究人员根据特定工具存在的漏洞生成的攻击脚本,当特定工具运行该第二攻击脚本后,终端设备便可以远程控制安装有该特定工具的终端。
其中,特定工具可以为SQL注入工具,例如,Sqlmap工具。
在本实施例中,通过判断第一终端发送的扫描请求是否包含攻击信息,若包含攻击信息,则确认第一终端为攻击方,发送第一攻击脚本至第一终端以实现对第一终端的控制,从而实现了对攻击方的主动追踪以及远程控制,提高了防护效果,有效解决了蜜罐只能对攻击方的攻击行为进行分析导致防护效果较差的问题。
图2示出了本发明的另一个实施例提供的网络防护方法的实现流程,其过程详述如下:
在步骤S201中,从扫描请求中提取扫描任务类型。
在本实施例中,扫描任务类型包括版本检查、指令注入、文件检查或文本搜索等等。
在本实施例中,指令注入表示扫描工具想要写入相关指令至伪装对象对应的蜜罐,例如,SQL注入指令表示写入指令至伪装网页对应的蜜罐中的数据库。
在本实施例中,版本检查表示扫描工具想要获取伪装对象对应的服务器的版本信息。
在步骤S202中,获取扫描工具对应的非法任务类型。
在本实施例中,从扫描工具发送的扫描请求中提取出扫描任务类型,获取目标工具名称和目标工具版本对应的非法任务类型。
其中,非法任务类型表示只要扫描工具发送包含非法任务类型的扫描请求,则认为装载有该扫描工具的终端为攻击终端,即黑客使用的终端。
在本实施例中,不用名称和版本的扫描工具对应的非法任务类型不同。
在步骤S203中,判断扫描任务类型是否属于非法任务类型。
在本实施例中,判断扫描工具对应的扫描任务类型是否在非法任务类型中。
在步骤S204中,若扫描任务类型属于非法任务类型,则判定扫描请求包含攻击信息。
在本实施例中,若扫描任务类型属于非法任务类型,则确定扫描工具发送的扫描请求包含攻击信息,即装载有该扫描工具的第一终端为攻击终端。
在步骤S205中,若扫描任务类型不属于非法任务类型,则判定扫描请求不包含攻击信息。
在本实施例中,若扫描任务类型不属于非法任务类型,则确定扫描工具发送的扫描请求不包含攻击信息,并响应该扫描请求。
在本实施例中,通过判断扫描请求中的扫描类型是否属于非法任务类型,判断出该扫描请求是否包含攻击信息,从而确定发送该扫描请求的终端是否为攻击方,避免出现攻击正常终端的情况。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例2:
图3示出了本发明的一个实施例提供的网络防护系统100,用于执行图1所对应的实施例中的方法步骤,其包括:
网页发布模块110,用于发布伪装对象。
攻击信息检测模块120,用于若通过伪装对象接收到第一终端发送的扫描请求,则检测扫描请求是否包含攻击信息。
第一处理模块130,用于若扫描请求包含攻击信息,则获取第一终端对应的第一攻击脚本,将第一攻击脚本发送至第一终端,第一攻击脚本用于指示第一终端运行第一攻击脚本。
在本发明的一个实施例中,攻击信息检测模块120包括:
攻击信息检测单元121,用于若通过伪装对象接收到第一终端中的扫描工具发送的扫描请求,则检测扫描请求是否包含攻击信息。
在本发明的一个实施例中,第一处理模块130包括:
第一攻击脚本获取单元,用于获取扫描工具对应的第一攻击脚本。
网络地址获取单元,用于获取扫描工具对应的网络地址。
第一攻击脚本发送单元,用于将第一攻击脚本通过网络地址对应的接口发送至第一终端。
在本发明的一个实施例中,第一处理模块130还包括:
控制指令发送单元,用于发送控制指令至第一终端,控制指令用于使第一终端停止对本地的网络攻击。
在本发明的一个实施例中,网络防护系统100还包括:
第二处理模块,用于若通过伪装对象接收到第二终端发送的访问请求,则生成包含有第二攻击脚本的数据报文发送至第二终端,第二攻击脚本用于第二终端在特定运行环境中运行第二攻击脚本时允许本地对第二终端的远程控制。
图4示出了本发明的一个实施例提供的攻击信息检测单元121,用于执行图2所对应的实施例中的方法步骤,其具体包括:
任务类型获取子单元10,用于从扫描请求中提取扫描任务类型。
非法类型获取子单元20,用于获取扫描工具对应的非法任务类型。
任务类型判断子单元30,用于判断扫描任务类型是否属于非法任务类型。
第一处理单元40,用于若扫描任务类型属于非法任务类型,则判定扫描请求包含攻击信息。
第二处理单元50,用于若扫描任务类型不属于非法任务类型,则判定扫描请求不包含攻击信息。
在一个实施例中,网络防护系统100还包括其他功能模块/单元,用于实现实施例1中各实施例中的方法步骤。
实施例3:
图5是本发明一实施例提供的终端设备的示意图。如图5所示,该实施例的终端设备5包括:处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52。所述处理器50执行所述计算机程序52时实现如实施例1中所述的各实施例的步骤,例如图1所示的步骤S101至步骤S103。或者,所述处理器50执行所述计算机程序52时实现如实施例2中所述的各系统实施例中的各模块/单元的功能,例如图3所示模块110至130的功能。
示例性的,所述计算机程序52可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器51中,并由所述处理器50执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序52在所述终端设备5中的执行过程。例如,所述计算机程序52可以被分割成网页发布模块、攻击信息检测模块和第一处理模块。各模块具体功能如下:
网页发布模块,用于发布伪装对象;
攻击信息检测模块,用于若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息;
第一处理模块,用于若所述扫描请求包含所述攻击信息,则获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,所述第一攻击脚本用于指示所述第一终端运行所述第一攻击脚本。
所述终端设备5可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备5可包括,但不仅限于,处理器50、存储器51。本领域技术人员可以理解,图5仅仅是终端设备5的示例,并不构成对终端设备5的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器50可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器51可以是所述终端设备5的内部存储单元,例如终端设备5的硬盘或内存。所述存储器51也可以是所述终端设备5的外部存储设备,例如所述终端设备5上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器51还可以既包括所述终端设备5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。
实施例4:
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如实施例1中所述的各实施例中的步骤,例如图1所示的步骤S101至步骤S103。或者,所述计算机程序被处理器执行时实现如实施例2中所述的各系统实施例中的各模块/单元的功能,例如图3所示的模块110至130的功能。
所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例系统中的模块或单元可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络防护方法,其特征在于,包括:
发布伪装对象;
若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息;
若所述扫描请求包含所述攻击信息,则获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,所述第一攻击脚本用于指示所述第一终端运行所述第一攻击脚本。
2.如权利要求1所述的网络防护方法,其特征在于,所述若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息包括:
若通过所述伪装对象接收到所述第一终端中的扫描工具发送的扫描请求,则检测所述扫描请求是否包含所述攻击信息。
3.如权利要求2所述的网络防护方法,其特征在于,所述检测所述扫描请求是否包含攻击信息,包括:
从所述扫描请求中提取扫描任务类型;
获取所述扫描工具对应的非法任务类型;
判断所述扫描任务类型是否属于所述非法任务类型;
若所述扫描任务类型属于所述非法任务类型,则判定所述扫描请求包含所述攻击信息;
若所述扫描任务类型不属于所述非法任务类型,则判定所述扫描请求不包含所述攻击信息。
4.如权利要求2所述的网络防护方法,其特征在于,所述获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,包括:
获取所述扫描工具对应的第一攻击脚本;
获取所述扫描工具对应的网络地址;
将所述第一攻击脚本通过所述网络地址对应的接口发送至所述第一终端。
5.如权利要求1所述的网络防护方法,其特征在于,还包括:
若通过所述伪装对象接收到第二终端发送的访问请求,则生成包含有第二攻击脚本的数据报文发送至所述第二终端,所述第二攻击脚本用于所述第二终端在特定运行环境中运行所述第二攻击脚本时允许本地对所述第二终端的远程控制。
6.如权利要求1所述的网络防护方法,其特征在于,在所述将所述第一攻击脚本发送至所述第一终端之后,包括:
发送控制指令至所述第一终端,所述控制指令用于使所述第一终端停止对本地的网络攻击。
7.一种网络防护系统,其特征在于,包括:
网页发布模块,用于发布伪装对象;
攻击信息检测模块,用于若通过所述伪装对象接收到第一终端发送的扫描请求,则检测所述扫描请求是否包含攻击信息;
第一处理模块,用于若所述扫描请求包含所述攻击信息,则获取所述第一终端对应的第一攻击脚本,将所述第一攻击脚本发送至所述第一终端,所述第一攻击脚本用于指示所述第一终端运行所述第一攻击脚本。
8.如权利要求7所述的网络防护系统,其特征在于,所述攻击信息检测模块包括:
攻击信息检测单元,用于若通过所述伪装对象接收到所述第一终端中的扫描工具发送的扫描请求,则检测所述扫描请求是否包含所述攻击信息。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的的网络防护方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的网络防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811146933.6A CN109413046A (zh) | 2018-09-29 | 2018-09-29 | 一种网络防护方法、系统及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811146933.6A CN109413046A (zh) | 2018-09-29 | 2018-09-29 | 一种网络防护方法、系统及终端设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109413046A true CN109413046A (zh) | 2019-03-01 |
Family
ID=65465598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811146933.6A Pending CN109413046A (zh) | 2018-09-29 | 2018-09-29 | 一种网络防护方法、系统及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413046A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131293A (zh) * | 2019-12-30 | 2020-05-08 | 北京知道创宇信息技术股份有限公司 | 一种服务伪装方法及装置 |
| CN111353151A (zh) * | 2020-02-27 | 2020-06-30 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112422541A (zh) * | 2020-11-09 | 2021-02-26 | 广州锦行网络科技有限公司 | 一种基于蜜罐系统的信息采集辅助方法 |
| CN112615884A (zh) * | 2020-12-29 | 2021-04-06 | 中国银行股份有限公司 | 网络安全系统的检测方法、装置、电子设备及存储介质 |
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931A (zh) * | 2013-08-15 | 2013-12-18 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
| CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
| US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
-
2018
- 2018-09-29 CN CN201811146933.6A patent/CN109413046A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931A (zh) * | 2013-08-15 | 2013-12-18 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| US9350758B1 (en) * | 2013-09-27 | 2016-05-24 | Emc Corporation | Distributed denial of service (DDoS) honeypots |
| CN105024977A (zh) * | 2014-04-25 | 2015-11-04 | 湖北大学 | 基于数字水印和蜜罐技术的网络追踪系统 |
| CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131293A (zh) * | 2019-12-30 | 2020-05-08 | 北京知道创宇信息技术股份有限公司 | 一种服务伪装方法及装置 |
| CN111353151A (zh) * | 2020-02-27 | 2020-06-30 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN111353151B (zh) * | 2020-02-27 | 2023-06-16 | 腾讯云计算(北京)有限责任公司 | 一种网络应用的漏洞检测方法和装置 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112422541A (zh) * | 2020-11-09 | 2021-02-26 | 广州锦行网络科技有限公司 | 一种基于蜜罐系统的信息采集辅助方法 |
| CN112615884A (zh) * | 2020-12-29 | 2021-04-06 | 中国银行股份有限公司 | 网络安全系统的检测方法、装置、电子设备及存储介质 |
| CN112615884B (zh) * | 2020-12-29 | 2023-04-07 | 中国银行股份有限公司 | 网络安全系统的检测方法、装置、电子设备及存储介质 |
| CN113746810A (zh) * | 2021-08-13 | 2021-12-03 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
| CN113746810B (zh) * | 2021-08-13 | 2023-04-18 | 哈尔滨工大天创电子有限公司 | 一种网络攻击诱导方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109413046A (zh) | 一种网络防护方法、系统及终端设备 | |
| US12034767B2 (en) | Artificial intelligence adversary red team | |
| US20220232040A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| AU2007273085B2 (en) | System and method of analyzing web content | |
| WO2021171090A1 (en) | An artificial intelligence adversary red team | |
| Cheng et al. | Towards a first step to understand the cryptocurrency stealing attack on ethereum | |
| US20200014697A1 (en) | Whitelisting of trusted accessors to restricted web pages | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
| US20160366176A1 (en) | High-level reputation scoring architecture | |
| CN101312393A (zh) | 一种sql注入漏洞检测方法及系统 | |
| CN103493061A (zh) | 用于应对恶意软件的方法和装置 | |
| CN104426850A (zh) | 基于插件的漏洞检测方法 | |
| CN103761478A (zh) | 恶意文件的判断方法及设备 | |
| CN103559447B (zh) | 一种基于病毒样本特征的检测方法、检测装置及检测系统 | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| M. Milajerdi et al. | Propatrol: Attack investigation via extracted high-level tasks | |
| Guo et al. | An empirical study of malicious code in pypi ecosystem | |
| CN113497786A (zh) | 一种取证溯源方法、装置以及存储介质 | |
| CN104640105A (zh) | 手机病毒分析和威胁关联的方法和系统 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| Feng et al. | Android malware detection based on call graph via graph neural network | |
| CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
| CN103440454A (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
| US20240054215A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |