CN109995727B - 渗透攻击行为主动防护方法、装置、设备及介质 - Google Patents
渗透攻击行为主动防护方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN109995727B CN109995727B CN201711490970.4A CN201711490970A CN109995727B CN 109995727 B CN109995727 B CN 109995727B CN 201711490970 A CN201711490970 A CN 201711490970A CN 109995727 B CN109995727 B CN 109995727B
- Authority
- CN
- China
- Prior art keywords
- access request
- application system
- port
- scanning
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本发明实施例公开了一种渗透攻击行为主动防护方法、装置、设备及介质。该方法包括:在应用系统上多个端口布设感知点;当有访问请求发送至应用系统时,根据多个端口布设的感知点判断该访问请求是否有扫描行为;该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;隐藏或抛弃该访问请求对应的数据包。本发明是在对渗透攻击行为的扫描探测阶段就主动采取隐藏措施,可有效的降低应用系统被攻击者发现的可能,降低了0day攻击行为,提高了应用系统的网络安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种渗透攻击行为主动防护方法、装置、设备及介质。
背景技术
在信息技术不断提升人们沟通交流便利性的同时,也随之而来带来新的安全问题。特别是因为黑客工具的普及,黑客技术不断研究深入,对信息系统的渗透攻击行为成爆发趋势增长。由此所导致的安全事件也时有发生,给企业、用户带来财产,乃至生命的惨重损失。正因为渗透攻击技术的不断演进,防护技术也越来越被企业和技术界所重视。
为此,基于网络各层出现的渗透攻击技术,有针对性的出现了防护设备。比较有特点的诸如:应用层出现了WAF,网络应用防火墙,过滤http协议包中存在的恶意字符,来过滤攻击行为。IDS/IPS、防病毒墙设备通过反向解包,对数据包进行深层分析,比对病毒或者攻击数据包的特征,来防护系统。还有ADS设备,通过过滤ICMP半链接数据包来处理DDOS攻击。上述防护设备可以归结为一类,即根据实现识别、解读的攻击载荷特征,在不同的网络层构建防护体系,来发现攻击并告警,甚至丢弃攻击载荷以起到防护作用。
此外,还有一类防护手段,是基于机器学习、模式识别的。通过对网络进出流量进行识别、分辨获取特征值。然后,对于例外情况进行警告,报告异常数据。通过调整警告的阈值来获取合理的预警信息。以上所说,均为单一的渗透攻击方法。
另一方面,随着黑客攻击技术的不断演进,攻击行为已远远超出了单一的攻击方法。攻击行为往往混杂着多种攻击手段,甚至还有很多高级黑客,通过对技术的深入研究,从而获得0day漏洞。所谓0day漏洞,是指新发现的漏洞,尚无防护手段,组件提供商也未获得漏洞相关信息,市面上看不到相关补丁,所有此部件的使用者均会成为被攻击对象。0day漏洞是上述传统安全防护手段无法解决的。
还有就是APT攻击,现有防护手段也无能为力。所谓APT攻击是指,AdvancedPersistent Thread,即高级持续性威胁。此类攻击目标明确,攻击隐蔽。首先,采取各种途径收集用户相关信息,包括扫描、利用社会工程学。之后,利用漏洞攻击、web攻击目标系统,最终,获取对攻击者有价值的信息或实现破坏行为。
目前,针对APT攻击,虽然有些防护方法,但尚不成熟。例如,一项相关技术公开了一种APT防火墙,该系统通过实时检测内外网流量,用于实时检测主机程序进程,并进一步分解和识别出含有APT威胁的异常流量和异常行为,进而定位APT威胁级别,截断APT通信,并清理掉APT木马程序,消除威胁攻击和安全隐患。
然而,现有的安全防护技术存在如下四个方面的缺陷:
(1)基于特征检测攻击行为,要求在检测攻击行为之前需知攻击行为特征,而0day漏洞由于没有事先获得的特征信息,往往成为漏网之鱼,给系统带来极大的风险。
(2)基于异常的检测,需要对检测行为设置阈值,通过异常行为与正常行为的差别,来检测出疑似攻击行为。之后,再将疑似攻击行为与预先设置的阈值进行比较,从而达到报警目的。但阈值过高或过低,可能分别导致漏报和误报出现。
(3)防护手段过于具有针对性,为了防范一种攻击往往需要新增加一个专用设备;新防护设备的引入增加了网络的复杂性,不利于网络的稳定性。
(4)防护手段还体现在针对攻击行为的防护,而没能在攻击行为发生之前即将其处置解决。
因此,目前急需开发新的技术方案来解决上述缺陷中的一个或多个缺陷。
发明内容
本发明实施例提供了一种渗透攻击行为主动防护方法、装置、设备及介质,能够解决现有技术无法对渗透攻击行为进行主动防护的技术问题。
第一方面,本发明实施例提供了一种渗透攻击行为主动防护方法,所述方法包括:
在应用系统上多个端口布设感知点;
当有访问请求发送至应用系统时,根据多个端口布设的感知点判断该访问请求是否有扫描行为;
当该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;及
当访问请求中的源IP鉴定为攻击IP时,隐藏或抛弃该访问请求对应的数据包。
可选的,所述在应用系统上多个端口布设感知点包括:
将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址并处于开放状态。
可选的,所述根据多个端口布设的感知点判断该访问请求是否有扫描行为的方式采用如下步骤来实现:
若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,则认定该访问请求对应用系统的端口有扫描行为。
可选的,所述方法还包括:
将该攻击IP列入黑名单;
发送预警信息至管理员。
可选的,所述方法还包括:
当应用系统的端口接收访问请求且访问请求中的源IP位于黑名单内时,直接丢弃或隐藏该访问请求。
可选的,所述方法还包括:
当该访问请求对应用系统的端口没有扫描行为时,允许访问请求传输至应用系统内以进行正常访问。
可选的,所述方法还包括:
检测应用系统上的端口接收到的访问请求,判断该访问请求中的源IP是否在白名单内;
若访问请求中的源IP位于白名单内,则允许访问请求传输至应用系统内以进行正常访问;
若访问请求中的源IP不在白名单内,则在应用系统上多个端口布设感知点。
第二方面,本发明实施例还提供一种渗透攻击行为主动防护装置,所述装置包括:
布设模块,用于在应用系统上多个端口布设感知点;
扫描感知模块,用于根据多个端口布设的感知点判断该访问请求是否有扫描行为;
鉴定模块,用于当该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;及
隐藏控制模块,用于当访问请求中的源IP鉴定为攻击IP时,隐藏或抛弃该访问请求对应的数据包。
第三方面,本发明实施例提供了一种渗透攻击行为主动防护设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述实施方式中第一方面的方法。
本发明实施例提供的渗透攻击行为主动防护方法、装置、设备及介质,在对渗透攻击行为的扫描探测阶段就主动采取隐藏措施,可有效的降低应用系统被攻击者发现的可能,降低了0day攻击行为,提高了应用系统的网络安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一实施例的渗透攻击行为主动防护方法的流程图。
图2示出了本发明另一实施例的渗透攻击行为主动防护方法的流程图。
图3示出了本发明一实施例的渗透攻击行为主动防护装置的结构示意图。
图4示出了本发明一实施例的渗透攻击行为主动防护装置处于工作状态的示意图。
图5示出了本发明一实施例的渗透攻击行为主动防护设备的一种结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
图1示出了本发明一实施例的渗透攻击行为主动防护方法的流程图。
该实施例对应的方法包括如下步骤:
步骤S10:在应用系统上多个端口布设感知点。在本实施例中,所述端口为IP端口。具体地,将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址并处于开放状态,也就是说,在每个处于开放状态的IP端口上形成一个感知点,而多个处于开放状态的IP端口形成多个IP感知点。所述应用系统可以是,但不限于,由计算机硬件系统、系统软件、应用软件组成的信息化系统,其中,计算机硬件系统由运算器和控制器、存储器、外围接口和外围设备组成,所述系统软件包括操作系统、编译程序、数据库管理系统、各种高级语言等各种软件系统,所述应用软件由通用支援软件和各种应用软件包组成。
步骤S20:当有访问请求发送至应用系统时,根据多个端口布设的感知点判断该访问请求是否有扫描行为。当该访问请求对应用系统的端口有扫描行为,流程进入步骤S30。否则,若该访问请求对应用系统的端口没有扫描行为,流程进入步骤S70。当黑客通过访问请求扫描到应用系统IP端口之前,既可以感知到是否为非异常扫描行为,而感知内容包括逐IP多端口扫描行为或同端口逐IP扫描行为。
在本发明的一实施例中,当访问请求为攻击源时,攻击IP会实施逐IP多端口扫描行为或同端口逐IP扫描行为,若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,该访问请求对IP端口的扫描认定为异常扫描行为。由于应用系统多个端口布设有感知点,因此,当访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,感知点会感应出访问请求是否为IP多端口扫描或同IP端口逐IP扫描。
步骤S30:鉴定该访问请求中的源IP为攻击IP。具体地,若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,则鉴定该访问请求中的源IP为攻击IP。
步骤S40:抛弃该访问请求对应的数据包。具体地,主动丢弃访问请求的数据包,可以拒绝攻击IP对应用系统的访问,起到主动隐藏并保护应用系统的目的。
步骤S50:将该攻击IP列入黑名单。所述黑名单内包括攻击IP的收录时间、IP地址等信息。在本发明的实施例中,所述黑名单用于记录攻击IP。所述黑名单用于简化比对流程,若有访问请求直接访问应用系统的IP端口,若访问请求中的源IP位于黑名单内,则直接丢弃该访问请求,从而起到简化运算(即在此种情况下,不需要执行步骤S10至S30,而直接执行步骤S60)以提高运算效率的目的。需要说明的是,在执行步骤S50之前,还用于判断该攻击IP是否位于白名单内,若该攻击IP位于白名单内,则将该攻击IP从白名单内删除。所述白名单用于记录正常访问的IP。
步骤S60:发送预警信息至管理员。当访问请求中的源IP鉴定为攻击IP,则发送预警信息给负责网络安全防护的管理员。具体地,所述发送预警信息至管理员的方式可以采用短信、邮件、电话的当时通知管理员。所述预警信息包括,但不限于,源IP、鉴定时间、访问端口的名称、鉴定为攻击IP的原因(例如,在应用系统的某一个或多个IP端口进行了IP多端口扫描或同IP端口逐IP扫描)等信息。
步骤S70:允许该访问请求对应的数据包传输至应用系统内以进行正常访问。
参照附图2,图2示出了本发明另一实施例的渗透攻击行为主动防护方法的流程图。相对于图1中的实施例,所述图2中的实施例在图1中实施例的基础上增加了2个步骤,即在图1实施例的步骤S10之前增加了步骤S80及步骤S90。为了显示与图1中实施例的关联性,图2中实施例对应的方法保留了图1中其它步骤的标号。
该另一实施例对应的方法包括如下步骤:
步骤S80:检测应用系统上的端口接收到的访问请求。具体地,当有访问请求访问应用系统上的端口时,对访问请求进行检测以解析出该访问请求中源IP。
步骤S90:判断该访问请求中的源IP是否在白名单内。在本发明的实施例中,所述白名单用于简化比对流程,若有访问请求直接访问应用系统的IP端口,且访问请求中的源IP位于白名单内,则直接流程直接进入步骤S70,即允许访问请求对应的数据包传输至应用系统内以进行正常访问,从而起到简化运算(即在此种情况下,不需要执行步骤S10至S60,而直接执行步骤S70)以提高运算效率的目的。
步骤S10:在应用系统上多个端口布设感知点。所述应用系统可以是,但不限于,由计算机硬件系统、系统软件、应用软件组成的信息化系统,其中,计算机硬件系统由运算器和控制器、存储器、外围接口和外围设备组成,所述系统软件包括操作系统、编译程序、数据库管理系统、各种高级语言等各种软件系统,所述应用软件由通用支援软件和各种应用软件包组成。
步骤S20:根据多个端口布设的感知点判断该访问请求是否有扫描行为。当该访问请求有扫描行为,流程进入步骤S30。否则,若该访问请求没有扫描行为,流程进入步骤S70。具体地,将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址同时处于开放状态,也就是说,在每个处于开放状态的IP端口上形成一个感知点,而多个处于开放状态的IP端口形成多个IP感知点。当黑客通过访问请求扫描到应用系统IP端口之前,既可以感知到是否为非异常扫描行为,而感知内容包括逐IP多端口扫描行为或同端口逐IP扫描行为。
在本发明的一实施例中,当访问请求为攻击源时,攻击IP会实施逐IP多端口扫描行为或同端口逐IP扫描行为,若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,该访问请求对IP端口的扫描认定为异常扫描行为。由于应用系统多个端口布设有感知点,因此,当访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,感知点会感应出访问请求是否为IP多端口扫描或同IP端口逐IP扫描。
步骤S30:鉴定该访问请求中的源IP为攻击IP。具体地,若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,则鉴定该访问请求中的源IP为攻击IP。
步骤S40:抛弃该访问请求对应的数据包。具体地,主动丢弃访问请求的数据包,可以拒绝攻击IP对应用系统的访问,起到主动隐藏并保护应用系统的目的。
步骤S50:将该攻击IP列入黑名单。所述黑名单内包括攻击IP的收录时间、IP地址等信息。在本发明的的其它实施例中,所述黑名单用于简化比对流程,若有访问请求直接访问应用系统的IP端口,若访问请求中的源IP位于黑名单内,则直接丢弃该访问请求,从而起到简化运算(即在此种情况下,不需要执行步骤S10至S30,而直接执行步骤S40)以提高运算效率的目的。
步骤S60:发送预警信息至管理员。当访问请求中的源IP鉴定为攻击IP,则发送预警信息给负责网络安全防护的管理员。具体地,所述发送预警信息至管理员的方式可以采用短信、邮件、电话的当时通知管理员。所述预警信息包括,但不限于,源IP、鉴定时间、访问端口的名称、鉴定为攻击IP的原因(例如,在应用系统的某一个或多个IP端口进行了IP多端口扫描或同IP端口逐IP扫描)等信息。
步骤S70:允许该访问请求对应的数据包传输至应用系统内以进行正常访问。
需要说明的是,尽管图2中另一实施例对应的方法是在图1中的基础上增加了2个步骤(即步骤S80及S90),然而,图1中一实施例对应的方法是预先对应用系统的端口进行感知点布置,而图2中另一实施例对应的方法是对应用系统接收到访问请求后,对端口布局感知点。
本发明有效的弥补了现有安全防护手段需要预先获取攻击特征数据包才可进行防御而导致的滞后性,同时,本发明还降低了因通过异常检测所导致阈值设置过高或过低的误报、漏报风险。本发明的技术方案中,在对渗透攻击行为的扫描探测阶段就主动采取隐藏措施,可有效的降低应用系统被攻击者发现的可能,降低了0day攻击行为,提高了应用系统的网络安全性。
另外,结合图1述的本发明实施例的渗透攻击行为主动防护方法可以由渗透攻击行为主动防护装置来实现。图3示出了本发明实施例提供的渗透攻击行为主动防护装置的结构示意图。
具体地,所述渗透攻击行为主动防护装置包括扫描感知器301、隐藏器302及预警器303。
所述扫描感知器301,用于在应用系统上多个端口布设感知点,并通过多个端口上布设的感知点对应用系统上接收的访问请求进行鉴定,以判断访问请求中的源IP为攻击IP。所述应用系统可以是,但不限于,由计算机硬件系统、系统软件、应用软件组成的信息化系统,其中,计算机硬件系统由运算器和控制器、存储器、外围接口和外围设备组成,所述系统软件包括操作系统、编译程序、数据库管理系统、各种高级语言等各种软件系统,所述应用软件由通用支援软件和各种应用软件包组成。
在本实施例中,所述端口为IP端口。所述扫描感知器301可以提前在应用系统的IP端口布设感知点,也可以在应用系统的IP端口接收到访问请求后,再进行感知点的布设。
具体地,所述扫描感知器301布设感知点的方式如下:将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址同时处于开放状态。也就是说,在每个处于开放状态的IP端口上形成一个感知点,而多个处于开放状态的IP端口形成多个IP感知点。当黑客通过访问请求扫描到应用系统IP端口之前,既可以感知到是否为非异常扫描行为,而感知内容包括逐IP多端口扫描行为或同端口逐IP扫描行为。
在本发明的一实施例中,所述扫描感知器301通过多个端口上布设的感知点对应用系统上接收的访问请求进行鉴定的方式如下:若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描,则鉴定该访问请求对IP端口的扫描行为鉴定为异常扫描行为,该访问请求中的源IP为攻击IP。由于应用系统多个端口布设有感知点,因此,当访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,感知点会感应出访问请求是否为IP多端口扫描或同IP端口逐IP扫描。
需要说明的是,黑客在渗透攻击的过程中,首先进行渗透行为是扫描探测行为,用于收集目标系统信息。也有一些黑客在新的漏洞出现时,会自己开发一种批量扫描工具,用以发现网络中存在漏洞的系统,用以下一步攻击。这两种行为均出现在攻击实际发生之前。扫描感知器即通过将应用系统所在IP上端口开放状态复制到多个IP端口上(例如,左右相邻的几个IP端口),形成多个感知点。当黑客扫描到应用系统IP端口开放情况之前,即被感知到。所述扫描感知器301感知内容包括逐IP多端口扫描行为或同端口逐IP扫描行为。所述扫描感知器301在发现某攻击IP正在实施逐IP多端口扫描行为或同端口逐IP扫描行为时,将攻击IP及攻击行为判断发送至隐藏控制器302,驱动隐藏控制器302采取隐藏该访问请求或丢弃该访问请求的操作。
所述隐藏控制器用于,当访问请求中的源IP鉴定为攻击IP时,隐藏或丢弃该访问请求。
进一步地,所述隐藏控制器302还用于建立白名单及黑名单,所述白名单用于记录正常访问的IP,所述黑名单用于记录攻击IP。
具体地,所述隐藏控制器302内设置一个黑名单。所述黑名单用于记录攻击IP。正常情况下,若IP在黑名单之外时,所述隐藏控制器302负责将外网对内网(即应用系统)的访问请求数据包转发,从而提供正常服务。如果外网访问请求中的IP存在于黑名单之内,则所述隐藏控制器302将直接丢弃访问请求数据包,从而拒绝攻击IP对应用系统的访问,起到隐藏保护应用系统的目的。此外,如果扫描感知器301发现新的攻击IP时,将更新记录到隐藏控制器302的黑名单中,以备比对使用。
此外,所述隐藏控制器302内设置白名单。该白名单用于记录正常访问的IP。具体地,当出现某访问请求中的IP访问应用系统的IP端口时,所述隐藏控制器302需检测与白名单中的IP进行比对以确认该IP是否曾经出现过访问记录,如果存在访问记录,则直接允许将访问请求对应的数据包向应用系统内转发(即允许该访问请求对应的数据包传输至应用系统内)。如果IP为一个陌生IP,所述隐藏控制器302将暂缓此IP的访问,同时将IP对应的访问请求情况通知扫描感知器301,让扫描感知器301通过布设感知点来进行描鉴定,如果该IP对应的访问请求被所述扫描感知器301鉴定为异常扫描行为,则所述隐藏控制器302做抛弃处理,不反馈访问结果。此外,为了节约运算效率,所述若扫描感知器301鉴定反馈超时未回馈时,则认为是正常访问请求,正常提供服务。
所述预警通知器303用于当所述扫描感知器301鉴定访问请求对应用系统进行了异常扫描时(也即鉴定访问请求中的源IP为攻击IP)时,接收扫描感知器301的预警通知,并将预警通知以邮件、短信或工单的形式通知到管理员。换句话说,所述预警通知器用于提供检测预警功能,方便管理员及时查询预警信息。所述预警信息包括,但不限于,源IP、鉴定时间、访问端口的名称、鉴定为攻击IP的原因(例如,在应用系统的某一个或多个IP端口进行了IP多端口扫描或同IP端口逐IP扫描)等信息。
为了方便说明,附图4简要描述所述渗透攻击行为主动防护装置中的扫描感知器301、隐藏控制器302及预警通知器303处于工作状态的示意图。从附图4可知,当扫描感知器301鉴定有异常扫描行为时,通过预警通知器303发出预警通知,同时隐藏控制器302隐藏或丢弃对应用系统的访问请求。当扫描感知器301鉴定为正常访问行为时,所述隐藏控制器302直接将访问请求转发至应用系统以进行正常访问。
在一个可选实施例中,渗透攻击行为主动防护装置还可以包括如下配置:布设模块、扫描感知模块、鉴定模块和隐藏控制模块。其中,布设模块用于在应用系统上多个端口布设感知点;扫描感知模块,用于根据多个端口布设的感知点判断该访问请求是否有扫描行为;鉴定模块,用于当该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;及隐藏控制模块,用于当访问请求中的源IP鉴定为攻击IP时,隐藏或抛弃该访问请求对应的数据包。
另外,结合图1描述的本发明实施例的渗透攻击行为主动防护方法可以由渗透攻击行为主动防护设备来实现。图5示出了本发明实施例提供的渗透攻击行为主动防护设备的硬件结构示意图。
渗透攻击行为主动防护设备可以包括处理器401以及存储有计算机程序指令的存储器402。
具体地,上述处理器401可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器402可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器402可在数据处理装置的内部或外部。在特定实施例中,存储器402是非易失性固态存储器。在特定实施例中,存储器402包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器401通过读取并执行存储器402中存储的计算机程序指令,以实现上述实施例中的任意一种渗透攻击行为主动防护方法。
在一个示例中,渗透攻击行为主动防护设备还可包括通信接口403和总线410。其中,如图5所示,处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。
通信接口403,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线410包括硬件、软件或两者,将渗透攻击行为主动防护设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
另外,结合上述实施例中的渗透攻击行为主动防护方法,本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种渗透攻击行为主动防护方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种渗透攻击行为主动防护方法,其特征在于,所述方法包括:
在应用系统上多个端口布设感知点;
当有访问请求发送至应用系统时,根据多个端口布设的感知点判断该访问请求是否有扫描行为;
当该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;及
当访问请求中的源IP鉴定为攻击IP时,隐藏或抛弃该访问请求对应的数据包;
所述在应用系统上多个端口布设感知点,包括:
将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址并处于开放状态;
所述方法还包括:
检测应用系统上的端口接收到的访问请求,判断该访问请求中的源IP是否在白名单内;
若访问请求中的源IP位于白名单内,则允许访问请求对应的数据包传输至应用系统内以进行正常访问;
若访问请求中的源IP不在白名单内,则在应用系统上多个端口布设感知点。
2.根据权利要求1所述的方法,其特征在于,所述根据多个端口布设的感知点判断该访问请求是否有扫描行为包括:
若访问请求对应用系统中的IP端口进行IP多端口扫描或同IP端口逐IP扫描时,则认定该访问请求对应用系统的端口有扫描行为。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
将该攻击IP列入黑名单;
发送预警信息至管理员。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当应用系统的端口接收访问请求且访问请求中的源IP位于黑名单内时,直接丢弃或隐藏该访问请求。
5.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当该访问请求对应用系统的端口没有扫描行为时,允许访问请求对应的数据包传输至应用系统内以进行正常访问。
6.一种渗透攻击行为主动防护装置,其特征在于,所述装置包括:
布设模块,用于在应用系统上多个端口布设感知点;
扫描感知模块,用于当有访问请求发送至应用系统时,根据多个端口布设的感知点判断该访问请求是否有扫描行为;
鉴定模块,用于当该访问请求对应用系统的端口有扫描行为时,鉴定该访问请求中的源IP为攻击IP;及
隐藏控制模块,用于当访问请求中的源IP鉴定为攻击IP时,隐藏或抛弃该访问请求对应的数据包;
所述布设模块具体用于:将应用系统上处于开放状态的IP端口复制到其它IP端口上,使得复制后的IP端口采用同样的IP地址并处于开放状态;
所述隐藏控制模块还用于:
检测应用系统上的端口接收到的访问请求,判断该访问请求中的源IP是否在白名单内;
若访问请求中的源IP位于白名单内,则允许访问请求对应的数据包传输至应用系统内以进行正常访问;
若访问请求中的源IP不在白名单内,则在应用系统上多个端口布设感知点。
7.一种渗透攻击行为主动防护设备,其特征在于,包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机程序指令,其特征在于,当所述计算机程序指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711490970.4A CN109995727B (zh) | 2017-12-30 | 2017-12-30 | 渗透攻击行为主动防护方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711490970.4A CN109995727B (zh) | 2017-12-30 | 2017-12-30 | 渗透攻击行为主动防护方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109995727A CN109995727A (zh) | 2019-07-09 |
| CN109995727B true CN109995727B (zh) | 2021-11-09 |
Family
ID=67111121
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711490970.4A Active CN109995727B (zh) | 2017-12-30 | 2017-12-30 | 渗透攻击行为主动防护方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109995727B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111698214A (zh) * | 2020-05-15 | 2020-09-22 | 平安科技(深圳)有限公司 | 网络攻击的安全处理方法、装置及计算机设备 |
| CN112671783B (zh) * | 2020-12-28 | 2021-08-10 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
| CN112953895B (zh) * | 2021-01-26 | 2022-11-22 | 深信服科技股份有限公司 | 一种攻击行为检测方法、装置、设备及可读存储介质 |
| CN115589335B (zh) * | 2022-11-25 | 2023-04-21 | 北京微步在线科技有限公司 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
| CN101669347A (zh) * | 2007-04-23 | 2010-03-10 | 国际商业机器公司 | 用于检测具有伪造源地址的端口扫描的方法和装置 |
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
| KR20090080741A (ko) * | 2008-01-22 | 2009-07-27 | 성균관대학교산학협력단 | 퍼지 로직 기반 비정상 트래픽 제어 시스템 및 그 방법 |
-
2017
- 2017-12-30 CN CN201711490970.4A patent/CN109995727B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1421772A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种察觉入侵扫描行为保护系统安全的新方法 |
| CN101669347A (zh) * | 2007-04-23 | 2010-03-10 | 国际商业机器公司 | 用于检测具有伪造源地址的端口扫描的方法和装置 |
| CN101902349A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测端口扫描行为的方法和系统 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109995727A (zh) | 2019-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109995727B (zh) | 渗透攻击行为主动防护方法、装置、设备及介质 | |
| US10931635B2 (en) | Host behavior and network analytics based automotive secure gateway | |
| US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN110881049B (zh) | 一种计算机网络安全智能控制系统 | |
| EP2008188B1 (en) | Software vulnerability exploitation shield | |
| US7228564B2 (en) | Method for configuring a network intrusion detection system | |
| US20060026683A1 (en) | Intrusion protection system and method | |
| EP2541862A1 (en) | A method of and apparatus for monitoring for security threats in computer network traffic | |
| US20160232349A1 (en) | Mobile malware detection and user notification | |
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| US9124617B2 (en) | Social network protection system | |
| WO2008001972A1 (en) | Method for proactively preventing wireless attacks and apparatus thereof | |
| JP2020201940A (ja) | 自動化された侵入検出用システム及び方法 | |
| JP2018194880A (ja) | 情報処理装置、不正活動分類方法および不正活動分類用プログラム | |
| EP3190767B1 (en) | Technique for detecting malicious electronic messages | |
| KR101499470B1 (ko) | 악성코드 전이 탐지를 이용한 apt 공격 방어 시스템 및 그 방어 방법 | |
| KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
| Geer | Behavior-based network security goes mainstream | |
| Vokorokos et al. | Network security on the intrusion detection system level | |
| US20160149933A1 (en) | Collaborative network security | |
| CN115603985A (zh) | 入侵检测方法及电子设备、存储介质 | |
| KR101186873B1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
| KR100651749B1 (ko) | 알려지지 않은 악성 트래픽 탐지 방법 및 그 장치 | |
| JP2007122228A (ja) | ネットワーク検疫システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |