CN110417709A - 勒索软件攻击的预警方法、服务器及计算机可读存储介质 - Google Patents
勒索软件攻击的预警方法、服务器及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110417709A CN110417709A CN201810392230.5A CN201810392230A CN110417709A CN 110417709 A CN110417709 A CN 110417709A CN 201810392230 A CN201810392230 A CN 201810392230A CN 110417709 A CN110417709 A CN 110417709A
- Authority
- CN
- China
- Prior art keywords
- attack
- security breaches
- server
- information
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000012544 monitoring process Methods 0.000 claims description 58
- 230000003862 health status Effects 0.000 claims description 26
- 230000002265 prevention Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 14
- 231100001261 hazardous Toxicity 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims 2
- 238000004364 calculation method Methods 0.000 claims 1
- 230000006378 damage Effects 0.000 description 4
- 238000011217 control strategy Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000005389 magnetism Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种勒索软件攻击的预警方法,应用于服务器中。所述方法包括:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据漏洞信息分析安全漏洞的危险等级;当危险等级为高时,将漏洞信息通过ISP管理服务器发送至企业管理终端,以使SDN控制器收集与安全漏洞关联的攻击事件;接收攻击事件以及被攻击事件攻击的网站信息;统计受攻击企业的数量以及攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知SDN控制器开启防护策略以阻挡预设封包。本发明还提供一种勒索软件攻击的预警方法、服务器及计算机可读存储介质。本发明实施例可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击并启动自动化防护。
Description
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种勒索软件攻击的预警方法、服务器及计算机可读存储介质。
背景技术
勒索软件(Ransomware)是一款用于拐骗数据的恶意软件,攻击者利用Ransomware对受害者的数据进行加密,然后再要求受害者支付解密密钥进而达到攻击的目的。目前,Ransomware病毒变种多,不易被一般防病毒软件所侦测,且Ransomware散播迅速,互联网服务供应商(Internet Service Provider,ISP)与企业往往无法在第一时间预先防护,并且在遭受感染后,网管人员以人工方式检测与修补大量电脑上的漏洞费时费工。面对日益增加的安全漏洞,加之流量规则数量的有限,无法防堵所有的安全漏洞。
发明内容
鉴于以上内容,有必要提供一种勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击与启动自动化防护措施。
本发明实施方式提供一种勒索软件攻击的预警方法,应用于服务器中。包括步骤:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据所述漏洞信息分析所述安全漏洞的危险等级;当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至软件定义网络(Software-defined networking,SDN)控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及被所述攻击事件攻击的网站信息;根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
本发明实施方式还提供一种勒索软件攻击的预警方法,应用于ISP管理服务器中。所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。包括步骤:接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及请求攻击缓解服务;判断所述攻击事件是否为现有安全漏洞;发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
本发明实施方式还提供一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序。所述计算机程序被所述处理器执行时实现如下步骤:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据所述漏洞信息分析所述安全漏洞的危险等级;当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及被所述攻击事件攻击的网站信息;根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
本发明实施方式还提供一种服务器,所述服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序。所述计算机程序被所述处理器执行时实现如下步骤:接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及请求攻击缓解服务;判断所述攻击事件是否为现有安全漏洞;发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
本发明实施方式还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述勒索软件攻击的预警方法的步骤。
相较于现有技术,所述的勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP搜集到的攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击与启动自动化防护措施,降低修补安全漏洞的成本。
附图说明
图1是本发明实施例之勒索软件攻击预警的硬件架构图。
图2是本发明实施例之服务器的程序模块图。
图3是本发明另一实施例之服务器的程序模块图。
图4是本发明实施例之预警方法的步骤流程图。
图5是本发明实施例之解除预警的步骤流程图。
图6是本发明另一实施例之预警方法的步骤流程图。
图7是本发明另一实施例之解除预警的步骤流程图。
主要元件符号说明
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
参阅图1所示,是本发明实施例之勒索软件攻击预警的硬件架构图。攻击交换服务器1通过ISP管理服务器2、企业管理终端3和4以及SDN控制器B1、B2收集受攻击的网站A1、网站A2、ISP C1和ISP C2的信息以及攻击事件,并根据所述攻击事件预警未受到攻击的企业以使所述未受攻击的企业启动自动化防护措施。ISP管理服务器2在接收到攻击事件时,同时也会将所述攻击事件发送至其他企业管理终端5以使其他企业管理终端5做好自动化防护措施。
参阅图2所示,是本发明实施例之服务器的程序模块图。
在本实施例中,所述服务器1中包括预警系统10、存储器20及处理器30。所述存储器20至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。所述处理器30可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片等。
所述预警系统10包括第一更新模块100、分析模块200、第一发送模块300、第一接收模块400、统计模块500以及第一判断模块600。所述模块100~600被配置成由一个或多个处理器(本实施例为处理器30)执行,以完成本发明。本发明所称的模块是完成一特定功能的计算机程序段。所述存储器20用于存储所述预警系统10的程序代码等资料。所述处理器30用于执行所述存储器20中存储的程序代码。
以下对模块100~600作详细介绍。
第一更新模块100更新安全漏洞数据库,以获取安全漏洞的漏洞信息。
在一较佳实施例中,第一更新模块100每隔预设时间更新安全漏洞数据库,并且当有新型安全漏洞时,将所述新型安全漏洞更新至所述安全漏洞数据库中,以获取所述安全漏洞数据库中现有安全漏洞以及所述新型安全漏洞的漏洞信息。
分析模块200根据所述漏洞信息分析所述现有安全漏洞和所述新型安全漏洞的危险等级。所述危险等级根据所述安全漏洞的破坏程度划分,所述安全漏洞的破坏程度越高,则所述安全漏洞的危险等级越高。
第一发送模块300用于当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
在一较佳实施例中,若分析模块200分析所述新型安全漏洞的危险等级为高,则第一发送模块300将所述新型安全漏洞的漏洞信息通过ISP管理服务器发送至企业管理终端,所述企业管理终端根据预设规则及网络负荷选择相应的网络监控策略,并将所述网络监控策略发送至SDN控制器,然后所述SDN控制器依照所述网络监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。当所述企业管理终端的网络负荷轻时,所述企业管理终端可以选择监控所有的安全漏洞。当所述企业管理终端的网络负荷重时,所述企业管理终端可以选择只监控所述新型安全漏洞,当然也可以选择监控包括所述新型安全漏洞在内的部分安全漏洞。
第一接收模块400接收所述攻击事件以及被所述攻击事件攻击的网站信息。
在一较佳实施例中,当所述SDN控制器收集到攻击事件时,所述SDN控制器将所述攻击事件发送至企业管理终端,所述企业管理终端进而将所述攻击事件发送至所述ISP管理服务器,所述ISP管理服务器再次将所述攻击事件以及被所述攻击事件攻击的网站信息发送至第一接收模块400,以使第一接收模块400接收所述攻击事件以及被所述攻击事件攻击的网站信息。
统计模块500根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息。
第一发送模块300还用于将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
结合图1,例如,当统计模块500统计出ISP C2受到攻击时,第一发送模块300将预警信息发送至ISP管理服务器2,ISP管理服务器2将所述预警信息发送至企业管理终端3,企业管理终端3通知SDN控制器B1立即封锁受攻击的端口封锁与所述安全漏洞相关的封包。
第一接收模块400还通过所述ISP管理服务器接收各子网域的健康状态信息。
在一较佳实施例中,所述SDN控制器将各子网域的健康状态信息发送至企业管理终端3,然后企业管理终端3将所述健康状态信息发送至ISP管理服务器2,ISP管理服务器2将所述健康状态信息发送至服务器1以使第一接收模块400接收各子网域的健康状态信息。
第一判断模块600根据所述健康状态信息判断攻击是否停止。当第一接收模块400接收到各子网域的健康状态良好信息时,第一判断模块600则判断攻击停止。
第一发送模块300还用于当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
参阅图3所示,是本发明另一实施例之服务器的程序模块图。所述服务器包括预警系统40、存储器50及处理器60。
所述预警系统40包括第二接收模块700、第二发送模块800、第二判断模块900及通知模块1000。所述模块被配置成由一个或多个处理器(本实施例为处理器60)执行,以完成本发明。本发明所称的模块是完成一特定功能的计算机程序段。存储器50与存储器20类似,处理器60与处理器30类似。与存储器20不同之处在于,存储器50用于存储预警系统40的程序代码等资料。处理器60用于执行所述存储器50中存储的程序代码。
以下对模块700~1000作详细介绍。
第二接收模块700接收攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息。所述危险等级根据所述安全漏洞的破坏程度划分,所述安全漏洞的破坏程度越高,则所述安全漏洞的危险等级越高。
第二发送模块800发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
在一较佳实施例中,结合图1,第二发送模块800将危险等级高的安全漏洞的漏洞信息发送至企业管理终3和/或4,企业管理终端3和/或4根据企业内部安全政策以及网络负荷选择监控所有的安全漏洞或监控危险等级高的安全漏洞,并将选择的监控策略发送至SDN控制器B1和/或B2,SDN控制器B1和/或B2根据所述监控策略监控网络封包并且收集与监控到的安全漏洞关联的攻击事件。
第二接收模块700还接收所述攻击事件以及请求攻击缓解服务。在一较佳实施例中,当ISP C2受到攻击时,SDN控制器B2收集到与所述安全漏洞关联的攻击事件时,将所述攻击事件发送至企业管理终端4,企业管理终端4将所述攻击事件以及请求攻击缓解服务发送至ISP管理服务器2以使所述第二接收模块700接收所述攻击事件以及请求攻击缓解服务。所述攻击缓解服务至少包括:暂时封锁受攻击的网站和网域名称系统(Domain NameSystem,DNS)重新导向。
第二判断模块900判断所述攻击事件是否为现有安全漏洞。在一较佳实施例中,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。
第二发送模块800还发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器。
结合图1,第二发送模块800将接收到的攻击事件发送至攻击服务1以及其他企业管理终端5,并将受攻击的网站发送至攻击交换服务器1,攻击交换服务器1根据所述受攻击的网站统计受攻击的企业数量。例如,攻击交换服务器1根据所述受攻击的网站的域名识别出受攻击的企业,进而统计受攻击的企业数量。
通知模块1000根据所述请求攻击缓解服务通知所述SDN控制器调整路由。结合图1,通知模块1000根据所述请求攻击缓解服务通知SDN控制器调整路由。
第二发送模块800还发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
在一较佳实施例中,当攻击交换服务器1接收到ISP C2受到攻击的攻击事件时,将预警信息发送至ISP管理服务器2,第二接收模块700接收所述预警信息,第二发送模块800将所述预警信息发送至企业管理终端3,企业管理终端3将对应防护策略发送至SDN控制器B1,SDN控制器B1根据所述防护策略发送流量规则至各子网络以阻挡预设封包。所述防护策略可以是立即封锁受攻击的网络端口。
通知模块1000还用于当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
第二接收模块700还接收所述各子网域的健康状态信息。
在一较佳实施例中,SDN控制器B1将各子网域的健康状态信息发送至企业管理终端3,然后企业管理终端3将所述健康状态信息发送至ISP管理服务器2,第二接收模块700接收所述健康状态信息。
第二发送模块800还发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。请继续参阅图1,当第二接收模块700接收到所述健康状态信息时,第二发送模块800将所述健康状态信息发送至攻击交换服务器1,并当所述各子网域均处于健康状态(也即攻击停止)时,解除警报和/或解除网站封锁。
参阅图4所示,是本发明实施例之预警方法的步骤流程图。所述预警方法应用于所述服务器1中,通过处理器30执行存储器20中存储的程序代码实现。
步骤S400,更新安全漏洞数据库,以获取安全漏洞的漏洞信息。
步骤S402,根据所述漏洞信息分析所述安全漏洞的危险等级。
步骤S404,当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
步骤S406,接收所述攻击事件以及被所述攻击事件攻击的网站信息。
步骤S408,根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息。
步骤S410,将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
请参阅图5所示,是本发明实施例之解除预警的步骤流程图。
步骤S500,通过所述ISP管理服务器接收各子网域的健康状态信息。
步骤S502,根据所述健康状态信息判断攻击是否停止。若所述攻击停止,则执行步骤S504,否则执行步骤S500。
步骤S504,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
请参阅图6,是本发明另一实施例之预警方法的步骤流程图。所述预警方法的执行主体是ISP管理服务器。所述所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。
步骤S600,接收攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息。
步骤S602,发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
步骤S604,接收所述攻击事件以及请求攻击缓解服务。所述攻击缓解服务至少包括:暂时封锁受攻击的网站和DNS重新导向。
步骤S606,判断所述攻击事件是否为现有安全漏洞。当所述攻击事件不是现有安全漏洞时,则执行步骤S608,否则执行步骤S614。
步骤S608,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器。
步骤S610,根据所述请求攻击缓解服务通知所述SDN控制器调整路由。
步骤S612,发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
步骤S614,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
请参阅图7,是本发明另一实施例之解除预警的步骤流程图。
步骤S700,接收所述各子网域的健康状态信息。
步骤S702,发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
本发明实施例提供的勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击,启动自动化防护措施,并在攻击结束之后解除预警,极大的降低了修补安全漏洞的成本。
以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (17)
1.一种勒索软件攻击的预警方法,应用于服务器中,其特征在于,所述方法包括:
更新安全漏洞数据库,以获取安全漏洞的漏洞信息;
根据所述漏洞信息分析所述安全漏洞的危险等级;
当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及被所述攻击事件攻击的网站信息;
根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息;及
将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
2.如权利要求1所述的预警方法,其特征在于,还包括:
通过所述ISP管理服务器接收各子网域的健康状态信息;
根据所述健康状态信息判断攻击是否停止;及
当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
3.如权利要求1所述的预警方法,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
4.一种勒索软件攻击的预警方法,应用于ISP管理服务器中,其特征在于,所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式,所述方法包括:
接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;
发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及请求攻击缓解服务;
判断所述攻击事件是否为现有安全漏洞;
当所述攻击事件不是现有安全漏洞时,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;
根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及
发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
5.如权利要求4所述的预警方法,其特征在于,所述方法还包括:
当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
6.如权利要求4所述的预警方法,其特征在于,还包括:
接收所述各子网域的健康状态信息;
发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
7.如权利要求4所述的预警方法,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
8.如权利要求4所述的预警方法,其特征在于,所述攻击缓解服务至少包括:暂时封锁受攻击的网站和DNS重新导向。
9.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如下步骤:
更新安全漏洞数据库,以获取安全漏洞的漏洞信息;
根据所述漏洞信息分析所述安全漏洞的危险等级;
当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及被所述攻击事件攻击的网站信息;
根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;及
将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
10.如权利要求9所述的服务器,其特征在于,所述计算机程序被所述处理器执行时还实现如下步骤:
通过所述ISP管理服务器接收各子网域的健康状态信息;
根据所述健康状态信息判断攻击是否停止;及
当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
11.如权利要求9所述的服务器,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
12.一种服务器,其特征在于,所述服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如下步骤:
接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;
发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及请求攻击缓解服务;
判断所述攻击事件是否为现有安全漏洞;
当所述攻击事件不是现有安全漏洞时,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;
根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及
发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
13.如权利要求12所述的服务器,其特征在于,所述计算机程序被所述处理器执行时还实现如下步骤:
当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
14.如权利要求12所述的服务器,其特征在于,所述计算机程序被所述处理器执行时还实现如下步骤:
接收所述各子网域的健康状态信息;
发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
15.如权利要求12所述的服务器,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
16.如权利要求12所述的服务器,其特征在于,所述攻击缓解服务至少包括:暂时封锁受攻击的网站和/或DNS重新导向。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的勒索软件攻击的预警方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810392230.5A CN110417709B (zh) | 2018-04-27 | 2018-04-27 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810392230.5A CN110417709B (zh) | 2018-04-27 | 2018-04-27 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110417709A true CN110417709A (zh) | 2019-11-05 |
CN110417709B CN110417709B (zh) | 2022-01-21 |
Family
ID=68346694
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810392230.5A Expired - Fee Related CN110417709B (zh) | 2018-04-27 | 2018-04-27 | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110417709B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147529A (zh) * | 2020-04-08 | 2020-05-12 | 国网区块链科技(北京)有限公司 | 一种网络攻击数据的处理方法、系统及预警平台 |
CN112528293A (zh) * | 2020-12-18 | 2021-03-19 | 中国平安财产保险股份有限公司 | 安全漏洞预警方法、装置、设备及计算机可读存储介质 |
CN112583828A (zh) * | 2020-12-10 | 2021-03-30 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
CN112839029A (zh) * | 2020-12-22 | 2021-05-25 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
US20160205134A1 (en) * | 2015-01-13 | 2016-07-14 | Level 3 Communications, Llc | Isp blacklist feed |
CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
CN106685968A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种工控设备自动化漏洞防御系统及方法 |
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
-
2018
- 2018-04-27 CN CN201810392230.5A patent/CN110417709B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101141305A (zh) * | 2007-10-08 | 2008-03-12 | 福建星网锐捷网络有限公司 | 网络安全防御系统、方法和安全管理服务器 |
US20160205134A1 (en) * | 2015-01-13 | 2016-07-14 | Level 3 Communications, Llc | Isp blacklist feed |
CN105939311A (zh) * | 2015-08-11 | 2016-09-14 | 杭州迪普科技有限公司 | 一种网络攻击行为的确定方法和装置 |
CN107493256A (zh) * | 2016-06-13 | 2017-12-19 | 深圳市深信服电子科技有限公司 | 安全事件防御方法及装置 |
CN106685968A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种工控设备自动化漏洞防御系统及方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147529A (zh) * | 2020-04-08 | 2020-05-12 | 国网区块链科技(北京)有限公司 | 一种网络攻击数据的处理方法、系统及预警平台 |
CN112583828A (zh) * | 2020-12-10 | 2021-03-30 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
CN112583828B (zh) * | 2020-12-10 | 2022-07-01 | 深圳市中博科创信息技术有限公司 | 一种企业服务门户的安全防护方法 |
CN112528293A (zh) * | 2020-12-18 | 2021-03-19 | 中国平安财产保险股份有限公司 | 安全漏洞预警方法、装置、设备及计算机可读存储介质 |
CN112528293B (zh) * | 2020-12-18 | 2024-04-30 | 中国平安财产保险股份有限公司 | 安全漏洞预警方法、装置、设备及计算机可读存储介质 |
CN112839029A (zh) * | 2020-12-22 | 2021-05-25 | 河南省信息咨询设计研究有限公司 | 一种僵尸网络活跃度的分析方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110417709B (zh) | 2022-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9386036B2 (en) | Method for detecting and preventing a DDoS attack using cloud computing, and server | |
CN110417709A (zh) | 勒索软件攻击的预警方法、服务器及计算机可读存储介质 | |
EP3461103B1 (en) | Ip reputation | |
JP5248612B2 (ja) | 侵入検知の方法およびシステム | |
EP2715975B1 (en) | Network asset information management | |
US7730537B2 (en) | Method of operating an intrusion detection system | |
US20170093902A1 (en) | Detection of security incidents with low confidence security events | |
CN110495138A (zh) | 工业控制系统及其网络安全的监视方法 | |
CA2968327A1 (en) | Systems and methods for malicious code detection accuracy assurance | |
WO2003055148A1 (en) | Method, apparatus and software for network traffic management | |
KR101991737B1 (ko) | 공격자 가시화 방법 및 장치 | |
JP2004312064A (ja) | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム | |
KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
US8095981B2 (en) | Worm detection by trending fan out | |
CN110489969B (zh) | 基于soar处置主机挖矿病毒的系统和电子设备 | |
Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
US20200396256A1 (en) | I2nsf network security function facing interface yang data model | |
KR20210141198A (ko) | 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 | |
CN113055362A (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
EP1751651B1 (en) | Method and systems for computer security | |
JP2005175714A (ja) | ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム | |
Kaskar et al. | A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set | |
CN115622754B (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
Portokalidis et al. | SweetBait: Zero-hour worm detection and containment using honeypots |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220121 |
|
CF01 | Termination of patent right due to non-payment of annual fee |