CN110417709B - 勒索软件攻击的预警方法、服务器及计算机可读存储介质 - Google Patents

勒索软件攻击的预警方法、服务器及计算机可读存储介质 Download PDF

Info

Publication number
CN110417709B
CN110417709B CN201810392230.5A CN201810392230A CN110417709B CN 110417709 B CN110417709 B CN 110417709B CN 201810392230 A CN201810392230 A CN 201810392230A CN 110417709 B CN110417709 B CN 110417709B
Authority
CN
China
Prior art keywords
attack
information
vulnerability
server
attacked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810392230.5A
Other languages
English (en)
Other versions
CN110417709A (zh
Inventor
蔡承延
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanning Fulian Fugui Precision Industrial Co Ltd
Original Assignee
Nanning Fugui Precision Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanning Fugui Precision Industrial Co Ltd filed Critical Nanning Fugui Precision Industrial Co Ltd
Priority to CN201810392230.5A priority Critical patent/CN110417709B/zh
Publication of CN110417709A publication Critical patent/CN110417709A/zh
Application granted granted Critical
Publication of CN110417709B publication Critical patent/CN110417709B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种勒索软件攻击的预警方法,应用于服务器中。所述方法包括:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据漏洞信息分析安全漏洞的危险等级;当危险等级为高时,将漏洞信息通过ISP管理服务器发送至企业管理终端,以使SDN控制器收集与安全漏洞关联的攻击事件;接收攻击事件以及被攻击事件攻击的网站信息;统计受攻击企业的数量以及攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知SDN控制器开启防护策略以阻挡预设封包。本发明还提供一种勒索软件攻击的预警方法、服务器及计算机可读存储介质。本发明实施例可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击并启动自动化防护。

Description

勒索软件攻击的预警方法、服务器及计算机可读存储介质
技术领域
本发明实施例涉及网络安全领域,尤其涉及一种勒索软件攻击的预警方法、服务器及计算机可读存储介质。
背景技术
勒索软件(Ransomware)是一款用于拐骗数据的恶意软件,攻击者利用Ransomware对受害者的数据进行加密,然后再要求受害者支付解密密钥进而达到攻击的目的。目前,Ransomware病毒变种多,不易被一般防病毒软件所侦测,且Ransomware散播迅速,互联网服务供应商(Internet Service Provider,ISP)与企业往往无法在第一时间预先防护,并且在遭受感染后,网管人员以人工方式检测与修补大量电脑上的漏洞费时费工。面对日益增加的安全漏洞,加之流量规则数量的有限,无法防堵所有的安全漏洞。
发明内容
鉴于以上内容,有必要提供一种勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击与启动自动化防护措施。
本发明实施方式提供一种勒索软件攻击的预警方法,应用于服务器中。包括步骤:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据所述漏洞信息分析所述安全漏洞的危险等级;当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至软件定义网络(Software-defined networking,SDN)控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及被所述攻击事件攻击的网站信息;根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
本发明实施方式还提供一种勒索软件攻击的预警方法,应用于ISP管理服务器中。所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。包括步骤:接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及请求攻击缓解服务;判断所述攻击事件是否为现有安全漏洞;发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
本发明实施方式还提供一种服务器,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序。所述计算机程序被所述处理器执行时实现如下步骤:更新安全漏洞数据库,以获取安全漏洞的漏洞信息;根据所述漏洞信息分析所述安全漏洞的危险等级;当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及被所述攻击事件攻击的网站信息;根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;及将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
本发明实施方式还提供一种服务器,所述服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序。所述计算机程序被所述处理器执行时实现如下步骤:接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;接收所述攻击事件以及请求攻击缓解服务;判断所述攻击事件是否为现有安全漏洞;发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;根据所述请求攻击缓解服务通知所述SDN控制器调整路由;及发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
本发明实施方式还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述勒索软件攻击的预警方法的步骤。
相较于现有技术,所述的勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP搜集到的攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击与启动自动化防护措施,降低修补安全漏洞的成本。
附图说明
图1是本发明实施例之勒索软件攻击预警的硬件架构图。
图2是本发明实施例之服务器的程序模块图。
图3是本发明另一实施例之服务器的程序模块图。
图4是本发明实施例之预警方法的步骤流程图。
图5是本发明实施例之解除预警的步骤流程图。
图6是本发明另一实施例之预警方法的步骤流程图。
图7是本发明另一实施例之解除预警的步骤流程图。
主要元件符号说明
Figure BDA0001643713530000051
Figure BDA0001643713530000061
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
参阅图1所示,是本发明实施例之勒索软件攻击预警的硬件架构图。攻击交换服务器1通过ISP管理服务器2、企业管理终端3和4以及SDN控制器B1、B2收集受攻击的网站A1、网站A2、ISP C1和ISP C2的信息以及攻击事件,并根据所述攻击事件预警未受到攻击的企业以使所述未受攻击的企业启动自动化防护措施。ISP管理服务器2在接收到攻击事件时,同时也会将所述攻击事件发送至其他企业管理终端5以使其他企业管理终端5做好自动化防护措施。
参阅图2所示,是本发明实施例之服务器的程序模块图。
在本实施例中,所述服务器1中包括预警系统10、存储器20及处理器30。所述存储器20至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。所述处理器30可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片等。
所述预警系统10包括第一更新模块100、分析模块200、第一发送模块300、第一接收模块400、统计模块500以及第一判断模块600。所述模块100~600被配置成由一个或多个处理器(本实施例为处理器30)执行,以完成本发明。本发明所称的模块是完成一特定功能的计算机程序段。所述存储器20用于存储所述预警系统10的程序代码等资料。所述处理器30用于执行所述存储器20中存储的程序代码。
以下对模块100~600作详细介绍。
第一更新模块100更新安全漏洞数据库,以获取安全漏洞的漏洞信息。
在一较佳实施例中,第一更新模块100每隔预设时间更新安全漏洞数据库,并且当有新型安全漏洞时,将所述新型安全漏洞更新至所述安全漏洞数据库中,以获取所述安全漏洞数据库中现有安全漏洞以及所述新型安全漏洞的漏洞信息。
分析模块200根据所述漏洞信息分析所述现有安全漏洞和所述新型安全漏洞的危险等级。所述危险等级根据所述安全漏洞的破坏程度划分,所述安全漏洞的破坏程度越高,则所述安全漏洞的危险等级越高。
第一发送模块300用于当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
在一较佳实施例中,若分析模块200分析所述新型安全漏洞的危险等级为高,则第一发送模块300将所述新型安全漏洞的漏洞信息通过ISP管理服务器发送至企业管理终端,所述企业管理终端根据预设规则及网络负荷选择相应的网络监控策略,并将所述网络监控策略发送至SDN控制器,然后所述SDN控制器依照所述网络监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。当所述企业管理终端的网络负荷轻时,所述企业管理终端可以选择监控所有的安全漏洞。当所述企业管理终端的网络负荷重时,所述企业管理终端可以选择只监控所述新型安全漏洞,当然也可以选择监控包括所述新型安全漏洞在内的部分安全漏洞。
第一接收模块400接收所述攻击事件以及被所述攻击事件攻击的网站信息。
在一较佳实施例中,当所述SDN控制器收集到攻击事件时,所述SDN控制器将所述攻击事件发送至企业管理终端,所述企业管理终端进而将所述攻击事件发送至所述ISP管理服务器,所述ISP管理服务器再次将所述攻击事件以及被所述攻击事件攻击的网站信息发送至第一接收模块400,以使第一接收模块400接收所述攻击事件以及被所述攻击事件攻击的网站信息。
统计模块500根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息。
第一发送模块300还用于将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
结合图1,例如,当统计模块500统计出ISP C2受到攻击时,第一发送模块300将预警信息发送至ISP管理服务器2,ISP管理服务器2将所述预警信息发送至企业管理终端3,企业管理终端3通知SDN控制器B1立即封锁受攻击的端口封锁与所述安全漏洞相关的封包。
第一接收模块400还通过所述ISP管理服务器接收各子网域的健康状态信息。
在一较佳实施例中,所述SDN控制器将各子网域的健康状态信息发送至企业管理终端3,然后企业管理终端3将所述健康状态信息发送至ISP管理服务器2,ISP管理服务器2将所述健康状态信息发送至服务器1以使第一接收模块400接收各子网域的健康状态信息。
第一判断模块600根据所述健康状态信息判断攻击是否停止。当第一接收模块400接收到各子网域的健康状态良好信息时,第一判断模块600则判断攻击停止。
第一发送模块300还用于当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
参阅图3所示,是本发明另一实施例之服务器的程序模块图。所述服务器包括预警系统40、存储器50及处理器60。
所述预警系统40包括第二接收模块700、第二发送模块800、第二判断模块900及通知模块1000。所述模块被配置成由一个或多个处理器(本实施例为处理器60)执行,以完成本发明。本发明所称的模块是完成一特定功能的计算机程序段。存储器50与存储器20类似,处理器60与处理器30类似。与存储器20不同之处在于,存储器50用于存储预警系统40的程序代码等资料。处理器60用于执行所述存储器50中存储的程序代码。
以下对模块700~1000作详细介绍。
第二接收模块700接收攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息。所述危险等级根据所述安全漏洞的破坏程度划分,所述安全漏洞的破坏程度越高,则所述安全漏洞的危险等级越高。
第二发送模块800发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
在一较佳实施例中,结合图1,第二发送模块800将危险等级高的安全漏洞的漏洞信息发送至企业管理终3和/或4,企业管理终端3和/或4根据企业内部安全政策以及网络负荷选择监控所有的安全漏洞或监控危险等级高的安全漏洞,并将选择的监控策略发送至SDN控制器B1和/或B2,SDN控制器B1和/或B2根据所述监控策略监控网络封包并且收集与监控到的安全漏洞关联的攻击事件。
第二接收模块700还接收所述攻击事件以及请求攻击缓解服务。在一较佳实施例中,当ISP C2受到攻击时,SDN控制器B2收集到与所述安全漏洞关联的攻击事件时,将所述攻击事件发送至企业管理终端4,企业管理终端4将所述攻击事件以及请求攻击缓解服务发送至ISP管理服务器2以使所述第二接收模块700接收所述攻击事件以及请求攻击缓解服务。所述攻击缓解服务至少包括:暂时封锁受攻击的网站和网域名称系统(Domain NameSystem,DNS)重新导向。
第二判断模块900判断所述攻击事件是否为现有安全漏洞。在一较佳实施例中,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。
第二发送模块800还发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器。
结合图1,第二发送模块800将接收到的攻击事件发送至攻击服务1以及其他企业管理终端5,并将受攻击的网站发送至攻击交换服务器1,攻击交换服务器1根据所述受攻击的网站统计受攻击的企业数量。例如,攻击交换服务器1根据所述受攻击的网站的域名识别出受攻击的企业,进而统计受攻击的企业数量。
通知模块1000根据所述请求攻击缓解服务通知所述SDN控制器调整路由。结合图1,通知模块1000根据所述请求攻击缓解服务通知SDN控制器调整路由。
第二发送模块800还发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
在一较佳实施例中,当攻击交换服务器1接收到ISP C2受到攻击的攻击事件时,将预警信息发送至ISP管理服务器2,第二接收模块700接收所述预警信息,第二发送模块800将所述预警信息发送至企业管理终端3,企业管理终端3将对应防护策略发送至SDN控制器B1,SDN控制器B1根据所述防护策略发送流量规则至各子网络以阻挡预设封包。所述防护策略可以是立即封锁受攻击的网络端口。
通知模块1000还用于当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
第二接收模块700还接收所述各子网域的健康状态信息。
在一较佳实施例中,SDN控制器B1将各子网域的健康状态信息发送至企业管理终端3,然后企业管理终端3将所述健康状态信息发送至ISP管理服务器2,第二接收模块700接收所述健康状态信息。
第二发送模块800还发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。请继续参阅图1,当第二接收模块700接收到所述健康状态信息时,第二发送模块800将所述健康状态信息发送至攻击交换服务器1,并当所述各子网域均处于健康状态(也即攻击停止)时,解除警报和/或解除网站封锁。
参阅图4所示,是本发明实施例之预警方法的步骤流程图。所述预警方法应用于所述服务器1中,通过处理器30执行存储器20中存储的程序代码实现。
步骤S400,更新安全漏洞数据库,以获取安全漏洞的漏洞信息。
步骤S402,根据所述漏洞信息分析所述安全漏洞的危险等级。
步骤S404,当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
步骤S406,接收所述攻击事件以及被所述攻击事件攻击的网站信息。
步骤S408,根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息。
步骤S410,将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包。
请参阅图5所示,是本发明实施例之解除预警的步骤流程图。
步骤S500,通过所述ISP管理服务器接收各子网域的健康状态信息。
步骤S502,根据所述健康状态信息判断攻击是否停止。若所述攻击停止,则执行步骤S504,否则执行步骤S500。
步骤S504,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
请参阅图6,是本发明另一实施例之预警方法的步骤流程图。所述预警方法的执行主体是ISP管理服务器。所述所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式。
步骤S600,接收攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息。
步骤S602,发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件。所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
步骤S604,接收所述攻击事件以及请求攻击缓解服务。所述攻击缓解服务至少包括:暂时封锁受攻击的网站和DNS重新导向。
步骤S606,判断所述攻击事件是否为现有安全漏洞。当所述攻击事件不是现有安全漏洞时,则执行步骤S608,否则执行步骤S614。
步骤S608,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器。
步骤S610,根据所述请求攻击缓解服务通知所述SDN控制器调整路由。
步骤S612,发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包。
步骤S614,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
请参阅图7,是本发明另一实施例之解除预警的步骤流程图。
步骤S700,接收所述各子网域的健康状态信息。
步骤S702,发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
本发明实施例提供的勒索软件攻击的预警方法、服务器及计算机可读存储介质,可以将搜集到的受攻击的ISP攻击资讯即时反馈给尚未受攻击的ISP,以预警勒索软件攻击,启动自动化防护措施,并在攻击结束之后解除预警,极大的降低了修补安全漏洞的成本。
以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (13)

1.一种勒索软件攻击的预警方法,应用于服务器中,其特征在于,所述方法包括:
更新安全漏洞数据库,以获取安全漏洞的漏洞信息;
根据所述漏洞信息分析所述安全漏洞的危险等级;
当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及被所述攻击事件攻击的网站信息;
根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及攻击事件的类型,并根据所述统计结果获得未受攻击的企业管理终端以及ISP管理服务器的信息;
将预警信息通过所述未受到攻击的ISP管理服务器发送至所述未受攻击的企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包;
通过所述ISP管理服务器接收各子网域的健康状态信息;
根据所述健康状态信息判断攻击是否停止;及
当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
2.如权利要求1所述的预警方法,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
3.一种勒索软件攻击的预警方法,应用于ISP管理服务器中,其特征在于,所述ISP管理服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式,所述方法包括:
接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;
发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及请求攻击缓解服务;
判断所述攻击事件是否为现有安全漏洞;
当所述攻击事件不是现有安全漏洞时,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;
根据所述请求攻击缓解服务通知所述SDN控制器调整路由;
发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包;
接收所述各子网域的健康状态信息;及
发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
4.如权利要求3所述的预警方法,其特征在于,所述方法还包括:
当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
5.如权利要求3所述的预警方法,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
6.如权利要求3所述的预警方法,其特征在于,所述攻击缓解服务至少包括:暂时封锁受攻击的网站和DNS重新导向。
7.一种服务器,其特征在于,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如下步骤:
更新安全漏洞数据库,以获取安全漏洞的漏洞信息;
根据所述漏洞信息分析所述安全漏洞的危险等级;
当所述危险等级为高时,将所述漏洞信息通过ISP管理服务器发送至企业管理终端,以通知所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并将所述监控策略发送至SDN控制器,以使所述SDN控制器依照所述监控策略收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及被所述攻击事件攻击的网站信息;
根据所述攻击事件以及所述网站信息,统计受攻击企业的数量以及所述攻击事件;
将预警信息通过未受到攻击的ISP管理服务器发送至企业管理终端,以通知所述SDN控制器开启防护策略以阻挡预设封包,其中,所述防护策略包括封锁受攻击的端口,所述预设封包为与所述安全漏洞相关的封包;
通过所述ISP管理服务器接收各子网域的健康状态信息;
根据所述健康状态信息判断攻击是否停止;及
当所述攻击停止时,将解除警报信息和/或解除网站封锁信息发送至所述ISP管理服务器以解除警报和/或解除网站封锁。
8.如权利要求7所述的服务器,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
9.一种服务器,其特征在于,所述服务器与攻击交换服务器通信,所述攻击交换服务器存储有:现有安全漏洞的漏洞信息以及新型安全漏洞的漏洞信息,其中,所述现有安全漏洞的漏洞信息包括:所述现有安全漏洞的危险等级、攻击类型以及防护方式,所述服务器包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如下步骤:
接收所述攻击交换服务器发送的危险等级高的安全漏洞的漏洞信息;
发送所述漏洞信息至企业管理终端,以使所述企业管理终端根据预设规则及网络负荷选择相应的监控策略,并使所述企业管理终端将所述监控策略发送至SDN控制器,以使所述SDN控制器根据所述监控策略监控网络封包并收集与所述安全漏洞关联的攻击事件;
接收所述攻击事件以及请求攻击缓解服务;
判断所述攻击事件是否为现有安全漏洞;
当所述攻击事件不是现有安全漏洞时,发送所述攻击事件至所述攻击交换服务器以及其他企业管理终端,并将受攻击的网站发送至所述攻击交换服务器,以使所述攻击交换服务器统计受攻击的企业数量以及所述攻击事件,并将预警信息发送至未受到攻击的ISP管理服务器;
根据所述请求攻击缓解服务通知所述SDN控制器调整路由;
发送所述预警信息至所述企业管理终端,以使所述企业管理终端发送对应防护策略至所述SDN控制器,以使所述SDN控制器根据所述防护策略发送流量规则至各子网域以阻挡预设封包;
接收所述各子网域的健康状态信息;及
发送所述健康状态信息至所述攻击交换服务器,以当攻击停止后解除警报和/或解除网站封锁。
10.如权利要求9所述的服务器,其特征在于,所述计算机程序被所述处理器执行时还实现如下步骤:
当所述攻击事件为现有安全漏洞时,通知所述各子网域根据所述攻击交换服务器中所述攻击事件的防护方式更新补丁,并当更新完成时解除封锁,并重新监控所述攻击事件。
11.如权利要求9所述的服务器,其特征在于,所述监控策略包括:监控所有的安全漏洞或监控危险等级为高的安全漏洞。
12.如权利要求9所述的服务器,其特征在于,所述攻击缓解服务至少包括:暂时封锁受攻击的网站和/或DNS重新导向。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的勒索软件攻击的预警方法的步骤。
CN201810392230.5A 2018-04-27 2018-04-27 勒索软件攻击的预警方法、服务器及计算机可读存储介质 Expired - Fee Related CN110417709B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810392230.5A CN110417709B (zh) 2018-04-27 2018-04-27 勒索软件攻击的预警方法、服务器及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810392230.5A CN110417709B (zh) 2018-04-27 2018-04-27 勒索软件攻击的预警方法、服务器及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN110417709A CN110417709A (zh) 2019-11-05
CN110417709B true CN110417709B (zh) 2022-01-21

Family

ID=68346694

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810392230.5A Expired - Fee Related CN110417709B (zh) 2018-04-27 2018-04-27 勒索软件攻击的预警方法、服务器及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN110417709B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111147529A (zh) * 2020-04-08 2020-05-12 国网区块链科技(北京)有限公司 一种网络攻击数据的处理方法、系统及预警平台
CN112583828B (zh) * 2020-12-10 2022-07-01 深圳市中博科创信息技术有限公司 一种企业服务门户的安全防护方法
CN112528293B (zh) * 2020-12-18 2024-04-30 中国平安财产保险股份有限公司 安全漏洞预警方法、装置、设备及计算机可读存储介质
CN112839029B (zh) * 2020-12-22 2023-02-17 河南省信息咨询设计研究有限公司 一种僵尸网络活跃度的分析方法与系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141305A (zh) * 2007-10-08 2008-03-12 福建星网锐捷网络有限公司 网络安全防御系统、方法和安全管理服务器
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN106685968A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种工控设备自动化漏洞防御系统及方法
CN107493256A (zh) * 2016-06-13 2017-12-19 深圳市深信服电子科技有限公司 安全事件防御方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10193922B2 (en) * 2015-01-13 2019-01-29 Level 3 Communications, Llc ISP blacklist feed

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101141305A (zh) * 2007-10-08 2008-03-12 福建星网锐捷网络有限公司 网络安全防御系统、方法和安全管理服务器
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN107493256A (zh) * 2016-06-13 2017-12-19 深圳市深信服电子科技有限公司 安全事件防御方法及装置
CN106685968A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种工控设备自动化漏洞防御系统及方法

Also Published As

Publication number Publication date
CN110417709A (zh) 2019-11-05

Similar Documents

Publication Publication Date Title
CN110417709B (zh) 勒索软件攻击的预警方法、服务器及计算机可读存储介质
US10135864B2 (en) Latency-based policy activation
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
CN107809433B (zh) 资产管理方法及装置
US7594267B2 (en) Stateful distributed event processing and adaptive security
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
US20070011741A1 (en) System and method for detecting abnormal traffic based on early notification
CA2968327A1 (en) Systems and methods for malicious code detection accuracy assurance
US20140325651A1 (en) Method of defending against a spoofing attack by using a blocking server
US7917957B2 (en) Method and system for counting new destination addresses
US20160232349A1 (en) Mobile malware detection and user notification
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
KR101744631B1 (ko) 네트워크 보안 시스템 및 보안 방법
CA2683366A1 (en) Internet security dynamics assessment system, program product, and related methods
US10798115B2 (en) Apparatus and method for detecting malicious device based on swarm intelligence
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
KR20120043466A (ko) 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치
JP2017117224A (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
KR102119317B1 (ko) 사용자 단말을 식별하여 무선 ap로의 접속을 차단하는 장치 및 방법
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
KR102267101B1 (ko) 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
US20200396256A1 (en) I2nsf network security function facing interface yang data model
JP6889673B2 (ja) セキュリティ対処策立案装置および方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20220121