CN112383546B - 一种处理网络攻击行为的方法、相关设备及存储介质 - Google Patents

一种处理网络攻击行为的方法、相关设备及存储介质 Download PDF

Info

Publication number
CN112383546B
CN112383546B CN202011268588.0A CN202011268588A CN112383546B CN 112383546 B CN112383546 B CN 112383546B CN 202011268588 A CN202011268588 A CN 202011268588A CN 112383546 B CN112383546 B CN 112383546B
Authority
CN
China
Prior art keywords
gateway
access
attack behavior
access request
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011268588.0A
Other languages
English (en)
Other versions
CN112383546A (zh
Inventor
范宇河
杨勇
甘祥
郑兴
彭婧
郭晶
刘羽
唐文韬
申军利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202011268588.0A priority Critical patent/CN112383546B/zh
Publication of CN112383546A publication Critical patent/CN112383546A/zh
Application granted granted Critical
Publication of CN112383546B publication Critical patent/CN112383546B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请实施例涉及云技术领域,并提供一种处理网络攻击行为的方法、相关设备及存储介质,该方法包括:从网关接收来自通信设备的访问请求;根据所述访问请求获取所述通信设备在网关的网关流量;对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;根据应用层数据对所述网关流量进行信息注入的攻击行为分析;若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应;向所述通信设备发送所述访问响应。本方案能够探测未知网络威胁,使得网络安全防护模式由被动防御转为主动防御,从而有效提高网络安全防护水平。

Description

一种处理网络攻击行为的方法、相关设备及存储介质
技术领域
本申请实施例涉及云技术领域,尤其涉及一种处理网络攻击行为的方法、相关设备及存储介质。
背景技术
蜜罐是以主机agent(代理),docker(应用容器引擎)等方式部署,并在内网和外网布设探针节点,每台探针上绑定若干IP,开启监听模式;同时需要部署专门的蜜罐服务,如:mysql(关系型数据库管理系统)、ssh(安全外壳协议)、redis(Remote Dictionary Server,远程字典服务)、web(网页)等不同类的业务服务,最后将数据全部收集到蜜罐管理端,即可对蜜罐数据进行收集、分析和溯源,实现蜜罐的搭建。
但是,蜜罐部署于真实网络环境,由于每一个蜜罐就是一个真实主机服务,因此,如果蜜罐没有做到很好的安全部署和安全隔离,若出现安全漏洞,则可能导致攻击者从突破蜜罐,进入业务的正常服务中,导致蜜罐起帮倒忙,反而给攻击者提供了帮助。可见,现有的蜜罐技术容易导致真实网络环境的出现安全性降低的问题。
发明内容
本申请实施例提供了一种处理网络攻击行为的方法、相关设备及存储介质,能够探测未知网络威胁,使得网络安全防护模式由被动防御转为主动防御,从而有效提高网络安全防护水平。
第一方面中,本申请实施例提供一种处理网络攻击行为的方法,所述方法包括:
从网关接收来自通信设备的访问请求;
根据所述访问请求获取所述通信设备在网关的网关流量;
对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;
根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;
若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
向所述通信设备发送所述访问响应。
一种可能的设计中,所述方法还包括:
确定所述访问请求的数据承载(payload)方式;
根据所述数据承载方式至少响应下述操作之一:
模拟数据库变量、模拟数据库、模拟数据表的名称、模拟数据表中的列名称、或者模拟所述访问响应并向所述通信设备返回所述访问响应。
一种可能的设计中,确定所述网关流量存在预设类型信息注入或预设类型信息注入攻击行为的方式包括以下方式中的一种:
元字符信息注入检测(如元字符SQL注入检测)、UNION(联合)型信息注入检测(如UNION型SQL注入检测)、报错型信息注入检测(如报错型SQL注入检测)、Int(整数)型信息注入检测或者布尔型信息注入检测。
第二方面中,本申请实施例提供一种网络侧设备,具有实现对应于上述第一方面提供的处理网络攻击行为的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述网络侧设备包括:
收发模块,用于从网关接收来自通信设备的访问请求;
获取模块,用于根据所述访问请求获取所述通信设备在网关的网关流量;
处理模块,用于对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
所述收发模块还用于向所述通信设备发送所述处理模块获取的所述访问响应。
一种可能的设计中,所述处理模块具体用于:
当所述攻击行为对应的响应方式为伪造响应时,从所述访问请求中获取四元组、数据量、数据偏移量和数据长度;
根据所述四元组、所述数据量、所述数据偏移量和所述数据长度,构造所述访问响应。
一种可能的设计中,所述处理模块具体用于:
当所述网关流量为防御型的信息注入且未识别出所述信息注入的防御方式后,阻断所述通信设备与所述网关之间的流量交互;
生成重置消息,所述重置消息用于指示所述通信设备释放所述通信设备与所述服务器之间的传输协议连接;
通过所述收发模块将所述重置消息作为所述访问响应向所述通信设备和所述服务器分别发送所述重置消息。
一种可能的设计中,所述处理模块具体用于:
若根据所述网关流量确定所述访问请求为非信息注入的请求,则基于当前时间戳生成小于预设数值的随机数;
以所述随机数为阻断概率,随机阻断所述访问请求。
一种可能的设计中,所述处理模块具体用于:
当确定所述网关流量为防御型的信息注入后,获取所述访问请求的访问频率和所述访问请求中的用户代理;
根据所述访问频率和所述用户代理确定所述访问请求为攻击工具生成,则向所述通信设备发送双向访问响应,所述双向访问响应用于阻断所述通信设备与网关之间的流量交互。
一种可能的设计中,所述处理模块具体用于:
当确定所述网关流量为报错型的信息注入后,获取所述服务器的数据库报错页面;
通过所述收发模块向所述通信设备发送数据库报错页面。
一种可能的设计中,所述处理模块具体用于:
当确定所述网关流量符合信息注入攻击行为后,获取信息注入的行为;
若确定所述信息注入的行为为读取数据库中的预设变量值,则获取模拟变量值;所述模拟变量值与所述预设变量值均对应同一变量
通过所述收发模块向所述通信设备发送所述模拟变量值。
一种可能的设计中,所述处理模块在获取所述访问响应之后,还用于:
根据所述访问响应记录所述访问请求的访问状态,所述访问状态用于指示所述通信设备对所述服务器的攻击行为类型;
根据来自同一个所述通信设备的访问状态确定所述通信设备访问所述服务器的攻击行为路径;
根据所述攻击行为路径溯源所述通信设备的身份。
一种可能的设计中,所述处理模块具体用于:
获取所述访问请求中的包头字段和结构体字段;
根据预设正则表达式分别对所述包头字段和所述结构体字段进行检测;
若匹配出所述包头字段和所述结构体字段中的至少一项存在预设字符,则确定所述网关流量符合信息注入攻击行为。本申请实施例又一方面提供了一种计算机装置,其包括至少一个连接的处理器、存储器和收发器,其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中的计算机程序来执行上述第一方面所述的方法。
本申请实施例又一方面提供了一种计算机可读存储介质,其包括指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述第一方面、第一方面种的各种可能的设计。
相较于现有技术,本申请实施例提供的方案中,从网关接收来自通信设备的访问请求;根据所述访问请求获取所述通信设备在网关的网关流量;对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;向所述通信设备发送所述访问响应。因此,向所述通信设备发送所述访问响应后,就能够向攻击者营造一种当前访问的是真实服务且该访问响应来自真实服务,这样就能够引诱攻击者逐步露出攻路径,满满暴露攻击者的身份,因此,本方案能够探测未知网络威胁,使得网络安全防护模式由被动防御转为主动防御,从而有效提高网络安全防护水平。
附图说明
图1为本申请实施例中实施本方案的网络架构的一种示意图;
图2为本申请实施例中处理网络攻击行为的方法的一种流程示意图;
图3为本申请实施例中处理网络攻击行为的方法的另一示意图;
图4为本申请实施例中网络回包的策略处理流程示意图;
图5为本申请实施例中网络侧设备的一种结构示意图;
图6为本申请实施例中网络侧设备的另一种结构示意图;
图7为本申请实施例中服务器的另一种结构示意。
具体实施方式
本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请实施例中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请实施例中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请实施例方案的目的。
本申请实施例供了一种处理网络攻击行为的方法、相关设备及存储介质,可用于模拟网络环境(例如模拟网络蜜罐功能)场景。该方案可用于网络侧设备,例如可应用于控制平台。
其中,网络蜜罐本质上是一种模拟企业真实网络环境、真实应用程序和真实业务逻辑,提供近似实战的网络安全主动防御平台。故意让人攻击的目标,引诱黑客前来攻击,起到欺骗拖延黑客的作用,同时可以产生告警,记录黑客的攻击行为路径,可以及时发现黑客进行止损,在必要时候根据蜜罐收集的证据来起诉入侵者;通过部署蜜罐可以探测未知网络威胁,使得网络安全防护模式由被动防御转为主动防御,从而有效提高网络安全防护水平。
本申请实施例中的方案可通过本申请实施例的方法可基于云技术(Cloudtechnology)实现,下面将对涉及的云技术中云计算(cloud computing)、云存储(cloudstorage)、数据库、数据库管理系统(Database Management System,DBMS)以及大数据(Bigdata)等技术分别进行介绍:
云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。云计算是网格计算(GridComputing)、分布式计算(Distributed Computing)、并行计算(Parallel Computing)、效用计算(Utility Computing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。
云存储是在云计算概念上延伸和发展出来的一个新的概念,分布式云存储系统(以下简称存储系统)是指通过集群应用、网格技术以及分布存储文件系统等功能,将网络中大量各种不同类型的存储设备(存储设备也称之为存储节点)通过应用软件或应用接口集合起来协同工作,共同对外提供数据存储和业务访问功能的一个存储系统。例如,服务器对电子地图、空间单元、用户数据等进行存储。
目前,存储系统的存储方法为:创建逻辑卷,在创建逻辑卷时,就为每个逻辑卷分配物理存储空间,该物理存储空间可能是某个存储设备或者某几个存储设备的磁盘组成。客户端在某一逻辑卷上存储数据,也就是将数据存储在文件系统上,文件系统将数据分成许多部分,每一部分是一个对象,对象不仅包含数据而且还包含数据标识(ID entity,ID)等额外的信息,文件系统将每个对象分别写入该逻辑卷的物理存储空间,且文件系统会记录每个对象的存储位置信息,从而当客户端请求访问数据时,文件系统能够根据每个对象的存储位置信息让客户端对数据进行访问。
数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据进行新增、查询、更新、删除等操作。所谓“数据库”是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。例如,可存储从终端收集攻击者所在的通信设备的攻击路径,以及攻击者的身份。
数据库管理系统是为管理数据库而设计的电脑软件系统,一般具有存储、截取、安全保障、备份等基础功能。数据库管理系统可以依据它所支持的数据库模型来作分类,例如关系式、即可扩展标记语言(Extensible Markup Language,XML);或依据所支持的计算机类型来作分类,例如服务器群集、移动电话;或依据所用查询语言来作分类,例如结构化查询语言(Structured Query Language,SQL)、XQuery;或依据性能冲量重点来作分类,例如最大规模、最高运行速度;亦或其他的分类方式。不论使用哪种分类方式,一些DBMS能够跨类别,例如,同时支持多种查询语言。例如,服务器可从终端收集攻击者所在的通信设备的攻击路径,以及收集攻击者的身份,然后保存,以便于后期对攻击者进行分析和有针对性的指定防御计划。
大数据是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。随着云时代的来临,大数据也吸引了越来越多的关注,大数据需要特殊的技术,以有效地处理大量的容忍经过时间内的数据。适用于大数据的技术,包括大规模并行处理数据库、数据挖掘、分布式文件系统、分布式数据库、云计算平台、互联网和可扩展的存储系统。例如,服务器可从终端收集攻击者所在的通信设备的攻击路径,以及收集攻击者的身份。
一些实施方式中,上述处理网络攻击行为的方法可应用于如图1所示的网络架构。在图1中,该网络架构包括多个服务器、网络地址转换(Network Address Translation,NAT)设备、至少一个控制平台、光交换机、核心交换机以及网络蜜罐探针。下面分别进行介绍:
服务器:用于面向终端提供网络服务。
光交换机:用于将核心交换机的流量进行镜像,并将镜像的流量发送至控制平台。
网络蜜罐探针:用于捕获、分析网络数据包,网络蜜罐探针为一个组件,主要在于采集流量。网络蜜罐探针将捕获的网络数据包传送给控制平台。网络蜜罐部署在光交换机的断口处,与服务器提供的真实服务相互隔离。
控制平台,用于基于访问请求对应的网络数据包进行攻击行为分析,当确定访问请求为SQL注入后,可向核心交换机发送至少一个伪造的用于响应该访问请求的数据包。
基于上述图1所示的网络架构,本申请实施例主要提供以下技术方案:
与实际提供网络服务的网络环境进行安全隔离,在机房网络出口处部署网络蜜罐,以覆盖整个企业,并将任意的域名/IP变成网络蜜罐。基于网络回包的方式来构建网络蜜罐,即通过旁路监听网关流量,对网关处的流量进行分析,通过伪造TCP数据包返回至客户端来实现蜜罐功能。
其中,需要特别说明的是,本申请实施例涉及的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。本申请实施例涉及的通信设备可为终端或网络侧设备(例如服务器),本申请实施例不对此作限定。终端可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。例如,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、个人数字助理等设备,但并不局限于此。通信设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
参照图2,以下介绍本申请实施例所提供的一种处理网络攻击行为的方法,该方法由网络侧设备(例如控制平台)执行,具体来说,本申请实施例包括:
201、从网关接收来自通信设备的访问请求。
其中,所述访问请求用于指示请求获取应用层数据。
202、根据访问请求获取所述通信设备在网关的网关流量。
其中,网络流量可采取对所述通信设备进行旁路监听的方式。在一实施例中当从网关接收到访问请求,可以触发网关流量的获取等,具体地,可以通过访问请求的请求参数获取通信设备在相应网关的网关流量。
203、对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据。
在一实施例中,对所述网关流量进行流量复制可以通过镜像处理或者分光处理来复制流量,以从所述网关采集所述应用层数据。
例如,可通过在网络的核心层或汇聚层交换机上设置端口镜像,将交换机上连端口的出境流量复制(镜像)一份到Openet BSMP前置机上,即可采集到所有用户访问网络的访问请求,例如采集本申请实施例中通信设备(例如攻击者)的访问请求。
204、根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析。
在一实施例中,可以通过所述应用层数据进行分析(如:是否请求了目标域名/IP,是否为SQL注入攻击行为、是否是黑客攻击探测等)。
在一实施例中,为了提升攻击行为的准确性,可以对应用层数据进行预处理,然后进行分析。也即步骤“根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析”,可以包括:
对所述应用层数据进行预处理,得到伪主机服务数据;
对所述伪主机服务数据进行分析处理,以确定所述网关流量的信息注入的攻击行为。
其中,预处理是指去除与SQL注入无关的噪声数据。例如,会话组包之后,将该HTTP(超文本传输协议)包中无用的数据包筛除,例如:访问静态资源的请求,上传文件的请求和无用的域名/IP等。
在一实施例中,参考图3,对可以应用层数据进行HTTP重组,然后,在对重组后数据进行预处理如筛选或过滤等。其中,HTTP重组:由于HTTP数据包是以TCP包的形式进行传输,因此对于应用层数据,需要重组数据包,本申请实施例主要是涉及TCP底层重组,将多个TCP数据包还原成完整的HTTP会话数据包,并将HTTP中的URL编码进行解码还原。
205、若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应。
其中,预设类型信息注入可为结构化查询语言(Structured Query Language,SQL)注入。SQL注入是指通过构建特殊的输入作为参数传入Web应用程序,通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。输入的SQL语句大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
所述访问响应可以包括指示所述网关存在预设类型信息注入漏洞的指示信息,例如指示存在SQL注入漏洞。所述访问响应可为传输控制协议(Transmission ControlProtocol,TCP)数据。
本申请实施例中,不同的预设类型信息注入的攻击行为可以对应的不同的响应方式,具体对应关系可以根据实际需求来设定,其中,响应方式可以包括:阻断响应、模拟响应(或者伪造响应)。其中,阻断响应可以包括阻断通信设备与网关之间的流量交互,比如,可以发送重置消息等实现阻断。在一实施例中,阻断响应还可划分为随机阻断、双向访问响应阻断等等。
其中,模拟响应是模拟或伪造请求的响应,比如,模拟或伪造请求的数据包进行响应,一些场景中也可以称为模拟回包。
比如,在一实施例中,参考图3,以SQL注入为例,若所述网关流量为防御型的信息注入且未识别出所述信息注入的防御方式时,响应方式可以为阻断响应;若所述网关流量为防御型的预设类型信息注入,则响应方式可以为双向阻断;当确定所述网关流量为报错型的SQL注入,响应方式可以为报错响应;当确定所述网关流量为报错型的SQL注入,响应方式可以为模拟变量响应。
一些实施方式中,确定所述网关流量符合预设类型信息注入的攻击行为,比如,根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析可以包括:
获取所述应用层数据包中的包头字段和结构体字段(例如body字段);
根据预设正则表达式分别对所述包头字段和所述结构体字段进行检测;
若匹配出所述包头字段和所述结构体字段中的至少一项存在预设字符,则确定所述网关流量存在SQL注入攻击行为。
一些实施方式中,可以先对应用层数据进行HTTP重组形成应用层数据的数据包,然后,再根据预设正则表达式分别对HTTP数据包的包头字段和所述结构体字段进行检测,在检测时可通过正则表达式来检测,即将该包头字段和该结构体字段分别输入正则表达式,即可判断该HTTP请求中是否存在SQL注入攻击。下面介绍5种正则表达式来检测SQL注入攻击行为的方式,具体可包括以下方式中的一种:
检测元字符SQL注入的正则表达式:/(\%27)|(\’)|(\-\-)|(\%23)|(#)/ix
检测UNION型SQL注入的正则表达式:/((\%27)|(\’))union/ix(\%27)|(\’)
检测报错型SQL注入的正则表达式:\bupdatexml\(\d+,concat\(0x\w+,\(select@@version\),0x\w+\),\d+\)
检测Int型SQL注入的正则表达式:\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))
检测布尔型SQL注入的正则表达式:and\(select length\(table_name\)frominformation_schema.tables where table_schema=database\(\)limit\d+,\d+\)=\d+
例如,对HTTP请求的header和body字段分别进行匹配,判断出存在SQL注入攻击的请求。
另一些实施方式中,还可通过UA来检测是否SQL注入攻击是否来自SQL注入攻击工具,常见的几种攻击工具可包括:
acunetix、sqlmap、havij、pangolin、sql power injecto、sqlninja。
206、向所述通信设备发送所述访问响应。
其中,在一实施例中,所述访问响应可以用于向所述通信设备指示所述访问响应来自伪主机服务,也就是说,该访问响应为模拟的响应,专门用于向发起访问请求的通信设备发送一个干扰信息,以欺骗通信设备其当前访问的是真实的网络环境。在一实施例中,访问响应还可以重置消息报文等,比如,在阻断响应情况下,可以向通信设备发送重置消息报文,让通信设备释放TCP连接,达到阻断连接或会话的目的。
例如,参考图3,可以对应用层数量流进行HTTP组包,然后,进行数据筛选,通过策略对筛选后数据进行逻辑处理,,判断对该数据包不任何处理,还是发送RST包进行阻断,还是模拟HTTP响应进行回包。返回RST包:在需要对HTTP数据包进行阻断的时候,通过构造交互双方(客户端和服务端)的reset报文发给对端,让对端释放该TCP连接,而从实现阻断会话。伪造HTTP回包:在需要对HTTP数据包进行伪装欺骗的时候,通过构造HTTP请求对应的响应包,发送至客户端来实现回包欺骗。
一些实施方式中,伪主机服务可为蜜罐。其中,蜜罐是指在互联网上运行的计算机系统;它主要使专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的,蜜罐是一个包含漏洞的欺骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,蜜罐可以不用向外界提供真正有价值的服务,因此所有对蜜罐的访问尝试都可视为可疑的请求。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者布蜜罐上浪费时间。蜜罐可看作一个情报收集系统,即蜜罐被构设为故意让被攻击的目标,引诱攻击者攻击。在攻击者入侵服务器后,蜜罐就可以获取攻击者的攻击路径,了解该攻击者针对服务器发动的最新的攻击和漏洞,以及通过监听攻击者之间的联系来收集黑客所用的种种工具并掌握攻击者的社交网络。本申请中的蜜罐还可以探测未知网络威胁,提前修复,使得网络安全防护模式从被动防御转变为主动防御,以提高网络安全防护水平。
在本申请实施例的一些实施例中,对预设类型信息注入的攻击行为的访问响应过程,可以包括下述步骤1-3:
1、对所述网关流量进行流量复制(例如通过镜像处理或者分光处理来复制流量),以从所述网关采集所述应用层数据。
例如,可通过在网络的核心层或汇聚层交换机上设置端口镜像,将交换机上连端口的出境流量复制(镜像)一份到Openet BSMP前置机上,即可采集到所有用户访问网络的访问请求,例如采集本申请实施例中通信设备(例如攻击者)的访问请求。
或者,对于某些节点,宽带接入服务器通过光口GE链路直接与核心路由器(一般为Cisco GSR)相连,宽带接入服务器及GSR均不支持端口镜像,这时采用分光器进行流量采集是最合适的方法。当某些节点的核心交换机、汇聚层交换机没有足够的GE端口,不适合采用端口镜像进行流量采集时,或希望在出口采集网络流量,就可以采分光器进行流量采集。分光器是一种无源光器件,通过在物理层上进行光复制来采集用户访问请求数据。
2、对所述应用层数据进行预处理,得到伪主机服务数据。
其中,预处理是指去除与SQL注入无关的噪声数据。例如,会话组包之后,将该HTTP包中无用的数据包筛除,例如:访问静态资源的请求,上传文件的请求和无用的域名/IP等。
可见,通过对所述应用层数据进行预处理能够提升性能和准确率。
3、根据伪主机服务数据网关流量进行信息注入的攻击行为分析,比如,当确定所述伪主机服务数据满足数据异常行为后,确定所述网关流量符合预设类型信息注入的攻击行为,此时,可以攻击行为对应的响应方式可以为伪造响应方式,基于该响应方式生成访问响应。
一些实施方式中,可通过以下操作构造或生成所述访问响应:
从所述访问请求中获取四元组、数据量、数据偏移量和数据长度;
根据所述四元组、所述数据量、所述数据偏移量和所述数据长度,构造所述访问响应。
例如,参考图3,伪造HTTP回包时,可在需要对HTTP包进行伪装欺骗的时候,通过构造HTTP请求对应的响应包,发送至客户端来实现回包欺骗(根据请求的四元组、tcp-ack、tcp-seq和数据包长度来伪造),由于网络蜜罐部署在网关,所以网络蜜罐在网络上的位置在真实服务的前面,因此,网络传输路径更短,发送的HTTP回包会先到达处于通信设备中的客户端,从而实现伪造回包。
可选的,在本申请的一些实施例中,为便于追溯每次对网络蜜罐进行攻击的通信设备,还可以记录每次的攻击行为。具体来说,在获取所述访问响应之后,所述方法还包括:
根据所述访问响应记录所述访问请求的访问状态,所述访问状态用于指示所述通信设备对所述服务器的攻击行为类型;
根据来自同一个所述通信设备的访问状态确定所述通信设备访问所述服务器的攻击行为路径;
根据所述攻击行为路径溯源所述通信设备的身份。
例如,通过记录每一个访问请求的IP的处理状态(放过、阻断和回包),来对攻击者进行持续追踪和欺骗,来实现网络蜜罐中记录黑客的攻击行为路径,溯源黑客身份的功能。
与现有技术相比,本申请实施例中,从网关接收来自通信设备的访问请求,若确定所述网关流量符合预设类型信息注入的攻击行为,则获取基于所述访问请求的访问响应,由于所述访问响应用于指示所述网关存在预设类型信息注入漏洞,且用于向所述通信设备指示所述访问响应来自伪主机服务。因此,向所述通信设备发送所述访问响应后,就能够向攻击者营造一种当前访问的是真实服务且该访问响应来自真实服务,这样就能够引诱攻击者逐步露出攻路径,满满暴露攻击者的身份,因此,本方案能够探测未知网络威胁,使得网络安全防护模式由被动防御转为主动防御,从而有效提高网络安全防护水平。
可选的,在本申请实施例的一些实施例中,由于通信设备在向服务器发送为SQL注入的访问请求时,可能会使用至少一种绕过检测SQL注入的绕过方式(也可称作屏蔽检测方式),所以为了进一步提高检测SQL注入的命中率,还需要分别针对不同的SQL注入场景的执行对应的操作,以减少SQL注入的攻击行为的成功率。
本申请实施例中,可针对以下绕过检测SQL注入的绕过方式进行阻断:
注释符:/*!select*/,/**/,#,%00,--a等
编码:经过unlencode,base64,serialize等函数编码
算术运算法:1e0,!1,~1等
等价函数绕过:sleep()->benchmark(),group_concat()–>concat_ws()
下面将分别从元字符SQL注入检测、UNION型SQL注入检测、报错型SQL注入检测、Int型SQL注入检测或者布尔型SQL注入检测。
如图4所示的流程图,分别从以下几个角度来介绍生成访问响应以及发送访问响应的流程,具体地以信息注入为SQL注入为例:
一、模拟应用防火墙,阻断常见SQL注入
可通过模拟应用防火墙的方式修改请求数据包的处理逻辑。具体来说,所述若确定所述网关流量符合预设类型信息注入的攻击行为,则获取基于所述访问请求的访问响应,向所述通信设备发送所述访问响应,包括:
当确定所述网关流量为防御型的信息注入如SQL注入且未识别出所述SQL注入的防御方式后,阻断所述通信设备与所述网关之间的流量交互;
生成重置消息,所述重置消息用于指示所述通信设备释放所述通信设备与所述服务器之间的传输协议连接;
将所述重置消息作为所述访问响应向所述通信设备和所述服务器分别发送所述重置消息。
一些实施方式中,重置消息可为RST(重置连接)报文,响应的,该RST报文可用于指示所述通信设备释放所述通信设备与所述服务器之间的TCP连接。
例如,可通过模拟应用防火墙(Web Application Firewall,WAF),以阻断常见SQL注入。具体来说,当未识别出SQL注入的绕过方式,且为SQL注入时,则通过向客户端和服务端同时发送RST报文,以此来对该SQL注入的攻击行为进行阻断,则自动阻断了扫描器的批量自动化攻击。
二、随机阻断
具体来说,在所述确定所述网关流量符合预设类型信息注入的攻击行为之后,还可以先判断该类攻击行为的类型,然后再决策是否阻断该访问请求或者决策阻断此类访问请求的方式,以迷惑攻击者。所述方法还包括:
若根据所述网关流量确定所述访问请求为非信息注入如SQL注入的请求,则基于当前时间戳生成小于预设数值的随机数;
以所述随机数为阻断概率,随机阻断所述访问请求。
例如,基于时间产生随机数,随机概率为1-5%之间,随机阻断检测为绕过SQL注入的攻击请求。可见,通过较低概率的阻断,让攻击者认为服务器不稳定,来拖延攻击者的时间,并且还能降低网络侧设备的网络蜜罐的信令支出,尤其是当网络蜜罐在同一个时段内接受来自多个通信设备的多个访问请求这种并发情况时,更能够减轻网络蜜罐的负担。
三、通过对任何HTTP接口伪造HTTP回包来实现,此步通过模拟注入成功的HTTP响应包来伪造为网络蜜罐,欺骗攻击者。具体来说,
(1)、将某个HTTP接口配置为网络蜜罐接口,例如将下述URL配置为网络蜜罐接口:
qq.com/index.php?userid=1
其中,该URL实际不存在,所以能够达到欺骗攻击者的目的。此外,由于该URL实际不存在,因此,在未将下述URL配置为网络蜜罐接口时,则向通信设备返回404。
(2)、当所有通信设备(包括攻击者)正常访问上述(1)中配置的该HTTP接口时,都会向通信设备返回下述消息:
{“status”:0,’data’:”ok”}
此时,返回的消息则是伪装成了一个正常服务,迷惑攻击者,引诱攻击者来通过该HTTP接口进行SQL注入攻击。
(3)、当攻击者尝试对该HTTP接口进行SQL注入攻击时,则向作为攻击者的通信设备返回该攻击行为对应的响应包,以来使攻击者以为该HTTP接口存在漏洞。一次常规的SQL注入攻击如下:
a、判断是否存在漏洞,请求qq.com/index.php?userid=1and 1=2,此时返回{“status”:-1,’data’:”error”};
b、判断是否为误报,qq.com/index.php?userid=1and 1=1,此时返回{“status”:0,’data’:”ok”};
因此攻击者会认为此处存在SQL注入漏洞。
四、针对攻击工具引发的SQL注入攻击,随机丢包
具体来说,所述若确定所述网关流量符合预设类型信息注入的攻击行为,则获取基于所述访问请求的访问响应,包括:
当所述网关流量为防御型的信息注入如SQL注入后,获取所述访问请求的访问频率和所述访问请求中的UA(user agent,用户代理);
根据所述访问频率和所述UA确定所述访问请求为攻击工具生成,则向所述通信设备发送双向访问响应,所述双向访问响应用于阻断所述通信设备与网关之间的流量交互。
例如,通过攻击请求中的UA,攻击的请求频率来判断SQL注入攻击是否为攻击工具发起,若为攻击工具,则对该攻击者发送双向RST包进行阻断,判断SQL注入攻击是否为攻击工具发起的标准如下项中的任一项:
UA为常见扫描工具(例如acunetix、sqlmap、havij、pangolin、sql powerinjecto、sqlninja)
UA为自动化脚本,包含:wget,curl,python,java,go-http
单个IP请求频率>=50个/s
五、根据攻击行为的数据承载方式响应攻击者
具体来说,所述若确定所述网关流量符合预设类型信息注入的攻击行为,则获取基于所述访问请求的访问响应,向所述通信设备发送所述访问响应,包括:
当确定所述网关流量为报错型的SQL注入后,获取所述服务器的数据库报错页面;
向所述通信设备发送数据库报错页面。
例如,当确定所述网关流量为报错型的SQL注入后,可根据攻击行为的数据承载(payload)方式来响应该访问请求。一些实施方式中,可根据所述数据承载方式向上述访问请求至少响应下述操作之一:
模拟数据库变量、模拟数据库、模拟数据表的名称、模拟数据表中的列名称、或者模拟所述访问响应并向所述通信设备返回数据库报错页面。
例如,若访问请求为:'or extractvalue(1,concat(user(),0x7e,version()))
相应的,返回给攻击者的访问响应则是:Duplicate entry‘root@localhost~1’for key‘group_key’
六、模拟数据库变量,并返回给攻击者
具体来说,所述当确定所述网关流量符合预设类型信息注入的攻击行为后,获取基于所述访问请求的访问响应,向所述通信设备发送所述访问响应,包括:
当确定所述网关流量符合SQL注入攻击行为后,获取SQL注入的行为;
若确定所述SQL注入的行为为读取数据库中的预设变量值,则获取模拟变量值;所述模拟变量值与所述预设变量值均对应同一变量
向所述通信设备发送所述模拟变量值。
例如,当攻击者使用SQL注入来尝试读取DB中的相关变量值时,欺骗回包预先定义好的变量值。一些实施方式中,可参考下表1来选择御前定义的变量值并返回给攻击者:
表1
六、模拟数据库/表名/列名
当攻击者使用SQL注入来尝试读取DB中的数据库/表名/列名时,欺骗回包提前定义好的值。这里定义了数据库为:test,表名为:admin,列名为:username和password。
(1)数据库:
请求:(select 1from(select count(*),concat('~',(select database()),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b)
响应:Duplicate entry‘~test~1’for key‘group_key’
(2)表名:
请求:(select 1from(select count(*),concat('~',(select table_namefrom information_schema.tables where table_schema=testlimit 1,1),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b)
响应:Duplicate entry‘~admin~1’for key‘group_key’
(3)列名:
请求:(select 1from(select count(*),concat('~',(select column_namefrominformation_schema.columns where table_name='admin'limit 0,1),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b);
响应:Duplicate entry‘~username~1’for key‘group_key’
请求:(select 1from(select count(*),concat('~',(select column_namefrominformation_schema.columns where table_name='admin'limit 1,2),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b);
响应:Duplicate entry‘~password~1’for key‘group_key
七、模拟DB中的数据,并返回给攻击者
当攻击者使用SQL注入来尝试读取DB中的数据库/表名/列名对应的数据时,欺骗回包提前定义好的值。这里定义了数据为:username:test,password:123456。
请求:(select 1from(select count(*),concat('~',(select username fromtest.admin limit 0,1),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b);
响应:Duplicate entry‘~test~1’for key‘group_key’
请求:(select 1from(select count(*),concat('~',(select password fromtest.admin limit 0,1),'~',floor(rand(0)*2))as a from information_schema.tables group by a)b);
响应:Duplicate entry‘~123456~1’for key‘group_key’
可见,通过上述一至七种方式,能够从不同角度,针对不同攻击行为的场景进行有针对性的防御或者反击,而不是局限于单一或少量的防御或反击方式,因此,能够进一步加强网络安全性。
图1至图4中任一项所对应的实施例中所提及的任一技术特征也同样适用于本申请实施例中的图5至图7所对应的实施例,后续类似之处不再赘述。
以上对本申请实施例中一种处理网络攻击行为的方法进行说明,以下对执行上述处理网络攻击行为的方法的网络侧设备进行介绍。
参阅图5,如图5所示的一种网络侧设备30的结构示意图,其可应用于模拟网络环境(例如模拟网络蜜罐功能)场景。本申请实施例中的网络侧设备能够实现对应于上述图1所对应的实施例中所执行的处理网络攻击行为的方法的步骤。网络侧设备30实现的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。所述网络侧设备可包括处理模块301、获取模块302和收发模块303,所述处理模块301、所述获取模块302和所述收发模块303的功能实现可参考图1所对应的实施例中所执行的操作,此处不作赘述。
一些实施方式中,所述收发模块303可用于从网关接收来自通信设备的访问请求;
所述获取模块302可用于根据所述访问请求获取所述通信设备在网关的网关流量;
所述处理模块301可用于对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
所述收发模块303还可用于向所述通信设备发送所述处理模块301获取的所述访问响应,在一实施例中,所述访问响应用于向所述通信设备指示所述访问响应来自伪主机服务。
一些实施方式中,所述处理模块301具体用于:
对所述应用层数据进行预处理,得到伪主机服务数据;
对所述伪主机服务数据进行分析处理,以确定所述网关流量的信息注入的攻击行为。
一些实施方式中,所述处理模块301具体用于:
当所述攻击行为对应的响应方式为伪造响应时,从所述访问请求中获取四元组、数据量、数据偏移量和数据长度;
根据所述四元组、所述数据量、所述数据偏移量和所述数据长度,构造所述访问响应。
一些实施方式中,所述处理模块301具体用于:
当所述网关流量为防御型的信息注入且未识别出所述信息注入的防御方式后,阻断所述通信设备与所述网关之间的流量交互;
生成重置消息,所述重置消息用于指示所述通信设备释放所述通信设备与所述服务器之间的传输协议连接;
通过所述收发模块303将所述重置消息作为所述访问响应向所述通信设备和所述服务器分别发送所述重置消息。
一些实施方式中,所述处理模块301具体用于:
若根据所述网关流量确定所述访问请求为非信息注入的请求,则基于当前时间戳生成小于预设数值的随机数;
以所述随机数为阻断概率,随机阻断所述访问请求。
一些实施方式中,所述处理模块301具体用于:
当确定所述网关流量为防御型的信息注入后,获取所述访问请求的访问频率和所述访问请求中的用户代理UA;
根据所述访问频率和所述用户代理UA确定所述访问请求为攻击工具生成,则向所述通信设备发送双向访问响应,所述双向访问响应用于阻断所述通信设备与网关之间的流量交互。
一些实施方式中,所述处理模块301具体用于:
当确定所述网关流量为报错型的信息注入后,获取所述服务器的数据库报错页面;
通过所述收发模块303向所述通信设备发送数据库报错页面。
一些实施方式中,所述处理模块301具体用于:
当确定所述网关流量符合信息注入攻击行为后,获取信息注入的行为;
若确定所述信息注入的行为为读取数据库中的预设变量值,则获取模拟变量值;所述模拟变量值与所述预设变量值均对应同一变量
通过所述收发模块303向所述通信设备发送所述模拟变量值。
一些实施方式中,所述处理模块301在获取所述访问响应之后,还用于:
根据所述访问响应记录所述访问请求的访问状态,所述访问状态用于指示所述通信设备对所述服务器的攻击行为类型;
根据来自同一个所述通信设备的访问状态确定所述通信设备访问所述服务器的攻击行为路径;
根据所述攻击行为路径溯源所述通信设备的身份。
一些实施方式中,所述处理模块301具体用于:
获取所述访问请求中的包头字段和结构体字段;
根据预设正则表达式分别对所述包头字段和所述结构体字段进行检测;
若匹配出所述包头字段和所述结构体字段中的至少一项存在预设字符,则确定所述网关流量符合信息注入攻击行为。
上面从模块化功能实体的角度对本申请实施例中的网络侧设备进行了描述,下面从硬件处理的角度分别对本申请实施例中的执行处理网络攻击行为的方法的服务器进行描述。需要说明的是,在本申请实施例图6所示的实施例中的输入输出模块603对应的实体设备可以为输入/输出单元、收发器、射频电路、通信模块和输出接口等,检测模块602和处理模块601对应的实体设备可以为处理器。图6所示的装置60可以具有如图7所示的结构,当图6所示的装置60具有如图7所示的结构时,图7中的处理器和输入输出单元能够实现前述对应该装置的装置实施例提供的处理模块601、检测模块602和输入输出模块603相同或相似的功能,图7中的存储器存储处理器执行上述处理网络攻击行为的方法时需要调用的计算机程序。
图7是本申请实施例提供的一种服务器结构示意图,该服务器820可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(英文全称:centralprocessing units,英文简称:CPU)822(例如,一个或一个以上处理器)和存储器832,一个或一个以上存储应用程序842或数据844的存储介质830(例如一个或一个以上海量存储设备)。其中,存储器832和存储介质830可以是短暂存储或持久存储。存储在存储介质830的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器822可以设置为与存储介质830通信,在服务器820上执行存储介质830中的一系列指令操作。
服务器820还可以包括一个或一个以上电源826,一个或一个以上有线或无线网络接口850,一个或一个以上输入输出接口857,和/或,一个或一个以上操作系统841,例如Windows Server,Mac OS X,Unix,Linux,FreeBSD等等。
上述实施例中由服务器所执行的步骤可以基于该图7所示的服务器820的结构。例如上述实施例中由图7所示的装置60所执行的步骤可以基于该图7所示的服务器结构。例如,所述处理器822通过调用存储器832中的指令,执行以下操作:
通过所述输入输出接口857从网关接收来自通信设备的访问请求;
根据所述访问请求获取所述通信设备在网关的网关流量;
对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;
根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;
若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
向所述通信设备发送所述访问响应;
通过所述输入输出接口857向所述通信设备发送所述访问响应,所述访问响应用于向所述通信设备指示所述访问响应来自伪主机服务。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请实施例各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上对本申请实施例所提供的技术方案进行了详细介绍,本申请实施例中应用了具体个例对本申请实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请实施例的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请实施例的限制。

Claims (12)

1.一种处理网络攻击行为的方法,其特征在于,所述方法包括:
从网关接收来自通信设备的访问请求;
根据所述访问请求获取所述通信设备在网关的网关流量;
对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;
根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;
若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
通过伪主机服务向所述通信设备发送所述访问响应,所述伪主机服务用于模拟真实主机服务;
其中,所述若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,通过伪主机服务向所述通信设备发送所述访问响应,包括:若根据所述网关流量确定所述访问请求为非信息注入的请求,则基于当前时间戳生成小于预设数值的随机数;以所述随机数为阻断概率,通过伪主机服务随机阻断所述访问请求。
2.根据权利要求1所述的方法,其特征在于,所述根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析,包括:
对所述应用层数据进行预处理,得到伪主机服务数据;
对所述伪主机服务数据进行分析处理,以确定所述网关流量的信息注入的攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,还包括:
当所述攻击行为对应的响应方式为伪造响应时,从所述访问请求中获取四元组、数据量、数据偏移量和数据长度;
根据所述四元组、所述数据量、所述数据偏移量和所述数据长度,构造所述访问请求的访问响应。
4.根据权利要求1所述的方法,其特征在于,所述若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,通过伪主机服务向所述通信设备发送所述访问响应,还包括:
当所述网关流量为防御型的信息注入且未识别出所述信息注入的防御方式后,阻断所述通信设备与所述网关之间的流量交互;
生成重置消息,所述重置消息用于指示所述通信设备释放所述通信设备与所述服务器之间的传输协议连接;
通过伪主机服务将所述重置消息作为所述访问响应向所述通信设备和所述服务器分别发送所述重置消息。
5.根据权利要求1所述的方法,其特征在于,所述若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,还包括:
当所述网关流量为防御型的预设类型信息注入后,获取所述访问请求的访问频率和所述访问请求中的用户代理;
根据所述访问频率和所述用户代理确定所述访问请求为攻击工具生成,则向所述通信设备发送双向访问响应,所述双向访问响应用于阻断所述通信设备与网关之间的流量交互。
6.根据权利要求1所述的方法,其特征在于,所述若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,通过伪主机服务向所述通信设备发送所述访问响应,还包括:
当确定所述网关流量为报错型的信息注入后,获取所述服务器的数据库报错页面;
通过伪主机服务向所述通信设备发送数据库报错页面。
7.根据权利要求1所述的方法,其特征在于,所述当确定所述网关流量符合预设类型信息注入的攻击行为,基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,通过伪主机服务向所述通信设备发送所述访问响应,还包括:
当确定所述网关流量符合信息注入攻击行为后,获取信息注入的行为;
若确定所述信息注入的行为为读取数据库中的预设变量值,则获取模拟变量值;所述模拟变量值与所述预设变量值均对应同一变量;
通过伪主机服务向所述通信设备发送所述模拟变量值。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述获取所述访问响应之后,所述方法还包括:
根据所述访问响应记录所述访问请求的访问状态,所述访问状态用于指示所述通信设备对所述服务器的攻击行为类型;
根据来自同一个所述通信设备的访问状态确定所述通信设备访问所述服务器的攻击行为路径;
根据所述攻击行为路径溯源所述通信设备的身份。
9.根据权利要求8所述的方法,其特征在于,根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析包括:
获取所述应用层数据包的包头字段和结构体字段;
根据预设正则表达式分别对所述包头字段和所述结构体字段进行检测;
若匹配出所述包头字段和所述结构体字段中的至少一项存在预设字符,则确定所述网关流量符合预设类型信息注入的攻击行为。
10.一种网络侧设备,其特征在于,所述网络侧设备包括:
收发模块,用于从网关接收来自通信设备的访问请求;
获取模块,用于根据所述访问请求获取所述通信设备在网关的网关流量;
处理模块,用于对所述网关流量进行流量复制处理,以从所述网关采集所述应用层数据;根据所述应用层数据对所述网关流量进行信息注入的攻击行为分析;若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,所述访问响应包括用于指示所述网关存在预设类型信息注入漏洞的指示信息;
所述收发模块还用于通过伪主机服务向所述通信设备发送所述处理模块获取的所述访问响应,所述伪主机服务用于模拟真实主机服务;
其中,所述若所述网关流量符合预设类型信息注入的攻击行为,则基于所述攻击行为对应的响应方式获取所述访问请求对应的访问响应,通过伪主机服务向所述通信设备发送所述处理模块获取的所述访问响应,包括:若根据所述网关流量确定所述访问请求为非信息注入的请求,则基于当前时间戳生成小于预设数值的随机数;以所述随机数为阻断概率,通过伪主机服务随机阻断所述访问请求。
11.一种计算机设备,其特征在于,所述计算机设备包括:
至少一个处理器、存储器和收发器;
其中,所述存储器用于存储计算机程序,所述处理器用于调用所述存储器中存储的计算机程序来执行如权利要求1-9中任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,其包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-9所述的方法。
CN202011268588.0A 2020-11-13 2020-11-13 一种处理网络攻击行为的方法、相关设备及存储介质 Active CN112383546B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011268588.0A CN112383546B (zh) 2020-11-13 2020-11-13 一种处理网络攻击行为的方法、相关设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011268588.0A CN112383546B (zh) 2020-11-13 2020-11-13 一种处理网络攻击行为的方法、相关设备及存储介质

Publications (2)

Publication Number Publication Date
CN112383546A CN112383546A (zh) 2021-02-19
CN112383546B true CN112383546B (zh) 2023-07-25

Family

ID=74582133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011268588.0A Active CN112383546B (zh) 2020-11-13 2020-11-13 一种处理网络攻击行为的方法、相关设备及存储介质

Country Status (1)

Country Link
CN (1) CN112383546B (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113190839A (zh) * 2021-03-29 2021-07-30 贵州电网有限责任公司 一种基于SQL注入的web攻击防护方法及系统
CN113158197B (zh) * 2021-05-26 2022-05-17 北京安普诺信息技术有限公司 一种基于主动iast的sql注入漏洞检测方法、系统
CN113297577B (zh) * 2021-06-16 2024-05-28 深信服科技股份有限公司 一种请求处理方法、装置、电子设备及可读存储介质
CN113676479A (zh) * 2021-08-20 2021-11-19 云盾智慧安全科技有限公司 数据防御方法、防御设备、终端设备及可读存储介质
CN113706304A (zh) * 2021-08-25 2021-11-26 福建宏创科技信息有限公司 一种基于区块链的数字货币交易节点ip的溯源方法和系统
CN113973011A (zh) * 2021-10-15 2022-01-25 杭州安恒信息安全技术有限公司 一种网络攻击防护方法、系统及计算机存储介质
CN114124477B (zh) * 2021-11-05 2024-04-05 深圳市联软科技股份有限公司 一种业务服务系统及方法
CN114143105B (zh) * 2021-12-06 2023-12-26 安天科技集团股份有限公司 网空威胁行为体的溯源方法、装置、电子设备及存储介质
CN114257432A (zh) * 2021-12-13 2022-03-29 北京天融信网络安全技术有限公司 一种网络攻击检测方法及装置
CN114553524B (zh) * 2022-02-21 2023-10-10 北京百度网讯科技有限公司 流量数据处理方法、装置、电子设备及网关
CN114598512B (zh) * 2022-02-24 2024-02-06 烽台科技(北京)有限公司 一种基于蜜罐的网络安全保障方法、装置及终端设备
CN114826880B (zh) * 2022-03-21 2023-09-12 云南电网有限责任公司信息中心 一种数据安全运行在线监测系统
CN115664843B (zh) * 2022-11-21 2023-03-10 北京长亭未来科技有限公司 针对Web攻击的主动欺骗防御方法、系统、设备及介质
CN115514583B (zh) * 2022-11-21 2023-03-24 北京长亭未来科技有限公司 一种流量采集及阻断方法、系统、设备及存储介质
CN115632893B (zh) * 2022-12-26 2023-03-10 北京长亭未来科技有限公司 一种蜜罐生成方法和装置
CN117675415B (zh) * 2024-01-31 2024-04-19 北京六方云信息技术有限公司 攻击防御方法、装置、终端设备以及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110225062A (zh) * 2019-07-01 2019-09-10 北京微步在线科技有限公司 一种监控网络攻击的方法和装置
CN111835694A (zh) * 2019-04-23 2020-10-27 张长河 一种基于动态伪装的网络安全漏洞防御系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590728B2 (en) * 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
CN111314281A (zh) * 2019-12-04 2020-06-19 江苏天网计算机技术有限公司 一种攻击流量转发至蜜罐的方法
CN111756761A (zh) * 2020-06-29 2020-10-09 杭州安恒信息技术股份有限公司 基于流量转发的网络防御系统、方法和计算机设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111835694A (zh) * 2019-04-23 2020-10-27 张长河 一种基于动态伪装的网络安全漏洞防御系统
CN110225062A (zh) * 2019-07-01 2019-09-10 北京微步在线科技有限公司 一种监控网络攻击的方法和装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
基于诱捕技术的网络安全预警监管平台研究;汤雯;;网络空间安全(06);全文 *
物联网蜜罐综述;游建舟;吕世超;孙玉砚;石志强;孙利民;;信息安全学报(04);全文 *
蜜罐技术研究与应用进展;诸葛建伟;唐勇;韩心慧;段海新;;软件学报(04);全文 *

Also Published As

Publication number Publication date
CN112383546A (zh) 2021-02-19

Similar Documents

Publication Publication Date Title
CN112383546B (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
US11736499B2 (en) Systems and methods for detecting injection exploits
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US9055093B2 (en) Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US10771500B2 (en) System and method of determining DDOS attacks
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
Teng et al. A cooperative intrusion detection model for cloud computing networks
Lu et al. Integrating traffics with network device logs for anomaly detection
CN116781331A (zh) 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR101658456B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
Yen Detecting stealthy malware using behavioral features in network traffic
CN116346381A (zh) 攻击成功识别方法及防护系统
Al-Hammadi Behavioural correlation for malicious bot detection
Zammit A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
Ezeife et al. SensorWebIDS: a web mining intrusion detection system
Sommestad et al. A test of intrusion alert filtering based on network information
Tudosi et al. Design and Implementation of an Automated Dynamic Rule System for Distributed Firewalls.
CN112637171A (zh) 数据流量处理方法、装置、设备、系统和存储介质
Gorbatiuk et al. Method of detection of http attacks on a smart home using the algebraic matching method
Furfaro et al. Gathering Malware Data through High-Interaction Honeypots.
Bove Using honeypots to detect and analyze attack patterns on cloud infrastructures
Niakanlahiji Discovering zero-day attacks by leveraging cyber threat intelligence

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40038351

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant