CN112751864B - 网络攻击反制系统、方法、装置和计算机设备 - Google Patents
网络攻击反制系统、方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN112751864B CN112751864B CN202011617847.6A CN202011617847A CN112751864B CN 112751864 B CN112751864 B CN 112751864B CN 202011617847 A CN202011617847 A CN 202011617847A CN 112751864 B CN112751864 B CN 112751864B
- Authority
- CN
- China
- Prior art keywords
- attack
- module
- subsystem
- countering
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 74
- 230000007123 defense Effects 0.000 claims abstract description 63
- 238000004590 computer program Methods 0.000 claims description 13
- 238000005422 blasting Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 230000006399 behavior Effects 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 6
- 238000013515 script Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 241000243251 Hydra Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- QRXWMOHMRWLFEY-UHFFFAOYSA-N isoniazide Chemical compound NNC(=O)C1=CC=NC=C1 QRXWMOHMRWLFEY-UHFFFAOYSA-N 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 229910017052 cobalt Inorganic materials 0.000 description 1
- 239000010941 cobalt Substances 0.000 description 1
- GUTLYIVDDKVIGB-UHFFFAOYSA-N cobalt atom Chemical compound [Co] GUTLYIVDDKVIGB-UHFFFAOYSA-N 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络攻击反制系统、方法、装置、计算机设备和存储介质。该方法包括:该系统包括安全监控子系统,联动防御子系统以及自动化反制子系统,其中自动化反制子系统至少两个反制模块,安全监控子系统用于获取安全设备发送的待反制目标信息和攻击类型,生成告警指令发送给联动防御子系统;联动防御子系统,用于接收告警指令,确定至少两个反制模块中与攻击类型对应的反制模块,生成对应的反制指令发送给自动化反制子系统;自动化反制子系统,用于根据反制指令,调用至少两个反制模块中对应的反制模块;被调用的反制模块用于对待反制目标执行对应的反制操作,实现针对网络攻击行为的自动监控和自动化反制,提高网络安全防御效率。
Description
技术领域
本申请涉及系统安全防御领域,特别是涉及一种网络攻击反制系统、方法、装置、计算机设备和存储介质。
背景技术
随着互联网系统的高速发展,网络攻击行为也日益猖獗,网络安全防御人员可以通过防火墙、IDS等设备捕捉到攻击数据,通过在网关上封堵攻击源ip等方式阻断攻击行为。
目前技术中,对网络攻击行为的防御是被动的,不能消除攻击者的攻击意图,容易出现反复攻击,导致安全防御的效率较低。
发明内容
基于此,有必要针对目前技术中存在的安全防御效率低的技术问题,提供一种网络攻击反制系统、方法、装置、计算机设备和存储介质。
一种网络攻击反制系统,所述系统包括:安全监控子系统,联动防御子系统以及自动化反制子系统,所述自动化反制子系统至少两个反制模块,其中,
所述安全监控子系统,用于获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令,将所述告警指令发送给所述联动防御子系统;
所述联动防御子系统,用于接收所述告警指令,基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令,发送给所述自动化反制子系统;
所述自动化反制子系统,用于根据所述反制指令,调用所述至少两个反制模块中对应的反制模块;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
在其中一个实施例中,所述至少两个反制模块包括端口攻击反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为端口类攻击,则基于所述对应关系,确定所述端口攻击反制模块为对应的反制模块;
所述端口攻击反制模块,用于获取所述待反制目标的开放端口,从预先设置的攻击模板库中,获取与所述开放端口对应的攻击模板,根据所述攻击模板执行针对所述开放端口的端口反制操作,并将得到的端口反制结果发送给所述安全监控子系统。
在其中一个实施例中,所述至少两个反制模块包括钓鱼反制模块,
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为钓鱼类攻击,则基于所述对应关系,确定所述钓鱼反制模块为对应的反制模块;
所述钓鱼反制模块,用于从所述待反制目标信息中提取钓鱼信息,将预先配置的邮箱账户信息写入所述钓鱼链接,并将所述邮箱账户信息发送给所述安全监控子系统;
所述安全监控子系统,进一步用于监控所述邮箱账户信息的登录情况,获取所述待反制目标的IP地址,以针对所述IP地址进行相应的反制操作。
在其中一个实施例中,所述至少两个反制模块包括威胁情报查询模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为威胁情报类攻击,则基于所述对应关系,确定所述威胁情报查询模块为对应的反制模块;
所述威胁情报查询模块用于向情报服务器查询所述威胁情对应的信息,将得到的查询结果发送给所述安全监控子系统。
在其中一个实施例中,所述至少两个反制模块包括web服务后台反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为web类攻击,则基于所述对应关系,确定所述web服务后台反制模块为对应的反制模块;
所述web服务后台反制模块用于获取所述待反制目标搭载的web服务,构造与所述web服务的html相对应的登录请求,对所述待反制目标的后台进行密码爆破,将得到的web服务后台反制结果发送给所述安全监控子系统。
在其中一个实施例中,所述系统还包括诱导攻击子系统,所述诱导攻击子系统用于从所述安全监控子系统获取待反制目标信息,用于通过预先配置的诱导程序,获取攻击者的设备控制权限,并将所述诱导结果发送给所述安全监控子系统。
在其中一个实施例中,所述自动化反制子系统,还包括ATT&CK的apt模块,所述ATT&CK的apt模块用于从所述待反制目标信息中提取远控用户会话,根据所述远控用户会话,攻击所述待反制目标的内网。
在其中一个实施例中,所述安全监控子系统还用于接收所述反制结果,格式化处理后生成告警信息发送至预警终端。
一种网络攻击反制方法,应用于自动化反制子系统,包括:
获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
一种网络攻击反制装置,应用于自动化反制子系统,所述装置包括:
反制指令获取模块,用于获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,与所述基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
反制执行模块,用于根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一实施例中网络攻击反制方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例中网络攻击反制方法步骤。
上述网络攻击反制系统、方法、装置、计算机设备和存储介质,该系统包括安全监控子系统,联动防御子系统以及自动化反制子系统,其中自动化反制子系统至少两个反制模块,安全监控子系统用于获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令发送给联动防御子系统;联动防御子系统,用于接收告警指令,确定至少两个反制模块中与攻击类型对应的反制模块,生成对应的反制指令,发送给自动化反制子系统;自动化反制子系统,用于根据反制指令,调用至少两个反制模块中对应的反制模块;被调用的反制模块用于对待反制目标执行与反制指令对应的反制操作,实现针对网络攻击行为自动监控和自动化反制,提高网络安全防御效率。
附图说明
图1为一个实施例中网络攻击反制系统的结构图;
图2为另一个实施例中网络攻击反制系统的结构图;
图3为另一个实施例中网络攻击反制系统的结构图;
图4为另一个实施例中网络攻击反制系统的结构图
图5为一个实施例中网络攻击反制方法的流程示意图;
图6为一个实施例中网络攻击反制装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,网络攻击反制系统可以包括安全监控子系统,联动防御子系统以及自动化反制子系统,自动化反制子系统可以包括至少两个反制模块,各个反制模块可以配置有对应的反制操作。
安全监控子系统可以是SIEM(Security information and event management,安全信息和事件管理)系统,可以接收安全设备收集到的攻击数据,通过阈值等规则判断采取告警、拦截等应对措施。安全设备可以是防火墙、入侵检测系统(intrusion detectionsystem,IDS)等,用于捕获待网络攻击数据后,发送给安全监控子系统。网络攻击数据可以包括待反制目标信息和攻击类型,其中待反制目标信息可以包括待反制目标的物理信息以及与攻击信息,例如待反制目标的地址、相关链接等,攻击类型可以包括端口攻击、钓鱼攻击、账户劫持、DNS劫持等。安全监控子系统可以从安全设备获取待反制目标信息和攻击类型,并生成携带有待反制目标信息和攻击类型的告警指令,将告警指令发送给联动防御子系统。安全监控子系统也可以根据安全设备发送的攻击信息,从中确认待反制目标以及攻击类型。
联动防御子系统可以接收安全监控子系统的告警指令,根据该告警指令,根据攻击类型与反制模块的对应关系,从自动化反制子系统的反制模块中,确定与该攻击类型对应的反制模块,并根据该反制模块、待反制目标信息和攻击类型,生成对应的反制指令,发送给自动化反制子系统。其中,同一攻击类型可以与至少一个反制模块建立对应关系,实现针对同一攻击类型的多维度的反制。联动防御系统可以根据预先配置的攻击类型与反制模块的对应关系,以及根据待反制目标信息,自动编排反制剧本,发送至自动化反制子系统。反制指令可以用于指示自动化反制子系统调用相应的反应模块,执行相应的反制操作。其中,反制操作可以包括对待反制目标的攻击进行的反制,也包括对待反制目标本身的反制,例如针对钓鱼类攻击,可以挑选伪造的邮箱账密对进行自动填充,对于端口类攻击,可以对待反制目标的开放端口进行攻击。
自动化反制子系统可以包括多个反制模块,各个反制模块预先配置有对应的反制操作。各个反制模块可以被调用,以独立执行反制操作,或者与其他反制模块配合执行反制操作。自动化反制子系统可以根据反制指令,调用至少两个反制模块中对应的反制模块执行反制操作,其中,各个反制模块被调用后,可以从待反制目标信息中提取攻击信息,并根据攻击信息,执行与反制指令对应的反制操作。反制模块可以将得到的反制结果发送给安全监控子系统。
上述网络攻击反制系统中,通过安全监控子系统获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令发送给联动防御子系统;通过联动防御子系统接收告警指令,确定至少两个反制模块中与攻击类型对应的反制模块,生成对应的反制指令,发送给自动化反制子系统;通过自动化反制子系统调用至少两个反制模块中对应的反制模块;被调用的反制模块针对待反制目标执行与反制指令对应的反制操作,实现针对网络攻击行为自动监控和自动化反制,提高网络安全防御效率。
在一个实施例中,自动化反制子系统可以包括端口攻击反制模块,配置有多个端口攻击模板,包括hydra、多个CVE的exp脚本、metasploit poc、web管理后台爆破等。联动防御子系统若接收到的告警指令对应的攻击类型为端口类攻击,可以根据攻击类型与自动化反制子系统的各个反制模块的对应关系,确定端口攻击反制模块为对应的反制模块。其中,hydra可以用于自动化爆破端口,CVE(Common Vulnerabilities&Exposures,通用漏洞披露)可以用于为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称,metasploit poc可以推断程序的大概执行流程以及漏洞利用原理。
端口攻击反制模块可以根该反制指令,提取待反制目标的开放端口,从预先设置的攻击模块库中,获取与该开放端口对应的攻击模板,例如web管理后台爆破等,并自动将该待反制目标梳理入模板,执行对该待反制模板的攻击,例如,针对待反制目标的22端口搭载的openssh7.2、3306端口搭载的低版本mysql、4430端口搭载的某厂商低版本VPN、7001等端口搭载的服务后台的漏洞进行攻击。并将攻击后得到的端口反制结果发送给安全监控子系统。端口攻击反制模块可以完全自动化执行。
在一个实施例中,自动化反制子系统可以包括端口扫描模块。联动防御子系统可以在同时将端口类攻击的反制指令发送至端口扫描模块和端口攻击反制模块。端口扫描模块可以根据待反制目标信息,使用端口扫描工具,探测待反制目标的1-65535个端口开放情况、其上搭载的服务与版本号,存储在数据库中,以供端口攻击反制模块访问。端口扫描操作可以自动化执行。
在一个实施例中,自动化反制子系统可以包括钓鱼反制模块。钓鱼攻击为骗取账户密码,在html中的样式通常相同,钓鱼反制模块可以以此为应用场景配置反制操作。钓鱼反制模块中可以配置有弱口令黑名单,用于与接收到钓鱼邮件的邮箱组成伪造的账户密码对,对钓鱼攻击进行反制。联动防御子系统若接收到的告警指令对应的攻击类型为钓鱼类类攻击,可以根据攻击类型与自动化反制子系统的各个反制模块的对应关系,确定钓鱼反制模块为对应的反制模块。
钓鱼反制模块可以从待反制目标信息中提取钓鱼链接以及接收到钓鱼邮件的邮箱账户信息等钓鱼信息,随机从弱口令黑名单中挑选口令,与该邮箱账户组成账号密码对,自动填充到钓鱼链接的登录请求中,发送给待反制目标。钓鱼反制模块可以将该邮箱账户信息发送给安全监控子系统。
安全监控子系统可以监控该邮箱账户信息的登录情况,根据该账户的登录产生告警信息,从中获取待反制目标的IP地址,并针对该IP地址对待反制目标进行相应的反制操作。
在一个实施例中,自动化反制子系统可以包括威胁情报查询模块。威胁情报可以是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持,可帮助IT管理人员和安全分析师了解哪些应用、系统和用户群最有可能遭受攻击,从而优先保护这些高风险目标。联动防御子系统若接收到的告警指令对应的攻击类型为威胁情报类攻击,可以根据攻击类型与自动化反制子系统的各个反制模块的对应关系,确定威胁情报查询模块为对应的反制模块。威胁情报查询模块可以从待反制目标信息中提取威胁情报,并自动触发向情报服务器查询该威胁情报对应的信息,将查询结果发送给安全监控子系统。情报服务器中存储有网络攻击者以及威胁情报的相关信息。
在一个实施例中,自动化反制子系统可以包括web服务后台反制模块。web服务后台反制模块可以自动解析待反制目标的html,并构造登录请求,对待反制目标的后台进行密码爆破。联动防御子系统若接收到的告警指令对应的攻击类型为web类攻击,可以根据攻击类型与自动化反制子系统的各个反制模块的对应关系,确定web服务后台反制模块为对应的反制模块。web服务后台反制模块可以获取待反制目标所搭载的http服务,获取相关的URL,自动解析待反制目标的html构造登录请求,对待反制目标的后台进行密码爆破,将得到的web服务后台反制结果发送安全监控子系统。web服务后台反制结果可以是待反制目标的管理员账号密码。
在一个实施例中,联动防御子系统可以将web类攻击对应的反制指令同时发送给目录扫描模块和web服务后台反制模块,目录扫描模块可以通过调用dirmap自动获取待反制目标上所搭载http服务的目录,挖掘其上开放的后台等高危页面,并将结果存储到数据库中。其中,dirmap可以用于进行web目录扫描。
在一个实施例中,若攻击类型为端口攻击,端口攻击反制模块可以调用web服务后台反制模块,对待反制目标web服务后台进行密码爆破。
在一个实施例中,上述系统还包括诱导攻击子系统。诱导攻击子系统可以包括蜜罐,蜜罐可以是伪装成正常软件的木马程序,放置攻击者入侵的入口,以诱导攻击者进行攻击。
诱导攻击子系统可以根据在攻击者攻击使用该伪装成正常软件的木马程序时,通过木马程序获取攻击者的计算机控制权限,对该攻击者的计算机执行预先配置的一种或者多种控制措施,例如控制其键盘、鼠标或者针对屏幕进行录屏等,并将该结果发送给安全监控子系统。
在一些实施例中,诱导攻击子系统还可以包括微信机器人,该微信机器人中可以集成有远控窃听命令封装的工具,用于被安全人员通过口令或参数调用,以选择针对攻击者实施的控制措施。
在一些情况下,微信机器人可以利用Cobalt Strike使用https的特性,把远控的窃听功能封装成命令,进行集成。在诱导攻击子系统命中攻击者后,通过微信等移动通信手段向安全人员推送待木马上线告警,安全人员可以通过输入参数向微信机器人发送与告警对应的控制命令,例如窃听命令,以使得微信机器人可以对待反制目标执行该控制命令对应的操作。以远控木马蜜罐为例,如图2所示,安全团队可以在攻击者入侵的路径中部署木马蜜罐,并在微信机器人中集成远控窃听命令封装的工具。当命中执行或者访问的网络攻击者时,蜜罐可以推送木马上线警告至微信机器人,由微信机器人推送木马上线告警给安全团队,安全团队可以发送窃听命令至微信机器人,使得微信机器人可以根据窃听命令,调用窃听工具,在远控用户会话上执行窃听命令对应的窃听操作。
在一个实施例中,自动化反制子系统,还可以包括ATT&CK的apt模块,ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域,APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。该ATT&CK的apt模块可以用于从待反制目标信息中提取远控用户会话,并根据该远控用户会话,攻击待反制目标的内网。
在一个实施例中,ATT&CK的apt模块可以与诱导攻击子系统配合使用。在诱导攻击子系统通过木马控制攻击者的设备后,将结果发送给安全监控子系统。安全监控子系统可以向联动防御子系统发送告警指令,联动防御子系统根据该攻击类型,确定ATT&CK的apt模块作为对应的反制模块,对该攻击者执行对应的反制操作。ATT&CK的apt模块可以利用caldera的https服务交互方式,在攻击者的计算机上安装caldera,控制caldera对攻击者所处的内网进行反制。在一个实施例中,安全监控子系统可以接收各个反制模块的反制结果,格式化处理后生成告警信息发送至预警终端,以使得安全人员可以获知反制的状况。
在一个实施例中,自动化反制子系统中可以集成web主动式漏洞扫描器,读取待反制目标的web app上的目录并检测其中的web漏洞,存储在数据库中,供各个反制模块在执行反制操作时使用。
在一个实施例中,如图3所示,提供了一种自动化的网络攻击反制系统,包括安全监控子系统、联动防御子系统、自动化反制系统。安全监控子系统够可以从安全设备获取攻击数据,并根据攻击数据,向联动防御子系统发送携带有待反制目标信息的告警指令,联动防御子系统可以自动编排反制剧本,确定执行反制的反制模块,生成反制指令发送至自动化反制子系统,由自动化反制子系统调用相关的反制模块,自动执行钓鱼反制、端口扫描、端口攻击等反制操作,操作结束后将反制结果发送给安全监控子系统,安全监控子系统则将反制结果格式化后发送给安全人员。其中,自动化反制子系统的反制模块可以包括端口扫描模块、端口攻击反制模块、钓鱼反制模块、威胁情报查询模块、目录扫描模块、服务反制模块等,并可以根据网络攻击的反制需求,配置所需的反制模块,执行相关反制操作。
在一个实施例中,如图4所示,提供了一种采用半自动化的网络攻击反制系统,包括安全监控子系统、微信机器人、自动化反制子系统。具体的,可以由安全人员接收安全监控子系统发送的告警指令,并筛选待反制目标信息和攻击类型,例如URL、IP地址等,确定对应的反制模块,基于反制模块、反制目标信息和攻击类型生成反制指令,发送给服务器,经过管理员审核后,将该反制指令发送至自动化反制子系统进行,由自动化反制子系统的各个反制模块中对应的反制模块,执行与反制指令对应的反制操作,并将得到的反制结果发送给安全监控子系统。安全监控子系统进一步将该反制结果进行格式化等处理后发送给安全人员。其中,管理员可以根据预设的参数等,通过移动终端对反制指令进行审核。自动化反制子系统的反制模块可以包括端口扫描模块、端口攻击反制模块、钓鱼反制模块、威胁情报查询模块、目录扫描模块、服务反制模块等,并可以根据网络攻击的反制需求,配置所需的反制模块,执行相关反制操作。
在一个实施例中,如图5所示,提供了网络攻击反制方法,以该方法应用于图1的自动化反制子系统为例进行说明,包括以下步骤:
步骤S501,获取联动防御子系统发送的、针对待反制目标的反制指令;
其中,反制指令可以是联动防御子系统根据安全监控子系统的告警指令生成的,基于反制模块、待反制目标信息和攻击类型生成对应的指令;告警指令为可以是安全监控子系统根据获取到的待反制目标信息和攻击类型生成。
具体实现中,发生网络攻击时,自动化反制子系统可以获取联动防御子系统基于反制模块、待反制目标信息和攻击类型生成的反制指令。
S502,根据反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从待反制目标信息中提取攻击信息,并根据攻击信息,对待反制目标执行与反制指令对应的反制操作,以及将反制模块得到的反制结果发送给安全监控子系统。
具体实现中,自动化反制子系统可以根据反制指令,从反制模块中确定对应的反制模块,调用该反制模块执行对应的反制操作,被调用的反制模块执行反制指令对应的反制操作,并将的得到的反制结果发送给安全监控子系统。
上述网络攻击反制方法中,通过获取联动防御系统发送的针对待反制目标的反制指令,根据该反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作,通过自动化反制子系统自动化执行反制操作,实现针对网络攻击行为自动化反制,提高网络安全防御效率。
在一个实施例中,自动化反制子系统可以包括上述各个系统实施中的反制模块,根据攻击类型的不同,调用至少一个反制模块执行相应与反制指令对应的反制操作。
在一个实施例中,自动化反制子系统也可以通过微信机器人获取反制指令,该反制指令可以由安全人员根据接收到的安全监控子系统发送的告警指令,并筛选待反制目标信息和攻击类型后,基于反制模块、反制目标信息和攻击类型生成,并通过微信机器人发送给自动化反制子系统。
应该理解的是,虽然图5的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图5中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图6所示,提供了一种网络攻击反制装置,应用于自动化反制子系统,该装置600包括:
反制指令获取模块601,用于获取联动防御子系统发送的、针对待反制目标的反制指令;反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,与基于反制模块、待反制目标信息和攻击类型生成对应的指令;告警指令为安全监控子系统根据获取到的待反制目标信息和攻击类型生成;
反制执行模块602,用于根据反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从待反制目标信息中提取攻击信息,并根据攻击信息,对待反制目标执行与反制指令对应的反制操作,以及将反制模块得到的反制结果发送给安全监控子系统。
关于网络攻击反制装置的具体限定可以参见上文中对于网络攻击反制方法的限定,在此不再赘述。上述网络攻击反制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本申请提供的网络攻击反制方法,可以应用于计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储反制指令、反制操作数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击反制方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络攻击反制系统,其特征在于,所述系统包括:安全监控子系统,联动防御子系统以及自动化反制子系统,所述自动化反制子系统包括至少两个反制模块,其中,
所述安全监控子系统,用于获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令,将所述告警指令发送给所述联动防御子系统;
所述联动防御子系统,用于接收所述告警指令,基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令,发送给所述自动化反制子系统;
所述自动化反制子系统,用于根据所述反制指令,调用所述至少两个反制模块中对应的反制模块;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统,所述反制操作包括对所述待反制目标的攻击进行的反制和/或对所述待反制目标本身的反制。
2.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括端口攻击反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为端口类攻击,则基于所述对应关系,确定所述端口攻击反制模块为对应的反制模块;
所述端口攻击反制模块,用于获取所述待反制目标的开放端口,从预先设置的攻击模板库中,获取与所述开放端口对应的攻击模板,根据所述攻击模板执行针对所述开放端口的端口反制操作,并将得到的端口反制结果发送给所述安全监控子系统;
所述安全监控子系统还用于接收所述端口反制结果,格式化处理后生成告警信息发送至预警终端。
3.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括钓鱼反制模块,
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为钓鱼类攻击,则基于所述对应关系,确定所述钓鱼反制模块为对应的反制模块;
所述钓鱼反制模块,用于从所述待反制目标信息中提取钓鱼信息,将预先配置的邮箱账户信息写入钓鱼链接,并将所述邮箱账户信息发送给所述安全监控子系统;
所述安全监控子系统,进一步用于监控所述邮箱账户信息的登录情况,获取所述待反制目标的IP地址,以针对所述IP地址进行相应的反制操作。
4.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括威胁情报查询模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为威胁情报类攻击,则基于所述对应关系,确定所述威胁情报查询模块为对应的反制模块;
所述威胁情报查询模块用于向情报服务器查询所述威胁情报对应的信息,将得到的查询结果发送给所述安全监控子系统。
5.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括web服务后台反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为web类攻击,则基于所述对应关系,确定所述web服务后台反制模块为对应的反制模块; 所述web服务反制模块用于获取所述待反制目标搭载的web服务的后台,构造与所述web服务后台的html相对应的登录请求,对所述待反制目标的后台进行密码爆破,将得到的web服务后台反制结果发送给所述安全监控子系统。
6.根据权利要求1所述的系统,其特征在于,所述系统还包括诱导攻击子系统,所述诱导攻击子系统用于通过预先配置的诱导程序,获取攻击者的设备控制权限,并将诱导结果发送给所述安全监控子系统;
和/或,
所述自动化反制子系统,还包括ATT&CK的apt模块,所述ATT&CK的apt模块用于从所述待反制目标信息中提取远控用户会话,根据所述远控用户会话,攻击所述待反制目标的内网。
7.一种网络攻击反制方法,其特征在于,应用于自动化反制子系统,所述自动化反制子系统包括至少两个反制模块,所述方法包括:
获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,所述告警指令为所述安全监控子系统根据获取到的待反制目标信息和攻击类型生成,所述联动防御子系统基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令;
根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统,所述反制操作包括对所述待反制目标的攻击进行的反制和/或对所述待反制目标本身的反制。
8.一种网络攻击反制装置,其特征在于,应用于自动化反制子系统,所述自动化反制子系统包括至少两个反制模块,所述装置包括:
反制指令获取模块,用于获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,所述告警指令为所述安全监控子系统根据获取到的待反制目标信息和攻击类型生成,所述联动防御子系统基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令;
反制执行模块,用于根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统,所述反制操作包括对所述待反制目标的攻击进行的反制和/或对所述待反制目标本身的反制。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求7所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求7所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011617847.6A CN112751864B (zh) | 2020-12-30 | 2020-12-30 | 网络攻击反制系统、方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011617847.6A CN112751864B (zh) | 2020-12-30 | 2020-12-30 | 网络攻击反制系统、方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112751864A CN112751864A (zh) | 2021-05-04 |
| CN112751864B true CN112751864B (zh) | 2023-04-07 |
Family
ID=75650156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011617847.6A Active CN112751864B (zh) | 2020-12-30 | 2020-12-30 | 网络攻击反制系统、方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112751864B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726825B (zh) * | 2021-11-04 | 2022-02-18 | 北京微步在线科技有限公司 | 一种网络攻击事件反制方法、装置及系统 |
| CN114244599B (zh) * | 2021-12-15 | 2023-11-24 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN115021953B (zh) * | 2022-04-18 | 2024-05-24 | 广西电网有限责任公司电力科学研究院 | 一种网络安全监控装置 |
| CN115580451A (zh) * | 2022-09-22 | 2023-01-06 | 云南电网有限责任公司信息中心 | 网络安全自动化防御反制方法、装置及存储介质 |
| CN116668063B (zh) * | 2023-04-11 | 2024-01-30 | 应急管理部大数据中心 | 基于中间件进程植入的网络攻击反制方法及软件系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457931B (zh) * | 2013-08-15 | 2016-08-10 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
| CN107135187A (zh) * | 2016-02-29 | 2017-09-05 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
-
2020
- 2020-12-30 CN CN202011617847.6A patent/CN112751864B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112751864A (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112751864B (zh) | 网络攻击反制系统、方法、装置和计算机设备 | |
| CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
| Vasilomanolakis et al. | Multi-stage attack detection and signature generation with ICS honeypots | |
| US11206281B2 (en) | Validating the use of user credentials in a penetration testing campaign | |
| US9648029B2 (en) | System and method of active remediation and passive protection against cyber attacks | |
| CN106664297B (zh) | 用于检测对连接至通信网络的工作环境的攻击的方法 | |
| EP3542508A1 (en) | Security systems and methods using an automated bot with a natural language interface for improving response times for security alert response and mediation | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| US9998482B2 (en) | Automated network interface attack response | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| CN103152323A (zh) | 控制客户端网络访问行为的方法及系统 | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| CN115277068B (zh) | 一种基于欺骗防御的新型蜜罐系统及方法 | |
| CN112615863A (zh) | 反制攻击主机的方法、装置、服务器及存储介质 | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| Abe et al. | Tracking attack sources based on traceback honeypot for ICS network | |
| CN113626814A (zh) | 一种基于恶意攻击行为的Window系统应急响应方法 | |
| Abe et al. | Developing deception network system with traceback honeypot in ICS network | |
| AL-Dahasi et al. | Attack tree model for potential attacks against the scada system | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| CN114531258A (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN116760558A (zh) | 一种安全蜜罐系统及其实现方法 | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| CN114884744A (zh) | 一种攻击行为的分析方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee after: Zhaolian Consumer Finance Co.,Ltd. Country or region after: China Address before: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee before: MERCHANTS UNION CONSUMER FINANCE Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |