CN113726825B - 一种网络攻击事件反制方法、装置及系统 - Google Patents

Abstract

本申请实施例提供一种网络攻击事件反制方法、装置及系统，涉及网络安全技术领域，该网络攻击事件反制方法包括：先检测网络攻击事件的网络通信数据；然后根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷；再根据网络通信数据确定网络攻击事件对应的攻击者设备；进一步地，将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息；最后获取反制情况信息并输出，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

Description

一种网络攻击事件反制方法、装置及系统

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种网络攻击事件反制方法、装置及系统。

背景技术

随着物联网技术的飞速发展，IOT智能硬件以及各种网络设备已经渗透到人们日常办公、工业生产和日常生活当中。而IOT智能硬件安全作为当前信息安全领域中的重要课题，正越来越受到关注。IOT设备很容易被攻击，现有的网络攻击事件反制方法中，通常在黑客攻击时检测到攻击行为并及时阻断。然而，在实践中发现，现有方法只能在受到网络攻击事件时阻断该次攻击，但是无法避免以后再次受到相同网络攻击事件的攻击。可见，现有方法无法进行溯源反制，反制力度小，效果差。

发明内容

本申请实施例的目的在于提供一种网络攻击事件反制方法、装置及系统，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

本申请实施例第一方面提供了一种网络攻击事件反制方法，应用于反制控制端，包括：

检测网络攻击事件的网络通信数据；

根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；

根据所述网络通信数据确定所述网络攻击事件对应的攻击者设备；

将所述目标反制载荷发送至所述攻击者设备上进行攻击反制，以使所述目标反制载荷在所述攻击者设备上运行得到反制情况信息；

获取所述反制情况信息并输出。

在上述实现过程中，先检测网络攻击事件的网络通信数据；然后根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷；再根据网络通信数据确定网络攻击事件对应的攻击者设备；进一步地，将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息；最后获取反制情况信息并输出，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

进一步地，所述方法还包括：

获取网络攻击事件样本、与所述网络攻击事件样本相对应的样本通信协议以及所述网络攻击事件样本的样本信息；

根据所述样本通信协议生成特征数据包；

通过预设伪造客户端将所述特征数据包发送给所述网络攻击事件样本；

获取所述网络攻击事件样本对所述特征数据包进行处理时的崩溃信息；

根据所述崩溃信息和所述特征数据包，获取与所述网络攻击事件样本对应的反制载荷；

根据所述反制载荷与所述样本信息构建攻击反制数据库。

进一步地，所述根据所述反制载荷与所述样本信息构建攻击反制数据库，包括：

所述根据所述反制载荷与所述样本信息构建攻击反制数据库，包括：

将所述反制载荷与所述样本信息进行关联，得到关联信息；

判断是否已经预存有反制数据库；

如果是，则根据所述关联信息对所述反制数据库进行更新，得到攻击反制数据库；

如果否，则根据所述关联信息构建攻击反制数据库。

进一步地，所述根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷，包括：

获取所述网络通信数据的数据特征；

判断在预设的攻击反制数据库中是否能够获取到与所述数据特征相匹配的反制载荷；

如果是，将与所述数据特征相匹配的反制载荷确定为目标反制载荷。

进一步地，所述方法还包括：

当判断出未能获取到与所述数据特征相匹配的反制载荷时，判断是否能够根据所述网络通信数据获取到攻击样本；

如果是，则存储所述数据特征和所述攻击样本，并获取与所述攻击样本对应的反制载荷；

将所述与所述攻击样本对应的反制载荷确定为目标反制载荷。

进一步地，所述方法还包括：

根据所述数据特征以及与所述攻击样本对应的反制载荷对所述攻击反制数据库进行更新。

进一步地，所述方法还包括：

当判断出不能够根据所述网络通信数据获取到攻击样本时，将所述数据特征存储到缺省样本数据库中；

当获取到与所述数据特征相匹配的新攻击样本时，获取与所述新攻击样本对应的反制载荷；

根据所述数据特征以及与所述新攻击样本对应的反制载荷对所述攻击反制数据库进行更新。

进一步地，在所述获取所述反制情况信息并输出之后，包括：

接收用户输入的反制控制指令；

根据所述反制控制指令对所述攻击者设备进行控制，并接收实时控制结果信息以及执行所述反制控制指令之后的实时反制状态信息；

输出所述实时控制结果信息和所述实时反制状态信息。

本申请实施例第二方面提供了一种网络攻击事件反制装置，应用于反制控制端，所述网络攻击事件反制装置包括：

检测单元，用于检测网络攻击事件的网络通信数据；

匹配单元，用于根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；

确定单元，用于根据所述网络通信数据确定所述网络攻击事件对应的攻击者设备；

反制单元，用于将所述目标反制载荷发送至所述攻击者设备上进行攻击反制，以使所述目标反制载荷在所述攻击者设备上运行得到反制情况信息；

反馈单元，用于获取所述反制情况信息并输出。

在上述实现过程中，检测单元先检测网络攻击事件的网络通信数据；然后匹配单元根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷；确定单元再根据网络通信数据确定网络攻击事件对应的攻击者设备；进一步地，反制单元将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息；最后反馈单元获取反制情况信息并输出，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

本申请实施例第三方面提供了，一种网络攻击事件反制系统，所述网络攻击事件反制系统包括反制控制端、目标主机以及攻击者设备，其中，

所述反制控制端，用于检测所述目标主机上网络攻击事件的网络通信数据；以及根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；以及根据所述网络通信数据确定所述网络攻击事件对应的所述攻击者设备；以及将所述目标反制载荷发送至所述攻击者设备上进行攻击反制；

所述攻击者设备，用于接收所述目标反制载荷，并运行所述目标反制载荷得到目标反制木马；以及运行所述目标反制木马的得到反制情况信息；以及将所述反制情况信息反馈至所述反制控制端；

所述反制控制端，还用于接收所述反制情况信息并输出。

在上述实现过程中，反制控制端能够根据网络攻击事件确定出相应的目标反制载荷，并通过目标反制载荷对攻击者设备进行反制，从而实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

本申请实施例第四方面提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络攻击事件反制方法。

本申请实施例第五方面提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例第一方面中任一项所述的网络攻击事件反制方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种网络攻击事件反制方法的流程示意图；

图2为本申请实施例提供的另一种网络攻击事件反制方法的流程示意图；

图3为本申请实施例提供的又一种网络攻击事件反制方法的流程示意图；

图4为本申请实施例提供的一种网络攻击事件反制装置的结构示意图；

图5为本申请实施例提供的另一种网络攻击事件反制装置的结构示意图；

图6为本申请实施例提供的一种网络攻击事件反制系统的信息交互流程示意图。

图标：510-反制控制端，520-目标主机，530-攻击者设备。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

实施例1

请参看图1，图1为本申请实施例提供了一种网络攻击事件反制方法的流程示意图。其中，该网络攻击事件反制方法应用于反制控制端，包括：

S101、检测网络攻击事件的网络通信数据。

本申请实施例中，该方法的应用于针对漏洞挖掘、漏洞利用以及和实际黑客攻击场景中。

本申请实施例中，该方法的执行主体为反制控制端，具体地，该反制控制端可以为计算机、服务器等计算装置，对此本实施例中不作任何限定。

在本申请实施例中，该反制控制端还可以为智能手机、平板电脑等电子设备，对此本实施例中不作任何限定。

本申请实施例中，该网络攻击事件包括但不限于P2P僵尸网络攻击等，对此本申请实施例不作限定。具体地，该P2P僵尸网络攻击具体可以为Gafgyt家族网络攻击、EchoBot家族网络攻击、Mirai家族网络攻击等对此本申请实施例不作限定。

本申请实施例中，该网络通信数据具体可以为网络攻击事件的僵尸网络样本或者网络攻击事件的恶意流量数据，对此本申请实施例不作限定。

本申请实施例中，当目标主机收到网络攻击事件袭击时，可以通过反制控制端在目标主机上检测该网络攻击事件的网络通信数据。

在实际应用中，该目标主机可以为该反制控制端，或者该目标主机与反制控制端是两个终端，对此本申请实施例不作限定。

在步骤S101之后，还包括以下步骤：

S102、根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷。

本申请实施例中，在获取到网络通信数据之后，还可以进一步获取该网络通信数据对应的数据特征，然后从预设的攻击反制数据库中获取与该数据特征相匹配的目标反制载荷。

本申请实施例中，该目标反制载荷具体为目标反制payload（有效载荷）。

本申请实施例中，当网络通信数据为僵尸网络样本时，则相应的数据特征包括该僵尸网络样本所属的家族标识、代数信息（包括版本标识等）等，当网络通信数据为恶意流量数据时，则相应的数据特征包括该恶意流量数据中出现的特征字符串等，对此本申请实施例不作限定。

本申请实施例中，按照数据特征中各字段查询的预设优先级从高到低在预设的攻击反制数据库中进行检索，查询是否已有相应的payload，如果查询到已有匹配的payload，则将该payload确定为目标反制payload。

在步骤S102之后，还包括以下步骤：

S103、根据网络通信数据确定网络攻击事件对应的攻击者设备。

本申请实施例中，该攻击者设备具体可以为攻击者主机或者攻击者服务器等，对此本申请实施例不作限定。

S104、将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息。

S105、获取反制情况信息并输出。

本申请实施例中，在确定出目标反制载荷和攻击者设备之后，将会通过TCP/IP层协议发送目标反制载荷至攻击者设备（通过IP/端口），反制控制端可以通过Shell弹窗输出反制情况信息。

本申请实施例中，反制情况信息包括但不限于目标反制载荷的具体信息、反制状态信息、攻击者设备的命令控制窗口、攻击者设备的主机信息、控制反制数据等，对此本申请实施例不作限定。

本申请实施例中，实施本申请实施例提供的方法，能够自动化对通信协议漏洞进行挖掘与漏洞利用，并结合具体攻击场景，直接反制攻击者，最终达到自动化溯源反制这一目标。不仅可以做到传统意义上及时检测并阻断黑客攻击，而且更可以进一步直接反制黑客，做到黑掉攻击者的设备，并拿到在上面攻击者各种信息，进而为进一步黑客画像最准备。

可见，实施本实施例所描述的网络攻击事件反制方法，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

实施例2

请参看图2，图2为本申请实施例提供的另一种网络攻击事件反制方法的流程示意图。如图2所示，其中，该网络攻击事件反制方法包括：

S201、获取网络攻击事件样本、与网络攻击事件样本相对应的样本通信协议以及网络攻击事件样本的样本信息。

本申请实施例中，网络攻击事件样本具体可以为P2P僵尸网络样本等，对此本申请实施例不做限定。

本申请实施例中，样本通信协议为网络攻击事件样本所使用的通信协议。

本申请实施例中，样本信息具体包括网络攻击事件样本的家族标识、样本哈希值、流量中的特征字符串等，对此本申请实施例不做限定。

S202、根据样本通信协议生成特征数据包。

S203、通过预设伪造客户端将特征数据包发送给网络攻击事件样本。

S204、获取网络攻击事件样本对特征数据包进行处理时的崩溃信息。

本申请实施例中，可以根据它们所使用的样本通信协议，半自动或者全自动生成一系列符合其协议格式，但内容随机化的一系列特征数据包，然后通过预设伪造客户端发送给网络攻击事件样本使其进行处理，监视其处理过程中报警、异常、崩溃等各种错误，通过这种方式半自动或全自动低针对通讯协议自动化挖掘漏洞，得到崩溃信息。

本申请实施例中，该崩溃信息包括崩溃结果、错误日志等，具体地，崩溃结果为能使网络攻击事件样本发生崩溃的测试样例以及测试的网络攻击事件样本，对此本申请实施例不做限定。

本申请实施例中，通过Fuzz等手段，首先通过专门的脚本修改网络攻击事件样本通信的IP/端口，随后通过一定的算法，随机生成一段无结构的特征数据包，通过TCP/IP协议发送给网络攻击事件样本，并同时统计测试样例是否使网络攻击事件样本崩溃情况以及有效性等等属性，然后每隔一段阈值进行统计，取出其中的有效样例，通过特定算法提取特征和变异处理，将这些特征加入到随机生成数据的算法里去，继续生成和测试，周而复始，直至到达一定的阈值为止，通过这种方式针对不同僵尸网络样本的通讯协议自动化挖掘漏洞，从而得到崩溃信息。

在步骤S204之后，还包括以下步骤：

S205、根据崩溃信息和特征数据包，获取与网络攻击事件样本对应的反制载荷。

本申请实施例中，反制载荷具体为反制payload，用于劫持网络攻击事件对应的服务端EIP，然后向攻击者设备植入相应的反制payload，包括但不限于僵尸网络服务端漏洞利用代码、反制木马数据等，对此本申请实施例不作限定。

本申请实施例中，EIP，即Extend Instruction Pointer，具体指EIP寄存器，是计算机CPU中的指令指针寄存器，用来存储CPU要读取指令的地址，在计算机当前需要执行汇编指令时， CPU通过EIP寄存器读取即将要执行的指令。每次CPU执行完相应的汇编指令之后，EIP寄存器的值就会增加。

作为一种可选的实施方式，该反制载荷的获取可以通过自动获取和人工获取两种方式。具体地，当采用自动获取方式时，通过预设的自动化生产工具根据崩溃信息和特征数据包自动化地生成针对相应的网络攻击事件样本的反制payload；当采用人工获取方式时，可以根据崩溃信息以及其对应的特征数据包，通过人工分析原因，进行手工构造与编写反制载荷，然后反制控制端可以获取到人工数据的反制载荷的信息。

作为一种可选的实施方式，根据崩溃信息和特征数据包，获取与网络攻击事件样本对应的反制载荷，可以包括以下步骤：

根据崩溃信息确定能使网络攻击事件样本发生崩溃的测试样例；

将测试样例重新发送给对应的网络攻击事件样本，重现崩溃现场，得到具体的内存属性；

根据具体的内存属性确定网络攻击事件样本的漏洞类型；

根据漏洞类型生成与网络攻击事件样本对应的反制载荷。

在上述实施方式中，根据崩溃信息，首先将上述测试样例重新发送给网络攻击事件样本，重现崩溃现场，并监测其具体的内存属性，自动化判断漏洞类型。

举例来说，如果发现该网络攻击事件样本某处系统栈发生了破坏，则可以确定漏洞类型为发生了栈溢出，如果发现该网络攻击事件样本某处堆属性标记为free状态，但却被再次引用，则可以判定漏洞类型为Use-After-Free等。如果无法确定漏洞类型，则会直接返回一个Unknow结果，等待后续人工分析，并根据人工分析的结果进一步处理。

举例来说，如果是已知漏洞类型但无法检测到，则可以优化现有漏洞类型检测方法，如果是一个新的漏洞类型，首先由人工完成该测试样例的利用代码，随后将其过程抽象成代码，加入现有漏洞自动化利用系统中去；如果可以确定漏洞类型，则会根据不同的漏洞类型，进行不同的处理，最终得到一段有效的反制payload。

举例来说，如果漏洞类型是栈溢出，则可能会在得到系统栈布局后，找到一块可控的内存区域，并将其地址填入返回地址中去用来劫持网络攻击事件样本的EIP，然后在该地址指向内存里填入后续可以释放并运行的一个木马的功能的Shellcode，最后将内存里的所有这些shellcode dump（转储）出来，按照漏洞类型以及原始崩溃的测试样例的格式，最终生成对应的反制Payload。

本申请实施例中，shellcode是一段用于利用软件漏洞而执行的代码，shellcode为16进制的机器码，可在寄存器EIP溢出后，塞入一段可让CPU执行的shellcode机器码，让电脑可以执行攻击者的任意指令。

在步骤S205之后，还包括以下步骤：

S206、根据反制载荷与样本信息构建攻击反制数据库。

作为一种可选的实施方式，根据反制载荷与样本信息构建攻击反制数据库，包括：

将反制载荷与样本信息进行关联，得到关联信息；

判断是否已经预存有反制数据库；

如果是，则根据关联信息对反制数据库进行更新，得到攻击反制数据库；

如果否，则根据关联信息构建攻击反制数据库。

在上述实施方式中，能够不断获取新的样本对预先存储的反制数据库进行更新，从而保证反制数据库的有效性和适用性。

本申请实施例中，步骤SS201~步骤S206发生于步骤S208或者步骤S207之前，对此不作任何限定，本申请实施例仅给出其中一种步骤顺序。

S207、检测网络攻击事件的网络通信数据。

S208、根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷。

S209、根据网络通信数据确定网络攻击事件对应的攻击者设备。

S210、将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息。

本申请实施例中，举例来说，如果在目标主机里检测到Gafgyt僵尸家族的僵尸网络样本，或者通过流量检测技术检测到某一处出口流量设备对外发送了符合EchoBot僵尸家族所用的通讯协议的恶意流量数据，将会从上面所提到的数据库中通过家族标识，比如上述的Gafgyt以及EchoBot，或者版本信息等关键字段查询是否已有相应的目标反制payload，如果查询到已有匹配的目标反制payload，将会发送对应的目标反制payload至攻击者设备（攻击者服务器）对应的IP/端口，以此来进行反制。

本申请实施例中，在向指定攻击者设备发送目标反制payload后，会根据该目标反制payload在攻击者设备上运行僵尸网络服务端漏洞利用代码，然后根据反制木马数据在攻击者设备生成并运行相应的反制木马，并向反制控制端发送上线包与心跳包，最后并将一个Shell（弹窗）返回给反制控制端，并等待反制控制端的下一步命令。

在步骤S210之后，还包括以下步骤：

S211、获取反制情况信息并输出。

本申请实施例中，反制控制端可以通过该Shell（弹窗）输出反制情况信息。

作为一种可选的实施方式，在获取反制情况信息并输出之后，还可以包括以下步骤。

S212、接收用户输入的反制控制指令。

本申请实施例中，Shell（弹窗）还包括指令输入窗口，用户可以通过该指令输入窗口输入相应的反制控制指令。

在步骤S212之后，还包括以下步骤：

S213、根据反制控制指令对攻击者设备进行控制，并接收实时控制结果信息以及执行反制控制指令之后的实时反制状态信息。

S214、输出实时控制结果信息和实时反制状态信息。

本申请实施例中，反制情况信息包括但不限于目标反制载荷的具体信息、反制状态信息、攻击者设备的命令控制窗口、攻击者设备的主机信息、控制反制数据等，对此本申请实施例不作限定。

本申请实施例中，该目标反制载荷的具体信息包括但不限于目标反制载荷具体内容、僵尸网络服务端漏洞利用代码的具体信息、反制木马具体信息以及反制木马的运行信息等，对此本申请实施例不作限定。

本申请实施例中，该反制状态信息包括但不限于在根据目标反制载荷进行反制的反制流程信息、反制状态结果信息等，该反制状态结果信息包括反制成功、反制失败等，对此本申请实施例不作限定。

本申请实施例中，该攻击者设备的主机信息包括CPU信息、内存信息、硬盘信息等，对此本申请实施例不作限定。

本申请实施例中，控制反制数据具体包括根据反制控制指令对攻击者设备进行控制的具体控制过程数据等，对此本申请实施例不作限定。

本申请实施例中，攻击者设备的命令控制窗口具体可以为windows 系统下的cmd（命令提示符）控制窗口等，对此本申请实施例不作限定。

本申请实施例中，在将目标反制载荷发送至攻击者设备之后，目标反制载荷会释放反制木马在攻击者设备上，该反制木马一旦运行，首先会向反制控制端发送上线包，心跳包，提示反制成功，反制木马已上线，并与反制控制端建立连接，随后可以按照预先设定好的设置，也可以等待反制控制端发送相应的命令，然后再返回攻击者设备上弹出的Shell窗口界面，也可以在上线包发送完成后建立反制控制端与攻击者设备之间的通信连接，并发送一个Shell窗口，或者，也可以有其它各种预设控制设置，如收集攻击者设备的主机信息，或者压缩打包攻击者设备中特定存储目录下的文件数据，并将该文件数据第一时间传回反制控制端，又或者根据不同的攻击者设备的主机系统采取不同的策略持久化等各种不同的策略进行反制，最终达到对攻击者设备信息收集，控制攻击者设备等的反制效果。

可见，实施本实施例所描述的网络攻击事件反制方法，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

实施例3

请参看图3，图3为本申请实施例提供的又一种网络攻击事件反制方法的流程示意图。如图3所示，其中，该网络攻击事件反制方法包括：

S301、检测网络攻击事件的网络通信数据。

S302、获取网络通信数据的数据特征。

S303、判断在预设的攻击反制数据库中是否能够获取到与数据特征相匹配的反制载荷，如果是，执行步骤S304以及步骤S311~步骤S313；如果否，执行步骤S305。

在步骤S303之后，还包括以下步骤：

S304、将与数据特征相匹配的反制载荷确定为目标反制载荷，并执行步骤S311~步骤S313。

S305、判断是否能够根据网络通信数据获取到攻击样本，如果是，执行步骤S306~步骤S307以及步骤S311~步骤S313；如果否，执行步骤S308~步骤S310。

在步骤S305之后，还包括以下步骤：

S306、存储数据特征和攻击样本，并获取与攻击样本对应的反制载荷。

作为一种可选的实施方式，方法还包括：

根据数据特征以及与攻击样本对应的反制载荷对攻击反制数据库进行更新。

S307、将与攻击样本对应的反制载荷确定为目标反制载荷，并执行步骤S311。

在步骤S307之后，还包括以下步骤：

S308、将数据特征存储到缺省样本数据库中。

S309、当获取到与数据特征相匹配的新攻击样本时，获取与新攻击样本对应的反制载荷。

S310、根据数据特征以及与新攻击样本对应的反制载荷对攻击反制数据库进行更新，并结束本流程。

本申请实施例中，如果不能够根据网络通信数据获取到攻击样本时，则获取相应的恶意流量数据，以及记录该恶意流量数据相应的各种特征，并保存在另一个专门保存缺省样本信息的缺省样本数据库中，等待后续发现匹配样本再进行处理。

本申请实施例中，实施上述步骤S302~步骤S310，能够根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷。

S311、根据网络通信数据确定网络攻击事件对应的攻击者设备。

S312、将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息。

S313、获取反制情况信息并输出。

本申请实施例中，实施该方法不止进行了攻击的检测与阻断，还进一步直接反制，进一步获取攻击者设备的情报。

可见，实施本实施例所描述的网络攻击事件反制方法，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

实施例4

请参看图4，图4为本申请实施例提供的一种网络攻击事件反制装置的结构示意图。如图4所示，应用于反制控制端，该网络攻击事件反制装置包括：

检测单元410，用于检测网络攻击事件的网络通信数据；

匹配单元420，用于根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷；

确定单元430，用于根据网络通信数据确定网络攻击事件对应的攻击者设备；

反制单元440，用于将目标反制载荷发送至攻击者设备上进行攻击反制，以使目标反制载荷在攻击者设备上运行得到反制情况信息；

反馈单元450，用于获取反制情况信息并输出。

本申请实施例中，对于网络攻击事件反制装置的解释说明可以参照实施例1~3中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的网络攻击事件反制装置，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

实施例5

请一并参阅图5，图5是本申请实施例提供的另一种网络攻击事件反制装置的结构示意图。其中，图5所示的网络攻击事件反制装置是由图4所示的网络攻击事件反制装置进行优化得到的。如图5所示，网络攻击事件反制装置还包括：

获取单元460，用于获取网络攻击事件样本、与网络攻击事件样本相对应的样本通信协议以及网络攻击事件样本的样本信息；

发送单元470，用于根据样本通信协议生成特征数据包；以及通过预设伪造客户端将特征数据包发送给网络攻击事件样本；

获取单元460，还用于获取网络攻击事件样本对特征数据包进行处理时的崩溃信息；以及根据崩溃信息和特征数据包，获取与网络攻击事件样本对应的反制载荷；

构建单元480，用于根据反制载荷与样本信息构建攻击反制数据库。

作为一种可选的实施方式，构建单元480包括：

第一子单元481，用于将反制载荷与样本信息进行关联，得到关联信息；

第二子单元482，用于判断是否已经预存有反制数据库；

第三子单元483，用于当判断出已经预存有反制数据库时，则根据关联信息对反制数据库进行更新，得到攻击反制数据库；以及当判断出未预存有反制数据库时，根据关联信息构建攻击反制数据库。

作为一种可选的实施方式，匹配单元420包括：

第四子单元421，用于获取网络通信数据的数据特征；

第五子单元422，用于判断在预设的攻击反制数据库中是否能够获取到与数据特征相匹配的反制载荷；

第六子单元423，用于当判断出能够获取到与数据特征相匹配的反制载荷时，将与数据特征相匹配的反制载荷确定为目标反制载荷。

作为进一步可选的实施方式，第六子单元423，还用于当判断出未能获取到与数据特征相匹配的反制载荷时，判断是否能够根据网络通信数据获取到攻击样本；

匹配单元420还包括：

第七子单元424，用于当判断出能够根据网络通信数据获取到攻击样本时，则存储数据特征和攻击样本，并获取与攻击样本对应的反制载荷；以及将与攻击样本对应的反制载荷确定为目标反制载荷。

作为再进一步可选的实施方式，匹配单元420还包括：

第八子单元425，用于根据数据特征以及与攻击样本对应的反制载荷对攻击反制数据库进行更新。

作为一种可选的实施方式，第七子单元424，还用于当判断出不能够根据网络通信数据获取到攻击样本时，将数据特征存储到缺省样本数据库中；

第九子单元426，用于当获取到与数据特征相匹配的新攻击样本时，获取与新攻击样本对应的反制载荷；以及根据数据特征以及与新攻击样本对应的反制载荷对攻击反制数据库进行更新。

作为一种可选的实施方式，网络攻击事件反制装置还包括：

控制单元490，用于在获取反制情况信息并输出之后，接收用户输入的反制控制指令；以及根据反制控制指令对攻击者设备进行控制，并接收实时控制结果信息以及执行反制控制指令之后的实时反制状态信息；

反馈单元450，还用于输出实时控制结果信息和实时反制状态信息。

本申请实施例中，对于网络攻击事件反制装置的解释说明可以参照实施例1~3中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的网络攻击事件反制装置，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

实施例6

请参看图6，图6为本申请实施例提供的一种网络攻击事件反制系统的结构示意图。如图6所示，该网络攻击事件反制系统包括反制控制端510、目标主机520以及攻击者设备530，其中，

反制控制端510，用于检测目标主机520上网络攻击事件的网络通信数据；以及根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷；以及根据网络通信数据确定网络攻击事件对应的攻击者设备530；以及将目标反制载荷发送至攻击者设备530上进行攻击反制；

攻击者设备530，用于接收目标反制载荷，并运行目标反制载荷得到目标反制木马；以及运行目标反制木马的得到反制情况信息；以及将反制情况信息反馈至反制控制端510；

反制控制端510，还用于接收反制情况信息并输出。

作为一种可选的实施方式，反制控制端510，还用于获取网络攻击事件样本、与网络攻击事件样本相对应的样本通信协议以及网络攻击事件样本的样本信息；以及根据样本通信协议生成特征数据包；以及通过预设伪造客户端将特征数据包发送给网络攻击事件样本；以及获取网络攻击事件样本对特征数据包进行处理时的崩溃信息；以及根据崩溃信息和特征数据包，获取与网络攻击事件样本对应的反制载荷；以及根据反制载荷与样本信息构建攻击反制数据库。

作为进一步可选的实施方式，反制控制端510根据反制载荷与样本信息构建攻击反制数据库，具体地，将反制载荷与样本信息进行关联，得到关联信息；并判断是否已经预存有反制数据库；如果是，则根据关联信息对反制数据库进行更新，得到攻击反制数据库；如果否，则根据关联信息构建攻击反制数据库。

作为一种可选的实施方式，反制控制端510根据预设的攻击反制数据库获取与网络通信数据相匹配的目标反制载荷具体地，获取网络通信数据的数据特征；判断在预设的攻击反制数据库中是否能够获取到与数据特征相匹配的反制载荷；如果是，将与数据特征相匹配的反制载荷确定为目标反制载荷。

作为进一步可选的实施方式，反制控制端510，还用于当判断出未能获取到与数据特征相匹配的反制载荷时，判断是否能够根据网络通信数据获取到攻击样本；如果是，则存储数据特征和攻击样本，并获取与攻击样本对应的反制载荷；以及将与攻击样本对应的反制载荷确定为目标反制载荷。

作为再进一步可选的实施方式，反制控制端510，还用于根据数据特征以及与攻击样本对应的反制载荷对攻击反制数据库进行更新。

作为再进一步可选的实施方式，反制控制端510，还用于当判断出不能够根据网络通信数据获取到攻击样本时，将数据特征存储到缺省样本数据库中；以及当获取到与数据特征相匹配的新攻击样本时，获取与新攻击样本对应的反制载荷；以及根据数据特征以及与新攻击样本对应的反制载荷对攻击反制数据库进行更新。

作为再进一步可选的实施方式，反制控制端510，还用于在获取反制情况信息并输出之后，接收用户输入的反制控制指令；根据反制控制指令对攻击者设备530进行控制，并接收实时控制结果信息以及执行反制控制指令之后的实时反制状态信息；输出实时控制结果信息和实时反制状态信息。

本申请实施例中，对于网络攻击事件反制系统的解释说明可以参照实施例1~3中的描述，对此本实施例中不再多加赘述。

可见，实施本实施例所描述的网络攻击事件反制系统，能够实现主动溯源反制，有效避免再次受到相同网络攻击事件的攻击，反制力度大，反制效果好。

本申请实施例提供了一种电子设备，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1或实施例2中任一项网络攻击事件反制方法。

本申请实施例提供了一种计算机可读存储介质，其存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行本申请实施例1或实施例2中任一项网络攻击事件反制方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (8)

1.一种网络攻击事件反制方法，其特征在于，应用于反制控制端，包括：

当检测到P2P僵尸网络攻击时，检测网络攻击事件的网络通信数据；

根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；

根据所述网络通信数据确定所述网络攻击事件对应的攻击者设备；

通过TCP/IP层协议将所述目标反制载荷发送至所述攻击者设备的IP或端口上进行攻击反制，以使所述目标反制载荷在所述攻击者设备上运行并通过Shell弹窗输出反制情况信息；

获取所述反制情况信息并输出；所述反制情况信息包括目标反制载荷的具体信息、反制状态信息、攻击者设备的命令控制窗口、攻击者设备的主机信息和控制反制数据；

所述根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷，包括：

获取所述网络通信数据的数据特征；所述数据特征包括与僵尸网络样本对应的家族标识和版本标识；

判断在预设的攻击反制数据库中是否能够获取到与所述数据特征相匹配的反制载荷；

如果是，将与所述数据特征相匹配的反制载荷确定为目标反制载荷；

如果否，判断是否能够根据所述网络通信数据获取到攻击样本；

如果是，则存储所述数据特征和所述攻击样本，并获取与所述攻击样本对应的反制载荷；

将所述与所述攻击样本对应的反制载荷确定为目标反制载荷；

如果否，则获取相应的恶意流量数据，以及记录该恶意流量数据相应的各种特征，并保存在另一个专门保存缺省样本信息的缺省样本数据库中，等待后续发现匹配样本再进行处理。

2.根据权利要求1所述的网络攻击事件反制方法，其特征在于，所述方法还包括：

获取网络攻击事件样本、与所述网络攻击事件样本相对应的样本通信协议以及所述网络攻击事件样本的样本信息；

根据所述样本通信协议生成特征数据包；

通过预设伪造客户端将所述特征数据包发送给所述网络攻击事件样本；

获取所述网络攻击事件样本对所述特征数据包进行处理时的崩溃信息；

根据所述崩溃信息和所述特征数据包，获取与所述网络攻击事件样本对应的反制载荷；

根据所述反制载荷与所述样本信息构建攻击反制数据库。

3.根据权利要求2所述的网络攻击事件反制方法，其特征在于，所述根据所述反制载荷与所述样本信息构建攻击反制数据库，包括：

将所述反制载荷与所述样本信息进行关联，得到关联信息；

判断是否已经预存有反制数据库；

如果是，则根据所述关联信息对所述反制数据库进行更新，得到攻击反制数据库；

如果否，则根据所述关联信息构建攻击反制数据库。

4.根据权利要求1所述的网络攻击事件反制方法，其特征在于，所述方法还包括：

根据所述数据特征以及与所述攻击样本对应的反制载荷对所述攻击反制数据库进行更新。

5.根据权利要求1所述的网络攻击事件反制方法，其特征在于，所述方法还包括：

当判断出不能够根据所述网络通信数据获取到攻击样本时，将所述数据特征存储到缺省样本数据库中；

当获取到与所述数据特征相匹配的新攻击样本时，获取与所述新攻击样本对应的反制载荷；

根据所述数据特征以及与所述新攻击样本对应的反制载荷对所述攻击反制数据库进行更新。

6.根据权利要求1所述的网络攻击事件反制方法，其特征在于，在所述获取所述反制情况信息并输出之后，包括：

接收用户输入的反制控制指令；

根据所述反制控制指令对所述攻击者设备进行控制，并接收实时控制结果信息以及执行所述反制控制指令之后的实时反制状态信息；

输出所述实时控制结果信息和所述实时反制状态信息。

7.一种网络攻击事件反制装置，其特征在于，应用于反制控制端，所述网络攻击事件反制装置包括：

检测单元，用于当检测到P2P僵尸网络攻击时，检测网络攻击事件的网络通信数据；

匹配单元，用于根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；

确定单元，用于根据所述网络通信数据确定所述网络攻击事件对应的攻击者设备；

反制单元，用于通过TCP/IP层协议将所述目标反制载荷发送至所述攻击者设备的IP或端口上进行攻击反制，以使所述目标反制载荷在所述攻击者设备上运行并通过Shell弹窗输出反制情况信息；

反馈单元，用于获取所述反制情况信息并输出；所述反制情况信息包括目标反制载荷的具体信息、反制状态信息、攻击者设备的命令控制窗口、攻击者设备的主机信息和控制反制数据；

所述匹配单元包括：

第四子单元，用于获取网络通信数据的数据特征；所述数据特征包括与僵尸网络样本对应的家族标识和版本标识；

第五子单元，用于判断在预设的攻击反制数据库中是否能够获取到与数据特征相匹配的反制载荷；

第六子单元，用于当判断出能够获取到与数据特征相匹配的反制载荷时，将与数据特征相匹配的反制载荷确定为目标反制载荷；

第六子单元，还用于当判断出未能获取到与数据特征相匹配的反制载荷时，判断是否能够根据网络通信数据获取到攻击样本；

第七子单元，用于当判断出能够根据网络通信数据获取到攻击样本时，则存储数据特征和攻击样本，并获取与攻击样本对应的反制载荷；以及将与攻击样本对应的反制载荷确定为目标反制载荷；

所述第七子单元，还用于当判断出不能根据网络通信数据获取到攻击样本时，获取相应的恶意流量数据，以及记录该恶意流量数据相应的各种特征，并保存在另一个专门保存缺省样本信息的缺省样本数据库中，等待后续发现匹配样本再进行处理。

8.一种网络攻击事件反制系统，其特征在于，所述网络攻击事件反制系统包括反制控制端、目标主机以及攻击者设备，其中，

所述反制控制端，用于当检测到P2P僵尸网络攻击时，检测所述目标主机上网络攻击事件的网络通信数据；以及根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷；以及根据所述网络通信数据确定所述网络攻击事件对应的所述攻击者设备；以及通过TCP/IP层协议将所述目标反制载荷发送至所述攻击者设备的通过IP或端口上进行攻击反制；

所述攻击者设备，用于接收所述目标反制载荷，并运行所述目标反制载荷得到目标反制木马；以及运行所述目标反制木马并通过Shell弹窗输出反制情况信息；以及将所述反制情况信息反馈至所述反制控制端；

所述反制控制端，还用于接收所述反制情况信息并输出；所述反制情况信息包括目标反制载荷的具体信息、反制状态信息、攻击者设备的命令控制窗口、攻击者设备的主机信息和控制反制数据；其中，

所述根据预设的攻击反制数据库获取与所述网络通信数据相匹配的目标反制载荷，包括：

获取所述网络通信数据的数据特征；所述数据特征包括与僵尸网络样本对应的家族标识和版本标识；

判断在预设的攻击反制数据库中是否能够获取到与所述数据特征相匹配的反制载荷；

如果是，将与所述数据特征相匹配的反制载荷确定为目标反制载荷；

如果否，判断是否能够根据所述网络通信数据获取到攻击样本；

如果是，则存储所述数据特征和所述攻击样本，并获取与所述攻击样本对应的反制载荷；

将所述与所述攻击样本对应的反制载荷确定为目标反制载荷；

如果否，则获取相应的恶意流量数据，以及记录该恶意流量数据相应的各种特征，并保存在另一个专门保存缺省样本信息的缺省样本数据库中，等待后续发现匹配样本再进行处理。

Images