CN113810408B - 网络攻击组织的探测方法、装置、设备及可读存储介质 - Google Patents

网络攻击组织的探测方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN113810408B
CN113810408B CN202111087158.3A CN202111087158A CN113810408B CN 113810408 B CN113810408 B CN 113810408B CN 202111087158 A CN202111087158 A CN 202111087158A CN 113810408 B CN113810408 B CN 113810408B
Authority
CN
China
Prior art keywords
attack
target
organization
sample
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111087158.3A
Other languages
English (en)
Other versions
CN113810408A (zh
Inventor
许久围
范渊
吴卓群
王欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111087158.3A priority Critical patent/CN113810408B/zh
Publication of CN113810408A publication Critical patent/CN113810408A/zh
Application granted granted Critical
Publication of CN113810408B publication Critical patent/CN113810408B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络攻击组织的探测方法,包括:当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征;利用预设规则库对目标攻击特征进行蜜罐环境匹配;判断蜜罐环境是否匹配成功;若是,则将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息;对攻击样本进行解析,得到样本标识信息;根据攻击上下文信息和样本标识信息确定目标攻击组织。应用本发明所提供的网络攻击组织的探测方法,降低了对已知情报的依赖,提高了网络攻击组织探测的准确性。本发明还公开了一种网络攻击组织的探测装置、设备及存储介质,具有相应技术效果。

Description

网络攻击组织的探测方法、装置、设备及可读存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络攻击组织的探测方法、装置、设备及计算机可读存储介质。
背景技术
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH(哈希值),IP(Internet Protocol,网络之间互连的协议),域名,程序运行路径,注册表项等,以及相关的归属标签。
目前业界内已有的方法是通过交换、捕获、分析、采集等方式获取威胁情报,进而实现对网络攻击组织的探测识别。但获取的大部分情报都是单一的IOC(Indicator OfCompromise,威胁指示器),如黑名单IP,黑名单域名等,这种情报仅处于信息探测与攻击尝试阶段,该攻击未成功,也没有进一步动作,因此无完整的攻击过程以及攻击目的。需要通过被动的方式完善情报,当出现单一的IOC时,分析人员根据IP的历史行为,以及IP所绑定的域名,IP的基础信息,多维度情报汇总分析,关联已有情报后,结合历史攻击战术,通过逻辑推断的方式,推测攻击成功后的行为以及攻击目的。该种方式仅为推断,已有情报具有时效性,当攻击手法发生更新时,或信息要素不全,基于已有情报做出的推断容易产生偏差,进而发生上下文补充错误的情况,导致无法有效分析出攻击目的以及关联出具体的网络攻击组织。
综上所述,如何有效地解决现有的通过逻辑推断的方式进行网络攻击组织的探测识别,推断容易产生偏差,导致无法有效分析出攻击目的以及关联出具体的网络攻击组织等问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种网络攻击组织的探测方法,该方法降低了对已知情报的依赖,提高了网络攻击组织探测的准确性;本发明的另一目的是提供一种网络攻击组织的探测装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种网络攻击组织的探测方法,包括:
当探测到目标网络攻击时,获取所述目标网络攻击的目标攻击特征;
利用预设规则库对所述目标攻击特征进行蜜罐环境匹配;其中,所述预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;
判断蜜罐环境是否匹配成功;
若是,则将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本和攻击上下文信息;
对所述攻击样本进行解析,得到样本标识信息;
根据所述攻击上下文信息和所述样本标识信息确定目标攻击组织。
在本发明的一种具体实施方式中,将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,包括:
根据所述目标攻击特征从网络流量集合中筛选所述目标网络攻击对应的目标攻击流量;
将所述目标攻击流量牵引至匹配到的目标蜜罐环境。
在本发明的一种具体实施方式中,利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本和攻击上下文信息,包括:
利用所述目标蜜罐环境根据所述目标攻击流量捕获所述攻击样本、放马地址、回连地址以及回连IP;
根据所述攻击上下文信息和所述样本标识信息确定目标攻击组织,包括:
根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定所述目标攻击组织。
在本发明的一种具体实施方式中,根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定所述目标攻击组织,包括:
利用预设备案组织库对所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息进行组织关联;
判断是否关联到已有攻击组织编号;
若是,则将关联到的已有攻击组织编号对应的攻击组织确定为所述目标攻击组织;
若否,则根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息定义新攻击组织编号,以根据所述新攻击组织编号生成所述目标攻击组织。
在本发明的一种具体实施方式中,当确定蜜罐环境未匹配成功时,还包括:
调取预设防护策略,并执行所述预设防护策略。
在本发明的一种具体实施方式中,对所述攻击样本进行解析,得到样本标识信息,包括
将所述攻击样本发送至预设沙箱环境;
利用所述预设沙箱环境对所述攻击样本进行样本分析,得到所述样本标识信息。
一种网络攻击组织的探测装置,包括:
攻击特征获取模块,用于当探测到目标网络攻击时,获取所述目标网络攻击的目标攻击特征;
蜜罐环境匹配模块,用于利用预设规则库对所述目标攻击特征进行蜜罐环境匹配;其中,所述预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;
匹配结果判断模块,用于判断蜜罐环境是否匹配成功;
信息捕获模块,用于当确定蜜罐环境匹配成功时,将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本和攻击上下文信息;
样本标识获得模块,用于对所述攻击样本进行解析,得到样本标识信息;
攻击组织确定模块,用于根据所述攻击上下文信息和所述样本标识信息确定目标攻击组织。
在本发明的一种具体实施方式中,所述信息捕获模块包括:
流量筛选子模块,用于根据所述目标攻击特征从网络流量集合中筛选所述目标网络攻击对应的目标攻击流量;
流量牵引子模块,用于将所述目标攻击流量牵引至匹配到的目标蜜罐环境。
一种网络攻击组织的探测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述网络攻击组织的探测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述网络攻击组织的探测方法的步骤。
本发明所提供的网络攻击组织的探测方法,当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征;利用预设规则库对目标攻击特征进行蜜罐环境匹配;其中,预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;判断蜜罐环境是否匹配成功;若是,则将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息;对攻击样本进行解析,得到样本标识信息;根据攻击上下文信息和样本标识信息确定目标攻击组织。
由上述技术方案可知,通过预先设置存储有各攻击特征与各蜜罐环境之间的对应关系的规则库,当探测到目标网络攻击时,直接利用预设规则库对目标网络攻击的目标攻击特征进行蜜罐环境匹配,将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,使其攻击成功,从而捕获得到攻击样本和攻击上下文信息,根据攻击上下文信息和样本标识信息确定目标攻击组织。从而实现了根据实际的攻击路径和攻击结果进行网络攻击组织的主动探测,相较于逻辑推断的网络攻击组织探测方式,降低了对已知情报的依赖,提高了网络攻击组织探测的准确性。
相应的,本发明还提供了与上述网络攻击组织的探测方法相对应的网络攻击组织的探测装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中网络攻击组织的探测方法的一种实施流程图;
图2为本发明实施例中网络攻击组织的探测方法的另一种实施流程图;
图3为本发明实施例中一种网络攻击组织的探测装置的结构框图;
图4为本发明实施例中一种网络攻击组织的探测设备的结构框图;
图5为本实施例提供的一种网络攻击组织的探测设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1为本发明实施例中网络攻击组织的探测方法的一种实施流程图,该方法可以包括以下步骤:
S101:当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征。
在网络运行过程中,云服务进行网络攻击探测,当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征。目标攻击特征可以包括源IP地址信息、请求路径信息(reuqest_url)等。
S102:利用预设规则库对目标攻击特征进行蜜罐环境匹配。
其中,预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系。
通过攻击载荷(payload)搭建可让网络攻击端攻击成功的规则库,规则库中存储有各攻击特征与各蜜罐环境之间的对应关系。在获取到目标网络攻击的目标攻击特征之后,利用预设规则库对目标攻击特征进行蜜罐环境匹配。如表1所示,表1为预设规则库中一组攻击特征与蜜罐环境之间的对应关系的信息表。
表1
Figure BDA0003265975090000061
由表2可知,当监测到来源于IP地址信息为125.66.234.xxx,特征为call_user_func_array&vars[0]=phpinfo的攻击时,可以匹配到蜜罐id为c4ca4238a0b923820dcc509a6f75849b的蜜罐环境。
S103:判断蜜罐环境是否匹配成功,若否,则执行步骤S104,若是,则执行步骤S105。
在利用预设规则库对目标攻击特征进行蜜罐环境匹配之后,判断蜜罐环境是否匹配成功,若否,则说明先前未设置目标攻击特征对应的蜜罐环境,执行步骤S104,若是,则说明先前设置有目标攻击特征对应的蜜罐环境,执行步骤S105。
S104:调取预设防护策略,并执行预设防护策略。
预先设置蜜罐环境匹配失败时针对探测到的网络攻击需要执行的防护策略,当确定蜜罐环境未匹配成功时,说明先前未设置目标攻击特征对应的蜜罐环境,调取预设防护策略,并执行预设防护策略。
需要说明的是,预设防护策略可以根据实际情况进行设置和调整,本发明实施例对此不做限定,如可以设置为网络防火墙。
S105:将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息。
当确定蜜罐环境匹配成功时,说明先前设置有目标攻击特征对应的蜜罐环境,将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息,攻击上下文信息即能描绘一次完整事件的攻击详情,包括攻击者身份(who),攻击手段(how),攻击目的(why)。由于目标蜜罐环境存在对应漏洞,因此攻击一定成功,攻击者首先尝试使用无害攻击验证漏洞,攻击脚本在获取成功响应后,随即发起后续攻击,进而云服务根据目标攻击流量捕获攻击样本和攻击上下文信息。
承接步骤S102中的举例,当确定目标网络攻击的源IP地址为125.66.234.xxx,且reuqest_url包含call_user_func_array&vars[0]=phpinfo时,命中攻击流量,将来源于125.66.234.xxx的流量转发至蜜罐id为c4ca4238a0b923820dcc509a6f75849b的蜜罐环境。
S106:对攻击样本进行解析,得到样本标识信息。
攻击样本中包含样本标识信息,在利用目标蜜罐环境根据目标攻击流量捕获到攻击样本之后,对攻击样本进行解析,得到样本标识信息。
S107:根据攻击上下文信息和样本标识信息确定目标攻击组织。
在利用目标蜜罐环境根据目标攻击流量捕获到攻击样本和攻击上下文信息,并解析得到样本标识信息之后,根据攻击上下文信息和样本标识信息确定目标攻击组织。可以预先对已汇总过的攻击组织进行存储,通过攻击上下文信息和样本标识信息进行组织关联的方式确定目标攻击组织。通过将目标网络攻击对应的目标攻击流量转发至目标蜜罐环境,使其攻击成功,从而捕获攻击上下文信息和攻击样本,从而根据攻击上下文信息和样本标识信息判断出攻击者所属的攻击组织,攻击目的以及TTPs(Tactics、Techniques andProcedures,攻击战术)补全IOC上下文。
由上述技术方案可知,通过预先设置存储有各攻击特征与各蜜罐环境之间的对应关系的规则库,当探测到目标网络攻击时,直接利用预设规则库对目标网络攻击的目标攻击特征进行蜜罐环境匹配,将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,使其攻击成功,从而捕获得到攻击样本和攻击上下文信息,根据攻击上下文信息和样本标识信息确定目标攻击组织。从而实现了根据实际的攻击路径和攻击结果进行网络攻击组织的主动探测,相较于逻辑推断的网络攻击组织探测方式,降低了对已知情报的依赖,提高了网络攻击组织探测的准确性。
需要说明的是,基于上述实施例,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
参见图2,图2为本发明实施例中网络攻击组织的探测方法的另一种实施流程图,该方法可以包括以下步骤:
S201:当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征。
S202:利用预设规则库对目标攻击特征进行蜜罐环境匹配。
其中,预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系。
S203:判断蜜罐环境是否匹配成功,若否,则执行步骤S204,若是,则执行步骤S205。
S204:调取预设防护策略,并执行预设防护策略。
S205:根据目标攻击特征从网络流量集合中筛选目标网络攻击对应的目标攻击流量。
网络中所有流量构成网络流量集合,在获取到目标网络攻击的目标攻击特征之后,根据目标攻击特征从网络流量集合中筛选目标网络攻击对应的目标攻击流量。如表1所示,云服务筛选所有攻击流量,当ip为125.66.234.xxx且reuqest_url包含call_user_func_array&vars[0]=phpinfo时,命中攻击流量。
S206:将目标攻击流量牵引至匹配到的目标蜜罐环境。
承接步骤S205中的距离,在筛选到目标攻击流量之后,将来源于125.66.234.xxx的流量转发至id为c4ca4238a0b923820dcc509a6f75849b的蜜罐。
S207:利用目标蜜罐环境根据目标攻击流量捕获攻击样本、放马地址、回连地址以及回连IP。
在将目标攻击流量牵引至匹配到的目标蜜罐环境之后,利用目标蜜罐环境根据目标攻击流量捕获攻击样本、放马地址、回连地址以及回连IP。
S208:将攻击样本发送至预设沙箱环境。
预先设置用于测试攻击样本的沙箱环境,在利用目标蜜罐环境根据目标攻击流量捕获到攻击样本之后,将攻击样本发送至预设沙箱环境。
S209:利用预设沙箱环境对攻击样本进行样本分析,得到样本标识信息。
攻击样本包含自身的样本标识信息,在将攻击样本发送至预设沙箱环境之后,利用预设沙箱环境对攻击样本进行样本分析,得到样本标识信息。通过预先设置沙箱环境用于测试攻击样本,使得攻击样本与实际网络隔离,保证了网络的安全性。
S210:利用预设备案组织库对放马地址、回连地址、回连IP以及样本标识信息进行组织关联。
在利用目标蜜罐环境根据目标攻击流量捕获到攻击样本、放马地址、回连地址以及回连IP之后,利用预设备案组织库对放马地址、回连地址、回连IP以及样本标识信息进行组织关联。如表2所示,表2为预设备案组织库中一组放马地址、回连地址、回连IP以及样本标识信息与攻击组织之间对应关系的信息表。
表2
Figure BDA0003265975090000091
如表2所示,该攻击样本为Mozi样本,主要目的是构建僵尸网络,该样本内置多种漏洞利用payload,内置暴力破解字典,在互联网上蠕虫式感染,构建僵尸网络。根据捕获的放马地址、回连地址、回连IP以及样本标识信息,去预设备案组织库中检索。
S211:判断是否关联到已有攻击组织编号,若是,则执行步骤S212,若否,则执行步骤S213。
在利用预设备案组织库对放马地址、回连地址、回连IP以及样本标识信息进行组织关联之后,判断是否关联到已有攻击组织编号,若是,则说明发送目标网络攻击的网络攻击组织为已备案的网络攻击组织,执行步骤S212,若否,则说明发送目标网络攻击的网络攻击组织为首次发现,执行步骤S213。
S212:将关联到的已有攻击组织编号对应的攻击组织确定为目标攻击组织。
当确定关联到已有攻击组织编号时,将关联到的已有攻击组织编号对应的攻击组织确定为目标攻击组织。如承接步骤S210中的举例,可以通过放马地址178.175.127.58去预设备案组织库中检索,检索到了id为1的情报,关联到Mozi僵尸网络组织,因此还原完整补充上下文的完整情报:Mozi僵尸网络使用125.66.234.xxx在2020年6月12日通过ThinkPHP RCE漏洞,从178.175.127.58下载后门fbe51695e97a45dc61967dc3241a37dc至/tmp/目录下,修改文件为777权限,成功执行后回连僵尸网络节点ia.51.la。后门内置多种漏洞利用payload,自动对外发起扫描,或暴力破解,蠕虫式传播,将Mozi僵尸网络组织确定为目标攻击组织。
S213:根据放马地址、回连地址、回连IP以及样本标识信息定义新攻击组织编号,以根据新攻击组织编号生成目标攻击组织。
当确定未关联到已有攻击组织编号时,说明发送目标网络攻击的网络攻击组织为首次发现,根据放马地址、回连地址、回连IP以及样本标识信息定义新攻击组织编号,从而根据新攻击组织编号生成目标攻击组织,进而进行组织聚类,从而实现对预设备案组织库的扩展,用于后续的攻击组织关联。
本实施例区别于独立权利要求1所要求保护的技术方案对应的实施例一,还增加了从属权利要求2至6对应要求保护的技术方案,当然,根据实际情况和要求的不同,可将各从属权利要求对应要求保护的技术方案在不影响方案完整性的基础上进行灵活组合,以更加符合不同使用场景的要求,本实施例只是给出了其中一种包含方案最多、效果最优的方案,因为情况复杂,无法对所有可能存在的方案一一列举,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
相应于上面的方法实施例,本发明还提供了一种网络攻击组织的探测装置,下文描述的网络攻击组织的探测装置与上文描述的网络攻击组织的探测方法可相互对应参照。
参见图3,图3为本发明实施例中一种网络攻击组织的探测装置的结构框图,该装置可以包括:
攻击特征获取模块31,用于当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征;
蜜罐环境匹配模块32,用于利用预设规则库对目标攻击特征进行蜜罐环境匹配;其中,预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;
匹配结果判断模块33,用于判断蜜罐环境是否匹配成功;
信息捕获模块34,用于当确定蜜罐环境匹配成功时,将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息;
样本标识获得模块35,用于对攻击样本进行解析,得到样本标识信息;
攻击组织确定模块36,用于根据攻击上下文信息和样本标识信息确定目标攻击组织。
由上述技术方案可知,通过预先设置存储有各攻击特征与各蜜罐环境之间的对应关系的规则库,当探测到目标网络攻击时,直接利用预设规则库对目标网络攻击的目标攻击特征进行蜜罐环境匹配,将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,使其攻击成功,从而捕获得到攻击样本和攻击上下文信息,根据攻击上下文信息和样本标识信息确定目标攻击组织。从而实现了根据实际的攻击路径和攻击结果进行网络攻击组织的主动探测,相较于逻辑推断的网络攻击组织探测方式,降低了对已知情报的依赖,提高了网络攻击组织探测的准确性。
在本发明的一种具体实施方式中,信息捕获模块34包括:
流量筛选子模块,用于根据目标攻击特征从网络流量集合中筛选目标网络攻击对应的目标攻击流量;
流量牵引子模块,用于将目标攻击流量牵引至匹配到的目标蜜罐环境。
在本发明的一种具体实施方式中,信息捕获模块34具体为利用目标蜜罐环境根据目标攻击流量捕获攻击样本、放马地址、回连地址以及回连IP的模块;
攻击组织确定模块36具体为根据放马地址、回连地址、回连IP以及样本标识信息确定目标攻击组织的模块。
在本发明的一种具体实施方式中,攻击组织确定模块36包括:
组织关联子模块,用于利用预设备案组织库对放马地址、回连地址、回连IP以及样本标识信息进行组织关联;
判断子模块,用于判断是否关联到已有攻击组织编号;
攻击组织确定子模块,用于当确定关联到已有攻击组织编号时,将关联到的已有攻击组织编号对应的攻击组织确定为目标攻击组织;
攻击组织生成子模块,用于当确定未关联到已有攻击组织编号时,根据放马地址、回连地址、回连IP以及样本标识信息定义新攻击组织编号,以根据新攻击组织编号生成目标攻击组织。
在本发明的一种具体实施方式中,该装置还可以包括:
防护策略执行模块,用于当确定蜜罐环境未匹配成功时,调取预设防护策略,并执行预设防护策略。
在本发明的一种具体实施方式中,样本标识获得模块35包括:
攻击样本发送子模块,用于将攻击样本发送至预设沙箱环境;
样本标识获得子模块,用于利用预设沙箱环境对攻击样本进行样本分析,得到样本标识信息。
相应于上面的方法实施例,参见图4,图4为本发明所提供的网络攻击组织的探测设备的示意图,该设备可以包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的网络攻击组织的探测方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种网络攻击组织的探测设备的具体结构示意图,该网络攻击组织的探测设备可因配置或性能不同而产生比较大的差异,可以包括处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,处理器322可以设置为与存储器332通信,在网络攻击组织的探测设备301上执行存储器332中的一系列指令操作。
网络攻击组织的探测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的网络攻击组织的探测方法中的步骤可以由网络攻击组织的探测设备的结构实现。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
当探测到目标网络攻击时,获取目标网络攻击的目标攻击特征;利用预设规则库对目标攻击特征进行蜜罐环境匹配;其中,预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;判断蜜罐环境是否匹配成功;若是,则将目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用目标蜜罐环境根据目标攻击流量捕获攻击样本和攻击上下文信息;对攻击样本进行解析,得到样本标识信息;根据攻击上下文信息和样本标识信息确定目标攻击组织。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (9)

1.一种网络攻击组织的探测方法,其特征在于,包括:
当探测到目标网络攻击时,获取所述目标网络攻击的目标攻击特征;
利用预设规则库对所述目标攻击特征进行蜜罐环境匹配;其中,所述预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;
判断蜜罐环境是否匹配成功;
若是,则将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本、放马地址、回连地址以及回连IP;
对所述攻击样本进行解析,得到样本标识信息;
根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定目标攻击组织。
2.根据权利要求1所述的网络攻击组织的探测方法,其特征在于,将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,包括:
根据所述目标攻击特征从网络流量集合中筛选所述目标网络攻击对应的目标攻击流量;
将所述目标攻击流量牵引至匹配到的目标蜜罐环境。
3.根据权利要求1所述的网络攻击组织的探测方法,其特征在于,根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定所述目标攻击组织,包括:
利用预设备案组织库对所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息进行组织关联;
判断是否关联到已有攻击组织编号;
若是,则将关联到的已有攻击组织编号对应的攻击组织确定为所述目标攻击组织;
若否,则根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息定义新攻击组织编号,以根据所述新攻击组织编号生成所述目标攻击组织。
4.根据权利要求1所述的网络攻击组织的探测方法,其特征在于,当确定蜜罐环境未匹配成功时,还包括:
调取预设防护策略,并执行所述预设防护策略。
5.根据权利要求1至4任一项所述的网络攻击组织的探测方法,其特征在于,对所述攻击样本进行解析,得到样本标识信息,包括
将所述攻击样本发送至预设沙箱环境;
利用所述预设沙箱环境对所述攻击样本进行样本分析,得到所述样本标识信息。
6.一种网络攻击组织的探测装置,其特征在于,包括:
攻击特征获取模块,用于当探测到目标网络攻击时,获取所述目标网络攻击的目标攻击特征;
蜜罐环境匹配模块,用于利用预设规则库对所述目标攻击特征进行蜜罐环境匹配;其中,所述预设规则库中存储有各攻击特征与各蜜罐环境之间的对应关系;
匹配结果判断模块,用于判断蜜罐环境是否匹配成功;
信息捕获模块,用于当确定蜜罐环境匹配成功时,将所述目标网络攻击对应的目标攻击流量牵引至匹配到的目标蜜罐环境,并利用所述目标蜜罐环境根据所述目标攻击流量捕获攻击样本、放马地址、回连地址以及回连IP;
样本标识获得模块,用于对所述攻击样本进行解析,得到样本标识信息;
攻击组织确定模块,用于根据所述放马地址、所述回连地址、所述回连IP以及所述样本标识信息确定目标攻击组织。
7.根据权利要求6所述的网络攻击组织的探测装置,其特征在于,所述信息捕获模块包括:
流量筛选子模块,用于根据所述目标攻击特征从网络流量集合中筛选所述目标网络攻击对应的目标攻击流量;
流量牵引子模块,用于将所述目标攻击流量牵引至匹配到的目标蜜罐环境。
8.一种网络攻击组织的探测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述网络攻击组织的探测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述网络攻击组织的探测方法的步骤。
CN202111087158.3A 2021-09-16 2021-09-16 网络攻击组织的探测方法、装置、设备及可读存储介质 Active CN113810408B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111087158.3A CN113810408B (zh) 2021-09-16 2021-09-16 网络攻击组织的探测方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111087158.3A CN113810408B (zh) 2021-09-16 2021-09-16 网络攻击组织的探测方法、装置、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN113810408A CN113810408A (zh) 2021-12-17
CN113810408B true CN113810408B (zh) 2023-04-07

Family

ID=78941290

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111087158.3A Active CN113810408B (zh) 2021-09-16 2021-09-16 网络攻击组织的探测方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN113810408B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389863B (zh) * 2021-12-28 2024-02-13 绿盟科技集团股份有限公司 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质
CN114491533A (zh) * 2022-01-24 2022-05-13 烽台科技(北京)有限公司 数据处理方法、装置、服务器及存储介质
CN114430344B (zh) * 2022-01-24 2022-09-30 东北大学 基于工控流量和威胁情报关联分析的攻击组织识别方法
CN115242467B (zh) * 2022-07-05 2024-02-06 北京华顺信安科技有限公司 一种网络数据识别方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088901A (zh) * 2018-10-31 2018-12-25 杭州默安科技有限公司 基于sdn构建动态网络的欺骗防御方法和系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426242B (zh) * 2017-08-25 2020-03-31 中国科学院计算机网络信息中心 网络安全防护方法、装置及存储介质
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN111565199B (zh) * 2020-07-14 2021-10-01 腾讯科技(深圳)有限公司 网络攻击信息处理方法、装置、电子设备及存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088901A (zh) * 2018-10-31 2018-12-25 杭州默安科技有限公司 基于sdn构建动态网络的欺骗防御方法和系统

Also Published As

Publication number Publication date
CN113810408A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN113810408B (zh) 网络攻击组织的探测方法、装置、设备及可读存储介质
US9954886B2 (en) Method and apparatus for detecting website security
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
CN108183916B (zh) 一种基于日志分析的网络攻击检测方法及装置
CN110149319B (zh) Apt组织的追踪方法及装置、存储介质、电子装置
CN110266670A (zh) 一种终端网络外联行为的处理方法及装置
Hatada et al. Empowering anti-malware research in Japan by sharing the MWS datasets
CN112073437B (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
CN110188538B (zh) 采用沙箱集群检测数据的方法及装置
CN110210213A (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
CN114465741B (zh) 一种异常检测方法、装置、计算机设备及存储介质
CN114003794A (zh) 资产收集方法、装置、电子设备和介质
CN116389099A (zh) 威胁检测方法、装置、电子设备及存储介质
CN113382015A (zh) 一种网络威胁的处置方法、装置、设备及存储介质
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
CN110188537B (zh) 数据的分离存储方法及装置、存储介质、电子装置
CN113079157A (zh) 获取网络攻击者位置的方法、装置、电子设备
CN115766258B (zh) 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
US8595830B1 (en) Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
Somarriba et al. A collaborative framework for android malware detection using DNS & dynamic analysis
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
Suciu et al. Mobile devices forensic platform for malware detection
CN114363059A (zh) 一种攻击识别方法、装置及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant