具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
正如前面所述,现有的蜜罐诱骗系统存在诱骗方式单一的问题,例如,现有的蜜罐诱骗系统一般只是将入侵者引入第三方蜜罐或者资产或者只是简单伪造固定类型的响应,因而无法较好地识别或分析入侵者攻击行为。此外,现有的蜜罐诱骗系统不具备灵活的诱骗规则扩展功能,可维护性差。此外,现有的蜜罐诱骗系统还不具备精准的漏洞识别和诱捕功能,诱骗方式简单,无法充分利用已知的各种类型的漏洞信息。为解决这些问题中的至少一种,本发明提供了一种安全防御方法、装置、电子设备及存储介质,下面将通过具体实施例对本发明提供的内容进行详细解释和说明。
图1示出了本发明实施例提供的安全防御方法的流程图。如图1所示,本发明实施例提供的安全防御方法包括如下步骤:
步骤101:接收攻击方发送的网络访问请求;
步骤102:根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,否则进行IDS(Intrusion Detection System,入侵检测系统,简称“IDS”)入侵检测,并根据IDS入侵检测结果进行IDS防御响应。
在本实施例中,需要说明的是,本实施例提供的安全防御方法可以采用基于传输层代理的安全防御方法,具体可以理解成由代理服务器执行的安全防御方法,该代理服务器位于防火墙和真实的服务器之间,也即,在网络传输层实现安全代理,用于截获攻击方发送的网络访问请求,并对所述网络访问请求进行相应的响应,以保护真实的服务器的安全。
本实施例的执行主体代理服务器可以理解成蜜罐系统,蜜罐系统以及蜜罐技术是为了改变被动防范攻击状况而出现的一种主动防护技术,蜜罐系统是一种安全资源,不提供实际的应用,而是用于诱导和记录攻击者的攻击行为,延缓其攻击进程,使得防御方可以了解攻击者的入侵方法和手段,并根据捕获的攻击行为,针对性地增强系统的安全防护能力。
在本实施例中,需要说明的是,当蜜罐系统接收到攻击方发送的网络访问请求后,会先对所述网络访问请求进行反制检测,判断是否能够进行反制响应,如果确定可以进行反制响应,则根据所述网络访问请求进行合适的反制响应(如根据所述网络访问请求向攻击方发送预先准备好的文件,或根据所述网络访问请求向攻击方发送带有预设钓鱼网站的网页),以进一步套取攻击方更多的攻击行为。
在本实施例中,对攻击方进行反制响应是指:根据攻击方的网络访问请求,向攻击方回复相应的响应消息,同时在该响应消息中携带能够使得攻击方进一步释放或展现攻击特征的信息,甚至对攻击者进行反向钓鱼和木马投放等进一步的反向诱捕和攻击。其中,具体采取何种反制响应,取决于攻击方发送的网络访问请求中所携带的相关信息,从而使得做出的反制响应更加灵活、目标明确,比起现有技术中机械做出固定反制响应,能够有效提升反制的针对性,提升诱捕成功率。
在本实施例中,需要说明的是,本实施例在对所述网络访问请求进行反制检测时,需要根据预设反制规则判断所述网络访问请求中是否存在与所述反制规则匹配的信息,若有,则表明能够进行反制响应,否则,表明不能够进行反制响应。举例来说,假设所述预设反制规则包括有四元组信息和统一资源定位符URL信息,则在对所述网络访问请求进行反制检测时,需要判断所述网络访问请求中是否存在与所述预设反制规则中的信息相匹配的四元组信息和统一资源定位符URL信息,若是,则根据匹配的四元组信息和统一资源定位符URL信息,返回相应的用于进行反制操作的预设文件或预设页面,以进一步套取攻击方更多的攻击行为。
在本实施例中,可以对所述预设反制规则进行实时扩展,从而使得本实施例提供的安全防御方法具备灵活的诱骗规则扩展功能,因此,使得可维护性较强。
在本实施例中,需要说明的是,假设在对所述网络访问请求进行反制检测后,确定针对所述网络访问请求不符合进行反制的条件,此时需要进行IDS入侵检测,然后根据IDS入侵检测结果进行IDS防御响应。具体来说,由于在IDS检测时,可以利用预先存储好的上万条的IDS检测规则进行检测,因此,通过IDS检测可以得到更为全面和准确的检测结果,进而可以确定所述网络访问请求是正常的访问请求还是异常的访问请求。当所述网络访问请求为异常的访问请求时,可以根据IDS入侵检测结果进行IDS防御响应,例如,当IDS入侵检测结果为SQL注入时,可以返回包含有伪造的SQL语句的文件进行IDS防御响应,同时在返回该文件时,可以进行SQL注入的二次检测,以便可以获取更多的攻击者信息,同时也会使得整个攻击过程更加真实。又如,当IDS入侵检测结果为XSS攻击时,可以基于XSS攻击进行相应的回复,同时进行XSS检测等二次检测,以便可以获取更多的攻击者信息,同时也会使得整个攻击过程更加真实。
在本实施例中,需要说明的是,在进行IDS入侵检测时,可以先对所述网络访问请求进行数据分析,获取所述网络访问请求的时间戳、源IP、源端口、源MAC地址、目的IP、目的端口、威胁等级、访问详情、访问类型、攻击工具、病毒木马、爆破字典、病毒分发等这些特征或信息,然后基于这些信息与预设的IDS检测规则进行逐一对比,进而确定其IDS入侵检测结果。
由上面技术方案可知,本实施例提供的安全防御方法,针对攻击方发送的网络访问请求,先根据预设反制规则进行反制检测以确定是否能够进行反制响应,若可以,则进行反制响应,否则进行IDS入侵检测,并根据IDS入侵检测结果进行IDS防御响应。由此可见,本发明实施例提供的安全防御方法,可扩展反制规则,具备灵活的反制功能,从而能够有效地通过反制手段对攻击者进行进一步的诱捕和分析。此外,本实施例还可以在不适于进行反制处理时,继续进行IDS检测,通过IDS检测不但可以扩大检测范围,而且可以准确确定攻击类型,进而使得基于IDS检测结果的检测或诱捕更加精确,此外,在基于IDS检测结果进行检测和诱捕时,还可以融入多种检测和诱捕手段,从而可以使得诱捕方式更加真实准确,进而可以准确分析攻击方的攻击行为。由此可见,本发明实施例提供的安全防御方法,诱捕手段多样灵活,功能比较强大,可以较为全面准确地获得攻击方的攻击行为。
基于上述实施例的内容,在本实施例中,所述预设反制规则包括有四元组信息和/或统一资源定位符URL信息;
相应地,根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,包括:
基于所述预设反制规则,确定所述网络访问请求中是否存在匹配的四元组信息和/或统一资源定位符URL信息,若是,则根据匹配的四元组信息和/或统一资源定位符URL信息,返回相应的用于进行反制操作的预设文件或预设页面。
在本实施例中,包括三种并列方案,分别为:
A、所述预设反制规则包括有四元组信息;
基于所述预设反制规则,确定所述网络访问请求中是否存在匹配的四元组信息,若是,则根据匹配的四元组信息,返回相应的用于进行反制操作的预设文件或预设页面。
在本实施例中,可以设计所述预设反制规则包括有若干组四元组信息,例如,四元组信息分别为(sip,dip,sport,dport),也即(源IP、目的IP、源端口、目的端口),然后基于所述预设反制规则,确定所述网络访问请求中是否存在与所述预设反制规则中的若干组四元组信息中的任意一个相匹配的四元组信息,若是,则根据匹配的四元组信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面。这里根据匹配的四元组信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面是指:预设策略中预先建立有各个原四元组信息与反制用的四元组信息之间的对应关系,当从网络访问请求中获得某一原四元组信息后,根据预设策略中各个原四元组信息与反制用的四元组信息之间的对应关系,确定出反制用的四元组信息,然后根据反制用的四元组信息中的地址信息和端口信息返回相应的用于进行反制操作的预设页面。
举例来说,当网络访问请求中的四元组信息中的sip是192.168.1.123时,按照预先设定的预设策略,响应一个事先准备好的文件。
B、所述预设反制规则包括有统一资源定位符URL信息;
基于所述预设反制规则,确定所述网络访问请求中是否存在匹配的统一资源定位符URL信息,若是,则根据匹配的统一资源定位符URL信息,返回相应的用于进行反制操作的预设文件或预设页面。
在本实施例中,可以设计所述预设反制规则包括有若干个URL信息,然后基于所述预设反制规则,确定所述网络访问请求中是否存在与所述预设反制规则中的若干个URL信息中任意一个相匹配的URL信息,若是,则根据匹配的URL信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面。这里,根据匹配的URL信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面是指:预设策略中预先建立有各个原URL信息(或包含有特定信息的原URL信息)与反制用的URL信息之间的对应关系,当从网络访问请求中获得某一原URL信息后,根据预设策略中各个原URL信息与反制用的URL信息之间的对应关系,确定出反制用的URL信息,然后根据反制用的URL信息返回相应的用于进行反制操作的预设文件或预设页面。
举例来说,当将网络访问请求解析成http报文后发现URL信息中包含有/etc/passwd时,按照预先设定的预设策略,响应一个事先准备好的文件。
例如,关于攻击和响应文件的示例说明:①当某个http请求中包含/etc/passwd时,例如http://www.baidu.com/../../etc/passwd,可以给攻击者回复响应一个事先准备好的passwd文件。②当某个http请求中包含一个命令执行的攻击时例如http://www.baidu.com/action.php?cmd=ifconfig,可以根据所期望执行的命令回复一个实现准备好的ifconfig命令执行结果。
在本实施例中,需要说明的是,关于响应模版的设计,对于上面的响应,可以做成模版动态响应,使结果显得更真实,例如ifconfig命令中会包含服务器的IP,如果写固定了会容易被攻击者发现是假的IP,因此可以把预先准备的ifconfig文件做成一个模版,把IP设计成模板中的一个变量,根据攻击者访问的IP动态地变化。关于响应模版示例如图2所示,其中,方框标出的部分为动态变化的目标变量,通过把IP设计成模板中的一个变量,根据攻击者访问的IP动态地变化,从而使得结果显得更真实,不容易被攻击者发现。
C、所述预设反制规则包括有四元组信息和统一资源定位符URL信息;
基于所述预设反制规则,确定所述网络访问请求中是否存在匹配的四元组信息和统一资源定位符URL信息,若是,则根据匹配的四元组信息和统一资源定位符URL信息,返回相应的用于进行反制操作的预设文件或预设页面。
在本实施例中,可以设计所述预设反制规则既包括有若干组四元组信息又包括有若干个URL信息,然后基于所述预设反制规则,确定所述网络访问请求中是否存在与所述预设反制规则中的若干组四元组信息中的任意一个相匹配的四元组信息以及确定所述网络访问请求中是否存在与所述预设反制规则中的若干个URL信息中任意一个相匹配的URL信息,若是,则根据匹配的URL信息和匹配的四元组信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面。这里,根据匹配的URL信息和匹配的四元组信息,按照预设策略,返回相应的用于进行反制操作的预设文件或预设页面是指:预设策略中预先建立有各个原URL信息(或包含有特定信息的原URL信息)以及各个原四元组信息与反制用的URL信息之间的对应关系,当从网络访问请求中获得某一原URL信息和原四元组信息后,根据预设策略中各个原URL信息以及各个原四元组信息与反制用的URL信息之间的对应关系,确定出反制用的URL信息,然后根据反制用的URL信息返回相应的用于进行反制操作的预设文件或预设页面。本实施例的好处是可以使得反制更加精准。
在本实施例中,可以设计预设反制规则为在网络访问请求内容解析成http报文后检测URL是否包含/etc/passwd,如果是则返回一个已经准备好的文件内容,也可以在URL的基础上加上sip等四元组内的更精确的控制,比如url包含/etc/passwd并且这次代理的请求的sip是192.168.1.123的则响应一个事先准备好的文件的内容。
基于上述实施例的内容,在本实施例中,根据IDS入侵检测结果进行IDS防御响应,包括:
若IDS入侵检测结果为异常,则确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测;
和/或,
若IDS入侵检测结果为异常,则根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
在本实施例中,包括三种并列方案,分别为:
①若IDS入侵检测结果为异常,则确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测;
在本实施例中,若IDS入侵检测结果为异常,则说明攻击方存在问题,此时可以根据IDS检测结果进行相应的回复,同时在回复时对攻击方进行二次检测,以获取攻击方更多的攻击信息。具体地,在根据IDS检测结果进行相应的回复时,可以根据匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测。举例来说,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为SQL注入,则根据SQL注入的IDS入侵检测结果,构造用于进行SQL注入检测的响应内容,以对所述攻击方进行继续检测。又如,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为XSS攻击,则根据XSS攻击的IDS入侵检测结果,构造用于进行XSS攻击检测的响应内容,以对所述攻击方进行二次检测。举例来说,在IDS入侵检测结果为异常后的二次检测中,可以增加对xss的检测,检测到是http请求,并且请求匹配上正则“<script>alert(.*)</script>”,然后把这块匹配上的内容添加到响应内容中。其中,“.*”表示匹配的是任意字符串。这条规则匹配的是一段javascript代码,“.*“匹配的是任意字符串,例如“<script>alert(1234)</script>“就可以匹配上这条正则表达式的规则。②若IDS入侵检测结果为异常,则根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
在本实施例中,若IDS入侵检测结果为异常,则说明攻击方存在问题,此时可以根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐,然后对其进行分析。举例来说,可以根据所述网络访问请求确定与所述网络访问请求对应的漏洞类型,然后基于所述漏洞类型,可以对所述攻击方进行引流,将所述攻击方引流至与所述漏洞类型匹配的指定蜜罐,使得所述指定蜜罐可以对其进行分析。
③若IDS入侵检测结果为异常,则确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测;同时,根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
在本实施例中,若IDS入侵检测结果为异常,则说明攻击方存在问题,此时可以根据IDS检测结果进行相应的回复,同时在回复时对攻击方进行二次检测,以获取攻击方更多的攻击信息。具体地,在根据IDS检测结果进行相应的回复时,可以根据匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测。举例来说,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为SQL注入,则根据SQL注入的IDS入侵检测结果,构造用于进行SQL注入检测的响应内容,以对所述攻击方进行继续检测。又如,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为XSS攻击,则根据XSS攻击的IDS入侵检测结果,构造用于进行XSS攻击检测的响应内容,以对所述攻击方进行二次检测。此外,若IDS入侵检测结果为异常,则说明攻击方存在问题,此时在进行二次检测后,还可以根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐,然后对其进行分析。举例来说,可以根据所述网络访问请求确定与所述网络访问请求对应的漏洞类型,然后基于所述漏洞类型,可以对所述攻击方进行引流,将所述攻击方引流至与所述漏洞类型匹配的指定蜜罐,使得所述指定蜜罐可以对其进行分析。
由此可见,本实施例对于网络访问请求的内容,先进行反制检测,如果检测结果为白,则构造反制响应或者通过第三方代理获取反制响应内容,然后再进行响应,如果检测结果为黑,则进行IDS检测,如果IDS检测结果为白,则进行响应内容的伪造或者通过第三方代理伪造响应内容进行响应,如果IDS检测结果为黑,则进行二次检测或者二次代理引流(代理引流是指通过第三方代理进行引流处理)等功能,从而保证诱捕方式和诱捕手段的多样化,进而确保诱捕效率和诱捕效果。
基于上述实施例的内容,在本实施例中,确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测,包括:
若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为SQL注入或者XSS攻击,则根据SQL注入或者XSS攻击的IDS入侵检测结果,构造用于进行SQL注入检测或用于进行XSS攻击检测的响应内容,以对所述攻击方进行继续检测。
在本实施例中,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为SQL注入,则根据SQL注入的IDS入侵检测结果,构造用于进行SQL注入检测的响应内容,以对所述攻击方进行二次检测。例如:
某个http请求包含内容:
“Joomla_3.7.0-Stable-Full_Package/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x5e,current_user(),0x5e),0)HTTP/1.1”,可以根据”(1,concat(0x5e,current_user(),0x5e),0)”的sql语义伪造一个响应“^root@localhost^”,以对所述攻击方进行二次检测。
在本实施例中,若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为者XSS攻击,则根据XSS攻击的IDS入侵检测结果,构造用于进行XSS攻击检测的响应内容,以对所述攻击方进行二次检测。例如:在检测到http请求头中包含了一段xss脚本“<script>alert(123)<script>”,可以提取这段脚本添加到响应内容中,从而攻击者的浏览器会有个对应的xss执行效果弹出一个“123”的弹框。
在本实施例中,由于可以根据IDS入侵检测结果进行有针对性的回复,因此可以使得基于IDS检测结果的检测或诱捕更加精确,此外,在基于IDS检测结果进行检测和诱捕时,还可以融入多种检测和诱捕手段,从而可以使得诱捕方式更加真实准确,进而可以准确分析攻击方的攻击行为。由此可见,本发明实施例提供的安全防御方法,诱捕手段多样灵活,功能比较强大,可以较为全面准确地获得攻击方的攻击行为。
基于上述实施例的内容,在本实施例中,根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐,包括:
确定与所述网络访问请求对应的漏洞类型和/或四元组信息;
根据所述漏洞类型和/或四元组信息,对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
在本实施例中,包括三种并列方案:
a、确定与所述网络访问请求对应的漏洞类型信息;
根据所述漏洞类型信息,对所述攻击方进行引流,将所述攻击方引流至预设蜜罐;
在本实施例中,可以基于网络访问请求的漏洞类型将攻击方引流至与所述漏洞类型对应的预设蜜罐中,从而便于对所述攻击方进行行为和攻击分析。
b、确定与所述网络访问请求对应的四元组信息;
根据所述四元组信息,对所述攻击方进行引流,将所述攻击方引流至预设蜜罐;
在本实施例中,可以基于网络访问请求的四元组信息将攻击方引流至与所述四元组信息对应的预设蜜罐中,从而便于对所述攻击方进行行为和攻击分析。例如,假设网络访问请求的sip是192.168.1.23,dip是10.91.11.22,dport是80,对应的蜜罐为weblogic漏洞蜜罐,则可以将网络访问请求引流至该蜜罐。
c、确定与所述网络访问请求对应的漏洞类型和四元组信息;
根据所述漏洞类型和四元组信息,对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
在本实施例中,可以同时基于网络访问请求的四元组信息和漏洞类型将攻击方引流至与所述四元组信息和所述漏洞类型对应的预设蜜罐中,从而便于对所述攻击方进行行为和攻击分析。
在本实施例中,引流规则不限于上面描述的漏洞类型和四元组信息,根据需要还可以对引流规则进行实时扩展,从而使得本实施例提供的安全防御方法具备灵活的诱骗规则扩展功能,因此,使得可维护性较强。
由此可见,本实施例通过二次引流,可以将IDS检测有问题的攻击方根据攻击方的特性引流至相应的蜜罐中,进而对攻击方进行诱捕分析。可见,本实施例在传输层代理的基础上融入反制、IDS检测和引流等多种诱捕手段,从而可以提高诱捕效率和诱捕效果。
基于上述实施例的内容,在本实施例中,根据IDS入侵检测结果进行IDS防御响应,包括:
若IDS入侵检测结果为正常,则从预先配置的页面或靶场中选择与所述网络访问请求匹配的页面或靶场进行响应或根据所述网络访问请求实时伪造页面或靶场进行响应。
在本实施例中,对于网络访问请求的内容,先进行反制检测,如果检测结果为白则构造反制响应或者通过第三方代理获取反制响应内容然后响应,如果检测结果为黑,则进行IDS检测,检测结果为白则进行响应内容的伪造或者通过第三方代理伪造响应内容进行响应,检测结果为黑则进行二次检测或者二次代理引流(二次代理引流是指通过第三方代理进行引流处理)等功能。
在本实施例中,若IDS入侵检测结果为正常,则说明暂时没有发现攻击方存在什么问题,因此可以先从预先配置的页面或靶场中选择与所述网络访问请求匹配的页面或靶场进行响应或根据所述网络访问请求实时伪造页面或靶场进行响应,以等待攻击方的回应,并根据攻击方的回应继续进行安全防御。这里,与所述网络访问请求匹配的页面或靶场一般可以理解成与网络访问请求中访问内容匹配的页面或靶场,例如,当网络访问请求为/index.html时,其对应的页面或靶场可以为一个事先准备好的静态的资产首页的HTML文件。
下面结合图3对本实施例提供的安全防御方法进行详细说明。如图3所示,本实施例在传输层代理的基础上融入IDS检测和反制以及引流和伪造响应等多种诱捕手段的融合。首先,利用反制规则包括四元组相关信息和其他上层信息如http的URL等进行反制,然后,对于不符合反制规则的进行IDS检测,检测为白的可以通过随机页面或者随机的靶场进行响应;检测为黑,可以基于检测的结果进行SQL注入或者XSS检测等二次检测,然后基于模板构造相应的响应内容,也可以加入基于漏洞类型和基于四元组信息的二次引流代理(也即通过第三方代理进行基于漏洞类型和基于四元组信息的引流处理),对于所有的二次检测和引流没通过的可以再进行随机页面伪造或者随机靶场引流。由此可见,本实施例具备灵活的反制功能,可扩展的反制规则。此外,基于IDS检测,使得诱捕更精确。本实施例提供的安全防御方法,诱捕手段多样灵活,功能强大。本实施例中的二次检测功能,可以融入多种二次检测手段,让诱捕方式更加真实准确,同时可以灵活扩展检测方法和检测规则。本实施例提供的安全防御方法,可以用到欺骗防御类(包含蜜罐)产品。
图4示出了本发明实施例提供的安全防御装置的结构示意图。如图4所示,本实施例提供的安全防御装置,包括:接收模块21和防御模块22,其中:
接收模块21,用于接收攻击方发送的网络访问请求;
防御模块22,用于根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,否则进行IDS入侵检测,并根据IDS入侵检测结果进行IDS防御响应。
基于上述实施例的内容,在本实施例中,所述预设反制规则包括有四元组信息和/或统一资源定位符URL信息;
相应地,防御模块22,具体用于:
基于所述预设反制规则,确定所述网络访问请求中是否存在匹配的四元组信息和/或统一资源定位符URL信息,若是,则根据匹配的四元组信息和/或统一资源定位符URL信息,返回相应的用于进行反制操作的预设文件或预设页面。
基于上述实施例的内容,在本实施例中,防御模块22在根据IDS入侵检测结果进行IDS防御响应时,具体用于:
若IDS入侵检测结果为异常,则确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测;
和/或,
若IDS入侵检测结果为异常,则根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
基于上述实施例的内容,在本实施例中,防御模块22确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则,并根据所述匹配的IDS入侵检测规则构造相应的响应内容,以对所述攻击方进行继续检测时,包括:
若确定在IDS入侵检测过程中与所述网络访问请求匹配的IDS入侵检测规则为SQL注入或者XSS攻击,则根据SQL注入或者XSS攻击的IDS入侵检测结果,构造用于进行SQL注入检测或用于进行XSS攻击检测的响应内容,以对所述攻击方进行继续检测。
基于上述实施例的内容,在本实施例中,防御模块22在根据所述网络访问请求对所述攻击方进行引流,将所述攻击方引流至预设蜜罐时,具体用于:
确定与所述网络访问请求对应的漏洞类型和/或四元组信息;
根据所述漏洞类型和/或四元组信息,对所述攻击方进行引流,将所述攻击方引流至预设蜜罐。
基于上述实施例的内容,在本实施例中,防御模块22在根据IDS入侵检测结果进行IDS防御响应时,具体用于:
若IDS入侵检测结果为正常,则从预先配置的页面或靶场中选择与所述网络访问请求匹配的页面或靶场进行响应或根据所述网络访问请求实时伪造页面或靶场进行响应。
由于本发明实施例提供的安全防御装置,可以用于执行上述实施例所述的安全防御方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
在本实施例中,需要说明的是,本发明实施例的装置中的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
基于相同的发明构思,本发明又一实施例提供了一种电子设备,参见图5,所述电子设备具体包括如下内容:处理器301、存储器302、通信接口303和通信总线304;
其中,所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信;
所述处理器301用于调用所述存储器302中的计算机程序,所述处理器执行所述计算机程序时实现上述安全防御方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:接收攻击方发送的网络访问请求;根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,否则进行IDS入侵检测,并根据IDS入侵检测结果进行IDS防御响应。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述安全防御方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:接收攻击方发送的网络访问请求;根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,否则进行IDS入侵检测,并根据IDS入侵检测结果进行IDS防御响应。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
基于相同的发明构思,本发明又一实施例提供了一种计算机程序产品,所计算机程序产品包括有计算机程序,该计算机程序被处理器执行时实现上述关联应用启动控制方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述过程:接收攻击方发送的网络访问请求;根据预设反制规则,对所述网络访问请求进行反制检测,以确定是否能够进行反制响应,若是,则进行反制响应,否则进行IDS入侵检测,并根据IDS入侵检测结果进行IDS防御响应。
可以理解的是,所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
此外,上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的安全防御方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。