发明内容
本发明所要解决的技术问题在于,提供一种基于物联网蜜罐的网络攻击诱导方法及装置,能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,并且能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力。
为了解决上述技术问题,本发明第一方面公开了一种基于物联网蜜罐的网络攻击诱导方法,所述方法包括:
构建物联网蜜罐的虚拟环境;
检测针对所述虚拟环境的攻击行为;
根据所述攻击行为,确定攻击信息,所述攻击信息包括所述攻击行为对应的目标攻击类型;
分析所述目标攻击类型,确定模拟反映信息;
将所述模拟反映信息发送至触发所述攻击行为的攻击者终端。
作为一种可选的实施方式,在本发明第一方面中,所述方法还包括:
提取所述攻击信息中的恶意代码,根据所述恶意代码,预测所述攻击行为的攻击趋势;
制定与所述攻击趋势对应的防护方案,所述防护方案用于当检测出与所述攻击趋势匹配的攻击行为时,将所述防护方案发送至所述攻击者终端。。
作为一种可选的实施方式,在本发明第一方面中,所述方法还包括:
分析所述攻击信息,得到攻击分析结果;
根据所述攻击分析结果,判断所述攻击行为能否入侵与所述虚拟环境对应的真实环境;
当判断出所述攻击行为能够入侵与所述虚拟环境对应的真实环境时,修复所述攻击行为所能够入侵的漏洞;或者
向与所述虚拟环境对应的终端发送第一提醒信息,所述第一提醒信息用于提醒所述虚拟环境对应的终端的工作人员对所述攻击行为所能够入侵的漏洞进行修复。
作为一种可选的实施方式,在本发明第一方面中,所述目标攻击类型的数量大于等于1,所述分析所述目标攻击类型,确定模拟反映信息,包括:
检测所有所述目标攻击类型的入侵程度,判断所有所述目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型;
当判断出所有所述目标攻击类型中存在小于所述预设入侵程度阈值的目标攻击类型时,删除所有小于预设入侵程度阈值的目标攻击类型;
确定余下的每一所述目标攻击类型对应的模拟反映信息。。
作为一种可选的实施方式,在本发明第一方面中,在所述分析所述目标攻击类型,确定模拟反映信息之前,所述方法还包括:
判断所述攻击信息中是否存在预设关键信息;
当判断出所述攻击信息中存在所述预设关键信息时,从所述攻击信息中删除所述预设关键信息;
当判断出所述攻击信息中不存在所述预设关键信息时,触发执行所述的分析所述目标攻击类型,确定模拟反映信息的操作。
作为一种可选的实施方式,在本发明第一方面中,所述根据所述攻击行为,确定攻击信息,所述攻击信息包括所述攻击行为对应的目标攻击类型,包括:
根据所述攻击行为,确定所有能够响应所述攻击行为的目标部件,对所有所述目标部件进行分析,确定攻击信息,其中,所述攻击信息包括所述攻击行为对应的目标攻击类型以及终端信息。
作为一种可选的实施方式,在本发明第一方面中,所述终端信息包括所有所述目标部件对应的信息和/或触发所述攻击行为的攻击者终端对应的信息;
所有所述目标部件对应的信息包括所有所述目标部件的ip信息、所有所述目标部件的端口信息、所有所述目标部件的种子请求信息、所有所述目标部件的流量信息中的一种或多种;
所述触发所述攻击行为的攻击者终端对应的信息包括所述攻击者终端的来源信息、所述攻击者终端的地理位置信息、所述攻击者终端的攻击工具信息、所述攻击者终端的攻击次序信息中的一种或多种,其中,所述攻击者终端的来源信息包括所述攻击者终端的ip地址信息、所述攻击者终端的mac地址信息中的一种或多种。
本发明第二方面公开了一种基于物联网蜜罐的网络攻击诱导装置,所述装置包括:
构建模块,用于构建物联网蜜罐的虚拟环境;
检测模块,用于检测针对所述虚拟环境的攻击行为;
确定模块,用于根据所述攻击行为,确定攻击信息,所述攻击信息包括所述攻击行为对应的目标攻击类型;
分析模块,用于分析所述目标攻击类型,确定模拟反映信息;
发送模块,用于将所述模拟反映信息发送至触发所述攻击行为的攻击者终端。
作为一种可选的实施方式,在本发明第二方面中,所述装置还包括:
提取模块,用于提取所述攻击信息中的恶意代码;
预测模块,用于根据所述恶意代码,预测所述攻击行为的攻击趋势;
制定模块,用于制定与所述攻击趋势对应的防护方案,所述防护方案用于当检测出与所述攻击趋势匹配的攻击行为时,将所述防护方案发送至所述攻击者终端。
作为一种可选的实施方式,在本发明第二方面中,所述分析模块,还用于分析所述攻击信息,得到攻击分析结果;
所述装置还包括:
判断模块,用于根据所述攻击分析结果,判断所述攻击行为能否入侵与所述虚拟环境对应的真实环境;
修复模块,用于当所述判断模块判断出所述攻击行为能够入侵与所述虚拟环境对应的真实环境时,修复所述攻击行为所能够入侵的漏洞;
所述发送模块,还用于向与所述虚拟环境对应的终端发送第一提醒信息,所述第一提醒信息用于提醒所述虚拟环境对应的终端的工作人员对所述攻击行为所能够入侵的漏洞进行修复。
作为一种可选的实施方式,在本发明第二方面中,所述目标攻击类型的数量大于等于1,所述分析模块分析所述目标攻击类型,确定模拟反映信息的方式具体为:
检测所有所述目标攻击类型的入侵程度,判断所有所述目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型;
当判断出所有所述目标攻击类型中存在小于所述预设入侵程度阈值的目标攻击类型时,删除所有小于预设入侵程度阈值的目标攻击类型;
确定余下的每一所述目标攻击类型对应的模拟反映信息。
作为一种可选的实施方式,在本发明第二方面中,所述判断模块,还用于在所述分析模块分析所述目标攻击类型,确定模拟反映信息之前,判断所述攻击信息中是否存在预设关键信息;
所述装置还包括:
删除模块,用于当所述判断模块判断出所述攻击信息中存在所述预设关键信息时,从所述攻击信息中删除所述预设关键信息;
所述判断模块,还用于当所述判断模块判断出所述攻击信息中不存在所述预设关键信息时,触发所述分析模块执行所述的分析所述目标攻击类型,确定模拟反映信息的操作。
作为一种可选的实施方式,在本发明第二方面中,所述确定模块根据所述攻击行为,确定攻击信息,所述攻击信息包括所述攻击行为对应的目标攻击类型的方式具体为:
根据所述攻击行为,确定所有能够响应所述攻击行为的目标部件,对所有所述目标部件进行分析,确定攻击信息,其中,所述攻击信息包括所述攻击行为对应的目标攻击类型以及终端信息。
作为一种可选的实施方式,在本发明第二方面中,所述终端信息包括所有所述目标部件对应的信息和/或触发所述攻击行为的攻击者终端对应的信息;
所有所述目标部件对应的信息包括所有所述目标部件的ip信息、所有所述目标部件的端口信息、所有所述目标部件的种子请求信息、所有所述目标部件的流量信息中的一种或多种;
所述触发所述攻击行为的攻击者终端对应的信息包括所述攻击者终端的来源信息、所述攻击者终端的地理位置信息、所述攻击者终端的攻击工具信息、所述攻击者终端的攻击次序信息中的一种或多种,其中,所述攻击者终端的来源信息包括所述攻击者终端的ip地址信息、所述攻击者终端的mac地址信息中的一种或多种。
本发明第三方面公开了另一种基于物联网蜜罐的网络攻击诱导装置,所述装置包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明第一方面公开的基于物联网蜜罐的网络攻击诱导方法。
本发明第四方面公开了一种计算机可存储介质,所述计算机存储介质存储有计算机指令,所述计算机指令被调用时,用于执行本发明第一方面公开的基于物联网蜜罐的网络攻击诱导方法。
与现有技术相比,本发明实施例具有以下有益效果:
本发明实施例中,构建物联网蜜罐的虚拟环境,检测针对虚拟环境的攻击行为,根据该攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型,分析该目标攻击类型,确定模拟反映信息,并将该模拟反映信息反馈至触发攻击行为的攻击者终端。可见,实施本发明能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,并且能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或端没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或端固有的其他步骤或单元。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
本发明公开了一种基于物联网蜜罐的网络攻击诱导方法及装置,能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,并且能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力。
实施例一
请参阅图1,图1是本发明实施例公开的一种基于物联网蜜罐的网络攻击诱导方法的流程示意图。其中,图1所描述的基于物联网蜜罐的网络攻击诱导方法可以应用于基于物联网蜜罐的网络攻击诱导装置中,本发明实施例不做限定。如图1所示,该基于物联网蜜罐的网络攻击诱导方法可以包括以下操作:
101、构建物联网蜜罐的虚拟环境。
本发明实施例中,可选的,物联网蜜罐中布置有虚拟环境,其中,虚拟环境包括虚拟的部件、网络服务及网络信息中的一种或多种。可选的,虚拟环境作为攻击者的诱饵,吸引攻击者对虚拟环境进行攻击。进一步可选的,虚拟环境中的所有虚拟部件含有与真实部件对应的部件参数,并且能够实现真实部件所能实现的功能。这样通过布置与真实环境对应的虚拟环境,能够提高虚拟环境对于攻击者的迷惑性,使攻击者对虚拟环境进行攻击与入侵,进一步有利于保护真实环境中的设备不被攻击者入侵。
可见,在本发明实施例中,通过构建物联网蜜罐的虚拟环境,能够使攻击者将虚拟环境误以为是真实的环境,进而使攻击者攻击的是构建出来的虚拟环境而并非真实环境中的设备,有利于诱导攻击者对该虚拟环境发起更多的攻击,有利于保护真实环境中的部件,进一步有利于提高物联网设备对于网络攻击的安全防护能力。
102、检测针对虚拟环境的攻击行为。
103、根据攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型。
本发明实施例中,可选的,攻击信息包括攻击行为的代码、攻击者终端发送该攻击行为的时间、物联网蜜罐接收到该攻击行为的时间、攻击行为的数量、攻击行为所需要获取的信息中的一种或多种。
本发明实施例中,可选的,攻击行为对应的目标攻击类型包括该攻击行为所攻击的部件、该攻击行为所攻击的网络服务、该攻击行为所攻击的网络信息、该攻击行为所攻击的部件数量中的一种或多种。
可见,在本发明实施例中,通过根据攻击行为,确定攻击信息,其中,攻击信息包括攻击行为对应的目标攻击类型,通过确定出的攻击信息,能够获取攻击者本次攻击的意图,还能够获取攻击者本次攻击的对象等的信息,有利于提高后续分析目标攻击类型的准确性以及确定模拟反映信息的准确性,进一步有利于提高物联网设备对于网络攻击的安全防护能力。
104、分析目标攻击类型,确定模拟反映信息。
本发明实施例中,可选的,模拟反映信息为攻击者终端所需要获取的信息并且为反馈至攻击者终端的信息。进一步可选的,该模拟反映信息是与真实部件信息相对应的信息,需要说明的是,该模拟反映信息是能够实时的、动态改变的。举例来说,当分析得到的目标攻击类型为摄像头并且攻击者终端需获取该摄像头的实时图像时,将真实的摄像头实时采集到的图像确定为模拟反映信息。这样通过向攻击者终端反馈实时的、动态的模拟反映信息,有利于提高虚拟环境对攻击者的诱导程度,有利于诱导攻击者对该虚拟环境发起更多的攻击,进一步有利于提高物联网设备对于网络攻击的安全防护能力。
可见,在本发明实施例中,通过分析目标攻击类型,确定模拟反映信息,能够提高物联网蜜罐模拟仿真的程度以及复杂度,有利于提高确定模拟反映信息的准确性,有利于提高物联网蜜罐与攻击者终端交互的可控性,进一步有利于提高攻击者终端对模拟环境发动攻击的诱导程度。
105、将模拟反映信息发送至触发攻击行为的攻击者终端。
可见,在本发明实施例中,通过将确定出的模拟反映信息发送至触发攻击行为的攻击者终端,能够提高物联网蜜罐模拟仿真的程度以及复杂度,有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度,有利于提高攻击者终端对模拟环境发动攻击的可能性,有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
可见,实施图1所描述的一种基于物联网蜜罐的网络攻击诱导方法能够构建物联网蜜罐的虚拟环境,检测针对虚拟环境的攻击行为,根据该攻击行为,确定攻击信息,其中攻击信息包括攻击行为对应的目标攻击类型,分析目标攻击类型,确定模拟反映信息,将确定出的模拟反映信息发送至触发该攻击行为的攻击者终端,能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,并且能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力,进一步有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
实施例二
请参阅图2,图2是本发明实施例公开的一种基于物联网蜜罐的网络攻击诱导方法的流程示意图。其中,图2所描述的基于物联网蜜罐的网络攻击诱导方法可以应用于基于物联网蜜罐的网络攻击诱导装置中,本发明实施例不做限定。如图2所示,该基于物联网蜜罐的网络攻击诱导方法可以包括以下操作:
201、构建物联网蜜罐的虚拟环境。
202、检测针对虚拟环境的攻击行为。
203、根据攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型。
204、分析目标攻击类型,确定模拟反映信息。
205、将模拟反映信息发送至触发攻击行为的攻击者终端。
206、提取攻击信息中的恶意代码,根据恶意代码,预测攻击行为的攻击趋势。
本发明实施例中,可选的,攻击信息中的恶意代码为攻击信息中对物联网蜜罐的虚拟环境进行入侵或破坏的代码。进一步可选的,通过对提取得到的恶意代码进行分析,能够得到本次攻击行为攻击的对象、攻击的内容、攻击的信息中的一种或多种,进而能够对本次攻击行为的攻击趋势进行预测并且对本次攻击行为对物联网设备带来的威胁进行分析。
可见,在本发明实施例中,通过提取攻击信息中的恶意代码,根据恶意代码预测攻击行为的攻击趋势,能够提高分析攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
207、制定与攻击趋势对应的防护方案,防护方案用于当检测出与攻击趋势匹配的攻击行为时,将防护方案发送至攻击者终端。
本发明实施例中,可选的,防护方案是根据预测出的攻击趋势所制定的。进一步可选的,防护方案可以包括模拟反映信息。
本发明实施例中,进一步可选的,防护方案可以是通过在防护方案候选数据库中选择并制定的,根据对于攻击趋势的预测结果结合机器学习技术,在防护方案候选数据库中选择与攻击趋势相对应的方案作为防护方案。可选的,当检测出与预测出的攻击趋势相匹配的攻击行为时,将确定出的防护方案发送至攻击者终端。
可见,在本发明实施例中,通过制定与攻击趋势对应的防护方案,其中,该防护方案用于当检测出与攻击趋势匹配的攻击行为时,将该防护方案发送至攻击者终端,能够提高分析攻击信息的准确性,有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度,有利于提高捕获网络攻击的准确性及有效性,有利于提高物联网蜜罐与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
本发明实施例中,针对步骤201-步骤205的其它描述,请参照实施例一中针对步骤101-步骤105的详细描述,本发明实施例不再赘述。
可见,实施图2所描述的一种基于物联网蜜罐的网络攻击诱导方法,能够构建物联网蜜罐的虚拟环境,检测针对虚拟环境的攻击行为,根据该攻击行为,确定攻击信息,其中攻击信息包括攻击行为对应的目标攻击类型,分析目标攻击类型,确定模拟反映信息,将确定出的模拟反映信息发送至触发该攻击行为的攻击者终端,提取攻击信息中的恶意代码,根据该恶意代码,预测攻击行为的攻击趋势,制定与该攻击趋势对应的防护方案,其中,防护方案用于当检测出与攻击趋势匹配的攻击行为时,将该防护方案发送至攻击者终端,能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力,并且能够提高分析攻击信息的准确性,能够根据恶意代码预测攻击行为的攻击趋势并制定对应的防护方案,有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度,有利于提高捕获网络攻击的准确性及有效性,有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在一个可选的实施例中,该方法还包括:
分析攻击信息,得到攻击分析结果;
根据攻击分析结果,判断攻击行为能否入侵与虚拟环境对应的真实环境;
当判断出攻击行为能够入侵与虚拟环境对应的真实环境时,修复攻击行为所能够入侵的漏洞;或者
向与虚拟环境对应的终端发送第一提醒信息,第一提醒信息用于提醒虚拟环境对应的终端的工作人员对攻击行为所能够入侵的漏洞进行修复。
在该可选的实施例中,可选的,攻击分析结果可以包括该攻击信息的入侵程度、该攻击信息的入侵部件区域、该攻击信息的入侵后果中的一种或多种。
在该可选的实施例中,进一步可选的,在修复完毕该攻击行为所能够入侵的漏洞后,得到修复结果,判断该修复结果是否符合预设的修复条件,当判断出该修复结果符合预设的修复条件时,确定该漏洞已修复完成;当判断出该修复结果不符合预设的修复条件时,则向与虚拟环境对应的终端发送第一提醒信息。
在该可选的实施例中,进一步可选的,当判断出攻击行为能够入侵与虚拟环境对应的真实环境时,可以向与虚拟环境对应的终端发送第一提醒信息,其中,第一提醒信息可以是“检测到该攻击行为能够入侵真实部件,请管理员几时查看并对漏洞进行修复”。
可见,在该可选的实施例中,通过分析攻击信息,得到攻击分析结果,并根据攻击分析结果,判断该攻击行为能否入侵与虚拟环境对应的真实环境,当判断出该攻击行为能够入侵真实环境时,对该攻击行为所能够入侵的漏洞进行修复,或者向虚拟环境对应的终端发送第一提醒信息,能够提高分析攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,有利于提高修复物联网设备存在的漏洞的及时性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在另一个可选的实施例中,目标攻击类型的数量大于等于1,分析目标攻击类型,确定模拟反映信息,包括:
检测所有目标攻击类型的入侵程度,判断所有目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型;
当判断出所有目标攻击类型中存在小于预设入侵程度阈值的目标攻击类型时,删除所有小于预设入侵程度阈值的目标攻击类型;
确定余下的每一目标攻击类型对应的模拟反映信息。
在该可选的实施例中,可选的,入侵程度用于表示攻击行为对应的目标攻击类型对于各部件的危害程度。
在该可选的实施例中,进一步可选的,将所有小于预设入侵程度阈值的目标攻击类型删除后,得到所有大于或等于预设入侵程度阈值的目标攻击类型,对所有大于或等于预设入侵程度阈值的目标攻击类型按入侵程度由高到低进行排序,得到入侵程度排序结果。进一步可选的,余下的每一目标攻击类型对应的模拟反映信息的顺序可以是按照该入侵程度排序结果进行确定的。这样能够通过入侵程度排序结果确定每一目标攻击类型对应的模拟反映信息,能够有利于提高确定每一目标攻击类型对应的模拟反映信息的效率。
可见,在该可选的实施例中,通过检测所有目标攻击类型的入侵程度,并判断所有目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型,判断出存在时,删除所有小于预设入侵程度阈值的目标攻击类型,确定余下的每一目标攻击类型对应的模拟反映信息,能够只对确定符合预设入侵程度阈值的目标攻击类型对应的模拟反映信息,对入侵程度危害小的目标攻击类型不作模拟反映,能够减少确定模拟反映信息的数量,有利于提高确定目标攻击类型对应的模拟反映信息的效率,有利于提高对攻击者终端发出的攻击信息进行反馈的效率,进一步有利于提高与攻击者终端交互的效率。
在又一个可选的实施例中,在分析目标攻击类型,确定模拟反映信息之前,该方法还包括:
判断攻击信息中是否存在预设关键信息;
当判断出攻击信息中存在预设关键信息时,从攻击信息中删除预设关键信息;
当判断出攻击信息中不存在预设关键信息时,触发执行的分析目标攻击类型,确定模拟反映信息的操作。
在该可选的实施例中,可选的,预设关键信息可以包括DDOS信息。其中,DDOS信息为分布式拒绝服务攻击,DDOS信息能够使多个设备在同一时间遭受到攻击,并且能够伪造其所攻击的设备的源ip地址,进而使得所攻击的目标设备无法正常使用,同时DDOS信息攻击的隐蔽性高,对该类攻击的检测难度大,其对所攻击的设备造成的破坏程度大。若虚拟环境检测到的攻击信息中存在预设关键信息时,则虚拟环境在一定程度上会被预设关键信息破坏,进而无法执行后续根据攻击信息确定模拟反映信息以及对攻击信息进行分析并制定防护方案的操作。因此,需要先判断攻击信息中是否存在预设关键信息,当判断出该攻击信息中存在预设关键信息时,从攻击信息中删除预设关键信息。这样能够使虚拟环境不被预设关键信息破坏,能够保证后续根据攻击信息确定模拟反应信息以及分析攻击信息并制定防护方案操作的可行性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
可见,在该可选的实施例中,通过判断攻击信息中是否存在预设关键信息,若存在,则将预设关键信息从攻击信息中删除,若不存在,则触发执行的分析目标攻击类型,确定模拟反映信息的操作,能够使虚拟环境不被预设关键信息破坏,能够保证后续根据攻击信息确定模拟反应信息以及分析攻击信息并制定防护方案操作的可行性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在又一个可选的实施例中,根据攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型,包括:
根据攻击行为,确定所有能够响应攻击行为的目标部件,对所有目标部件进行分析,确定攻击信息,其中,攻击信息包括攻击行为对应的目标攻击类型以及终端信息。
可见,在该可选的实施例中,通过根据攻击行为,确定并分析所有能够响应攻击行为的目标部件,确定攻击信息,有利于提高确定与攻击行为对应的目标部件的准确性,有利于提高确定攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,进一步有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度。
在又一个可选的实施例中,终端信息包括所有目标部件对应的信息和/或触发攻击行为的攻击者终端对应的信息;
所有目标部件对应的信息包括所有目标部件的ip信息、所有目标部件的端口信息、所有目标部件的种子请求信息、所有目标部件的流量信息中的一种或多种;
触发攻击行为的攻击者终端对应的信息包括攻击者终端的来源信息、攻击者终端的地理位置信息、攻击者终端的攻击工具信息、攻击者终端的攻击次序信息中的一种或多种,其中,攻击者终端的来源信息包括攻击者终端的ip地址信息、攻击者终端的mac地址信息中的一种或多种。
在该可选的实施例中,进一步可选的,通过分析目标部件对应的信息,能够确定攻击行为对应的目标部件。可选的,分析所有目标部件的ip信息可以是通过在线平台或使用部署完毕的端口扫描工具获取原始ip信息,再从获取得到的所有原始ip信息中进行两次搜索,其中,两次搜索是搜索端口号以及搜索关键词,需要说明的是,端口号与关键词是预先设定好的。进一步可选的,在进行搜索端口号以及搜索关键词的同时,会对所有端口进行扫描,以判断端口是否为打开状态,当搜索得到端口号及关键词都符合预设要求并且端口的状态为打开时,将该ip信息作为优先级,并将该ip信息对应的部件确定为目标部件。这样通过对ip信息进行分析,并将符合条件的ip信息作为优先级并将该ip信息对应的部件确定为目标部件,有利于提高确定攻击行为对应的目标部件的准确性。
在该可选的实施例中,进一步可选的,分析所有目标部件的种子请求信息可以是根据目标部件的端口信息对物联网蜜罐的虚拟环境检测得到的所有攻击信息进行分组,并且按照预先设定的方式进一步减少每个组中重复和类似的攻击信息。需要说明的是,减少每个组中重复和类似的攻击信息可以是减少交互程度为达到预先设定的交互程度阈值的攻击信息或减少不符合预先设定的端口条件的攻击信息。这样通过分析种子请求信息,对检测得到的所有攻击信息进行分组,并按预先设定的方式减少重复和类似的攻击信息,能够提高确定目标部件的准确性,进一步有利于提高确定目标部件的效率。
在该可选的实施例中,进一步可选的,分析所有目标部件的流量信息可以是判断该流量信息中是否包括漏洞代码的请求,当判断出任一目标部件的流量信息中包括漏洞代码的请求时,将该漏洞代码的请求从该流量信息中删除。进一步可选的,由于部分物联网设备缺乏访问控制及认证,故判断流量信息中是否存在该物联网设备其自身配置的信息或其他敏感信息的情况,当判断出该流量信息中存在该物联网设备自身配置的信息或其他敏感信息的情况时,将泄漏的其自身配置的信息以及其他敏感信息删除。通过判断流量信息中是否包括漏洞代码的请求以及判断流量信息中是否存在该物联网设备其自身配置的信息或其他敏感信息的情况,若判断出存在,则将该漏洞代码的请求或物联网设备其自身配置的信息或其他敏感信息删除,这样能够提高确定攻击行为对应的目标部件的准确性,有利于提高确定目标部件的效率,进一步有利于提高物联网设备对于网络攻击的安全防护能力。
可见,在该可选的实施例中,通过得到的终端信息,其中,终端信息包括所有目标部件对应的信息和/或触发攻击行为的攻击者终端对应的信息,能够提高分析攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,有利于提高修复物联网设备存在的漏洞的及时性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
实施例三
请参阅图3,图3是本发明实施例公开的一种基于物联网蜜罐的网络攻击诱导的装置的结构示意图。如图3所示,该基于物联网蜜罐的网络攻击诱导的装置包括:
构建模块301,用于构建物联网蜜罐的虚拟环境。
检测模块302,用于检测针对虚拟环境的攻击行为。
确定模块303,用于根据攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型。
分析模块304,用于分析目标攻击类型,确定模拟反映信息。
发送模块305,用于将模拟反映信息发送至触发攻击行为的攻击者终端。
可见,实施图3所描述的基于物联网蜜罐的网络攻击诱导的装置能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,并且能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力,进一步有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在另一个可选的实施例中,如图4所示,该基于物联网蜜罐的网络攻击诱导的装置还包括:
提取模块306,用于提取攻击信息中的恶意代码。
预测模块307,用于根据恶意代码,预测攻击行为的攻击趋势。
制定模块308,用于制定与攻击趋势对应的防护方案,防护方案用于当检测出与攻击趋势匹配的攻击行为时,将防护方案发送至攻击者终端。
可见,实施图4所描述的装置能够确定攻击信息并分析攻击目标攻击类型,有利于提高捕获网络攻击的准确性及有效性,能够将确定出的模拟反映信息反馈至攻击者终端,有利于增强物联网设备对于网络攻击的安全防护能力,能够提高分析攻击信息的准确性,并且能够根据恶意代码预测攻击行为的攻击趋势并制定对应的防护方案,有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度,有利于提高捕获网络攻击的准确性及有效性,有利于提高与攻击者终端交互的可控性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在又一个可选的实施例中,分析模块304还用于分析攻击信息,得到攻击分析结果。
该装置还包括:
判断模块309,用于根据攻击分析结果,判断攻击行为能否入侵与虚拟环境对应的真实环境。
修复模块310,当判断模块309判断出攻击行为能够入侵与虚拟环境对应的真实环境时,修复攻击行为所能够入侵的漏洞;或者
发送模块305,还用于向与虚拟环境对应的终端发送第一提醒信息,第一提醒信息用于提醒虚拟环境对应的终端的工作人员对攻击行为所能够入侵的漏洞进行修复。
可见,实施图4所描述的装置能够提高分析攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,有利于提高修复物联网设备存在的漏洞的效率,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在又一个可选的实施例中,目标攻击类型的数量大于等于1,分析模块304分析目标攻击类型,确定模拟反映信息的方式具体为:
检测所有目标攻击类型的入侵程度,判断所有目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型;
当判断出所有目标攻击类型中存在小于预设入侵程度阈值的目标攻击类型时,删除所有小于预设入侵程度阈值的目标攻击类型;
确定余下的每一目标攻击类型对应的模拟反映信息。
可见,实施图4所描述的装置能够只确定符合预设入侵程度阈值的目标攻击类型对应的模拟反映信息,而不确定入侵程度危害小的目标攻击类型的模拟反映信息,这样能够减少确定模拟反映信息的数量,有利于提高确定目标攻击类型对应的模拟反映信息的效率,有利于提高对攻击者终端发出的攻击信息进行反馈的效率,进一步有利于提高与攻击者终端交互的效率。
在又一个可选的实施例中,判断模块309还用于在分析模块304分析目标攻击类型,确定模拟反映信息之前,判断攻击信息中是否存在预设关键信息。
该装置还包括:
删除模块311,用于当判断模块309判断出攻击信息中存在预设关键信息时,从攻击信息中删除预设关键信息。
判断模块309,还用于当判断出攻击信息中不存在预设关键信息时,触发分析模块304执行分析目标攻击类型,确定模拟反映信息的操作。
可见,实施图4所描述的装置能够使虚拟环境不被预设关键信息破坏,能够保证后续根据攻击信息确定模拟反应信息以及分析攻击信息并制定防护方案操作的可行性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
在又一个可选的实施例中,确定模块303根据攻击行为,确定攻击信息,攻击信息包括攻击行为对应的目标攻击类型的方式具体为:
根据攻击行为,确定所有能够响应攻击行为的目标部件,对所有目标部件进行分析,确定攻击信息,其中,攻击信息包括攻击行为对应的目标攻击类型以及终端信息。
可见,实施图4所描述的装置有利于提高确定与攻击行为对应的目标部件的准确性,以及有利于提高确定攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,进一步有利于提高攻击者终端对模拟环境发动网络攻击的诱导程度。
在又一个可选的实施例中,终端信息包括所有目标部件对应的信息和/或触发攻击行为的攻击者终端对应的信息;
所有目标部件对应的信息包括所有目标部件的ip信息、所有目标部件的端口信息、所有目标部件的种子请求信息、所有目标部件的流量信息中的一种或多种;
触发攻击行为的攻击者终端对应的信息包括攻击者终端的来源信息、攻击者终端的地理位置信息、攻击者终端的攻击工具信息、攻击者终端的攻击次序信息中的一种或多种,其中,攻击者终端的来源信息包括攻击者终端的ip地址信息、攻击者终端的mac地址信息中的一种或多种。
可见,实施图4所描述的装置能够通过分析多方面的终端信息,提高分析攻击信息的准确性,有利于提高捕获网络攻击的准确性及有效性,有利于提高修复物联网设备存在的漏洞的及时性,进一步有利于增强物联网设备对于网络攻击的安全防护能力。
实施例四
请参阅图5,图5是本发明实施例公开的又一种基于物联网蜜罐的网络攻击诱导的装置的结构示意图。如图5所示,该基于物联网蜜罐的网络攻击诱导的装置可以包括:
存储有可执行程序代码的存储器401;
与存储器401耦合的处理器402;
处理器402调用存储器401中存储的可执行程序代码,执行本发明实施例一或本发明实施例二所描述的基于物联网蜜罐的网络攻击诱导方法中的步骤。
实施例五
本发明实施例公开了一种计算机存储介质,该计算机存储介质存储有计算机指令,该计算机指令被调用时,用于执行本发明实施例一或本发明实施例二所描述的基于物联网蜜罐的网络攻击诱导方法中的步骤。
实施例六
本发明实施例公开了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,且该计算机程序可操作来使计算机执行实施例一或实施例二中所描述的基于物联网蜜罐的网络攻击诱导方法中的步骤。
以上所描述的装置实施例仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施例的具体描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(ErasableProgrammable Read Only Memory,EPROM)、一次可编程只读存储器(One-timeProgrammable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
最后应说明的是:本发明实施例公开的一种基于物联网蜜罐的网络攻击诱导方法及装置所揭露的仅为本发明较佳实施例而已,仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各项实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应的技术方案的本质脱离本发明各项实施例技术方案的精神和范围。