CN114422248A - 一种攻击处理方法、系统、网络安全设备及存储介质 - Google Patents
一种攻击处理方法、系统、网络安全设备及存储介质 Download PDFInfo
- Publication number
- CN114422248A CN114422248A CN202210067472.3A CN202210067472A CN114422248A CN 114422248 A CN114422248 A CN 114422248A CN 202210067472 A CN202210067472 A CN 202210067472A CN 114422248 A CN114422248 A CN 114422248A
- Authority
- CN
- China
- Prior art keywords
- client
- information
- abnormal
- request information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 30
- 238000003860 storage Methods 0.000 title claims abstract description 10
- 230000002159 abnormal effect Effects 0.000 claims abstract description 147
- 238000012545 processing Methods 0.000 claims abstract description 12
- 230000004044 response Effects 0.000 claims description 68
- 238000000034 method Methods 0.000 claims description 65
- 230000006870 function Effects 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 abstract description 24
- 230000007123 defense Effects 0.000 abstract description 13
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 21
- 230000006399 behavior Effects 0.000 description 20
- 238000005422 blasting Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000002547 anomalous effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000000630 rising effect Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本申请公开了一种攻击处理方法,包括:接收客户端发送的请求信息;根据所述请求信息确定所述客户端是否异常;若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;将所述欺骗信息返回至所述客户端。本申请能够避免攻击者绕过攻击检测的情况,进而提高了对攻击行为的防御能力。本申请还公开了一种攻击处理系统、一种存储介质及一种网络安全设备,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种攻击处理方法、系统、网络安全设备及存储介质。
背景技术
随着科技的发展,网络安全的重要性日益凸显。有效的网络安全方案能够使网络系统的硬件、软件及其系统中的数据受到保护,进而保障系统连续可靠正常地运行,网络服务不中断。
相关技术中,若网络安全设备识别到攻击行为,会直接对攻击者进行拦截,但是这种攻击处理方式将会导致攻击者转换其他攻击方式进行攻击,存在绕过网络安全设备检测的可能。
因此,如何提高对攻击行为的防御能力是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种攻击处理方法、一种攻击处理系统、一种网络安全设备及一种存储介质,能够提高对攻击行为的防御能力。
为解决上述技术问题,本申请提供一种攻击处理方法,包括:
接收客户端发送的请求信息;
根据所述请求信息确定所述客户端是否异常;
若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;
将所述欺骗信息返回至所述客户端。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
获取服务端对所述请求信息生成的响应消息;
根据所述响应消息确定所述客户端是否异常。
可选的,所述请求信息包括登录请求;
所述根据所述响应消息确定所述客户端是否异常包括:
若所述响应消息表征登录失败或者登录IP地址不在预设白名单中,则判定所述客户端异常。
可选的,所述根据所述请求信息生成欺骗信息包括:
确定发送所述登录请求的客户端的当前登录失败次数;
根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率,根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。
可选的,在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前,还包括:
接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系;
或,利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
根据所述请求信息中的IP地址确定所述客户端是否异常。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
根据客户端环境信息确定所述客户端是否异常。
可选的,所述根据所述请求信息生成欺骗信息包括:
将所述响应信息中登录失败标识替换为登录成功标识,生成欺骗信息。
可选的,在根据所述响应消息确定所述客户端是否异常之后,还包括:
若所述客户端不异常,则转发所述响应消息至所述客户端。
可选的,所述根据所述请求信息生成欺骗信息包括:
确定所述请求信息对应的响应信息,去除所述响应信息中的服务端特征信息得到所述欺骗信息。
可选的,还包括:
根据所述请求信息的协议类型获取对应的配置信息;
根据所述配置信息判断是否启动混淆功能;
若是,则执行根据所述请求信息确定所述客户端是否异常及其后续所有步骤。
可选的,若所述客户端异常,还包括:
确定所述请求信息对应的客户端标识;
若所述客户端标识在混淆列表中,则执行根据所述请求信息生成欺骗信息及其后续所有步骤。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述请求信息中包含的登录密码是否存在预设校验码;
若不存在所述预设校验码,确定所述客户端异常。
可选的,还包括:
若所述客户端不异常,将去除所述预设校验码的请求信息发送至所述服务端。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述请求信息对应的客户端标识;
若所述客户端标识对应的可信等级低于预设等级,则确定所述客户端异常。
可选的,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述客户端与服务端之间与所述请求信息对应的连接是否存在混淆标签;
若存在混淆标签,则确定所述客户端异常。
可选的,根据所述请求信息生成欺骗信息包括:
对所述请求信息对应连接执行干扰操作得到欺骗信息;其中,所述干扰操作包括随机丢弃上行数据包、随机关闭连接、随机返回当前命令不支持的提示中的任一项操作或任几项操作的组合。
可选的,还包括:
若所述客户端异常,则向服务端返回目标信息;其中,所述目标信息用于提示所述服务端关闭与所述请求信息对应的连接。
本申请还提供了一种攻击处理系统,包括:
请求接收模块,用于接收客户端发送的请求信息;
异常确定模块,用于根据所述请求信息确定所述客户端是否异常;
欺骗信息生成模块,用于若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;
欺骗信息返回模块,用于将所述欺骗信息返回至所述客户端。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述攻击处理方法执行的步骤。
本申请还提供了一种网络安全设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述攻击处理方法执行的步骤。
本申请提供了一种攻击处理方法,包括:接收客户端发送的请求信息;根据所述请求信息确定所述客户端是否异常;若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;将所述欺骗信息返回至所述客户端。
本申请在接收到客户端发送的请求信息后,根据请求信息判断发送请求信息的客户端是否异常。若客户端异常则生成欺骗信息,该欺骗信息用于表征请求信息被允许。当客户端接收到欺骗信息后,无法区分请求信息被允许和请求信息被拒绝,本申请将欺骗信息返回至客户端,增加了存在异常的客户端的攻击成本,可以避免攻击者绕过攻击检测的情况,进而提高了对攻击行为的防御能力。本申请同时还提供了一种攻击处理系统、一种网络安全设备及一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种攻击处理方法的流程图;
图2为本申请实施例所提供的一种防火墙利用混淆技术检测攻击行为的工作流程图;
图3为本申请实施例所提供的一种防火墙利用混淆技术应对爆破攻击行为的原理示意图;
图4为本申请实施例所提供的一种混淆机制延迟生效示意图;
图5为本申请实施例所提供的一种攻击处理系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种攻击处理方法的流程图,具体可以包括以下步骤:
S101:接收客户端发送的请求信息。
本实施例可以应用于与客户端连接的设备,该设备可以为实体物理设备,也可以为云上的虚拟设备。客户端发送的请求信息可以为请求授予权限的信息,也可以为请求反馈某些数据的信息。上述请求信息可以由与客户端连接且接收请求信息的设备处理,也可以转发至其他设备进行处理。
S102:根据请求信息确定客户端是否异常。
本实施例可以对请求信息进行分析并根据分析结果确定客户端是否异常,也可以将请求信息转发至其他设备,并根据与其他设备反馈的响应信息判断客户端是否异常。具体的,若判定客户端异常,则说明该客户端对于设备的安全存在威胁。若客户端异常则进入步骤S103;客户端不异常,则可以结束流程。
S103:若所述客户端异常,则根据所述请求信息生成欺骗信息。
在判定客户端异常的基础上,本实施例可以根据请求信息生成对应的欺骗信息,该欺骗信息表征所述请求信息被允许。具体的,若客户端异常,接收请求信息的设备端可以拒绝请求信息,并生成表征所述请求信息被允许的欺骗信息;在客户端接收到欺骗信息后无法根据欺骗信息的内容得知请求信息已经被拒绝。
S104:将所述欺骗信息返回至所述客户端。
本实施例在生成欺骗信息后将欺骗信息返回客户端,以使客户端无法检测请求信息是否被拒绝的情况,以达到混淆请求信息处理结果的效果。
本实施例在接收到客户端发送的请求信息后,根据请求信息判断发送请求信息的客户端是否异常。若客户端异常则生成欺骗信息,该欺骗信息用于表征请求信息被允许。当客户端接收到欺骗信息后,无法区分请求信息被允许和请求信息被拒绝,本实施例将欺骗信息返回至客户端,增加了存在异常的客户端的攻击成本,可以避免攻击者绕过攻击检测的情况,进而提高了对攻击行为的防御能力。
作为对于图1对应实施例进一步介绍,上述实施例的执行主体可以为分别与服务端和客户端连接的中间设备,该中间设备包括但不限于防火墙、等保一体机、安全路由器等网络安全设备。作为一种可行的实施方式,中间设备可以将请求信息转发至服务端,以便根据服务端的响应信息确定客户端是否异常,具体过程如下:在接收客户端发送的请求信息之后,将请求信息转发至服务端;获取服务端对所述请求信息生成的响应消息;根据所述响应消息确定所述客户端是否异常。通过上述方式根据服务端的响应信息对客户端是否异常进行判断,能够提高中间设备检测攻击行为的效率。
本实施例中,所述响应信息可以包含用于表征客户端异常的信息。具体地,可以对所述响应信息进行解析,获取预设字段的内容,若该预设字段的内容表征异常,则判定所述客户端异常。
在一些其他的实施例中,所述响应信息还可以包含与表征客户端异常的信息对应的信息。具体地,可以对所述响应信息进行解析,获取预设字段的内容,根据预先确定的预设内容与客户端状态之间的对应关系来确定该预设字段的内容来确定客户端是否异常。其中,所述客户端状态包括正常及异常。
值得注意的是,所述客户端和所述服务端不同于传统的客户端和服务端,所述客户端可以为需要资源或者服务的一端,所述服务端可以为提供资源或者服务的一端。例如,所述客户端向所述服务端发出登录请求,所述服务端则为提供登录验证服务的一端;又如,所述客户端向服务端发出下载文件请求,所述服务端则为提供文件资源的一端。
所述客户端和所述服务端可以是物理设备,也可以是云上的虚拟设备。
作为一种可行的实施方式,本实例中的请求信息可以为客户端生成的登录请求,例如上述登录请求包括用户名和登录密码。将请求信息转发至服务端后,服务端可以对请求信息中的用户名和登录密码进行校验,并根据校验结果生成相应的响应信息。若校验结果为成功,服务端则生成表征登录成功的响应信息;若校验结果为失败,服务端则生成表征登录失败的响应信息。中间设备可以根据响应信息是否为登录失败确定客户端是否异常,即:若响应消息表征登录失败则判定所述客户端异常。上述方式提供了一种对登录服务端的客户端进行异常检测的方案,能够对登录异常的(比如暴力破解)的客户端进行检测。
在一些其他的实施例中,上述请求信息还可以为客户端生成的访问请求(比如客户端访问服务端以获取所需的资源),所述访问请求中至少包含证书信息。将该请求信息转发至服务端之后,服务端可以对请求信息中的证书进行验证,若所述证书验证不通过,服务端则生成表征证书验证不通过的响应信息。中间设备可以根据响应信息是否表征证书验证不通过来确定客户端是否异常,即:若响应消息表征证书验证不通过则判定所述客户端异常。上述方式能够对发起非法访问请求的客户端进行检测。
作为另一种可行的实施方式,还可以利用响应信息中的登录IP地址确定客户端是否异常,具体的过程如下:将请求信息转发至服务端后,服务端确定请求信息中的登录IP地址(即,源IP地址)是否在预设白名单中,进而生成表征登录IP地址是否在预设白名单的响应信息。若中间设备接收的响应消息表征登录失败或者登录IP地址不在预设白名单中,则判定客户端异常。上述方式通过比对登录IP地址和预设白名单确定客户端是否异常,能够提高确定客户端是否异常的效率;预设白名单可以根据业务的运行动态调整,提高了确定客户端是否异常的灵活性和准确度。
作为另一种可行的实施方式,还可以根据请求信息中包含的IP地址确定客户端是否异常,具体过程如下:解析请求信息中的IP地址,根据该IP地址确定客户端是否异常。上述IP地址可以为登录IP地址,也可以为目的IP地址,还可以为登录IP地址和目的IP地址。本实施例可以预先设置IP地址名单,基于该IP地址名单判断客户端是否异常。具体的,本实施例可以根据请求信息中的IP地址的类型和IP地址名单的类型判断客户端是否异常;例如,本实施例可以在IP地址在名单内时判定客户端异常,也可以在IP地址不在名单内时判定客户端异常。上述方式通过IP地址确定客户端是否异常,能够提高确定客户端是否异常的效率和准确率。
作为另一种可行的实施方式,还可以根据客户端环境信息确定所述客户端是否异常,具体过程如下:确定客户端环境信息,根据客户端环境信息确定客户端是否异常。本实施例可以获取预设客户端环境信息,将实际获取的客户端环境信息与预设客户端环境信息进行比对,并根据比对结果确定客户端是否异常。上述客户端环境信息可以包括客户端的操作系统、插件版本、传感器特征、网络配置等信息中的任一项或任几项的组合;客户端环境信息也可以为根据上述操作系统、插件版本、传感器特征、网络配置等信息生成的客户端指纹。本实施例可以通过主动方式或被动方式获取客户端环境信息;被动方式具体指:从所述请求信息中提取客户端环境信息;主动方式具体指:主动向客户端发送探测信息,上述探测信息用于探测客户端环境信息。客户端环境信息能够描述客户端的特征,基于客户端环境信息可以提高确定客户端是否异常的准度率。
作为另一种可行的实施方式,还可以将定时更新(比如10分钟)的随机安全码(如U@d%z_)作为预设校验码,该预设校验码可以通过管理员、安全邮箱、扫码获取等二次认证的方式分发。客户端可以将预设校验码添加至请求信息(如作为密码前缀),而攻击者则不会在请求信息中添加预设校验码。进一步的,上述实施例可以根据请求信息中包含的预设校验码确定客户端是否异常,具体过程如下:确定所述请求信息中包含的登录密码是否存在预设校验码;若不存在所述预设校验码,确定所述客户端异常;若存在预设校验码,则确定客户端不异常。上述方式通过预设校验码确定客户端是否异常,能够提高确定客户端是否异常的可靠性。
作为一种可行的实施方式,可以根据请求信息中包含的客户端标识确定客户端是否异常,具体过程如下:确定所述请求信息对应的客户端标识;若所述客户端标识对应的可信等级低于预设等级,则确定所述客户端异常。具体的,本实施例可以根据请求信息中的源IP地址、源端口等信息中的任一项或任几项的组合确定客户端标识,还可以通过查表确定客户端标识对应的可信等级。通过可信等级判断客户端是否异常,能够按照客户端的可信度进行判断,提高了确定客户端是否异常的准确率。
作为一种可行的实施方式,可以根据混淆标签确定客户端是否异常,具体过程如下:确定所述客户端与服务端之间与所述请求信息对应的连接是否存在混淆标签;若存在混淆标签,则确定所述客户端异常。请参见图2,图2为本申请实施例所提供的一种防火墙利用混淆技术检测攻击行为的工作流程图。本实施例先判断客户端与服务端的连接是否打上混淆标签;若是,则进入混淆命令交互和持续干扰流程。若未打上混淆标签,则进行协议解析。根据协议解析结果判断是否开启混淆功能,若开启混淆功能则判断是否登录失败。若登录成功则对登录成功信息进行伪装,若登录失败则判断是否为排除网段。若为排除网段则判断是否为排除用户。若不为排除网段且不为排除用户则判断是否在混淆用户列表中。若在混淆用户列表中判断登录失败次数是否超过允许尝试次数,若超过允许尝试次数则修改登录提示并返回欺骗信息,对连接添加混淆标签。混淆标签为服务端对请求信息对应的连接添加的信息,通过上述方式可以提高确定客户端是否异常的可靠性。
进一步的,还可以使用攻击检测引擎检测客户端是否异常,上述攻击检测引擎可以包括规则检测引擎、行为检测引擎和AI检测引擎中任一种引擎或任几种引擎的组合,在将请求信息输入攻击检测引擎后,根据攻击检测引擎的输出结果判断客户端是否异常。具体的,在使用规则检测引擎判断客户端是否异常的过程中,可以将客户端的网络流量与规则检测引擎的各规则进行匹配,进而根据匹配结果判断客户端是否异常;在使用行为检测引擎判断客户端是否异常的过程中,可以接收客户端的网络流量,利用行为检测引擎提取该网络流量的行为特征(比如上行流量大小,下行流量大小,数据包发送速率,数据包发送检测和/或数据包大小等),通过行为特征判断客户端是否异常;在使用AI检测引擎判断客户端是否异常的过程中,可以接收客户端的网络流量,提取该网络流量的特征信息(可以包括行为特征、也可以包括静态的五元组信息、还可以包括静态的协议信息等),将特征信息送入预先训练好的AI检测引擎中来判断客户端是否异常。
作为对于图1对应实施例进一步介绍,根据请求信息生成欺骗信息的方式可以具体为:将响应信息中的用于表征客户端异常的信息修改为客户端正常的信息。
具体地,在服务端-中间设备-客户端这一架构中,可以通过至少以下3种方式生成欺骗信息:
方式1:在登录场景中,可以将所述响应信息中表征登录失败的标识替换为登录成功的标识,生成所述欺骗信息。
通过方式1能够快速生成欺骗信息,提高欺骗信息的生成效率并减少生成欺骗信息的工作量。
方式2:确定所述请求信息对应的响应信息,去除所述响应信息中的服务端特征信息得到所述欺骗信息。
比如,以下是几种服务端特征信息的举例:“Logged in.”、“Login Successful.”、“Authentication Successful.”以及“Login OK.user:example From:192.168.20.10”。不同的服务端存在不同的响应样式,如果攻击者拥有特定服务端的账号,攻击者就可以知道这个服务端回复响应信息的样式,然后根据这个服务端回复响应信息的特征来判断哪些是混淆的成功,哪些是真正的成功。服务端特征信息为与服务端对应的相关信息,服务端在返回响应信息时会在不同类型(成功或失败)的响应信息中添加服务端特征信息,为了进一步增加混淆效果,本实施例去除所述响应信息中的服务端特征信息得到欺骗信息,以使客户端无法检测欺骗信息的真实性。
方式3:确定所述请求信息对应的响应信息,将所述响应信息中登录失败标识替换为登录成功标识得到待处理信息,去除待处理信息中的服务端特征信息得到所述欺骗信息。
通过方式3能够提高欺骗信息的生成效率,还能够提高欺骗信息的混淆效果。
下面通过在实际应用中应对暴力破解攻击的方案说明上述实施例描述的流程。业内现有的暴力破解攻击防御主要通过协议解析+统计爆破频率的方案实现,中低频爆破防御,依赖于协议解析和审计日志检测算法进行。这种爆破防御方式存在概率性漏过和防御滞后性的问题。请参见图3,图3为本申请实施例所提供的一种防火墙利用混淆技术应对爆破攻击行为的原理示意图。在请求阶段,客户端将登录请求发送至服务端,服务端判断用户名和密码是否正确。在混淆阶段,服务端将登录成功或登录失败的响应信息发送至防火墙。防火墙对登录成功的响应信息进行伪装去除服务端特征信息,防火墙对登录失败的响应信息修复伪登录成功的欺骗信息,客户端接收到请求结果登录成功的欺骗信息。进入混淆阶段后,防火墙在解析到服务端响应的登录失败消息时,将登录成功的欺骗信息发送给客户端,以混淆暴破。防火墙同时对登录成功的提示信息进行伪装,使得伪造的成功(欺骗信息)和真正的成功(登录成功的提示信息)之间无法区分。在发送欺骗信息后,防火墙可以继续回复客户端的一些后续请求,持续干扰攻击者的攻击行为,以便增加暴力破解攻击的攻击成本。本实施例可以配合外围体验优化的逻辑判断共同组成登录混淆技术方案。在持续对抗阶段,防火墙在接收到登录失败的响应信息后构造RST信息发送至服务端,以便服务端关闭连接。客户端将交互信息与防火墙进行交互,防火墙执行防绕过和持续干扰操作。上述实施例提供一种能高效应对爆破攻击行为的技术防御手段,使用混淆技术增加攻击者的攻击成本,提升防火墙对爆破行为的事中防御能力。
进一步地,在根据所述响应消息确定所述客户端不异常之后,可以转发所述响应消息至所述客户端。上述方式能够使响应信息发送至不异常的客户端,提高了信息发送的安全性。
进一步地,在通过“确定所述请求信息中包含的登录密码是否存在预设校验码;若不存在所述预设校验码,确定所述客户端异常”这一方式确定服务端是否异常的情况下,还可以在确定客户端不异常的情况下,将去除所述预设校验码的请求信息发送至所述服务端,以便消除预设校验码对服务端处理请求信息的干扰。
作为对于图1对应实施例的进一步介绍,上述实施例可以通过以下方式生成欺骗信息:对所述请求信息对应连接执行干扰操作得到欺骗信息;其中,所述干扰操作包括随机丢弃上行数据包、随机关闭连接、随机返回当前命令不支持的提示中的任一项操作或任几项操作的组合。通过上述方式能够对异常的客户端进行持续干扰,让攻击者误以为是网络转发或服务端版本出现异常,进一步增加攻击成本。具体的,在请求信息为请求返回数据的信息时,可以向客户端返回特定的数据包,并按照一定概率对返回的数据包进行丢包处理,以便实现通过随机丢弃上行数据包生成欺骗信息。上述特定的数据包可以为预先设置的干扰数据包,而不是客户端真正想要获取的数据包。随机关闭连接的操作指:按照不固定的时间间隔关闭与客户端的连接,以使客户端接收到连接断开的欺骗信息,通过上述方式可以使攻击者误以为因网络故障无法连接,进而提高攻击成本。在请求信息中包含控制命令时,本申请可以按照一定概率返回当前命令不支持的提示,以使攻击者误以为请求信息的内容存在错误,提高攻击成本。
本实施例还可以向客户端随机返回欺骗信息,以FTP协议为例,可以存在以下几种得到欺骗信息:
请求:SYST;欺骗信息:215UNIX Type:L8;
请求:PWD;欺骗信息:257"/"is the current directory;
请求:TYPE A;欺骗信息:200Type set to:ASCII。
作为对于图1对应实施例的进一步介绍,通过向客户端返回欺骗信息能够提升对攻击行为的防御能力,但是上述方式可能会对正常用户的登录行为带来影响。为了降低返回欺骗信息的混淆机制对正常用户的使用,本申请可以基于混淆概率生成欺骗信息,以便对用户体验进行优化,具体过程如下:确定发送所述登录请求的客户端的当前登录失败次数;根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率,根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。例如,若当前混淆概率为n%时,有n%的概率对登录失败信息进行混淆生成欺骗信息,有(100-n)%的概率不对登录失败信息进行混淆生成欺骗信息。上述当前登录失败次数可以为客户端连续登录失败的次数,也可以为预设时间段内累计的登录失败次数。通过上述方式能够降低欺骗信息对正常客户端的影响。
作为一种可行的实施方式,在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前,通过已通过至少以下两种方式确定登录失败次数与混淆概率之间的对应关系:方式1、接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系;方式2、利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。通过上述方式能够提高设置混淆概率的合理性,优化用户体验。
用户的配置信息中可以包含登录失败次数区间与混淆概率的对应关系表,以便通过查表的方式确定当前登录失败次数对应的当前混淆概率。例如,对应关系表中登录失败次数区间[0,10]对应的混淆概率为0%,登录失败次数区间[11,30]对应的混淆概率为20%,登录失败次数区间[31,100]对应的混淆概率为80%,登录失败次数区间[100,+∞)对应的混淆概率为100%。目标函数用于表示登录失败次数与混淆概率之间的对应关系,登录失败次数为目标函数的自变量,混淆概率为目标函数的因变量,根据目标函数可以确定任意登录失败次数对应的混淆概率。目标函数可以包括一个函数表达式,也可以为分段函数。
作为另一种可行的实施方式,上述过程可以将登录失败次数划分为预热阶段和正式阶段,若当前登录失败次数小于预设值时处于预热阶段,若当前登录失败次数大于或等于预设值时处于正式阶段。请参见图4,图4为本申请实施例所提供的一种混淆机制延迟生效示意图,在预热阶段,可以根据目标函数确定当前连续登录失败次数对应的混淆概率,在正式阶段混淆概率为100%。上述目标函数可以包括但不限于线性上升函数、高低概率组合函数、加速上升函数或阶跃上升函数。在初始阶段,混淆概率通过预热逐渐提高到预设值。延迟若干次之后达到正式阶段,防护效果最佳。其中预热阶段允许登录失败的次数和混淆概率上升的方式为可配置项。正常用户登录的时候输出密码的情况通常只是前几次,而处于预热阶段的混淆概率较低。客户端在前几次被判定为异常时,可以收到服务端发送提示信息,而不是欺骗信息,通过上述方式可以提升用户体验。
作为对于图1对应实施例的进一步介绍,在确定客户端异常之后,还可以确定所述请求信息对应的客户端标识;若所述客户端标识在混淆列表中,则执行图1对应实施例及其他实施例中“根据所述请求信息生成欺骗信息”及其后续所有步骤。通过上述方式基于混淆列表判断是否生成欺骗信息,可以有针对性的生成欺骗信息,降低生成欺骗信息操作对正常用户的干扰。具体的,若客户端标识在混淆列表中,执行的操作可以包括:根据所述请求信息生成欺骗信息,将所述欺骗信息返回至所述客户端。本实施例结合客户端状态和客户端标识判断是否需要生成并返回欺骗信息。在客户端状态为客户端异常时,本实施例根据请求信息确定客户端标识,任意两个客户端的客户端标识不相同,本实施例可以将客户端的MAC地址、源IP地址、设备序列号等信息作为客户端标识。混淆列表中存储有需要执行生成欺骗信息的客户端标识,本实施例在客户端异常且客户端标识在混淆列表中的情况下生成并返回欺骗信息;若在客户端异常但客户端标识不在混淆列表中的情况下可以向客户端返回请求信息对应的响应信息,而不返回欺骗信息;上述结合客户端状态和客户端标识生成并返回欺骗信息的方式能够降低欺骗信息对正常用户的影响。
作为一种可行的实施方式,在确定客户端异常之后,向服务端返回目标信息;其中,所述目标信息用于提示所述服务端关闭与所述请求信息对应的连接。上述目标信息可以为RST(RESET,复位)信息。通过上述方式能够断开服务端与客户端的连接,降低服务端受到客户端攻击的概率。上述实施方式应用于客户端-中间设备-服务端的架构中,在检测到客户端异常后,中间设备提示服务端关闭该请求信息对应的连接。进一步的,为了避免服务端关闭该请求信息对应的连接后客户端使用其他攻击方式继续对服务端进行攻击,中间设备可以保持与客户端的连接,并持续与客户端进行交互,以便提高攻击成本。
作为一种可行的实施方式,本实施例可以根据所述请求信息的协议类型获取对应的配置信息;根据所述配置信息判断是否启动混淆功能;若是,则执行根据所述请求信息确定所述客户端是否异常及其后续所有步骤。通过上述方式基于配置信息判断是否启动混淆功能,降低混淆功能对正常用户的干扰。具体的,若根据配置信息判定启动混淆功能,执行的操作可以包括:根据所述请求信息确定所述客户端是否异常;若所述客户端异常,则根据所述请求信息生成欺骗信息;将所述欺骗信息返回至所述客户端。上述实施方式根据配置信息判断是否启动混淆功能,配置信息可以由工作人员设置,也可以根据业务运行情况实时更新,以实现混淆功能的灵活启动和关闭。
作为对于图1对应实施例的进一步介绍,客户端可以发送多个请求信息,可以对每一请求信息均执行S102~S104的操作。进一步的,还可以在根据某一请求信息确定客户端异常后,可以不对该请求信息所在的连接内的后续请求信息执行“根据所述请求信息确定所述客户端是否异常”的操作,而是对该请求信息所在的连接内的后续请求信息均生成欺骗信息,通过上述方式能够降低攻击处理方案的业务压力并提高处理效率。例如,根据请求信息A1判定A1对应的客户端异常。请求信息A1所在的连接为B,在B内,A1之后还存在其他的请求信息A2、A3和A4;此时可以不对A2、A3和A4执行判断对应客户端异常的操作,而是直接针对A2、A3和A4生成欺骗信息返回客户端。
请参见图5,图5为本申请实施例所提供的一种攻击处理系统的结构示意图,该系统包括:
请求接收模块501,用于接收客户端发送的请求信息;
异常确定模块502,用于根据所述请求信息确定所述客户端是否异常;
欺骗信息生成模块503,用于若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;
欺骗信息返回模块504,用于将所述欺骗信息返回至所述客户端。
本实施例在接收到客户端发送的请求信息后,根据请求信息判断发送请求信息的客户端是否异常。若客户端异常则生成欺骗信息,该欺骗信息用于表征请求信息被允许。当客户端接收到欺骗信息后,无法区分请求信息被允许和请求信息被拒绝,本实施例将欺骗信息返回至客户端,增加了存在异常的客户端的攻击成本,可以避免攻击者绕过攻击检测的情况,进而提高了对攻击行为的防御能力。
进一步的,异常确定模块502用于获取服务端对所述请求信息生成的响应消息;还用于根据所述响应消息确定所述客户端是否异常。
进一步的,所述请求信息包括登录请求;
异常确定模块502根据所述响应消息确定所述客户端是否异常的过程包括:若所述响应消息表征登录失败或者登录IP地址不在预设白名单中,则判定所述客户端异常。
进一步的,欺骗信息生成模块503根据所述请求信息生成欺骗信息的过程包括:确定发送所述登录请求的客户端的当前登录失败次数;根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率,根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。
进一步的,还包括:
第一关系确定模块,用于在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前,接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系;
或,第二关系确定模块,用于在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前,利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。
进一步的,异常确定模块502用于根据所述请求信息中的IP地址确定所述客户端是否异常。
进一步的,异常确定模块502用于根据客户端环境信息确定所述客户端是否异常。
进一步的,欺骗信息生成模块503根据所述请求信息生成欺骗信息的过程包括:将所述响应信息中登录失败标识替换为登录成功标识,生成所述欺骗信息。
进一步的,还包括:
响应信息转发模块,用于在根据所述响应消息确定所述客户端是否异常之后,若所述客户端不异常,则转发所述响应消息至所述客户端。
进一步的,欺骗信息生成模块503根据所述请求信息生成欺骗信息的过程包括:确定所述请求信息对应的响应信息,去除所述响应信息中的服务端特征信息得到所述欺骗信息。
进一步的,还包括:
配置判断模块,用于根据所述请求信息的协议类型获取对应的配置信息;还用于根据所述配置信息判断是否启动混淆功能;若是,则启动异常确定模块及其后续其他模块的工作流程。
进一步的,还包括:
标识判断模块,用于若所述客户端异常,确定所述请求信息对应的客户端标识;还用于若所述客户端标识在混淆列表中,则启动欺骗信息生成模块503及其后续其他模块的工作流程。
进一步的,异常确定模块502,用于确定所述请求信息中包含的登录密码是否存在预设校验码;还用于若不存在所述预设校验码,确定所述客户端异常。
进一步的,还包括:
请求信息转发模块,用于若所述客户端不异常,将去除所述预设校验码的请求信息发送至所述服务端。
进一步的,异常确定模块502,用于确定所述请求信息对应的客户端标识;还用于若所述客户端标识对应的可信等级低于预设等级,则确定所述客户端异常。
进一步的,异常确定模块502,用于确定所述客户端与服务端之间与所述请求信息对应的连接是否存在混淆标签;还用于若存在混淆标签,则确定所述客户端异常。
进一步的,欺骗信息生成模块503根据所述请求信息生成欺骗信息的过程包括:对所述请求信息对应连接执行干扰操作得到欺骗信息;其中,所述干扰操作包括随机丢弃上行数据包、随机关闭连接、随机返回当前命令不支持的提示中的任一项操作或任几项操作的组合。
进一步的,还包括:
反馈模块,用于若所述客户端异常,则向服务端返回目标信息;其中,所述目标信息用于提示所述服务端关闭与所述请求信息对应的连接。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种网络安全设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然网络安全设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (21)
1.一种攻击处理方法,其特征在于,包括:
接收客户端发送的请求信息;
根据所述请求信息确定所述客户端是否异常;
若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;
将所述欺骗信息返回至所述客户端。
2.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
获取服务端对所述请求信息生成的响应消息;
根据所述响应消息确定所述客户端是否异常。
3.根据权利要求2所述攻击处理方法,其特征在于,所述请求信息包括登录请求;
所述根据所述响应消息确定所述客户端是否异常包括:
若所述响应消息表征登录失败或者登录IP地址不在预设白名单中,则判定所述客户端异常。
4.根据权利要求3所述攻击处理方法,其特征在于,所述根据所述请求信息生成欺骗信息包括:
确定发送所述登录请求的客户端的当前登录失败次数;
根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率,根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。
5.根据权利要求4所述攻击处理方法,其特征在于,在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前,还包括:
接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系;
或,利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。
6.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
根据所述请求信息中的IP地址确定所述客户端是否异常。
7.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
根据客户端环境信息确定所述客户端是否异常。
8.根据权利要求3所述攻击处理方法,其特征在于,所述根据所述请求信息生成欺骗信息包括:
将所述响应信息中登录失败标识替换为登录成功标识,生成所述欺骗信息。
9.根据权利要求2所述攻击处理方法,其特征在于,在根据所述响应消息确定所述客户端是否异常之后,还包括:
若所述客户端不异常,则转发所述响应消息至所述客户端。
10.根据权利要求2所述攻击处理方法,其特征在于,所述根据所述请求信息生成欺骗信息包括:
确定所述请求信息对应的响应信息,去除所述响应信息中的服务端特征信息得到所述欺骗信息。
11.根据权利要求1所述攻击处理方法,其特征在于,还包括:
根据所述请求信息的协议类型获取对应的配置信息;
根据所述配置信息判断是否启动混淆功能;
若是,则执行根据所述请求信息确定所述客户端是否异常及其后续所有步骤。
12.根据权利要求1所述攻击处理方法,其特征在于,若所述客户端异常,还包括:
确定所述请求信息对应的客户端标识;
若所述客户端标识在混淆列表中,则执行根据所述请求信息生成欺骗信息及其后续所有步骤。
13.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述请求信息中包含的登录密码是否存在预设校验码;
若不存在所述预设校验码,确定所述客户端异常。
14.根据权利要求13所述攻击处理方法,其特征在于,还包括:
若所述客户端不异常,将去除所述预设校验码的请求信息发送至所述服务端。
15.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述请求信息对应的客户端标识;
若所述客户端标识对应的可信等级低于预设等级,则确定所述客户端异常。
16.根据权利要求1所述攻击处理方法,其特征在于,所述根据所述请求信息确定所述客户端是否异常包括:
确定所述客户端与服务端之间与所述请求信息对应的连接是否存在混淆标签;
若存在混淆标签,则确定所述客户端异常。
17.根据权利要求1所述攻击处理方法,其特征在于,根据所述请求信息生成欺骗信息包括:
对所述请求信息对应连接执行干扰操作得到欺骗信息;其中,所述干扰操作包括随机丢弃上行数据包、随机关闭连接、随机返回当前命令不支持的提示中的任一项操作或任几项操作的组合。
18.根据权利要求1至17任一项所述攻击处理方法,其特征在于,还包括:
若所述客户端异常,则向服务端返回目标信息;其中,所述目标信息用于提示所述服务端关闭与所述请求信息对应的连接。
19.一种攻击处理系统,其特征在于,包括:
请求接收模块,用于接收客户端发送的请求信息;
异常确定模块,用于根据所述请求信息确定所述客户端是否异常;
欺骗信息生成模块,用于若所述客户端异常,则根据所述请求信息生成欺骗信息;其中,所述欺骗信息表征所述请求信息被允许;
欺骗信息返回模块,用于将所述欺骗信息返回至所述客户端。
20.一种网络安全设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至18任一项所述攻击处理方法的步骤。
21.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至18任一项所述攻击处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210067472.3A CN114422248A (zh) | 2022-01-20 | 2022-01-20 | 一种攻击处理方法、系统、网络安全设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210067472.3A CN114422248A (zh) | 2022-01-20 | 2022-01-20 | 一种攻击处理方法、系统、网络安全设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114422248A true CN114422248A (zh) | 2022-04-29 |
Family
ID=81274429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210067472.3A Pending CN114422248A (zh) | 2022-01-20 | 2022-01-20 | 一种攻击处理方法、系统、网络安全设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114422248A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114884736A (zh) * | 2022-05-11 | 2022-08-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040039521A (ko) * | 2002-11-01 | 2004-05-12 | 한국전자통신연구원 | 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 |
US20050108393A1 (en) * | 2003-10-31 | 2005-05-19 | International Business Machines Corporation | Host-based network intrusion detection systems |
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
US20160366172A1 (en) * | 2015-06-12 | 2016-12-15 | Arris Enterprises Llc | Prevention of cross site request forgery attacks |
US20170093910A1 (en) * | 2015-09-25 | 2017-03-30 | Acalvio Technologies, Inc. | Dynamic security mechanisms |
CN109922032A (zh) * | 2017-12-13 | 2019-06-21 | 百度在线网络技术(北京)有限公司 | 用于确定登录账户的风险的方法和装置 |
US20190373019A1 (en) * | 2018-06-01 | 2019-12-05 | Bank Of America Corporation | Alternate display generation based on user identification |
US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
CN112509563A (zh) * | 2020-12-17 | 2021-03-16 | 中国科学技术大学 | 模型训练方法、装置及电子设备 |
CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
-
2022
- 2022-01-20 CN CN202210067472.3A patent/CN114422248A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040039521A (ko) * | 2002-11-01 | 2004-05-12 | 한국전자통신연구원 | 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 |
US20050108393A1 (en) * | 2003-10-31 | 2005-05-19 | International Business Machines Corporation | Host-based network intrusion detection systems |
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
US20160366172A1 (en) * | 2015-06-12 | 2016-12-15 | Arris Enterprises Llc | Prevention of cross site request forgery attacks |
US20170093910A1 (en) * | 2015-09-25 | 2017-03-30 | Acalvio Technologies, Inc. | Dynamic security mechanisms |
CN109922032A (zh) * | 2017-12-13 | 2019-06-21 | 百度在线网络技术(北京)有限公司 | 用于确定登录账户的风险的方法和装置 |
US20190373019A1 (en) * | 2018-06-01 | 2019-12-05 | Bank Of America Corporation | Alternate display generation based on user identification |
US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
CN111786971A (zh) * | 2020-06-19 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 主机爆破攻击的防御方法、装置和计算机设备 |
CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
CN112565226A (zh) * | 2020-11-27 | 2021-03-26 | 深信服科技股份有限公司 | 请求处理方法、装置、设备及系统和用户画像生成方法 |
CN112509563A (zh) * | 2020-12-17 | 2021-03-16 | 中国科学技术大学 | 模型训练方法、装置及电子设备 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114884736A (zh) * | 2022-05-11 | 2022-08-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
CN114884736B (zh) * | 2022-05-11 | 2024-04-09 | 山东鲁软数字科技有限公司 | 一种防爆破攻击的安全防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
US9923921B1 (en) | Disarming malware in digitally signed content | |
CN107888546B (zh) | 网络攻击防御方法、装置以及系统 | |
Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
US8069471B2 (en) | Internet security dynamics assessment system, program product, and related methods | |
US9436820B1 (en) | Controlling access to resources in a network | |
US10341326B2 (en) | Network security for encrypted channel based on reputation | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US20070294759A1 (en) | Wireless network control and protection system | |
US8706866B2 (en) | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information | |
US20170012978A1 (en) | Secure communication method and apparatus | |
US8631244B1 (en) | System and method for preventing computer malware from exfiltrating data from a user computer in a network via the internet | |
US20170070518A1 (en) | Advanced persistent threat identification | |
CN112653714A (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
US20220385648A1 (en) | Information security system and method for phishing threat prevention using tokens | |
CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
CN114422248A (zh) | 一种攻击处理方法、系统、网络安全设备及存储介质 | |
CN107786489B (zh) | 访问请求验证方法及装置 | |
JP6709909B2 (ja) | 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 | |
CN114928564A (zh) | 安全组件的功能验证方法及装置 | |
EP2541861A1 (en) | Server security systems and related aspects | |
CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
US20220103582A1 (en) | System and method for cybersecurity | |
JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
Nobakht et al. | A Distributed Security Approach against ARP Cache Poisoning Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |