CN116015717A - 一种网络防御方法、装置、设备及存储介质 - Google Patents
一种网络防御方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116015717A CN116015717A CN202211521575.9A CN202211521575A CN116015717A CN 116015717 A CN116015717 A CN 116015717A CN 202211521575 A CN202211521575 A CN 202211521575A CN 116015717 A CN116015717 A CN 116015717A
- Authority
- CN
- China
- Prior art keywords
- network
- honeypot
- attack behavior
- network attack
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络防御方法、装置、设备及存储介质,涉及网络安全技术领域。应用于web服务器,该方法包括:获取用户终端发送的web请求流量并判断是否包含网络攻击行为;当包含网络攻击行为时触发预设防御规则以拦截网络攻击行为并获取攻击者信息;预设防御规则为预先根据web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;根据攻击者信息将网络攻击行为转发至蜜罐网络,并利用其中的多个蜜罐镜像针对网络攻击行为进行反制;蜜罐镜像包括对web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。通过本申请的技术方案,不仅可以精准定位攻击行为,还能通过各种蜜罐镜像反制溯源攻击者,提高企业的安全防护能力。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络防御方法、装置、设备及存储介质。
背景技术
随着互联网的发展和应用,基本上所有的中大型企业都普遍存在各种网络安全的问题,为了及时发现并防御这些事件,大部分企业都会布置入侵检测装置,其中蜜罐技术也被广泛的使用在了内部及边界网络中。蜜罐技术到今天为止也发展了很长一段时间,传统的蜜罐系统都是针对单个主机基于单个存在漏洞的应用或系统开发的,通过部署与主机相同的系统或应用,目的是诱导攻击者去攻击这个应用。通常会将蜜罐系统部署到外网边界或者内网中,当攻击者攻击蜜罐时就会告警,攻击者在攻击成功后所做的所有操作被记录下来,一般在此基础上加入一些检测及反制的功能。这种蜜罐系统缺陷也很明显,只有攻击者攻击了这个应用,才会触发告警,过于被动且反制方法单一,容易被识破,对于熟练的攻击者而言能够轻易分辨出来,他们会根据目标的安全状况选择攻击点,不会盲目攻击,所以不一定能捕获到攻击行为。经过近几年的攻防对抗的环境下,会发现各种搜索引擎开始把蜜罐特征列入收录的资产范围并提示警告该系统为蜜罐,导致攻击方能够直接的发现蜜罐,导致蜜罐无法迷惑攻击者,无法有效的保护服务器。并且传统的蜜罐系统功能单一,只能够被动的收集攻击者的信息,无法精准定位攻击者,这些问题不解决会导致部署的蜜罐无法发挥其作用,浪费企业资源。
综上,如何精准定位攻击者,提高反制成功率是目前有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种网络防御方法、装置、设备及存储介质,能够精准定位攻击者,提高反制成功率。其具体方案如下:
第一方面,本申请公开了一种网络防御方法,应用于web服务器,包括:
获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为;
当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;
根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
可选的,所述判断所述web请求流量中是否包含网络攻击行为,包括:
如果所述web请求流量中包含所述网络攻击行为,则在所述利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制之后,通过所述蜜罐网络返回相应的响应包;
如果所述web请求流量中不包含所述网络攻击行为,则通过所述web服务器对所述web请求流量进行响应并返回相应的响应包。
可选的,所述判断所述web请求流量中是否包含网络攻击行为,包括:
判断所述web请求流量中是否包含0day攻击和/或1day攻击;
相应的,所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息,包括:
当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则,以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息。
可选的,所述判断所述web请求流量中是否包含网络攻击行为,包括:
如果所述web请求流量中包含所述网络攻击行为,则获取所述网络攻击行为对应的攻击者的攻击IP地址,并将所述攻击IP地址和所述网络攻击行为存放至黑名单,以便根据所述黑名单进行告警并在所述攻击者上线后发出反制提示;
如果所述web请求流量中不包含所述网络攻击行为,则获取当前的web请求流量对应的正常用户的请求IP地址,并将所述请求IP地址存放至白名单,以便根据所述白名单对所述web请求流量进行响应。
可选的,所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息之前,还包括:
确定所述web服务器的环境信息,并获取相应的操作规则;
基于所述操作规则,利用预设应用程序编程接口插入hook敏感函数进行自动化部署,以得到所述预设防御规则。
可选的,所述根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制,包括:
根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并通过所述蜜罐网络对所述web服务器进行克隆,以得到所述web服务器的克隆镜像;
清除所述克隆镜像中的敏感数据,并针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制。
可选的,所述针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制,包括:
针对所述克隆镜像部署挂有水坑攻击的蜜罐镜像、存放木马文件的源码仓库的蜜罐镜像、通过恶意代码收集所述攻击者的敏感信息的蜜罐镜像中的任意一种或几种的组合,以针对所述网络攻击行为进行反制。
第二方面,本申请公开了一种网络防御装置,应用于web服务器,包括:
流量获取模块,用于获取用户终端发送的web请求流量;
行为判断模块,用于判断所述web请求流量中是否包含网络攻击行为;
防御触发模块,用于当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;
反制模块,用于根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
第三方面,本申请公开了一种电子设备,所述电子设备包括处理器和存储器;其中,所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如前所述的网络防御方法。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中所述计算机程序被处理器执行时实现如前所述的网络防御方法。
本申请提供了一种网络防御方法,应用于web服务器,首先获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为;当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;然后根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。可见,为了解决现有蜜罐都是单独存在与网络环境的架构中,无法很好的与web服务器进行配合,导致蜜罐特征被发现从而蜜罐被攻击者发现的问题,从和web服务器进行耦合的角度出发,利用插桩技术隐藏自身的特征,将预设防御规则隐藏于web服务器中,从而能够无法被正常的探测手段所发现,同时能够精准定位攻击行为并拦截。不仅能够防御网络攻击行为,还能收集攻击者信息,产生真正值得注意的高危告警信息和攻击路径,把攻击者的网络攻击行为转发进蜜罐网中,达到精确命中的效果,攻击者只要实施攻击,就会触发蜜罐,方便安全运维人员及时发现攻击,还能通过各种蜜罐镜像反制攻击者,减少企业溯源难度,极大的提高企业的安全防护能力。如果攻击者被成功反制,被溯源的可能性非常大,相比传统的利用JS去请求敏感信息,当攻击者开启浏览器无痕浏览模式时就无法生效的反制方式,增加了反制的多样性。
此外,本申请提供的一种网络防御装置、设备及存储介质,与上述网络防御方法对应,效果同上。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种网络防御方法流程图;
图2为本申请公开的一种基于插桩的网络防御及反制蜜罐示意图;
图3为本申请公开的一种具体的网络防御方法流程图;
图4为本申请公开的一种网络防御装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
当前,蜜罐技术十分被动,反制方法单一,容易被识破,攻击者能够轻易分辨出来。常见部署在边界外网中的蜜罐会发送大量的JS(JavaScript,一种直译式脚本语言)请求,很容易被攻击者察觉,发现该系统是蜜罐系统,这样部署的意义就不大。并且现在蜜罐搭建的网站大部分都带有蜜罐自身特征,被一些资产搜索引擎所识别了,会在结果中标记该系统为蜜罐系统,无法有效的捕捉攻击者。还存在的一个问题就是目前蜜罐的反制手法单一,通常是利用跨域的JS请求去获取攻击者的敏感信息,但当攻击者开启浏览器无痕模式时,无法有效的获取敏感信息,导致溯源难度加大。
为此,本申请提供了一种网络防御方案,能够精准定位攻击者,提高反制成功率。
本发明实施例公开了一种网络防御方法,参见图1所示,应用于web服务器,该方法包括:
步骤S11:获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为。
本申请实施例中,用户终端会针对当前的web服务器发送web请求流量。可以理解的是,web请求流量可能是攻击者发送的包含网络攻击行为的恶意请求包,也可能是正常用户发送的包含正常请求流量的正常请求包。
如果所述web请求流量中包含所述网络攻击行为,则获取所述网络攻击行为对应的攻击者的攻击IP(Internet Protocol,网际互连协议)地址,并将所述攻击IP地址和所述网络攻击行为存放至黑名单,以便根据所述黑名单进行告警并在所述攻击者上线后发出反制提示;如果所述web请求流量中不包含所述网络攻击行为,则获取当前的web请求流量对应的正常用户的请求IP地址,并将所述请求IP地址存放至白名单,以便根据所述白名单对所述web请求流量进行响应。
本申请实施例中,为两类用户分别设置黑白名单,将攻击者的IP地址添加至黑名单并记录相应的网络攻击行为,如此一来,可以根据黑名单中的信息转发攻击者的IP地址至蜜罐网络,如果攻击被拦截,运维工程师将会收到系统的告警,并在攻击者上线后给运维工程师发出反制提示。将正常用户的IP地址添加至白名单,如此一来,白名单中的用户请求会优先通过,不会被过滤处理掉,安全性和快捷性都大大提高。
步骤S12:当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码。
由于现有蜜罐都是单独存在与网络环境的架构中,无法很好的与web服务器进行配合,导致蜜罐特征被发现从而蜜罐被攻击者发现,EDR系统(Extended Detection andResponse,可扩展的威胁检测与响应系统)又存在容易产生误报的情况。因此本申请实施例中,从和web服务器进行耦合的角度出发,利用插桩技术将预设防御规则隐藏于web服务器中。这个阶段在相关的敏感功能处插入相关检测漏洞的代码,来防御0day和/或1day攻击。常见的敏感功能比如文件上传、下载、删除操作,命令执行操作、SQL查询操作、反序列化操作等等。在这些功能的底层代码中插入检测漏洞的代码,当攻击者攻击时,就会触发相应的规则代码,记录攻击者的信息,并且拦截本次攻击。这样既能精确捕获攻击者的信息,还能防御相关0day和/或1day攻击,底层通过这些敏感方法进行利用,当底层的方法被检测后,就算是0day攻击也能够被防御。
可以理解的是,插桩技术在保证原有程序逻辑完整性的基础上,在程序中插入探针,通过探针采集代码中的信息(方法本身、方法参数值、返回值等),在特定的位置插入代码段,从而收集程序运行时的动态上下文信息。通过动态Hook技术(钩子技术)来实现插桩的功能,在程序运行的过程中,对其中的某个方法进行重写,在原有的方法前后加入自定义的代码。动态Hook阶段,越靠近底层,拿到的应用数据越详尽,数据量也越大,技术难度也越高。以Java为例,最常见的Hook层是JVM层,通过JVMTI接口对字节码,在类被加载之前对类进行拦截,通过插入监听字节码,进行修改以实现Hook。这个技术也是java本身自带的技术,其他语言的程序同样有自身的Hook的相关API(Application Programming Interface,应用程序接口)。
本申请实施例中,根据服务器的环境信息来进行嵌入,对常见的web服务器容器进行嵌入,web服务器通常使用java、python、php(Hypertext Preprocessor,超文本预处理器)等语言进行开发,针对不同的语言所插桩的技术细节有所不同,但相关技术原理是相同的,只是不同的开发语言对应的检测规则有所不同,在部署的时候通过服务器的环境信息,进行自动化的部署。
具体的,确定所述web服务器的环境信息,并获取相应的操作规则;基于所述操作规则,利用预设应用程序编程接口插入hook敏感函数进行自动化部署,以得到所述预设防御规则。
步骤S13:根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
本申请实施例中,在攻击者攻击后触发预设防御规则,通过对攻击者信息进行记录,把获取到的攻击者信息以及相应的IP数据包都转发到对应的蜜罐网络中,蜜罐可以对主机服务进行镜像克隆,这样攻击者就无法察觉到自己已经进入了蜜罐中,实现隐藏蜜罐并且精准捕获攻击者的效果。
针对现有的蜜罐反制手法单一,特征明显,本申请实施例中,增加了反制的多样性,布置的蜜罐除了可以镜像克隆外,在控制端执行插件,针对所述克隆镜像部署挂有水坑攻击的蜜罐镜像、存放木马文件的源码仓库的蜜罐镜像、通过恶意代码收集所述攻击者的敏感信息的蜜罐镜像中的任意一种或几种的组合,以针对所述网络攻击行为进行反制。也即,通过部署水坑攻击、插入恶意JS使其攻击者下载反制木马、以及通过模仿源码泄露,在源码中放入恶意.git文件使攻击者下载反制木马进行反制、以及通过恶意JS收集攻击者的敏感信息等方式。攻击者在横向过程中会尝试下载并点击事先精心布置的木马,从而被管理员反制上线。这样就成功拿到攻击者的信息,为企业降低溯源成本。
进一步的,针对攻击者的web请求流量,在所述利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制之后,通过所述蜜罐网络返回相应的响应包;如果所述web请求流量中不包含所述网络攻击行为,则通过所述web服务器对所述web请求流量进行响应并返回相应的响应包。
本申请提供了一种网络防御方法,应用于web服务器,首先获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为;当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;然后根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。可见,为了解决现有蜜罐都是单独存在与网络环境的架构中,无法很好的与web服务器进行配合,导致蜜罐特征被发现从而蜜罐被攻击者发现的问题,从和web服务器进行耦合的角度出发,利用插桩技术隐藏自身的特征,将预设防御规则隐藏于web服务器中,从而能够无法被正常的探测手段所发现,同时能够精准定位攻击行为并拦截。不仅能够防御网络攻击行为,还能收集攻击者信息,产生真正值得注意的高危告警信息和攻击路径,把攻击者的网络攻击行为转发进蜜罐网中,达到精确命中的效果,攻击者只要实施攻击,就会触发蜜罐,方便安全运维人员及时发现攻击,还能通过各种蜜罐镜像反制攻击者,减少企业溯源难度,极大的提高企业的安全防护能力。如果攻击者被成功反制,被溯源的可能性非常大,相比传统的利用JS去请求敏感信息,当攻击者开启浏览器无痕浏览模式时就无法生效的反制方式,增加了反制的多样性。
示例性的,针对本申请实施例中的网络防御方法将划分为三个系统,即基于插桩技术的网络攻击行为检测系统、蜜罐网络系统和总控制系统,如图2所示。
基于插桩技术的网络攻击行为检测系统根据服务器的环境信息来进行嵌入,对常见的web服务器容器进行嵌入,如JAVA web服务器、PHP web服务器或者Python web服务器等,不同的web服务器使用不同的语言开发,针对不同的语言所插桩的技术细节有所不同,但相关技术原理是相同的,均为在敏感功能处插入HOOK敏感函数检测攻击行为,只是不同的开发语言对应的检测规则有所不同,在部署的时候通过分析服务器的系统环境信息、安装的软件获取服务器所使用的web开发技术信息,进行自动化的部署。
总控制系统,是信息存储、以及反制木马下发的系统也是运维工程师监控的系统,检测到攻击的信息会汇总到总控制系统,由总控制系统对攻击者的IP进行黑名单的处理,再由总控制系统转发该攻击IP的流量到指定蜜罐网络中,并下发相关反制手段。如果攻击被基于插桩技术的网络攻击行为检测系统拦截,运维工程师将会收到总控制系统的告警,如果攻击者上线,将会给运维工程师发出反制提示。
蜜罐网络系统,由多种蜜罐镜像组成,首先会根据部署基于插桩技术的网络攻击行为检测系统的主机进行镜像克隆,清除数据库中的敏感数据。部署相对应主机系统的水坑镜像,以及部署对应模仿源码泄露等多个镜像。
本申请实施例公开了一种具体的网络防御方法,参见图3所示,该方法包括:
步骤S21:获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含0day攻击和/或1day攻击。
本申请实施例中,获取用户终端发送的web请求流量,判断web请求流量中是否包含网络攻击行为,其中,网络攻击行为主要包括对互联网没有公开的漏洞的0day攻击以及互联网上已经公开的漏洞的1day攻击。
步骤S22:当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则,以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息。
本申请实施例中,预先根据所述web服务器的环境信息利用插桩式技术嵌入检测漏洞的代码,在相关的敏感功能处,如文件上传、下载、删除操作,命令执行操作、SQL查询操作、反序列化操作等等,利用预设应用程序编程接口插入hook敏感函数进行自动化部署,得到预设防御规则。当攻击者攻击时,就会触发相应的规则代码,记录攻击者的信息,并且拦截本次攻击。如此一来,通过hook底层方法,判断攻击行为,这样既能精确捕获攻击者的信息,还能防御相关0day、1day攻击。
步骤S23:根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并通过所述蜜罐网络对所述web服务器进行克隆,以得到所述web服务器的克隆镜像。
本申请实施例中,根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,蜜罐可以对主机服务进行镜像克隆得到所述web服务器的克隆镜像。这样攻击者就无法察觉到自己已经进入了蜜罐中,这样既达到了隐藏蜜罐,又精准的捕获攻击者。
步骤S24:清除所述克隆镜像中的敏感数据,并针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制。
本申请实施例中,根据web服务器进行镜像克隆后,在镜像系统中清除敏感数据,然后针对所述克隆镜像部署挂有水坑攻击的蜜罐镜像、存放木马文件的源码仓库的蜜罐镜像、通过恶意代码收集所述攻击者的敏感信息的蜜罐镜像中的任意一种或几种的组合,以针对所述网络攻击行为进行反制。
由于现有蜜罐的反制手法单一,特征明显,对于有着丰富经验的攻击者来说时常被绕过,难以溯源攻击者。因此,通过蜜罐网络隐藏于web服务器中,通过进行镜像的克隆、水坑钓鱼、以及模拟源码的泄露等多个部署有预设恶意程序的蜜罐镜像的方式,能够降低攻击者的疑心,使其受到反制的成功率越高,溯源就越简单。
本申请提供了一种网络防御方法,应用于web服务器,首先获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含0day攻击和/或1day攻击;当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则,以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;然后根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并通过所述蜜罐网络对所述web服务器进行克隆,以得到所述web服务器的克隆镜像;清除所述克隆镜像中的敏感数据,并针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。可见,为了解决现有蜜罐都是单独存在与网络环境的架构中,无法很好的与web服务器进行配合,导致蜜罐特征被发现从而蜜罐被攻击者发现的问题,从和web服务器进行耦合的角度出发,利用插桩技术隐藏自身的特征,将预设防御规则隐藏于web服务器中,从而能够无法被正常的探测手段所发现,同时能够精准定位攻击行为并拦截。不仅能够防御网络攻击行为,还能收集攻击者信息,产生真正值得注意的高危告警信息和攻击路径,把攻击者的网络攻击行为转发进蜜罐网中,达到精确命中的效果,攻击者只要实施攻击,就会触发蜜罐,方便安全运维人员及时发现攻击,还能通过各种蜜罐镜像反制攻击者,减少企业溯源难度,极大的提高企业的安全防护能力。如果攻击者被成功反制,被溯源的可能性非常大,相比传统的利用JS去请求敏感信息,当攻击者开启浏览器无痕浏览模式时就无法生效的反制方式,增加了反制的多样性。
相应的,本申请实施例还公开了一种网络防御装置,参见图4所示,该装置包括:
流量获取模块11,用于获取用户终端发送的web请求流量;
行为判断模块12,用于判断所述web请求流量中是否包含网络攻击行为;
防御触发模块13,用于当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;
反制模块14,用于根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
其中,关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
由此可见,通过本实施例的上述方案,应用于web服务器,首先获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为;当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;然后根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。可见,为了解决现有蜜罐都是单独存在与网络环境的架构中,无法很好的与web服务器进行配合,导致蜜罐特征被发现从而蜜罐被攻击者发现的问题,从和web服务器进行耦合的角度出发,利用插桩技术隐藏自身的特征,将预设防御规则隐藏于web服务器中,从而能够无法被正常的探测手段所发现,同时能够精准定位攻击行为并拦截。不仅能够防御网络攻击行为,还能收集攻击者信息,产生真正值得注意的高危告警信息和攻击路径,把攻击者的网络攻击行为转发进蜜罐网中,达到精确命中的效果,攻击者只要实施攻击,就会触发蜜罐,方便安全运维人员及时发现攻击,还能通过各种蜜罐镜像反制攻击者,减少企业溯源难度,极大的提高企业的安全防护能力。如果攻击者被成功反制,被溯源的可能性非常大,相比传统的利用JS去请求敏感信息,当攻击者开启浏览器无痕浏览模式时就无法生效的反制方式,增加了反制的多样性。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的网络防御方法中的相关步骤。另外,本实施例中的电子设备20具体可以为web服务器。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222及数据223等,数据223可以包括各种各样的数据。存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的网络防御方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机可读存储介质,这里所说的计算机可读存储介质包括随机存取存储器(Random Access Memory,RAM)、内存、只读存储器(Read-Only Memory,ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、磁碟或者光盘或技术领域内所公知的任意其他形式的存储介质。其中,所述计算机程序被处理器执行时实现前述网络防御方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的网络防御或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种网络防御方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络防御方法,其特征在于,应用于web服务器,包括:
获取用户终端发送的web请求流量,并判断所述web请求流量中是否包含网络攻击行为;
当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;
根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
2.根据权利要求1所述的网络防御方法,其特征在于,所述判断所述web请求流量中是否包含网络攻击行为,包括:
如果所述web请求流量中包含所述网络攻击行为,则在所述利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制之后,通过所述蜜罐网络返回相应的响应包;
如果所述web请求流量中不包含所述网络攻击行为,则通过所述web服务器对所述web请求流量进行响应并返回相应的响应包。
3.根据权利要求1所述的网络防御方法,其特征在于,所述判断所述web请求流量中是否包含网络攻击行为,包括:
判断所述web请求流量中是否包含0day攻击和/或1day攻击;
相应的,所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息,包括:
当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则,以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息。
4.根据权利要求1所述的网络防御方法,其特征在于,所述判断所述web请求流量中是否包含网络攻击行为,包括:
如果所述web请求流量中包含所述网络攻击行为,则获取所述网络攻击行为对应的攻击者的攻击IP地址,并将所述攻击IP地址和所述网络攻击行为存放至黑名单,以便根据所述黑名单进行告警并在所述攻击者上线后发出反制提示;
如果所述web请求流量中不包含所述网络攻击行为,则获取当前的web请求流量对应的正常用户的请求IP地址,并将所述请求IP地址存放至白名单,以便根据所述白名单对所述web请求流量进行响应。
5.根据权利要求1所述的网络防御方法,其特征在于,所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息之前,还包括:
确定所述web服务器的环境信息,并获取相应的操作规则;
基于所述操作规则,利用预设应用程序编程接口插入hook敏感函数进行自动化部署,以得到所述预设防御规则。
6.根据权利要求1至5任一项所述的网络防御方法,其特征在于,所述根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制,包括:
根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并通过所述蜜罐网络对所述web服务器进行克隆,以得到所述web服务器的克隆镜像;
清除所述克隆镜像中的敏感数据,并针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制。
7.根据权利要求6所述的网络防御方法,其特征在于,所述针对所述克隆镜像部署反制蜜罐镜像,以针对所述网络攻击行为进行反制,包括:
针对所述克隆镜像部署挂有水坑攻击的蜜罐镜像、存放木马文件的源码仓库的蜜罐镜像、通过恶意代码收集所述攻击者的敏感信息的蜜罐镜像中的任意一种或几种的组合,以针对所述网络攻击行为进行反制。
8.一种网络防御装置,其特征在于,应用于web服务器,包括:
流量获取模块,用于获取用户终端发送的web请求流量;
行为判断模块,用于判断所述web请求流量中是否包含网络攻击行为;
防御触发模块,用于当所述web请求流量中包含所述网络攻击行为时触发预设防御规则,以拦截所述网络攻击行为并获取攻击者信息;其中,所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码;
反制模块,用于根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络,并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制;其中,所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器;其中,所述存储器用于存储计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至7任一项所述的网络防御方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211521575.9A CN116015717A (zh) | 2022-11-30 | 2022-11-30 | 一种网络防御方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211521575.9A CN116015717A (zh) | 2022-11-30 | 2022-11-30 | 一种网络防御方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015717A true CN116015717A (zh) | 2023-04-25 |
Family
ID=86036177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211521575.9A Pending CN116015717A (zh) | 2022-11-30 | 2022-11-30 | 一种网络防御方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015717A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116170242A (zh) * | 2023-04-26 | 2023-05-26 | 烽台科技(北京)有限公司 | 网络攻击处理方法、装置、服务器及存储介质 |
| CN116502226A (zh) * | 2023-06-27 | 2023-07-28 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与系统 |
-
2022
- 2022-11-30 CN CN202211521575.9A patent/CN116015717A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116170242A (zh) * | 2023-04-26 | 2023-05-26 | 烽台科技(北京)有限公司 | 网络攻击处理方法、装置、服务器及存储介质 |
| CN116502226A (zh) * | 2023-06-27 | 2023-07-28 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与系统 |
| CN116502226B (zh) * | 2023-06-27 | 2023-09-08 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
| CN109474575B (zh) | 一种dns隧道的检测方法及装置 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN114826787B (zh) | 一种针对后门攻击的主动对抗方法、系统、设备及介质 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN113949520B (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| CN104967628A (zh) | 一种保护web应用安全的诱骗方法 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN113259392A (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN107566401A (zh) | 虚拟化环境的防护方法及装置 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN114095264A (zh) | 一种蜜罐系统的高交互溯源方法、装备及硬件 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN113992442B (zh) | 一种木马连通成功检测方法及装置 | |
| Huayu et al. | Research on fog computing based active anti-theft technology | |
| CN112995168B (zh) | 一种Web服务器安全防护方法、系统及计算机存储介质 | |
| CN111147491B (zh) | 一种漏洞修复方法、装置、设备及存储介质 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |