CN116074109A - 一种网络攻击防御方法、装置、入侵检测设备、存储介质 - Google Patents
一种网络攻击防御方法、装置、入侵检测设备、存储介质 Download PDFInfo
- Publication number
- CN116074109A CN116074109A CN202310133927.1A CN202310133927A CN116074109A CN 116074109 A CN116074109 A CN 116074109A CN 202310133927 A CN202310133927 A CN 202310133927A CN 116074109 A CN116074109 A CN 116074109A
- Authority
- CN
- China
- Prior art keywords
- attack
- rule
- intrusion detection
- firewall
- suspicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供一种网络攻击防御方法、装置、入侵检测设备、存储介质,应用于入侵检测设备,入侵检测设备维护有多条攻击规则,每条攻击规则标注有攻击链标签,攻击链标签用于指示攻击规则所属的攻击链;方法包括:对网络流量进行入侵检测,确定网络流量命中的第一攻击规则;第一攻击规则标注有目标攻击链标签;从多条攻击规则中查询标注有目标攻击链标签的至少一条第二攻击规则;将属于同一攻击链的第一攻击规则与第二攻击规则发送至防火墙,以使防火墙根据防护策略进行攻击防御;防护策略基于第一攻击规则与第二攻击规则生成。防火墙还可以根据攻击链关联的攻击规则对后续攻击行为进行预防御,从而提高了防火墙的防御效果。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络攻击防御方法、装置、入侵检测设备、存储介质。
背景技术
目前,在入侵检测和防火墙的联动阻断机制中,防火墙往往只根据五元组信息进行流量阻断。但在实际环境中,若攻击源在攻击过程中更换了其他IP地址或端口进行攻击,防火墙则难以对该攻击行为进行阻断,导致阻断效果并不理想。
发明内容
本申请实施例的目的在于提供一种网络攻击防御方法、装置、入侵检测设备、存储介质,用以实现提高防火墙防御效果的技术效果。
本申请实施例第一方面提供了一种网络攻击防御方法,应用于入侵检测设备,所述入侵检测设备维护有多条攻击规则,每条所述攻击规则标注有攻击链标签,所述攻击链标签用于指示所述攻击规则所属的攻击链;所述方法包括:
对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;所述第一攻击规则标注有目标攻击链标签;
从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
在上述实现过程中,由于防护策略是根据第一攻击规则与第二攻击规则生成的,因此防火墙可以根据防护策略中所有攻击规则,预判后续可能发生的攻击行为。如此,就算攻击源在后续的攻击过程中更换了IP地址与端口信息,只要存在目标流量命中了防护策略中的攻击规则,也即命中了第一攻击规则或第二攻击规则,不管该目标流量是否与防火墙记录的恶意五元组信息对应,防火墙也将目标流量阻断。如此,防火墙不再是只根据五元组信息进行流量的拦截,还可以根据攻击链关联的攻击规则对后续攻击行为进行预防御,从而提高了防火墙的防御效果。
进一步地,所述网络流量为向域名系统DNS服务器发送的第一解析请求,所述第一解析请求携带待解析的可疑域名;所述网络流量命中的所述第一攻击规则为DNS查询规则;所述方法还包括:
响应于捕获到所述DNS服务器基于所述第一解析请求返回的第一响应流量,获取所述第一响应流量中携带的可疑五元组信息;其中,所述可疑五元组信息为所述DNS服务器解析所述可疑域名后得到的;
将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
在上述实现过程中,通过将DNS服务器解析得到的可疑五元组信息加入防护策略,可以将后续与该可疑五元组信息对应的目标流量进行拦截。进一步提高了网络安全防护效果。
进一步地,所述方法还包括:
响应于所述第一响应流量捕获失败,从所述第一解析请求中获取所述可疑域名,并向所述DNS服务器发送携带所述可疑域名的第二解析请求;
接收所述DNS服务器基于所述第二解析请求返回的第二响应流量;
获取所述第二响应流量中携带的所述可疑五元组信息,并将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
在上述实现过程中,当第一响应流量捕获失败时,入侵检测设备作为靶机主动向DNS服务器请求解析第一解析请求携带的可疑域名,从而可以从DNS服务器返回的第二响应流量中获取到可疑域名对应的可疑五元组信息。并将可疑五元组信息加入防护策略,可以将后续与该可疑五元组信息对应的目标流量进行拦截。进一步提高了网络安全防护效果。
进一步地,所述方法还包括:
获取所述网络流量的五元组信息,将所述五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述五元组信息生成。
在上述实现过程中,通过将命中第一攻击规的网络流量的五元组信息加入防护策略,可以将后续来自与该网络流量同一IP地址、端口信息的其他网络流量拦截,从而阻断攻击源对攻击目标的攻击行为。
进一步地,所述攻击链标签通过以下步骤生成:
从多条所述攻击规则中确定属于同一攻击链的所有目标攻击规则;
对所有所述目标攻击规则的规则编号进行哈希运算,得到哈希值;
将所述哈希值作为所述攻击链标签标注在所有所述目标攻击规则。
在上述实现过程中,利用属于同一攻击链的所有目标攻击规则的规则编号进行哈希运算,得到的哈希值作为攻击链标签。通过攻击链标签对所有攻击规则按照攻击链手段的关联效果进行分组。实现了后续攻击行为的预防御。
进一步地,所述防火墙根据防护策略进行攻击防御,包括:
设置所述防护策略的老化时间;
在达到所述老化时间前,根据所述防护策略进行攻击防御。
在上述实现过程中,通过对防护策略设置老化时间,在老化时间内防火墙根据防护策略进行攻击防御,从而实现网络安全防护。在达到老化时间后删除防护策略,从而节省存储空间。
进一步地,所述对网络流量进行入侵检测,包括:
解析所述网络流量的流量特征;
将所述流量特征与多条所述攻击规则进行规则匹配,根据命中的所述第一攻击规则确定所述网络流量的攻击行为。
在上述实现过程中,利用网络流量的流量特征进行入侵检测,根据命中的第一攻击规则可以确定出该网络流量具体的攻击行为,从而完成入侵行为的检测,以及可以为后续的防护策略提供参考作用。
进一步地,所述入侵检测设备旁路部署或串连部署在网络中。
在上述实现过程中,入侵检测设备旁路部署或串连部署在网络中,提高入侵检测设备在网络中部署的灵活度。
本申请实施例第二方面提供了一种网络攻击防御装置,应用于入侵检测设备,所述入侵检测设备维护有多条攻击规则,每条所述攻击规则标注有攻击链标签,所述攻击链标签用于指示所述攻击规则所属的攻击链;所述装置包括:
检测模块,用于对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;所述第一攻击规则标注有目标攻击链标签;
查询模块,用于从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
发送模块,用于将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
本申请实施例第三方面提供了一种入侵检测设备,所述设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现第一方面任一所述方法的操作。
本申请实施例第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,所述计算机指令被处理器执行时实现第一方面任一所述方法的步骤。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击防御方法的流程示意图;
图2为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图3为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图4为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图5为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图6为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图7为本申请实施例提供的另一种网络攻击防御方法的流程示意图;
图8为本申请实施例提供的一种网络攻击防御装置的结构框图;
图9为本申请实施例提供的一种入侵检测设备的硬件结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
防火墙作为一种访问控制技术,可以严格控制进出网络边界的数据,是网络安全的第一道屏障。然而,防火墙属于被动防御,其无法阻断所有入侵行为,也无法对网络内部发生的行为进行任何操作。作为网络安全的第二道屏障,入侵检测系统(IntrusionDetection Systems,IDS)通过监听的方式实时监控网络中的流量,判断其中是否含有攻击的企图,是一种主动防御方式。IDS不但可以发现外部的攻击,也可以发现内部的恶意行为。因此,IDS是防火墙的必要补充。IDS与防火墙联动可构成更为完整的网络安全解决方案。
目前,IDS和防火墙的联动一般是采用通过专用响应方式,即IDS发现网络中的数据存在攻击企图时,通过一个开放接口实现与防火墙的通信,双方按照固定的协议进行网络安全事件的传输,防火墙生成对应的五元组信息(包括源IP地址,源端口,目的IP地址,目的端口和传输层协议)的动态安全策略,实现对攻击源头的封堵。这样的联动把IDS的实时反应能力与防火墙的静态访问控制能力结合起来,生成一种基于网络活动的动态安全防护策略,达到对网络的安全防护。
在IDS和防火墙的联动阻断机制中,防火墙往往只根据五元组信息进行流量阻断。也即防火墙记录了恶意五元组信息,将与恶意五元组信息对应的流量进行阻断。但在实际环境中,若攻击源在攻击过程中更换了其他IP(Internet Protocol,互联网协议)地址或端口进行攻击,防火墙则难以对该攻击行为进行阻断,导致阻断效果并不理想。
为此,本申请提出了一种网络攻击防御方法,应用于入侵检测设备。其中,入侵检测设备可以是搭载有上述入侵检测系统的电子设备。
入侵检测设备维护有多条攻击规则。示例性地,入侵检测设备可以维护有规则库,规则库中包括多条攻击规则。
在本申请中,每条攻击规则标注有攻击链标签,攻击链标签用于指示该攻击规则所属的攻击链。
如此,本申请提供的一种网络攻击防御方法,包括如图1所示的步骤:
步骤110:对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;
其中,所述第一攻击规则标注有目标攻击链标签;
步骤120:从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
步骤130:将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;
其中,所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
网络中攻击行为并不单一,攻击源可能会对攻击目标发起多次不同的攻击行为。这些攻击行为形成一条攻击链。也即攻击链包括依次发生的攻击行为。又或者说,攻击源通常按照攻击链中的攻击行为,向攻击目标逐一发起攻击。
作为例子,对于木马控制攻击来说,DNS查询、木马上线、开始挖矿、下载恶意组件、矿池响应是一条完整的攻击链。攻击源向攻击目标按照该攻击链逐一发起上述攻击行为,从而对攻击目标进行木马控制攻击。
如此,当入侵检测设备检测到某一攻击行为后,在若干时间内,可能还会检测到该攻击行为所属攻击链中的下一阶段对应的攻击行为。如在上述例子中,当入侵检测设备检测到当前发生了木马上线的攻击行为,那么在若干时间后,可能会继续检测到开始挖矿的攻击行为。
针对网络攻击往往以攻击链形式进行的特点,本申请提出了针对入侵检测设备所维护的多条攻击规则,按照攻击链对攻击规则进行关联。具体地,根据攻击规则所属的攻击链为攻击规则标注上攻击链标签。当然,一条攻击规则可能属于多条攻击链,如此,攻击规则可能会标注有多个攻击链标签。根据攻击规则所标注的攻击链标签,可以在所有的攻击链规则中查找出属于同一攻击链的所有攻击规则。
如此,当入侵检测设备对捕获的网络流量进行入侵检测,确定网络流量命中了多条攻击规则中的第一攻击规则时,可以根据第一攻击规则携带的目标攻击链标签,从多条攻击规则中查找出所有标注有该目标攻击链标签的第二攻击规则。可以理解的是,网络流量所命中的攻击规则为所述第一攻击规则。而第一攻击规则所标注的攻击链标签为所述目标攻击链标签。在所有攻击规则中,除第一攻击规则以外,同样标注有目标攻击链标签的其他攻击规则为所述第二攻击规则。第二攻击规则可以有一条或一条以上。可知,由于第一攻击规则与第二攻击规则均标注有目标攻击链标签,因此第一攻击规则与第二攻击规则属于同一攻击链。
随后,入侵检测设备可以将第一攻击规则与第二攻击规则发送至防火墙,以使防火墙根据防护策略进行攻击防御。其中,防护策略是基于第一攻击规则与第二攻击规则生成的。
示例性地,入侵设备可以通过与防火墙之间的接口,按照固定的协议进行第一攻击规则与第二攻击规则的传输。
可选地,入侵检测设备可以根据第一攻击规则与第二攻击规则生成防护策略,并将防护策略发送至防火墙,以使防火墙根据防护策略进行攻击防御。如此,第一攻击规则与第二攻击规则携带在防护策略中发送至防火墙。
可选地,入侵设备可以直接将第一攻击规则与第二攻击规则发送至防火墙,随后防火墙可以基于第一攻击规则与第二攻击规则生成防护策略,并利用防护策略进行攻击防御。
本申请提供的一种网络攻击防御方法,由于防护策略是根据第一攻击规则与第二攻击规则生成的,因此防火墙可以根据防护策略中所有攻击规则,预判后续可能发生的攻击行为。如此,就算攻击源在后续的攻击过程中更换了IP地址与端口信息,只要存在目标流量命中了防护策略中的攻击规则,也即命中了第一攻击规则或第二攻击规则,不管该目标流量是否与防火墙记录的恶意五元组信息对应,防火墙也将目标流量阻断。如此,防火墙不再是只根据五元组信息进行流量的拦截,还可以根据攻击链关联的攻击规则对后续攻击行为进行预防御,从而提高了防火墙的防御效果。
关于入侵检测设备的部署方式,在一些实施例中,入侵检测设备串联部署在网络中。也即入侵检测设备部署在网络流量的传输链路中,网络流量发送至目标网络设备的过程中流经入侵检测设备。
在另一些实施例中,入侵检测设备旁路部署在网络中。也即入侵检测设备并未部署在网络流量的传输链路中,而是通过交换机上配置镜像方式捕获网络流量的镜像流量。
可以理解的是,若捕获的网络流量并未命中入侵检测设备所维护的攻击规则,则可以确定该网络流量为安全流量,允许该网络流量传输至下一网络节点。
若捕获的网络流量命中第一攻击规则,说明该网络流量可能是存在攻击行为的可疑流量。该网络流量可能在攻击源与攻击目标之间传输。为了阻断攻击源与攻击目标之间的流量传输,在一些实施例中,上述方法还包括步骤:获取所述网络流量的五元组信息,将所述五元组信息发送至所述防火墙。其中,所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述五元组信息生成。
示例性地,网络流量的五元组信息可以连同上述第一攻击规则与第二攻击规则一同发送至防火墙。
例如,可以基于第一攻击规则、第二攻击规则与五元组信息生成防护策略,并将防护策略发送至防火墙。
又例如,可以将第一攻击规则、第二攻击规则与五元组信息发送至防火墙,随后防火墙基于第一攻击规则、第二攻击规则与五元组信息生成防护策略。
如此,当防火墙检测到与防护策略匹配的目标流量,也即检测到命中防护策略中第一攻击规则、第二攻击规则、五元组信息中任意一种的目标流量,则拦截该目标流量,从而达到网络安全防护的效果。
在本实施例中,通过将命中第一攻击规的网络流量的五元组信息加入防护策略,可以将后续来自与该网络流量同一IP地址、端口信息的其他网络流量拦截,从而阻断攻击源对攻击目标的攻击行为。
关于入侵检测,网络流量表现出若干种流量特征,利用网络流量所表现的流量特征可以确定该网络流量对应的攻击行为。如此,上述步骤110可以包括如图2所示的步骤:
步骤111:解析所述网络流量的流量特征;
步骤112:将所述流量特征与多条所述攻击规则进行规则匹配,根据命中的所述第一攻击规则确定所述网络流量的攻击行为。
示例性地,入侵检测设备在捕获网络流量后,首先在连接表上建立连接,并解析网络流量中的应用层流量。随后通过采用深度攻击识别技术,精确地检测网络中的入侵行为,将解析出来的流量特征和多条攻击规则进行规则匹配。并根据所命中的第一攻击规则来获取真实的攻击行为。作为例子,攻击行为可以包括但不限于暴力破解、SQL(StructuredQuery Language,结构化查询语言)注入、挖矿攻击等。
在本实施例中,利用网络流量的流量特征进行入侵检测,根据命中的第一攻击规则可以确定出该网络流量具体的攻击行为,从而完成入侵行为的检测,以及可以为后续的防护策略提供参考作用。
关于攻击链标签,在一些实施例中,攻击链的生成过程包括如图3所示的步骤:
步骤310:从多条所述攻击规则中确定属于同一攻击链的所有目标攻击规则;
步骤320:对所有所述目标攻击规则的规则编号进行哈希运算,得到哈希值;
步骤330:将所述哈希值作为所述攻击链标签标注在所有所述目标攻击规则。
首先,参考历史攻击经验从所有攻击规则中筛选出属于同一攻击链的所有目标攻击规则。
可选地,可以人为筛选出目标攻击规则;可选地,可以通过深度学习等技术自动筛选出目标攻击规则。
每一条攻击规则都有相应的规则编号,规则编号可以唯一标识该攻击规则。对所有目标攻击规则的规则编号进行哈希运算,可以得到哈希值。
示例性地,可以将属于同一攻击链的所有目标攻击规则的规则编号按照预设的顺序进行组合,并对该组合进行哈希运算,得到的哈希值作为该攻击链对应的攻击链标签。
示例性地,攻击链标签可以预先生成,并赋值给每一条目标攻击规则。如此,当确定网络流量命中第一攻击规则后,可以直接根据第一攻击规则标注的攻击链标签查找到第二攻击规则。
可选地,一个攻击规则属于一条攻击链,如此,该攻击规则标注有一个攻击链标签。
可选地,一个攻击规则同时属于多条攻击链,如此,该攻击规则标注有多个攻击链标签。
若第一攻击规则标注有多个攻击链标签,则将多个攻击链标签对应的所有第二攻击规则发送至防火墙。
在本实施例中,利用属于同一攻击链的所有目标攻击规则的规则编号进行哈希运算,得到的哈希值作为攻击链标签。通过攻击链标签对所有攻击规则按照攻击链手段的关联效果进行分组。实现了后续攻击行为的预防御。
在一些场景中,网络设备可能因为某些原因请求访问恶意网站。例如,恶意网站伪装为其他网站诱导用户访问。此时,网络设备会向DNS(Domain Name System,域名系统)服务器请求解析该恶意网站的域名,得到该恶意网站的IP地址。在这样的情况下,入侵检测设备捕获的网络流量是网络设备向DNS服务器发送的第一解析请求。第一解析请求携带待解析的可疑域名。第一解析请求用于请求DNS服务器解析携带的待解析的可疑域名。网络流量,也即第一解析请求命中的是第一攻击规则为DNS查询规则。响应于第一解析请求,DNS服务器会对第一解析请求携带的待解析的可疑域名进行解析,得到可疑域名对应的可疑IP地址。随后,DNS服务器会向网络设备返回第一响应流量。其中,第一响应流量携带可疑五元组信息。作为例子,可疑五元组信息中至少包括上述可疑IP地址。
如此,在实施例中,上述方法还包括如图4所示的步骤:
步骤411:响应于捕获到所述DNS服务器基于所述第一解析请求返回的第一响应流量,获取所述第一响应流量中携带的可疑五元组信息;
其中,所述可疑五元组信息为所述DNS服务器解析所述可疑域名后得到的;
步骤412:将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
入侵检测设备捕获DNS服务器返回的第一响应流量并获取携带其中的可疑五元组信息,例如可疑IP地址。随后将可疑五元组信息发送至防火墙。
示例性地,可疑五元组信息可以连同上述第一攻击规则与第二攻击规则一同发送至防火墙。
例如,可以基于第一攻击规则、第二攻击规则与可疑五元组信息生成防护策略,并将防护策略发送至防火墙。
又例如,可以将第一攻击规则、第二攻击规则与可疑五元组信息发送至防火墙,随后防火墙基于第一攻击规则、第二攻击规则与可疑五元组信息生成防护策略。
如此,当防火墙检测到与防护策略匹配的目标流量,也即检测到命中防护策略中第一攻击规则、第二攻击规则、可疑五元组信息中任意一种的目标流量,则拦截该目标流量,从而达到网络安全防护的效果。
在本实施例中,通过将DNS服务器解析得到的可疑五元组信息加入防护策略,可以将后续与该可疑五元组信息对应的目标流量进行拦截。进一步提高了网络安全防护效果。
进一步地,在一些实施例中,上述方法还包括如图5所示的步骤:
步骤421:响应于所述第一响应流量捕获失败,从所述第一解析请求中获取所述可疑域名,并向所述DNS服务器发送携带所述可疑域名的第二解析请求;
步骤422:接收所述DNS服务器基于所述第二解析请求返回的第二响应流量;
步骤423:获取所述第二响应流量中携带的所述可疑五元组信息,并将所述可疑五元组信息发送至所述防火墙;
其中,所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
可选地,在执行步骤421-步骤423前,入侵检测设备可以先检查本机是否已联网。在入侵检测设备联网的条件下执行上述步骤421-步骤423。
如上所述,入侵检测设备可以串联部署在网络中,也可以旁路部署在网络中。当入侵检测设备旁路部署在网络中时,可能会对网络流量捕获失败。如此,在一些情况中,若入侵检测设备对DNS服务器返回的第一响应流量捕获失败,也即无法从第一响应流量中获取可疑五元组信息,则入侵检测设备作为靶机,主动连接可疑域名对应的攻击源,通过执行上述步骤421-步骤423自行尝试获取可疑五元组信息。
具体地,从网络设备向DNS服务器发送的第一解析请求中获取可疑域名,然后向DNS服务器发送携带可疑域名的第二解析请求。
响应与第二解析请求,DNS服务器会对第二解析请求携带的待解析的可疑域名进行解析,得到可疑域名对应的可疑IP地址。随后,DNS服务器会向入侵检测设备返回第二响应流量。其中,第二响应流量携带可疑五元组信息。作为例子,可疑五元组信息中至少包括上述可疑IP地址。
如此,入侵检测设备可以从第二响应流量中获取可疑五元组信息,并将该可疑五元组信息发送至防火墙。
可以理解的是,第一解析请求由网络设备向DNS服务器发送,因此基于第一解析请求的第一响应流量会反馈至该网络设备。在这过程中,可能会因为入侵检测设备旁路部署等各种原因,导致入侵检测设备对第一响应流量捕获失败。而第二解析请求由入侵检测设备向DNS服务器发送,因此基于第二解析请求的第二响应流量会反馈至入侵检测设备。如此,第二响应流量是DNS服务器直接发送至入侵检测设备的,而非由入侵检测设备从其他传输链路中捕获的。在一般情况下,入侵检测设备可以接收到第二响应流量。或者说,入侵检测设备获取到第二响应流量的概率大于获取第一响应流量的概率。
可见在本实施例中,当第一响应流量捕获失败时,入侵检测设备作为靶机主动向DNS服务器请求解析第一解析请求携带的可疑域名,从而可以从DNS服务器返回的第二响应流量中获取到可疑域名对应的可疑五元组信息。并将可疑五元组信息加入防护策略,可以将后续与该可疑五元组信息对应的目标流量进行拦截。进一步提高了网络安全防护效果。
如上所述,网络攻击往往以攻击链形式进行,攻击源通常按照攻击链中的攻击行为,向攻击目标逐一发起攻击。通常地,攻击源对攻击目标发起的攻击链会在一定时间内完成。因此,防火墙中的防护策略可以设置一定的寿命。
如此,上述步骤130防火墙根据防护策略进行攻击防御,可以包括如图6所示的步骤:
步骤131:设置所述防护策略的老化时间;
步骤132:在达到所述老化时间前,根据所述防护策略进行攻击防御。
可选地,若防护策略由入侵检测设备生成,则防护策略的老化时间可以由入侵检测设备设置。又或者,入侵检测设备将防护策略发送至防火墙后,由防火墙设置防护策略的老化时间。
可选地,若防护策略由防火墙生成,则防护策略的老化时间可以由防火墙设置。
在到达老化时间前,防火墙根据防护策略进行攻击防御。当达到老化时间时,防火墙可以删除该防护策略,以节省存储空间。
老化时间可以由本领域技术人员根据实际需要进行设置。老化时间与攻击链的实施时长相关。不同攻击链的实施时长可能不同。因此针对不同攻击链的防护策略,老化时间可以根据该攻击链的实施时长确定。一般地,作为例子,老化时间可以设置为600秒。
在本实施例中,通过对防护策略设置老化时间,在老化时间内防火墙根据防护策略进行攻击防御,从而实现网络安全防护。在达到老化时间后删除防护策略,从而节省存储空间。
此外,本申请还提供一种网络攻击防御方法,如图7所示,入侵设备首先捕获网络流量,并对网络流量进行攻击规则的匹配(步骤701)。若网络流量未命中攻击规则,则确定该网络流量为安全流量;若网络流量命中第一攻击规则,则确定该网络流量为可疑流量。
在网络流量命中第一攻击规则的情况下,若命中的第一攻击规则为DNS查询规则(步骤702),说明该网络流量为网络设备向DNS服务器发送的第一解析请求。第一解析请求携带可疑域名。此时,入侵检测设备可以捕获DNS服务器基于第一解析请求向网络设备返回的第一响应流量(步骤703)。第一响应流量携带与可疑域名对应的可疑五元组信息,例如可疑IP地址。
若第一响应流量捕获成功,则入侵检测设备可以从第一响应流量中获取可疑IP地址、可疑域名等目标信息(步骤704)。若第一响应流量捕获失败,则入侵检测设备检查本机是否联网(步骤705)。
若入侵检测设备已联网,则入侵检测设备作为靶机主动连接攻击源(步骤706)。具体地,可以从第一解析请求中获取可疑域名,并向DNS服务器发送第二解析请求,第二解析请求携带从第一解析请求中获取的可疑域名。随后接收DNS服务器基于第二解析请求向入侵检测设备返回的第二响应流量。并从第二响应流量中获取可疑IP地址、端口等目标信息(步骤707)。
随后,根据第一攻击规则携带的目标攻击链标签,查找同样携带目标攻击链标签的第二攻击规则(步骤708)。并将目标信息、第一攻击规则与第二攻击规则发送至防火墙(步骤709)。防火墙根据由目标信息、第一攻击规则与第二攻击规则确定的防护策略实现防御(步骤710)。
其中,若入侵检测设备未联网,或者命中的第一攻击规则不是DNS查询规则,则直接根据目标攻击链标签查找第二攻击规则。并将第一攻击规则与第二攻击规则发送至防火墙,而防护策略是根据第一攻击规则与第二攻击规则生成的。
此外,从第一响应流量获取目标信息的操作与查找第二攻击规则的操作可以由不同的线程执行;入侵设备作为靶机主动连接攻击源的操作与查找第二攻击规则的操作可以由不同的线程执行,以提高执行效率。
继续以上文所述的木马控制攻击作为例子,DNS查询、木马上线、开始挖矿、下载恶意组件、矿池响应是一条完整的攻击链。当入侵检测设备检测到木马域名攻击之后,会记录可疑域名,抓取DNS服务器返回的响应包,并获取响应包中的可疑IP地址等信息。若入侵检测设备没有抓取到该响应包,则联网的入侵检测设备的管理口会主动连接该可疑域名,并在DNS服务器返回给入侵检测设备的响应包里面获取到可疑IP地址。在这个过程中命中的规则为DNS查询。根据DNS查询规则标注的攻击链标签在规则库中进行查询,获取到有相同攻击链标签的规则包括木马上线规则、开始挖矿规则、下载恶意组件规则、矿池响应规则。最后将这些关联的规则和获取到的可疑IP地址、可疑域名、协议等一并送到防火墙端,在防火墙上建立动态的防护策略以进行封堵。
基于上述任一实施例提供的一种网络攻击防御方法,本申请还提供了一种网络攻击防御装置,应用于入侵检测设备。入侵检测设备维护有多条攻击规则,每条攻击规则标注有攻击链标签,攻击链标签用于指示攻击规则所属的攻击链。如图8所示,网络攻击防御装置800包括:
检测模块810,用于对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;所述第一攻击规则标注有目标攻击链标签;
查询模块820,用于从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
发送模块830,用于将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
在一些实施例中,所述网络流量为向域名系统DNS服务器发送的第一解析请求,所述第一解析请求携带待解析的可疑域名;所述网络流量命中的所述第一攻击规则为DNS查询规则;所述装置800还包括:
获取模块,用于响应于捕获到所述DNS服务器基于所述第一解析请求返回的第一响应流量,获取所述第一响应流量中携带的可疑五元组信息;其中,所述可疑五元组信息为所述DNS服务器解析所述可疑域名后得到的;
发送模块830,还用于将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
在一些实施例中,获取模块,还用于响应于所述第一响应流量捕获失败,从所述第一解析请求中获取所述可疑域名,并向所述DNS服务器发送携带所述可疑域名的第二解析请求;
装置800还包括:
接收模块,用于接收所述DNS服务器基于所述第二解析请求返回的第二响应流量;
发送模块830,还用于获取所述第二响应流量中携带的所述可疑五元组信息,并将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
在一些实施例中,获取模块还用于:获取所述网络流量的五元组信息,将所述五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述五元组信息生成。
在一些实施例中,所述攻击链标签通过以下步骤生成:
从多条所述攻击规则中确定属于同一攻击链的所有目标攻击规则;
对所有所述目标攻击规则的规则编号进行哈希运算,得到哈希值;
将所述哈希值作为所述攻击链标签标注在所有所述目标攻击规则。
在一些实施例中,所述防火墙根据防护策略进行攻击防御,包括:
设置所述防护策略的老化时间;
在达到所述老化时间前,根据所述防护策略进行攻击防御。
在一些实施例中,检测模块810具体用于:
解析所述网络流量的流量特征;
将所述流量特征与多条所述攻击规则进行规则匹配,根据命中的所述第一攻击规则确定所述网络流量的攻击行为。
在一些实施例中,所述入侵检测设备旁路部署或串连部署在网络中。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
基于上述任意实施例所述的一种网络攻击防御方法,本申请还提供了如图9所示的一种入侵检测设备的结构示意图。如图9,在硬件层面,该入侵检测设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述任意实施例所述的一种网络攻击防御方法。
本申请还提供了一种计算机存储介质,存储介质存储有计算机程序,计算机程序被处理器执行时可用于执行上述任意实施例所述的一种网络攻击防御方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (11)
1.一种网络攻击防御方法,其特征在于,应用于入侵检测设备,所述入侵检测设备维护有多条攻击规则,每条所述攻击规则标注有攻击链标签,所述攻击链标签用于指示所述攻击规则所属的攻击链;所述方法包括:
对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;所述第一攻击规则标注有目标攻击链标签;
从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
2.根据权利要求1所述的方法,其特征在于,所述网络流量为向域名系统DNS服务器发送的第一解析请求,所述第一解析请求携带待解析的可疑域名;所述网络流量命中的所述第一攻击规则为DNS查询规则;所述方法还包括:
响应于捕获到所述DNS服务器基于所述第一解析请求返回的第一响应流量,获取所述第一响应流量中携带的可疑五元组信息;其中,所述可疑五元组信息为所述DNS服务器解析所述可疑域名后得到的;
将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
响应于所述第一响应流量捕获失败,从所述第一解析请求中获取所述可疑域名,并向所述DNS服务器发送携带所述可疑域名的第二解析请求;
接收所述DNS服务器基于所述第二解析请求返回的第二响应流量;
获取所述第二响应流量中携带的所述可疑五元组信息,并将所述可疑五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述可疑五元组信息生成。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述网络流量的五元组信息,将所述五元组信息发送至所述防火墙;所述防护策略基于所述第一攻击规则、所述第二攻击规则与所述五元组信息生成。
5.根据权利要求1所述的方法,其特征在于,所述攻击链标签通过以下步骤生成:
从多条所述攻击规则中确定属于同一攻击链的所有目标攻击规则;
对所有所述目标攻击规则的规则编号进行哈希运算,得到哈希值;
将所述哈希值作为所述攻击链标签标注在所有所述目标攻击规则。
6.根据权利要求1所述的方法,其特征在于,所述防火墙根据防护策略进行攻击防御,包括:
设置所述防护策略的老化时间;
在达到所述老化时间前,根据所述防护策略进行攻击防御。
7.根据权利要求1所述的方法,其特征在于,所述对网络流量进行入侵检测,包括:
解析所述网络流量的流量特征;
将所述流量特征与多条所述攻击规则进行规则匹配,根据命中的所述第一攻击规则确定所述网络流量的攻击行为。
8.根据权利要求1所述的方法,其特征在于,所述入侵检测设备旁路部署或串连部署在网络中。
9.一种网络攻击防御装置,其特征在于,应用于入侵检测设备,所述入侵检测设备维护有多条攻击规则,每条所述攻击规则标注有攻击链标签,所述攻击链标签用于指示所述攻击规则所属的攻击链;所述装置包括:
检测模块,用于对网络流量进行入侵检测,确定所述网络流量命中的第一攻击规则;所述第一攻击规则标注有目标攻击链标签;
查询模块,用于从多条所述攻击规则中查询标注有所述目标攻击链标签的至少一条第二攻击规则;
发送模块,用于将属于同一攻击链的所述第一攻击规则与所述第二攻击规则发送至防火墙,以使所述防火墙根据防护策略进行攻击防御;所述防护策略基于所述第一攻击规则与所述第二攻击规则生成。
10.一种入侵检测设备,其特征在于,所述设备包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器调用所述可执行指令时实现权利要求1-8任一所述方法的操作。
11.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述计算机指令被处理器执行时实现权利要求1-8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310133927.1A CN116074109A (zh) | 2023-02-10 | 2023-02-10 | 一种网络攻击防御方法、装置、入侵检测设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310133927.1A CN116074109A (zh) | 2023-02-10 | 2023-02-10 | 一种网络攻击防御方法、装置、入侵检测设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116074109A true CN116074109A (zh) | 2023-05-05 |
Family
ID=86183585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310133927.1A Pending CN116074109A (zh) | 2023-02-10 | 2023-02-10 | 一种网络攻击防御方法、装置、入侵检测设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116074109A (zh) |
-
2023
- 2023-02-10 CN CN202310133927.1A patent/CN116074109A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| EP3430560B1 (en) | Using private threat intelligence in public cloud | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US9507944B2 (en) | Method for simulation aided security event management | |
| US20190384919A1 (en) | System and method for identifying network security threats and assessing network security | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| US8205258B1 (en) | Methods and apparatus for detecting web threat infection chains | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| Zarras et al. | Automated generation of models for fast and precise detection of HTTP-based malware | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| Ghafir et al. | DNS traffic analysis for malicious domains detection | |
| CN104506525A (zh) | 防止恶意抓取的方法和防护装置 | |
| US20130333034A1 (en) | Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion | |
| Fraunholz et al. | Defending web servers with feints, distraction and obfuscation | |
| CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| Alrwais et al. | Catching predators at watering holes: finding and understanding strategically compromised websites | |
| KR101072981B1 (ko) | 분산 서비스 거부 공격의 방어 시스템 | |
| WO2007096659A1 (en) | Phishing mitigation | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
| US9160765B1 (en) | Method for securing endpoints from onslaught of network attacks | |
| CN116074109A (zh) | 一种网络攻击防御方法、装置、入侵检测设备、存储介质 | |
| Zhang et al. | Error-sensor: mining information from HTTP error traffic for malware intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |