CN116668177A - 网络攻击端的识别方法、装置、处理器以及电子设备 - Google Patents

网络攻击端的识别方法、装置、处理器以及电子设备 Download PDF

Info

Publication number
CN116668177A
CN116668177A CN202310805379.2A CN202310805379A CN116668177A CN 116668177 A CN116668177 A CN 116668177A CN 202310805379 A CN202310805379 A CN 202310805379A CN 116668177 A CN116668177 A CN 116668177A
Authority
CN
China
Prior art keywords
application program
program interface
network system
network
bait
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310805379.2A
Other languages
English (en)
Inventor
何帅
张金涛
李宗霖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310805379.2A priority Critical patent/CN116668177A/zh
Publication of CN116668177A publication Critical patent/CN116668177A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络攻击端的识别方法、装置、处理器以及电子设备。涉及信息安全领域,该方法包括:根据网络系统的应用程序接口确定应用程序接口投放点;在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端。通过本申请,解决了相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题。

Description

网络攻击端的识别方法、装置、处理器以及电子设备
技术领域
本申请涉及信息安全领域,具体而言,涉及一种网络攻击端的识别方法、装置、处理器以及电子设备。
背景技术
API(Application Programming Interface,应用程序编程接口)作为连接服务和传输数据的核心通道,由于当前各行业的数字化转型进程加速,其需求也在迅速增长。但是应用程序编程接口在带来巨大便利的同时也带来了新的安全问题。由于许多应用程序编程接口直接连接到存储敏感数据的后端数据库,因此,网络攻击者越来越多地将应用程序编程接口作为进入底层基础设施的途径,通过攻击应用程序编程接口来窃取相关敏感信息。
目前,针对应用程序编程接口的安全策略是通过对应用程序编程接口的调用数据进行分析,但由于应用程序编程接口具有多样性、复杂性的特征,因此,传统技术无法充分应对业务安全需要,还会影响应用程序编程接口的性能,对应用程序编程接口攻击的识别准确率低,无法有效区分正常用户和网络攻击者。
针对相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种网络攻击端的识别方法、装置、处理器以及电子设备,以解决相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种网络攻击端的识别方法。该方法包括:根据网络系统的应用程序接口确定应用程序接口投放点;在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端。
可选地,在应用程序接口投放点中设置诱饵应用程序接口包括:获取应用程序接口的类型,并根据应用程序接口的类型确定诱饵应用程序接口的类型,其中,应用程序接口的类型至少包括以下之一:控件、代码、系统文件、文档;根据诱饵应用程序接口的类型在应用程序接口投放点中设置诱饵应用程序接口。
可选地,根据诱饵应用程序接口的类型在应用程序接口投放点中设置诱饵应用程序接口包括:在诱饵应用程序接口的类型为控件的情况下,将诱饵应用程序接口插入到网络系统的系统控件中,并隐藏诱饵应用程序接口;在诱饵应用程序接口的类型为代码的情况下,将诱饵应用程序接口编译为代码注释,并将代码注释插入网络系统的代码中;在诱饵应用程序接口的类型为系统文件的情况下,将诱饵应用程序接口编译为系统配置文件,并将系统配置文件存储得到网络系统的配置库中,其中,配置库存储有网络系统的所有系统文件;在诱饵应用程序接口的类型为文档的情况下,在网络系统的文档中新建文本文档,将诱饵应用程序接口写入文本文档中,其中,诱饵应用程序接口所在的文本文档允许访问。
可选地,根据网络系统的应用程序接口确定应用程序接口投放点包括:确定网络系统的M个预设应用程序接口,其中,M为正整数;确定M个预设应用程序接口在网络系统的N个设置位置,其中,N为正整数,M大于等于N,每个设置位置至少设置一个预设应用程序接口;将N个设置位置确定为应用程序接口投放点。
可选地,确定网络系统的M个预设应用程序接口包括:判断网络系统是否关联有风险应用程序接口列表,其中,风险应用程序接口列表由历史网络攻击端对不同网络系统的应用程序接口的访问信息确定,风险应用程序接口列表中的每个风险应用程序接口被历史网络攻击端的次数大于预设次数;在网络系统关联有风险应用程序接口列表的情况下,从风险应用程序接口列表中筛选网络系统包含的应用程序接口,得到M个预设应用程序接口。
可选地,在判断网络系统是否关联有风险应用程序接口列表之后,该方法还包括:在网络系统未关联有风险应用程序接口列表,将网络系统的所有应用程序接口均确定为预设应用程序接口,得到M个预设应用程序接口。
可选地,在将发送端确定为网络系统的网络攻击端之后,该方法还包括:获取网络攻击端的地址信息;将地址信息添加至网络系统的预设访问名单中,其中,预设访问名单中的网络设备不具备访问网络系统的应用程序接口的权限。
为了实现上述目的,根据本申请的另一方面,提供了一种网络攻击端的识别装置。该装置包括:第一确定单元,用于根据网络系统的应用程序接口确定应用程序接口投放点;设置单元,用于在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;识别单元,用于在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种网络攻击端的识别方法。
根据本发明实施例的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种网络攻击端的识别方法。
通过本申请,采用以下步骤:根据网络系统的应用程序接口确定应用程序接口投放点;在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端,解决了相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题,通过利用网络系统中的应用程序接口确定应用程序接口投放点,并在应用程序接口投放点中设置诱饵应用程序接口,使得网络攻击端在访问诱饵应用程序接口时能够快速识别,进而达到了利用应用程序接口有效识别网络攻击端的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的网络攻击端的识别方法的流程图;
图2是根据本申请实施例提供的预设应用程序接口的确定方法的示意图;
图3是根据本申请实施例提供的网络攻击端的识别装置的示意图;
图4是根据本申请实施例提供的电子设备的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
需要说明的是,随着数字化转型进程加速,应用程序接口作为连接服务和传输数据的核心通道,需求快速增长,由于应用程序接口与存储敏感数据的数据库直接连接,网络攻击者可以通过应用程序接口进行底层基础设施,以此获取敏感信息。因此,为了对网络系统进行有效防护,并且准确识别网络攻击端,可以对网络系统中的应用程序接口进行处理,也即对存储在网络系统中的应用程序接口所处的设置位置上安装“诱饵”,利用“诱饵”获取网络攻击者所使用的网络攻击端,进而实现对敏感数据的安全防护。
下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的网络攻击端的识别方法的流程图,如图1所示,该方法包括如下步骤:
步骤S101,根据网络系统的应用程序接口确定应用程序接口投放点。
需要说明的是,应用程序接口,也即API(Application Programming Interface)是指预先定义的接口,在应用程序与开发人员基于某软件或硬件访问一组例程时主要为其提供支持。
首先,获取网络系统中正常的应用程序接口,利用正常的应用程序接口的设置位置确定投放“诱饵”的应用程序接口投放点,其中,应用程序接口投放点是用于设置诱饵应用程序接口的位置,由于网络攻击端对网络系统进行攻击前,需要对网络系统中的相关信息进行采集,而网络系统中的相关信息则设置有应用程序接口,因此,为了能有效识别到网络攻击端发出的访问信息,进而识别到网络攻击端,可以在应用程序接口处设置诱饵应用程序接口。
步骤S102,在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态。
具体的,在确定应用程序接口投放点后,需要根据正常的应用程序接口确定“诱饵”,也即根据正常的应用程序接口的类型确定诱饵应用程序接口,并将诱饵程序接口投放至应用程序接口投放点。
进一步的,在网络攻击端对该网络系统发起访问申请时,会通过网络系统中的各个应用程序接口收集相关信息,此时,由于诱饵应用程序接口设置在网络系统的正常应用程序接口处,在网络攻击端利用扫描工具进行信息收集时,访问申请会连接至诱饵应用程序接口,诱饵应用程序接口会及时捕捉到扫描工具产生的扫描行为,进而识别到网络攻击端的相关信息。
步骤S103,在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端。
具体的,若网络攻击端利用扫描工具向与应用程序接口连接的数据库等诱饵所处的位置进行信息收集,诱饵应用程序接口会接收到网络攻击端的访问申请,也即设置在该应用程序接口处的诱饵应用程序接口会及时捕捉到扫描行为,并且根据来自网络攻击者的访问申请,可以识别到关于网络攻击端的地址信息,进而利用地址信息定位到网络攻击端,从而能够在网络攻击端开始正式的网络攻击操作前,及时根据网络攻击端的地址信息对网络攻击端进行限制权限等操作,可以有效的保护网络系统中的敏感数据。
本申请实施例提供的网络攻击端的识别方法,通过根据网络系统的应用程序接口确定应用程序接口投放点;在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端,解决了相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题,通过利用网络系统中的应用程序接口确定应用程序接口投放点,并在应用程序接口投放点中设置诱饵应用程序接口,使得网络攻击端在访问诱饵应用程序接口时能够快速识别,进而达到了利用应用程序接口有效识别网络攻击端的效果。
诱饵应用程序接口可以根据应用程序接口的类型确定,可选地,在本申请实施例提供的网络攻击端的识别方法中,在应用程序接口投放点中设置诱饵应用程序接口包括:获取应用程序接口的类型,并根据应用程序接口的类型确定诱饵应用程序接口的类型,其中,应用程序接口的类型至少包括以下之一:控件、代码、系统文件、文档;根据诱饵应用程序接口的类型在应用程序接口投放点中设置诱饵应用程序接口。
具体的,在得到应用程序接口投放点后,需要确定诱饵应用程序接口,首先,获取网络系统中应用程序接口的类型,根据应用程序接口的类型确定诱饵应用程序接口的类型,也即设置在不同的应用程序接口的诱饵应用程序接口需要与该应用程序接口的类型保持一致。
例如,若网络系统中的应用程序接口的类型为控件,并且该应用程序接口设置在网络系统的WEB控件列表中,若需要在该应用程序接口的设置位置安装诱饵应用程序接口,则需要将该诱饵应用程序接口的类型设置为控件;若网络系统中的应用程序接口的类型为程序代码,当需要在该应用程序接口的设置位置安装诱饵应用程序接口,则需要将该诱饵应用程序接口的类型设置为程序代码;网络系统中的应用程序接口的类型为资源文件、配置文件或日志文件等系统文件,当需要在该应用程序接口的设置位置安装诱饵应用程序接口,则需要将该诱饵应用程序接口的类型设置为同类型的系统文件;网络系统中的应用程序接口的类型为通用文档,当需要在该应用程序接口的设置位置安装诱饵应用程序接口,则需要将该诱饵应用程序接口的类型设置为相同类型的通用文档。通过本实施例,利用应用程序接口的类型确定诱饵应用程序接口的类型,根据将诱饵应用程序接口设置在对应的位置处,进而能够保证在网络攻击端利用扫描工具进行信息收集时,诱饵应用程序接口可以及时准确的捕捉到关于网络攻击端的相关信息,利用相关信息及时定位到网络攻击端。
诱饵应用程序接口的设置方式包括多种,可选地,在本申请实施例提供的网络攻击端的识别方法中,根据诱饵应用程序接口的类型在应用程序接口投放点中设置诱饵应用程序接口包括:在诱饵应用程序接口的类型为控件的情况下,将诱饵应用程序接口插入到网络系统的系统控件中,并隐藏诱饵应用程序接口;在诱饵应用程序接口的类型为代码的情况下,将诱饵应用程序接口编译为代码注释,并将代码注释插入网络系统的代码中;在诱饵应用程序接口的类型为系统文件的情况下,将诱饵应用程序接口编译为系统配置文件,并将系统配置文件存储得到网络系统的配置库中,其中,配置库存储有网络系统的所有系统文件;在诱饵应用程序接口的类型为文档的情况下,在网络系统的文档中新建文本文档,将诱饵应用程序接口写入文本文档中,其中,诱饵应用程序接口所在的文本文档允许访问。
诱饵应用程序接口的设置需要进行隐藏式投放,例如,若诱饵应用程序接口的类型为控件,需要将控件类型的诱饵应用程序接口插入网络系统的系统控件中,并设置为隐藏模式,例如,当诱饵应用程序接口设置为按钮或文本框时,为了使得诱饵应用程序接口不参与网络系统正常的业务功能,并且保证正常用户在利用网络系统进行正常操作时不会触发到该诱饵应用程序接口,需要将该控件的显示属性设置为隐藏模式。
再例如,若诱饵应用程序接口基于正常应用程序接口的类型设置为代码时,可以将该诱饵应用程序接口编译为代码注释,并且将其插入构建网络系统的代码中,或将诱饵应用程序接口编译为代码中的某一常量或某一函数,将编译后的常量或代码插入js文件等资源文件中。
再例如,若正常应用程序接口的类型为系统文件,则诱饵应用程序接口的类型设置为系统文件,进一步的,诱饵应用程序接口编译为相关类型的系统文件,例如,编译为系统配置文件或日志文件,并将编译后的系统配置文件或日志文件插入网络系统的配置文件以及日志文件中,将其存储至配置库中。
此外,诱饵应用程序接口还可以根据正常的应用程序接口的类型设置为文档,此时需要在网络系统中新建文本文档,将该诱饵应用程序文档写入新建的文档中,并将该文档的显示属性设置为允许访问模式。
本实施例通过将诱饵应用程序接口的设置为隐藏式投放,可以在及时获取利用扫描工具进行信息收集的网络攻击端的同时,不会因为诱饵应用程序接口的设置而影响正常用户对网络系统的正常使用。
应用程序接口投放点可以根据应用程序接口确定,可选地,在本申请实施例提供的网络攻击端的识别方法中,根据网络系统的应用程序接口确定应用程序接口投放点包括:确定网络系统的M个预设应用程序接口,其中,M为正整数;确定M个预设应用程序接口在网络系统的N个设置位置,其中,N为正整数,M大于等于N,每个设置位置至少设置一个预设应用程序接口;将N个设置位置确定为应用程序接口投放点。
具体的,首先获取需要设置网络安全“诱饵”的网络系统中的正常的应用程序接口,进一步获取每一个应用程序接口设置在网络系统中的设置位置,例如,设置位置可以为网络系统的静态页面代码中、动态加载资源文件中、配置文件或日志文件中等。
进一步的,网络系统的每个设置位置可以设置多个预设应用程序接口,例如,若网络系统中存在一个设置位置为配置文件,并且配置文件中设置有两个或两个以上的预设应用程序接口,当需要设置投放诱饵应用程序接口时,可以从这些预设应用程序接口中选择一个设置位置作为投放诱饵应用程序接口的应用程序接口投放点,以此可以实现对网络系统的安全进行防护的同时达到节约人力资源的效果。
进一步的,根据正常的应用程序接口的设置位置确定“诱饵”的应用程序接口投放点,例如,若正常应用程序接口的设置位置为网络系统的静态页面代码,则应用程序接口投放点也可以是网络系统的静态页面代码中,可以为代码中的部分函数或部分变量;若正常应用程序接口的设置位置为动态加载资源文件,则应用程序接口投放点也可以是动态加载资源文件;若正常应用程序接口的设置位置为配置文件或日志文件,则应用程序接口投放点也可以是配置文件或日志文件。此外,应用程序接口投放点还可以为以正文形式投放或以注释形式投放到网络系统代码中的某些位置;也可以是网络系统中的某些已有的文件,还可以作为新建文件。
通过本实施例,利用网络系统中的部分或全部应用程序接口的设置位置确定应用程序接口投放点的位置,由于在网络系统中设置多个应用程序接口投放点,可以在更大范围内检测到网络攻击端发出的攻击现象,进而可以较好的在保障网络系统安全的同时,较大程度上减少收到网络攻击后工作人员的运维时间。
预设应用程序接口是由网络系统是否关联风险应用程序接口列表确定的,图2是根据本申请实施例提供的预设应用程序接口的确定方法的示意图,如图2所示,可选地,在本申请实施例提供的网络攻击端的识别方法中,确定网络系统的M个预设应用程序接口包括:
步骤S201,判断网络系统是否关联有风险应用程序接口列表,其中,风险应用程序接口列表由历史网络攻击端对不同网络系统的应用程序接口的访问信息确定,风险应用程序接口列表中的每个风险应用程序接口被历史网络攻击端的次数大于预设次数;
步骤S202,在网络系统关联有风险应用程序接口列表的情况下,从风险应用程序接口列表中筛选网络系统包含的应用程序接口,得到M个预设应用程序接口。
具体的,在根据网络系统的正常的应用程序接口确定应用程序接口投放点前,需要判断该网络系统是否存在网络攻击的记录,也即判断网络系统是否关联风险应用程序接口列表,其中,风险应用程序接口列表中的应用程序接口均在历史时间周期中被网络攻击的次数大于预设次数,例如,若应用程序接口在上一季度中被网络攻击的次数大于预设次数,也即收到攻击次数大于10次,则表明该应用程序接口属于“敏感接口”,则需要将其作为预设应用程序接口。
若某一网络系统没有关联风险应用程序接口列表,则表明在历史时间周期内没有被网络攻击端进行网络攻击,或者在历史时间周期内被网络攻击端攻击的应用程序接口不固定。
若该网络系统关联有风险应用程序接口列表,则表明该网络系统中存在容易被网络攻击的应用程序接口,进而可以根据这些应用程序接口确定预设应用程序接口。进一步的,根据筛选出的应用程序接口的设置位置以及应用程序接口的类型确定应用程序接口投放点以及诱饵应用程序接口的类型,将诱饵应用程序接口投放至应用程序接口投放点中,完成对网络系统的“诱饵”设置。
通过本实施例,判断网络系统是否关联风险应用程序接口列表,进而得到该网络系统在历史时间周期是否内存在网络攻击事件,在网络系统在历史时间周期内存在网络攻击事件,通过网络攻击事件中攻击的部分应用程序接口确定放置诱饵应用程序接口,以此能够在网络安全工程师设置诱饵应用程序接口时节约大量时间以及人力成本,并提高识别网络攻击端的效率以及准确率。
预设应用程序接口也可以由网络系统中的所有应用程序接口确定,可选地,在本申请实施例提供的网络攻击端的识别方法中,在判断网络系统是否关联有风险应用程序接口列表之后,该方法还包括:在网络系统未关联有风险应用程序接口列表,将网络系统的所有应用程序接口均确定为预设应用程序接口,得到M个预设应用程序接口。
具体的,若在风险应用程序接口列表中未包括该网络系统的相关应用程序接口数据,则表明历史时间周期中在该网络系统内未检测到被网络攻击端访问的相关记录,并且与该网络系统具有相似类型的网络系统中也没有检测到网络攻击的相关信息,或表明在历史时间周期内,对该网络系统以及与该网络系统相似的网络系统的网络攻击事件次数较少。此时可以将该网络系统中的所有正常的应用程序接口确定为预设应用程序接口,并将应用程序接口的设置位置确定为应用程序接口投放点,通过该方式可以较好防止网络攻击端通过某一没有设置诱饵应用程序接口的应用程序接口进行相关敏感信息的收集,并在采集后通过该应用程序接口对网络系统进行网络攻击。
通过本实施例,在根据对网络系统是否关联有风险应用程序接口列表的判断结果确定该网络系统是否存在网络攻击事件,可以在较短时间内确定诱饵应用程序接口,进而能够在最大程度上保障该网络系统的安全,防止该网络系统中的信息被网络攻击者泄露。
在利用诱饵应用程序接口识别到网络攻击端后,可以对其实施相关措施,可选地,在本申请实施例提供的网络攻击端的识别方法中,在将发送端确定为网络系统的网络攻击端之后,该方法还包括:获取网络攻击端的地址信息;将地址信息添加至网络系统的预设访问名单中,其中,预设访问名单中的网络设备不具备访问网络系统的应用程序接口的权限。
具体的,预设访问名单可以为网络系统的黑名单,在检测到网络攻击端的访问申请后,首先获取网络攻击端的地址信息,例如,若网络攻击端为客户端时,可以获取该客户端访问网络系统时使用的地址;若网络攻击端为服务器,则可以获取该服务器的服务器地址。
进一步的,将获取到的网络攻击端的地址信息进行标注,可以有效的预防网络攻击端后续对该网络系统的攻击行为,或者将地址信息添加至该网络系统的黑名单中,禁止该地址对网络系统发起访问。其中,对地址信息的标注可以为将地址信息设置部分访问权限,并对该地址进行监管,例如,禁止该地址访问网络系统的配置文件、但允许该地址在网络系统上进行基础的操作。
通过本实施例,利用诱饵应用程序接口识别网络攻击端,并在识别到网络攻击端后及时采取相关措施,可以在网络攻击端在发起网络攻击操作前能有效发现存在的隐患,进而能够有效提高识别的准确度,最大程度保障了网络系统的安全。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种网络攻击端的识别装置,需要说明的是,本申请实施例的网络攻击端的识别装置可以用于执行本申请实施例所提供的用于网络攻击端的识别方法。以下对本申请实施例提供的网络攻击端的识别装置进行介绍。
图3是根据本申请实施例提供的网络攻击端的识别装置的示意图,如图3所示,该装置包括:第一确定单元30、设置单元31、识别单元32。
第一确定单元30,用于根据网络系统的应用程序接口确定应用程序接口投放点;
设置单元31,用于在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;
识别单元32,用于在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端。
可选地,在本申请实施例提供的网络攻击端的识别装置中,设置单元31包括:获取模块,用于获取应用程序接口的类型,并根据应用程序接口的类型确定诱饵应用程序接口的类型,其中,应用程序接口的类型至少包括以下之一:控件、代码、系统文件、文档;设置模块,用于根据诱饵应用程序接口的类型在应用程序接口投放点中设置诱饵应用程序接口。
可选地,在本申请实施例提供的网络攻击端的识别装置中,设置单元31包括:插入模块,用于在诱饵应用程序接口的类型为控件的情况下,将诱饵应用程序接口插入到网络系统的系统控件中,并隐藏诱饵应用程序接口;第一编译模块,用于在诱饵应用程序接口的类型为代码的情况下,将诱饵应用程序接口编译为代码注释,并将代码注释插入网络系统的代码中;第二编译模块,用于在诱饵应用程序接口的类型为系统文件的情况下,将诱饵应用程序接口编译为系统配置文件,并将系统配置文件存储得到网络系统的配置库中,其中,配置库存储有网络系统的所有系统文件;新建模块,用于在诱饵应用程序接口的类型为文档的情况下,在网络系统的文档中新建文本文档,将诱饵应用程序接口写入文本文档中,其中,诱饵应用程序接口所在的文本文档允许访问。
可选地,在本申请实施例提供的网络攻击端的识别装置中,第一确定单元30包括:第一确定模块,用于确定网络系统的M个预设应用程序接口,其中,M为正整数;第二确定模块,用于确定M个预设应用程序接口在网络系统的N个设置位置,其中,N为正整数,M大于等于N,每个设置位置至少设置一个预设应用程序接口;第三确定模块,用于将N个设置位置确定为应用程序接口投放点。
可选地,在本申请实施例提供的网络攻击端的识别装置中,第一确定单元30包括:判断模块,用于判断网络系统是否关联有风险应用程序接口列表,其中,风险应用程序接口列表由历史网络攻击端对不同网络系统的应用程序接口的访问信息确定,风险应用程序接口列表中的每个风险应用程序接口被历史网络攻击端的次数大于预设次数;筛选模块,用于在网络系统关联有风险应用程序接口列表的情况下,从风险应用程序接口列表中筛选网络系统包含的应用程序接口,得到M个预设应用程序接口。
可选地,在本申请实施例提供的网络攻击端的识别装置中,该装置还包括:第二确定单元,用于在判断网络系统是否关联有风险应用程序接口列表之后,在网络系统未关联有风险应用程序接口列表,将网络系统的所有应用程序接口均确定为预设应用程序接口,得到M个预设应用程序接口。
可选地,在本申请实施例提供的网络攻击端的识别装置中,该装置还包括:获取单元,用于在将发送端确定为网络系统的网络攻击端之后,获取网络攻击端的地址信息;添加单元,用于将地址信息添加至网络系统的预设访问名单中,其中,预设访问名单中的网络设备不具备访问网络系统的应用程序接口的权限。
本申请实施例提供的网络攻击端的识别装置,通过第一确定单元30,用于根据网络系统的应用程序接口确定应用程序接口投放点;设置单元31,用于在应用程序接口投放点中设置诱饵应用程序接口,并检测诱饵应用程序接口是否接收到访问申请,其中,在通过网络系统执行业务操作时,诱饵应用程序接口处于隐藏状态;识别单元32,用于在诱饵应用程序接口接收到访问申请的情况下,识别访问申请的发送端,并将访问申请的发送端确定为网络系统的网络攻击端,解决了相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题,通过利用网络系统中的应用程序接口确定应用程序接口投放点,并在应用程序接口投放点中设置诱饵应用程序接口,使得网络攻击端在访问诱饵应用程序接口时能够快速识别,进而达到了利用应用程序接口有效识别网络攻击端的效果。
所述网络攻击端的识别装置包括处理器和存储器,上述第一确定单元30、设置单元31、识别单元32等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中识别网络攻击端的效率低,容易忽略隐藏的网络攻击端的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述网络攻击端的识别方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述网络攻击端的识别方法。
图4是根据本申请实施例提供的电子设备的示意图,如图4所示,本发明实施例提供了一种电子设备,电子设备40包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种网络攻击端的识别方法。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行一种网络攻击端的识别方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (10)

1.一种网络攻击端的识别方法,其特征在于,包括:
根据网络系统的应用程序接口确定应用程序接口投放点;
在所述应用程序接口投放点中设置诱饵应用程序接口,并检测所述诱饵应用程序接口是否接收到访问申请,其中,在通过所述网络系统执行业务操作时,所述诱饵应用程序接口处于隐藏状态;
在所述诱饵应用程序接口接收到所述访问申请的情况下,识别所述访问申请的发送端,并将所述访问申请的发送端确定为所述网络系统的网络攻击端。
2.根据权利要求1所述的方法,其特征在于,在所述应用程序接口投放点中设置诱饵应用程序接口包括:
获取所述应用程序接口的类型,并根据所述应用程序接口的类型确定所述诱饵应用程序接口的类型,其中,所述应用程序接口的类型至少包括以下之一:控件、代码、系统文件、文档;
根据所述诱饵应用程序接口的类型在所述应用程序接口投放点中设置所述诱饵应用程序接口。
3.根据权利要求2所述的方法,其特征在于,根据所述诱饵应用程序接口的类型在所述应用程序接口投放点中设置所述诱饵应用程序接口包括:
在所述诱饵应用程序接口的类型为所述控件的情况下,将所述诱饵应用程序接口插入到所述网络系统的系统控件中,并隐藏所述诱饵应用程序接口;
在所述诱饵应用程序接口的类型为所述代码的情况下,将所述诱饵应用程序接口编译为代码注释,并将所述代码注释插入所述网络系统的代码中;
在所述诱饵应用程序接口的类型为所述系统文件的情况下,将所述诱饵应用程序接口编译为系统配置文件,并将所述系统配置文件存储得到网络系统的配置库中,其中,所述配置库存储有所述网络系统的所有系统文件;
在所述诱饵应用程序接口的类型为所述文档的情况下,在所述网络系统的文档中新建文本文档,将所述诱饵应用程序接口写入所述文本文档中,其中,所述诱饵应用程序接口所在的文本文档允许访问。
4.根据权利要求1所述的方法,其特征在于,根据网络系统的应用程序接口确定应用程序接口投放点包括:
确定所述网络系统的M个预设应用程序接口,其中,M为正整数;
确定所述M个预设应用程序接口在所述网络系统的N个设置位置,其中,N为正整数,M大于等于N,每个设置位置至少设置一个预设应用程序接口;
将所述N个设置位置确定为所述应用程序接口投放点。
5.根据权利要求4所述的方法,其特征在于,确定所述网络系统的M个预设应用程序接口包括:
判断所述网络系统是否关联有风险应用程序接口列表,其中,所述风险应用程序接口列表由历史网络攻击端对不同网络系统的应用程序接口的访问信息确定,所述风险应用程序接口列表中的每个风险应用程序接口被所述历史网络攻击端的次数大于预设次数;
在所述网络系统关联有所述风险应用程序接口列表的情况下,从所述风险应用程序接口列表中筛选所述网络系统包含的应用程序接口,得到所述M个预设应用程序接口。
6.根据权利要求5所述的方法,其特征在于,在判断所述网络系统是否关联有风险应用程序接口列表之后,所述方法还包括:
在所述网络系统未关联有所述风险应用程序接口列表,将所述网络系统的所有应用程序接口均确定为所述预设应用程序接口,得到所述M个预设应用程序接口。
7.根据权利要求1所述的方法,其特征在于,在将所述发送端确定为所述网络系统的网络攻击端之后,所述方法还包括:
获取所述网络攻击端的地址信息;
将所述地址信息添加至所述网络系统的预设访问名单中,其中,所述预设访问名单中的网络设备不具备访问所述网络系统的应用程序接口的权限。
8.一种网络攻击端的识别装置,其特征在于,包括:
第一确定单元,用于根据网络系统的应用程序接口确定应用程序接口投放点;
设置单元,用于在所述应用程序接口投放点中设置诱饵应用程序接口,并检测所述诱饵应用程序接口是否接收到访问申请,其中,在通过所述网络系统执行业务操作时,所述诱饵应用程序接口处于隐藏状态;
识别单元,用于在所述诱饵应用程序接口接收到所述访问申请的情况下,识别所述访问申请的发送端,并将所述访问申请的发送端确定为所述网络系统的网络攻击端。
9.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至7中任意一项所述的网络攻击端的识别方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的网络攻击端的识别方法。
CN202310805379.2A 2023-06-30 2023-06-30 网络攻击端的识别方法、装置、处理器以及电子设备 Pending CN116668177A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310805379.2A CN116668177A (zh) 2023-06-30 2023-06-30 网络攻击端的识别方法、装置、处理器以及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310805379.2A CN116668177A (zh) 2023-06-30 2023-06-30 网络攻击端的识别方法、装置、处理器以及电子设备

Publications (1)

Publication Number Publication Date
CN116668177A true CN116668177A (zh) 2023-08-29

Family

ID=87713779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310805379.2A Pending CN116668177A (zh) 2023-06-30 2023-06-30 网络攻击端的识别方法、装置、处理器以及电子设备

Country Status (1)

Country Link
CN (1) CN116668177A (zh)

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
CN106487775B (zh) 一种基于云平台的业务数据的处理方法和装置
CN102629310A (zh) 用于保护计算机系统免遭恶意对象活动侵害的系统和方法
CN104392177A (zh) 基于安卓平台的病毒取证系统及其方法
Jeong et al. A kernel-based monitoring approach for analyzing malicious behavior on android
CN109783316B (zh) 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备
Hwang et al. Bittersweet adb: Attacks and defenses
CN105760761A (zh) 软件行为分析方法和装置
CN111259382A (zh) 恶意行为识别方法、装置、系统和存储介质
CN114021115A (zh) 恶意应用程序的检测方法、装置、存储介质及处理器
KR102045772B1 (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
CN107103243B (zh) 漏洞的检测方法及装置
CN114297630A (zh) 恶意数据的检测方法、装置、存储介质及处理器
CN104767876A (zh) 基于软件的安全处理方法和用户终端
CN111241547B (zh) 一种越权漏洞的检测方法、装置及系统
CN116108435A (zh) 移动端安全切面的按需开启方法及装置
CN116668177A (zh) 网络攻击端的识别方法、装置、处理器以及电子设备
CN112434287B (zh) 一种检测Hook的方法、装置、设备及存储介质
KR101735652B1 (ko) 단말 장치 및 이에 의한 사이버 공격 애플리케이션의 탐지 방법
Kim et al. Detecting illegally-copied apps on android devices
CN110851822A (zh) 网络下载安全处理办法和装置
CN107103242B (zh) 数据的获取方法及装置
Teufl et al. Android-On-device detection of SMS catchers and sniffers
CN111027062A (zh) 一种靶场应用失陷状态的评估方法及装置
CN114048476A (zh) 恶意命令的拦截方法、装置、存储介质及处理器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination