CN116781405A

CN116781405A - 攻击处理方法、装置、设备和介质

Info

Publication number: CN116781405A
Application number: CN202310943130.8A
Authority: CN
Inventors: 卢西
Original assignee: Beijing Knownsec Information Technology Co Ltd
Current assignee: Beijing Knownsec Information Technology Co Ltd
Priority date: 2023-07-28
Filing date: 2023-07-28
Publication date: 2023-09-19

Abstract

本发明的实施例提供了一种攻击处理方法、装置、设备和介质，涉及网络安全技术领域，方法应用于电子设备，包括：获取各CDN节点的攻击数据，汇总得到攻击流量，对攻击流量进行处理，得到以IP为单位的攻击链，并针对每个IP，基于IP的攻击链确定IP是否符合预设攻击行为，若是，将IP确定为目标IP。从而实现对攻击行为的准确识别。

Description

攻击处理方法、装置、设备和介质

技术领域

本发明涉及网络安全技术领域，具体而言，涉及一种攻击处理方法、装置、设备和介质。

背景技术

随着网络通信技术的不断发展和普及，现代网络环境变得越来越复杂。在这样的背景下，越来越多的黑客攻击行为也开始出现，各攻击行为中的绝大部分都是通过机器流量进行探测和攻击，这些机器流量可能会伪装成正常的用户流量或者使用各种技术手段进行混淆。目前市面上的安全产品告警报表基本上都是将所有捕获到的攻击告警一同展示，或是按威胁等级(如高中低)排序展示，在云环境下会使得用户疲于告警，从而无法做出正确的决策。

发明内容

本发明的目的之一包括，例如，提供了一种攻击处理方法、装置、设备和介质，以至少部分地提高攻击识别的准确性，提高决策正确性。

本发明的实施例可以这样实现：

第一方面，本发明提供一种攻击处理方法，应用于电子设备，所述方法包括：

获取各CDN节点的攻击数据，汇总得到攻击流量；

对所述攻击流量进行处理，得到以IP为单位的攻击链，所述攻击链中包括相应IP的攻击流量的上下文；

针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为，若是，将所述IP确定为目标IP。

在可选的实施方式中，所述获取各CDN节点的攻击数据，汇总得到攻击流量，包括：

获取各CDN节点通过消息队列技术传递而来的攻击数据；

将各所述攻击数据汇总得到攻击流量。

在可选的实施方式中，所述攻击数据包括发起攻击的IP和攻击的时间；所述对所述攻击流量进行处理，得到以IP为单位的攻击链，包括：

针对每个所述IP，获取与所述IP对应的所有攻击数据；

按照攻击的时间，对所述IP对应的各攻击数据进行排序，得到所述IP的攻击链，所述攻击链中包括基于攻击的时间排序得到的所述IP的攻击流量的上下文。

在可选的实施方式中，所述预设攻击行为包括从访问到攻击过程中，多个阶段分别对应的与攻击相关行为；

所述针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为包括：

针对每个所述IP，基于所述IP的攻击链确定出所涉及的阶段，以及每个阶段中与所述攻击相关行为匹配的目标行为数据；

基于所述IP在各阶段的所述目标行为数据，确定所述IP是否符合预设攻击行为。

在可选的实施方式中，多个所述阶段包括正常访问阶段、侦察探测阶段、实施入侵阶段和控制阶段；

多个所述阶段分别对应的与攻击相关行为包括：

正常访问阶段，访问过网站首页、加载过JavaScript文件、加载过图片、加载过视频、加载过CSS文件、加载过/favicon.ico、页面之间请求间隔大于设定时长；

侦察探测阶段，扫描过网站后台、扫描过敏感文件、用已知的Web漏洞做扫描；

实施入侵阶段，对所述侦察探测阶段中的某个行为进行反复尝试；

控制阶段，上传了文件、登录过系统、修改过密码、增加过账号、和后门做了通信。

在可选的实施方式中，所述基于所述IP在各阶段的所述目标行为数据，确定所述IP是否符合预设攻击行为，包括：

确定所述IP在每个阶段的所述目标行为数据在相应阶段的总行为中的占比；

基于所述IP的攻击链所涉及的阶段，以及所述占比，确定所述IP是否符合预设攻击行为。

在可选的实施方式中，所述方法还包括：

基于实时获取到的攻击流量，针对每个所述IP，实时确定是否符合预设攻击行为；

在确定符合所述预设攻击行为的情况下，将所述IP确定为目标IP，对所述目标IP进行预警处理；

所述预警处理包括优先展示、封禁。

第二方面，本发明实施例提供一种攻击处理装置，应用于电子设备，所述攻击处理装置包括：

信息获得模块，用于获取各CDN节点的攻击数据，汇总得到攻击流量；

信息处理模块，用于对所述攻击流量进行处理，得到以IP为单位的攻击链，所述攻击链中包括相应IP的攻击流量的上下文；针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为，若是，将所述IP确定为目标IP。

第三方面，本发明提供一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现前述实施方式任一项所述的攻击处理方法。

第四方面，本发明提供一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在电子设备执行前述实施方式任一项所述的攻击处理方法。

本发明实施例的有益效果包括，例如：通过汇集各CDN节点的攻击流量，并还原出每个IP的攻击流量的上下文，进而综合确定IP是否为符合预设攻击行为的目标IP，从而能够基于攻击链更为准确地识别出目标IP，便于用户更为正确地针对目标IP做出决策。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明实施例提供的一种应用场景示意图。

图2示出了本发明实施例提供的一种攻击处理方法的流程示意图。

图3示出了本发明实施例提供的一种攻击处理方法的另一流程示意图。

图4示出了本发明实施例提供的一种攻击处理装置的示例性结构框图。

图标：100-电子设备；110-存储器；120-处理器；130-通信模块；140-攻击处理装置；141-信息获得模块；142-信息处理模块。

具体实施方式

现今，将所有捕获到的攻击告警一同展示，或是按威胁等级排序展示的攻击处理方案，往往攻击告警较多，在云环境下会使得用户疲于告警，从而无法做出正确的决策。例如，在云端环境下，因为客户端的请求是分布在不同节点上的，这样每个云端的节点都不一定能获取完整的攻击上下文，最后导致用户每日面临大量的安全告警，无法区分出真正有威胁的IP，疲于应对安全告警，根本无法感知到是否真的面临来自真正黑客所带来的威胁。

因此，如何快速准确地识别真实的黑客攻击行为，已经成为当前网络安全领域急需解决的问题之一。

基于上述研究，本发明实施例提供一种攻击处理方案，通过汇总各CDN节点的攻击数据得到攻击流量，并以IP为单位确定出每个IP的攻击链，基于攻击链综合确定目标IP，从而更为准确地识别出目标IP，以便更为正确地针对目标IP做出决策。

针对以上方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案，都应该是发明人在发明过程中做出的贡献。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

需要说明的是，在不冲突的情况下，本发明的实施例中的特征可以相互结合。

请参照图1，是本实施例提供的一种电子设备100的方框示意图，本实施例中的电子设备100可以为能够进行数据交互、处理的服务器、处理设备、处理平台等。例如，可以为独立于各CDN节点、能够与各CDN节点通信的服务器，也可以为各CDN节点中的一个。所述电子设备100包括存储器110、处理器120及通信模块130。所述存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。

其中，存储器110用于存储程序或者数据。所述存储器110可以是，但不限于，随机存取存储器(Random Access Memory，RAM)，只读存储器(Read Only Memory，ROM)，可编程只读存储器(Programmable Read-Only Memory，PROM)，可擦除只读存储器(ErasableProgrammable Read-Only Memory，EPROM)，电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory，EEPROM)等。

处理器120用于读/写存储器110中存储的数据或程序，并执行相应地功能。

通信模块130用于通过所述网络建立所述电子设备100与其它通信终端之间的通信连接，并用于通过所述网络收发数据。

应当理解的是，图1所示的结构仅为电子设备100的结构示意图，所述电子设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

请结合参阅图2，为本发明实施例提供的一种攻击处理方法的流程示意图，可以由图1所述电子设备100执行，例如可以由电子设备100中的处理器120执行。该攻击处理方法包括S110、S120和S130。

S110，获取各CDN节点的攻击数据，汇总得到攻击流量。

S120，对所述攻击流量进行处理，得到以IP为单位的攻击链。

攻击链中包括相应IP的攻击流量的上下文。

S130，针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为，若是，将所述IP确定为目标IP。

其中，CDN全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。攻击链用于描述黑客攻击的各个阶段。

通过汇集攻击流量，还原出每个IP的攻击流量的上下文，综合确定IP是否为目标IP，从而能够基于攻击链更为准确地识别出目标IP，便于用户更为正确地做出决策。

S110中，各CDN节点可以分布在各个地理位置，CDN节点具备WAF(Web ApplicationFirewall，网站应用级入侵防御系统)拦截能力，并可以捕获网络流量数据。

CDN节点由于分布式的特性，可能会导致一个客户端的网络请求被分散到多个CDN节点，该种情况下，对于每个CDN节点而言都只能得到局部数据，且缺少全局的上下文信息。因而，通过获取各CDN节点的攻击数据，以汇聚所有CDN节点捕获到的攻击流量，以便于后续能够根据全局数据，分析出完整的上下文信息。

为了确保攻击数据获取的可靠性和稳定，各CDN节点可以通过消息队列技术，将攻击数据传递到电子设备中做汇总。相应地，电子设备可以获取各CDN节点通过消息队列技术传递而来的攻击数据，将各所述攻击数据汇总得到攻击流量。

本实施例中，攻击数据可以包括多种内容，例如，攻击数据可以包括发起攻击的IP和攻击的时间。相应地，S120中，对所述攻击流量进行处理，得到以IP为单位的攻击链可以通过以下方式实现：针对每个所述IP，获取与所述IP对应的所有攻击数据。按照攻击的时间，对所述IP对应的各攻击数据进行排序，得到所述IP的攻击链，所述攻击链中包括基于攻击的时间排序得到的所述IP的攻击流量的上下文。

又例如，攻击数据可以包括发起攻击的IP、时间、攻击的域名、攻击的URL(UniformResource Locator，统一资源定位系统)、攻击类型等。基于攻击数据的定义，可以根据攻击链得到较为完整的攻击相关情况。

本实施例中，攻击链可以有多种存在形式，例如，可以为数据表、数据库、键值对等。示例性地，针对汇总的攻击流量，可以以IP为单位进行拆分和聚合，如将来自同一IP的攻击数据汇集在一起，将来自不同IP的攻击数据进行拆分，从而得到大概的数据结构可以为每个IP作为一个键，值为一个列表，列表中每个元素为一条攻击告警向量，包含了时间等信息。

如下所示：

{

“IP 1”:[(时间,攻击的域名,攻击的URL,攻击类型),(时间,攻击的域名,攻击的URL,攻击类型),...],

“IP 2”:...,

“IP 3”:...,

...

}

进而按照攻击的时间，对每个IP的请求向量(攻击告警向量)做排序，如以时间递增排序，使得每个IP的攻击流量都有完整的上下文。基于IP的攻击流量的上下文，与预设攻击行为进行整体比对，综合确定出符合预设攻击行为的目标IP。

其中，预设攻击行为可以灵活选择，只要能够准确识别出来自真实黑客的攻击便可。例如，预设攻击行为可以为通过大数据收集得到的、真实黑客进行攻击的系列行为。又例如，预设攻击行为可以为通过模型训练得到的、真实黑客进行攻击的系列行为。

示例性地，可以基于多年的云攻防经验，得到真实黑客从访问到攻击过程中通常会涉及的多个阶段，将各阶段分别对应的与攻击相关行为作为预设攻击行为。相应地，S130中针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为可以包括：针对每个所述IP，基于所述IP的攻击链确定出所涉及的阶段，以及每个阶段中与所述攻击相关行为匹配的目标行为数据。基于所述IP在各阶段的所述目标行为数据，确定所述IP是否符合预设攻击行为。

本实施例中，可以将真实黑客对使用了CDN云防御的系统发起攻击过程中，CDN节点能捕获到的行为划分为以下几个阶段：

正常访问阶段，真实黑客一般不会一开始就直接攻击一个目标，或多或少都会有正常访问的行为，如先正常浏览目标网站。

侦察探测阶段，在正常访问阶段对目标系统有了大致印象之后，黑客才会开始做出相应的探测行为，例如扫描端口、扫描网站关键路径等行为。

实施入侵阶段，根据探测的结果，选择相应的攻击工具以及漏洞利用程序。

控制阶段，指成功入侵了目标系统后进一步控制目标系统的主机，如上传后门程序、增加管理员账号。

根据划分为的多个阶段：正常访问阶段、侦察探测阶段、实施入侵阶段和控制阶段，每个阶段分别对应的与攻击相关行为可以如下。

正常访问阶段：访问过网站首页、加载过JavaScript文件、加载过图片、加载过视频、加载过CSS文件、加载过/favicon.ico、页面之间请求间隔大于设定时长如10秒。

侦察探测阶段：扫描过网站后台、扫描过敏感文件、用已知的Web漏洞做扫描。

实施入侵阶段：对侦察探测阶段中的某个行为进行反复尝试，说明可能已经发现到了漏洞，黑客正在做确认。

控制阶段：上传了文件、登录过系统、修改过密码、增加过账号、和后门做了通信。

基于上述阶段划分及针对每个阶段分别进行的与攻击相关行为配置，基于所述IP在各阶段的所述目标行为数据，确定所述IP是否符合预设攻击行为可以通过以下步骤实现：确定所述IP在每个阶段的所述目标行为数据在相应阶段的总行为中的占比，基于所述IP的攻击链所涉及的阶段，以及所述占比，确定所述IP是否符合预设攻击行为。

示例性地，可以针对每个IP，统计其攻击链所涉及的阶段，以及每个阶段会命中与攻击相关行为的条数，得出每个阶段与攻击相关行为的占比，最后根据总体情况确定是否符合真实黑客行为。

例如，将每个阶段的与攻击相关行为作为待判定规则的情况下，若正常访问阶段有7条关键规则、侦察探测阶段有5条关键规则、实施入侵阶段有10条关键规则、控制阶段有5条关键规则。若某IP为1.2.3.4，该IP命中情况如下：正常访问阶段4/7、侦察探测阶段3/5、实施入侵阶段5/10、控制阶段0/5。

由此可以分析得出，由于未攻击成功，所以控制阶段没有命中的规则，但仍然命中了前三个阶段，且每个阶段命中的占比超过了50％，可以认定该IP符合真实黑客(真人)攻击行为。

以上示例仅为举例说明，可以理解的是，根据不同场景、不同需求，还可以采用其他阶段划分方式，如可以进行更为细化的阶段划分，通过数据收集、分析，可以适应性调整每个阶段所对应的与攻击相关行为，判断为真实黑客攻击行为的规则可以灵活调整，如所涉及的阶段、占比等可以适应性调整，本实施例对此不做限制。

为了提高攻击处理的及时性，S110中，可以实时获取各CDN节点的攻击数据，以实时汇总得到攻击流量，基于实时获取到的攻击流量，从而可以实时确定每个IP是否符合预设攻击行为。在确定符合所述预设攻击行为的情况下，将所述IP确定为目标IP，对所述目标IP进行预警处理，例如，将目标IP进行优先展示、封禁等。

请结合参阅图3，提供了一种可选实现架构，如图3所示，电子设备包括数据汇集模块、上下文分析整理模块和真黑客识别模型。其中，数据汇集模块用于执行上述S110，上下文分析整理模块用于执行上述S120，真黑客识别模型用于执行上述S130。

为了执行上述实施例及各个可能的方式中的相应步骤，下面给出一种攻击处理装置的实现方式。请参阅图4，图4为本发明实施例提供的一种攻击处理装置140的功能模块图，该攻击处理装置140可以应用于图1所示电子设备100。需要说明的是，本实施例所提供的攻击处理装置140，其基本原理及产生的技术效果和上述实施例相同，为简要描述，本实施例部分未提及之处，可参考上述的实施例中相应内容。该攻击处理装置140包括信息获得模块141和信息处理模块142。

其中，信息获得模块141用于获取各CDN节点的攻击数据，汇总得到攻击流量。

信息处理模块142用于对所述攻击流量进行处理，得到以IP为单位的攻击链，所述攻击链中包括相应IP的攻击流量的上下文；针对每个所述IP，基于所述IP的攻击链确定所述IP是否符合预设攻击行为，若是，将所述IP确定为目标IP。

在上述基础上，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在电子设备执行上述的攻击处理方法。

采用本发明实施例中的上述方案，汇聚所有CDN节点的流量，并还原出每个IP的上下文，通过预置的攻击链模型向量，在具备了IP完整上下文的情况下，真黑客识别模型计算出IP行为覆盖了攻击链模型中哪些阶段，如果真黑客识别模型认为IP的覆盖行为符合真实黑客，则判断该IP是真人行为，而不是机器流量，在展示攻击告警时，这类IP的行为将会优先展示，或者是直接封禁，从而有效地辨识出真正的网络攻击威胁(识别出真正的黑客)，做出有效的安全策略。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种攻击处理方法，其特征在于，应用于电子设备，所述方法包括：

获取各CDN节点的攻击数据，汇总得到攻击流量；

2.根据权利要求1所述的攻击处理方法，其特征在于，所述获取各CDN节点的攻击数据，汇总得到攻击流量，包括：

获取各CDN节点通过消息队列技术传递而来的攻击数据；

将各所述攻击数据汇总得到攻击流量。

3.根据权利要求1所述的攻击处理方法，其特征在于，所述攻击数据包括发起攻击的IP和攻击的时间；所述对所述攻击流量进行处理，得到以IP为单位的攻击链，包括：

针对每个所述IP，获取与所述IP对应的所有攻击数据；

4.根据权利要求1所述的攻击处理方法，其特征在于，所述预设攻击行为包括从访问到攻击过程中，多个阶段分别对应的与攻击相关行为；

5.根据权利要求4所述的攻击处理方法，其特征在于，多个所述阶段包括正常访问阶段、侦察探测阶段、实施入侵阶段和控制阶段；

多个所述阶段分别对应的与攻击相关行为包括：

6.根据权利要求4或5所述的攻击处理方法，其特征在于，所述基于所述IP在各阶段的所述目标行为数据，确定所述IP是否符合预设攻击行为，包括：

7.根据权利要求6所述的攻击处理方法，其特征在于，所述方法还包括：

所述预警处理包括优先展示、封禁。

8.一种攻击处理装置，其特征在于，应用于电子设备，所述攻击处理装置包括：

9.一种电子设备，其特征在于，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现权利要求1至7任一项所述的攻击处理方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括计算机程序，所述计算机程序运行时控制所述计算机可读存储介质所在电子设备执行权利要求1至7任一项所述的攻击处理方法。