2. 专利
    3. 网络攻击行为的处理方法和装置、存储介质及电子设备与流程

    网络攻击行为的处理方法和装置、存储介质及电子设备与流程

    专利查询2024-08-21  28


    1.本发明涉及计算机领域,具体而言,涉及一种网络攻击行为的处理方法和装置、存储介质及电子设备。


    背景技术:

    2.针对在互联网中运行的一些重要计算机系统,常常会有很多恶意主体(如攻击方)对其发起不同的攻击行为,以试图获取其中重要的运行数据或用户信息等。
    3.为了克服上述问题,目前常用的一种可选方式是采用传统蜜罐技术来迷惑上述发起攻击行为的恶意主体,以诱使其向伪造的蜜罐实施攻击,从而便于防御方清晰地了解所要面对的安全威胁,以增强重要计算机系统的安全防护能力。其中,传统蜜罐技术是一个包含漏洞的欺骗系统,它通过模拟真实场景中的一个或多个易受攻击的主机,给攻击方提供一个容易攻击的目标,这里的目标是蜜罐所伪造的服务,并不具有真正的业务价值。
    4.然而,传统蜜罐技术中的蜜罐都是通过模板生成的,其框架和内容都是固定不可改动的。这样在应用的业务系统发生变化时,由于蜜罐无法得到及时升级修改,将使得蜜罐无法继续迷惑更多的网络攻击行为,从而导致网络安全性降低的问题。
    5.针对上述的问题,目前尚未提出有效的解决方案。


    技术实现要素:

    6.本发明实施例提供了一种网络攻击行为的处理方法和装置、存储介质及电子设备,以至少解决由于蜜罐无法得到及时升级修改所导致的网络安全性较低的技术问题。
    7.根据本发明实施例的一个方面,提供了一种网络攻击行为的处理方法,包括:获取对目标业务系统的访问请求,其中,上述访问请求中携带有请求执行访问行为的源网络协议地址;在确定出上述访问行为是网络攻击行为,且从上述访问请求中识别出为上述源网络协议地址分配的目标攻击标识的情况下,获取上述访问请求所请求访问的目的地址,其中,上述目标攻击标识用于指示上述源网络协议地址已对上述目标业务系统执行过网络攻击行为;在上述目的地址是为上述目标业务系统构造的诱饵地址的情况下,获取上述源网络协议地址访问上述诱饵地址后得到的行为记录,其中,上述诱饵地址中包含有为上述目标业务系统构造的目标漏洞文件,上述目标漏洞文件用于指示上述源网络协议地址访问模拟上述目标业务系统中的业务数据所生成的诱饵数据;根据上述行为记录生成上述源网络协议地址的网络攻击行为的行为轨迹。
    8.根据本发明实施例的另一方面,还提供了一种网络攻击行为的处理装置,包括:第一获取单元,用于获取对目标业务系统的访问请求,其中,上述访问请求中携带有请求执行访问行为的源网络协议地址;第二获取单元,用于在确定出上述访问行为是网络攻击行为,且从上述访问请求中识别出为上述源网络协议地址分配的目标攻击标识的情况下,获取上述访问请求所请求访问的目的地址,其中,上述目标攻击标识用于指示上述源网络协议地址已对上述目标业务系统执行过网络攻击行为;第三获取单元,用于在上述目的地址是为
    上述目标业务系统构造的诱饵地址的情况下,获取上述源网络协议地址访问上述诱饵地址后得到的行为记录,其中,上述诱饵地址中包含有为上述目标业务系统构造的目标漏洞文件,上述目标漏洞文件用于指示上述源网络协议地址访问模拟上述目标业务系统中的业务数据所生成的诱饵数据;生成单元,用于根据上述行为记录生成上述源网络协议地址的网络攻击行为的行为轨迹。
    9.根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述网络攻击行为的处理方法。
    10.根据本发明实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的网络攻击行为的处理方法。
    11.在本发明实施例中,在获取到的对目标业务系统的访问请求的访问行为确定是网络攻击行为,且从访问请求中识别出为触发该访问请求的源网络协议地址(internet protocol address,简称ip地址)分配的目标攻击标识的情况下,则获取该访问请求的目地地址。并在该目标地址是为目标业务系统构造的诱饵地址的情况下,获取源ip地址访问诱饵地址后得到的行为记录,然后基于该行为记录生成上述源ip地址的网络攻击行为的行为轨迹。也就是说,针对不同类型的业务系统,可以直接修改其在诱饵地址中的目标漏洞文件,就可以快速调整修改其用于吸引攻击方进行攻击的蜜罐,而不再通过使用模板生成蜜罐,使得蜜罐的框架和内容,可以随着应用的业务系统的变化,及时进行升级修改,从而保障业务系统的网络安全性,进而克服相关技术中无法保证其网络安全的问题。
    附图说明
    12.此处所说明的附图用来提供对本发明的进一步理解,构成本技术的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
    13.图1是根据本发明实施例的一种可选的网络攻击行为的处理方法的网络环境的架构示意图;
    14.图2是根据本发明实施例的一种可选的网络攻击行为的处理方法的流程图;
    15.图3是根据本发明实施例的一种可选的网络攻击行为的处理方法所应用的系统的示意图;
    16.图4是根据本发明实施例的一种可选的网络攻击行为的处理方法的示意图;
    17.图5是根据本发明实施例另一种可选的网络攻击行为的处理方法的示意图;
    18.图6是根据本发明实施例的一种可选的种网络攻击行为的处理装置的结构示意图;
    19.图7是根据本发明实施例的一种可选的电子设备的结构示意图。
    具体实施方式
    20.为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人
    员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
    21.需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
    22.需要说明的是,在本实施例中将涉及以下技术术语,其含义如下:
    23.蜜罐:一种在互联网上运行的计算机系统;它主要使专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的,蜜罐系统是一个包含漏洞的欺骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐的访问被视为可疑的,蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者布蜜罐上浪费时间。
    24.命令注入:指的是通过构建特殊输入(如特殊字符加字符串组合)作为参数传入web应用程序,而这些字符和字符串组合大都是闭合程序后额外执行的命令,夹带有其他非正常的命令输入的一些组合,通过执行命令注入去执行攻击者所要的操作,其主要原因是程序没有细致地过滤外部可输入的数据,致使被恶意攻击者侵入系统。
    25.蜜网(honeynet)是在蜜罐技术上逐步发展起来的一个新的概念,有时也称作诱捕网络。当多个蜜罐被网络连接在一起,组成一个大型虚假业务系统,利用其中一部分主机吸引攻击者入侵,通过监测入侵过程,一方面收集攻击者的攻击行为,另一方面可以更新相应的安全防护策略。这种由多个蜜罐组成的模拟网络就称为蜜网。
    26.根据本发明实施例的一个方面,提供了一种网络攻击行为的处理方法,可选地,作为一种可选的实施方式,上述网络攻击行为的处理方法可以但不限于应用于如图1所示的网络架构环境中,其中,该网络架构环境中包括用户终端102、网络104、路由器106、交换机108、蜜网110及目标业务系统所在网络112。其中,上述用户终端102用于触发对目标业务系统的访问行为,网络104用于传递交互信息,以实现各个网络硬件设备之间的交互过程。此外,通过上述路由器106和交换机108,将把内部部署的蜜网110映射成目标业务系统所在网络112的业务端口,通过伪装或者学习的形式,将攻击者引入密网,以拖延其攻击行为,延缓其攻击时间。
    27.需要说明的是,在本实施例中,通过在网络环境中部署目标业务系统的诱饵地址,以使攻击方通过访问请求的形式主动访问上述诱饵地址中的目标漏洞文件,进而吸引攻击方基于目标漏洞文件主动获取模拟为目标业务系统生成的诱饵数据,从而实现基于其对该诱饵数据进行访问处理的行为记录,来抓取攻击方的行为特征,进而获取其执行的网络攻击行为的行为攻击。其中,这里的目标漏洞文件是结合目标业务系统来对应构造。也就是说,在本实施例中,针对不同类型的业务系统,可以直接修改其在诱饵地址中的目标漏洞文件,就可以快速调整修改其用于吸引攻击方进行攻击的蜜罐,而不再通过使用模板生成蜜罐,使得蜜罐的框架和内容,可以随着应用的业务系统的变化,及时进行升级修改,从而保
    障业务系统的网络安全性,进而克服相关技术中无法保证其网络安全的问题。
    28.可选地,在本实施例中,上述用户终端102可以是配置有目标客户端的终端设备,可以包括但不限于以下至少之一:手机(如android手机、ios手机等)、笔记本电脑、平板电脑、掌上电脑、mid(mobile internet devices,移动互联网设备)、pad、台式电脑、智能电视等。目标客户端可以是视频客户端、即时通信客户端、浏览器客户端、教育客户端等。上述网络104可以包括但不限于:有线网络,无线网络,其中,该有线网络包括:局域网、城域网和广域网,该无线网络包括:蓝牙、wifi及其他实现无线通信的网络。上述蜜网110和目标业务系统所在网络112可以是单一服务器,也可以是由多个服务器组成的服务器集群,或者是云服务器。上述仅是一种示例,本实施例中对此不作任何限定。
    29.可选地,作为一种可选的实施方式,如图2所示,上述网络攻击行为的处理方法包括:
    30.s202,获取对目标业务系统的访问请求,其中,访问请求中携带有请求执行访问行为的源网络协议地址;
    31.s204,在确定出访问行为是网络攻击行为,且从访问请求中识别出为源网络协议地址分配的目标攻击标识的情况下,获取访问请求所请求访问的目的地址,其中,目标攻击标识用于指示源网络协议地址已对目标业务系统执行过网络攻击行为;
    32.s206,在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录,其中,诱饵地址中包含有为目标业务系统构造的目标漏洞文件,目标漏洞文件用于指示源网络协议地址访问模拟目标业务系统中的业务数据所生成的诱饵数据;
    33.s208,根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹。
    34.可选地,在本实施例中,上述网络攻击行为的处理方法可以但不限于应用于不同的业务系统中,通过直接修改调整诱饵地址中的目标漏洞文件,以使其及时适用于不同的在线业务系统,通过主动吸引攻击方与模拟在线业务系统生成的诱饵数据进行交互,来减少对真正的业务系统的恶意网络攻击,从而达到保护业务系统中业务数据的安全性的目的。其中,这里的业务系统可以包括但不限于:即时通讯业务系统(模拟用户账号信息得到诱饵数据)、金融支付系统(模拟用户账号信息及交易数据得到诱饵数据)等等。上述为示例,本实施例中对网络环境中所要保护的目标业务系统不作限定。
    35.需要说明的是,通过在网络环境中部署目标业务系统的诱饵地址,以使攻击方通过访问请求的形式主动访问上述诱饵地址中的目标漏洞文件,进而吸引攻击方基于目标漏洞文件主动获取模拟为目标业务系统生成的诱饵数据,从而实现基于其对该诱饵数据进行访问处理的行为记录,来抓取攻击方的行为特征,进而获取其执行的网络攻击行为的行为攻击。其中,这里的目标漏洞文件是结合目标业务系统来对应构造。也就是说,在本实施例中,针对不同类型的业务系统,可以直接修改其在诱饵地址中的目标漏洞文件,就可以快速调整修改其用于吸引攻击方进行攻击的蜜罐,而不再通过使用模板生成蜜罐,使得蜜罐的框架和内容,可以随着应用的业务系统的变化,及时进行升级修改,从而保障业务系统的网络安全性,进而克服相关技术中无法保证其网络安全的问题。
    36.例如,上述网络攻击行为的处理方法可以但不限于应用于如图3所示的处理系统中,在该处理系统中可以包括:攻击检测模块302、蜜罐模块304、数据处理模块306及展示模
    块308。
    37.其中,攻击检测模块302中包括识别子模块3022,该识别子模块3022可以但不限于存储有用于识别网络攻击行为的正则表达式,这里的正则表达式中携带有目标攻击字符,如用于攻击当前待保护的目标业务系统中的业务数据的恶意字符。若检测到攻击行为,则为其分配用于唯一标识的攻击标识。
    38.其中,蜜罐模块304中包括诱饵子模块3042和剧本子模块3044,这里诱饵子模块3042可以但不限于采用以下至少一种方式诱惑攻击方(即触发攻击访问行为的源ip地址):1)在开源网站上部署模拟目标业务系统生成的虚假的ip地址或端口等敏感信息(如诱饵地址),以吸引攻击方来访问;2)劫持特定的公共网关接口(common gateway interface,简称cgi),在攻击方访问到该cgi时,则向其返回敏感信息。剧本子模块3044可以但不限于用于伪装漏洞文件,以便于在该过程中抓取到攻击方的信息或者迷惑攻击方以使其绕过此处限制,进而获取更多的攻击方的行为特性。这里的剧本子模块3044中可以但不限于包括4个单元:1)用于检测命令注入攻击的命令注入漏洞模拟单元;2)用于采集攻击方行为信息的信息采集单元;3)用于模拟伪造目标业务系统中的服务数据的伪服务单元;4)用于根据攻击方的命令注入攻击而产生重定向访问的重定向单元。
    39.其中,数据处理模块(也可称作数据清洗和关联模块)306包括日志子模块3062和聚类子模块3064。这里的日志子模块3062可以但不限于用于获取上述过程中产生的行为记录。这里的聚类子模块3064可以但不限于用于对上述行为记录进行分析汇聚,以聚类形成对上述正在追踪的源ip地址的分析溯源报告。
    40.其中,展示模块308中包括控制台3082,可以但不限于在溯源到攻击方的相关信息的情况下,触发对用户的通知,以告知其已溯源成功。同时对在处理过程中检测到的未知的攻击进行分析,以在展示界面展示未知漏洞(如0day)和溯源告警。需要说明的是,上述0day在相关技术中用于表示在软件发行后出现的破解版本。
    41.在图3所示示例中,是本实施例中的一种可选架构方式,本实施例中对此不作任何限定。
    42.可选地,在本实施例中,上述目标攻击标识可以但不限于是利用源ip地址所生成的攻击历史识别标识。对于发起过网络攻击行为的源ip地址分配唯一标识的攻击标识,以标记该源ip地址为恶意攻击的主体,并将该攻击标识添加到返回给该源ip地址的响应中,以便于对其进行持续追踪。但攻击方可能会识别出上述标记的攻击标识,并主动去除了上述攻击标识,或通过变换访问所用的源ip地址来实现继续攻击,因而,在本实施例中,为了避免识别遗漏,将对上述唯一标识进行识别,在未识别出攻击标识的话,就再次为其生成新的标识,若识别出该攻击标识,则继续进行蜜罐的诱惑操作。
    43.可选地,在本实施例中,上述诱饵地址可以但不限于为根据所要保护的目标业务系统的业务数据所构造的虚假地址,在访问该诱饵地址时,攻击方将不会获取到真实的业务数据,而是获取到预先模拟生成的诱饵数据。进一步,基于攻击方对上述诱饵数据的处理过程,还可以进一步探知攻击方的行为特征,对上述正在进行网络攻击的源ip地址进行溯源追踪,以及时确定出其攻击路径。
    44.此外,在本实施例中,在确定源ip地址访问是诱饵地址的情况下,确定其是否为命令注入攻击。若注入命令中携带了监听接口(如反弹shell命令),则可连接到攻击方指定的
    目标ip地址,继续利用诱饵数据与其交互,以迷惑欺骗攻击方,达到延缓攻击时间的目的。
    45.具体结合图4所示示例进行说明。假设用户终端(下文简称用户)402和攻击者终端(下文简称攻击者)404通过网络406、路由器408和交换机410对正常业务(目标业务系统中的业务)进行访问。
    46.如步骤s402,对用于访问正常业务的流量进行分光,并重组tcp包,生成http流量。然后通过攻击检测模块412分析其中是否包含攻击行为,是否需要对其使用本实施例中的蜜罐进行欺骗迷惑等。如对其内容做简单的正则匹配,判断是否存在攻击行为。
    47.如步骤s404,在确定存在攻击行为的情况下,则生成为上述请求访问的源ip地址生成唯一标识,并通过旁路回包注入到攻击者的客户端(如图中所示步骤s406-2)。并且向服务器端发送reset包(如图中所示步骤s406-1),阻断此次连接。
    48.如步骤s408,在标记好之后,若还检测到攻击行为,则通过重定向/泄漏报错等一些信息将攻击者引诱到诱饵地址(模拟好假页面)。
    49.如步骤s410,在攻击者被引诱失败的情况下,则可通过上述已经注入的标记,了解其行踪,通过其行为日志(即行为记录),对其进行离线计算,从而根据计算结果来查看上述攻击者是否有别的攻击行为。
    50.如步骤s412,在攻击者被引诱成功的情况下,则可通过剧本模拟,对其继续欺骗,延缓攻击甚至抓到攻击者的相关信息。
    51.如步骤s414-s416,若在攻击者的命令注入中加入了反弹shell命令,则在后端模拟出与目标业务系统相似的终端来连接到指定的ip地址,从而实现利用该模拟数据对其继续进行欺骗。
    52.进一步如步骤s418-s424,在后台可以获取上述行为的行为记录并保存(如日志入库),并利用上述数据进行溯源追踪计算。再加上安全人员420的辅助计算,来生成上述攻击者对应的源ip地址的溯源报告,并在展示界面进行结果展示。
    53.上述图4所示为一个可选的示例过程,本实施例中对此不作任何限定。
    54.通过本技术提供的实施例,针对不同类型的业务系统,可以直接修改其在诱饵地址中的目标漏洞文件,就可以快速调整修改其用于吸引攻击方进行攻击的蜜罐,而不再通过使用模板生成蜜罐,使得蜜罐的框架和内容,可以随着应用的业务系统的变化,及时进行升级修改,从而保障业务系统的网络安全性,进而克服相关技术中无法保证其网络安全的问题。
    55.作为一种可选的方案,在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录包括:
    56.s1,获取访问请求中携带的访问参数;
    57.s2,在访问参数中并未包含预先配置的访问识别参数的情况下,通知源网络协议地址无法获取访问内容;
    58.s3,在访问请求中包含访问识别参数,且访问识别参数的参数值为目标值的情况下,向源网络协议地址提供对应的对象诱饵数据;
    59.s4,获取源网络协议地址对对象诱饵数据进行处理时生成的行为记录。
    60.可选地,在本实施例中,上述访问识别参数可以包括但不限于以下之一:命令提示符cmd、id、ip。这里为示例,还可以设置其他参数,本实施例中对此不作任何限定。
    61.例如,在确定源ip地址是访问目标漏洞文件对应的诱饵地址的情况下,查看其是否携带有访问识别参数,如命令提示符cmd。在查出并不存在该访问识别参数的情况下,则返回报错,以提示无法获得cmd的参数值。而在查出并存在该访问识别参数的情况下,则可以对其进行命令注入攻击的检测。
    62.通过本技术提供的实施例,通过设置访问识别参数,以使得蜜罐发送该访问识别参数给攻击方,但却不告知其具体的参数值,以使其陷入不断测试的过程中,从而达到延缓其攻击的目的。
    63.作为一种可选的方案,在访问请求中包含访问识别参数,且访问识别参数的参数值为目标值的情况下,向源网络协议地址提供对应的对象诱饵数据包括:在访问识别参数的参数值为目标值的情况下,提取访问识别参数中包含的命令信息,其中,目标值指示访问行为是命令注入攻击行为;根据命令信息向源网络协议地址提供对象诱饵数据。
    64.可选地,在本实施例中,在获取访问请求中携带的访问参数之后,还包括:在访问识别参数的参数值指示访问行为并非目标值的情况下,向源网络协议地址返回默认命令响应。
    65.需要说明的是,在本实施例中,上述访问识别参数的参数值可以但不限于用于指示攻击方的访问请求中是否带有命令注入攻击的行为类型标识。也就是说,在访问请求中并未携带访问识别参数,或在访问请求中携带的访问识别参数的参数值指示并非目标值的情况下,则表示当前访问请求并非命令注入攻击,则向攻击方返回默认命令响应,如命令id,以迷惑攻击方认定此为隐藏的测试文件。而在访问请求中携带的访问识别参数的参数值指示为目标值的情况下,则表示当前访问请求为命令注入攻击行为,提取其命令注入的特殊字符,以分析其攻击行为。
    66.可选地,在本实施例中,根据命令信息向源网络协议地址提供对象诱饵数据包括:利用目标业务系统中的业务数据的关联数据来构建模拟终端,并建立模拟终端与与监听接口关联的目标网络协议地址之间的通讯链路,并通过通讯链路提供对象诱饵数据。
    67.需要说明的是,上述监听接口可以但不限于是在命令注入的特殊字符中加入了反弹shell命令,用于引导用户访问指定的目标ip地址,使得用户泄露更多更重要的业务信息。为了避免上述问题,在本实施例提供的蜜罐中,将在后端配置模拟目标业务系统的模拟终端,基于该模拟终端中构造的假的业务数据(如诱饵数据)来连接到上述反弹shell指定的目标ip地址。
    68.通过本技术提供的实施例,基于访问识别参数的参数值来确定发送访问请求的源ip地址的网络攻击行为是否为命令注入攻击行为,在确定是命令注入攻击行为的情况下,提取注入的命令信息,并识别命令信息中恶意添加的特殊字符,以便于对其进行对应的迷惑处理。进一步,在命令注入攻击行为的命令中还携带有监听接口的情况下,则在后端模拟终端,以利用该模拟终端继续完成欺骗。
    69.作为一种可选的方案,在获取对目标业务系统的访问请求之后,还包括:
    70.s1,对访问请求和携带有目标攻击字符的正则表达式进行比对;
    71.s2,在比对结果指示访问请求中携带有目标攻击字符的情况下,确定访问请求对应的访问行为是网络攻击行为。
    72.通过本技术提供的实施例,在获取到对目标业务系统进行访问的访问请求的情况
    下,则对访问请求和携带有目标攻击字符的正则表达式进行比对,从而实现利用正则表达式对业务数据流进行预过滤,对非攻击行为执行授权访问,以减少蜜罐的数据处理量,进而提高对网络攻击行为的处理效率。
    73.作为一种可选的方案,在获取对目标业务系统的访问请求之后,包括:
    74.s1,在访问请求中识别攻击类标识;
    75.s2,在访问请求中并未识别出攻击类标识的情况下,基于源网络协议地址生成目标攻击标识,并将目标攻击标识添加到访问请求对应的访问响应信息中;
    76.s3,在访问请求中识别出攻击类标识的情况下,获取本地存储的预先为源网络协议地址分配的目标攻击标识;比对攻击类标识和目标攻击标识;在比对结果指示攻击类标识与目标攻击标识匹配的情况下,确定从访问请求中识别出目标攻击标识;在比对结果指示攻击类标识与目标攻击标识不匹配的情况下,基于源网络协议地址重新生成目标攻击标识,得到更新后的目标攻击标识;保存更新后的目标攻击标识,并将更新后的目标攻击标识添加到访问请求对应的访问响应信息中。
    77.可选地,在本实施例中,上述基于源网络协议地址重新生成目标攻击标识的方式可以包括但不限于加盐加密方式。如对源ip地址添加一些特殊字符(也可称作“盐”)后,进行不可逆加密,以增强其安全性。其中,上述特殊字符可以但不限于为访问请求关联的md5。这里为示例,本实施例中对此不作任何限定。
    78.通过本技术提供的实施例,在本实施例中,通过为访问请求的源ip地址分配用于唯一标识的攻击标识,以实现对其进行精准追踪,便于获取其行为记录,进而可以分析探知攻击方的攻击特性,以避免目标业务系统收到类似的攻击。
    79.作为一种可选的方案,在获取对目标业务系统的访问请求之前,还包括以下至少之一:
    80.1)将包含诱饵地址的敏感信息部署在目标平台中,其中,目标平台并未设置访问权限;
    81.2)劫持目标业务系统关联的目标通用接口;在访问行为访问到目标通用接口的情况下,向源网络协议地址返回包含诱饵地址的敏感信息。
    82.可选地,在本实施例中,上述敏感信息可以但不限于为蜜罐伪造的ip地址或端口号等,以诱惑攻击方来进行访问攻击。其中,上述敏感信息可以但不限于部署在开源平台,以便于攻击方获取。对于敏感信息的具体内容,本实施例中对此不作限定。
    83.通过本技术提供的实施例,将敏感信息直接部署在开源的目标平台,而无需额外申请主机资源,从而达到简化蜜罐的部署操作的目的。
    84.作为一种可选的方案,根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹包括:
    85.s1,从行为记录中提取源网络协议地址在目标时间段的访问行为属性信息,其中,访问行为属性信息包括:访问时间、访问路径及对同一个地址的访问频次;
    86.s2,根据访问行为属性信息对源网络协议地址触发的网络攻击行为进行追踪溯源,以生成行为轨迹。
    87.通过本技术提供的实施例,在通过上述方式获取到源ip地址(攻击方)的行为记录的情况下,将可以根据该源ip地址在目标时间段内执行的访问行为的行为记录中的访问行
    为属性信息,来分析该源ip地址的攻击行为特征,从而实现基于其攻击行为特征来对其网络攻击行为进行追踪溯源,以便于获取其行为轨迹,进而对其进行全面地拦截或封禁处理。
    88.具体结合图5所示示例进行说明:
    89.s502,获取到请求流量;
    90.s504,判断请求流量中当前待处理的访问请求(请求中携带有触发访问行为的源ip地址)中是否存在唯一标识(如cookie参数),若不存在,则执行步骤s506-1,为其生成分配唯一标识,并入库,落日志(即写入日志)。若存在,则通过数据关联判断已经为该源ip地址生成的标识和当前接收到的访问请求中携带的标识是否一样。若不一样,则将生成的标识(例如,可以采用哈希函数基于以下至少一种具体的输入参数来生成:ip,user-agent等)注入到上述访问请求的响应包中。若一样,则执行步骤s506-2。
    91.s506-2,判断访问请求是否访问诱饵页面,若不是访问诱饵页面,则落日志,如步骤s508-1,若是访问诱饵页面,则执行步骤s508-2。
    92.s508-2,判断访问请求是否访问诱饵页面中的诱饵目录(即目标漏洞文件所指示的诱饵地址)。若不是访问诱饵目录,则如步骤s510-1,返回http状态码200,并且附带正常的页面内容。若是访问诱饵目录,则返回存在漏洞文件的路径,并在攻击方访问该存在漏洞文件的路径时,判断其访问请求中是否还携带有唯一标识。若并未携带标识,则生成新的标识,并注入响应头http head,并将http body响应包置空,使攻击方无法访问;若携带标识,则执行步骤s510-2。
    93.s510-2,判断其中是否带有指定参数(如:cmd、id、ip)。若并未携带指定参数,则执行步骤s512-1,提示报错,无法获得cmd的参数值(即返回参数不存在错误)。若携带有指定参数,则执行步骤s512-2。
    94.s512-2,判断上述指定参数中是否带有命令注入攻击的类型标识。若没有带有命令注入的类型标识(如非攻击行为,或是攻击行为,但非命令注入攻击类型),则如步骤s514-1,返回默认值,即返回默认id命令。若带有命令注入的类型标识,则如步骤s514-2,提取出其中携带的命令信息,并如步骤s516,判断其是否为已知命令,若是已知命令,则如步骤s518,获取命令的响应内容(如命令可以为:id,whoami,cat,head,uname,history,less等,不包含执行脚本语言如:python,php,sh等)。
    95.s520,判断上述注入的命令中是否携带有反弹shell命令,若并未携带反弹shell命令,则执行步骤s522-1,返回无法识别,若携带反弹shell命令,则执行步骤s522-2,通过模拟终端,连接命令注入中指定的目标ip地址进行交互,向其提供诱饵数据,以抓取攻击者信息。这里的通讯连接可以但不限于允许其连接一定时长(如10s),后续断开,以保证信息安全性。
    96.上述图5所示示例为本实施例中的一种可选实施例,对于其中涉及的手段及执行顺序,本实施例对此不作任何限定。
    97.需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
    98.根据本发明实施例的另一个方面,还提供了一种用于实施上述网络攻击行为的处理方法的网络攻击行为的处理装置。如图6所示,该装置包括:
    99.1)第一获取单元602,用于获取对目标业务系统的访问请求,其中,访问请求中携带有请求执行访问行为的源网络协议地址;
    100.2)第二获取单元604,用于在确定出访问行为是网络攻击行为,且从访问请求中识别出为源网络协议地址分配的目标攻击标识的情况下,获取访问请求所请求访问的目的地址,其中,目标攻击标识用于指示源网络协议地址已对目标业务系统执行过网络攻击行为;
    101.3)第三获取单元606,用于在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录,其中,诱饵地址中包含有为目标业务系统构造的目标漏洞文件,目标漏洞文件用于指示源网络协议地址访问模拟目标业务系统中的业务数据所生成的诱饵数据;
    102.4)生成单元608,用于根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹。
    103.可选地,在本实施例中,上述网络攻击行为的处理装置可以但不限于应用于不同的业务系统中,通过直接修改调整诱饵地址中的目标漏洞文件,以使其及时适用于不同的在线业务系统,通过主动吸引攻击方与模拟在线业务系统生成的诱饵数据进行交互,来减少对真正的业务系统的恶意网络攻击,从而达到保护业务系统中业务数据的安全性的目的。其中,这里的业务系统可以包括但不限于:即时通讯业务系统(模拟用户账号信息得到诱饵数据)、金融支付系统(模拟用户账号信息及交易数据得到诱饵数据)等等。上述为示例,本实施例中对网络环境中所要保护的目标业务系统不作限定。
    104.具体实施例可以参考上述方法示例,这里不再赘述。
    105.根据本发明实施例的又一个方面,还提供了一种用于实施上述网络攻击行为的处理方法的电子设备,该电子设备可以是图1所示的服务器为例来说明。如图7所示,该电子设备包括存储器702和处理器704,该存储器702中存储有计算机程序,该处理器704被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
    106.可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
    107.可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
    108.s1,获取对目标业务系统的访问请求,其中,访问请求中携带有请求执行访问行为的源网络协议地址;
    109.s2,在确定出访问行为是网络攻击行为,且从访问请求中识别出为源网络协议地址分配的目标攻击标识的情况下,获取访问请求所请求访问的目的地址,其中,目标攻击标识用于指示源网络协议地址已对目标业务系统执行过网络攻击行为;
    110.s3,在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录,其中,诱饵地址中包含有为目标业务系统构造的目标漏洞文件,目标漏洞文件用于指示源网络协议地址访问模拟目标业务系统中的业务数据所生成的诱饵数据;
    111.s4,根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹。
    112.可选地,本领域普通技术人员可以理解,图7所示的结构仅为示意,电子装置电子
    设备也可以是智能手机(如android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobile internet devices,mid)、pad等终端设备。图7其并不对上述电子装置电子设备的结构造成限定。例如,电子装置电子设备还可包括比图7中所示更多或者更少的组件(如网络接口等),或者具有与图7所示不同的配置。
    113.其中,存储器702可用于存储软件程序以及模块,如本发明实施例中的网络攻击行为的处理方法和装置对应的程序指令/模块,处理器704通过运行存储在存储器702内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的网络攻击行为的处理方法。存储器702可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器702可进一步包括相对于处理器704远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器702具体可以但不限于用于存储上述源ip地址的行为记录,及诱饵数据等信息。作为一种示例,如图7所示,上述存储器702中可以但不限于包括上述网络攻击行为的处理装置中的第一获取单元602、第二获取单元604、第三获取单606及生成单元608。此外,还可以包括但不限于上述网络攻击行为的处理装置中的其他模块单元,本示例中不再赘述。
    114.可选地,上述的传输装置706用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置706包括一个网络适配器(network interface controller,nic),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置706为射频(radio frequency,rf)模块,其用于通过无线方式与互联网进行通讯。
    115.此外,上述电子设备还包括:显示器708,用于显示上述分析得到的行为轨迹;和连接总线710,用于连接上述电子设备中的各个模块部件。
    116.在其他实施例中,上述终端设备或者服务器可以是一个分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(p2p,peer to peer)网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
    117.根据本技术的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述网络攻击行为的处理方法。其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
    118.可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序:
    119.s1,获取对目标业务系统的访问请求,其中,访问请求中携带有请求执行访问行为的源网络协议地址;
    120.s2,在确定出访问行为是网络攻击行为,且从访问请求中识别出为源网络协议地址分配的目标攻击标识的情况下,获取访问请求所请求访问的目的地址,其中,目标攻击标识用于指示源网络协议地址已对目标业务系统执行过网络攻击行为;
    121.s3,在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录,其中,诱饵地址中包含有为目标业务系统构造的目标漏洞文件,目标漏洞文件用于指示源网络协议地址访问模拟目标业务系统中的业务数据所生成的诱饵数据;
    122.s4,根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹。
    123.可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(read-only memory,rom)、随机存取器(random access memory,ram)、磁盘或光盘等。
    124.上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
    125.上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
    126.在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
    127.在本技术所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
    128.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
    129.另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
    130.以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

    技术特征:
    1.一种网络攻击行为的处理方法,其特征在于,包括:获取对目标业务系统的访问请求,其中,所述访问请求中携带有请求执行访问行为的源网络协议地址;在确定出所述访问行为是网络攻击行为,且从所述访问请求中识别出为所述源网络协议地址分配的目标攻击标识的情况下,获取所述访问请求所请求访问的目的地址,其中,所述目标攻击标识用于指示所述源网络协议地址已对所述目标业务系统执行过网络攻击行为;在所述目的地址是为所述目标业务系统构造的诱饵地址的情况下,获取所述源网络协议地址访问所述诱饵地址后得到的行为记录,其中,所述诱饵地址中包含有为所述目标业务系统构造的目标漏洞文件,所述目标漏洞文件用于指示所述源网络协议地址访问模拟所述目标业务系统中的业务数据所生成的诱饵数据;根据所述行为记录生成所述源网络协议地址的网络攻击行为的行为轨迹。2.根据权利要求1所述的方法,其特征在于,在所述目的地址是为所述目标业务系统构造的诱饵地址的情况下,获取所述源网络协议地址访问所述诱饵地址后得到的行为记录包括:获取所述访问请求中携带的访问参数;在所述访问参数中并未包含预先配置的访问识别参数的情况下,通知所述源网络协议地址无法获取访问内容;在所述访问请求中包含所述访问识别参数,且所述访问识别参数的参数值为目标值的情况下,向所述源网络协议地址提供对应的对象诱饵数据;获取所述源网络协议地址对所述对象诱饵数据进行处理时生成的所述行为记录。3.根据权利要求2所述的方法,其特征在于,在所述访问请求中包含所述访问识别参数,且所述访问识别参数的参数值为目标值的情况下,向所述源网络协议地址提供对应的对象诱饵数据包括:在所述访问识别参数的参数值为所述目标值的情况下,提取所述访问识别参数中包含的命令信息,其中,所述目标值指示所述访问行为是命令注入攻击行为;根据所述命令信息向所述源网络协议地址提供所述对象诱饵数据。4.根据权利要求3所述的方法,其特征在于,根据所述命令信息向所述源网络协议地址提供所述对象诱饵数据包括:在所述命令信息中携带有监听接口的情况下,利用所述目标业务系统中的业务数据的关联数据来构建模拟终端,并建立所述模拟终端与所述监听接口关联的目标网络协议地址之间的通讯链路,并通过所述通讯链路提供所述对象诱饵数据。5.根据权利要求3所述的方法,其特征在于,在所述获取所述访问请求中携带的访问参数之后,还包括:在所述访问识别参数的参数值指示所述访问行为并非所述目标值的情况下,向所述源网络协议地址返回默认命令响应。6.根据权利要求1所述的方法,其特征在于,在所述获取对目标业务系统的访问请求之后,还包括:对所述访问请求和携带有目标攻击字符的正则表达式进行比对;
    在比对结果指示所述访问请求中携带有所述目标攻击字符的情况下,确定所述访问请求对应的所述访问行为是网络攻击行为。7.根据权利要求1所述的方法,其特征在于,在所述获取对目标业务系统的访问请求之后,包括:在所述访问请求中识别攻击类标识;在所述访问请求中并未识别出所述攻击类标识的情况下,基于所述源网络协议地址生成所述目标攻击标识,并将所述目标攻击标识添加到所述访问请求对应的访问响应信息中;在所述访问请求中识别出所述攻击类标识的情况下,获取本地存储的预先为所述源网络协议地址分配的所述目标攻击标识;比对所述攻击类标识和所述目标攻击标识;在比对结果指示所述攻击类标识与所述目标攻击标识匹配的情况下,确定从所述访问请求中识别出所述目标攻击标识;在比对结果指示所述攻击类标识与所述目标攻击标识不匹配的情况下,基于所述源网络协议地址重新生成所述目标攻击标识,得到更新后的所述目标攻击标识;保存更新后的所述目标攻击标识,并将更新后的所述目标攻击标识添加到所述访问请求对应的访问响应信息中。8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述获取对目标业务系统的访问请求之前,还包括以下至少之一:将包含所述诱饵地址的敏感信息部署在目标平台中,其中,所述目标平台并未设置访问权限;劫持所述目标业务系统关联的目标通用接口;在所述访问行为访问到所述目标通用接口的情况下,向所述源网络协议地址返回包含所述诱饵地址的敏感信息。9.根据权利要求1至7中任一项所述的方法,其特征在于,根据所述行为记录生成所述源网络协议地址的网络攻击行为的行为轨迹包括:从所述行为记录中提取所述源网络协议地址在目标时间段的访问行为属性信息,其中,所述访问行为属性信息包括:访问时间、访问路径及对同一个地址的访问频次;根据所述访问行为属性信息对所述源网络协议地址触发的网络攻击行为进行追踪溯源,以生成所述行为轨迹。10.一种网络攻击行为的处理装置,其特征在于,包括:第一获取单元,用于获取对目标业务系统的访问请求,其中,所述访问请求中携带有请求执行访问行为的源网络协议地址;第二获取单元,用于在确定出所述访问行为是网络攻击行为,且从所述访问请求中识别出为所述源网络协议地址分配的目标攻击标识的情况下,获取所述访问请求所请求访问的目的地址,其中,所述目标攻击标识用于指示所述源网络协议地址已对所述目标业务系统执行过网络攻击行为;第三获取单元,用于在所述目的地址是为所述目标业务系统构造的诱饵地址的情况下,获取所述源网络协议地址访问所述诱饵地址后得到的行为记录,其中,所述诱饵地址中包含有为所述目标业务系统构造的目标漏洞文件,所述目标漏洞文件用于指示所述源网络协议地址访问模拟所述目标业务系统中的业务数据所生成的诱饵数据;生成单元,用于根据所述行为记录生成所述源网络协议地址的网络攻击行为的行为轨
    迹。11.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行所述权利要求1至9任一项中所述的方法。12.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至9任一项中所述的方法。

    技术总结
    本发明公开了一种网络攻击行为的处理方法和装置、存储介质及电子设备。该方法包括:获取对目标业务系统的访问请求;在确定出访问行为是网络攻击行为,且从访问请求中识别出为源网络协议地址分配的目标攻击标识的情况下,获取访问请求所请求访问的目的地址,目标攻击标识用于指示源网络协议地址已对目标业务系统执行过网络攻击行为;在目的地址是为目标业务系统构造的诱饵地址的情况下,获取源网络协议地址访问诱饵地址后得到的行为记录;根据行为记录生成源网络协议地址的网络攻击行为的行为轨迹。本发明解决了由于蜜罐无法得到及时升级修改所导致的网络安全性较低的技术问题。级修改所导致的网络安全性较低的技术问题。级修改所导致的网络安全性较低的技术问题。


    技术研发人员:郭晶 杨勇 甘祥 郑兴 许艾斯 彭婧 华珊珊 刘羽 范宇河 唐文韬 何澍 申军利 常优 王悦
    受保护的技术使用者:腾讯科技(深圳)有限公司
    技术研发日:2020.11.05
    技术公布日:2022/5/25
    转载请注明原文地址:https://tc.8miu.com/read-24157.html

    专利

    最新回复(0)