攻击防护方法和装置制造方法及图纸

本申请公开了一种攻击防护方法和装置。其中，该方法包括：获取报文镜像；基于所述报文镜像，检测是否发生预设事件；在检测出发生预设事件的情况下，阻断预设事件的目的端与源端的连接。本申请解决了攻击者对云计算数据中心中redis服务器的入侵攻击的方案处理效率低的技术问题。

Attack protection method and device

The present invention discloses a method and device for attack protection. Among them, the method includes: obtaining the message mirror; the message based on the image, detect the occurrence of default events; to detect the occurrence of default event, the default event to block the connecting terminal and the source terminal. This application solves the technical problem of low efficiency of attacker's intrusion attack on redis server in cloud computing data center.

【技术实现步骤摘要】
攻击防护方法和装置
本申请涉及服务器安全领域，具体而言，涉及一种攻击防护方法和装置。
技术介绍
Redis数据库的使用场景绝大部分是在沙盒化的环境中，因此它的安全模型是只将redis数据库部署在私有网络中，并不允许不受信用的客户接触到。在缺省情况下(即默认设置的情况下)，redis数据库会绑定6379端口侦听任意ip的访问，且没有开启认证，如果没有采用防火墙规则等相关策略来避免非信任来源的ip访问，会使redis服务器直接暴露在公网上，导致攻击者可以直接访问redis服务器并进行相关的操作。由于redis服务器使用明文传输，攻击者只需要连接上目标redis服务器后，将自己的公钥通过明文发送给redis服务器，再通过“configsetdir”命令切换redis服务器的持久化目录到/root/.ssh，最后使用“configsetdbfilename”命令将公钥存储到目标redis服务器的/root/.ssh/authorized_keys文件中，从而可以使用自己的私钥登录目标redis服务器，以实现对目标redis服务器的控制。现有技术中采用的防护redis服务器被入侵攻击的方案为：由用户修改redis服务缺省配置，以及使用相关安全策略来禁止非信任IP的访问。而上述方案存在两方面的缺点：一方面，云计算数据中心中用户及服务器数量庞大，查找受影响的服务器并通知用户修改缺省配置工作量繁重，且实施防护措施受限于用户安全意识以及技术能力；另一方面，无法实时的检测并阻断攻击者的入侵。针对现有的攻击者对云计算数据中心中redis服务器的入侵攻击的方案处理效率低的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种攻击防护方法和装置，以至少解决攻击者对云计算数据中心中redis服务器的入侵攻击的方案处理效率低的技术问题。根据本申请实施例的一个方面，提供了一种攻击防护方法，该方法包括：获取报文镜像；基于报文镜像，检测是否发生预设事件；在检测出发生预设事件的情况下，阻断预设事件的目的端与源端的连接。根据本申请实施例的另一方面，还提供了一种攻击防护系统，该系统包括：镜像装置，用于采集报文镜像；第一服务器，用于基于所述报文镜像，检测是否发生预设事件，还用于在检测出发生所述预设事件的情况下，阻断所述报文的目的端和源端之间的连接。根据本申请实施例的另一方面，还提供了一种攻击防护装置，该装置包括：获取单元，用于获取报文镜像；检测单元，用于基于所述报文镜像，检测是否发生预设事件；防护单元，用于在检测出发生所述预设事件的情况下，阻断所述报文的目的端和源端之间的连接。在本申请实施例中，将数据中心的数据报文镜像为报文镜像，基于报文镜像，可以检测出数据中心是否发生源端对redis服务器的入侵攻击事件(即预设事件)，若检测出有入侵攻击事件，则阻断入侵预设事件的目的端与源端的连接。通过上述实施例，由于产生的报文镜像是实时的，且基于报文镜像确定数据中心是否发生预设事件，从而可以实时确定数据中心发生的入侵攻击事件，因此，基于对产生的报文镜像进行分析的方式，可以实时检测出攻击者对云计算数据中心中redis服务器的入侵攻击事件，并可以实时的进行阻断拦截，从而可以提高处理效率，解决了现有技术中攻击者对云计算数据中心中redis服务器的入侵攻击的方案处理效率低的问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是根据本申请实施例的一种攻击防护方法的计算机终端的硬件结构框图；图2是根据本申请实施例的一种攻击防护方法的流程图；图3是根据本申请实施例的一种可选的攻击防护系统的示意图；图4是根据本申请实施例的一种可选的攻击防护方法的流程图；图5是根据本申请实施例的一种可选的阻断报文的格式的示意图；图6是根据本申请实施例的另一种可选的阻断报文的格式的示意图；图7是根据本申请实施例的又一种可选的阻断报文的格式的示意图；图8是根据本申请实施例的一种攻击防护系统的示意图；图9是根据本申请实施例的一种攻击防护装置的示意图；图10是根据本申请实施例的一种可选的攻击防护装置的示意图；图11是根据本申请实施例的一种计算机终端的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先，对本申请涉及到的名词解释如下：Redis：是一个开源的使用ANSIC语言编写的key-value数据库，其具有支持网络、可以支持内存也可以持久化、以及高性能、丰富的数据类型、原子性等特点，在特定领域具有一定的不可替代性。镜像流量：通过交换机或路由器，将一个或多个端口的数据流量转发到某一个特定端口，可以在不影响原始业务的情况下实现对网络行为的监听。公钥、私钥：通过一种特定算法生成的一对秘钥，其中公开的部分为公钥，非公开的部分为私钥。公钥通常用于数据加密和验证数据，私钥通常用于数据解密。云计算数据中心：一种基于互联网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给计算机和其他设备。攻击事件：是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或者使用暴力攻击对信息系统事实攻击，并造成信息系统异常或对信息系统当前运行造成潜在危险的信息安全事件。实施例1根据本申请实施例，还提供了一种攻击防护方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是根据本申请实施例的一种攻击防护方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配本文档来自技高网...

【技术保护点】
一种攻击防护方法，其特征在于，包括：获取报文镜像；基于所述报文镜像，检测是否发生预设事件；在检测出发生预设事件的情况下，阻断所述报文的目的端和源端之间的连接。

【技术特征摘要】
1.一种攻击防护方法，其特征在于，包括：获取报文镜像；基于所述报文镜像，检测是否发生预设事件；在检测出发生预设事件的情况下，阻断所述报文的目的端和源端之间的连接。2.根据权利要求1所述的方法，其特征在于，基于所述报文镜像，检测是否发生预设事件包括：检测所述报文镜像中是否存在具有攻击特征的攻击报文；在检测出所述报文镜像中存在所述攻击报文的情况下，确定检测出发生所述预设事件。3.根据权利要求2所述的方法，其特征在于，阻断所述报文的目的端和源端之间的连接包括：利用所述攻击报文中的源IP和目的IP，合并所述攻击报文，得到请求应答信息；确定所述请求应答信息所指示的所述目的端和源端；发送阻断报文，其中，所述阻断报文用于阻断所述目的端与所述源端的连接。4.根据权利要求3所述的方法，其特征在于，在确定所述请求应答信息所指示的所述目的端和源端之后，所述方法还包括：根据所述请求应答信息确定所述目的端是否设置有安全认证机制；在确定所述目的端未设置所述安全认证机制的情况下，生成反馈信息，其中，所述反馈信息用于提示设置所述目的端的安全认证机制。5.根据权利要求4所述的方法，其特征在于，根据所述请求应答信息确定目的端是否设置有安全认证机制包括：在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含确认信息的情况下，确定所述目的端未设置所述安全认证机制；在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含认证请求信息的情况下，确定所述目的端设置有所述安全认证机制，其中，所述请求应答报文对请求应答信息包括所述请求报文和所述应答报文。6.根据权利要求4所述的方法，其特征在于，在确定所述请求应答信息所指示的所述目的端和源端之后，所述方法还包括：若检测到的多个请求应答信息具有相同的源端，则确定所述源端为恶意源端；阻断所述恶意源端与任意一个服务器建立连接。7.根据权利要求4所述的方法，其特征在于，发送阻断报文包括：分别向所述目的端和所述源端发送所述阻断报文；或向所述目的端发送所述阻断报文。8.根据权利要求2所述的方法，其特征在于，检测所述报文镜像中是否存在具有攻击特征的攻击报文包括：从所述报文镜像中，获取具有预置端口的数据包；检测所述数据包是否包含预设字符串；若检测出所述数据包包含所述预设字符串，则确定检测到所述攻击报文。9.根据权利要求8所述的方法，其特征在于，在确定检测到所述攻击报文之后，所述方法还包括：根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型。10.根据权利要求9所述的方法，其特征在于，根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型包括：若所述数据包的目的端口为所述预置端口，在检测出所述数据包中包含第一字符串的情况下，确定所述攻击报文为入侵报文，其中，所述第一字符串中包含配置集目录命令，所述端口信息包括所述目的端口；若所述数据包的源端口为所述预置端口，在检测出所述...

【专利技术属性】
技术研发人员：程行峰，胡闽，张钊，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY