本发明专利技术实施例提供一种防御网络攻击的蜜罐构建方法、装置、设备及介质。该方法包括:检测网络流量;当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;根据攻击类型确定与攻击类型对应的检测函数的容器镜像;对容器镜像实例化,构建运行检测函数的容器用作蜜罐。通过本发明专利技术的构建方法、装置、设备及介质,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
Honeypot construction method, device, equipment and medium for defending network attack
【技术实现步骤摘要】
防御网络攻击的蜜罐构建方法、装置、设备及介质
本专利技术涉及网络安全
,尤其涉及一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质。
技术介绍
随着互联网的发展,网络安全已经受到了广泛的重视,目前的网络安全技术主要分为被动防御技术和主动防御技术。其中,被动防御技术对外防止黑客入侵,对内进行访问控制,主要是通过防火墙等设备进行安全策略配置,力求在攻击发生前进行防御策略的制定,从而进行阻断。主动防御技术主要包括入侵检测、蜜罐等技术,力求在攻击行为发生时进行感知,从而进行防御部署。但是现有的蜜罐系统仅能够应对的攻击种类单一,极其容易被攻陷;与此同时,由于蜜罐系统部署于真实系统环境中,一旦其被攻击者发现并攻陷,可以被当作跳板机从而威胁所在的整个网络环境。
技术实现思路
本专利技术实施例提供了一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定网络受到攻击的攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。第一方面,本专利技术提供一种防御网络攻击的蜜罐构建方法,该方法包括:检测网络流量;当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;根据攻击类型确定与攻击类型对应的检测函数的容器镜像;对容器镜像实例化,构建运行检测函数的容器用作蜜罐。在第一方面的一些可实现方式中,网络流量包括文件访问流量和/或暴力破解流量。在第一方面的一些可实现方式中,网络流量异常包括:文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。在第一方面的一些可实现方式中,在检测网络流量之前,该方法还包括:获取文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数;统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定预设访问阈值。在第一方面的一些可实现方式中,攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。第二方面,本专利技术提供一种防御网络攻击的蜜罐构建装置,该装置包括:检测模块,用于检测网络流量;第一确定模块,用于当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;第二确定模块,用于根据攻击类型确定与攻击类型对应的检测函数的容器镜像;构建模块,用于对容器镜像实例化,构建运行检测函数的容器用作蜜罐。在第二方面的一些可实现方式中,网络流量包括文件访问流量和/或暴力破解流量。在第二方面的一些可实现方式中,网络流量异常包括:文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。在第二方面的一些可实现方式中,该装置还包括:第三确定模块,用于在检测网络流量之前,获取文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数;统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定所述预设访问阈值。在第二方面的一些可实现方式中,攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。第三方面,本专利技术提供一种防御网络攻击的蜜罐构建设备,该设备包括:处理器以及存储有计算机程序指令的存储器;处理器执行计算机程序指令时实现如上所述的防御网络攻击的蜜罐构建方法。第四方面,本专利技术提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上所述的防御网络攻击的蜜罐构建方法。本专利技术涉及网络安全
,尤其涉及一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质。能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定网络受到攻击的攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对本专利技术实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种防御网络攻击的蜜罐构建方法的流程示意图;图2是本专利技术实施例提供的一种防御网络攻击的蜜罐构建装置的结构示意图;图3是本专利技术实施例提供的一种防御网络攻击的蜜罐构建设备的结构示意图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例,为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本专利技术,并不被配置为限定本专利技术。对于本领域技术人员来说,本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。蜜罐技术主要是通过在网络中部署一台或多台具有弱点的主机,吸引攻击者的注意力,并捕获攻击者的具体攻击行为,从而针对这些攻击行为进行相应的防御部署,进一步对网络的安全进行加固,其中攻击者的本文档来自技高网...
【技术保护点】
1.一种防御网络攻击的蜜罐构建方法,其特征在于,所述方法包括:/n检测网络流量;/n当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;/n根据所述攻击类型确定与所述攻击类型对应的检测函数的容器镜像;/n对所述容器镜像实例化,构建运行所述检测函数的容器用作蜜罐。/n
【技术特征摘要】
1.一种防御网络攻击的蜜罐构建方法,其特征在于,所述方法包括:
检测网络流量;
当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;
根据所述攻击类型确定与所述攻击类型对应的检测函数的容器镜像;
对所述容器镜像实例化,构建运行所述检测函数的容器用作蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述网络流量包括文件访问流量和/或暴力破解流量。
3.根据权利要求2所述的方法,其特征在于,所述网络流量异常包括:
文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,所述服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。
4.根据权利要求3所述的方法,其特征在于,在所述检测网络流量之前,所述方法还包括:
获取所述文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;
所述历史时间段以日为单位,包括一日或多日,统计所述历史时间段中每日所述文件的被访问总次数,每日以小时为单位,统计每日每小时所述文件的被访问次数;
统计每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;
根据每日所述文件的被访问总次数,每日每小时所述文件的被访问次数,每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布确定所述预设访问阈值。
5.根据权利要求1所述的方法,其特征在于,所述攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
6.一种防御网络攻击的蜜罐构建装置,其特征在于,所述装置包括:
检测模块,用于检测网络流量;
第一确定模块,用于当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;
第二确定模块,用于根据所述攻击类型确定...
【专利技术属性】
技术研发人员:白浩,乔栋,王晓宏,张永涛,王升元,王静,
申请(专利权)人:中国移动通信集团内蒙古有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:内蒙;15
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。