本申请实施例提供一种攻击者画像的生成方法、装置及电子设备,其中,该方法包括:获取攻击者的信息;对所述攻击者的信息进行扩展,得到扩展后的攻击者的信息;根据所述攻击者的信息和所述扩展后的攻击者的信息生成攻击者画像。实施实施例,能够获得攻击者更多的信息,对攻击者的信息进行扩展,生成完整的攻击者的画像。画像。画像。
【技术实现步骤摘要】
一种攻击者画像的生成方法、装置及电子设备
[0001]本申请涉及网络安全
,具体而言,涉及一种攻击者画像的生成方法、装置及电子设备。
技术介绍
[0002]随着网络安全理念步入大众视野,攻防演练愈发频繁,网络战争跟真实战争不同的是,我军在明敌军在暗,不知道敌军什么时候开始攻击,从哪里开始攻击,甚至敌军是谁都不知道。这个时候,通过部署蜜罐就可以及时灵敏地感知到敌军是否开始攻击了,从哪里攻击的,想要攻击我军的什么地方,攻击手段是什么,攻击步骤是什么,蜜罐的溯源功能还能帮助找出敌军真实身份是谁。
[0003]蜜罐正是作为主动防御利器而存在的,通过快捷的大量部署,达到高度仿真进而保护真实资产的目的,通过攻击牵制的手段防止攻击范围扩大,通过修改蜜罐环境获取攻击者的身份信息。
[0004]现有的蜜罐技术蜜罐只是吸引攻击火力,并无法刻画出完整的攻击者画像。
技术实现思路
[0005]本申请实施例的目的在于提供一种攻击者画像的生成方法、装置及电子设备,能够获得攻击者更多的信息,对攻击者的信息进行扩展,生成完整的攻击者画像。
[0006]第一方面,本申请实施例提供了一种攻击者画像的生成方法,该方法包括:获取攻击者的信息;对所述攻击者的信息进行扩展,得到扩展后的攻击者的信息;根据所述攻击者的信息和所述扩展后的攻击者的信息生成攻击者画像。
[0007]在上述实现过程中,获取攻击者的信息,现有技术是直接根据攻击者的信息生成攻击者画像,而本申请实施例是对攻击者的信息进行扩展,得到扩展后的攻击者的信息;根据扩展后的攻击者的信息和先前获取的攻击者的信息生成的攻击者画像。基于上述实施方式,生成的攻击者画像比现有技术生成的攻击者画像更加完整,有利于后续对攻击者的分析。
[0008]进一步地,所述攻击者的信息包括:所述攻击者的IP地址、所述攻击者的常用虚拟身份ID、所述攻击者开放的端口、所述攻击者的主机信息中的一种或多种。
[0009]在上述实现过程中,可以获取攻击者的多种信息,有利于攻击者画像的完整生成。
[0010]进一步地,所述攻击者的信息包括:所述攻击者的IP地址;所述获取攻击者的信息的步骤,包括:通过即时通讯技术获取所述攻击者的第一IP地址;通过远程访问技术获取所述攻击者的第二IP地址;判断所述第一IP地址和所述第二IP地址是否相同;若是,将所述第一IP地址或所述第二IP地址确认为所述攻击者的IP地址。
[0011]在上述实现过程中,考虑到现有技术中获取到的攻击者的IP地址通常是攻击者使用的代理IP地址,生成的攻击者画像并不准确。因此,首先通过即时通讯技术获取所述攻击者的第一IP地址,接着,通过远程访问技术获取攻击者的第二IP地址;判断第一IP地址和第二IP地址是否是相同的,如果相同,可以确定上述获取到的第一IP地址和第二IP地址为攻击者的IP地址。基于上述实施方式,能够保证获取到的攻击者的IP地址是准确的。
[0012]进一步地,若所述攻击者的信息包括:所述攻击者的常用虚拟身份ID;所述获取攻击者的信息的步骤,还包括:构造包括JSONP脚本的网页;通过所述JSONP脚本获取使所述攻击者的常用虚拟身份ID。
[0013]在上述实现过程中,JSONP可用于解决主流浏览器的跨域数据访问的问题。利用JSONP劫持技术生成的代码,可以获取到攻击者的常用虚拟身份ID。
[0014]进一步地,若所述攻击者的信息包括:所述攻击者开放的端口;所述获取攻击者的信息的步骤,还包括:构造基于websocket协议的报文;通过所述攻击者的浏览器,将所述websocket协议的报文发送给所述攻击者的多个端口;获取所述攻击者的浏览器返回的特征;根据所述返回的特征获取所述攻击者开放的端口。
[0015]在上述实现过程中,基于websocket协议的报文的特点,可以根据攻击者的浏览器返回的特征,快速地获取攻击者开放的端口。获取了攻击者的开放的端口可以生成更完整的攻击者画像,可以方便后续利用完整的攻击者画像对攻击者进行反制。
[0016]进一步地,若所述攻击者的信息包括:所述攻击者的主机信息;所述获取所述攻击者的信息的步骤,还包括:获取多个扫描工具的漏洞;根据所述多个扫描工具的漏洞设置蜜罐页面;获取所述攻击者利用所述多个扫描工具访问所述蜜罐页面的访问信息;根据所述访问信息获取所述攻击者的主机信息。
[0017]在上述实现过程中,考虑到攻击者都是利用扫描工具对蜜罐系统进行扫描的,而扫描工具存在漏洞,因此,可以根据扫描工具的漏洞设置蜜罐页面,然后获取攻击者利用存在漏洞的扫描工具访问蜜罐页面的访问信息,根据访问信息即可获取到攻击者的主机信息,从而生成完整的攻击者画像。
[0018]进一步地,所述对所述攻击者的信息进行扩展,得到扩展后的攻击者的信息的步骤,包括:根据所述IP地址获取所述攻击者的地理位置、IP属性、网络提供商、所述IP地址的关联域名的一种或多种。
[0019]在上述实现过程中,在上述得到攻击者的真实IP地址之后,根据真实IP地址,可以得到攻击者的地理位置、IP属性、网络提供商、所述IP地址的关联域名,基于上述信息,可以生成更完整的攻击者画像。
[0020]进一步地,所述根据所述攻击者的信息和所述扩展后的攻击者的信息生成所述攻
击者画像的步骤,包括:根据所述攻击者的IP地址、所述攻击者的地理位置、所述IP属性、所述网络提供商、所述IP地址的关联域名、所述攻击者的常用虚拟身份ID、所述攻击者开放的端口、所述主机的信息生成所述攻击者画像。
[0021]在上述实现过程中,上述参数涉及攻击者的所有详细信息,根据上述参数生成的攻击者画像能够方便后续对攻击者进行反制,能够更清楚的获取攻击者的攻击链等。
[0022]第二方面,本申请实施例提供了一种攻击者画像的生成装置,该装置包括:获取模块,用于获取攻击者的信息;扩展模块,用于对所述攻击者的信息进行扩展,得到扩展后的攻击者的信息;生成模块,用于根据所述攻击者的信息和所述扩展后的攻击者的信息生成所述攻击者画像。
[0023]在上述实现过程中,获取模块首先获取攻击者的信息,现有技术是根据攻击者的信息直接生成攻击者画像,而本申请实施例中扩展模块对攻击者的信息进行扩展,得到扩展后的攻击者的信息;生成模块根据扩展后的攻击者的信息和先前获取的攻击者的信息生成的攻击者画像。基于上述实施方式,生成的攻击者画像比现有技术生成的攻击者画像更加完整,有利于后续对攻击者的分析。
[0024]第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
[0025]本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
[0026]为使本申请的上述目的、特征和优点能更本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击者画像的生成方法,其特征在于,包括:获取攻击者的信息;对所述攻击者的信息进行扩展,得到扩展后的攻击者的信息;根据所述攻击者的信息和所述扩展后的攻击者的信息生成攻击者画像。2.根据权利要求1所述的攻击者画像的生成方法,其特征在于,所述攻击者的信息包括:所述攻击者的IP地址、所述攻击者的常用虚拟身份ID、所述攻击者开放的端口、所述攻击者的主机信息中的一种或多种。3.根据权利要求2所述的攻击者画像的生成方法,其特征在于,所述攻击者的信息包括:所述攻击者的IP地址;所述获取攻击者的信息的步骤,包括:通过即时通讯技术获取所述攻击者的第一IP地址;通过远程访问技术获取所述攻击者的第二IP地址;判断所述第一IP地址和所述第二IP地址是否相同;若是,将所述第一IP地址或所述第二IP地址确认为所述攻击者的IP地址。4.根据权利要求2所述的攻击者画像的生成方法,其特征在于,若所述攻击者的信息包括:所述攻击者的常用虚拟身份ID;所述获取攻击者的信息的步骤,还包括:构造包括JSONP脚本的网页;通过所述JSONP脚本获取使所述攻击者的常用虚拟身份ID。5.根据权利要求2所述的攻击者画像的生成方法,其特征在于,若所述攻击者的信息包括:所述攻击者开放的端口;所述获取攻击者的信息的步骤,还包括:构造基于websocket协议的报文;通过所述攻击者的浏览器,将所述websocket协议的报文发送给所述攻击者的多个端口;获取所述攻击者的浏览器返回的特征;根据所述返回的特征获取所述攻击者开放的端口。6.根据权利要求2所述...
【专利技术属性】
技术研发人员:贾振,康吉金,樊兴华,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。