本发明专利技术实施例公开一种网络攻击防御检测方法、装置、电子设备及存储介质,涉及网络安全技术领域。所述方法包括:接收用户发送的服务请求消息;判断所述服务请求消息中是否携带有获取主机环境信息的行为;若是,则确定所述用户为疑似攻击者。这样,在攻击者实施正式攻击之前,便于及时检测出潜在的网络攻击行为,从而在一定程度上可以解决防御滞后性的问题。本发明专利技术适用于网络安全防御场景中。发明专利技术适用于网络安全防御场景中。发明专利技术适用于网络安全防御场景中。
【技术实现步骤摘要】
网络攻击防御检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种网络攻击防御检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着网络安全信息技术的快速发展,计算机系统及一些应用程序存在的安全漏洞为攻击者(Attacker,俗称黑客)实施网络攻击提供了便利。本申请的专利技术人在实现本专利技术创造的过程中发现:由于蜜罐(Honeypot)的出现,攻击者在进行网络攻击时,一般会进行攻击目标的环境信息验证,来确认是否为硬件主机,从而力图避免落入防御方设置的诱捕陷阱中。
[0003]然而,当前对网络攻击者进行防御检测,一般是在网络攻击者正式实施攻击之后,通过防火墙收集的日志信息进行分析,例如,通过日志信息中的IP地址等判断是否为网络攻击者,再实施防御处理,此时很可能网络攻击者已经潜入内网,存在一定的防御滞后性。
技术实现思路
[0004]有鉴于此,本专利技术实施例提供一种网络攻击防御检测方法、装置、电子设备及存储介质,便于及时检测出潜在的网络攻击行为,从而在一定程度上可以解决防御滞后性的问题。
[0005]第一方面,本专利技术实施例提供的网络攻击防御检测方法,包括步骤:接收用户发送的服务请求消息;判断所述服务请求消息中是否携带有获取主机环境信息的行为;若是,则确定所述用户为疑似攻击者。
[0006]可选地,在所述若是,则确定所述用户为疑似攻击者之后,所述方法还包括:根据具有获取主机环境信息权限的合法账户信息,判断所述用户是否为预设合法账户;若不是,则确定所述用户为攻击者。
[0007]可选地,在确定所述用户为攻击者之后,所述方法还包括:阻断所述用户获取环境信息的行为,和/或发出告警。
[0008]可选地,所述方法还包括:预先配置获取主机环境信息权限的合法账户;合法账户的信息包含:账户名;
[0009]所述根据具有获取主机环境信息权限的合法账户信息,判断所述用户是否为预设合法账户;包括:将所述用户的真实账户名或所述用户的伪装账户名与所述合法账户的账户名进行匹配;若不一致,则确定所述用户非预设合法账户。
[0010]可选地,所述合法账户包含:运维用户主机账户。
[0011]可选地,所述服务请求消息中携带有所述用户的IP地址;在确定所述用户为攻击者之后,所述方法还包括:将所述用户的IP地址保存至黑名单列表中;和/或,
[0012]根据所述用户的IP地址构建该用户的网络攻击链。
[0013]可选地,所述判断所述服务请求消息中是否携带有获取主机环境信息的行为包
括:解析所述服务请求消息,得到所述服务请求消息中携带的指令;检测所述指令中是否包含用于获取主机MAC地址和/或是否支持虚拟化标识信息的目标指令;若是,则确定所述服务请求消息中携带有获取主机环境信息的行为。
[0014]第二方面,本专利技术还实施例提供一种网络攻击防御检测装置,包括:接收程序模块,用于接收用户发送的服务请求消息;第一判断程序模块,用于判断所述服务请求消息中是否携带有获取主机环境信息的行为;确定程序模块,用于若是,则确定所述用户为疑似攻击者。
[0015]第三方面,本专利技术还实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面任一所述的网络攻击防御检测方法。
[0016]第四方面,本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面任一所述的网络攻击防御检测方法。
[0017]区别于以往在网络攻击者发起正式攻击之后对其进行攻击检测的方案,本专利技术实施例提供的网络攻击防御检测方法、装置、电子设备及存储介质,针对攻击者实施网络攻击时一般会进行攻击目标的环境信息验证的特点,在接收到用户发送的服务请求消息时,根据所述服务请求消息中是否携带有获取主机环境信息的行为,来确定所述用户为疑似攻击者。这样,在攻击者实施正式攻击之前,便于及时检测出潜在的网络攻击行为,从而在一定程度上可以解决防御滞后性的问题。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0019]图1为本专利技术一实施例网络攻击防御检测方法流程示意图;
[0020]图2为本专利技术另一实施例网络攻击防御检测方法流程示意图;
[0021]图3为本专利技术再一实施例网络攻击防御检测方法流程示意图;
[0022]图4为本专利技术网络攻击防御检测装置一实施例架构示意图;
[0023]图5为本专利技术网络攻击防御检测装置另一实施例架构示意图;
[0024]图6为本专利技术电子设备一个实施例的架构示意框图。
具体实施方式
[0025]下面结合附图对本专利技术实施例进行详细描述。
[0026]应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。
[0027]当前,各种网络攻击行为检测方法层出不穷,但其基本上都是根据传统的防御检测构思,在网络攻击者正式实施攻击后,通过各种手段进行检测,具有一定的防御滞后性。
[0028]而如果能够在攻击者正式实施攻击之前,就检测出潜在的网络攻击行为,将在一定程度上可以解决防御滞后性问题。
[0029]本申请的专利技术人在长期网络安全工程实践中,创造性地发现:由于蜜罐(Honeypot)的出现,攻击者在进行网络攻击时,一般会进行攻击目标的环境信息验证,来确认是否为硬件主机,从而力图避免落入防御方设置的诱捕陷阱中。
[0030]针对这一变化的攻击新特点,本申请实施例提供的网络攻击防御检测方法、装置、电子设备及存储介质,便于在网络攻击者尚未正式实施攻击之前,即在攻击付诸实施之前得准备工作阶段,及时检测出潜在的网络攻击行为,从而在一定程度上可以解决防御滞后性的问题。
[0031]实施例一
[0032]图1为本专利技术一实施例引诱网络攻击者攻击方法的流程示意图,请参看图1所示,本专利技术实施例提供的网络攻击防御检测方法,可应用于网络安全防御场景中;需要说明的是,该方法可以以软件的形式固化于某一制造的产品中,当用户在使用该产品时,可以再现本申请的方法步骤流程。
[0033]所述网络攻击防御检测方法,可以包括步骤:
[0034]S110、接收用户发送的服务本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击防御检测方法,其特征在于,包括步骤:接收用户发送的服务请求消息;判断所述服务请求消息中是否携带有获取主机环境信息的行为;若是,则确定所述用户为疑似攻击者。2.如权利要求1所述的网络攻击防御检测方法,其特征在于,在所述若是,则确定所述用户为疑似攻击者之后,所述方法还包括:根据具有获取主机环境信息权限的合法账户信息,判断所述用户是否为预设合法账户;若不是,则确定所述用户为攻击者。3.如权利要求1所述的网络攻击防御检测方法,其特征在于,在确定所述用户为攻击者之后,所述方法还包括:阻断所述用户获取环境信息的行为,和/或发出告警。4.如权利要求2所述的网络攻击防御检测方法,其特征在于,所述方法还包括:预先配置获取主机环境信息权限的合法账户;合法账户的信息包含:账户名;所述根据具有获取主机环境信息权限的合法账户信息,判断所述用户是否为预设合法账户;包括:将所述用户的真实账户名或所述用户的伪装账户名与所述合法账户的账户名进行匹配;若不一致,则确定所述用户非预设合法账户。5.如权利要求4所述的网络攻击防御检测方法,其特征在于,所述合法账户包含:运维用户主机账户。6.如权利要求3所述的网络攻击防御检测方法,其特征在于,所述服务请求消息中携带有所述用户的IP地址;在确定所述用户为攻击者之后,所述方法还包括:将所述用户的IP地址保存至黑名单列表中;和/或,根据所述用户的IP地址构建该用户的网络攻击链。7.如权利要求1所述的网络攻击防御检测方法,其特征在于,所述判断所述服务请求消息中是...
【专利技术属性】
技术研发人员:李丹,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。