一种网络防御方法、装置、设备及存储介质制造方法及图纸

本申请公开了一种网络防御方法、装置、设备及存储介质，涉及网络安全技术领域。应用于web服务器，该方法包括：获取用户终端发送的web请求流量并判断是否包含网络攻击行为；当包含网络攻击行为时触发预设防御规则以拦截网络攻击行为并获取攻击者信息；预设防御规则为预先根据web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码；根据攻击者信息将网络攻击行为转发至蜜罐网络，并利用其中的多个蜜罐镜像针对网络攻击行为进行反制；蜜罐镜像包括对web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。通过本申请的技术方案，不仅可以精准定位攻击行为，还能通过各种蜜罐镜像反制溯源攻击者，提高企业的安全防护能力。防护能力。防护能力。

【技术实现步骤摘要】
一种网络防御方法、装置、设备及存储介质


[0001]本专利技术涉及网络安全
，特别涉及一种网络防御方法、装置、设备及存储介质。

技术介绍

[0002]随着互联网的发展和应用，基本上所有的中大型企业都普遍存在各种网络安全的问题，为了及时发现并防御这些事件，大部分企业都会布置入侵检测装置，其中蜜罐技术也被广泛的使用在了内部及边界网络中。蜜罐技术到今天为止也发展了很长一段时间，传统的蜜罐系统都是针对单个主机基于单个存在漏洞的应用或系统开发的，通过部署与主机相同的系统或应用，目的是诱导攻击者去攻击这个应用。通常会将蜜罐系统部署到外网边界或者内网中，当攻击者攻击蜜罐时就会告警，攻击者在攻击成功后所做的所有操作被记录下来，一般在此基础上加入一些检测及反制的功能。这种蜜罐系统缺陷也很明显，只有攻击者攻击了这个应用，才会触发告警，过于被动且反制方法单一，容易被识破，对于熟练的攻击者而言能够轻易分辨出来，他们会根据目标的安全状况选择攻击点，不会盲目攻击，所以不一定能捕获到攻击行为。经过近几年的攻防对抗的环境下，会发现各种搜索引擎开始把蜜罐特征列入收录的资产范围并提示警告该系统为蜜罐，导致攻击方能够直接的发现蜜罐，导致蜜罐无法迷惑攻击者，无法有效的保护服务器。并且传统的蜜罐系统功能单一，只能够被动的收集攻击者的信息，无法精准定位攻击者，这些问题不解决会导致部署的蜜罐无法发挥其作用，浪费企业资源。
[0003]综上，如何精准定位攻击者，提高反制成功率是目前有待解决的问题。

技术实现思路

[0004]有鉴于此，本专利技术的目的在于提供一种网络防御方法、装置、设备及存储介质，能够精准定位攻击者，提高反制成功率。其具体方案如下：
[0005]第一方面，本申请公开了一种网络防御方法，应用于web服务器，包括：
[0006]获取用户终端发送的web请求流量，并判断所述web请求流量中是否包含网络攻击行为；
[0007]当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息；其中，所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码；
[0008]根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络，并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制；其中，所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
[0009]可选的，所述判断所述web请求流量中是否包含网络攻击行为，包括：
[0010]如果所述web请求流量中包含所述网络攻击行为，则在所述利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制之后，通过所述蜜罐网络返回相应的响应
包；
[0011]如果所述web请求流量中不包含所述网络攻击行为，则通过所述web服务器对所述web请求流量进行响应并返回相应的响应包。
[0012]可选的，所述判断所述web请求流量中是否包含网络攻击行为，包括：
[0013]判断所述web请求流量中是否包含0day攻击和/或1day攻击；
[0014]相应的，所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息，包括：
[0015]当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则，以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息。
[0016]可选的，所述判断所述web请求流量中是否包含网络攻击行为，包括：
[0017]如果所述web请求流量中包含所述网络攻击行为，则获取所述网络攻击行为对应的攻击者的攻击IP地址，并将所述攻击IP地址和所述网络攻击行为存放至黑名单，以便根据所述黑名单进行告警并在所述攻击者上线后发出反制提示；
[0018]如果所述web请求流量中不包含所述网络攻击行为，则获取当前的web请求流量对应的正常用户的请求IP地址，并将所述请求IP地址存放至白名单，以便根据所述白名单对所述web请求流量进行响应。
[0019]可选的，所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息之前，还包括：
[0020]确定所述web服务器的环境信息，并获取相应的操作规则；
[0021]基于所述操作规则，利用预设应用程序编程接口插入hook敏感函数进行自动化部署，以得到所述预设防御规则。
[0022]可选的，所述根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络，并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制，包括：
[0023]根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络，并通过所述蜜罐网络对所述web服务器进行克隆，以得到所述web服务器的克隆镜像；
[0024]清除所述克隆镜像中的敏感数据，并针对所述克隆镜像部署反制蜜罐镜像，以针对所述网络攻击行为进行反制。
[0025]可选的，所述针对所述克隆镜像部署反制蜜罐镜像，以针对所述网络攻击行为进行反制，包括：
[0026]针对所述克隆镜像部署挂有水坑攻击的蜜罐镜像、存放木马文件的源码仓库的蜜罐镜像、通过恶意代码收集所述攻击者的敏感信息的蜜罐镜像中的任意一种或几种的组合，以针对所述网络攻击行为进行反制。
[0027]第二方面，本申请公开了一种网络防御装置，应用于web服务器，包括：
[0028]流量获取模块，用于获取用户终端发送的web请求流量；
[0029]行为判断模块，用于判断所述web请求流量中是否包含网络攻击行为；
[0030]防御触发模块，用于当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息；其中，所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码；
[0031]反制模块，用于根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络，并利
用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制；其中，所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。
[0032]第三方面，本申请公开了一种电子设备，所述电子设备包括处理器和存储器；其中，所述存储器用于存储计算机程序，所述计算机程序由所述处理器加载并执行以实现如前所述的网络防御方法。
[0033]第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中所述计算机程序被处理器执行时实现如前所述的网络防御方法。
[0034]本申请提供了一种网络防御方法，应用于web服务器，首先获取用户终端发送的web请求流量，并判断所述web请求流量中是否包含网络攻击行为；当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息；其中，所述预设防御规则为预本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络防御方法，其特征在于，应用于web服务器，包括：获取用户终端发送的web请求流量，并判断所述web请求流量中是否包含网络攻击行为；当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息；其中，所述预设防御规则为预先根据所述web服务器的环境信息利用插桩式技术嵌入的检测漏洞的代码；根据所述攻击者信息将所述网络攻击行为转发至蜜罐网络，并利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制；其中，所述蜜罐镜像包括对所述web服务器进行克隆后得到的镜像以及多个部署有预设恶意程序的镜像。2.根据权利要求1所述的网络防御方法，其特征在于，所述判断所述web请求流量中是否包含网络攻击行为，包括：如果所述web请求流量中包含所述网络攻击行为，则在所述利用所述蜜罐网络中的多个蜜罐镜像针对所述网络攻击行为进行反制之后，通过所述蜜罐网络返回相应的响应包；如果所述web请求流量中不包含所述网络攻击行为，则通过所述web服务器对所述web请求流量进行响应并返回相应的响应包。3.根据权利要求1所述的网络防御方法，其特征在于，所述判断所述web请求流量中是否包含网络攻击行为，包括：判断所述web请求流量中是否包含0day攻击和/或1day攻击；相应的，所述当所述web请求流量中包含所述网络攻击行为时触发预设防御规则，以拦截所述网络攻击行为并获取攻击者信息，包括：当所述web请求流量中包含所述0day攻击和/或所述1day攻击时触发预设防御规则，以拦截所述0day攻击和/或所述1day攻击并获取攻击者信息。4.根据权利要求1所述的网络防御方法，其特征在于，所述判断所述web请求流量中是否包含网络攻击行为，包括：如果所述web请求流量中包含所述网络攻击行为，则获取所述网络攻击行为对应的攻击者的攻击IP地址，并将所述攻击IP地址和所述网络攻击行为存放至黑名单，以便根据所述黑名单进行告警并在所述攻击者上线后发出反制提示；如果所述web请求流量中不包含所述网络攻击行为，则获取当前的web请求流量对应的正常用户的请求IP地址，并将所述请求IP地址存放至白名单，以便根据所述白名单对所述web请求流量进行响应。5.根据权利要求1所述的网络防御方法，其特征在于，所述当所述web请求流量...

【专利技术属性】
技术研发人员：刘永鹏，龚子倬，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：