本公开提供了一种网络攻击对抗方法,可以应用于信息安全技术领域。该方法包括:通过部署在网络系统中的攻击扫描探针扫描网络攻击行为数据;对扫描到的所述网络攻击行为数据按照攻击行为进行分类;获取与第一类别对应的第一对抗技术信息,其中,所述第一类别为分类出的多个类别中的任意一个;基于所述第一对抗技术信息和第一类别中的属于第一攻击者的所述网络攻击行为数据,组装第一诱捕装置;以及部署所述第一诱捕装置到所述网络系统中,其中,在所述网络系统中向所述第一攻击者仅开放所述第一诱捕装置的访问权限。本公开还提供了一种网络攻击对抗装置、设备、存储介质和程序产品。品。品。
【技术实现步骤摘要】
网络攻击对抗方法、装置、设备和介质
[0001]本公开涉及信息安全领域,更具体地涉及一种网络攻击对抗方法、装置、设备、介质和程序产品。
技术介绍
[0002]随着网络攻击愈发激烈,现有的防御模式已经从传统的被动防御转变为主动出击,通过欺骗、诱导等技术将攻击者引导至防守方提前设置的“陷阱”内,一是增加攻击者的攻击成本(时间、资源等),二是通过真真假假的系统迷惑攻击者,以有效保护原本资产的同时对攻击者以震慑,三是通过观察攻击者行为,有效掌握先进的攻击手法。
[0003]目前常见的攻击对抗模式是在互联网上提前部署好蜜罐等“陷阱”,等待攻击者上钩,但由于攻击者行为多样,踩中“陷阱”的机会随机,且传统蜜罐的攻击溯源效果有限。如果攻击者未命中蜜罐规则,可能无法溯源,且传统蜜罐仅能增加攻击者攻击成本,并不能保证攻击者不对其他正常资产继续发起攻击。
技术实现思路
[0004]鉴于上述问题,本公开提供了提高诱捕命中率和诱捕针对性的网络攻击对抗方法、装置、设备、介质和程序产品。
[0005]本公开实施例的第一方面,提供了一种网络攻击对抗方法。所述方法包括:通过部署在网络系统中的攻击扫描探针扫描网络攻击行为数据;对扫描到的所述网络攻击行为数据进行分类,其中,将具有相同攻击行为的所述网络攻击行为数据分类到同一类别中;获取与第一类别对应的第一对抗技术信息,其中,所述第一类别为分类出的多个类别中的任意一个;基于所述第一对抗技术信息和所述第一类别中的属于第一攻击者的所述网络攻击行为数据,组装第一诱捕装置;以及部署所述第一诱捕装置到所述网络系统中,其中,在所述网络系统中向所述第一攻击者仅开放所述第一诱捕装置的访问权限。
[0006]根据本公开的实施例,所述组装第一诱捕装置包括:从分类到第一类别中属于第一攻击者的所述网络攻击行为数据中,提取与所述第一类别对应的第一关键信息;其中,不同类别对应的关键信息不同;以及基于所述第一关键信息和所述第一对抗技术信息,组装所述第一诱捕装置。
[0007]根据本公开的实施例,所述对扫描到的所述网络攻击行为数据进行分类时的类别包括以下至少之一:暴力破解攻击、端口扫描攻击、组件漏洞攻击或应用漏洞攻击。
[0008]根据本公开的实施例,所述不同类别对应的关键信息不同包括:暴力破解攻击对应的关键信息包括账号密码字典库;端口扫描攻击对应的关键信息包括端口信息;组件漏洞攻击对应的关键信息包括漏洞编号和/或漏洞扫描工具的指纹;应用漏洞攻击对应的关键信息包括漏洞类型。
[0009]根据本公开的实施例,所述获取与第一类别对应的第一对抗技术信息包括:获取所述第一类别中的攻击行为的攻击技术和攻击弱点;以及基于所述第一类别中的攻击行为
的攻击技术和攻击弱点,从Engage矩阵中获取所述第一对抗技术信息。
[0010]根据本公开的实施例,所述方法还包括:确定分类到同一类别中的由攻击扫描探针在同一时段内扫描到的所述网络攻击行为数据,属于同一个攻击者。
[0011]根据本公开的实施例,所述部署所述第一诱捕装置到所述网络系统中还包括:部署所述第一诱捕装置与所述网络系统中的虚拟网络系统通信,其中,所述虚拟网络系统与所述网络系统中的真实网络系统不通信。
[0012]本公开实施例的第二方面,提供了一种网络攻击对抗装置。所述网络攻击对抗装置包括:攻击信息获取模块、对抗映射模块、对抗装置组装模块和攻击阻断模块。攻击信息获取模块,用于通过部署在网络系统中的攻击扫描探针扫描攻击行为数据。对抗映射模块,用于:对扫描到的所述网络攻击行为数据进行分类,其中,将具有相同攻击行为的所述网络攻击行为数据分类到同一类别中;获取与第一类别对应的第一对抗技术信息,其中,所述第一类别为分类出的多个类别中的任意一个,其中,不同类别对应的对抗技术信息不同。对抗装置组装模块,用于基于所述第一对抗技术信息和所述第一类别中的属于第一攻击者的所述网络攻击行为数据,组装第一诱捕装置。攻击阻断模块,用于部署所述第一诱捕装置到所述网络系统中,其中,在所述网络系统中向所述第一攻击者仅开放所述第一诱捕装置的访问权限。
[0013]根据本公开的实施例,所述对抗映射模块还用于获取所述第一类别中的攻击行为的攻击技术和攻击弱点;以及基于所述第一类别中的攻击行为的攻击技术和攻击弱点,从Engage矩阵中获取所述第一对抗技术信息。
[0014]根据本公开的实施例,所述对抗装置组装模块还用于确定分类到同一类别中的由攻击扫描探针在同一时段内扫描到的所述网络攻击行为数据,属于同一个攻击者。
[0015]根据本公开的实施例,所述攻击阻断模块还用于部署所述第一诱捕装置与所述网络系统中的用于安全防御的虚拟网络系统通信,其中,所述虚拟网络系统与所述网络系统中的真实网络系统不通信。
[0016]本公开实施例的第三方面,提供了一种电子设备。所述电子设备包括一个或多个处理器和存储器。所述存储器用于存储一个或多个程序。其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
[0017]本公开实施例的第四方面,还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
[0018]本公开实施例的第五方面,还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
[0019]上述一个或多个实施例具有如下优点或有益效果:在一定程度上解决了蜜罐命中率低、溯源难度大,无法主动对抗的难题,通过监控并分析攻击者扫描行为特征,针对攻击技术中的弱点预置对抗技术,从而可以自动化定制针对性的诱捕装置,可有效提高诱骗攻击者的命中率,增加溯源反制能力。
附图说明
[0020]通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
[0021]图1示意性示出了根据本公开实施例的网络攻击对抗方法、装置、设备、介质和程序产品的应用场景图;
[0022]图2示意性示出了根据本公开一实施例的网络攻击对抗方法的流程图;
[0023]图3示意性示出了根据本公开另一实施例的网络攻击对抗方法的流程图;
[0024]图4示意性示出了根据本公开一实施例的网络攻击对抗装置的结构框图;
[0025]图5示意性示出了根据本公开一实施例的网络攻击对抗装置中攻击信息获取模块的结构框图;以及
[0026]图6示意性示出了适于实现根据本公开实施例的网络攻击对抗方法的电子设备的方框图。
具体实施方式
[0027]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络攻击对抗方法,包括:通过部署在网络系统中的攻击扫描探针扫描网络攻击行为数据;对扫描到的所述网络攻击行为数据进行分类,其中,将具有相同攻击行为的所述网络攻击行为数据分类到同一类别中;获取与第一类别对应的第一对抗技术信息,其中,所述第一类别为分类出的多个类别中的任意一个;基于所述第一对抗技术信息和所述第一类别中的属于第一攻击者的所述网络攻击行为数据,组装第一诱捕装置;以及部署所述第一诱捕装置到所述网络系统中,其中,在所述网络系统中向所述第一攻击者仅开放所述第一诱捕装置的访问权限。2.根据权利要求1所述的方法,其中,所述组装第一诱捕装置包括:从分类到第一类别中属于第一攻击者的所述网络攻击行为数据中,提取与所述第一类别对应的第一关键信息;其中,不同类别对应的关键信息不同;以及基于所述第一关键信息和所述第一对抗技术信息,组装所述第一诱捕装置。3.根据权利要求2所述的方法,其中,所述对扫描到的所述网络攻击行为数据进行分类时的类别包括以下至少之一:暴力破解攻击、端口扫描攻击、组件漏洞攻击或应用漏洞攻击。4.根据权利要求3所述的方法,其中,所述不同类别对应的关键信息不同包括:暴力破解攻击对应的关键信息包括账号密码字典库;端口扫描攻击对应的关键信息包括端口信息;组件漏洞攻击对应的关键信息包括漏洞编号和/或漏洞扫描工具的指纹;应用漏洞攻击对应的关键信息包括漏洞类型。5.根据权利要求1所述的方法,其中,所述获取与第一类别对应的第一对抗技术信息包括:获取所述第一类别中的攻击行为的攻击技术和攻击弱点;以及基于所述第一类别中的攻击行为的攻击技术和攻击弱点,从Engage矩阵中获取所述第一对抗技术信息。6.根据...
【专利技术属性】
技术研发人员:魏兴,旷亚和,战姝宇,范鑫禹,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。