一种网络攻击防护方法技术

本发明专利技术实施例提供了一种网络攻击防护方法

【技术实现步骤摘要】
一种网络攻击防护方法、装置、电子设备及存储介质


[0001]本专利技术涉及信息安全
，特别是涉及一种网络攻击防护方法
、
装置
、
电子设备及存储介质
。

技术介绍

[0002]钓鱼邮件作为一种常见的网络攻击手段，是企业网络安全的重大威胁之一
。
现有技术中，企业的安全设备通常会拦截钓鱼邮件进行网络攻击防护
。
这样防护钓鱼邮件过于被动，防护力度低
。

技术实现思路

[0003]本专利技术实施例的目的在于提供一种网络攻击防护方法
、
装置
、
电子设备及存储介质，以提高对网络攻击的防护力度
。
具体技术方案如下：
[0004]在本专利技术实施的第一方面，首先提供了一种网络攻击防护方法，应用于安全设备，所述方法包括：
[0005]获得向邮件防护设备所防护的邮箱发送的邮件中的钓鱼邮件；
[0006]在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得钓鱼邮件对应的攻击者的攻击信息；
[0007]根据所述攻击信息，维护防护策略；
[0008]通过攻击防护程序执行所维护的防护策略
。
[0009]可选的，所述钓鱼邮件包括钓鱼网站的连接信息；
[0010]所述在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得攻击者的攻击信息，包括：
[0011]基于所述钓鱼网站的连接信息，分析所述钓鱼网站的网站代码和
/
或网络请求，识别所述钓鱼网站的后台接口；
[0012]通过所述后台接口，向所述攻击者的设备发送被监控的蜜罐账号与密码信息；
[0013]响应于所述攻击者基于所述密码信息登录所述蜜罐账号，获得所述蜜罐账号的登录记录，作为所述攻击者的攻击信息
。
[0014]可选的，所述方法还包括：
[0015]基于所述钓鱼网站的网站代码
、
网络请求
、
所述登录记录中至少一种信息，确定攻击者的互联网协议地址；
[0016]对所述攻击者的互联网协议地址进行漏洞扫描，将扫描发现的漏洞作为所述攻击者的攻击信息
。
[0017]可选的，所述获得所述蜜罐账号的登录记录，作为所述攻击者的攻击信息，包括：
[0018]获得所述蜜罐账号关联的互联网协议地址
、
用户代理
、
设备指纹，以及所述蜜罐账号的访问行为中至少一种信息，作为所述攻击者的攻击信息
。
[0019]可选的，所述钓鱼邮件包括恶意文件，所述恶意文件包括计算机病毒或携带有计
算机病毒的文件；
[0020]所述在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得攻击者的攻击信息，包括：
[0021]分析所述恶意文件的文件类型；
[0022]在所述文件类型对应的沙箱运行环境中运行所述恶意文件；
[0023]监控所述恶意文件的运行行为，将所获得的监控结果作为所述攻击者的攻击信息
。
[0024]可选的，所述监控所述恶意文件的运行行为，将所获得的监控结果作为所述攻击者的攻击信息，包括：
[0025]监控运行所述恶意文件产生的网络请求，基于监控结果，获得所述网络请求关联的互联网协议地址，作为所述攻击者的攻击信息；
[0026]和
/
或
[0027]监控所述恶意文件释放的后门程序的执行路径，将所述执行路径作为所述攻击者的攻击信息
。
[0028]可选的，所述监控所述恶意文件的运行行为，将所获得的监控结果作为所述攻击者的攻击信息，包括：
[0029]监控所述恶意文件的运行行为，基于监控结果，获得所述恶意文件的文件指纹和
/
或所述恶意文件的注册表信息，作为所述攻击者的攻击信息
。
[0030]可选的，所述方法还包括：
[0031]监控所述攻击者请求目标服务器执行的操作，基于监控结果获得所述攻击者的攻击信息，其中，所述目标服务器为：所述钓鱼邮件请求连接的虚拟服务器
。
[0032]可选的，所述方法还包括：
[0033]在第三方平台中查询与已获得的所述攻击者的攻击信息相匹配的信息，作为所述攻击者的攻击信息
。
[0034]可选的，所述根据所述攻击信息，维护防护策略，包括以下方式中至少一种：
[0035]根据所述攻击信息，维护钓鱼邮件的拦截策略；
[0036]根据所述攻击信息，维护漏洞修复策略；
[0037]根据所述攻击信息，维护干扰攻击行为策略
。
[0038]可选的，所述通过攻击防护程序执行所维护的防护策略，包括：
[0039]通过攻击防护程序断开所述攻击者与所述攻击者的设备的连接；
[0040]和
/
或
[0041]通过攻击防护程序向所述攻击者的设备发送虚假信息
。
[0042]在本专利技术实施的第二方面，还提供了一种网络攻击防护装置，所述装置包括：
[0043]钓鱼邮件获得模块，用于获得向邮件防护设备所防护的邮箱发送的邮件中的钓鱼邮件；
[0044]攻击信息获得模块，用于在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得钓鱼邮件对应的攻击者的攻击信息；
[0045]防护策略维护模块，用于根据所述攻击信息，维护防护策略；
[0046]网络攻击防护模块，用于通过攻击防护程序执行所维护的防护策略
。
[0047]可选的，所述钓鱼邮件包括钓鱼网站的连接信息；
[0048]所述攻击信息获得模块，包括：
[0049]接口识别单元，用于基于所述钓鱼网站的连接信息，分析所述钓鱼网站的网站代码和
/
或网络请求，识别所述钓鱼网站的后台接口；
[0050]账号发送单元，用于通过所述后台接口，向所述攻击者的设备发送被监控的蜜罐账号与密码信息；
[0051]第一攻击信息获得单元，用于响应于所述攻击者基于所述密码信息登录所述蜜罐账号，获得所述蜜罐账号的登录记录，作为所述攻击者的攻击信息
。
[0052]可选的，所述装置还包括：
[0053]地址确定模块，用于基于所述钓鱼网站的网站代码
、
网络请求
、
所述登录记录中至少一种信息，确定攻击者的互联网协议地址；
[0054]漏洞扫描模块，用于对所述攻击者的互联网协议地址进行漏洞扫描，将扫描发现的漏洞作为所述攻击者的攻击信息
。
[0055]可选的，所述第一攻击信息获得单元，具体用于获得所述蜜罐账号关联的互联网协议地址
、
用户代理
、
设备指纹，以及所述蜜罐账号的访问行为中至少一种信息，作为所述攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种网络攻击防护方法，其特征在于，应用于安全设备，所述方法包括：获得向邮件防护设备所防护的邮箱发送的邮件中的钓鱼邮件；在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得钓鱼邮件对应的攻击者的攻击信息；根据所述攻击信息，维护防护策略；通过攻击防护程序执行所维护的防护策略
。2.
根据权利要求1所述的方法，其特征在于，所述钓鱼邮件包括钓鱼网站的连接信息；所述在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得攻击者的攻击信息，包括：基于所述钓鱼网站的连接信息，分析所述钓鱼网站的网站代码和
/
或网络请求，识别所述钓鱼网站的后台接口；通过所述后台接口，向所述攻击者的设备发送被监控的蜜罐账号与密码信息；响应于所述攻击者基于所述密码信息登录所述蜜罐账号，获得所述蜜罐账号的登录记录，作为所述攻击者的攻击信息
。3.
根据权利要求2所述的方法，其特征在于，所述方法还包括：基于所述钓鱼网站的网站代码
、
网络请求
、
所述登录记录中至少一种信息，确定攻击者的互联网协议地址；对所述攻击者的互联网协议地址进行漏洞扫描，将扫描发现的漏洞作为所述攻击者的攻击信息
。4.
根据权利要求2所述的方法，其特征在于，所述获得所述蜜罐账号的登录记录，作为所述攻击者的攻击信息，包括：获得所述蜜罐账号关联的互联网协议地址
、
用户代理
、
设备指纹，以及所述蜜罐账号的访问行为中至少一种信息，作为所述攻击者的攻击信息
。5.
根据权利要求1所述的方法，其特征在于，所述钓鱼邮件包括恶意文件，所述恶意文件包括计算机病毒或携带有计算机病毒的文件；所述在虚拟环境中响应钓鱼邮件请求的操作，基于所述操作的执行结果，获得攻击者的攻击信息，包括：分析所述恶意文件的文件类型；在所述文件类型对应的沙箱运行环境中运行所述恶意文件；监控所述恶意文件的运行行为，将所获得的监控结果作为所述攻击者的攻击信息
。6.
根据权利要求5所述的方法，其特征在于，所述监控所述恶意文件的运行行为，将所获得的监控结果作为所述攻击者的攻击信息，包括：监控运行所述恶意文件产生的网络请求，基于监控结果，获得所述网络请求关联的互联网协议地址，作为所述攻击者的攻击信息；和
/
或监控所述恶意文件释放的后门程序的执行路径，将所述执行路径作为所述攻击者的攻击信息
。7.

【专利技术属性】
技术研发人员：王瀚，李劼杰，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：