【技术实现步骤摘要】
本专利技术涉及的是信息安全管理,具体涉及一种基于流量监测的带外攻击防御系统及方法。
技术介绍
1、随着信息技术的不断发展,计算机和网络已经成为日常办公、通讯交流和协助互动的必备工具和途径。目前的网络环境中,各种网络攻击方式层出不穷,各类网络安全事件的频频爆发也严重影响着企业和个人的网络信息安全。其中带外通道技术也是攻击者常用的攻击手段,带外通道技术(oob)让攻击者能够通过另一种方式来确认漏洞的存在,在这种没有任何回显或者表现得漏洞中,攻击者无法通过恶意请求直接在响应包中看到漏洞的输出结果。带外通道技术通常需要脆弱的实体来生成带外的tcp/udp/icmp请求,然后,攻击者可以通过这个请求来提取数据。一次oob攻击能够成功逃避监控,绕过防火墙且能更好的隐藏自己。当前的流量检测方法多是面向常规漏洞进行检测,没有一种面向带外攻击的特异化检测系统。
2、随着网络安全不断发展,命令执行、sql注入等漏洞随着防护的增加,正常回显的情况逐渐减少,攻击者开始使用带外攻击的方式获取返回值,而目前没有一个专业的带外攻击防御系统可以对网络环境提供保护,当前的带外攻击防护多为防火墙封禁等,并且并不能进行反制,且当前出现的新型漏洞很多都需要带外攻击进行验证。基于此,开发一种基于流量监测的带外攻击防御系统及方法尤为必要。
技术实现思路
1、针对现有技术上存在的不足,本专利技术目的是在于提供一种基于流量监测的带外攻击防御系统及方法,配置简单,部署方便,对攻击者对系统进行攻击时在无回显的情况下使用带
2、为了实现上述目的,本专利技术是通过如下的技术方案来实现:一种基于流量监测的带外攻击防御系统,包括流量检测模块、带外攻击分析模块、带外攻击漏洞样本库和混淆反制功能模块,具体地:
3、(1)流量检测模块:平台部署后流量检测模块对经过的流量进行监测,获取流量五元组信息、数据包内容信息,并对流量数据进行过滤提取,以供后续的带外攻击分析模块分析;
4、(2)带外攻击分析模块:对流量检测模块获取到的流量进行后续的分析,同时与本地漏洞样本库进行联动,获取漏洞样本信息进行比对;通过带外攻击的特征形成自身的特征库,将流量检测模块返回的数据进行特征比对、内容比对,同时带外攻击分析模块添加深度学习能力,总结特征不断完善形成新的特征库;
5、(3)带外攻击漏洞样本库:分为本地漏洞样本库与云端漏洞样本库,记录需要带外攻击验证的漏洞样本信息,同时根据最新爆出的漏洞进行不断更新;若漏洞样本库不能满足使用时,可自行添加样本数据进行拓展;
6、(4)混淆反制功能模块:内置混淆接口,通过多个不同ip、多种内容定义带外攻击返回数据,干扰混淆攻击者的攻击行为,同时对攻击者进行诱导,便于获取更多攻击者信息。
7、作为优选,所述的流量检测模块在对流量进行过滤的同时,对带外流量的特征进行匹配,通过流量检测模块对此类数据进行提取过滤,将数据转入带外攻击分析模块进行分析验证。
8、作为优选,所述的流量检测模块依据流量接入方式不同形成两种处理方式:若流量接入方式为镜像流量,则只执行检测功能,无法对流量进行实时的封禁与混淆,此部署模式下出现的攻击行为会进行日志记录,需要人工进行处理排查;当流量接入为直连流量,则可以进行流量实时的检测、封禁、混淆。
9、作为优选,所述的带外攻击分析模块设置黑白名单,白名单录入公司可信域名、公司内部业务域名信息,黑名单录入常用带外攻击域名后缀信息,便于平台进行更加精准的识别。
10、获取实时流量进入筛选,根据黑白名单做初步流量分析,将白名单匹配流量进行放行,将黑名单匹配数据进行处理,直连部署直接对此流量进行封禁,也可调用混淆反制功能模块进行混淆与诱导。
11、一种基于流量监测的带外攻击防御方法,其步骤为:
12、①获取用户流量数据信息,通过预设的黑白名单对流量进行初步筛选过滤;
13、②对流量白名单进行放行,对流量黑名单进行拦截或者对其进行攻击混淆;
14、③将过滤后的数据进行威胁情报对比,将比对成功的对象进行拦截处理;
15、④将数据与带外攻击样本库中的漏洞特征进行匹配,将匹配成功的对象进行拦截混淆处理;
16、⑤将以上所有处理的数据进行日志记录,管理员通过查看日志记录对相应规则进行优化。
17、本专利技术的有益效果:本系统配置简单,部署方便,对攻击者对系统进行攻击时在无回显的情况下使用带外攻击进行防护,针对带外攻击形成完备的防护措施,对于无回显0day漏洞起到防护作用,应用前景广阔。
本文档来自技高网...【技术保护点】
1.一种基于流量监测的带外攻击防御系统,其特征在于,包括流量检测模块、带外攻击分析模块、带外攻击漏洞样本库和混淆反制功能模块,具体地:
2.根据权利要求1所述的一种基于流量监测的带外攻击防御系统,其特征在于,所述的流量检测模块在对流量进行过滤的同时,对带外流量的特征进行匹配,通过流量检测模块对此类数据进行提取过滤,将数据转入带外攻击分析模块进行分析验证。
3.根据权利要求1所述的一种基于流量监测的带外攻击防御系统,其特征在于,所述的流量检测模块依据流量接入方式不同形成两种处理方式:若流量接入方式为镜像流量,则只执行检测功能;当流量接入为直连流量,则进行流量实时的检测、封禁、混淆。
4.根据权利要求1所述的一种基于流量监测的带外攻击防御系统,其特征在于,所述的带外攻击分析模块设置黑白名单,白名单录入公司可信域名、公司内部业务域名信息,黑名单录入常用带外攻击域名后缀信息;根据黑白名单做初步流量分析,将白名单匹配流量进行放行,将黑名单匹配数据进行处理,直连部署直接对此流量进行封禁,也可调用混淆反制功能模块进行混淆与诱导。
5.根据权利要求
6.一种基于流量监测的带外攻击防御方法,其特征在于,其步骤为:
...【技术特征摘要】
1.一种基于流量监测的带外攻击防御系统,其特征在于,包括流量检测模块、带外攻击分析模块、带外攻击漏洞样本库和混淆反制功能模块,具体地:
2.根据权利要求1所述的一种基于流量监测的带外攻击防御系统,其特征在于,所述的流量检测模块在对流量进行过滤的同时,对带外流量的特征进行匹配,通过流量检测模块对此类数据进行提取过滤,将数据转入带外攻击分析模块进行分析验证。
3.根据权利要求1所述的一种基于流量监测的带外攻击防御系统,其特征在于,所述的流量检测模块依据流量接入方式不同形成两种处理方式:若流量接入方式为镜像流量,则只执行检测功能;当流量接入为直连流量,则进行流量实时的检测...
【专利技术属性】
技术研发人员:朱孟星,刘震,李璞,赵纪浩,胡玲,
申请(专利权)人:天翼电子商务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。