导航：首页> 输送；包装；贮存；搬运薄的或细丝状材料>攻击行为防御方法、装置、设备及存储介质

攻击行为防御方法、装置、设备及存储介质

文献发布时间：2024-01-17 01:20:32

技术领域

本申请涉及网络安全技术领域，特别涉及一种攻击行为防御方法、装置、设备及存储介质。

背景技术

随着网络技术的发展，各种网络攻击行为频频发生，导致企业的业务系统遭到破坏，影响企业的正常经营。相关技术中，通过对访问业务系统的流量进行检测，将具有网络攻击行为的异常流量转发至预先设置的蜜网系统中，进一步通过蜜网系统获取攻击行为的相关数据，以此作为依据来增强业务系统的防御策略。

上述技术中，由于对异常流量进行转发的操作很容易被攻击者识别，因此无法诱使攻击者进行进一步的攻击行为，导致无法获取到完整的攻击行为数据，也就无法基于获取到的数据，对攻击行为进行完善的防御。

发明内容

本申请实施例提供了一种攻击行为防御方法、装置、设备及存储介质，该方法能够在攻击者无感知的情况下，捕获攻击者发起的攻击行为，从而获取到完整的攻击行为数据，从而能够对攻击行为进行更加完善的防御。该技术方案如下：

一方面，提供了一种攻击行为防御方法，该方法包括：

运行业务系统中目标漏洞对应的至少一个虚拟机，该虚拟机运行有虚拟业务系统，该虚拟业务系统用于模拟该业务系统中网络节点的业务逻辑；

通过该至少一个虚拟机的管理器，获取该至少一个虚拟机的底层运行数据，该底层运行数据用于表示该至少一个虚拟机所受到的攻击行为；

对于任一该虚拟机，基于该虚拟机的底层运行数据，确定该虚拟机对应的攻击模型，该攻击模型用于描述该虚拟机受到的攻击行为；

基于该攻击模型对应的隔离策略，对该虚拟机的目标连接进行处理，该隔离策略用于防御该虚拟机受到的攻击行为，该目标连接对应于该隔离策略。

一方面，提供了一种攻击行为防御装置，该装置包括：

运行模块，用于运行业务系统中目标漏洞对应的至少一个虚拟机，该虚拟机运行有虚拟业务系统，该虚拟业务系统用于模拟该业务系统中网络节点的业务逻辑；

获取模块，用于通过该至少一个虚拟机的管理器，获取该至少一个虚拟机的底层运行数据，该底层运行数据用于表示该至少一个虚拟机所受到的攻击行为；

确定模块，用于对于任一该虚拟机，基于该虚拟机的底层运行数据，确定该虚拟机对应的攻击模型，该攻击模型用于描述该虚拟机受到的攻击行为；

防御模块，用于基于该攻击模型对应的隔离策略，对该虚拟机的目标连接进行处理，该隔离策略用于防御该虚拟机受到的攻击行为，该目标连接对应于该隔离策略。

在一些实施例中，该获取模块，用于通过该至少一个虚拟机的管理器，获取目标代码的调用信息，该目标代码用于对该至少一个虚拟机执行目标行为，该管理器与该至少一个虚拟机相互独立；响应于基于该调用信息检测到对该目标代码的调用操作，获取该至少一个虚拟机的底层运行数据。

在一些实施例中，该装置还包括：

停止模块，停止运行该目标代码。

在一些实施例中，该防御模块包括：

第一处理子模块，用于在该攻击模型指示该攻击行为包括虚拟机之间的操作的情况下，断开该虚拟机与其他虚拟机的连接；

第二处理子模块，用于在该攻击模型指示该攻击行为包括访问非正常网页的情况下，断开该虚拟机的网络连接；

第三处理子模块，用于在该攻击模型指示该攻击行为包括从该虚拟机中下载文件的情况下，断开该虚拟机与其他设备之间的网络连接；

第四处理子模块，用于在该攻击模型指示该攻击行为包括从该虚拟机中下载文件的情况下，限制该虚拟机与其他设备之间基于网络连接所发送的数据类型。

在一些实施例中，该第一处理子模块，用于基于该虚拟机的底层运行数据，确定被该虚拟机操作的目标虚拟机的数量；若该目标虚拟的数量大于第一数量阈值，断开该虚拟机与其他所有虚拟机的连接；若该目标虚拟机的数量小于或等于第一数量阈值，断开该虚拟机与该目标虚拟机的连接。

在一些实施例中，该第二处理子模块，用于基于该虚拟机的底层运行数据，确定该虚拟机的目标网络端口，该目标网络端口为与该非正常网页对应的网络端口；若该目标网络端口的数量大于第二数量阈值，禁用该虚拟机的所有网络端口；若该目标网络端口的数量小于或等于第二数量阈值，禁用该虚拟机的目标网络端口。

在一些实施例中，该第四处理子模块包括：

检测单元，用于检测该攻击行为所下载文件的文件类型；

限制单元，用于响应于任一设备与该虚拟机之间基于网络连接发生文件传输，检测所传输的文件的文件类型，若文件类型与该攻击行为所下载的文件类型相同，限制该文件的传输。

在一些实施例中，该限制单元，用于执行下述任一项：

不发送该文件；或，将该文件转移至隔离空间；或，对该文件上锁。

在一些实施例中，该获取模块，还用于对于任一虚拟机，在该虚拟机的虚拟业务系统设置有目标文件的情况下，基于该目标文件，获取该虚拟机的攻击者信息，该攻击者信息用于描述对该虚拟机发起攻击行为的攻击者，该目标文件为该虚拟机的虚拟业务系统中的业务文件；

该装置还包括：

确定模块，用于基于该虚拟机的攻击者信息，确定该虚拟机的攻击者。

在一些实施例中，该获取模块，用于基于该目标文件携带的控制程序，获取攻击设备发送的攻击者信息，该控制程序用于基于对该目标文件的打开操作，控制该攻击设备向该虚拟机发送该攻击者信息，该攻击设备为对该虚拟机发起攻击行为的设备。

一方面，提供了一种计算机设备，该计算机设备包括一个或多个处理器和一个或多个存储器，该一个或多个存储器中存储有至少一条计算机程序，该至少一条计算机程序由该一个或多个处理器加载并执行以实现该攻击行为防御方法。

一方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有至少一条计算机程序，该至少一条计算机程序由处理器加载并执行以实现该攻击行为防御方法。

一方面，提供了一种计算机程序产品，该计算机程序产品包括至少一条计算机程序，该至少一条计算机程序存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该至少一条计算机程序，处理器执行该至少一条计算机程序，使得该计算机设备实现该攻击行为防御方法。

本申请实施例提供的技术方案，通过运行至少一个虚拟机，能够诱使攻击者对虚拟机发起攻击行为，从而保证业务系统的安全，进一步通过虚拟机的管理器，获取虚拟机的底层运行数据，能够在虚拟机无感知的情况下，获取虚拟机受到的攻击行为的相关数据，因此攻击者无法轻易发现攻击行为已经被捕获，也就不会停止攻击，从而能够获取到完整的攻击行为的数据，基于获取到的数据，能够对攻击行为进行更加完善的防御，进而能够根据虚拟机的隔离策略，完善业务系统的隔离策略，从而进一步保证了系统安全。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种攻击行为防御方法的实施环境示意图；

图2是本申请实施例提供的一种攻击行为防御方法的流程图；

图3是本申请实施例提供的一种攻击行为防御方法的流程图；

图4是本申请实施例提供的一种攻击行为防御方法的流程图；

图5是本申请实施例提供的一种虚拟机自省功能的示意图；

图6是本申请实施例提供的一种攻击行为防御系统的示意图；

图7是本申请实施例提供的一种攻击行为防御装置的结构示意图；

图8是本申请实施例提供的一种服务器的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请中术语“第一”“第二”等字样用于对作用和功能基本相同的相同项或相似项进行区分，应理解，“第一”、“第二”、“第n”之间不具有逻辑或时序上的依赖关系，也不对数量和执行顺序进行限定。

为了便于理解本申请实施例的技术过程，下面对本申请实施例所涉及的一些名词进行解释。

本申请实施例提供的技术方案涉及到云技术中的云安全(Cloud Security)技术。云技术(Cloud technology)是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。

云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，并对获取到的信息进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

欺骗防御(Deception)是一种通过诱骗攻击者和恶意应用暴露自身，从而观察攻击者行为的网络防御技术，通过观察攻击者行为，技术人员能够设计出有效防护措施。

区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。

以下对本申请的实施环境进行介绍，图1是本申请实施例提供的一种攻击行为防御方法的实施环境示意图，参见图1，该实施环境包括：终端101和服务器102。终端101通过有线或无线的方式与服务器102进行直接或间接的连接，本申请实施例对此不作限定。

其中，终端101可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。服务器102可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器，本申请实施例对此不作限定。

在一些实施例中，该终端101用于对至少一个虚拟机进行配置，将配置好的虚拟机部署在服务器102中，服务器102用于获取虚拟机受到的攻击行为的相关数据，相应地，终端101还用于显示服务器102获取到的数据，该终端101为对象使用的终端，例如，该终端101为技术人员所使用的终端。

在一些实施例中，上述终端101和服务器102能够作为区块链中的节点。

应理解，上述终端和服务器的数量可以更多，本申请实施例仅以终端101和服务器102为例进行说明。

基于图1所示的实施环境，图2是本申请实施例提供的一种攻击行为防御方法的流程图，该方法由服务器执行，如图2所示，该实施例包括以下步骤。

201、服务器运行业务系统中目标漏洞对应的至少一个虚拟机，该虚拟机运行有虚拟业务系统，该虚拟业务系统用于模拟该业务系统中网络节点的业务逻辑。

其中，目标漏洞是指业务系统中容易受到攻击的文件或程序。该虚拟机用于为虚拟业务系统提供运行环境，该虚拟业务系统能够对业务系统中网络节点的业务逻辑进行高度模拟，例如，该业务逻辑对应的业务为网络信息浏览业务、文件传输业务、数据存储业务或远程操作业务等。在一些实施例中，该业务系统包括多个网络节点，不同网络节点对应于不同业务逻辑，每个虚拟机中的虚拟业务系统用于模拟一个网络节点的业务逻辑。

其中，该至少一个虚拟机中的虚拟业务系统部署有该业务系统的目标漏洞，以诱使攻击者对虚拟机的虚拟业务系统发起攻击行为，从而能够在保护业务系统不受到攻击的情况下，获取攻击行为的相关数据。

在一些实施例中，目标漏洞与虚拟业务系统的业务逻辑相对应。例如，若虚拟业务系统的业务逻辑对应网络信息浏览业务，则可以首先确定该网络信息浏览业务的目标业务端口，该目标业务端口为目标时间段内访问次数超过阈值的网络端口，在虚拟业务系统中针对该目标业务端口设置非正常的访问页面，该非正常的访问页面能够高度模拟真实的访问页面，但与真实的访问页面具有不同的互联网协议(Internet Protocol，IP)地址，从而能够诱使攻击者对虚拟业务系统的目标业务端口发起攻击行为时，直接进入到该非正常的访问页面中，则服务器能够通过该非正常的访问页面获取攻击行为的相关数据。

又例如，若虚拟业务系统的业务逻辑对应文件传输业务或者数据存储业务，则可以在虚拟业务系统中设置虚假业务文件，诱使攻击者对文件进行读写行为或下载行为等。

又例如，若虚拟业务系统的业务逻辑对应远程操作业务，则可以对虚拟业务系统进行弱口令设置，并设置虚假的活跃操作记录，从而诱使攻击者登录该虚拟业务系统，并通过该虚拟业务系统进行进一步的远程操作行为。

202、服务器获取该至少一个虚拟机的底层运行数据，该底层运行数据用于表示该至少一个虚拟机所受到的攻击行为。

其中，服务器通过至少一个虚拟机的管理器，获取该底层运行数据。该管理器运行在服务器中，与该至少一个虚拟机相互独立。该底层运行数据是指通过底层机器语言表示的数据，如二进制数据。

在一些实施例中，虚拟机受到的攻击行为包括虚拟机受到的探测行为以及虚拟机的目标漏洞受到的攻击行为，该探测行为指攻击者对虚拟机中的全部文件或虚拟机对应的网段中所有IP地址进行无差别扫描。可以理解的是，攻击者能够通过对虚拟机进行探测，从而确定虚拟机中存在的目标漏洞，以对该目标漏洞发起进一步的攻击。可选地，该底层运行数据还能够表示虚拟机受到的其他类型的攻击行为，本申请实施例对此不作限定。

通过该管理器获取至少一个虚拟机的底层运行数据，能够在虚拟机无感知的情况下，获取虚拟机受到的攻击行为的相关数据，因此攻击者无法轻易察觉到攻击行为已经被捕获，也就不会停止攻击行为，从而服务器能够获取到完整的攻击行为的相关数据。同时，由于该管理器与至少一个虚拟机相互独立，因此能够避免攻击者对虚拟机发起攻击行为时，卸载管理器的情况。可选地，该管理器为Hypervisor。

可选地，若不同虚拟机的虚拟业务系统中设置的目标漏洞不同，则对不同目标漏洞发起的攻击行为也不同，也即是，不同虚拟机的底层运行数据表示不同的攻击行为。例如，若对虚拟业务系统进行了弱口令设置，则对应的攻击行为可以是系统登录、创建新文件以及创建新进程等；若在虚拟业务系统中设置了虚假业务文件，则对应的攻击行为可以是提升访问权限、文件读写以及文件下载等。

203、对于任一虚拟机，服务器基于该虚拟机的底层运行数据，确定该虚拟机对应的攻击模型，该攻击模型用于描述该虚拟机受到的攻击行为。

在一些实施例中，服务器中预置有多个攻击模型，服务器将底层运行数据所描述的攻击行为与每个攻击模型描述的攻击行为进行对比，以确定虚拟机对应的攻击模型。

204、服务器基于该攻击模型对应的隔离策略，对该虚拟机的目标连接进行处理，该隔离策略用于防御该虚拟机受到的攻击行为，该目标连接对应于该隔离策略。

在一些实施中，虚拟机的目标连接是指，该虚拟机与其他虚拟机之间保持的连接，或者，该虚拟机与其他设备之间保持的连接，或者，该虚拟机的所有网络连接。

通过基于隔离策略对目标连接进行，能够对攻击行为进行防御，从而避免虚拟业务系统因攻击行为遭到破坏。

本申请实施例提供的技术方案，通过运行至少一个虚拟机，能够诱使攻击者对虚拟机发起攻击行为，从而保证业务系统的安全，进一步通过虚拟机的管理器，获取虚拟机的底层运行数据，能够在虚拟机无感知的情况下，获取虚拟机受到的攻击行为的相关数据，因此攻击者无法轻易发现攻击行为已经被捕获，也就不会停止攻击，从而能够获取到完整的攻击行为的数据，基于获取到的数据，能够对攻击行为进行更加完善的防御处理，进而能够根据虚拟机的隔离策略，完善业务系统的隔离策略，从而进一步保证了系统安全。

图2对应的实施例仅是对本申请所提出的攻击行为防御方法的简要介绍，下面结合图3，对该方法进行详细介绍。图3是本申请实施例提供的一种攻击行为防御方法的流程图，该方法由服务器执行，如图3所示，该实施例包括以下步骤。

301、终端获取业务系统中目标漏洞对应的至少一个虚拟机的配置信息，向服务器发送该配置信息，该虚拟机中配置有虚拟业务系统，该虚拟业务系统用于模拟该业务系统中网络节点的业务逻辑，该配置信息用于创建该至少一个虚拟机。

在一些实施例中，终端提供有虚拟机的配置界面，技术人员能够通过该配置界面对至少一个虚拟机进行配置。终端响应于在该配置界面对至少一个虚拟机的配置操作，获取该至少一个虚拟机的配置信息，将该至少一个虚拟机的配置信息发送至服务器。可选地，虚拟机的配置信息包括虚拟机的IP地址、虚拟业务系统的配置信息以及目标漏洞的配置信息等。

在一些实施例中，技术人员能够根据业务系统涉及到的业务，对虚拟机进行配置。如图4步骤401所示，技术人员首先对业务系统中包括的业务资产进行梳理，以确定业务系统包括的网络节点以及每个网络节点的业务逻辑，然后根据每个网络节点的业务逻辑，确定需要配置的虚拟机以及虚拟机中的虚拟业务系统。可选地，业务系统的业务资产包括服务器、网络架构、安全资产和内/外网络接口等，其中，安全资产指业务系统中设置的保护系统安全的相关程序，如网络隔离服务和防火墙等。进一步地，如图4步骤402所示，技术人员能够基于虚拟业务系统对应的业务逻辑，在虚拟业务系统中设置目标漏洞，使目标漏洞与虚拟业务系统的业务场景相匹配，从而能够诱使攻击者对目标漏洞发起攻击行为，也能够避免目标漏洞与业务逻辑不匹配，导致被攻击者识别的情况。

302、服务器接收该至少一个虚拟机的配置信息，基于该配置信息，创建该至少一个虚拟机，运行该至少一个虚拟机。

在一些实施例中，服务器基于接收到的配置信息，创建该至少一个虚拟机，在该至少一个虚拟机中配置对应的虚拟业务系统，在虚拟业务系统中部署目标漏洞，运行该至少一个虚拟机。

在一些实施例中，该至少一个虚拟机能够按照一定周期进行更新，例如，服务器基于真实业务系统的内容变更频率，来更新至少一个虚拟机中所运行的虚拟业务系统的内容，还能够停止运行过期的、可能被攻击者察觉反击的虚拟机，以报纸对真实业务系统的高度模拟，进而可以持续诱导攻击者对虚拟业务系统发起攻击。

303、服务器通过该至少一个虚拟机的管理器，获取该至少一个虚拟机的底层运行数据，该底层运行数据用于表示该至少一个虚拟机所受到的攻击行为。

在一些实施例中，服务器通过至少一个虚拟机的管理器，获取目标代码的调用信息，该目标代码用于对至少一个虚拟机执行目标行为，服务器响应于基于该调用信息检测到对该目标代码的调用操作，获取至少一个虚拟机的底层运行数据。其中，目标代码为服务器操作系统内核中的底层代码，可选地，该目标代码为服务器中的底层函数，如提权函数、进程创建函数、文件读写函数、指令执行函数和网络连接函数等。

在一些实施例中，如图5所示，该管理器具有虚拟机自省功能，管理器能够基于该虚拟机自省功能，获取至少一个虚拟机中的底层运行数据，基于至少一个虚拟机所运行的操作系统的系统知识，对该底层运行数据进行转换，得到攻击行为数据。其中，操作系统的系统知识指操作系统的内核信息，如系统数据结构、进程描述符以及文件描述符等。攻击行为数据为具有更加明确语义的数据，能够表示对虚拟机执行的攻击操作，如调用的函数、下载的文件、创建的新文件、创建的新进程以及建立的连接等。通过对底层运行数据进行转化，打破了底层二进制数据与虚拟机系统信息之间的语义隔离，从而得到了具有更加明确语义的攻击行为数据，使相关的技术人员能够更容易分析虚拟机受到的攻击行为。

需要说明的是，当攻击者对虚拟机发起攻击时，需要通过虚拟机，调用服务器中的目标代码执行相应的攻击操作，管理器通过获取目标代码的调用信息，能够在虚拟机受到攻击时，获取虚拟机的底层运行数据，从而能够在虚拟机无感知的情况下，获取到攻击行为的相关数据。

在一些实施例中，服务器获取到底层行为数据后，停止运行目标代码，从而阻止攻击行为对虚拟业务系统进行破坏，以防止重要的系统信息遭到泄露。

304、服务器获取该至少一个虚拟机的攻击者信息，该攻击者信息用于描述对虚拟机发起攻击行为的攻击者。

在一些实施例中，该攻击者信息包括攻击者使用的攻击设备的设备信息以及攻击者的身份信息等，设备信息包括攻击设备的主机名称、操作系统版本、键盘类型、操作系统语言和IP地址等，身份信息包括攻击者所处的时区和攻击者的标识等。

在一些实施例中，如图4步骤403所示，对于任一虚拟机，在该虚拟机的虚拟业务系统设置有目标文件的情况下，服务器基于该目标文件，获取该虚拟机的攻击者信息，该目标文件为该虚拟机的虚拟业务系统中的业务文件。可选地，该目标文件为Word文件、Excel文件、可扩展标记语言(XML)文件、PDF文件或PowerPoint文件等。

示例性地，以虚拟业务系统的业务逻辑为文件传输业务为例，对获取攻击者信息的过程进行说明。例如，该目标文件为虚拟业务系统中设置的虚假业务文件，该目标文件携带有控制程序，该控制程序用于基于对该目标文件的打开操作，控制该攻击设备向该虚拟机发送该攻击者信息。当攻击设备下载并打开该目标文件时，能够触发该目标文件携带的控制程序运行，从而控制攻击设备向该虚拟机发送攻击者信息，服务器接收攻击设备发送的攻击者信息。

需要说明的是，上述步骤303和步骤304能够并行执行，而不限于当前的时序。

305、服务器将该至少一个虚拟机的底层运行数据和攻击者信息进行存储。

在一些实施例中，如图4步骤404所示，服务器能够将获取到的底层运行数据和攻击者信息存储在数据库中，从而能够根据数据库中存储的数据，对历史时间段内的攻击行为进行进一步的分析，并且，技术人员也能够在随时查阅数据库中的数据，根据个人经验对攻击行为进行分析。可选地，该数据库为远程字典数据库(Remote Dictionary Server，Redis)。可选地，服务器将底层运行数据对应的攻击行为数据存储在数据库中，由于攻击行为数据具备更明确的语义，因此技术人员能够更容易地进行数据分析。

在一些实施例中，服务器也能够将数据库中存储的数据转移到关联的数据平台中，通过数据平台对数据进行进一步分析，如splunk平台和elasticsearch平台等。

306、对于任一虚拟机，服务器基于该虚拟机的底层运行数据，确定该虚拟机对应的攻击模型，该攻击模型用于描述该虚拟机受到的攻击行为。

其中，该攻击模型描述的攻击行为可以包括一个攻击操作或多个攻击操作。例如，一个攻击操作可以是登录系统、打开虚假业务文件或者下载虚假业务数据等，多个攻击操作可以是登录系统并提升登录者的访问权限、登录系统并对系统进行扫描或者访问非正常网页并进行代码植入等。可选地，该攻击模型还包括攻击行为对应的攻击类型，如加密攻击和恶意代码注入攻击等。

在一些实施例中，服务器预置有多个攻击模型，对于任一虚拟机，服务器将该虚拟机的底层运行数据所描述的攻击行为与多个攻击模型所描述的攻击行为进行对比，响应于与任一攻击模型的攻击行为相匹配，将该攻击模型确定为该虚拟机对应的攻击模型。可选地，与任一攻击模型的攻击行为相匹配是指，底层运行数据描述的攻击行为与该攻击模型描述的攻击行为存在至少一个相同的攻击操作，或者，底层运行数据描述的攻击行为与该攻击模型描述的攻击行为对应的攻击操作完全相同。

需要说明的是，若虚拟机的底层运行数据与所有攻击模型均无法匹配，则服务器能够在数据库中对该虚拟机的底层运行数据进行标注，使技术人员能够基于标注的数据，创建相应的攻击模型，以此作为依据加强业务系统的隔离策略，并且，当虚拟机再次受到相同攻击时，能够与该攻击模型相匹配，以便技术人员更好的对攻击情况进行分析。

307、服务器基于该攻击模型对应的隔离策略，对该虚拟机的目标连接进行处理，该隔离策略用于防御该虚拟机受到的攻击行为，该目标连接对应于该隔离策略。

在一些实施例中，服务器预置有多个攻击模型对应的隔离策略，每个隔离策略用于防御对应攻击模型的攻击行为。服务器能够基于该虚拟机的攻击模型对应的隔离策略，通过以下任一种方法，对虚拟机的目标连接进行处理。

一种实现方式中，在该攻击模型指示该攻击行为包括虚拟机之间的操作的情况下，服务器断开该虚拟机与其他虚拟机的连接。在一些实施例中，若服务器检测到该虚拟机对应攻击模型的模型标识为Mou1，服务器确定该虚拟机的攻击模型对应第一隔离策略，该第一隔离策略用于指示断开该虚拟机与其他虚拟机的连接，服务器基于该第一隔离策略，断开该虚拟机与其他虚拟机的连接。

示例性地，该虚拟机可以与服务器中的其他虚拟机保持连接，以实现该虚拟机中虚拟业务系统的业务。例如，以该虚拟机的虚拟业务系统对应远程操作业务为例，若该虚拟机的攻击模型指示的攻击行为是登录系统并通过系统远程操作其他虚拟机，该攻击模型的模型标识为Mou1，则服务器确定该攻击模型对应第一隔离策略，基于该第一隔离策略，断开该虚拟机与其他虚拟机的连接。

在一些实施例中，该第一隔离策略包括2个等级的第一子策略，等级越高表示对虚拟机的隔离方式越严格。其中，1级第一子策略为断开虚拟机与目标虚拟机的连接，该目标虚拟机为被该虚拟机操作的其他虚拟机，2级第一子策略为断开虚拟机与其他所有虚拟机的连接。在虚拟机的攻击模型对应第一隔离策略的情况下，服务器基于该虚拟机的底层运行数据，确定被该虚拟机操作的目标虚拟机的数量。若目标虚拟的数量大于第一数量阈值，服务器断开该虚拟机与其他所有虚拟机的连接；若目标虚拟机的数量小于或等于第一数量阈值，服务器断开该虚拟机与目标虚拟机的连接。

另一种实现方式中，在攻击模型指示该攻击行为包括访问非正常网页的情况下，服务器断开该虚拟机的网络连接。在一些实施例中，若服务器检测到该虚拟机对应攻击模型的模型标识为Mou2，确定该虚拟机的攻击模型对应第二隔离策略，该第二隔离策略用于指示服务器断开该虚拟机的网络连接，服务器基于该第二隔离策略，断开该虚拟机的网络连接。

示例性地，以该虚拟机的虚拟业务系统对应网络信息浏览业务为例，若该虚拟机的攻击模型指示攻击行为是访问非正常网页并进行代码植入，攻击模型的模型标识为Mou2，则服务器确定攻击模型对应第二隔离策略，基于该第二隔离策略，禁用该虚拟机的网络端口，以断开虚拟机的网络连接。

在一些实施例中，该第二隔离策略包括2个等级的第二子策略，等级越高表示对虚拟机的隔离方式越严格。其中，1级第二子策略为禁用该虚拟机的目标网络端口，该目标网络端口为非正常网页对应的网络端口，2级第二子策略为禁用该虚拟机的所有网络端口。在虚拟机的攻击模型对应第二隔离策略的情况下，服务器基于虚拟机的底层运行数据，确定该虚拟机的目标网络端口，若目标网络端口的数量大于第二数量阈值，则服务器禁用该虚拟机的所有网络端口；若目标网络端口的数量小于或等于第二数量阈值，则服务器禁用该虚拟机的目标网络端口。

另一种实现方式中，在攻击模型指示该攻击行为包括从该虚拟机中下载文件的情况下，服务器断开该虚拟机与其他设备之间的网络连接。在一些实施例中，若服务器检测到该虚拟机对应攻击模型的模型标识为Mou3，服务器确定该虚拟机的攻击模型对应第三隔离策略，该第三隔离策略用于指示服务器断开该虚拟机与其他设备之间的网络连接，服务器基于该第三隔离策略，断开该虚拟机与其他设备之间的网络连接。

示例性地，以虚拟机的虚拟业务系统对应文件传输业务为例，在该虚拟机受到攻击的情况下，若该虚拟机的攻击模型指示的攻击行为是下载文件，该攻击模型的模型标识为Mou3，则服务器确定该攻击模型对应第三隔离策略，基于该第三隔离策略，检测该虚拟机与其他设备保持的目标网络连接，确定该目标网络连接对应的端口和网络地址，断开与该目标网络连接对应的端口和网络地址之间的通信。

另一种实现方式中，在攻击模型指示该攻击行为包括从该虚拟机中下载文件的情况下，服务器限制该虚拟机与其他设备之间基于网络连接所发送的数据类型。在一些实施例中，若服务器检测到该虚拟机对应攻击模型的模型标识为Mou4，服务器确定该虚拟机的攻击模型对应第四隔离策略，该第四隔离策略用于限制该虚拟机与其他设备之间基于网络连接所发送的数据类型，服务器基于该第四隔离策略，限制该虚拟机与其他设备之间基于网络连接所发送的数据类型。

示例性地，以虚拟机的虚拟业务系统对应文件传输业务为例，在该虚拟机受到攻击的情况下，若该虚拟机的攻击模型指示的攻击行为是下载文件，该攻击模型的模型标识为Mou4，则服务器确定该攻击模型对应第四隔离策略，基于该第四隔离策略，检测该攻击行为所下载文件的文件类型，响应于任一设备与该虚拟机之间基于网络连接发生文件传输，检测所传输的文件的文件类型，若文件类型与该攻击行为所下载的文件类型相同，服务器限制该文件的传输。可选地，服务器通过以下任一种方式，限制该文件的传输：服务器不发送该文件；或，服务器将该文件转移至隔离空间；或，服务器对该文件上锁。

在一些实施例中，上述多个隔离策略分为不同等级，等级越高表示对应的隔离策略对虚拟机的隔离方式越严格，例如，对于上述第二隔离策略和第三隔离策略，对应的等级可以为2级和1级。相应地，服务器能够基于攻击模型对应的隔离策略的等级，来确定虚拟机受到的攻击行为是否与攻击模型相匹配。示例性地，攻击模型对应的隔离策略等级越高，则与该攻击模型相匹配的条件越严格。例如，若某个攻击模型对应1级隔离策略，则与该攻击模型相匹配的条件为，虚拟机受到的攻击行为与该攻击模型描述的攻击行为存在至少一个相同的攻击操作；若某个攻击模型对应2级隔离策略，则与该攻击模型匹配的条件为，虚拟机受到的攻击行为与该攻击模型描述的攻击行为对应的攻击操作完全相同。通过隔离策略的等级来确定虚拟机对应的攻击模型，能够提高匹配攻击模型的准确率，从而能够通过不同程度的隔离策略，来防御不同的攻击行为，保证了系统安全。

通过隔离策略对虚拟机进行处理，能够避免攻击行为对服务器中的其他虚拟机造成破坏，从而能够在某个虚拟机受到攻击的情况下，保持其他虚拟机的正常运转。

可选地，服务器将至少一个虚拟机受到的攻击行为对应的攻击模型和隔离策略存储在数据库中，从而能够根据数据库中存储的数据，确定虚拟机受到的攻击行为能够匹配攻击模型和隔离策略的次数，进而技术人员能够分析所设置的攻击模型和隔离策略的有效性。

308、服务器基于该至少一个虚拟机的攻击者信息，确定该至少一个虚拟机的攻击者。

在一些实施例中，对于任一虚拟机，在服务器获取了该虚拟机的攻击者信息的情况下，服务器基于攻击设备的操作系统和键盘类型，确定多个候选地域，该候选地域中存在使用相同操作系统和键盘的设备，进一步基于攻击者所处的时区以及所使用的攻击设备的IP地址，从多个候选地区中确定攻击者所处的地域，在对象信息库中查询与攻击者信息相匹配的数据，该对象信息库用于存储对其他业务系统发起过攻击行为的攻击者的相关信息，若查询到任一攻击者的相关信息与该攻击者信息相匹配，则服务器从对象信息库中获取该攻击者的相关信息，从而能够得到攻击者更加完整的信息。需要说明的是，该对象信息库中的数据为经过充分授权的数据。

可选地，确定攻击者的过程也称为攻击溯源。

需要说明的是，上述步骤305至307对应于图4中步骤405，步骤306、步骤307与步骤308能够并行执行，而不限于当前时序。

309、服务器向终端发送该至少一个虚拟机对应的攻击模型、隔离策略和攻击者。

在一些实施例中，服务器能够实时将虚拟机对应的攻击模型、隔离策略以及对攻击者进行溯源的相关信息发送至终端，使终端能够将接收到的数据进行展示，从而方便技术人员对虚拟机受到攻击的情况进行分析。

可选地，服务器还向终端发送了其他攻击行为的相关数据，如底层运行数据对应的攻击行为数据、攻击类型以及受到攻击的业务等，使终端能够展示更加丰富的数据。

310、终端接收该至少一个虚拟机对应的攻击模型、隔离策略和攻击者，展示该攻击模型、攻击策略和攻击者。

在一些实施例中，如图4步骤406所示，终端接收服务器发送的数据，展示攻击行为分析页面，在该攻击行为分析页面中展示接收到的攻击模型、隔离策略和对攻击者进行溯源的相关信息。可选地，若服务器还向终端发送了其他与攻击行为相关的数据，则终端还能够基于服务器发送的数据，在分析页面中展示其他与攻击行为相关的数据。通过将攻击行为相关的数据进行展示，使技术人员能够了解到攻击者针对业务系统发起的攻击行为的攻击方法、攻击类型以及攻击溯源的相关信息，从而能够以及作为依据，对业务系统的隔离策略进行优化，保证业务系统的安全。

在一些实施例中，终端能够直接从数据库中获取历史时间段内的攻击行为数据和对应的隔离策略，并基于获取到的数据进行统计，得到历史时间段内虚拟机受到攻击的次数以及防御次数，将统计得到的数据展示在攻击行为分析页面中。

在一些实施例中，终端基于服务器发送攻击行为相关的数据，确定受到攻击的虚拟机对应的业务系统中的网络节点，基于该对应的网络节点，获取业务系统的攻击分布图，将该攻击分布图展示在攻击行为分析页面中。通过这种方式，以便技术人员能够更加直观的了解到业务系统中容易受到攻击的部分，从而能够更好的对系统的隔离策略进行完善，以更加精准的防御攻击行为。

本申请实施例还提供了一种用于执行上述攻击行为防御方法的系统，图6是本申请实施例提供的一种攻击行为防御系统的示意图，如图6所示，该攻击行为防御系统提供有多种服务，包括数据收集服务601、数据存储服务602、数据分析服务603和数据展示服务604。其中，数据收集服务601用于基于虚拟机自省技术，获取至少一个虚拟机的攻击行为数据以及攻击者信息。数据存储服务602用于将获取到的数据存储至数据库中。数据分析服务603用于基于获取的攻击行为数据，确定对应的攻击模型和隔离策略，基于获取的攻击者信息，确定对虚拟发起攻击行为的攻击者。数据展示服务604用于展示攻击行为的相关信息，包括被攻击业务、攻击类型、攻击模型、隔离策略、攻击次数、防御次数以及攻击溯源信息等。

图7是本申请实施例提供的一种攻击行为防御装置的结构示意图，参见图7，该装置包括：运行模块701、获取模块702、确定模块703和防御模块704。

运行模块701，用于运行业务系统中目标漏洞对应的至少一个虚拟机，该虚拟机运行有虚拟业务系统，该虚拟业务系统用于模拟该业务系统中网络节点的业务逻辑；

获取模块702，用于通过该至少一个虚拟机的管理器，获取该至少一个虚拟机的底层运行数据，该底层运行数据用于表示该至少一个虚拟机所受到的攻击行为；

确定模块703，用于对于任一该虚拟机，基于该虚拟机的底层运行数据，确定该虚拟机对应的攻击模型，该攻击模型用于描述该虚拟机受到的攻击行为；

防御模块704，用于基于该攻击模型对应的隔离策略，对该虚拟机的目标连接进行处理，该隔离策略用于防御该虚拟机受到的攻击行为，该目标连接对应于该隔离策略。

在一些实施例中，该获取模块702，用于通过该至少一个虚拟机的管理器，获取目标代码的调用信息，该目标代码用于对该至少一个虚拟机执行目标行为，该管理器与该至少一个虚拟机相互独立；响应于基于该调用信息检测到对该目标代码的调用操作，获取该至少一个虚拟机的底层运行数据。

在一些实施例中，该装置还包括：

停止模块，停止运行该目标代码。

在一些实施例中，该防御模块704包括：

第一处理子模块，用于在该攻击模型指示该攻击行为包括虚拟机之间的操作的情况下，断开该虚拟机与其他虚拟机的连接；

第二处理子模块，用于在该攻击模型指示该攻击行为包括访问非正常网页的情况下，断开该虚拟机的网络连接；

第三处理子模块，用于在该攻击模型指示该攻击行为包括从该虚拟机中下载文件的情况下，断开该虚拟机与其他设备之间的网络连接；

在一些实施例中，该第四处理子模块包括：

检测单元，用于检测该攻击行为所下载文件的文件类型；

在一些实施例中，该限制单元，用于执行下述任一项：

不发送该文件；或，将该文件转移至隔离空间；或，对该文件上锁。

该装置还包括：

确定模块，用于基于该虚拟机的攻击者信息，确定该虚拟机的攻击者。

需要说明的是：上述实施例提供的攻击行为防御装置在防御攻击行为时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的攻击行为防御装置与攻击行为防御方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本公开实施例提供了一种用于执行上述攻击行为防御方法的计算机设备，在一些实施例中，该计算机设备被提供为服务器，图8是本申请实施例提供的一种服务器的结构示意图，该服务器800可因配置或性能不同而产生比较大的差异，可以包括一个或多个处理器(Central Processing Units，CPU)801和一个或多个的存储器802，其中，该一个或多个存储器802中存储有至少一条程序代码，该至少一条程序代码由该一个或多个处理器801加载并执行以实现上述各个方法实施例提供的方法。当然，该服务器800还可以具有有线或无线网络接口、键盘以及输入输出接口等部件，以便进行输入输出，该服务器800还可以包括其他用于实现设备功能的部件，在此不做赘述。

在示例性实施例中，还提供了一种计算机可读存储介质，例如包括至少一条程序代码的存储器，上述至少一条程序代码可由处理器执行以完成上述实施例中的攻击行为防御方法。例如，该计算机可读存储介质可以是只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、只读光盘(Compact Disc Read-Only Memory，CD-ROM)、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供了一种计算机程序产品，该计算机程序产品包括至少一条计算机程序，该至少一条计算机程序存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该至少一条计算机程序，处理器执行该至少一条计算机程序，使得该计算机设备执行上述攻击行为防御方法所执行的操作。

在一些实施例中，本申请实施例所涉及的计算机程序可被部署在一个计算机设备上执行，或者在位于一个地点的多个计算机设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算机设备上执行，分布在多个地点且通过通信网络互连的多个计算机设备可以组成区块链系统。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，该程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

上述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：李丹;董志强;
专利申请人：腾讯科技（深圳）有限公司;