网络防御方法、装置及设备
文献发布时间:2023-06-19 18:37:28
技术领域
本公开涉及计算机网络安全技术,尤其涉及一种网络防御方法、装置及设备。
背景技术
目前,随着计算机技术的发展,网络攻击也越加频繁。为了加强网络防御,使用蜜罐主动诱捕潜在的攻击甚至是横向攻击也越来越普遍。
现有技术中,蜜罐的部署方式多种多样,比如可以根据技术人员的经验,确定需要部署的蜜罐服务。
但是,通过上述方式部署的蜜罐服务的诱捕能力有待进一步提高。
发明内容
本公开提供了一种网络防御方法、装置及设备,以解决现有技术中部署的蜜罐服务的诱捕能力有待进一步提高的问题。
根据本公开第一方面,提供了一种网络防御方法,应用于蜜罐服务器,包括:
获取蜜罐部署指令,并根据所述蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,所述配置文件包括存活的网际协议地址;根据所述存活的网际协议地址,确定不存活的网际协议地址;
获取预设的初始端口集合,以及预设的第一端口集合,并根据预设的遗传演化算法,所述预设的初始端口集合,以及所述预设的第一端口集合,确定目标服务集合;所述预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应;
根据所述目标服务集合,以及所述不存活的网际协议地址,部署蜜罐服务;所述蜜罐服务用于诱捕攻击者;部署所述蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。
根据本公开第二方面,提供了一种网络防御装置,应用于蜜罐服务器,包括:
获取单元,用于获取蜜罐部署指令,并根据所述蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,所述配置文件包括存活的网际协议地址;根据所述存活的网际协议地址,确定不存活的网际协议地址;
确定单元,用于获取预设的初始端口集合,以及预设的第一端口集合,并根据预设的遗传演化算法,所述预设的初始端口集合,以及所述预设的第一端口集合,确定目标服务集合;所述预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应;
部署单元,用于根据所述目标服务集合,以及所述不存活的网际协议地址,部署蜜罐服务;所述蜜罐服务用于诱捕攻击者;部署所述蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。
根据本公开第三方面,提供了一种蜜罐服务器,包括存储器和处理器;其中,
所述存储器,用于存储计算机程序;
所述处理器,用于读取所述存储器存储的计算机程序,并根据所述存储器中的计算机程序执行如第一方面所述的网络防御方法。
根据本公开第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如第一方面所述的网络防御方法。
根据本公开第五方面,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现如第一方面所述的网络防御方法。
本公开提供的网络防御方法、装置及设备,包括:获取蜜罐部署指令,并根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,配置文件包括存活的网际协议地址;根据存活的网际协议地址,确定不存活的网际协议地址;获取预设的初始端口集合,以及预设的第一端口集合,并根据预设的遗传演化算法,预设的初始端口集合,以及预设的第一端口集合,确定目标服务集合;预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应;根据目标服务集合,以及不存活的网际协议地址,部署蜜罐服务;蜜罐服务用于诱捕攻击者;部署蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。本方案提供的网络防御方法、装置及设备,可以通过不活的网际协议地址,预设端口集合以及攻击者收益较高的第一端口集合,确定需要部署的蜜罐服务,部署的蜜罐服务在一定程度上可以提高诱捕攻击者的能力;且利用遗传演化算法,加快了部署效率。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一示例性实施例示出的网络防御方法的流程示意图;
图2为本公开一示例性实施例示出的遗传演化算法的流程示意图;
图3为本公开另一示例性实施例示出的网络防御方法的流程示意图;
图4为本公开一示例性实施例示出的网络防御系统的示意图;
图5为本公开一示例性实施例示出的网络防御装置的结构图;
图6为本公开一示例性实施例示出的蜜罐服务器的结构图。
具体实施方式
目前,随着计算机技术的发展,网络攻击也越加频繁。为了加强网络防御,使用蜜罐主动诱捕潜在的攻击甚至是横向攻击也越来越普遍。现有技术中,蜜罐的部署方式多种多样,比如可以根据技术人员的经验,确定需要部署的蜜罐服务。
但是,通过上述方式部署的蜜罐服务的诱捕能力有待进一步提高。
为了解决上述技术问题,本公开提供的方案中,可以通过不活的网际协议地址,以及攻击者收益较高的服务,确定需要部署的蜜罐服务,使得部署的蜜罐服务在一定程度上可以提高诱捕攻击者的能力;且利用遗传演化算法,加快了部署效率。
需要说明的是,本公开所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准,并提供有相应的操作入口,供用户选择授权或者拒绝。
下面以具体地实施例对本公开的技术方案以及本公开的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本公开的实施例进行描述。
图1为本公开一示例性实施例示出的网络防御方法的流程示意图。本实施例提供的网络防御方法可以应用于蜜罐服务器。
如图1所示,本实施例提供的网络防御方法包括:
步骤101,获取蜜罐部署指令,并根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,配置文件包括存活的网际协议地址;根据存活的网际协议地址,确定不存活的网际协议地址。
其中,本公开提供的方法可以由蜜罐服务器来执行。
该蜜罐服务器可以获取蜜罐部署指令。
具体的,该蜜罐服务器可以用于监控业务服务器,以诱捕对业务服务器进行网络攻击的攻击者。
具体的,可以根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器对应的交换机中的配置文件。
具体的,配置文件中可以包括存活的网际协议地址(Internet ProtocolAddress,IP),还可以包括可用网段。可用网段中包括存活的IP地址,和不存活的IP地址,因此可以根据可用网段以及存活的IP地址,确定不存活的IP地址。
步骤102,根据预设的遗传演化算法,预设的初始端口集合,以及预设的第一端口集合,确定目标服务集合;预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应。
其中,预设的初始端口集合中包括预先设置的多个端口。预设的初始端口集合中的端口可以根据技术人员的经验给出。
具体的,每个端口可以与提供的服务一一对应。比如,80端口对应超文本传输协议(Hyper Text Transfer Protocol,HTTP)服务。
其中,攻击者收益指攻击者付出的时间精力与其获取到的攻击效果的比值。攻击效果包括获取到权限的主机数量等。
其中,预设的第一端口集合中包括预先设置的多个端口。可以将攻击者收益最高的前N个端口,确定为预设的第一端口集合。
具体的,如图2所示,可以根据预设的遗传演化算法,先对预设的初始端口集合和预设的第一端口集合进行编码,然后根据初始端口集合编码后的向量确定初始化种群,接着对初始化种群中的每个向量评估个体适应度,若确定个体适应度不佳,则对该向量进行选择、交叉、变异操作,并以第一端口集合编码后的向量为交叉、变异操作的约束条件,演化生成新向量,并评估新向量的个体适应度,直至得到满足个体适应度的端口集合。
接着,可以根据得到的满足个体适应度的端口集合,以及预设的漏洞库,确定目标服务集合。
其中,预设的漏洞库中可以包括预先设置的具有漏洞的服务,以及与服务对应的端口信息。
其中,目标服务集合中可以包括多个服务,目标服务集合中的服务都为有漏洞的服务。
步骤103,根据目标服务集合,以及不存活的网际协议地址,部署蜜罐服务;蜜罐服务用于诱捕攻击者;部署蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。
具体的,可以根据目标服务集合,以及不存活的IP地址,部署蜜罐服务。该蜜罐服务包括目标服务集合中的所有服务。使得攻击者可以通过访问不存活的IP地址可以调用蜜罐服务器中部署存在漏洞的蜜罐服务,进而达到诱捕攻击者的目的。
进一步的,部署蜜罐服务后的蜜罐服务器中生成的日志文件,可以发送给用于对网络攻击进行分析和处置的服务器,以实现该服务器通过对该日志文件的分析,实现对网络攻击的分析和处置,进而实现网络防御。
本公开提供的网络防御方法,包括:获取蜜罐部署指令,并根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,配置文件包括存活的网际协议地址;根据存活的网际协议地址,确定不存活的网际协议地址;获取预设的初始端口集合,以及预设的第一端口集合,并根据预设的遗传演化算法,预设的初始端口集合,以及预设的第一端口集合,确定目标服务集合;预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应;根据目标服务集合,以及不存活的网际协议地址,部署蜜罐服务;蜜罐服务用于诱捕攻击者;部署蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。本公开采用的方法中,可以通过不活的网际协议地址,预设端口集合以及攻击者收益较高的第一端口集合,确定需要部署的蜜罐服务,部署的蜜罐服务在一定程度上可以提高诱捕攻击者的能力;且利用遗传演化算法,加快了部署效率。
图3为本公开另一示例性实施例示出的网络防御方法的流程示意图。本实施例提供的网络防御方法可以应用于蜜罐服务器。
如图3所示,本实施例提供的网络防御方法包括:
步骤301,获取蜜罐部署指令,并根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,配置文件包括存活的网际协议地址;根据存活的网际协议地址,确定不存活的网际协议地址。
具体的,步骤301与步骤101的原理、实现方式类似,不再赘述。
步骤302,获取预设的初始端口集合,以及预设的第一端口集合,并对预设的初始端口集合中的每个端口进行编码,得到第一向量集合;对预设的第一端口集合中的每个端口进行编码,得到第二向量集合;预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应。
具体的,可以获取预设的初始端口集合,并对预设的初始端口集合中的每个端口进行编码,得到第一向量集合;该第一向量集合中可以包括多个第一向量。
可以获取预设的第一端口集合,并对预设的第一端口集合中的每个端口进行编码,得到第二向量集合;该第二向量集合中可以包括多个第二向量。
其中,预设的第一端口集合中包括预先设置的多个端口。可以将攻击者收益最高的前N个端口,确定为预设的第一端口集合。
具体的,每个端口可以与提供的服务一一对应。
步骤303,根据第一向量集合中的第一向量,确定第一结果。
具体的,第一向量集合中可以包括多个第一向量,可以对第一向量利用预先设置的方式进行处理,确定第一结果。
在一种可实现方式中,获取预设的特征相似度表,以及预设的特征敏感度表;预设的特征相似度表中包括单位时间内服务与服务在正常网络中的使用频率的映射关系;预设的特征敏感度表中包括单位时间内服务与攻击者在蜜罐服务器中对服务的扫描攻击频率的映射关系。
其中,预设的特征相似度表为根据实际情况预先设置的表格,该预设的特征相似度表中可以包括单位时间内服务与服务在正常网络中的使用频率的映射关系。
其中,预设的特征敏感度表为根据实际情况预先设置的表格,该预设的特征敏感度表中可以包括单位时间内服务与攻击者在蜜罐服务器中对服务的扫描攻击频率的映射关系。
具体的,可以先获取预设的特征相似度表,以及预设的特征敏感度表。
接着,根据第一向量,以及预设的特征相似度表,确定第一向量对应的服务在单位时间内在正常网络中的使用频率。
具体的,可以根据第一向量对应的服务,查询预设的特征相似度表,确定第一向量对应的服务在单位时间内在正常网络中的使用频率。
根据第一向量,以及预设的特征敏感度表,确定第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率。
具体的,可以根据第一向量对应的服务,查询预设的特征敏感度表,确定第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率。
然后,根据第一向量对应的服务在单位时间内在正常网络中的使用频率,以及第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率,确定第一结果。
具体的,可以将单位时间内正常网络中服务的使用频率作为服务的特征相似度;可以将单位时间内攻击者对蜜罐服务器中服务的扫描攻击频率作为服务的特征敏感度。一般来说,在蜜罐部署初期选择带有敏感性的服务对攻击者更具有欺骗性。而在正常访问过程中,用户高频率使用的服务,反而更容易引起攻击者的兴趣。由于攻击者的自主性和不确定性,相似度高的蜜罐服务未必有高的诱骗能力;同样,敏感度高的蜜罐服务未必有着高的相似度。因此,可以利用预先设置的方式对第一向量对应的服务在单位时间内在正常网络中的使用频率,以及第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率进行处理,得到第一结果。
其中,第一结果可以用于表征第一向量对应的服务对攻击者的诱捕能力。
步骤304,若确定第一结果不满足预设条件,则利用预设方式在第二向量集合中确定第二向量,以使根据第二向量确定的第二结果满足预设条件。
其中,预设条件为根据实际情况预先设置的条件。比如,预设条件可以为一个百分比,当第一结果大于该百分比时,可以确定该第一结果满足预设条件。当第一结果小于该百分比时,可以确定该第一结果不满足预设条件。
其中,预设方式为根据实际情况预先设置的方式。
具体的,若确定第一结果不满足预设条件,则可以利用预先设置的方式在第二向量集合中确定第二向量,以使根据该第二向量确定的第二结果满足该预设条件。
进一步的,若确定第二结果不满足该预设条件,可以继续利用预设方式在第二向量集合中确定第二向量的步骤,直至根据该第二向量确定的第二结果满足该预设条件。
在一种可实现方式中,选取不满足预设条件的第一结果对应的第三向量。
具体的,可以选取不满足预设条件的第一结果对应的第三向量。
然后,获取随机数,若确定随机数大于第一预设值,则将该第三向量与任一不满足预设条件的第一结果对应的向量交换预设位置的数据,得到第四向量。
其中,第一预设值为根据实际情况预先设置的数值。
具体的,可以通过预设的函数,自动生成并获取随机数,该随机数的取值范围可以为(0,1)。当确定该随机数大于第一预设值时,可以将该第三向量与任意的另一个不满足预设条件的第一结果对应的向量,交换预设位置的数据,进而将交换后的第三向量确定为第四向量。
例如,可以将该第三向量与任意的另一个不满足预设条件的第一结果对应的向量交换后四位的数据,得到第四向量。
若确定随机数小于或者等于第一预设值,则变换第三向量中任意一位的数值,得到第四向量。
具体的,若确定该随机数小于或者等于该第一预设值,则可以变换该第三向量中任意一位的数值,比如原来是1则变换为0,原来是0则变换为1,进而将变换后的第三向量确定为第四向量。
接着,若确定第四向量属于第二向量集合,则将第四向量确定为第二向量。
具体的,判断该第四向量是否属于第二向量集合,若确定该第四向量属于第二向量集合,则将该第四向量确定为第二向量。
在一种可实现方式中,若确定第四向量不属于第二向量集合,则继续获取随机数的步骤,直至第四向量属于第二向量集合。
具体的,若确定该第四向量不属于第二向量集合,则继续获取随机数的步骤,直至得到的第四向量属于第二向量集合。
接着,若确定根据第二向量确定的第二结果不满足预设条件,则继续获取随机数的步骤,直至第二结果满足预设条件。
具体的,根据该第二向量确定第二结果,并判断该第二结果是否满足预设条件,若该第二结果不满足预设条件,则继续获取随机数的步骤,直至第二结果满足预设条件。
步骤305,根据满足预设条件的第一结果对应的第一向量,以及第二结果对应的第二向量,确定目标服务集合。
具体的,可以根据满足预设条件的第一结果对应的第一向量,得到该第一向量对应的服务;可以根据满足预设条件的第二结果对应的第二向量,得到该第二向量对应的服务。
进一步的,根据该第一向量对应的服务以及预设的漏洞库,确定目标服务。根据该第二向量对应的服务以及预设的漏洞库,确定目标服务。进而根据得到的目标服务,得到目标服务集合。
在一种可实现方式中,根据蜜罐部署指令,每隔第一预设时间,启动根据预设的遗传演化算法,预设的初始端口集合,以及预设的第一端口集合,确定目标服务集合的步骤,以更新目标服务集合。
其中,第一预设时间,为根据实际情况预先设置的时间间隔,比如可以为24小时。
具体的,可以将攻击者收益最高的前N个端口,确定为预设的第一端口集合。预设的第一端口集合中的端口可以根据实际情况实时更新。
具体的,可以根据蜜罐部署指令,每隔第一预设时间,启动一次根据预设的遗传演化算法,预设的初始端口号集合,以及预设的第一端口号集合,确定目标服务集合的步骤,以根据实时更新的预设的第一端口集合,更新目标服务集合。
步骤306,根据目标服务集合,以及不存活的网际协议地址,部署蜜罐服务;蜜罐服务用于诱捕攻击者;部署蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。
具体的,可以根据目标服务集合,以及不存活的IP地址,部署蜜罐服务。该蜜罐服务包括目标服务集合中的所有服务。使得攻击者可以通过访问不存活的IP地址可以调用蜜罐服务器中部署存在漏洞的蜜罐服务,进而达到诱捕攻击者的目的。
进一步的,部署蜜罐服务后的蜜罐服务器中生成的日志文件,可以发送给用于对网络攻击进行分析和处置的服务器,以实现该服务器通过对该日志文件的分析,实现对网络攻击的分析和处置,进而实现网络防御。
在一种可实现方式中,接收交换机发送的表征存活的网际协议地址发生变化的变更指令;并根据变更指令,更新不存活的网际协议地址,并根据更新后的不存活的网际协议地址更新部署的蜜罐服务。
具体的,若交换机中存活的IP地址发生变化,则交换机可以向蜜罐服务器发送变更指令,该变更指令中包括新的存活的IP地址;蜜罐服务器可以接收该变更指令,并根据该变更指令,更新不存活的IP地址,并根据更新后的不存活的IP地址更新部署的蜜罐服务。
图4为本公开一示例性实施例示出的网络防御系统的示意图。
随着互联网技术的发展,网络给人们提供了越来越多的服务,但各种网络的攻击手段以及病毒的产生和传播速度也加快了,这给网络安全带来了巨大的挑战。现有的一些常用网络安全技术,如防火墙技术、入侵检测技术都是一些被动防御措施,都是基于已知的事实和攻击模式,它们往往滞后于网络攻击行为,处于被动的位置。对于是高级长期威胁(Advanced Persistent Threat,APT)攻击类攻击,传统的防御手段收效甚微。而蜜罐作为一项欺骗防御技术,是通过蜜罐内设置的漏洞、敏感信息等引诱入侵者攻击的系统,从而降低用户计算机受攻击的风险,并且为寻找攻击解决方案提供了机会与时间。与传统网络防御方式相比,蜜罐具有主动防御、网络诱骗、资源消耗少等特点。但现有的以蜜罐、蜜网为主的网络欺骗防御系统都存在诱骗性不足、静态性、部署复杂以及维护困难等缺陷。进化的攻击者经过精心的探测分析仍然可以绕过防御机制,而蜜罐一旦失效,不仅不能保护生产网络系统,甚至会被攻击者当做跳板去攻击其他资源。
如图4所示,本实施例提出的网络防御系统,为一种优化的基于蜜罐以及生产环境的主动防御体系的总体结构,综合蜜罐、入侵检测系统、防火墙等技术,在生产环境全体主机上也部署具有一定诱骗性的措施手段,达到“全民皆兵”的防御状态,从部署,引流,监控处置,主动价值输出等环节进行规划设计,变被动防御为主动进攻,使其具有主动交互性,弥补传统网络安全防御措施的不足,在一定程度上增强网络的安全,是一种优化的网络安全防御策略。具体的,可以根据上述实施例提供的方式部署蜜罐服务。
具体的,本实施例从部署,引流,监控处置,价值输出等环节进行规划设计,提出的基于蜜罐和生产网络的主动防御体系建设策略与技术旨在帮助安全人员通过网络欺骗等主动防御技术,基于蜜罐技术在己方网络信息系统中布设骗局,提高对于攻击行为诱捕的能力,干扰攻击者对己方网络信息系统的感知与判断,从而达到发现、延迟或阻断攻击者活动的目的。主动防御体系建设策略与技术方案如下:
部署:一方面是全民皆兵的部署策略,把生产资源也武装出一定的防御诱骗性,在一些敏感目录下放置形为“黑客感兴趣的运维信息”实际为蜜罐或者蜜网配置信息的文件,当很不幸被黑客拿到生产资源的权限后,可以进一步诱导其横向移动进入蜜网。另外还可以建立一些低权限的伪账号,一旦有黑客尝试登录,可被基于主机型入侵检测系统(Host-based Intrusion Detection System,HIDS)或者安全信息和事件管理(SecurityInformation Event Management,SIEM)平台及时监控识别到,进一步触发相应的应急处置。另一方面是在蜜罐系统中预置各类蜜罐模板,可以快速部署,每一个蜜罐模板需要根据生产环境的实际业务情况,进行蜜罐定制,将蜜罐系统中的文件名及目录结构按黑客及非法入侵者感兴趣方式进行设计,仿制各类业务服务,放置一些看似机密而实际上并不机密的文件和数据,让蜜罐具有“高蜜度”,以提高黑客及非法入侵者对蜜罐系统的造访率。
引流:蜜罐多技术并用的主动诱导策略:一是设置一个入侵检测系统主机,对所有进入内部网络的数据进行检测和判断,例如发现有人大量访问不存在的域名或IP地址时,则判断为非法访问,将其重定向引入到蜜罐系统。反之,则正常进入内部网络。二是部署大量的代理服务器,混入真实的网络环境中,例如在任意一个C段网络中部署一台代理服务器,当该主机检测到被访问的数据包是非法数据包,则将其引入到己建立好的蜜罐系统中。三是在真实的域名目录中插入一些虚假的子目录,用于引流进入蜜罐,当黑客对某一个站点目录进行扫描时,一定会扫描到链接到蜜罐的子目录,若被黑客进一步访问,则达到了对目标站点防护的作用。四是遗传演化计算与蜜罐相融合,增加系统的动态性、随机性和不确定性:针对攻防环境的复杂、变换,蜜罐可充分利用演化计算的高鲁棒性、普适性的特点,具备自适应、自组织、自演化等优势。例如可以实时监控当前网络环境中未存活的IP,若有人访问,则立即引流入蜜罐系统中。
监控处置:监控模块联动SIEM平台,主机防护,流量监控等安全设备,对内网各行为进行分析,当攻击者进入蜜罐后,可以对攻击者的行为进行记录,录屏,重放等,便于安全人员进行分析。处置模块通过人工智能技术一方面使蜜罐具备智能交互性,提高蜜罐学习、反识别能力,以此获取更多攻击交互数据,另一方面自动化匹配业界先进的对抗战术、技术和常识(Adversarial Tactics,Techniques,and Common Knowledges,ATT&CK)框架,及时给出相应的应急防御处置措施。
价值输出:建立知识库模块,记录攻击行的攻击行为分析,为真实系统的漏洞发现、安全设备监控防护的有效性进行验证,为安全防护决策调优提供参考。
图5为本公开一示例性实施例示出的网络防御装置的结构图。本实施例提供的网络防御装置可以应用于蜜罐服务器。
如图5所示,本公开提供的网络防御装置500,包括:
获取单元510,用于获取蜜罐部署指令,并根据蜜罐部署指令,获取蜜罐服务器监控的业务服务器的交换机中的配置文件,配置文件包括存活的网际协议地址;根据存活的网际协议地址,确定不存活的网际协议地址;
确定单元520,用于获取预设的初始端口集合,以及预设的第一端口集合,并根据预设的遗传演化算法,预设的初始端口集合,以及预设的第一端口集合,确定目标服务集合;预设的第一端口集合为根据攻击者收益确定的;端口与服务一一对应;
部署单元530,用于根据目标服务集合,以及不存活的网际协议地址,部署蜜罐服务;蜜罐服务用于诱捕攻击者;部署蜜罐服务后的蜜罐服务器中生成的日志文件,以供实现网络攻击的分析和处置,以实现网络防御。
确定单元520,具体用于对预设的初始端口集合中的每个端口进行编码,得到第一向量集合;对预设的第一端口集合中的每个端口进行编码,得到第二向量集合;
根据第一向量集合中的第一向量,确定第一结果;
若确定第一结果不满足预设条件,则利用预设方式在第二向量集合中确定第二向量,以使根据第二向量确定的第二结果满足预设条件;
根据满足预设条件的第一结果对应的第一向量,以及第二结果对应的第二向量,确定目标服务集合。
确定单元520,具体用于获取预设的特征相似度表,以及预设的特征敏感度表;预设的特征相似度表中包括单位时间内服务与服务在正常网络中的使用频率的映射关系;预设的特征敏感度表中包括单位时间内服务与攻击者在蜜罐服务器中对服务的扫描攻击频率的映射关系;
根据第一向量,以及预设的特征相似度表,确定第一向量对应的服务在单位时间内在正常网络中的使用频率;
根据第一向量,以及预设的特征敏感度表,确定第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率;
根据第一向量对应的服务在单位时间内在正常网络中的使用频率,以及第一向量对应的服务在单位时间内攻击者在蜜罐服务器中的扫描攻击频率,确定第一结果。
确定单元520,具体用于选取不满足预设条件的第一结果对应的第三向量;
获取随机数,若确定随机数大于第一预设值,则将第三向量与任一不满足预设条件的第一结果对应的向量交换预设位置的数据,得到第四向量;
若确定随机数小于或者等于第一预设值,则变换第三向量中任意一位的数值,得到第四向量;
若确定第四向量属于第二向量集合,则将第四向量确定为第二向量;
若确定根据第二向量确定的第二结果不满足预设条件,则继续获取随机数的步骤,直至第二结果满足预设条件。
确定单元520,具体用于若确定第四向量不属于第二向量集合,则继续获取随机数的步骤,直至第四向量属于第二向量集合。
确定单元520,具体用于根据蜜罐部署指令,每隔第一预设时间,启动根据预设的遗传演化算法,预设的初始端口号集合,以及预设的第一端口号集合,确定目标服务集合的步骤,以更新目标服务集合。
部署单元530,还用于接收交换机发送的表征存活的网际协议地址发生变化的变更指令;并根据变更指令,更新不存活的网际协议地址,并根据更新后的不存活的网际协议地址更新部署的蜜罐服务。
图6为本公开一示例性实施例示出的蜜罐服务器的结构图。
如图6所示,本实施例提供的蜜罐服务器包括:
存储器601;
处理器602;以及
计算机程序;
其中,计算机程序存储在存储器601中,并配置为由处理器602执行以实现如上的任一种网络防御方法。
本实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行以实现如上的任一种网络防御方法。
本实施例还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时,实现上述任一种网络防御方法。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。