一种网络攻击行为捕捉方法、装置、存储介质及电子设备

技术领域

本发明涉及网络安全技术领域，具体涉及一种网络攻击行为捕捉方法、装置、存储介质及电子设备。

背景技术

蜜罐技术是一种网络诱捕技术，被广泛用于网络安全领域，特别是恶意代码的捕获、以及网络攻击事件的跟踪分析。从蜜罐数据的交互程度可以将蜜罐技术分为两类：低交互蜜罐和高交互蜜罐。低交互蜜罐采用模拟技术，没有真实的操作系统和服务；高交互蜜罐运行在真实的操作系统上。对于可以同时兼容多种处理器的操作系统，如统信UOS(操作系统)，为了保证其运行安全，因此，亟需提出一种在统信UOS操作系统中捕捉网络攻击行为的方法。

发明内容

有鉴于此，本发明实施例提供了涉及一种网络攻击行为捕捉方法、装置、存储介质及电子设备，以解决现有技术中统信USO操作系统中缺失安全防护的技术问题。

本发明提出的技术方案如下：

本发明实施例第一方面提供一种网络攻击行为捕捉方法，应用于电子设备，所述电子设备的物理主机中配置有同时兼容多种处理器的操作系统的虚拟主机；该网络攻击行为捕捉方法包括：利用预设漏洞扫描工具在所述操作系统中进行扫描；当扫描到所述操作系统的漏洞时，将所述漏洞作为诱捕节点与预先配置的高交互蜜罐系统进行关联；当所述诱捕节点被攻击时，将攻击行为通过所述诱捕节点引入所述高交互蜜罐系统；从所述高交互蜜罐系统获取所述攻击行为产生的攻击数据并将所述攻击数据发送至后台管理终端。

可选地，所述方法还包括：从所述后台管理终端获取所述攻击行为对应的攻击端的IP地址；根据所述IP地址对所述攻击端进行反攻。

可选地，所述兼容多种处理器的操作系统包括统信UOS操作系统。

可选地，所述漏洞包括Linux kernel缓冲区错误漏洞和SQlite服务缓冲区错误漏洞。

本发明实施例第二方面提供一种网络攻击行为捕捉装置，应用于电子设备，所述电子设备的物理主机中配置有同时兼容多种处理器的操作系统的虚拟主机；该网络攻击行为捕捉装置包括：扫描模块，用于利用预设漏洞扫描工具在所述操作系统中进行扫描；关联模块，用于当扫描到所述操作系统的漏洞时，将所述漏洞作为诱捕节点与预先配置的高交互蜜罐系统进行关联；引入模块，用于当所述诱捕节点被攻击时，将攻击行为通过所述诱捕节点引入所述高交互蜜罐系统；发送模块，用于从所述高交互蜜罐系统获取所述攻击行为产生的攻击数据并将所述攻击数据发送至后台管理终端。

可选地，所述装置还包括：获取模块，用于从所述后台管理终端获取所述攻击行为对应的攻击端的IP地址；攻击模块，用于根据所述IP地址对所述攻击端进行反攻。

可选地，所述兼容多种处理器的操作系统包括统信UOS操作系统。

可选地，所述漏洞包括Linux kernel缓冲区错误漏洞和SQlite服务缓冲区错误漏洞。

本发明实施例第三方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如本发明实施例第一方面及第一方面任一项所述的网络攻击行为捕捉方法。

本发明实施例第四方面提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如本发明实施例第一方面及第一方面任一项所述的网络攻击行为捕捉方法。

本发明提供的技术方案，具有如下效果：

本发明实施例提供的网络攻击行为捕捉方法，应用于电子设备，所述电子设备的物理主机中配置有同时兼容多种处理器的操作系统的虚拟主机；利用预设漏洞扫描工具在所述操作系统中进行扫描；当扫描到所述操作系统的漏洞时，将所述漏洞作为诱捕节点与预先配置的高交互蜜罐系统进行关联；当所述诱捕节点被攻击时，将攻击行为通过所述诱捕节点引入所述高交互蜜罐系统；从所述高交互蜜罐系统获取所述攻击行为产生的攻击数据并将所述攻击数据发送至后台管理终端。本方法将操作系统中的漏洞作为诱捕节点，并将该诱捕节点与高交互蜜罐系统进行关联，使得该诱捕节点可以模拟操作系统的主机服务网站，进而在该操作系统中实现攻击诱捕，提高了迷惑性和诱捕成功率；将攻击数据实时发送至对应的后台管理终端，更好地实现对攻击行为的监控与告警。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的网络攻击行为捕捉方法的流程图；

图2是根据本发明实施例的网络攻击行为捕捉方法对应的硬件示意图；

图3是根据本发明实施例的网络攻击行为捕捉装置的结构框图；

图4是根据本发明实施例提供的计算机可读存储介质的结构示意图；

图5是根据本发明实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供一种网络攻击行为捕捉方法，应用于电子设备，所述电子设备的物理主机中配置有同时兼容多种处理器的操作系统的虚拟主机，其中，物理主机可以用于提供硬件环境给虚拟主机，通过物理主机和虚拟主机的配合可以使得一台计算机上安装一个外界操作系统(比如windows操作系统和linux操作系统)和虚拟主机中的一个或多个操作系统，即在虚拟主机中可以配置兼容多种处理器的操作系统；如图1所示，该方法包括如下步骤：

步骤S101：利用预设漏洞扫描工具在所述操作系统中进行扫描。具体地，漏洞扫描工具可以包括OpenVAS、Tripwire IP360、ComodoHackerProof、Nexposecommunity、Vulnerability Manager Plus等多种漏洞扫描工具，本发明中对使用的漏洞扫描工具不做具体限定，只要满足扫描需求即可。利用该预设漏洞扫描工具可以基于漏洞数据库对该操作系统的安全脆弱性进行监测，可以了解该操作系统中网络的安全设置和运行的应用服务，并及时发现安全漏洞。

步骤S102：当扫描到所述操作系统的漏洞时，将所述漏洞作为诱捕节点与预先配置的高交互蜜罐系统进行关联。具体地，高交互蜜罐系统为一个仿真计算机系统，包含有应用程序与数据，将扫描得到的漏洞作为诱捕节点与该高交互蜜罐系统进行关联，可以吸引攻击者，达到诱捕攻击的目的。具体地，在该高交互蜜罐系统中将关联后的诱捕节点主动暴露给攻击者以吸引攻击者进行攻击，进而对该攻击者进行捕捉。

步骤S103：当所述诱捕节点被攻击时，将攻击行为通过所述诱捕节点引入所述高交互蜜罐系统。具体地，当暴露的诱捕节点受到攻击后，利用诱捕节点可以将该攻击行为引入与该诱捕节点关联的高交互蜜罐系统中，使其远离真实网络，同时延缓攻击进程，为后台管理人员争取应急响应时间。

步骤S104：从所述高交互蜜罐系统获取所述攻击行为产生的攻击数据并将所述攻击数据发送至后台管理终端。具体地，正常情况下，高交互蜜罐系统中不会有访问数据，因此当高交互蜜罐系统中产生访问数据，则为对应攻击行为的攻击数据，此时获取该攻击数据并发送至对应的后台管理终端，便于后台管理终端实时监控，并详细记录攻击相关的信息并形成对应的日志，可以包括攻击类型、攻击工具、攻击来源IP地址、攻击目标、起始时间等相关的信息；也可以使得该后台管理终端可以根据该攻击数据发出告警，具体地，告警推送方式可以为通过微信、短信、RCS富媒体和第三方应用中的至少一种方式进行推送，本发明中对此不做具体限定。

在一实例中，如图2所示，服务A和服务B为2个漏洞，即2个诱捕节点；节点A和节点B为2个均配置有同时兼容多种处理器的操作系统的虚拟主机；蜜网A为一个真实的物理主机。

具体地，首先，将服务A和服务B分别与高交互蜜罐系统进行关联后作为2个单独的应用级服务，其次，将该2个应用级服务分别转换为节点A和节点B虚拟主机中的服务程序，然后，带有服务程序的虚拟主机(节点A和节点B)放入到蜜网A中形成一个真实的物理主机，此时，该物理主机中即携带有高交互蜜罐系统和诱捕节点，通过蜜罐技术可以实现攻击诱捕，最后，将该蜜网A通过用户网连接到对应的路由器上。

本发明实施例提供的网络攻击行为捕捉方法，将操作系统中的漏洞作为诱捕节点，并将该诱捕节点与高交互蜜罐系统进行关联，使得该诱捕节点可以模拟操作系统的主机服务网站，进而在该操作系统中实现攻击诱捕，提高了迷惑性和诱捕成功率；将攻击数据实时发送至对应的后台管理终端，更好地实现对攻击行为的监控与告警。

作为本发明实施例一种可选的实施方式，所述方法还包括：从所述后台管理终端获取所述攻击行为对应的攻击端的IP地址；根据所述IP地址对所述攻击端进行反攻。当后台管理终端监控到攻击数据时，首先，在该后台管理终端获取对应的攻击端的IP地址，具体地，后台管理终端可以在根据接收到的攻击数据形成的日志中查找到对应攻击端的IP地址。然后，根据该IP地址对攻击端进行反攻，具体地，可以根据该IP地址进行漏洞扫描并得到攻击端存在的漏洞信息，然后根据该漏洞信息可以确定对应的目标攻击程序并利用该目标攻击程序向攻击端发起攻击，其中，攻击方法可以为泛洪攻击等，本发明中对反攻中使用的攻击方法不做具体限定，只要满足攻击需求即可。

作为本发明实施例一种可选的实施方式，所述兼容多种处理器的操作系统包括统信UOS操作系统。具体地，统信UOS操作系统是基于Linux内核，同源异构支持四种CPU架构(AMD64、ARM64、MIPS64、SW64)和六大CPU平台(鲲鹏、龙芯、申威、海光、兆芯、飞鹏)，提供高效简洁的人机交互、美观易用的桌面应用、安全稳定的系统服务的一个自主操作系统。

作为本发明实施例一种可选的实施方式，所述漏洞包括Linux kernel缓冲区错误漏洞和SQlite服务缓冲区错误漏洞。具体地，Linux kernel缓冲区错误漏洞来源于net/netfilter/x＿tables.c中的堆越界写入。该漏洞允许攻击者通过用户名空间获得权限或引起DoS；SQlite服务缓冲区错误漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致相关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。将这2个漏洞作为诱捕节点，暴露给攻击者，允许攻击，并对该攻击者进行欺骗诱捕。

本发明实施例还提供一种网络攻击行为捕捉装置，如图3所示，该装置包括：

扫描模块301，用于利用预设漏洞扫描工具在所述操作系统中进行扫描；详细内容参见上述方法实施例中步骤S101的相关描述。

关联模块302，用于当扫描到所述操作系统的漏洞时，将所述漏洞作为诱捕节点与预先配置的高交互蜜罐系统进行关联；详细内容参见上述方法实施例中步骤S102的相关描述。

引入模块303，用于当所述诱捕节点被攻击时，将攻击行为通过所述诱捕节点引入所述高交互蜜罐系统；详细内容参见上述方法实施例中步骤S103的相关描述。

发送模块304，用于从所述高交互蜜罐系统获取所述攻击行为产生的攻击数据并将所述攻击数据发送至后台管理终端；详细内容参见上述方法实施例中步骤S104的相关描述。

本发明实施例提供的网络攻击行为捕捉装置，将操作系统中的漏洞作为诱捕节点，并将该诱捕节点与高交互蜜罐系统进行关联，使得该诱捕节点可以模拟操作系统的主机服务网站，进而在该操作系统中实现攻击诱捕，提高了迷惑性和诱捕成功率；将攻击数据实时发送至对应的后台管理终端，更好地实现对攻击行为的监控与告警。

作为本发明实施例一种可选的实施方式，所述装置还包括：获取模块，用于从所述后台管理终端获取所述攻击行为对应的攻击端的IP地址；攻击模块，用于根据所述IP地址对所述攻击端进行反攻。

作为本发明实施例一种可选的实施方式，所述兼容多种处理器的操作系统包括统信UOS操作系统。

作为本发明实施例一种可选的实施方式，所述漏洞包括Linux kernel缓冲区错误漏洞和SQlite服务缓冲区错误漏洞。

本发明实施例提供的网络攻击行为捕捉装置的功能描述详细参见上述实施例中网络攻击行为捕捉方法描述。

本发明实施例还提供一种存储介质，如图4所示，其上存储有计算机程序401，该指令被处理器执行时实现上述实施例中网络攻击行为捕捉方法的步骤。其中，存储介质可为磁碟、光盘、只读存储记忆体(Read－Only Memory，ROM)、随机存储记忆体(Random AccessMemory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid－State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read－Only Memory，ROM)、随机存储记忆体(RandomAccessMemory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid－State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

本发明实施例还提供了一种电子设备，如图5所示，该电子设备可以包括处理器51和存储器52，其中处理器51和存储器52可以通过总线或者其他方式连接，图5中以通过总线连接为例。

处理器51可以为中央处理器(Central Processing Unit，CPU)。处理器51还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，HA202201281

DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器52作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的对应的程序指令/模块。处理器51通过运行存储在存储器52中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的网络攻击行为捕捉方法。

存储器52可以包括存储程序区和存储数据区，其中，存储程序区可存储操作装置、至少一个功能所需要的应用程序；存储数据区可存储处理器51所创建的数据等。此外，存储器52可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器52可选包括相对于处理器51远程设置的存储器，这些远程存储器可以通过网络连接至处理器51。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器52中，当被所述处理器51执行时，执行如图1－2所示实施例中的网络攻击行为捕捉方法。

上述电子设备具体细节可以对应参阅图1至图2所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。