网络攻击的防御方法、装置、电子设备及存储介质与流程
本发明涉及网络安全技术领域,尤其涉及一种网络攻击的防御方法、装置、电子设备及存储介质。
背景技术:
蜜罐(honeypot)是一种用于诱捕入侵者的安全资源,其价值在于被探测、攻击或攻陷,蜜罐技术是一种通过虚假的资源诱骗入侵者,从而采集入侵者攻击数据和分析入侵者攻击行为,以达到保护真实主机目标的诱骗技术。即蜜罐是一种预先精心配置的系统,该蜜罐系统可能含有用于欺骗黑客对蜜罐进行攻击和入侵,也就是说,蜜罐存在的意义就在于被入侵,任何与蜜罐的交互行为都可以认为是入侵,因此通过蜜罐可以采集入侵者攻击数据和分析入侵者攻击行为。
相关技术中,比较常见的网络攻击的防御方式为:在单一的蜜罐上部署一段可执行代码,执行该可执行代码可以与入侵者交互,响应于入侵者返回伪造数据。例如蜜罐a执行可执行代码与入侵者进行交互,等待一段时间之后,响应于入侵者返回数据库删除成功的伪造数据(然而数据库并未删除),而入侵者通过蜜罐b查询到数据库未删除。如此由于目前蜜罐之间的数据不一致导致入侵者轻易地察觉到蜜罐,导致蜜罐的真实性较低,蜜罐甄别成本较低,进而入侵者可以对蜜罐进行规避。
技术实现要素:
本发明实施例的目的在于提供一种网络攻击的防御方法、装置、电子设备及存储介质,以实现提高蜜罐的真实性、提高蜜罐甄别成本,提高入侵者对蜜罐进行规避的难度的有益效果。具体技术方案如下:
在本发明实施例的第一方面,首先提供了一种网络攻击的防御方法,应用于任一蜜罐集群中的任一蜜罐,所述方法包括:
确定入侵者在蜜罐上针对攻击对象执行的攻击操作;
利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点;
其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。
在一个可选的实施方式中,所述确定入侵者在蜜罐上针对攻击对象执行的攻击操作,包括:
当接收到入侵者触发的异常请求时,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
其中,所述伪造信息包括攻击对象的控制权限以及攻击对象的虚拟环境信息;
确定所述入侵者基于所述伪造信息在蜜罐上针对攻击对象执行的攻击操作。
在一个可选的实施方式中,所述当接收到入侵者触发的异常请求时,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息,包括:
当接收到入侵者触发的异常请求时,利用漏洞合约提取所述异常请求中携带的异常特征;
利用所述漏洞合约判断所述异常特征是否与所述蜜罐对应的节点中存储的漏洞合约异常特征一致;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征未一致,利用所述漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征一致,利用所述漏洞合约拒绝响应于所述异常请求。
在一个可选的实施方式中,所述利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据,包括:
利用防御合约提取所述攻击操作中的攻击特征;
利用所述防御合约判断所述攻击特征是否与所述蜜罐对应的节点中存储的防御合约攻击特征一致;
若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征未一致,利用所述防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据。
在一个可选的实施方式中,所述方法还包括:
若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征一致,利用所述防御合约拒绝响应于所述攻击操作。
在一个可选的实施方式中,所述方法还包括:
在确定入侵者在蜜罐上针对攻击对象执行的攻击操作之后,利用取证合约记录所述攻击操作,并存储至区块链中所述蜜罐对应的节点。
在一个可选的实施方式中,所述方法还包括:
利用所述取证合约提取所述异常请求中携带的异常特征,并作为漏洞合约异常特征更新至所述蜜罐对应的节点中存储的漏洞合约异常特征中;
利用所述取证合约提取所述攻击操作中的攻击特征,并作为防御合约攻击特征更新至所述蜜罐对应的节点中存储的防御合约攻击特征中。
在本发明实施例的第二方面,还提供了一种网络攻击的防御装置,应用于任一蜜罐集群中的任一蜜罐,所述装置包括:
操作确定模块,用于确定入侵者在蜜罐上针对攻击对象执行的攻击操作;
数据返回模块,用于利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
数据上链模块,用于利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点;
其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。
在一个可选的实施方式中,所述操作确定模块具体包括:
信息提供子模块,用于当接收到入侵者触发的异常请求时,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
其中,所述伪造信息包括攻击对象的控制权限以及攻击对象的虚拟环境信息;
操作确定子模块,用于确定所述入侵者基于所述伪造信息在蜜罐上针对攻击对象执行的攻击操作。
在一个可选的实施方式中,所述信息提供子模块具体用于:
当接收到入侵者触发的异常请求时,利用漏洞合约提取所述异常请求中携带的异常特征;
利用所述漏洞合约判断所述异常特征是否与所述蜜罐对应的节点中存储的漏洞合约异常特征一致;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征未一致,利用所述漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息。
在一个可选的实施方式中,所述装置还包括:
请求拒绝子模块,用于若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征一致,利用所述漏洞合约拒绝响应于所述异常请求。
在一个可选的实施方式中,所述数据返回模块具体包括:
特征提取子模块,用于利用防御合约提取所述攻击操作中的攻击特征;
特征判断子模块,用于利用所述防御合约判断所述攻击特征是否与所述蜜罐对应的节点中存储的防御合约攻击特征一致;
数据返回子模块,用于若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征未一致,利用所述防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
操作拒绝子模块,用于若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征一致,利用所述防御合约拒绝响应于所述攻击操作。
在一个可选的实施方式中,所述装置还包括:
操作记录模块,用于在确定入侵者在蜜罐上针对攻击对象执行的攻击操作之后,利用取证合约记录所述攻击操作,并存储至区块链中所述蜜罐对应的节点。
在一个可选的实施方式中,所述装置还包括:
特征更新模块,用于利用所述取证合约提取所述异常请求中携带的异常特征,并作为漏洞合约异常特征更新至所述蜜罐对应的节点中存储的漏洞合约异常特征中;
利用所述取证合约提取所述攻击操作中的攻击特征,并作为防御合约攻击特征更新至所述蜜罐对应的节点中存储的防御合约攻击特征中。
在本发明实施例的第三方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面中任一所述的网络攻击的防御方法。
在本发明实施例的第四方面,还提供了一种存储介质,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面中任一所述的网络攻击的防御方法。
在本发明实施例的第五方面,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面中任一所述的网络攻击的防御方法。
本发明实施例提供的技术方案,通过确定入侵者在蜜罐上针对攻击对象执行的攻击操作,利用防御合约响应于入侵者在蜜罐上针对攻击对象执行的攻击操作,向入侵者返回伪造的响应数据,并利用防御合约将伪造的响应数据存储至区块链中蜜罐对应的节点,其中,伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。如此基于区块链的共识机制,区块链中各个节点数据同步,可以使蜜罐之间的数据一致,提高了蜜罐的真实性,提高了蜜罐甄别成本,以及提高了入侵者对蜜罐进行规避的难度。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中示出的一种网络攻击的防御系统架构的示意图;
图2为本发明实施例中示出的一种蜜罐集群架构的示意图;
图3为本发明实施例中示出的一种网络攻击的防御方法的实施流程示意图;
图4为本发明实施例中示出的另一种网络攻击的防御方法的实施流程示意图;
图5为本发明实施例中示出的一种网络攻击的防御装置的结构示意图;
图6为本发明实施例中示出的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种网络攻击的防御系统,其中大致可以划分为三个网络区域:公网、dmz(demilitarizedzone,隔离区)、核心区,用户以及入侵者位于公网,用作蜜罐的主机/服务器、web后端服务器(伪造)、代理服务器位于dmz,不承担业务的闲置主机/服务器、用于存储数据的服务器、web后端服务器位于核心区。
本发明实施例将核心区中不承担业务的闲置主机/服务器调整至dmz中,用作蜜罐的主机/服务器(以下简称主机),如此可以组成多个蜜罐集群,每个蜜罐集群中包含多个主机,如图2所示。
在dmz中为这些主机搭建一个假的内部dmz(即伪造dmz),用于增强迷惑性。然后,将这些主机添加至独立的区块链网络中,并在区块链网络中建立通道,用于后续漏洞合约、取证合约、防御合约的安装。
当甄别到入侵者触发的异常请求时,本发明实施例中代理服务器可以将入侵者触发的异常请求导向任一蜜罐集群中的任一蜜罐,由具体地蜜罐进行处理。
其中,代理服务器可以将入侵者触发的异常请求,基于异常请求对应的对象,导向蜜罐集群中的目标蜜罐,当然也可以是任一蜜罐集群中的任一蜜罐,进而蜜罐集群中存在一个蜜罐可以响应于该异常请求。
基于如图1所示的网络攻击的防御系统,如图3所示,为本发明实施例提供的一种网络攻击的防御方法的实施流程示意图,该方法可以应用于任一蜜罐集群中的任一蜜罐,具体可以包括以下步骤:
s301,确定入侵者在蜜罐上针对攻击对象执行的攻击操作;
在本发明实施例中,通过代理服务器可以将入侵者触发的异常请求导向具体的蜜罐,对于该蜜罐而言,可以响应于入侵者触发的异常请求。
由于经过代理服务器可以将入侵者触发的异常请求导向具体的蜜罐,继而入侵者可以在蜜罐上针对攻击对象执行相应的攻击操作,本发明实施例中蜜罐可以确定入侵者在蜜罐上针对攻击对象执行的攻击操作。
对于攻击对象而言,可以是当前互联网内任意的资源,例如可以是用户姓名名单、用户住址名单等资源,可以是数据库、提供的服务等资源,本发明实施例对此不作限定。需要说明的是,此时的攻击对象,并非真正意义上的攻击对象,可以是伪造的攻击对象(具体内容为空,并未包含任何有效信息)。
对于攻击操作而言,可以是入侵者针对攻击对象执行的任意非正常操作,例如可以是针对攻击对象的删除操作,可以是针对攻击对象的窃取操作,可以是针对攻击对象的安装木马程序等操作,本发明实施例对此不作限定。
例如,由于经过代理服务器可以将入侵者触发的异常请求导向具体的蜜罐a-1,继而入侵者可以在蜜罐a-1上针对用户姓名名单、用户住址名单等资源(具体内容为空,并未包含任何有效信息)执行相应的窃取操作,本发明实施例中蜜罐a-1可以确定入侵者在蜜罐a-1上针对用户姓名名单、用户住址名单等资源执行相应的窃取操作。
s302,利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
在本发明实施例中,为了避免入侵者察觉自己位于蜜罐内部,可以针对入侵者在蜜罐上针对攻击对象执行的攻击操作有所响应,即可以利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据。
对于防御合约而言(后续的取证合约、漏洞合约类似),其本质可以视为一段可执行代码,或者一个插件,对于蜜罐,可以利用该防御合约响应于入侵者在蜜罐上针对攻击对象执行的攻击操作,向该入侵者返回伪造的响应数据。
对于伪造的响应数据而言,可以因攻击对象以及攻击操作而略有差异。例如攻击对象为用户姓名名单、用户住址名单等资源,攻击操作为针对用户姓名名单、用户住址名单等资源的删除操作,则伪造的响应数据可以是针对用户姓名名单、用户住址名单等资源的删除操作成功。
又例如,攻击对象为用户姓名名单、用户住址名单等资源,攻击操作为针对用户姓名名单、用户住址名单等资源的窃取操作,则伪造的响应数据可以是伪造的用户姓名名单、用户住址名单等资源(此时其中包含有效信息,但其真实性并不确定,属于伪造信息)。
另外,对于入侵者在蜜罐上针对攻击对象执行的攻击操作,如果入侵者在蜜罐上针对攻击对象执行的攻击操作属于破坏性的攻击操作,例如删除操作、变更操作等,本发明实施例中蜜罐可以利用防御合约对入侵者设置障碍,例如向入侵者返回异常报错、向入侵者返回是否删除攻击对象的确认消息,诸如此类,以便于在入侵者和攻击对象之间多设置几道障碍,延长入侵者破坏攻击对象的时间,为定位入侵者赢取时间。
s303,利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点;
本发明实施例中为了可以实现蜜罐之间的数据一致的目的,可以利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点。其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。如此基于区块链的共识机制,区块链中各个节点数据同步,可以使蜜罐之间的数据一致,提高了蜜罐的真实性,提高了蜜罐甄别成本,以及提高了入侵者对蜜罐进行规避的难度。
例如,对于伪造的响应数据:“针对数据库等资源的删除操作成功”,本发明实施例中利用防御合约将该伪造的响应数据存储至区块链中所述蜜罐a-1对应的节点,其中,该伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点,如此区块链中各个节点数据同步,可以使蜜罐之间的数据一致,后续入侵者通过其它蜜罐查询到数据库等资源,根据区块链中节点存储的伪造的响应数据提示数据库等资源已删除。
通过上述对本发明实施例提供的技术方案的描述,通过确定入侵者在蜜罐上针对攻击对象执行的攻击操作,利用防御合约响应于入侵者在蜜罐上针对攻击对象执行的攻击操作,向入侵者返回伪造的响应数据,并利用防御合约将伪造的响应数据存储至区块链中蜜罐对应的节点,其中,伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。如此基于区块链的共识机制,区块链中各个节点数据同步,可以使蜜罐之间的数据一致,提高了蜜罐的真实性,提高了蜜罐甄别成本,以及提高了入侵者对蜜罐进行规避的难度。
如图4所示,为本发明实施例提供的另一种网络攻击的防御方法的实施流程示意图,该方法可以应用于任一蜜罐集群中的任一蜜罐,具体可以包括以下步骤:
s401,当接收到入侵者触发的异常请求时,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
在本发明实施例中,通过代理服务器可以将入侵者触发的异常请求导向具体的蜜罐,对于该蜜罐而言,可以接收到入侵者触发的异常请求,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息。
其中,所述伪造信息包括攻击对象的控制权限以及攻击对象的虚拟环境信息。对于虚拟环境信息,以数据库等资源为例,可以是用户名、密码、数据库名称、ip地址等信息,本发明实施例对此不作限定。
例如,对于蜜罐a-1而言,当接收到入侵者触发的异常请求时,利用漏洞合约响应于该异常请求,为该入侵者提供数据库等资源的控制权限以及虚拟环境信息,如此可以降低其他正常业务被攻击的可能性。
另外,本发明实施例为了增强蜜罐的真实性,当接收到入侵者触发的异常请求时,利用漏洞合约提取所述异常请求中携带的异常特征;利用所述漏洞合约判断所述异常特征是否与所述蜜罐对应的节点中存储的漏洞合约异常特征一致;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征未一致,利用所述漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征一致,利用所述漏洞合约拒绝响应于所述异常请求。
例如,当蜜罐a-1接收到入侵者触发的异常请求时,利用漏洞合约提取该异常请求中携带的异常特征(例如ip地址、mac地址、攻击方式等),利用漏洞合约判断该异常特征是否与蜜罐a-1对应的节点中存储的漏洞合约异常特征一致;
如果该异常特征是否与蜜罐a-1对应的节点中存储的漏洞合约异常特征未一致,利用所述漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
如果所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征一致,利用所述漏洞合约拒绝响应于所述异常请求,如此可以增强蜜罐的真实性(或者迷惑性)。
s402,确定所述入侵者基于所述伪造信息在蜜罐上针对攻击对象执行的攻击操作;
当入侵者通过漏洞合约得到了攻击对象的控制权限以及虚拟环境信息时,入侵者可以基于攻击对象的控制权限以及虚拟环境信息,在蜜罐上针对攻击对象执行的攻击操作,进而本发明实施例确定入侵者在蜜罐上针对攻击对象执行的攻击操作。
如此同时,在确定入侵者在蜜罐上针对攻击对象执行的攻击操作之后,利用取证合约记录所述攻击操作,并存储至区块链中所述蜜罐对应的节点,利用区块链不可篡改的特性,用于取证以及后期举报。
s403,利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
在本发明实施例中,为了进一步增强蜜罐的真实性,可以利用防御合约提取所述攻击操作中的攻击特征,利用所述防御合约判断所述攻击特征是否与所述蜜罐对应的节点中存储的防御合约攻击特征一致,若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征未一致,利用所述防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据,若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征一致,利用所述防御合约拒绝响应于所述攻击操作。
对于攻击特征,可以理解为入侵者针对攻击对象所选择的攻击手段或者攻击方式,本发明实施例利用防御合约可以提取攻击操作中的攻击特征。
例如,利用防御合约提取所述攻击操作中的攻击特征a以及攻击特征b,利用所述防御合约判断所述攻击特征a以及攻击特征b是否与所述蜜罐a-1对应的节点中存储的防御合约攻击特征一致,如果所述攻击特征a以及攻击特征b是否与所述蜜罐a-1对应的节点中存储的防御合约攻击特征未一致,利用所述防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据,如果所述攻击特征a以及攻击特征b是否与所述蜜罐a-1对应的节点中存储的防御合约攻击特征一致,利用所述防御合约拒绝响应于所述攻击操作。
s404,利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点。
本发明实施例中为了可以实现蜜罐之间的数据一致的目的,可以利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点。其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。如此基于区块链的共识机制,区块链中各个节点数据同步,可以使蜜罐之间的数据一致,提高了蜜罐的真实性,提高了蜜罐甄别成本,以及提高了入侵者对蜜罐进行规避的难度。
另外,利用所述取证合约提取所述异常请求中携带的异常特征,并作为漏洞合约异常特征更新至所述蜜罐对应的节点中存储的漏洞合约异常特征中,可以增加入侵者后续的攻击成本;利用所述取证合约提取所述攻击操作中的攻击特征,并作为防御合约攻击特征更新至所述蜜罐对应的节点中存储的防御合约攻击特征中,进一步增强蜜罐的迷惑性,也间接地提高了蜜罐集群的安全性。
与上述方法实施例相对应,本发明实施例还提供了一种网络攻击的防御装置,如图5所示,应用于任一蜜罐集群中的任一蜜罐,该装置可以包括:操作确定模块510、数据返回模块520、数据上链模块530。
操作确定模块510,用于确定入侵者在蜜罐上针对攻击对象执行的攻击操作;
数据返回模块520,用于利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;
数据上链模块530,用于利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点;
其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。
在本发明实施例的具体实施方式中,所述操作确定模块510具体包括:
信息提供子模块511,用于当接收到入侵者触发的异常请求时,利用漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息;
其中,所述伪造信息包括攻击对象的控制权限以及攻击对象的虚拟环境信息;
操作确定子模块512,用于确定所述入侵者基于所述伪造信息在蜜罐上针对攻击对象执行的攻击操作。
在本发明实施例的具体实施方式中,所述信息提供子模块511具体用于:
当接收到入侵者触发的异常请求时,利用漏洞合约提取所述异常请求中携带的异常特征;
利用所述漏洞合约判断所述异常特征是否与所述蜜罐对应的节点中存储的漏洞合约异常特征一致;
若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征未一致,利用所述漏洞合约响应于所述异常请求,为所述入侵者提供所述异常请求对应的攻击对象的伪造信息。
在本发明实施例的具体实施方式中,所述装置还包括:
请求拒绝子模块513,用于若所述异常特征与所述蜜罐对应的节点中存储的漏洞合约异常特征一致,利用所述漏洞合约拒绝响应于所述异常请求。
在本发明实施例的具体实施方式中,所述数据返回模块520具体包括:
特征提取子模块521,用于利用防御合约提取所述攻击操作中的攻击特征;
特征判断子模块522,用于利用所述防御合约判断所述攻击特征是否与所述蜜罐对应的节点中存储的防御合约攻击特征一致;
数据返回子模块523,用于若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征未一致,利用所述防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据。
在本发明实施例的具体实施方式中,所述装置还包括:
操作拒绝子模块524,用于若所述攻击特征与所述蜜罐对应的节点中存储的防御合约攻击特征一致,利用所述防御合约拒绝响应于所述攻击操作。
在本发明实施例的具体实施方式中,所述装置还包括:
操作记录模块540,用于在确定入侵者在蜜罐上针对攻击对象执行的攻击操作之后,利用取证合约记录所述攻击操作,并存储至区块链中所述蜜罐对应的节点。
在本发明实施例的具体实施方式中,所述装置还包括:
特征更新模块550,用于利用所述取证合约提取所述异常请求中携带的异常特征,并作为漏洞合约异常特征更新至所述蜜罐对应的节点中存储的漏洞合约异常特征中;
利用所述取证合约提取所述攻击操作中的攻击特征,并作为防御合约攻击特征更新至所述蜜罐对应的节点中存储的防御合约攻击特征中。
本发明实施例还提供了一种电子设备,如图6所示,包括处理器61、通信接口62、存储器63和通信总线64,其中,处理器61,通信接口62,存储器63通过通信总线64完成相互间的通信,
存储器63,用于存放计算机程序;
处理器61,用于执行存储器63上所存放的程序时,实现如下步骤:
确定入侵者在蜜罐上针对攻击对象执行的攻击操作;利用防御合约响应于所述攻击操作,向所述入侵者返回伪造的响应数据;利用所述防御合约将所述伪造的响应数据存储至区块链中所述蜜罐对应的节点;其中,所述伪造的响应数据基于区块链的共识机制被同步至区块链中其它节点。
上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect,简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(randomaccessmemory,简称ram),也可以包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(centralprocessingunit,简称cpu)、网络处理器(networkprocessor,简称np)等;还可以是数字信号处理器(digitalsignalprocessing,简称dsp)、专用集成电路(applicationspecificintegratedcircuit,简称asic)、现场可编程门阵列(field-programmablegatearray,简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种存储介质,该存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的网络攻击的防御方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的网络攻击的防御方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在存储介质中,或者从一个存储介质向另一个存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!