一种内网漏洞攻击防御方法及相关装置与流程
本申请涉及计算机领域,特别是涉及一种内网漏洞攻击防御方法及相关装置。
背景技术:
随着企业信息化的比例逐年提升,企业内网安全成了企业信息安全的重要的一环,保护数据资产安全具有非常重要的意义。一旦重要的数据被黑客获取到并进行非法交易,将对企业造成巨大的损失。
黑客为获取公司内网的数据,通常会攻破内网的某一台机器,再通过漏洞攻击方式进行内网横向扩散控制更多的机器,控制了内网机器后,就可以建立秘密的通道将文件传输到黑客手上,甚至是直接加密全盘文件对企业进行勒索(勒索病毒)。因此,在黑客对内网进行攻击时,如何及时的将漏洞攻击手段掐断,就显得非常重要了。
目前的漏洞攻击防御手段例如入侵防御系统(intrusionpreventionsystem,ips),虽然可以弥补入侵检测系统(intrusiondetectionsystem,ids)的不足,实时感知漏洞攻击,对攻击数据包进行拦截,但是ips处理压力非常大,容易造成漏报和误报的情况,并且一旦漏报或误报可能会影响整个企业网络的正常使用。
技术实现要素:
为了解决上述技术问题,本申请提供了一种内网漏洞攻击防御方法及相关装置,在每台内网电子设备的驱动层进行漏洞攻击检测,并从驱动层对漏洞攻击数据包进行拦截,提高了漏洞攻击的响应速度。另外,对数据包的漏洞攻击检测分摊至每台内网电子设备上,从而降低漏洞攻击检测的处理压力。随着处理压力减小,也大大降低了漏报误报的影响范围,有效保证了内网中其他内网电子设备的正常使用。
本申请实施例公开了如下技术方案:
第一方面,本申请实施例提供一种内网漏洞攻击防御方法,所述内网中包括多台内网电子设备,每台所述内网电子设备上的驱动层部署有流量检测模块,所述方法包括:
所述内网电子设备读取功能配置文件并加载与所述功能配置文件对应的本地规则文件;
在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包;
调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包;
所述电子设备在确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
第二方面,本申请实施例提供一种内网漏洞攻击防御装置,所述内网中包括多台内网电子设备,每台所述内网电子设备上的驱动层部署有流量检测模块,所述装置包括加载单元、获取单元、确定单元和阻断单元:
所述加载单元,用于读取功能配置文件并加载与所述功能配置文件对应的本地规则文件;
所述获取单元,用于在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包;
所述确定单元,用于调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包;
所述阻断单元,用于在确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
第三方面,本申请实施例提供一种用于内网漏洞攻击防御的电子设备,所述电子设备包括处理器以及存储器:
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于根据所述程序代码中的指令执行第一方面所述的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面所述的方法。
由上述技术方案可以看出,为了避免黑客对内网中包括的多台内网电子设备进行漏洞攻击,每台内网电子设备的驱动层部署流量检测模块执行漏洞攻击检测,即内网中每台内网电子设备可以根据读取的功能配置文件加载对应的本地规则文件,若内网电子设备获取到访问数据包,则可以通过流量检测模块,根据本地规则文件确定访问数据包是否为漏洞攻击数据包。若确定访问数据包为漏洞攻击数据包,则阻断访问数据包从驱动层到达内网电子设备的应用层,达到防御漏洞攻击的目的。由于在内网电子设备的驱动层部署流量检测模块,在每台内网电子设备的驱动层进行漏洞攻击检测,并从驱动层对漏洞攻击数据包进行拦截,提高了漏洞攻击的响应速度。另外,对数据包的漏洞攻击检测分摊至每台内网电子设备上,从而降低漏洞攻击检测的处理压力。同时,随着处理压力减小,大大降低了漏报误报的可能性,即使出现漏报误报也仅影响当前内网电子设备,降低漏报误报的影响范围,保证内网中其他内网电子设备的正常使用。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术成员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为相关技术中一种内网漏洞攻击防御方法的系统架构示意图;
图2为相关技术中另一种内网漏洞攻击防御方法的系统架构示意图;
图3为本申请实施例提供的一种内网漏洞攻击防御方法的系统架构示意图;
图4为本申请实施例提供的一种内网漏洞攻击防御方法的流程图;
图5为本申请实施例提供的另一种内网漏洞攻击防御方法的流程图;
图6为本申请实施例提供的网络防御功能配置界面示意图;
图7为本申请实施例提供的规则运营服务器向内网中的内网电子设备下发漏洞规则库的系统架构示意图;
图8为本申请实施例提供的确定访问数据包是否为漏洞攻击数据包的流程图;
图9为本申请实施例提供的规则图的数据结构示意图;
图10为本申请实施例提供的弹窗提示的界面示意图;
图11为本申请实施例提供的展示详细攻击信息的界面示意图;
图12为本申请实施例提供的一种确定访问数据包是否为漏洞攻击数据包的方法的流程图;
图13为本申请实施例提供的另一种内网漏洞攻击防御方法的流程图;
图14为本申请实施例提供的一种内网漏洞攻击防御装置的结构图;
图15为本申请实施例提供的一种终端设备的结构图;
图16为本申请实施例提供的一种服务器的结构图。
具体实施方式
下面结合附图,对本申请的实施例进行描述。
为了避免黑客通过漏洞攻击的方式,控制内网中的内网电子设备,威胁数据资产安全,相关技术中提供了多种漏洞攻击防御方式,例如图1所示的ids方式,ids方式通常是在内网104的网络路由设备102处通过交换机103做数据包端口镜像,将内网104与外网101通信的数据包复制到设备105并转到独立的服务器上进行异步旁路的检测。ids方式的缺陷在于只能异步检测和告警,而黑客进行漏洞攻击的数据包一旦发送到目标内网电子设备上,目标内网电子设备就很有可能被建立起隐藏通道与外部的黑客进行了文件传输。
另一种方式是图2所示的ips方式,ips方式通常是ips类设备206被串接在主干路上,内网202或隔离区(demilitarizedzone,dmz)201与外网203通信的数据包通过路由设备204和防火墙205,被ips类设备206接收,ips类设备206对及时对数据包进行漏洞攻击检测,弥补ids方式的不足,实时感知漏洞攻击,对攻击数据包进行拦截。但是,ips方式成本很高,往往一台ips类设备需要几十万,其中还不包括设备的安装、运营成本。此外,ips类设备部署在公司的网络进出口,ips类设备处理压力非常大,容易造成漏报和误报的情况,并且一旦漏报或误报可能会影响整个企业网络的正常使用。
为了解决上述技术问题,本申请实施例提供一种内网漏洞攻击防御方法,该方法在内网中每台内网电子设备的驱动层部署流量检测模块执行漏洞攻击检测,由于在内网电子设备的驱动层部署流量检测模块,在每台内网电子设备的驱动层进行漏洞攻击检测,并从驱动层对漏洞攻击数据包进行拦截,提高了漏洞攻击的响应速度。另外,对数据包的漏洞攻击检测分摊至每台内网电子设备上,从而降低漏洞攻击检测的处理压力。同时,随着处理压力减小,也大大降低了漏报误报的可能性,即使出现漏报误报也仅影响当前内网电子设备,降低漏报误报的影响范围,保证内网中其他内网电子设备的正常使用。
本申请实施例提供的内网漏洞攻击防御方法由内网中每台内网电子设备本身执行,无需额外的检测设备,降低漏洞攻击检测的成本。
本申请实施例所提供的方法涉及到云技术领域,例如云安全(cloudsecurity),云安全是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
本申请实施例所涉及的云安全,例如包括云计算安全中的云计算机系统安全、用户数据的安全存储与隔离、网络攻击防护等。
参见图3,图3为本申请实施例提供的内网漏洞攻击防御方法的系统架构示意图。该系统架构中内网300与外网400之间可以进行通信,内网300与外网400之间通信的数据包为访问数据包。内网300中可以包括多个内网电子设备,多个内网电子设备可以包括终端设备301和服务器302,服务器302可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云计算服务的云服务器。终端设备301可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端设备301以及服务器302可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
外网400中可以包括终端设备401,终端设备401可以向内网300中的任一内网电子设备发送访问数据包,以请求访问该内网电子设备,实现与内网300的通信。
内网300中每个内网电子设备的驱动层部署流量检测模块以执行漏洞攻击检测,内网300中每台内网电子设备上可以存储本地规则文件,本地规则文件是漏洞攻击检测所需使用的各种规则,可以是云上的规则运营服务器下发到各个内网电子设备上的。
内网300中每台内网电子设备可以根据读取的功能配置文件加载对应的本地规则文件,功能配置文件是根据后台的功能开关的开启/关闭状态生成的,可以表征对应的网络防御功能是否生效,每个网络防御功能具有对应的规则,故可以根据功能配置文件加载对应的本地规则文件。
当内网电子设备在驱动层获取到外网400中的终端设备401(即外网电子设备)发送的访问数据包时,调用内网电子设备的流量检测模块,根据本地规则文件在驱动层对访问数据包进行漏洞攻击检测处理,从而确定访问数据包是否为漏洞攻击数据包。若确定访问数据包为漏洞攻击数据包,则对访问数据包进行阻断处理,以阻止访问数据包从驱动层到达内网电子设备的应用层,达到防御漏洞攻击的目的。
本申请实施例提供的内网漏洞攻击防御方法可以有效的为各种企业例如银行、公司、单位、学校等抵御网络攻击,保证其数据资产安全。
接下来,将结合附图,以企业内网为例对本申请实施例提供的内网漏洞攻击防御方法进行详细介绍。
参见图4,图4示出了一种内网漏洞攻击防御方法的流程图,内网中包括多台内网电子设备,每台内网电子设备上的驱动层部署有流量检测模块,所述方法包括:
s401、所述内网电子设备读取功能配置文件并加载与功能配置文件对应的本地规则文件。
在开始执行本申请实施例提供的方法时,首先响应于用户针对内网电子设备的应用层的启动操作,读取功能配置文件(参见图5中s501所示),功能配置文件是根据后台的功能开关的开启/关闭状态生成的,可以表征对应的网络防御功能是否生效,根据功能配置文件确定网络防御功能是否开启以及具体开启哪些网络防御功能(参见图5中s502所示)。每个网络防御功能具有对应的规则,故可以加载与功能配置文件对应的本地规则文件,加载的本地规则文件中包括与开启的网络防御功能对应的规则(参见图5中s503所示)。其中,功能配置文件可以用snort.conf文件表示,本地规则文件可以用.rules文件表示。
若网络防御功能的开关开启,则表示网络防御功能生效,则继续执行后续步骤。否则,表示网络防御功能不生效,则启动消息循环接收模块,以获取通知消息(参见图5中s504),该通知消息用于通知其网络防御功能不生效。
其中,功能开关的开/关状态是公司内网的安全运营人员登录到后台中心进行配置的,即可配置网络防御功能,网络防御功能包括防御各种漏洞利用的功能。如图6所示,图6中指示了常见的一些漏洞利用,例如永恒之蓝漏洞利用攻击、心脏滴血漏洞利用攻击等等,当开启该漏洞利用对应的开关,即开启了防御该漏洞利用的功能(即该网络防御功能)。其中,图6中前4个开关的状态表示开关开启,最后一个开关的状态表示开关关闭。
本地规则文件是漏洞攻击检测所需使用的各种规则,可以是云上的规则运营服务器下发到各个内网电子设备上的。参见图7所示,规则运营服务器701可以向所有企业对应的后台中心702下发漏洞规则库,安全运营人员可登录到后台中心702选择规则项,再推送到内网中的各个终端设备703上。
需要说明的是,规则运营服务器701可以根据实际情况随时更新漏洞规则库,例如一旦有新的病毒被发现,在云上的规则运营服务器701将对所有的企业下发最新的漏洞规则库,安全运营人员可登录到后台中心702选择最新的规则项,再推送到内网中的各个终端设备703上。终端设备703一旦发现规则有更新,将会读取最新的规则。
s402、内网电子设备在驱动层获取外网电子设备向内网电子设备发送的访问数据包。
外网电子设备可能会向内网电子设备发送访问数据包,以请求访问内网电子设备。当外网电子设备发送访问数据包时,内网中电子设备可以在驱动层获取该访问数据包,以在驱动层对访问数据包进行漏洞攻击检测。
由于可能存在很多外网电子设备请求访问内网电子设备,故内网电子设备接收到的访问数据包可以包括很多,有一些访问数据包来自与特定的端口,并且提前已经知晓该端口是攻击者例如黑客的终端设备的端口,在这种情况下,为了减少漏洞攻击检测过程中所需检测的访问数据包,在一些可能的实施例中,内网电子设备获取访问数据包的方式可以是,内网电子设备通过筛选平台(windowsfilteringplatform,wfp)接口接收访问数据包,接收的访问数据包中包括发送访问数据包的端口标识,内网电子设备上记录了哪些端口是攻击者的终端设备的端口,因此,通过wfp的过滤功能,可以根据访问数据包所对应的端口标识对访问数据包进行过滤,得到过滤后的访问数据包。若该端口标识表示访问数据包是由攻击者的终端设备的端口发送的,则过滤该访问数据包,从而对过滤后的访问数据包执行s403所述的步骤。也就是说,在图8中进入packetloop的访问数据包是通过wfp过滤后得到的。
s403、内网电子设备调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包。
内网电子设备的驱动层部署有流量检测模块,在获取到访问数据包后,可以通过消息循环接收模块通知流量检测模块启动,以对访问数据包进行漏洞攻击检测处理,即内网电子设备调用驱动层的流量检测模块确定访问数据包是否命中本地规则文件中的规则,以确定访问数据包是否为漏洞攻击数据包(参见图5中s505),若是,则确定该访问数据包为漏洞攻击数据包。
在一些可能的实施例中,由于本地规则文件中可能包括很多条规则,有一些规则可能比较相似,例如多条规则之间可能存在相同的部分,在这种情况为,为了避免在面对相似的规则时,针对每条规则都重新进行匹配以确定访问数据包是否命中该规则,提高处理速度,基于多模匹配算法的特性,根据本地规则文件在驱动层对访问数据包进行漏洞攻击检测处理,以在内网电子设备的驱动层确定访问数据包是否为漏洞攻击数据包的方式可以是调用多模匹配算法确定访问数据包是否命中本地规则文件中的规则,若访问数据包命中本地规则文件中的至少一条规则,则确定访问数据包为漏洞攻击数据包。
例如,本地规则文件中包括三条规则,第一条规则包括a部分和b部分,第二条规则包括a部分和c部分,第三条规则包括a部分和d部分,则在确定访问数据包是否命中本地规则文件中的规则时,可以将访问数据包与第一条规则进行匹配,确定访问数据包是否命中第一条规则。之后,由于第二条规则、第三条规则与第一条规则具有相同的部分即a部分,故针对第二条规则进行匹配时,可以直接从c部分进行匹配,a部分则直接基于第一条规则的匹配结果,从而确定访问数据包是否命中第二条规则。同理,针对第三条规则进行匹配时,可以直接从d部分进行匹配,a部分则直接基于第一条规则的匹配结果,从而确定访问数据包是否命中第三条规则。
通过多模匹配算法实现漏洞攻击检测,可以满足在规则数量庞大的时候,降低漏洞攻击检测的计算量,提高处理速度,保证终端设备网络正常使用。
需要说明的是,从程序执行角度,内网电子设备调用驱动层部署的流量检测模块,根据本地规则文件在驱动层对访问数据包进行漏洞攻击检测处理,以内网电子设备的驱动层确定访问数据包是否为漏洞攻击数据包的流程图可以参见图8所示。响应于用户针对内网电子设备的应用层的启动操作,读取功能配置文件(参见图8中s801所示),加载与功能配置文件对应的本地规则文件(参见图8中s802所示)。一条规则要能被使用,需要经过规则解析和规则编译,故在获取到本地规则文件后,内网电子设备可以调用规则解析函数对本地规则文件中的每条规则进行规则解析(参见图8中s803所示),接着,调用规则编译函数对本地规则文件中的规则解析后的每条规则进行规则编译(参见图8中s804所示),从而构建规则图(port_rule_map)。其中,规则解析可以通过parserules函数实现,规则编译可以通过fpcreatefastpacketdetection函数实现。图8中s801所示的步骤相当于s501所示,s802所示的步骤相当于s503所示。
在本实施例中,传输控制协议(transmissioncontrolprotocol,tcp)/用户数据报协议(userdatagramprotocol,udp)/控制报文协议(internetcontrolmessageprotocol,icmp)/网际互连协议(internetprotocol,ip)协议各有一份port_rule_map。当外网电子设备发送访问数据包时,可以通过筛选平台接口接收访问数据包,以对访问数据包进行过滤,得到过滤后的访问数据包(参见图8中s805所示),即进入包循环(packetloop),对过滤后的访问数据包进行数据包解析,以判断外网电子设备与内网电子设备之间的通信协议(参见图8中s806所示),然后调用多模匹配算法确定过滤后的访问数据包是否命中本地规则文件中的规则,以确定访问数据包是否为漏洞攻击数据包(参见图8中s807所示),其中,本地规则文件通过规则图形式体现,通过输出插件输出访问数据包是否为漏洞攻击数据包的确定结果(参见图8中s808所示)。
在一些情况下,针对一些特殊的漏洞攻击,可以通过插件的形式进行漏洞攻击检测,此时,可以首先进行预处理插件注册,然后构建系统可支持的插件,其可支持的插件例如可以是frag3、httpinspect、stream5等,frag3是对分片进行重组、httpinspect是进行地址规格化等功能、stream5是基于会话状态的检测。接着,利用插件对访问数据包进行检测。
需要说明的是,port_rule_map的数据结构可以参见图9所示,port_rule_map是65535(max_ports)长度的整形数组,包括三个数组,分别是目的端口组合(通过prmdstport[]表示)、源端口组合(通过prmsrcport[]表示)和未提供目的端口和源端口的组合即any->any端口的集合(通过prmgeneric[]表示)。
在利用本地规则文件时,首先通过全局的snortconf函数保存当前所有规则,访问数据包需要经过snortconf再进行匹配。结合上文提到的.rules文件,每条规则会提供匹配的目的端口、源端口,规则加载时填充到prmdstport[]、prmsrcport[],如果没提供端口则写到prmgeneric[]。
port_rule_map由端口组(port_group)结构组成,port_group结构保存着本地规则文件中每条规则的详细信息,每一个port_group都对应着这个端口需要匹配的规则函数、规则内容、流量偏移等信息。规则函数、规则链等信息是通过指针指向规则节点(rule_node)。而每一个port_group都可以有不同的匹配预设算法,保存在模式匹配(mpse)结构中。acsm_struct2是用于保存匹配详细内容的结构,匹配详细内容例如包括匹配字符串、长度、偏移等。其中,图9中实心的菱形加箭头表示组合关系,即整体和部分之间的关系,箭头指向被组合的整体,例如端口组可以组成规则图;空心的菱形加箭头表示聚合关系,即集体和个体的关系,箭头指向被聚合的集体,例如,mpse五种类型聚合成mpse结构。
基于port_rule_map的数据结构,访问数据包进入packetloop之后,判断是什么协议,根据协议再寻找具体的端口组(port_group)。找到端口组后,找到访问数据包匹配的端口对应的rule_node,最后选用对应的函数进行多模匹配等。
s404、所述内网电子设备在确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
若在内网电子设备的驱动层确定访问数据包为漏洞攻击数据包,则对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层(参见图5中s506)。
因为数据包的漏洞攻击检测是在驱动层进行的,因此所有数据包可以实现同步的拦截,让黑客行为无处遁形。
在一些可能的实施例中,内网电子设备可以显示弹窗提示并上报该访问数据包,以提示用户检测到攻击数据包(参见图5中s507),该弹窗提示用于提示检测到攻击数据包,弹窗提示的界面示意图可以参见图10所示,该弹窗提示中可以包括访问数据包的攻击信息,该攻击信息可以包括风险描述、远程地址、攻击路径、本地地址等。
当点击图10中所示的“日志”时,可以查看漏洞攻击的详细攻击信息,例如可以是攻击方和被攻击方的ip、端口以及攻击类型(攻击类型例如包括漏洞攻击和爆破攻击)等,参见图11所示。
表1示出了不同漏洞攻击检测方法所对应的传输速度和中央处理器(centralprocessingunit,cpu)占用情况,其中,有驱动、有规则表示在驱动层根据本地规则文件进行漏洞规则检测。
表1
从表1可以看出,只有在每条规则都命中的情况下,传输速度和cpu占用率才会产生影响,而正常情况下基本上不会出现每个访问数据包都命中规则的情况,因此,本申请实施例提供的方法可以在保证传输速度的基础上,实现及时检测漏洞攻击,且处理压力例如cpu的占用率较小。
由上述技术方案可以看出,为了避免黑客对内网中包括的多台内网电子设备进行漏洞攻击,每台内网电子设备的驱动层部署流量检测模块执行漏洞攻击检测,即内网中每台内网电子设备可以根据读取的功能配置文件加载对应的本地规则文件,若内网电子设备获取到访问数据包,则可以通过流量检测模块,根据本地规则文件确定访问数据包是否为漏洞攻击数据包。若确定访问数据包为漏洞攻击数据包,则阻断访问数据包从驱动层到达内网电子设备的应用层,达到防御漏洞攻击的目的。由于在内网电子设备的驱动层部署流量检测模块,在每台内网电子设备的驱动层进行漏洞攻击检测,并从驱动层对漏洞攻击数据包进行拦截,提高了漏洞攻击的响应速度。另外,对数据包的漏洞攻击检测分摊至每台内网电子设备上,从而降低漏洞攻击检测的处理压力。同时,随着处理压力减小,大大降低了漏报误报的可能性,即使出现漏报误报也仅影响当前内网电子设备,降低漏报误报的影响范围,保证内网中其他内网电子设备的正常使用。
在一些可能的实施例中,若确定访问数据包不是漏洞攻击数据包,则可以将访问数据包上抛至内网电子设备的应用层。但是,一些访问数据包虽然不是漏洞攻击数据包,但是可能也具有一定的安全隐患,例如访问数据包可能是爆破攻击数据包,爆破攻击数据包的特点是爆破频率较小时不会影响内网的网络安全,无需阻断。因此,应用层在接收到访问数据包后,还可以在应用层对访问数据包进行爆破攻击检测处理,以确定访问数据包是否为爆破攻击数据包(参见图5中s508),若在应用层确定访问数据包为爆破攻击数据包,确定爆破攻击数据包的爆破频率是否达到预设阈值(参见图5中s509),若达到预设阈值,对爆破数据包进行阻断处理,以阻止爆破攻击数据包控制内网电子设备(参见图5中s506),内网电子设备可以显示弹窗提示并上报该访问数据包,以提示用户检测到攻击数据包(参见图5中s507),此时弹窗提示可以用于提示访问数据包尾爆破攻击数据包。若访问数据包不是爆破攻击数据包,或,爆破频率未达到预设阈值,则启动消息循环接收模块,以获取通知消息(参见图5中s504)。
由于规则运营服务器可以根据实际情况随时更新漏洞规则库,为了避免本地规则文件并非规则运营服务器中最新的规则,内网电子设备在获取到本地规则文件后,可以对规则运营服务器中的远程规则文件进行更新检测,以确定规则运营服务器中的远程规则文件是否更新(参见图5中s510),若是,将远程规则文件中的新规则添加至本地规则文件中,以利用远程规则文件更新本地规则文件,并重新构建数据结构(参见图5中s511)。此时,在内网电子设备的驱动层根据本地规则文件确定访问数据包是否为漏洞攻击数据包时,实际上是根据更新后的本地规则文件确定访问数据包是否为漏洞攻击数据包。若否,则启动消息循环接收模块,以获取通知消息。
可以理解的是,在本地规则文件更新后,若要利用更新后的本地规则文件确定访问数据包是否为漏洞攻击数据包,则需要重新构建图9所示的数据结构。
在漏洞攻击检测之前,确定远程规则文件是否更新,从而可以实时获取最新的规则,保证根据最新的规则进行漏洞攻击检测,及时抵御各种可能的漏洞攻击利用。
确定远程规则文件是否更新的方式可以是内网电子设备确定本地规则文件的校验值与从服务器获取的远程规则文件的校验值是否一致,若不一致,说明本地规则文件与远程规则文件的内容不同,远程规则文件已经更新,则执行将远程规则文件中的新规则添加至本地规则文件中,以通过远程规则文件更新本地规则文件的步骤。
其中,本地规则文件的校验值是根据本地规则文件的内容生成的,可以唯一标识本地规则文件的内容,远程规则文件的校验值是根据远程规则文件的内容生成的,可以唯一标识远程规则文件的内容。校验值例如可以是根据信息摘要算法(message-digestalgorithm,md5)生成的md5值。
需要说明的是,在本实施例中可以定时执行内网电子设备确定规则运营服务器中的远程规则文件是否更新的步骤。通常情况下,为了避免不必要的处理步骤,在内网电子设备确定规则运营服务器中的远程规则文件是否更新之前,可以根据功能配置文件确定网络防御功能是否开启以及具体开启哪些网络防御功能,从而确定网络防御功能是否生效(相当于图5中s502所示),若生效,则说明需要进行漏洞攻击检测,此时可以唤醒定时器,以便根据定时器定时执行内网电子设备对规则运营服务器中的远程规则文件进行更新检测,以确定规则运营服务器中的远程规则文件是否更新的步骤。否则,说明无需进行漏洞攻击检测,那么,为了避免不必要的处理步骤,避免资源浪费,则无需执行内网电子设备对规则运营服务器中的远程规则文件进行更新检测,以确定规则运营服务器中的远程规则文件是否更新的步骤。
基于前述实施例对内网漏洞攻击防御方法的介绍,本实施例提供一种确定访问数据包是否为漏洞攻击数据包的方法,参见图12,所述方法包括:
s1201、响应于用户针对内网电子设备的应用层的启动操作,读取功能配置文件。
s1202、内网电子设备根据加载与功能配置文件对应的本地规则文件。
其中,s1201与图8所示的s801对应,s1202与图8所示的s802对应.
s1203、内网电子设备调用规则解析函数对本地规则文件中的每条规则进行规则解析,并调用规则编译函数对本地规则文件中的规则解析后的每条规则进行规则编译,构建规则图。
其中,s1203与图8所示的s803和s804对应。
s1204、内网电子设备通过wfp接口接收访问数据包,以对访问数据包进行过滤,得到过滤后的访问数据包。
其中,s1204与图8所示的s805对应。
s1205、内网电子设备对过滤后的访问数据包进行数据包解析,以判断外网电子设备与内网电子设备之间的通信协议。
其中,s1205与图8所示的s806对应。
s1206、内网电子设备调用多模匹配算法,确定过滤后的访问数据包是否命中本地规则文件中的规则,以确定访问数据包是否为漏洞攻击数据包,所述本地规则文件中的规则通过通信协议对应的规则图体现。
其中,s1206与图8所示的s807对应。
s1207、若所述访问数据包命中所述本地规则文件中的至少一条规则,确定所述访问数据包为漏洞攻击数据包。
s1208、通过输出插件输出访问数据包是否为漏洞攻击数据包的确定结果。
接下来,将结合实际应用场景对本申请实施例提供的内网漏洞攻击防御方法进行介绍。在该应用场景中,通过安全防御应用程序实现该方法,内网中的内网电子设备例如终端设备上安装有该应用程序,参见图13,所述方法包括:
s1301、接收内网的安全运营人员的登录请求以及通过终端后台中心配置的网络防御功能。
s1302、终端设备根据配置的网络防御功能生成功能配置文件。
s1303、响应于用户针对终端设备的应用层的启动操作,读取功能配置文件。
s1304、终端设备根据功能配置文件确定网络防御功能是否开启以及具体开启哪些网络防御功能,若是,执行s1305,若否,执行s1314。
s1305、终端设备加载与功能配置文件对应的本地规则文件,加载的本地规则文件中包括与开启的网络防御功能对应的规则。
s1306、根据定时器定时比较本地规则文件的md5与规则运营服务器中的远程规则文件的md5是否一致,以确定远程规则文件是否更新。若否,执行s1307,若是,执行s1314。
s1307、终端设备将远程规则文件中的新规则添加至本地规则文件中,以利用远程规则文件更新本地规则文件。
s1308、终端设备根据更新后的本地规则文件重新构建数据结构。
s1309、在终端设备调用驱动层的流量检测模块确定访问数据包是否命中本地规则文件中的规则,以确定访问数据包是否为漏洞攻击数据包,若否,执行s1310;若是,执行s1312。
s1310、在应用层对访问数据包进行爆破攻击检测处理,以确定访问数据包是否为爆破攻击数据包;若是,执行s1311;若否,执行s1314。
s1311、若在应用层确定访问数据包为爆破攻击数据包,确定爆破攻击数据包的爆破频率是否达到预设阈值,若是,执行s1312,若否,执行s1314。
s1312、终端设备对访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的访问数据包从驱动层到达所述内网电子设备的应用层;或对爆破数据包进行阻断处理,以阻止爆破攻击数据包控制内网电子设备。
s1313、终端设备显示弹窗提示并上报该访问数据包,弹窗提示用于显示攻击方和被攻击方的ip、端口以及攻击类型。
s1314、启动终端设备的消息循环接收模块,以获取通知消息。其中,s1303与图5所示的s501对应、s1304与图5所示的s502对应、s1305与图5所示的s503对应、s1306是图5所示的s510的一种可能的实现方式、s1307和s1308与图5所示的s511对应、s1309与图5所示的s505对应、s1310与图5所示的s508对应、s1311与图5所示的s509对应、s1312与图5所示的s506对应、s1313与图5所示的s507对应、s1314与图5所示的s504对应,此处不再赘述。
基于图4对应实施例提供的内网漏洞攻击防御方法,本申请实施例还提供一种内网漏洞攻击防御装置1400,参见图14,所述内网中包括多台内网电子设备,每台所述内网电子设备上的驱动层部署有流量检测模块,所述装置1400包括加载单元1401、获取单元1402、确定单元1403和阻断单元1404:
所述加载单元1401,用于读取功能配置文件并加载与所述功能配置文件对应的本地规则文件;
所述获取单元1402,用于在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包;
所述确定单元1403,用于调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包;
所述阻断单元1404,用于在所述确定单元1403确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
在一种可能的实现方式中,所述确定单元1403,用于:
调用多模匹配算法确定所述访问数据包是否命中所述本地规则文件中的规则;
若所述访问数据包命中所述本地规则文件中的至少一条规则,确定所述访问数据包为漏洞攻击数据包。
在一种可能的实现方式中,所述获取单元1402,用于:
通过筛选平台接口接收所述外网电子设备向所述内网电子设备发送的访问数据包;
根据所述访问数据包所对应的端口标识对所述访问数据包进行过滤,得到所述过滤后的访问数据包;
所述确定单元1403,用于:
调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述过滤后的访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述过滤后的访问数据包是否为漏洞攻击数据包。
在一种可能的实现方式中,所述装置还包括更新单元:
所述更新单元,用于对规则运营服务器中的远程规则文件进行更新检测,以确定所述规则运营服务器中的远程规则文件是否更新;若确定所述远程规则文件发生更新,将所述远程规则文件中的新规则添加至所述本地规则文件中,以通过所述远程规则文件更新所述本地规则文件;
所述确定单元1403,用于:
调用所述驱动层部署的所述流量检测模块,根据更新后的本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包。
在一种可能的实现方式中,所述更新单元,用于:
确定所述本地规则文件的校验值与从所述规则运营服务器获取的远程规则文件的校验值是否一致;
若不一致,确定所述远程规则文件发生更新,执行将所述远程规则文件中的新规则添加至所述本地规则文件中,以通过所述远程规则文件更新所述本地规则文件的步骤。
在一种可能的实现方式中,所述更新单元,还用于:
根据所述功能配置文件确定网络防御功能是否生效;
若生效,唤醒定时器,以根据所述定时器定时执行所述内网电子设备对规则运营服务器中的远程规则文件进行更新检测,以确定规则运营服务器中的远程规则文件是否更新的步骤。
在一种可能的实现方式中,若确定单元1403确定所述访问数据包不是漏洞攻击数据包时,将所述访问数据包上抛至所述内网电子设备的应用层;
所述确定单元1403在所述应用层对所述访问数据包进行爆破攻击检测处理,以确定所述访问数据包是否为爆破攻击数据包,
若确定所述访问数据包为爆破攻击数据包,判断所述爆破攻击数据包的爆破频率是否达到预设阈值;
若是,对所述爆破数据包进行阻断处理,以阻止所述爆破攻击数据包控制所述内网电子设备。
在一种可能的实现方式中,所述装置还包括显示单元:
所述显示单元,用于显示弹窗提示,所述弹窗提示用于提示检测到攻击数据包,所述弹窗提示包括所述访问数据包的攻击信息。
本申请实施例还提供了一种用于内网漏洞攻击防御的电子设备,该电子设备用于执行内网漏洞攻击防御方法。下面结合附图对该电子设备进行介绍。请参见图15所示,本申请实施例提供了一种用于内网漏洞攻击防御的电子设备,该电子设备可以是终端设备,以终端设备为智能手机为例:
图15示出的是与本申请实施例提供的终端设备相关的智能手机的部分结构的框图。参考图15,智能手机包括:射频(英文全称:radiofrequency,英文缩写:rf)电路1510、存储器1520、输入单元1530、显示单元1540、传感器1550、音频电路1560、无线保真(英文全称:wirelessfidelity,英文缩写:wifi)模块1570、处理器1580、以及电源1590等部件。本领域技术人员可以理解,图15中示出的智能手机结构并不构成对智能手机的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储器1520可用于存储软件程序以及模块,处理器1580通过运行存储在存储器1520的软件程序以及模块,从而执行智能手机的各种功能应用以及数据处理。存储器1520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据智能手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器1520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器1580是智能手机的控制中心,利用各种接口和线路连接整个智能手机的各个部分,通过运行或执行存储在存储器1520内的软件程序和/或模块,以及调用存储在存储器1520内的数据,执行智能手机的各种功能和处理数据,从而对智能手机进行整体监控。可选的,处理器1580可包括一个或多个处理单元;优选的,处理器1580可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1580中。
在本实施例中,所述终端设备中的处理器1580可以执行以下步骤;
读取功能配置文件并加载与所述功能配置文件对应的本地规则文件;
在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包;
调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包;
在确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
该电子设备还可以包括服务器,本申请实施例还提供服务器,请参见图16所示,图16为本申请实施例提供的服务器1600的结构图,服务器1600可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessingunits,简称cpu)1622(例如,一个或一个以上处理器)和存储器1632,一个或一个以上存储应用程序1642或数据1644的存储介质1630(例如一个或一个以上海量存储设备)。其中,存储器1632和存储介质1630可以是短暂存储或持久存储。存储在存储介质1630的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器1622可以设置为与存储介质1630通信,在服务器1600上执行存储介质1630中的一系列指令操作。
服务器1600还可以包括一个或一个以上电源1626,一个或一个以上有线或无线网络接口1650,一个或一个以上输入输出接口1658,和/或,一个或一个以上操作系统1641,例如windowsservertm,macosxtm,unixtm,linuxtm,freebsdtm等等。
在本实施例中,所述服务器1600中的中央处理器1622可以执行以下步骤;
读取功能配置文件并加载与所述功能配置文件对应的本地规则文件;
在所述驱动层获取外网电子设备向所述内网电子设备发送的访问数据包;
调用所述驱动层部署的所述流量检测模块,根据所述本地规则文件在所述驱动层对所述访问数据包进行漏洞攻击检测处理,以在所述内网电子设备的驱动层确定所述访问数据包是否为漏洞攻击数据包;
在确定所述访问数据包为漏洞攻击数据包时,对所述访问数据包进行阻断处理,以阻止被确定为漏洞攻击数据的所述访问数据包从所述驱动层到达所述内网电子设备的应用层。
根据本申请的一个方面,提供了一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行前述各个实施例所述的内网漏洞攻击防御方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例各种可选实现方式中提供的方法。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,简称rom)、随机存取存储器(randomaccessmemory,简称ram)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术成员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!