相似攻击的防御方法及装置、系统、存储介质、电子装置制造方法及图纸

本发明专利技术提供了一种相似攻击的防御方法及装置、系统、存储介质、电子装置，其中，该方法包括：检测在预定周期内发生的同一类型的多个目标攻击事件；确定所述多个目标攻击事件的攻击范围；向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。通过本发明专利技术，解决了相关技术中不能防御相似攻击事件的技术问题。

Similar attack defense methods and devices, systems, storage media, electronic devices

The invention provides a defense method and device, system, storage medium and electronic device for similar attack, in which the method includes: detecting multiple target attack events of the same type occurring in a predetermined period; determining the attack range of the multiple target attack events; sending early warning information for the target attack events within the attack range. \u3002 The invention solves the technical problem that similar attack events can not be defended in the related technology.

【技术实现步骤摘要】
相似攻击的防御方法及装置、系统、存储介质、电子装置
本专利技术涉及网络安全领域，具体而言，涉及一种相似攻击的防御方法及装置、系统、存储介质、电子装置。
技术介绍
网络攻击是黑客或者病毒木马等对电子设备发起的攻击，通过窃取文件等给用户带来了巨大损失。相关技术中，在计算机安全领域内，目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件，往往缺少对该攻击事件的整体认识，而对其防御也是各自为战，并没有形成一个很好的防御体系。比如APT(高级持续性威胁)攻击或者“震网”病毒，这种攻击是有目的性和针对性的，只对特定的行业或者某些目标系统才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时，能够提前获得威胁情报，并在大范围内进行预警和防御。导致网络攻击的防御滞后。针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种相似攻击的防御方法及装置、系统、存储介质、电子装置。根据本专利技术的一个实施例，提供了一种相似攻击的防御方法，包括：检测在预定周期内发生的同一类型的多个目标攻击事件；确定所述多个目标攻击事件的攻击范围；向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。可选的，检测在预定周期内发生的同一类型的多个目标攻击事件包括：检测在预定周期内发生的多个攻击事件；通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计每个攻击类型中攻击事件的数量；将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。可选的，通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型包括：获取攻击事件的网络行为特征；根据所述网络行为特征识别攻击事件连接的控制伺服器；将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。可选的，向所述攻击范围内的攻击目标发送针对所述攻击事件的预警信息包括：向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。可选的，确定所述多个目标攻击事件的攻击范围包括以下至少之一：确定所述多个目标攻击事件的攻击地理区域；确定所述多个目标攻击事件的攻击企业；确定所述多个目标攻击事件的攻击网络；确定所述多个目标攻击事件的攻击服务器；确定所述多个目标攻击事件的攻击设备类型；确定所述多个目标攻击事件的攻击软件类型。根据本专利技术的另一个实施例，提供了一种相似攻击的防御装置，包括：检测模块，用于检测在预定周期内发生的同一类型的多个目标攻击事件；确定模块，用于确定所述多个目标攻击事件的攻击范围；发送模块，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。可选的，所述检测模块包括：检测单元，用于检测在预定周期内发生的多个攻击事件；识别单元，用于通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计单元，用于统计每个攻击类型中攻击事件的数量；确定单元，用于将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。可选的，所述识别单元包括：获取子单元，用于获取攻击事件的网络行为特征；识别子单元，用于根据所述网络行为特征识别攻击事件连接的控制伺服器；确定子单元，用于将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。可选的，所述发送模块包括：发送单元，用于向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。可选的，所述确定模块包括以下至少之一：第一确定单元，用于确定所述多个目标攻击事件的攻击地理区域；第二确定单元，用于确定所述多个目标攻击事件的攻击企业；第三确定单元，用于确定所述多个目标攻击事件的攻击网络；第四确定单元，用于确定所述多个目标攻击事件的攻击服务器；第五确定单元，用于确定所述多个目标攻击事件的攻击设备类型；第六确定单元，用于确定所述多个目标攻击事件的攻击软件类型。根据本专利技术的又一个实施例，还提供了一种相似攻击的防御系统，包括：第一服务器，第二服务器，终端，其中，所述第一服务器包括：检测模块，用于检测在预定周期内发生的同一类型的多个目标攻击事件；确定模块，用于确定所述多个目标攻击事件的攻击范围；发送模块，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息；第二服务器，连接在所述第一服务器和所述终端之间，包括：采集模块，用于采集所述终端的攻击事件，并将所述攻击事件上传至所述第一服务器；转发模块，用于接收所述预警信息，并将所述预警信息转发给所述终端。根据本专利技术的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术，检测在预定周期内发生的同一类型的多个目标攻击事件，在确定所述多个目标攻击事件的攻击范围后，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息，通过发现具有目标针对性的攻击事件，进而对相关的攻击目标进行防御，向各个可能被攻击的目标下发防御预警信息，可以防止该类型攻击事件的进一步扩散和对未攻击的目标造成破坏，解决了相关技术中不能防御相似攻击事件的技术问题。实现了及时获取相关威胁情报，并对其他相似的攻击目标做针对性的防御。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是本专利技术实施例的一种相似攻击的防御服务器的硬件结构框图；图2是根据本专利技术实施例的一种相似攻击的防御方法的流程图；图3是本专利技术实施例在特定地理区域内进行相似攻击的示意图；图4是根据本专利技术实施例的相似攻击的防御装置的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1本申请实施例一所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例，图1是本专利技术实施例的一种相似攻击的防御服务器的硬件结构框图。如本文档来自技高网...

【技术保护点】
1.一种相似攻击的防御方法，其特征在于，包括：检测在预定周期内发生的同一类型的多个目标攻击事件；确定所述多个目标攻击事件的攻击范围；向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

【技术特征摘要】
2018.05.04 CN 2018104203696;2018.06.26 CN 201810661.一种相似攻击的防御方法，其特征在于，包括：检测在预定周期内发生的同一类型的多个目标攻击事件；确定所述多个目标攻击事件的攻击范围；向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。2.根据权利要求1所述的方法，其特征在于，检测在预定周期内发生的同一类型的多个目标攻击事件包括：检测在预定周期内发生的多个攻击事件；通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计每个攻击类型中攻击事件的数量；将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。3.根据权利要求2述的方法，其特征在于，通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型包括：获取攻击事件的网络行为特征；根据所述网络行为特征识别攻击事件连接的控制伺服器；将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。4.根据权利要求1述的方法，其特征在于，向所述攻击范围内的攻击目标发送针对所述攻击事件的预警信息包括：向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。5.根据权利要求1述的方法，其特征在于，确定所述多个目标攻击事件的攻击范围包括以下至少之一：确定所述多个目标攻击事件的攻击地理区域；确定所述多个目标攻击事件的攻击企业；确定所述多个目标攻击事件的攻击网络；确定所述多个目标攻击事件的攻击服务器；确定所述多个...

【专利技术属性】
技术研发人员：陈俊儒，
申请(专利权)人：三六零企业安全技术珠海有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：广东,44