本发明专利技术实施例适用于计算机技术领域,提供了一种网络防御方法、装置、电子设备及存储介质,其中,网络防御方法应用于蜜罐系统,该方法包括:在蜜罐系统与客户端建立传输层连接的情况下,确定是否向客户端发送首包报文;若向客户端发送首包报文,则在向客户端发送首包报文后,获取客户端的访问请求;关闭蜜罐系统与客户端的传输层连接。户端的传输层连接。户端的传输层连接。
【技术实现步骤摘要】
一种网络防御方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种网络防御方法、装置、电子设备及存储介质。
技术介绍
[0002]按照交互能力的强弱,蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。蜜罐交互能力越高,可收集的攻击者信息越多,从而提供更丰富的溯源数据,但被攻击者入侵和控制的风险也越高,对系统自身安全构成的威胁也越大。不管是高交互还是低交互类型的蜜罐,都需要与攻击者进行应用层交互,蜜罐的安全性差。
技术实现思路
[0003]为了解决上述问题,本专利技术实施例提供了一种网络防御方法、装置、电子设备及存储介质,以至少解决相关技术中蜜罐安全性差的问题。
[0004]本专利技术的技术方案是这样实现的:
[0005]第一方面,本专利技术实施例提供了一种网络防御方法,应用于蜜罐系统,该方法包括:
[0006]在所述蜜罐系统与客户端建立传输层连接的情况下,确定是否向所述客户端发送首包报文;
[0007]若向所述客户端发送所述首包报文,则在向所述客户端发送所述首包报文后,获取所述客户端的访问请求;
[0008]关闭所述蜜罐系统与所述客户端的传输层连接。
[0009]在上述方案中,所述蜜罐系统包括多个不同的蜜罐服务;所述确定是否向所述客户端发送首包报文,包括:
[0010]获取所述客户端欲访问的资源信息,确定与所述资源信息匹配的蜜罐服务;
[0011]通过不同蜜罐服务所对应服务器的不同的应用层协议,来确定是否向所述客户端发送首包报文;
[0012]相应地,所述在向所述客户端发送所述首包报文后,获取所述客户端的访问请求,包括:
[0013]在所述蜜罐服务向所述客户端发送所述首包报文后,所述蜜罐服务获取所述客户端的访问请求。
[0014]在上述方案中,所述蜜罐服务向所述客户端发送所述首包报文,包括:
[0015]所述蜜罐服务生成所述应用层协议对应的首包报文;
[0016]所述蜜罐服务将所述首包报文发送给所述客户端。
[0017]在上述方案中,在确定是否向所述客户端发送首包报文后,所述方法还包括:
[0018]若不向所述客户端发送所述首包报文,则获取所述客户端的访问请求。
[0019]在上述方案中,所述蜜罐系统还包括代理组件,通过所述代理组件与所述客户端
建立传输层连接,所述代理组件部署在所述服务器对应的网关设备中。
[0020]在上述方案中,所述获取所述客户端欲访问的资源信息,确定与所述资源信息匹配的蜜罐服务,包括:
[0021]获取所述客户端欲访问的资源信息,确定与所述资源信息匹配的蜜罐服务,并针对所述匹配的蜜罐服务对应的连接超时时间,为所述客户端设置连接超时时间;其中,不同蜜罐服务对应的连接超时时间不同。
[0022]在上述方案中,所述获取所述客户端的访问请求之后,所述方法还包括:
[0023]基于所述访问请求进行攻击溯源。
[0024]在上述方案中,所述基于所述访问请求进行攻击溯源,包括:
[0025]确定所述蜜罐服务是否接收到所述客户端的访问请求;
[0026]若所述蜜罐服务接收到所述客户端的访问请求,则确定所述访问请求是否与所述蜜罐服务对应的流量模型匹配;
[0027]根据匹配结果输出对应的安全事件。
[0028]第二方面,本专利技术实施例提供了一种网络防御装置,该装置包括:
[0029]确定模块,用于在所述蜜罐系统与客户端建立传输层连接的情况下,确定是否向所述客户端发送首包报文;
[0030]获取模块,用于若向所述客户端发送所述首包报文,则在向所述客户端发送所述首包报文后,获取所述客户端的访问请求;
[0031]关闭模块,用于关闭所述蜜罐系统与所述客户端的传输层连接。
[0032]第三方面,本专利技术实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本专利技术实施例第一方面提供的网络防御方法的步骤。
[0033]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本专利技术实施例第一方面提供的网络防御方法的步骤。
[0034]本专利技术实施例的方案,在蜜罐系统与客户端建立传输层连接的情况下,确定是否向客户端发送首包报文,若向客户端发送首包报文,则在向客户端发送所述首包报文后,获取客户端的访问请求,并关闭蜜罐系统与客户端的传输层连接。本实施例的蜜罐系统可以模拟真实业务系统发送首包报文给客户端,蜜罐系统的逼真性更强,可以更好的引诱攻击者。并且在收到客户端的访问请求后关闭蜜罐系统与客户端的传输层连接,蜜罐系统不响应攻击者的交互命令,可以减小攻击者入侵和控制的风险,保障蜜罐系统的安全性。
附图说明
[0035]图1是本专利技术实施例提供的一种网络防御方法的实现流程示意图;
[0036]图2是本专利技术实施例提供的一种零信任访问控制架构的示意图;
[0037]图3是本专利技术实施例提供的一种攻击流量走向的示意图;
[0038]图4是本专利技术实施例提供的一种零信任网关设备中的无交互蜜罐服务对流量处理流程的示意图;
[0039]图5是本专利技术实施例提供的一种SSH无交互蜜罐的时序示意图;
[0040]图6是本专利技术实施例提供的一种LDAP无交互蜜罐的时序示意图;
[0041]图7是本专利技术实施例提供的一种网络防御装置的示意图;
[0042]图8是本专利技术一实施例提供的电子设备的示意图。
具体实施方式
[0043]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0044]蜜罐是一种虚拟服务,蜜罐通过伪造并开放相应虚假应用或系统,诱导攻击者访问这些虚假应用或系统。攻击者入侵后,通过监测与分析,收集攻击者所用的工具和信息,进而巩固自己的防御系统。
[0045]按照交互能力的强弱,蜜罐分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互蜜罐提供少量的交互信息和服务,中交互蜜罐可以模拟系统的各种行为,高交互蜜罐提供真实的系统。蜜罐交互程度越高,可收集的攻击者信息越多,从而提供更丰富的溯源数据,但被攻击者入侵和控制的风险也越高,对系统自身安全构成的威胁也越大。
[0046]不管是高交互还是低交互类型的蜜罐都是模拟了网络服务或者系统,不可避免的使用应用层通讯协议。在网络通信七层模型中,第七层应用层漏洞占比超过了99%,六层以下的漏洞占比不到1%。像opensslHeartbleed或者安全外壳协议(SSH,Secure本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络防御方法,所述方法应用于蜜罐系统,其特征在于,所述方法包括:在所述蜜罐系统与客户端建立传输层连接的情况下,确定是否向所述客户端发送首包报文;若向所述客户端发送所述首包报文,则在向所述客户端发送所述首包报文后,获取所述客户端的访问请求;关闭所述蜜罐系统与所述客户端的传输层连接。2.根据权利要求1所述的方法,其特征在于,所述蜜罐系统包括多个不同的蜜罐服务;所述确定是否向所述客户端发送首包报文,包括:获取所述客户端欲访问的资源信息,确定与所述资源信息匹配的蜜罐服务;通过不同蜜罐服务所对应服务器的不同的应用层协议,来确定是否向所述客户端发送首包报文;相应地,所述在向所述客户端发送所述首包报文后,获取所述客户端的访问请求,包括:在所述蜜罐服务向所述客户端发送所述首包报文后,所述蜜罐服务获取所述客户端的访问请求。3.根据权利要求2所述的方法,其特征在于,所述蜜罐服务向所述客户端发送所述首包报文,包括:所述蜜罐服务生成所述应用层协议对应的首包报文;所述蜜罐服务将所述首包报文发送给所述客户端。4.根据权利要求1所述的方法,其特征在于,在确定是否向所述客户端发送首包报文后,所述方法还包括:若不向所述客户端发送所述首包报文,则获取所述客户端的访问请求。5.根据权利要求1所述的方法,其特征在于,所述蜜罐系统还包括代理组件,通过所述代理组件与所述客户端建立传输层连接,所述代理组件部署在所述服务器对应的网关设备中。6.根据权利要求2所述的方法,其特征在于,所述获取所述客户端欲访问的资源信息,确定与所述...
【专利技术属性】
技术研发人员:郭炳梁,汪建斌,周尚武,
申请(专利权)人:深圳市深信服信息安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。