本发明涉及网络安全技术领域,具体而言,涉及一种反制攻击主机的方法、装置、服务器及存储介质。
背景技术:
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
技术实现要素:
本发明的目的在于提供了一种反制攻击主机的方法、装置、服务器及存储介质,其能够在检测到攻击主机访问蜜罐时,通过获取攻击主机的来源ip,并对该来源ip进行漏洞扫描,根据发现的攻击主机的系统漏洞主动对攻击主机发出攻击。
为了实现上述目的,本发明采用的技术方案如下:
第一方面,本发明提供一种反制攻击主机的方法,应用于蜜罐系统中的服务器,所述蜜罐系统还包括蜜罐主机,所述蜜罐主机与所述服务器通信连接,所述方法包括:当检测到访问所述蜜罐主机的访问请求时,对所述访问请求进行解析,得到发送所述访问请求的攻击主机的来源ip;对所述来源ip进行漏洞扫描,得到所述攻击主机存在的系统漏洞信息;依据所述系统漏洞信息,从所述服务器预先存储的攻击程序中确定与所述系统漏洞信息对应的目标攻击程序;利用所述目标攻击程序,对所述攻击主机发起网络攻击,以获取所述攻击主机的控制权。
第二方面,本发明提供一种反制攻击主机的装置,应用于蜜罐系统中的服务器,所述蜜罐系统还包括蜜罐主机,所述蜜罐主机与所述服务器通信连接,所述装置包括:解析模块,用于当检测到访问所述蜜罐主机的访问请求时,对所述访问请求进行解析,得到发送所述访问请求的攻击主机的来源ip;扫描模块,用于对所述来源ip进行漏洞扫描,得到所述攻击主机存在的系统漏洞信息;攻击模块,用于:依据所述系统漏洞信息,从所述服务器预先存储的攻击程序中确定与所述系统漏洞信息对应的目标攻击程序、以及利用所述目标攻击程序,对所述攻击主机发起网络攻击,以获取所述攻击主机的控制权。
第三方面,本发明提供一种服务器,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述的反制攻击主机的方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述的反制攻击主机的方法。
相对于现有技术,本发明能够在检测到攻击主机访问蜜罐时,通过获取攻击主机的来源ip,并对该来源ip进行漏洞扫描,根据发现的攻击主机的系统漏洞主动对攻击主机发出攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的应用场景示意图。
图2示出了本发明实施例提供的服务器的方框示意图。
图3示出了本发明实施例提供的一种反制攻击主机的方法的流程图。
图4示出了本发明实施例提供的另一种反制攻击主机的方法的流程图。
图5示出了本发明实施例提供的另一种反制攻击主机的方法的流程图。
图6示出了本发明实施例提供的另一种反制攻击主机的方法的流程图。
图7示出了本发明实施例提供的另一种反制攻击主机的方法的流程图。
图8示出了本发明实施例提供的反制攻击主机的装置的方框示意图。
图标:10-服务器;11-处理器;12-存储器;13-总线;14-通信接口;20-蜜罐主机;30-终端;100-反制攻击主机的装置;110-解析模块;120-扫描模块;130-攻击模块;140-信息收集模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
传统蜜罐系统是欺骗诱惑攻击者攻击蜜罐主机,蜜罐系统中的服务器通过蜜罐主机发现攻击者、拖延攻击者的时间。
为了诱惑攻击者,现有技术通常利用真实或模拟的漏洞或利用系统配置中的弱点(如一个容易被猜出的密码),引诱攻击者发起攻击。同时,为了及时发现攻击者,通常会在蜜罐系统和外部因特网连接之间安置一套网络监控系统,以便悄悄记录下进出蜜罐系统的所有流量。然后等待攻击者自投罗网,由此在可以感知到攻击者入侵时,及时进行报警。
上述方式均是被动地等待攻击主机攻击蜜罐系统,对于攻击主机的入侵没有有效的反制手段,因而蜜罐服务器容易在被攻击主机攻破后被攻击者利用成跳板,从而连接进行更加深层的渗透。
有鉴于此,本发明实施例提供一种反制攻击主机的方法、装置、服务器及存储介质,一边在发现攻击者攻击蜜罐系统中的蜜罐主机时主动对攻击主机发出攻击,避免攻击者在攻破蜜罐主机后进行更加深层的渗透。
请参考图1,图1示出了本发明实施例提供的应用场景示意图,图1中,蜜罐系统包括蜜罐主机20和服务器10,蜜罐主机20暴露于网络中,用于诱惑攻击者,服务器10用于在检测到攻击主机攻击蜜罐主机20后,收集攻击主机的信息,并对攻击主机的信息进行分析,以便指定相应的应对措施。
蜜罐主机20可以是实体主机或者实现与实体主机具有相同功能的虚拟机,服务器10可以是一台服务器,或者是多台服务器组成的集群,或者是云端服务器。
服务器10在检测到攻击主机攻击蜜罐主机20时,获取攻击主机箱蜜罐主机20发送的访问请求,并对访问请求进行分析,得到发送该访问请求的来源ip,服务器10对来源ip进行漏洞扫描,得到攻击主机存在的系统漏洞信息,再根据系统漏洞信息,从服务器10预先存储的攻击程序中确定与系统漏洞信息对应的目标攻击程序,最后利用目标攻击程序,对攻击主机发起网络攻击,以获取攻击主机的控制权。
服务器10还可以与终端30通信,以便在获取到攻击主机的信息后及时通知终端30,或者在有攻击主机攻击蜜罐时及时通知终端30,或者在获取攻击主机的控制权后及时通知终端30,或者在获取控制权后上传木马程序到攻击主机后通知终端30,以便使用终端的管理员及时掌握蜜罐的攻击情况。
终端30可以是手机、笔记本电脑、平板电脑等可移动设备,也可以是手环等可穿戴设备。
在图1的基础上,本发明实施例提供了图1中服务器10的方框示意图,请参照图2,图2示出了本发明实施例提供的服务器10的方框示意图,服务器10可以是实体的计算机设备,服务器等。服务器10包括处理器11、存储器12、总线13、通信接口14。处理器11、存储器12通过总线13连接,处理器11通过通信接口14与蜜罐主机20和终端30通信。
处理器11可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,下述方法的各步骤可以通过处理器11中的硬件的集成逻辑电路或者软件形式的指令完成。处理器11可以是通用处理器,包括中央处理器(centralprocessingunit,简称cpu)、网络处理器(networkprocessor,简称np)等;还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器12用于存储程序,例如本发明实施例中反制攻击主机的装置100,反制攻击主机的装置100包括至少一个可以软件或固件(firmware)的形式存储于存储器12中的软件功能模块,处理器11在接收到执行指令后,执行所述程序以实现本发明实施例中的反制攻击主机的方法。
存储器12可能包括高速随机存取存储器(ram:randomaccessmemory),也可能还包括非易失存储器(non-volatilememory)。可选地,存储器12可以是内置于处理器11中的存储装置,也可以是独立于处理器11的存储装置。
总线13可以是isa总线、pci总线或eisa总线等。图2仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
在图1和图2的基础上,本发明实施例提供了一种应用于图1和图2中服务器10的反制攻击主机的方法,请参照图3,图3示出了本发明实施例提供的一种反制攻击主机的方法的流程图,该方法包括以下步骤:
步骤s100,当检测到访问蜜罐主机的访问请求时,对访问请求进行解析,得到发送访问请求的攻击主机的来源ip。
在本实施例中,由于蜜罐系统中的蜜罐主机20本来就是用于诱惑攻击者的,因此,主动对蜜罐主机20发起的访问请求被认为是来自攻击者的恶意访问请求。
在本实施例中,对访问请求进行解析可以是对访问请求的数据包进行解析,以便得到发送访问请求的攻击主机的来源ip,对访问请求的数据包进行解析可以是将数据包中的源ip地址作为来源ip。由于网络ip欺骗技术是网络攻击常用的攻击手段,服务器10也可以对多个访问请求的数据包进行综合分析,以便从中确定最可能是攻击主机的ip,将该ip作为来源ip。
步骤s110,对来源ip进行漏洞扫描,得到攻击主机存在的系统漏洞信息。
在本实施例中,漏洞扫描包括、但不限于对来源ip的主机端口及服务信息进行探测,例如,利用telnet扫描主机开放的协议,利用nmap–a命令探测攻击主机的主机名、或者主机设备信息、或者主机开放服务暴露的信息,进而通过判断获取到的主机开放端口与服务信息中的版本信息可知道该服务是否存在漏洞,比如445端口的smb服务在microfocussbm11.5之前版本中存在代码注入漏洞、443端口的openssl服务在openssl1.0.2-beta等版本存在“心脏出血”漏洞、873端口的rsync服务可尝试上传webshell来完成对主机反制等等。
步骤s120,依据系统漏洞信息,从服务器预先存储的攻击程序中确定与系统漏洞信息对应的目标攻击程序。
在本实施例中,目标攻击程序指预先存储的攻击程序中可以针对系统漏洞信息表征的系统漏洞对攻击主机进行攻击的程序。系统漏洞信息可以包括漏洞类型,也可以包括扫描到的攻击主机上运行的服务的用户名或者攻击主机的系统用户名等。
步骤s130,利用目标攻击程序,对攻击主机发起网络攻击,以获取攻击主机的控制权。
在本实施例中,服务器10运行目标攻击程序,即可实现对攻击主机发起网络攻击,攻击成功后就可以获取攻击主机的控制权。
本实施例提供的上述方法,在检测到攻击主机访问蜜罐时,通过获取攻击主机的来源ip,并对该来源ip进行漏洞扫描,根据发现的攻击主机的系统漏洞主动对攻击主机发出攻击,避免了:(1)服务器被攻击者攻破后易被攻击者利用成跳板,从而进行更加深层的渗透;(2)避免了对蜜罐服务部署监控系统时部署条件要求复杂,维护成本高,或者单点部署,局部风险检测不能覆盖全局;(3)避免了仅通过对自身蜜罐服务的监控,攻击者可以在多个服务器中传递,无法准确溯源攻击者的问题。
在图3的基础上,本发明实施例还提供了一种确定目标攻击程序的具体实现方式,请参照图4,图4示出了本发明实施例提供的另一种反制攻击主机的方法的流程图,步骤s120包括以下子步骤:
子步骤s1201,从预设漏洞类型中确定与漏洞类型一致的目标预设漏洞类型。
在本实施例中,漏洞信息包括漏洞类型时,目标预设漏洞类型是预设漏洞类型中与漏洞信息中的漏洞类型一致的预设漏洞类型。
子步骤s1202,依据对应关系,将与目标预设漏洞类型对应的攻击程序确定为所述目标攻击程序。
在本实施例中,服务器10预先存储有对应关系,该对应关系用于表征预设漏洞类型及对应的攻击程序之间的关系,例如,对应关系为:a-aa,则意味着,预设漏洞类型a对应攻击程序aa,也就是说可以采用攻击程序aa对存在漏洞类型a的攻击主机进行攻击。预设漏洞类型可以是目前已经发现的系统相关的漏洞,例如,windows的smb文件共享协议漏洞,linux的samba远程代码执行漏洞等。
需要说明的是,对应关系可以存储与服务器10本地,也可以存储于服务器10可以访问到的专门的数据库服务器。
本实施例提供的上述方法,服务器10预先存储预设漏洞类型及对应的攻击程序之间的对应关系,使得服务器10可以快速地根据扫描到的漏洞信息中的漏洞类型快速地确定需要的目标攻击程序。
在本实施例中,由于安全意识不高,导致很多场景下通常会使用易被猜测到或被破解工具破解的密码,这些密码称为弱密码。在对攻击主机进行漏洞扫描后,得到的系统漏洞信息中通常也会包括用户名之类的信息,为了充分利用该信息对攻击主机进行反制,本发明实施例还提供了一种根据用户名对攻击主机进行攻击的实现方式,请参照图5,图5示出了本发明实施例提供的另一种反制攻击主机的方法的流程图,该方法包括步骤:
步骤s200,通过用户名对攻击主机进行弱密码攻击。
在本实施例中,弱密码指仅包含简单数字和字母的密码,例如“123”、“abc”等,这样的密码很容易被别人破解,从而使对应的主机面临风险。
在本实施例中,用户名可以是攻击主机的系统的用户名,也可以是攻击主机上开放的服务的用户名等。
弱密码攻击包括、但不限于使用密码猜测程序的猜测攻击、利用预设单词集合进行尝试的字典攻击、按照密码长度进行一次递增和穷举的穷举攻击等,或者将上述多种攻击方式进行组合而成的混合攻击。
本实施例提供的上述方法,通过系统漏洞信息中的用户名对攻击主机进行弱密码攻击,以便充分利用系统漏洞信息对攻击主机进行攻击,增加攻击成功的概率。
在本实施例中,在获取攻击主机的控制权后,为了尽可能地收集更全面的攻击主机的信息,本发明实施例还提供了一种通过木马程序对攻击主机的信息进行收集的实现方式,请参照图6,图6示出了本发明实施例提供的另一种反制攻击主机的方法的流程图,该方法包括步骤:
步骤s300,将预设木马程序上传至攻击主机,以通过木马程序收集攻击主机的系统信息并上报至服务器。
在本实施例中,预设木马程序是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击dos等特殊功能的后门程序。利用预设木马程序可以远程控制攻击主机,寻找攻击主机的后门,伺机窃取攻击主机中的密码和重要文件等,还可以对攻击主机实施监控等操作。
本实施例提供的上述方法,通过预设木马程序,可以更全面地收集攻击主机的系统信息,并及时上报至服务器10。
在本实施例中,为了便于及时知会管理员预设目标程序已经上传成功,使管理员及时根据当前的蜜罐系统的状态进行策略调整,在图6的基础上,本发明实施还提供了一种通过终端及时向管理员发送消息的实现方式,请参照图7,图7示出了本发明实施例提供的另一种反制攻击主机的方法的流程图,该方法还包括步骤:
步骤s310,向终端发送预设木马程序上传成功的通知消息。
在本实施例中,通知消息可以包括、但不限于发送邮件、短信消息、微信消息、钉钉消息等。
本实施例提供的上述方法,通过向终端发送预设木马程序上传成功的通知消息,可以及时知会终端的管理员当前的蜜罐系统的状态,以便实时调整对应的监控策略或者攻击策略。
为了执行上述反制攻击主机的方法的实施例及各个可能的实施方式中的相应步骤,下面给出一种反制攻击主机的装置100的实现方式。请参照图8,图8示出了本发明实施例提供的反制攻击主机的装置100的方框示意图。需要说明的是,本实施例所提供的反制攻击主机的装置100,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及指出。
反制攻击主机的装置100包括至少一个可以软件或固件(firmware)的形式存储于图2中存储器12中的软件功能模块,图2中处理器11在接收到执行指令后,执行所述程序以实现本发明实施例中的反制攻击主机的方法。反制攻击主机的装置100包括解析模块110、扫描模块120、攻击模块130和信息收集模块140。
解析模块110,用于当检测到访问蜜罐主机的访问请求时,对访问请求进行解析,得到发送访问请求的攻击主机的来源ip。
作为一种具体实施方式,系统漏洞信息包括漏洞类型,服务器预先存储有预设漏洞类型及对应的攻击程序之间的对应关系,解析模块110具体用于:从预设漏洞类型中确定与漏洞类型一致的目标预设漏洞类型;依据对应关系,将与目标预设漏洞类型对应的攻击程序确定为目标攻击程序。
扫描模块120,用于对来源ip进行漏洞扫描,得到攻击主机存在的系统漏洞信息。
攻击模块130,用于依据系统漏洞信息,从服务器预先存储的攻击程序中确定与系统漏洞信息对应的目标攻击程序、以及用于利用目标攻击程序,对攻击主机发起网络攻击,以获取攻击主机的控制权。
作为一种具体实施方式,漏洞信息还包括用户名,攻击模块130还用于:通过用户名对攻击主机进行弱密码攻击。
信息收集模块140,用于:获取攻击主机的控制权之后,将预设木马程序上传至攻击主机,以通过木马程序收集攻击主机的系统信息并上报至服务器。
作为一种具体实施方式,服务器还与终端通信连接,将预设木马程序上传至攻击主机之后,信息收集模块140,还用于:向终端发送预设木马程序上传成功的通知消息。
本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的反制攻击主机的方法。
综上所述,本发明实施例提供了一种反制攻击主机的方法、装置、服务器及存储介质,应用于蜜罐系统中的服务器,蜜罐系统还包括蜜罐主机,蜜罐主机与服务器通信连接,所述方法包括:当检测到访问蜜罐主机的访问请求时,对访问请求进行解析,得到发送访问请求的攻击主机的来源ip;对来源ip进行漏洞扫描,得到攻击主机存在的系统漏洞信息;依据系统漏洞信息,从服务器预先存储的攻击程序中确定与系统漏洞信息对应的目标攻击程序;利用目标攻击程序,对攻击主机发起网络攻击,以获取攻击主机的控制权。相对于现有技术,本发明实施例在检测到攻击主机访问蜜罐时,通过获取攻击主机的来源ip,并对该来源ip进行漏洞扫描,根据发现的攻击主机的系统漏洞主动对攻击主机发出攻击。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
1.一种反制攻击主机的方法,其特征在于,应用于蜜罐系统中的服务器,所述蜜罐系统还包括蜜罐主机,所述蜜罐主机与所述服务器通信连接,所述方法包括:
当检测到访问所述蜜罐主机的访问请求时,对所述访问请求进行解析,得到发送所述访问请求的攻击主机的来源ip;
对所述来源ip进行漏洞扫描,得到所述攻击主机存在的系统漏洞信息;
依据所述系统漏洞信息,从所述服务器预先存储的攻击程序中确定与所述系统漏洞信息对应的目标攻击程序;
利用所述目标攻击程序,对所述攻击主机发起网络攻击,以获取所述攻击主机的控制权。
2.如权利要求1所述的反制攻击主机的方法,其特征在于,所述系统漏洞信息包括漏洞类型,所述服务器预先存储有预设漏洞类型及对应的攻击程序之间的对应关系;
所述依据所述系统漏洞信息,从所述服务器预先存储的攻击程序中确定与所述系统漏洞信息对应的目标攻击程序的步骤包括:
从所述预设漏洞类型中确定与所述漏洞类型一致的目标预设漏洞类型;
依据所述对应关系,将与所述目标预设漏洞类型对应的攻击程序确定为所述目标攻击程序。
3.如权利要求1所述的反制攻击主机的方法,其特征在于,所述漏洞信息还包括用户名,所述方法还包括:
通过所述用户名对所述攻击主机进行弱密码攻击。
4.如权利要求1所述的反制攻击主机的方法,其特征在于,获取所述攻击主机的控制权之后,所述方法还包括:
将预设木马程序上传至所述攻击主机,以通过所述木马程序收集所述攻击主机的系统信息并上报至所述服务器。
5.如权利要求4所述的反制攻击主机的方法,其特征在于,所述服务器还与终端通信连接,所述将预设木马程序上传至所述攻击主机之后,所述方法还包括:
向所述终端发送所述预设木马程序上传成功的通知消息。
6.一种反制攻击主机的装置,其特征在于,应用于蜜罐系统中的服务器,所述蜜罐系统还包括蜜罐主机,所述蜜罐主机与所述服务器通信连接,所述装置包括:
解析模块,用于当检测到访问所述蜜罐主机的访问请求时,对所述访问请求进行解析,得到发送所述访问请求的攻击主机的来源ip;
扫描模块,用于对所述来源ip进行漏洞扫描,得到所述攻击主机存在的系统漏洞信息;
攻击模块,用于:依据所述系统漏洞信息,从所述服务器预先存储的攻击程序中确定与所述系统漏洞信息对应的目标攻击程序、以及利用所述目标攻击程序,对所述攻击主机发起网络攻击,以获取所述攻击主机的控制权。
7.如权利要求6所述的反制攻击主机的装置,其特征在于,所述系统漏洞信息包括漏洞类型,所述服务器预先存储有预设漏洞类型及对应的攻击程序之间的对应关系;所述攻击模块具体用于:
从所述预设漏洞类型中确定与所述漏洞类型一致的目标预设漏洞类型;
依据所述对应关系,将与所述目标预设漏洞类型对应的攻击程序确定为所述目标攻击程序。
8.如权利要求6所述的反制攻击主机的装置,其特征在于,所述漏洞信息还包括用户名,所述攻击模块还用于:
通过所述用户名对所述攻击主机进行弱密码攻击。
9.一种服务器,包括存储器和处理器,其特征在于,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的反制攻击主机的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-5中任一项所述的反制攻击主机的方法。
技术总结