(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011617847.6
(22)申请日 2020.12.30
(71)申请人 招联消费金融有限公司
地址 518000 广东省深圳市前海深港合作
区前湾一路1号A栋201室(入驻深圳市
前海商务秘书有限公司)
(72)发明人 黄子瑜 任长龙 鄢凯 杨文杰
梁万山
(74)专利代理机构 广州华进联合专利商标代理
有限公司 44224
代理人 张亚菲
(51)Int.Cl.
H04L 29/06(2006.01)
(54)发明名称
备
(57)摘要
本申请提供了一种网络攻击反制系统、方
法、装置、计算机设备和存储介质。该方法包括:
及自动化反制子系统,其中自动化反制子系统至
设备发送的待反制目标信息和攻击类型,生成告
警指令发送给联动防御子系统;联动防御子系
统,用于接收告警指令,确定至少两个反制模块
中与攻击类型对应的反制模块,生成对应的反制
指令发送给自动化反制子系统;自动化反制子系
统,用于根据反制指令,调用至少两个反制模块
中对应的反制模块;被调用的反制模块用于对待
反制目标执行对应的反制操作,实现针对网络攻
击行为的自动监控和自动化反制,提高网络安全
防御效率。权利要求书2页 说明书9页 附图3页CN 112751864 A 2021.05.04
C N 112751864
A
1.一种网络攻击反制系统,其特征在于,所述系统包括:安全监控子系统,联动防御子系统以及自动化反制子系统,所述自动化反制子系统至少两个反制模块,其中,所述安全监控子系统,用于获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令,将所述告警指令发送给所述联动防御子系统;
所述联动防御子系统,用于接收所述告警指令,基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令,发送给所述自动化反制子系统;
所述自动化反制子系统,用于根据所述反制指令,调用所述至少两个反制模块中对应的反制模块;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
2.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括端口攻击反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为端口类攻击,则基于所述对应关系,确定所述端口攻击反制模块为对应的反制模块;
所述端口攻击反制模块,用于获取所述待反制目标的开放端口,从预先设置的攻击模板库中,获取与所述开放端口对应的攻击模板,根据所述攻击模板执行针对所述开放端口的端口反制操作,并将得到的端口反制结果发送给所述安全监控子系统;
所述安全监控子系统还用于接收所述端口反制结果,格式化处理后生成告警信息发送至预警终端。
3.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括钓鱼反制模块,
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为钓鱼类攻击,则基于所述对应关系,确定所述钓鱼反制模块为对应的反制模块;
所述钓鱼反制模块,用于从所述待反制目标信息中提取钓鱼信息,将预先配置的邮箱账户信息写入所述钓鱼链接,并将所述邮箱账户信息发送给所述安全监控子系统;
所述安全监控子系统,进一步用于监控所述邮箱账户信息的登录情况,获取所述待反制目标的IP地址,以针对所述IP地址进行相应的反制操作。
4.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括威胁情报查询模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为威胁情报类攻击,则基于所述对应关系,确定所述威胁情报查询模块为对应的反制模块;
所述威胁情报查询模块用于向情报服务器查询所述威胁情对应的信息,将得到的查询结果发送给所述安全监控子系统。
5.根据权利要求1所述的系统,其特征在于,所述至少两个反制模块包括web服务后台反制模块;
所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为web类攻击,则基
于所述对应关系,确定所述web服务后台反制模块为对应的反制模块;所述web服务反制模块用于获取所述待反制目标搭载的web服务的后台,构造与所述web服务后台的html相对应的登录请求,对所述待反制目标的后台进行密码爆破,将得到的web服务后台反制结果发送给所述安全监控子系统。
6.根据权利要求1所述的系统,其特征在于,所述系统还包括诱导攻击子系统,所述诱导攻击子系统用
于通过预先配置的诱导程序,获取攻击者的设备控制权限,并将所述诱导结果发送给所述安全监控子系统;
和/或,
所述自动化反制子系统,还包括ATT&CK的apt模块,所述ATT&CK的apt模块用于从所述待反制目标信息中提取远控用户会话,根据所述远控用户会话,攻击所述待反制目标的内网。
7.一种网络攻击反制方法,其特征在于,应用于自动化反制子系统,包括:
获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
8.一种网络攻击反制装置,其特征在于,应用于自动化反制子系统,所述装置包括:
反制指令获取模块,用于获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,与所述基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
反制执行模块,用于根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求7所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求7所述的方法的步骤。
网络攻击反制系统、方法、装置和计算机设备
技术领域
[0001]本申请涉及系统安全防御领域,特别是涉及一种网络攻击反制系统、方法、装置、计算机设备和存储介质。
背景技术
[0002]随着互联网系统的高速发展,网络攻击行为也日益猖獗,网络安全防御人员可以通过防火墙、IDS等设备捕捉到攻击数据,通过在网关上封堵攻击源ip等方式阻断攻击行为。
[0003]目前技术中,对网络攻击行为的防御是被动的,不能消除攻击者的攻击意图,容易出现反复攻击,导致安全防御的效率较低。
发明内容
[0004]基于此,有必要针对目前技术中存在的安全防御效率低的技术问题,提供一种网络攻击反制系统、方法、装置、计算机设备和存储介质。
[0005]一种网络攻击反制系统,所述系统包括:安全监控子系统,联动防御子系统以及自动化反制子系统,所述自动化反制子系统至少两个反制模块,其中,
[0006]所述安全监控子系统,用于获取安全设备发送的待反制目标信息和攻击类型,生成携带有待反制目标信息和攻击类型的告警指令,将所述告警指令发送给所述联动防御子系统;
[0007]所述联动防御子系统,用于接收所述告警指令,基于预设的攻击类型与反制模块的对应关系,确定所述至少两个反制模块中与所述攻击类型对应的反制模块,并基于所述反制模块、所述待反制目标信息和攻击类型生成对应的反制指令,发送给所述自动化反制子系统;
[0008]所述自动化反制子系统,用于根据所述反制指令,调用所述至少两个反制模块中对应的反制模块;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
[0009]在其中一个实施例中,所述至少两个反制模块包括端口攻击反制模块;
[0010]所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为端口类攻击,则基于所述对应关系,确定所述端口攻击反制模块为对应的反制模块;
[0011]所述端口攻击反制模块,用于获取所述待反制目标的开放端口,从预先设置的攻击模板库中,获取与所述开放端口对应的攻击模板,根据所述攻击模板执行针对所述开放端口的端口反制操作,并将得到的端口反制结果发送给所述安全监控子系统。
[0012]在其中一个实施例中,所述至少两个反制模块包括钓鱼反制模块,
[0013]所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为钓鱼类攻击,则基于所述对应关系,确定所述钓鱼反制模块为对应的反制模块;
[0014]所述钓鱼反制模块,用于从所述待反制目标信息中提取钓鱼信息,将预先配置的邮箱账户信息写入所述钓鱼链接,并将所述邮箱账户信息发送给所述安全监控子系统;[0015]所述安全监控子系统,进一步用于监控所述邮箱账户信息的登录情况,获取所述待反制目标的IP地址,以针对所述IP地址进行相应的反制操作。
[0016]在其中一个实施例中,所述至少两个反制模块包括威胁情报查询模块;
[0017]所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为威胁情报类攻击,则基于所述对应关系,确定所述威胁情报查询模块为对应的反制模块;
[0018]所述威胁情报查询模块用于向情报服务器查询所述威胁情对应的信息,将得到的查询结果发送给所述安全监控子系统。
[0019]在其中一个实施例中,所述至少两个反制模块包括web服务后台反制模块;[0020]所述联动防御子系统,还用于接收所述告警指令,若所述攻击类型为web类攻击,则基于所述对应关系,确定所述web服务后台反制模块为对应的反制模块;
[0021]所述web服务后台反制模块用于获取所述待反制目标搭载的web服务,构造与所述web服务的html相对应的登录请求,对所述待反制目标的后台进行密码爆破,将得到的web 服务后台反制结果发送给所述安全监控子系统。
[0022]在其中一个实施例中,所述系统还包括诱导攻击子系统,所述诱导攻击子系统用于从所述安全监控子系统获取待反制目标信息,用于通过预先配置的诱导程序,获取攻击者的设备控制权限,并将所述诱导结果发送给所述安全监控子系统。
[0023]在其中一个实施例中,所述自动化反制子系统,还包括ATT&CK的apt模块,所述ATT&CK的apt模块用于从所述待反制目标信息中提取远控用户会话,根据所述远控用户会话,攻击所述待反制目标的内网。
[0024]在其中一个实施例中,所述安全监控子系统还用于接收所述反制结果,格式化处理后生成告警信息发送至预警终端。
[0025]一种网络攻击反制方法,应用于自动化反制子系统,包括:
[0026]获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
[0027]根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中提取攻击信息,并根据所述攻击信息,对待反制目标执行与所述反制指令对应的反制操作,以及将所述反制模块得到的反制结果发送给所述安全监控子系统。
[0028]一种网络攻击反制装置,应用于自动化反制子系统,所述装置包括:
[0029]反制指令获取模块,用于获取联动防御子系统发送的、针对待反制目标的反制指令;所述反制指令为联动防御子系统根据安全监控子系统的告警指令生成的,与所述基于所述反制模块、所述待反制目标信息和攻击类型生成对应的指令;所述告警指令为所述安全监控子系统根据获取到的所述待反制目标信息和攻击类型生成;
[0030]反制执行模块,用于根据所述反制指令,调用至少两个反制模块中对应的反制模块,对待反制目标执行对应的反制操作;被调用的反制模块用于从所述待反制目标信息中
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议