[发明专利]基于行为的攻击检测方法、装置、计算设备及存储介质

说明书

本发明实施例涉及网络安全技术领域，公开了一种基于行为的攻击检测方法、装置、计算设备及存储介质，该方法包括：在网络中散布诱饵以诱导攻击者对虚拟沙箱进行攻击；在真实业务服务器上配置网关代理和伪装代理，将攻击者对真实业务服务器的攻击行为转发至所述虚拟沙箱；通过所述虚拟沙箱记录攻击者的攻击行为。通过上述方式，本发明实施例通过伪装代理技术与网关代理技术，转发攻击者流量，诱导攻击者对虚假的业务系统进行攻击，在真实业务上融入虚拟沙箱的服务，使攻击者无法有效地对真实业务和虚拟沙箱中的服务进行区分，能够感知针对真实业务的攻击，通过在真实的业务机器上构造虚假的业务资产信息，增大被捕捉到的概率，减少误报和漏报。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种基于行为的攻击检测方法、装置、计算设备及存储介质。

背景技术

高级持续威胁(Advanced Persistent Threat，APT)攻击通过社交工程获取大量、敏感的企业信息，用户数据，并通过0day漏洞对服务器资产进行攻击，窃取核心机密数据，给企业和企业客户造成巨大的破坏和社会影响，从中获得最大的利益。

目前对于APT攻击的检测方案，主要以传统的安全软件多以防范病毒和木马为主，无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时，安全厂商才有机会监测到漏洞。而传统的防火墙、入侵检测、安全网关系统等检测技术也主要是网络边界和主机边界进行检测，它们均缺乏对未知攻击和高级威胁的检测能力和对流量的深度分析能力。目前，业界在APT攻击检测方面已可实现了很多技术方案，包括应用shellcode特征和恶意行为特征来判定是否存在攻击和应用基于蜜罐的网络诱骗系统模拟真实的网络资源以吸引攻击者对蜜罐进行攻击和入侵。

在实现本发明实施例的过程中，发明人发现：基于特征的检测方式存在误报和漏报的可能，检测结果可信度不高。而基于蜜罐的网络诱骗系统与真实业务关联度低，相对真实业务独立，与真实业务资产为不同的地址，存在被黑客识破的可能，黑客攻击到诱骗系统的可能性也较低。另外，如若攻击者直接对真实业务服务器发起攻击，网络诱骗系统无法捕捉到攻击，也无法通过黑客入侵诱骗系统的日志关联到被攻击的具体真实业务系统，无法对真实业务遭受的攻击进行感知。

发明内容

鉴于上述问题，本发明实施例提供了一种基于行为的攻击检测方法、装置、计算设备及存储介质，克服了上述问题或者至少部分地解决了上述问题。

根据本发明实施例的一个方面，提供了一种基于行为的攻击检测方法，所述方法包括：在网络中散布诱饵以诱导攻击者对虚拟沙箱进行攻击；在真实业务服务器上配置网关代理和伪装代理，将攻击者对真实业务服务器的攻击行为转发至所述虚拟沙箱；通过所述虚拟沙箱记录攻击者的攻击行为。

在一种可选的方式中，所述在网络中散布诱饵以诱导攻击者对虚拟沙箱进行攻击，包括：在攻击者经常使用的代码搜索网站中上传欺骗信息；给重点保护的邮箱中发送邮箱诱饵；在个人电脑中散布欺骗诱饵；在真实业务服务器上散布欺骗诱饵。

在一种可选的方式中，所述在真实业务服务器上配置网关代理和伪装代理，将攻击者对真实业务服务器的攻击行为转发至所述虚拟沙箱，包括：在真实业务服务器上配置网关代理，将攻击者探测特定敏感路径的请求通过反向代理，转发至所述虚拟沙箱；在真实业务服务器上配置伪装代理，通过模拟高危漏洞的虚拟端口，将访问到所述虚假端口的流量重定向到所述虚拟沙箱。

在一种可选的方式中，所述在真实业务服务器上配置网关代理，将攻击者探测特定敏感路径的请求通过反向代理，转发至所述虚拟沙箱，包括：建立敏感目录特征库，其中，所述敏感目录特征库中记录经常被攻击者探测的敏感路径；在攻击者访问所述敏感目录特征库时，将攻击者流量转发至所述虚拟沙箱，使攻击者攻击所述虚拟沙箱。