[发明专利]网络安全防护方法、装置及存储介质

说明书

本发明实施例公开了一种网络安全防护方法、装置及存储介质，可有效阻截多种攻击，减轻业务系统遭受攻击的风险。本发明实施例方法包括：对进入主机的网络流量进行检测，并通过查询攻击行为特征库确定是否存在攻击行为；若存在攻击行为，则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐，并将所述网络流量引入所述虚拟蜜罐；对所述虚拟蜜罐中的网络流量进行分析，以获取新型攻击行为的攻击特征；在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为；若在预设时间内未接收到网络流量，则销毁所述虚拟蜜罐。

技术领域

本发明涉及网络安全技术，尤其涉及一种网络安全防护方法、装置及存储介质。

背景技术

随着计算机网络的发展和普及，网络上各种黑客、蠕虫等非法网络攻击日益猖獗，为了保护计算机网络和系统，各种安全防护系统应运而生。目前主机的安全防护主要依赖于终端安全防护系统，比如杀毒软件等，然而，传统的终端安全防护系统虽然在针对恶意代码的检测和清除上具有一定的效果，但是针对口令猜解、漏洞利用等恶意攻击行为检测和防护效果一般。随着时间的推移，难以适应不断动态变化的网络攻击态势，因此有必要对传统终端安全防护系统进行技术改造，使之适应新的网络安全需求。

通常情况下在网络出口处部署防火墙、入侵检测系统、入侵防御系统通过制定相关的安全策略对恶意攻击行为进行发现和拦截，但是由于网络上大量主机的所使用的操作系统、运行的业务和软件、开放的服务各不相同，导致通用的安全策略并不能有效的对特定攻击进行防御。

发明内容

本发明实施例提供了一种网络安全防护方法、装置及存储介质，可动态阻截多种攻击，有效减轻业务系统遭受攻击的风险。

本发明实施例的第一方面提供一种网络安全防护方法，包括：

对进入主机的网络流量进行检测，并通过查询攻击行为特征库确定是否存在攻击行为；

若存在攻击行为，则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐，并将所述网络流量引入所述虚拟蜜罐；

对所述虚拟蜜罐中的网络流量进行分析，以获取新型攻击行为的攻击特征；

在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为；

若在预设时间内未接收到网络流量，则销毁所述虚拟蜜罐。

可选地，在销毁所述虚拟蜜罐之前，所述方法还包括：

根据预设规则，将与所述攻击行为相关的网络流量持续引入所述虚拟蜜罐，其中，所述预设规则包括相同源IP地址和/或给定时间范围内同种攻击类型。

可选地，所述对所述虚拟蜜罐中的网络流量进行分析，以获取新型攻击行为的攻击特征包括：

对所述虚拟蜜罐中的网络流量进行分析，以确定发现新型攻击行为；

对新型攻击行为进行建模，以提取攻击特征。

可选地，在所述攻击行为特征库中写入包含所述攻击特征的新型攻击行为之后，销毁所述虚拟蜜罐之前，所述方法还包括：

保存日志信息。

可选地，所述攻击行为特征库记录有多个与主机业务相关的攻击行为。

本发明实施例第二方面提供了一种网络安全防护装置，包括：

攻击检测模块，用于对进入主机的网络流量进行检测，并通过查询攻击行为特征库确定是否存在攻击行为；

虚拟蜜罐模块，用于若存在攻击行为，则根据所述攻击行为生成具有相应漏洞的虚拟蜜罐，并将所述网络流量引入所述虚拟蜜罐；

样本分析模块，用于对所述虚拟蜜罐中的网络流量进行分析，以获取新型攻击行为的攻击特征；