[发明专利]未知漏洞攻击检测方法、装置、设备及存储介质

权利要求书

1.一种未知漏洞攻击检测方法，其特征在于，包括：

对待进入主服务器的流量进行攻击检测；

当检测到攻击时，获取攻击源特征信息；

根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量，并将所述攻击者流量分发给蜜罐服务器；

对所述蜜罐服务器进行实时监控，获取异常行为信息，所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对，以进行未知漏洞攻击检测；

对所述主服务器在运行过程中进行实时监控，获取所述实时行为信息；

将所述异常行为信息与所述实时行为信息进行比对；

若一致，则阻断所述主服务器发生的异常行为。

2.根据权利要求1所述的方法，其特征在于，所述对待进入主服务器的流量进行攻击检测，包括：

根据白名单对所述待进入主服务器的流量进行攻击检测；

若所述待进入主服务器的流量不与白名单匹配，则视为检测到攻击，将所述待进入主服务器的流量分发给所述蜜罐服务器；

若所述待进入主服务器的流量与白名单匹配，将所述待进入主服务器的流量分发给所述主服务器。

3.根据权利要求1所述的方法，其特征在于，所述对所述蜜罐服务器进行实时监控，获取异常行为信息，包括：

对所述蜜罐服务器进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控，从而获取所述异常行为信息；

所述对所述主服务器在运行过程中进行实时监控，获取所述实时行为信息，包括：

对所述主服务器在运行过程中进行操作系统的文件监控、进程监控、网络连接监控、系统内核监控和程序行为监控，从而获取所述实时行为信息；

相应的，所述将所述异常行为信息与所述实时行为信息进行比对包括：

将所述异常行为信息和所述实时行为信息中的操作系统的文件监控信息、进程监控信息、网络连接监控信息、系统内核监控信息和程序行为监控信息进行比对。

4.根据权利要求1所述的方法，其特征在于，所述获取攻击源特征信息，包括：

获取攻击源的IP地址、会话信息和应用层信息；

所述根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量，包括：

将所述待进入主服务器的流量中的IP地址、会话信息和应用层信息与所述攻击源的IP地址、会话信息和应用层信息进行比对；

若会话信息和应用层信息中至少一项比对一致，则确定为攻击者流量；

若IP地址比对一致，则进行进一步识别。

5.根据权利要求1所述的方法，其特征在于，所述获取所述待进入主服务器的流量中的攻击者流量后，还包括：

对所述待进入主服务器的流量中除所述攻击者流量外的正常流量分发给所述主服务器。

6.一种未知漏洞攻击检测装置，其特征在于，包括：

攻击检测模块，用于对待进入主服务器的流量进行攻击检测；当检测到攻击时，获取攻击源特征信息；

流量分发模块，用于根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量，并将所述攻击者流量分发给蜜罐服务器；

监控模块，用于对所述蜜罐服务器进行实时监控，获取异常行为信息，所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对，以进行未知漏洞攻击检测；

所述监控模块，还用于对所述主服务器在运行过程中进行实时监控，获取所述实时行为信息；将所述异常行为信息与所述实时行为信息进行比对；若一致，则阻断所述主服务器发生的异常行为。

7.根据权利要求6所述的装置，其特征在于，所述攻击检测模块用于：

根据白名单对所述待进入主服务器的流量进行攻击检测；

若所述待进入主服务器的流量不与白名单匹配，则视为检测到攻击，将所述待进入主服务器的流量分发给所述蜜罐服务器；

若所述待进入主服务器的流量与白名单匹配，将所述待进入主服务器的流量分发给所述主服务器。