[发明专利]未知漏洞攻击检测方法、装置、设备及存储介质

说明书

本发明提供一种未知漏洞攻击检测方法、装置、设备及存储介质，通过对待进入主服务器的流量进行攻击检测，当检测到攻击时则获取攻击源特征信息；然后根据攻击源特征信息获取待进入主服务器的流量中的攻击者流量，并将攻击者流量分发给蜜罐服务器；对蜜罐服务器进行实时监控，获取异常行为信息，异常行为信息用于与主服务器运行时的实时行为信息进行比对，以进行未知漏洞攻击检测。本发明的方法能够使攻击者无法或很难感知到安全防护系统的存在，大大增加攻击难度，延缓攻击成功的时间，并且能够有效检测出系统遭受未知漏洞的攻击，能够对已遭受攻击的系统进行有效检测，同时不需要人工参与，响应时间快。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种未知漏洞攻击检测方法、装置、设备及存储介质。

背景技术

随着全球信息化步伐的加快以及信息技术的深入发展，网络安全越来越重要，关系到国家安全和国家发展、关系到广大人民群众的切实利益，深刻影响政治、经济、文化、社会、军事等各领域安全。

传统安全防护技术共同特点是匹配检测，是规则或以特征匹配的方式进行判断，需要获得已知的攻击或木马病毒样本。对于传统安全防护技术，利用未知漏洞方式的攻击是难以匹配到的。另外传统安全防护系统对通常对攻击进行实时阻断。

传统安全防护系统仅能防护已知安全威胁，对于未知攻击特征的攻击无法识别，并且需要人工通过攻击特征开发攻击签名，反应时间慢，在攻击被阻断后攻击者会立即感知到安全防护系统的存在，并在进行后续攻击动作时有针对性的考虑安全防护系统，此外，对已遭受攻击的系统无有效抵御手段。

发明内容

本发明提供一种未知漏洞攻击检测方法、装置、设备及存储介质，以有效的检测出系统遭受未知漏洞的攻击，也能够对已遭受攻击的系统进行有效检测，不需要人工参与。

本发明的第一方面是提供一种未知漏洞攻击检测方法，包括：

对待进入主服务器的流量进行攻击检测；

当检测到攻击时，获取攻击源特征信息；

根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量，并将所述攻击者流量分发给蜜罐服务器；

对所述蜜罐服务器进行实时监控，获取异常行为信息，所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对，以进行未知漏洞攻击检测。

本发明的第二方面是提供一种未知漏洞攻击检测装置，包括：

攻击检测模块，用于对待进入主服务器的流量进行攻击检测；当检测到攻击时，获取攻击源特征信息；

流量分发模块，用于根据所述攻击源特征信息获取所述待进入主服务器的流量中的攻击者流量，并将所述攻击者流量分发给蜜罐服务器；

监控模块，用于对所述蜜罐服务器进行实时监控，获取异常行为信息，所述异常行为信息用于与所述主服务器运行时的实时行为信息进行比对，以进行未知漏洞攻击检测。

本发明的第三方面是提供一种未知漏洞攻击检测设备，包括：

发送器、接收器、存储器、处理器以及计算机程序；

其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的方法。

本发明的第四方面是提供一种计算机可读存储介质，其上存储有计算机程序；

所述计算机程序被处理器执行时实现如第一方面所述的方法。