防御漏洞攻擊的方法、設備及系統的制作方法
【專利摘要】本發明公開了一種防御漏洞攻擊的方法、設備及系統,涉及網絡安全領域,為在未修補漏洞的情況下對漏洞攻擊進行及時有效的主動防御而發明。本發明的方法包括:對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程;將所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為;若所述實際行為特征與所述標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志,以使得所述云服務器根據所述攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。本發明主要應用于私有云環境下的攻擊主動防御。
【專利說明】防御漏洞攻擊的方法、設備及系統
【技術領域】
[0001]本發明涉及網絡安全領域,尤其涉及一種防御漏洞攻擊的方法、設備及系統。
【背景技術】
[0002]漏洞是指一個系統存在的弱點或缺陷,系統對特定威脅攻擊或危險事件的敏感性,或進行攻擊的威脅作用的可能性。漏洞可能來自應用程序或操作系統設計時的缺陷或編碼時產生的錯誤,也可能來自業務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處。這些缺陷、錯誤或不合理之處可能被黑客惡意利用,從而對一個應用運行造成不利影響,如信息系統被攻擊或控制,重要資料被竊取,用戶數據被篡改,系統被作為入侵其他主機系統的跳板等。
[0003]為防止漏洞攻擊對用戶終端或網站服務器造成不良影響,現有技術中主要通過漏洞檢測的方式查找應用程序或操作系統的漏洞,并對查找到的漏洞進行修復,防止黑客基于未修補的漏洞進行攻擊。一般情況下,漏洞檢測可以分為對已知漏洞的檢測和對未知漏洞的檢測。已知漏洞的檢測主要是通過安全掃描技術,檢測系統是否存在已公布的安全漏洞;而未知漏洞檢測的目的在于發現軟件系統中可能存在但尚未發現的漏洞。現有的未知漏洞檢測技術有源代碼掃描、反匯編掃描、環境錯誤注入等。
[0004]在上述防御漏洞攻擊的方式中,發明人發現:現有技術中攻擊防御的原則是以修補漏洞為主,通過修補漏洞的方式減少黑客攻擊的可能性。實際生活中,應用程序或者操作系統中的漏洞并無法被查找窮盡,伴隨漏洞的修補可能還會出現新的漏洞。因此這種防御方式較為被動。此外,隨著黑客技術的不斷提升,漏洞攻擊的自動化程度及攻擊速度日漸提升,如若在產生漏洞攻擊后再進行編寫補丁、打補丁等操作處理,那么漏洞攻擊早已在較大范圍內實現了廣泛傳播,殃及更多的用戶終端或服務器。因此,如何設計出一種快速、高效的攻擊防御機制,在漏洞攻擊產生后對其進行及時防御,就成為擺放在本領域技術人員眼前的一道難題。
【發明內容】
[0005]鑒于上述問題,本發明提供了一種防御漏洞攻擊的方法、設備及系統,能夠在未修補漏洞的情況下對漏洞攻擊進行及時有效的主動防御。
[0006]第一方面,本發明提供了一種防御漏洞攻擊的方法,該方法包括:
[0007]對運行中的進程進行監測,獲得進程的實際行為特征,其中,進程包括應用進程及系統進程;
[0008]將實際行為特征與行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0009]若實際行為特征與標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志,以使得云服務器根據攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0010]第二方面,本發明還提供了一種防御漏洞攻擊的方法,該方法包括:[0011 ] 接收終端上報的攻擊日志,攻擊日志中攜帶有終端遭受的漏洞攻擊的實際行為特征;
[0012]將實際行為特征與云端行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0013]若實際行為特征與標準行為特征一致,則將攻擊日志下發給其他終端,以使得其他終端根據攻擊日志對相同的漏洞攻擊進行主動防御。
[0014]第三方面,本發明還提供了一種終端,該終端包括:
[0015]監測單元,用于對運行中的進程進行監測,獲得進程的實際行為特征,其中,進程包括應用進程及系統進程;
[0016]比對單元,用于將監測單元獲得的實際行為特征與行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0017]發送單元,用于當比對單元的比對結果為實際行為特征與標準行為特征一致時,向云服務器上報漏洞攻擊的攻擊日志,以使得云服務器根據攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0018]第四方面,本發明還提供了一種云服務器,該云服務器包括:
[0019]接收單元,用于接收終端上報的攻擊日志,攻擊日志中攜帶有終端遭受的漏洞攻擊的實際行為特征;
[0020]比對單元,用于將接收單元接收的實際行為特征與云端行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0021]發送單元,用于當比對單元的比對結果為實際行為特征與標準行為特征一致時,將接收單元接收的攻擊日志下發給其他終端,以使得其他終端根據攻擊日志對相同的漏洞攻擊進行主動防御。
[0022]第五方面,本發明還提供了一種防御漏洞攻擊的系統,該系統包括:
[0023]第一終端、云服務器以及第二終端;其中,
[0024]第一終端,用于對運行中的進程進行監測,獲得進程的實際行為特征,其中,進程包括應用進程及系統進程,將實際行為特征與行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為,若實際行為特征與標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志;
[0025]云服務器,用于接收第一終端上報的攻擊日志,將攻擊日志中的實際行為特征與云端行為特征庫中的標準行為特征進行比對,若實際行為特征與標準行為特征一致,則將攻擊日志下發給第二終端;
[0026]第二終端,用于接收云服務器下發的攻擊日志,將攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中,根據行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0027]借由上述技術方案,本發明提供的防御漏洞攻擊的方法、設備及系統,由終端在本地通過對進程的行為監測發現漏洞攻擊的“行跡”,并在發現漏洞攻擊的“行跡”后,向云服務器上報漏洞攻擊的攻擊日志,以便云服務器將該攻擊日志發送給其他終端,使得其他終端在遭受相同漏洞攻擊之前,對該漏洞日志進行主動防御。與現有技術中發現并修復漏洞相比,本發明的攻擊防御方式不以漏洞修復為主要目標,通過攻擊行為的檢測和分析達到發現漏洞攻擊的目的。本發明能夠在某一臺終端遭受漏洞攻擊后,在其他終端上迅速部署攻擊防御策略,使得其他終端即使未修復相應補丁也可以免遭漏洞攻擊,由此可以快速高效的實現對漏洞攻擊的主動防御。
[0028]上述說明僅是本發明技術方案的概述,為了能夠更清楚了解本發明的技術手段,而可依照說明書的內容予以實施,并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂,以下特舉本發明的【具體實施方式】。
【專利附圖】
【附圖說明】
[0029]通過閱讀下文優選實施方式的詳細描述,各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的,而并不認為是對本發明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
[0030]圖1示出了本發明實施例中一種防御漏洞攻擊的方法流程圖;
[0031]圖2示出了本發明實施例中另一種防御漏洞攻擊的方法流程圖;
[0032]圖3示出了本發明實施例中一種終端的結構示意圖;
[0033]圖4示出了本發明實施例中另一種終端的結構示意圖;
[0034]圖5示出了本發明實施例中一種云服務器的結構示意圖;
[0035]圖6示出了本發明實施例中另一種云服務器的結構示意圖;
[0036]圖7示出了本發明實施例中一種防御漏洞攻擊的系統示意圖。
【具體實施方式】
[0037]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠將本公開的范圍完整的傳達給本領域的技術人員。
[0038]為在不修復漏洞的情況下,實現漏洞攻擊的主動防御,本發明的實施例提供了一種防御漏洞攻擊的方法,該方法主要應用于終端側。如圖1所示,該方法包括:
[0039]101、對運行中的進程進行監測,獲得進程的實際行為特征。
[0040]本實施例中,終端對應用程序或操作系統的監測主要通過監測相應的進程運行實現,即終端所監測的進程對象包括應用進程及系統進程。通常進程在執行過程中,會涉及到讀取內存數據,進程間數據通信等眾多行為操作。本實施例中,終端即是基于對這些行為的監測,發現漏洞攻擊的行為特征。
[0041]終端監測到的實際行為特征為進程執行中所產生的所有行為特征,這其中包括正常操作的行為特征也包括執行病毒、木馬或漏洞攻擊的代碼時所產生的行為特征。終端通過步驟102中比對行為特征庫的方式從監測到的眾多行為特征中,篩選出漏洞攻擊所產生的行為特征。
[0042]102、將實際行為特征與行為特征庫中的標準行為特征進行比對。
[0043]終端本地保存有用于記錄標準行為特征的行為特征庫,其中標準行為特征用于描述漏洞攻擊所涉及的行為。在監測到進程產生的實際行為特征后,終端將實際行為特征與行為特征庫中的標準行為特征進行比對,若果兩者一致,則說明該實際行為特征是由漏洞攻擊所產生的。
[0044]實際應用中,終端側可以接收云服務器下發的行為特征庫,也可以在本地掃描漏洞的過程中,通過預設模型對漏洞攻擊的行為特點進行訓練學習得到,本實施例對此不作限制。
[0045]實際生活中,當黑客對終端進行漏洞攻擊時,總會產生一些與進程正常執行所不同的行為特征,例如修改注冊表、非法掃描等。本實施例中,終端即是基于這一特點,以行為特征為依據對漏洞攻擊進行識別。
[0046]本實施例中,涉及漏洞攻擊的行為特征包括:隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS等。實際應用中,云服務器可以根據漏洞攻擊的典型流程,設置標準行為特征。
[0047]舉例而言,通常普通黑客都會利用被攻擊終端隱藏自己的IP地址,而更高級的黑客甚至還可以利用800電話的無人轉接服務聯接到互聯網服務提供商(Internet ServiceProvider,簡稱ISP),然后在盜用被攻擊用戶的賬號信息進行上網。因此,在本實施例的一種實現方式中,云服務器可以將“隱藏IP地址”這一行為特征寫入到行為特征庫中。
[0048]在上網后,黑客需要尋找目標主機,即被攻擊對象。通常,在互聯網上能真正標識主機的是IP地址,DNS域名是為了便于記憶主機的IP地址而另起的名字,只要利用DNS域名和IP地址就能順利地找到目標主機。當然,僅確定目標主機的位置還遠遠不夠,黑客還需要對目標主機的操作系統類型及其所提供服務等信息作全方面的了解。此時,黑客會使用一些掃描器工具進行地址掃描、端口掃描、反響映射、慢速掃描等操作,獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳號,Wffff、FTP、Telnet、SMTP等服務器程式是何種版本等信息,為入侵作好充分的準備。此外,黑客如若進入一臺目標主機,首先要獲取該主機的帳號和密碼,否則無法登錄。由此常常迫使黑客首先設法盜竊用戶的帳號文件,進行破解,從中獲取某用戶的帳號和口令,再尋覓合適時機以此身份進入目標主機。因此,在本實施例的另一種實現方式中,云服務器可以將“非法掃描”、“登錄主機”等行為特征寫入到行為特征庫中。
[0049]黑客在通過FTP、Telnet等工具,利用漏洞進入目標主機獲得控制權之后,通常會清除記錄并預留后門。他們會更改某些系統設置、在系統中植入木馬或其他一些遠程操縱代碼,以便日后能不被覺察地再次進入系統。大多數后門程式是預先編譯好的,只需要設法修改時間和權限就能使用了。黑客一般會使用rep傳遞這些文件,以便不留下FTB記錄。清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后,攻擊者就開始下一步的行動。因此,在本實施例的另一種實現方式中,云服務器可以將“清除記錄”、“預留后門”、“修改注冊表”、“植入代碼”等行為特征寫入行為特征庫。
[0050]黑客找到目標主機后,會繼續下一步的攻擊,例如回傳敏感信息,竊取帳號密碼、信用卡賬號等行為,或者修改網絡設置使網絡癱瘓。因此,在本實施例的另一個應用場景中,云服務器還可以將“盜取信息”、“信息回傳”、“修改DNS”等行為特征寫入行為特征庫。
[0051]以上設置標準行為特征的舉例僅為示例性說明,實際應用中,云服務器可以根據不同攻擊類型的特點分別設置標準行為特征。實際應用中,針對同一(類)漏洞攻擊的標準行為特征越多,監測漏洞攻擊的成功率就越高。
[0052]103、若實際行為特征與標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志,以使得云服務器根據攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0053]當實際行為特征與標準行為特征一致時,說明終端存在遭受漏洞攻擊的可能,此時終端向云服務器上報漏洞攻擊的攻擊日志。
[0054]需要說明的是,當實際行為特征命中時,終端并不一定遭受漏洞攻擊,例如,終端用戶也可能手動修改注冊表。因此,在實際應用中,對行為特征的比對應當設置一定數量的預設條件,以保證判斷的準確性。例如,可以設置命中的實際行為特征數量不少于4條或10條;或者對不同的標準行為特征分配不同權重,權重越高的行為特征命中,則代表終端越有可能遭受漏洞攻擊。
[0055]本實施例中,終端在確定遭受漏洞攻擊后,向云服務器上報攻擊日志的目的在于,由云服務器通知其他終端對此行為特征對應的漏洞攻擊進行主動防御。需要注意的是,本實施例中,其他終端在接收到云服務器下發的攻擊日志時,可能并未遭受過此漏洞攻擊,云服務器向其他終端下發攻擊日志可以使得其他終端在日常監測中根據攻擊的行為特征對漏洞攻擊進行識別和主動防御,并由此預防此漏洞攻擊發生在其他終端上。
[0056]而對于上報攻擊日志的終端而言,本實施例中可以不必關心其是否遭受到本次漏洞攻擊。如果終端遭受到本次漏洞攻擊,那么終端可以基于一定的修復策略進行漏洞修復,即使不對漏洞進行修復,至少在遭受到本次漏洞攻擊后,基于行為特征的比對結果,終端將具有針對該漏洞攻擊的主動防御能力。
[0057]在本實施例的一種實現方式中,云服務器除向其他終端下發攻擊日志外,還可以向上報該攻擊日志的終端下發相同的攻擊日志,由此使得該終端日后具有針對該漏洞攻擊的主動防御能力。
[0058]進一步的,終端上報的攻擊日志中可以但不限于包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及實際行為特征。其中,進程標識用于其他終端識別漏洞攻擊所針對的應用程序或操作系統,例如針對某即時通訊應用的漏洞攻擊,或針對安卓操作系統的漏洞攻擊等。實際應用中,可以采用進程名稱、進程ID、進程句柄、進程文件的存儲路徑(包括絕對路徑和相對路徑)作為進程標識使用。實際行為特征用于其他終端作為標準行為特征寫入到自身的行為特征庫中,以便對相同的漏洞攻擊進行識別和主動防御。
[0059]對于攻擊類型,其主要用于明示漏洞攻擊的種類和特點,以便其他終端能夠采取有針對性的防御策略進行防御。實際應用中,攻擊類型可以包括拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊等類型。下面,本實施例對不同的攻擊類型進行簡要介紹,應當明確,這種介紹或說明僅為示例性的,不作為對本實施例在實際應用中的限制:
[0060]1、拒絕服務攻擊
[0061]一般情況下,拒絕服務攻擊是通過使被攻擊終端的系統關鍵資源過載,從而使被攻擊終端停止部分或全部服務。目前已知的拒絕服務攻擊有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
[0062]2、非授權訪問嘗試攻擊
[0063]非授權訪問嘗試攻擊是黑客對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問權限所做的嘗試。其中或去權限又可以細分為:
[0064](I)本地用戶獲得非授權讀權限
[0065](2)本地用戶獲得非授權寫權限
[0066](3)遠程用戶獲得非授權賬號信息
[0067](4)遠程用戶獲得特權文件的讀權限
[0068](5)遠程用戶獲得特權文件的寫權限
[0069](6)遠程用戶擁有的系統管理員權限
[0070]此外,非授權訪問嘗試攻擊還可以劃分為主動攻擊和被動攻擊兩種方式。其中。主動攻擊包含黑客訪問所需要信息的故意行為,即黑客通過特定的技術手段主動獲取所需要的信息;被動攻擊主要是收集信息而不是進行訪問,通常終端用戶對這種信息收集過程無法察覺。被動攻擊包括:
[0071](I)竊聽包括鍵擊記錄、網絡監聽、非法訪問數據、獲取密碼文件。
[0072](2)欺騙包括獲取口令、惡意代碼、網絡欺騙。
[0073](3)拒絕服務包括導致異常型、資源耗盡型、欺騙型。
[0074](4)數據驅動攻擊包括緩沖區溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。
[0075]3、預探測攻擊
[0076]黑客使用具有已知響應類型的數據庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由于每種操作系統都有其獨特的響應方法(例如NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與數據庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
[0077]在連續的非授權訪問嘗試過程中,黑客為了獲得網絡內部的信息及網絡周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
[0078]4、協議解碼攻擊
[0079]協議解碼攻擊可用于任何一種非期望的方法中,網絡或安全管理員需要進行解碼工作,并獲得相應的結果,解碼后的協議信息可能表明期望的活動,如FTU User和Portmapper Proxy 等解碼方式。
[0080]5、系統代理攻擊
[0081]這種攻擊通常是針對單個終端發起的而并非整個網絡,通過RealSecure系統代理可以對它們進行監視。
[0082]下面以幾種典型的攻擊類型為例,給出本實施例的幾種制定標準行為特征的方式:
[0083]l、Land 攻擊
[0084]攻擊類型:拒絕服務攻擊。
[0085]攻擊特征:用于Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
[0086]標準行為特征:網絡數據包的源地址或目標地址被篡改導致兩者不同。
[0087]2、TCP SYN 攻擊
[0088]攻擊類型:拒絕服務攻擊。
[0089]攻擊特征:利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。黑客通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,并將SYN ACK數據包返回錯誤的IP地址,并一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
[0090]標準行為特征:單位時間內收到的SYN連接超過系統設定的預設值。
[0091]3、Ping Of Death 攻擊或 Ping Flood 攻擊
[0092]攻擊類型:拒絕服務攻擊。
[0093]攻擊特征Ping Of Death攻擊數據包大于65535個字節。由于部分操作系統接收到長度大于65535字節的數據包時,就會造成內存溢出、系統崩潰、重啟、內核失敗等后果,從而達到攻擊的目的。Ping Flood攻擊通過大量發送Ping檢測命令以占用系統內存、網絡傳輸資源從而達到系統崩潰的目的。
[0094]標準行為特征:數據包的大小或發送次數超過預設閾值。
[0095]4、WinNuke 攻擊
[0096]攻擊類型:拒絕服務攻擊。
[0097]攻擊特征:WinNuke攻擊又稱帶外傳輸攻擊,它的特征是攻擊目標端口,被攻擊的目標端口通常是139、138、137、113、53,而且URG位設為“ I ”,即緊急模式。
[0098]標準行為特征:數據包目標端口為139、138、137、113、53等,且URG位為“I”。
[0099]5、Teardrop 攻擊
[0100]攻擊類型:拒絕服務攻擊。
[0101]攻擊特征!Teardrop是基于UDP的病態分片數據包的攻擊方法,其工作原理是向被攻擊者發送多個分片的IP包,某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。
[0102]標準行為特征:數據包的分片偏移量(Offset)有誤。
[0103]6、TCP/UDP 端口掃描
[0104]攻擊類型:TCP/UDP端口掃描是一種預探測攻擊。
[0105]攻擊特征:對被攻擊主機的不同端口發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。
[0106]標準行為特征:存在系統端口的連接請求,特別是針對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求。
[0107]進一步的,作為對圖1所示方法的擴展,在本發明的另一實施例中,終端在為遭受到漏洞攻擊時,也可以采用模擬漏洞攻擊檢測的方式制定標準行為特征。具體的,終端在日常運行過程中,可以單獨建立模擬監測的進程,對當前正在執行的應用進程或系統進程進行模擬檢測。在本實施例的一種實現方式中,終端可以采用安全掃描的方式進行模擬檢測并獲得標準行為特征。安全掃描也稱為脆弱性評估(Vulnerability Assessment),其基本原理是采用模擬黑客攻擊的方式對目標可能存在的已知安全漏洞進行逐項檢測,可以對工作站、服務器、交換機、數據庫等各種對象進行安全漏洞檢測。若成功實現模擬漏洞攻擊,則終端將所述模擬漏洞攻擊的行為特征作為標準行為特征記錄到行為特征庫中。此外,終端還可以向云服務器上報模擬漏洞攻擊的攻擊日志。本實施例中,終端在未真正遭受到漏洞攻擊的情況下,通過模擬檢測的方式獲得標準行為特征,可以減少,降低實際攻擊對系統的沖擊,降低系統的安全隱患。
[0108]進一步的,作為對上述各實施例的擴展,終端還可以接收云服務器下發的攻擊日志,將攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中。在日常的行為特征監測過程中,終端根據行為特征庫中記錄的標準行為特征對可能出現的漏洞攻擊進行發現和主動防御。
[0109]實際上,本實施例中接收攻擊日志的終端即為前述圖1所示方法中所指的“其他終端”。本發明中之所以區分為“終端”與“其他終端”,目的僅在于對上報攻擊日志和接收攻擊日志兩種終端功能進行區分說明。實際應用中,一臺終端應當同時具備上述兩中功能,在對本地進程進行監測時,扮演上報攻擊日志的角色,而在其他終端上報攻擊日志時,則扮演接收攻擊日志、進行主動防御的角色。
[0110]進一步的,作為對應圖1所示方法的網絡側實現,本發明的另一實施例還提供了一種防御漏洞攻擊的方法。該方法主要應用于云服務器側,如圖2所示,該方法包括:
[0111]201、接收終端上報的攻擊日志。
[0112]在終端監測到漏洞攻擊后,云服務器接收終端上報的攻擊日志。其中,攻擊日志中攜帶有終端遭受的漏洞攻擊的實際行為特征,用于下發給其他終端,并由其他終端保存到自身的行為特征庫中,以便后續對對應的漏洞攻擊進行識別和主動防御。
[0113]202、將實際行為特征與云端行為特征庫中的標準行為特征進行比對。
[0114]在從該攻擊日志中獲取終端上報的實際行為特征后,云服務器需要對該實際行為特征進行驗證,以識別終端的監測結果是否正確。云服務器中同樣保存著與終端類似的行為特征庫,該行為特征庫中的標準行為特征用于描述漏洞攻擊所涉及的行為。云服務器的行為特征庫中行為特征的數量和種類遠遠多于個體終端中的行為特征庫。實際應用中,可以使云服務器的行為特征庫涵蓋網內所有終端的行為特征庫。
[0115]與圖1中終端側保存的標準行為特征類似,云服務器側保存的標準行為特征也包括隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。而攻擊日志則包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及實際行為特征。其中,進程的標識包括但不限于是進程名稱、進程ID、進程句柄、進程文件的存儲路徑;而攻擊類型則包括但不限于是拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0116]203、若實際行為特征與標準行為特征一致,則將攻擊日志下發給其他終端。
[0117]如果比對一致,則說明終端確實遭受了漏洞攻擊,此時,云服務器將終端上報的攻擊日志發送給其他終端,以使得其他終端根據攻擊日志中攜帶的實際行為特征對相同的漏洞攻擊進行主動防御。實際上,當終端確定遭受漏洞攻擊后,其獲得的實際行為特征與其保存的標準行為特征是一致的,本發明各實施例中定義將實際行為特征攜帶在攻擊日志中,僅為便于描述,實際應用中也可將標準行為特征添加到攻擊日志中。
[0118]需要說明的是,在實際應用中,步驟202及步驟203的實現是可選的,如果云服務器對終端足夠信任,那么也可以直接將終端上報的攻擊日志下發給其他終端,而無需做驗證。
[0119]進一步的,在本發明的另一實施例中,當終端在未真正遭受漏洞攻擊的情況下,自行進行模擬漏洞檢測時,如若終端成功實施了漏洞攻擊,那么云服務器還會接收終端上報的模擬漏洞攻擊的攻擊日志。并且,與前述接收的攻擊日志相似,云服務器會將模擬漏洞攻擊的攻擊日志發送給其他各個終端,以便其他終端對模擬發現的漏洞攻擊進行識別和主動防御。
[0120]進一步的,在本發明的另一實施例中,云服務器除了向其他終端下發攻擊日志外,還可以進一步查找并向其他終端下發針對漏洞攻擊的防御策略。實際應用中,云服務器可以保存針對各種漏洞攻擊的防御策略以及一個映射關系表,該表中記錄有攻擊類型與防御策略的對應關系。云服務器可以直接從終端上報的攻擊日志中獲取漏洞攻擊的攻擊類型,也可以通過圖2步驟202自行判斷驗證出漏洞攻擊的攻擊類型,然后查表獲得對應該攻擊類型的防御策略。在向其他終端下發攻擊日志時,云服務器可以將查找到的防御策略與攻擊日志進行綁定,并一同下發給其他終端。
[0121]下面本實施例給出幾種針對典型攻擊類型的防御策略以供參考,應當明確,此說明僅為示例性的說明,不作為對實際應用中防御策略的數量或種類的限制:
[0122]1、地址掃描
[0123]防御策略:在防火墻上過濾掉ICMP應答消息。
[0124]2、端口掃描
[0125]防御策略:通過防火墻能檢測端口是否被掃描,并自動阻斷掃描企圖。
[0126]3、反向映射
[0127]防御策略:通過NAT和非路由代理服務器自動抵御此類攻擊,或者在防火墻上過濾 “hostunreachable” ICMP 應答。
[0128]4、慢速掃描
[0129]防御策略:通過引誘服務來對慢速掃描進行偵測。
[0130]5、體系結構探測
[0131]防御策略:刪除或修改Banner,包括操作系統和各種應用服務的Banner,并阻斷用于識別的端口。
[0132]6、DNS 域轉換
[0133]防御策略:在防火墻處過濾掉域轉換請求。
[0134]7、Finger 服務
[0135]防御策略:關閉finger服務并記錄嘗試連接該服務的對方IP地址,或者在防火墻上進行過濾。
[0136]8、LDAP 服務
[0137]防御策略:對于刺探內部網絡的LDAP進行阻斷并記錄,如果在公共機器上提供LDAP服務,則把LDAP服務器放入DMZ。
[0138]9、DNS高速緩存污染
[0139]防御策略:在防火墻上過濾入站的DNS更新,外部DNS服務器不應能更改你的內部服務器對內部機器的認識。
[0140]10、偽造電子郵件
[0141]防御策略:使用PGP等安全工具并安裝電子郵件證書。
[0142]本發明各方法實施例中所指的終端包括用戶終端以及網站服務器,其中,用戶終端可以是手機、PC、平板電腦、筆記本等。實際應用中,當上述終端為服務器時,方案涉及的攻擊類型可能與用戶終端所常見攻擊類型有所不同,應當結合服務器攻擊類型的特點進行區別處理。
[0143]進一步的,作為對上述方法的實現,本發明的另一實施例還提供了一種終端,該終端可以是用戶終端,例如手機、電腦等,也可以是網站的服務器,用以對上述方法進行實現。如圖3所示,該終端包括:監測單元31、比對單元32、發送單元33 ;其中,
[0144]監測單元31,用于對運行中的進程進行監測,獲得進程的實際行為特征,其中,進程包括應用進程及系統進程;
[0145]比對單元32,用于將監測單元31獲得的實際行為特征與行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0146]發送單元33,用于當比對單元32的比對結果為實際行為特征與標準行為特征一致時,向云服務器上報漏洞攻擊的攻擊日志,以使得云服務器根據攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0147]進一步的,比對單元32比對的標準行為特征包括:
[0148]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0149]進一步的,發送單元33發送的攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及實際行為特征。
[0150]進一步的,發送單元33發送的進程的標識包括:
[0151]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0152]進一步的,發送單元33發送的攻擊類型包括:
[0153]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0154]進一步的,如圖4所示,該終端還包括:
[0155]檢測單元34,用于對進程進行模擬漏洞攻擊檢測;
[0156]第一記錄單元35,用于當檢測單元34成功實現模擬漏洞攻擊時,將模擬漏洞攻擊的行為特征作為標準行為特征記錄到行為特征庫中;
[0157]發送單元33,用于向云服務器上報檢測單元34實現的模擬漏洞攻擊的攻擊日志。
[0158]進一步的,如圖4所示,該終端還包括:
[0159]接收單元36,用于接收云服務器下發的攻擊日志;
[0160]第二記錄單元37,用于將接收單元36接收的攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中;
[0161]處理單元38,用于根據第二記錄單元37記錄的行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0162]本實施例提供的終端,能夠在本地通過對進程的行為監測發現漏洞攻擊的“行跡”,并在發現漏洞攻擊的“行跡”后,向云服務器上報漏洞攻擊的攻擊日志,以便云服務器將該攻擊日志發送給其他終端,使得其他終端在遭受相同漏洞攻擊之前,對該漏洞日志進行主動防御。與現有技術中發現并修復漏洞相比,本實施例的攻擊防御方式不以漏洞修復為主要目標,通過攻擊行為的檢測和分析達到發現漏洞攻擊的目的。本實施例能夠在某一臺終端遭受漏洞攻擊后,在其他終端上迅速部署攻擊防御策略,使得其他終端即使未修復相應補丁也可以免遭漏洞攻擊,由此可以快速高效的實現對漏洞攻擊的主動防御。
[0163]進一步的,作為對上述方法的實現,本發明的另一實施例還提供了一種云服務器,該云服務器可以是公有云服務器也可以是私有云服務器,用以對上述方法進行實現。如圖5所示,該云服務器包括:接收單元51、比對單元52、發送單元53 ;其中,
[0164]接收單元51,用于接收終端上報的攻擊日志,攻擊日志中攜帶有終端遭受的漏洞攻擊的實際行為特征;
[0165]比對單元52,用于將接收單元51接收的實際行為特征與云端行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為;
[0166]發送單元53,用于當比對單元52的比對結果為實際行為特征與標準行為特征一致時,將接收單元51接收的攻擊日志下發給其他終端,以使得其他終端根據攻擊日志對相同的漏洞攻擊進行主動防御。
[0167]進一步的,比對單元52比對的標準行為特征包括:
[0168]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0169]進一步的,接收單元51接收的攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及實際行為特征。
[0170]進一步的,接收單元51接收的進程的標識包括:
[0171]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0172]進一步的,接收單元51接收的攻擊類型包括:
[0173]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0174]進一步的,接收單元51,用于接收終端上報的模擬漏洞攻擊的攻擊日志。
[0175]進一步的,如圖6所示,該云服務器還包括:
[0176]查找單元54,用于當比對單元52的比對結果為實際行為特征與標準行為特征一致時,查找對應漏洞攻擊的防御策略;
[0177]發送單元53,用于將查找單元54查找到的防御策略與攻擊日志進行綁定,并一同下發給其他終端。
[0178]本實施例提供的云服務器,能夠由終端在本地通過對進程的行為監測發現漏洞攻擊的“行跡”,并在發現漏洞攻擊的“行跡”后,向云服務器上報漏洞攻擊的攻擊日志,以便云服務器將該攻擊日志發送給其他終端,使得其他終端在遭受相同漏洞攻擊之前,對該漏洞日志進行主動防御。與現有技術中發現并修復漏洞相比,本實施例的攻擊防御方式不以漏洞修復為主要目標,通過攻擊行為的檢測和分析達到發現漏洞攻擊的目的。本實施例能夠在某一臺終端遭受漏洞攻擊后,在其他終端上迅速部署攻擊防御策略,使得其他終端即使未修復相應補丁也可以免遭漏洞攻擊,由此可以快速高效的實現對漏洞攻擊的主動防御。
[0179]進一步的,作為對上述方法的實現,本發明的另一實施例還提供了一種防御漏洞攻擊的系統,如圖7所示,該系統包括第一終端71、云服務器72以及第二終端73。其中,第一終端71可以是圖3或圖4所示的終端,云服務器72則可以是圖5或圖6所示的云服務器。
[0180]第一終端71,用于對運行中的進程進行監測,獲得進程的實際行為特征,其中,進程包括應用進程及系統進程,將實際行為特征與行為特征庫中的標準行為特征進行比對,標準行為特征用于描述漏洞攻擊所涉及的行為,若實際行為特征與標準行為特征一致,則向云服務器72上報漏洞攻擊的攻擊日志;
[0181]云服務器72,用于接收第一終端71上報的攻擊日志,將攻擊日志中的實際行為特征與云端行為特征庫中的標準行為特征進行比對,若實際行為特征與標準行為特征一致,則將攻擊日志下發給第二終端73 ;
[0182]第二終端73,用于接收云服務器72下發的攻擊日志,將攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中,根據行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0183]本實施例提供的防御漏洞攻擊的系統,由終端在本地通過對進程的行為監測發現漏洞攻擊的“行跡”,并在發現漏洞攻擊的“行跡”后,向云服務器上報漏洞攻擊的攻擊日志,以便云服務器將該攻擊日志發送給其他終端,使得其他終端在遭受相同漏洞攻擊之前,對該漏洞日志進行主動防御。與現有技術中發現并修復漏洞相比,本實施例的攻擊防御方式不以漏洞修復為主要目標,通過攻擊行為的檢測和分析達到發現漏洞攻擊的目的。本實施例能夠在某一臺終端遭受漏洞攻擊后,在其他終端上迅速部署攻擊防御策略,使得其他終端即使未修復相應補丁也可以免遭漏洞攻擊,由此可以快速高效的實現對漏洞攻擊的主動防御。
[0184]本發明的實施例公開了:
[0185]Al、一種防御漏洞攻擊的方法,所述方法包括:
[0186]對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程;
[0187]將所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為;
[0188]若所述實際行為特征與所述標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志,以使得所述云服務器根據所述攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0189]A2、根據Al所述的方法,所述標準行為特征包括:
[0190]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0191]A3、根據Al所述的方法,所述攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及所述實際行為特征。
[0192]4、根據3所述的方法,所述進程的標識包括:
[0193]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0194]A5、根據A3所述的方法,所述攻擊類型包括:
[0195]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0196]A6、根據Al所述的方法,所述方法進一步包括:
[0197]對所述進程進行模擬漏洞攻擊檢測;
[0198]若成功實現模擬漏洞攻擊,則將所述模擬漏洞攻擊的行為特征作為所述標準行為特征記錄到所述行為特征庫中;
[0199]向所述云服務器上報所述模擬漏洞攻擊的攻擊日志。
[0200]A7、根據Al至A6中任一項所述的方法,所述方法進一步包括:
[0201]接收所述云服務器下發的所述攻擊日志;
[0202]將所述攻擊日志中的實際行為特征作為標準行為特征,記錄到所述行為特征庫中;
[0203]根據所述行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0204]B8、一種防御漏洞攻擊的方法,所述方法包括:
[0205]接收終端上報的攻擊日志,所述攻擊日志中攜帶有所述終端遭受的漏洞攻擊的實際行為特征;
[0206]將所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為;
[0207]若所述實際行為特征與所述標準行為特征一致,則將所述攻擊日志下發給其他終端,以使得所述其他終端根據所述攻擊日志對相同的漏洞攻擊進行主動防御。
[0208]B9、根據B8所述的方法,所述標準行為特征包括:
[0209]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0210]B10、根據B8所述的方法,所述攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及所述實際行為特征。
[0211]B11、根據BlO所述的方法,所述進程的標識包括:
[0212]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0213]B12、根據BlO所述的方法,所述攻擊類型包括:
[0214]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0215]B13、根據B8所述的方法,所述方法進一步包括:
[0216]接收所述終端上報的模擬漏洞攻擊的攻擊日志。
[0217]B14、根據B8至B13中任一項所述的方法,若所述實際行為特征與所述標準行為特征一致,則所述方法進一步包括:
[0218]查找對應漏洞攻擊的防御策略;
[0219]所述將所述攻擊日志下發給其他終端,包括:
[0220]將所述防御策略與所述攻擊日志進行綁定,并一同下發給其他終端。
[0221]C15、一種終端,所述終端包括:
[0222]監測單元,用于對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程;
[0223]比對單元,用于將所述監測單元獲得的所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為;
[0224]發送單元,用于當所述比對單元的比對結果為所述實際行為特征與所述標準行為特征一致時,向云服務器上報漏洞攻擊的攻擊日志,以使得所述云服務器根據所述攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
[0225]C16、根據C15所述的終端,所述比對單元比對的所述標準行為特征包括:
[0226]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0227]C17、根據C15所述的終端,所述發送單元發送的所述攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及所述實際行為特征。
[0228]C18、根據C17所述的終端,所述發送單元發送的所述進程的標識包括:
[0229]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0230]C19、根據C17所述的終端,所述發送單元發送的所述攻擊類型包括:
[0231]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0232]C20、根據Cl5所述的終端,所述終端還包括:
[0233]檢測單元,用于對所述進程進行模擬漏洞攻擊檢測;
[0234]第一記錄單元,用于當所述檢測單元成功實現模擬漏洞攻擊時,將所述模擬漏洞攻擊的行為特征作為所述標準行為特征記錄到所述行為特征庫中;
[0235]所述發送單元,用于向所述云服務器上報所述檢測單元實現的所述模擬漏洞攻擊的攻擊日志。
[0236]C21、根據C15至C20中任一項所述的終端,所述終端還包括:
[0237]接收單元,用于接收所述云服務器下發的所述攻擊日志;
[0238]第二記錄單元,用于將所述接收單元接收的所述攻擊日志中的實際行為特征作為標準行為特征,記錄到所述行為特征庫中;
[0239]處理單元,用于根據所述第二記錄單元記錄的所述行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0240]D22、一種云服務器,所述云服務器包括:
[0241]接收單元,用于接收終端上報的攻擊日志,所述攻擊日志中攜帶有所述終端遭受的漏洞攻擊的實際行為特征;
[0242]比對單元,用于將所述接收單元接收的所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為;
[0243]發送單元,用于當所述比對單元的比對結果為所述實際行為特征與所述標準行為特征一致時,將所述接收單元接收的所述攻擊日志下發給其他終端,以使得所述其他終端根據所述攻擊日志對相同的漏洞攻擊進行主動防御。
[0244]D23、根據D22所述的云服務器,所述比對單元比對的所述標準行為特征包括:
[0245]隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
[0246]D24、根據D22所述的云服務器,所述接收單元接收的所述攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及所述實際行為特征。
[0247]D25、根據D24所述的云服務器,所述接收單元接收的所述進程的標識包括:
[0248]進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
[0249]D26、根據D24所述的云服務器,所述接收單元接收的所述攻擊類型包括:
[0250]拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
[0251]D27、根據D22所述的云服務器,所述接收單元,用于接收所述終端上報的模擬漏洞攻擊的攻擊日志。
[0252]D28、根據D22至D27中任一項所述的云服務器,所述云服務器還包括:
[0253]查找單元,用于當所述比對單元的比對結果為所述實際行為特征與所述標準行為特征一致時,查找對應漏洞攻擊的防御策略;
[0254]所述發送單元,用于將所述查找單元查找到的所述防御策略與所述攻擊日志進行綁定,并一同下發給其他終端。
[0255]E28、一種防御漏洞攻擊的系統,所述系統包括:第一終端、云服務器以及第二終端;其中,
[0256]所述第一終端,用于對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程,將所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為,若所述實際行為特征與所述標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志;
[0257]所述云服務器,用于接收所述第一終端上報的所述攻擊日志,將所述攻擊日志中的所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,若所述實際行為特征與所述標準行為特征一致,則將所述攻擊日志下發給所述第二終端;
[0258]所述第二終端,用于接收所述云服務器下發的所述攻擊日志,將所述攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中,根據所述行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
[0259]在上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
[0260]可以理解的是,上述方法及裝置中的相關特征可以相互參考。另外,上述實施例中的“第一”、“第二”等是用于區分各實施例,而并不代表各實施例的優劣。
[0261]所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統,裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。
[0262]在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基于在此的示教一起使用。根據上面的描述,構造這類系統所要求的結構是顯而易見的。此外,本發明也不針對任何特定編程語言。應當明白,可以利用各種編程語言實現在此描述的本發明的內容,并且上面對特定語言所做的描述是為了披露本發明的最佳實施方式。
[0263]在此處所提供的說明書中,說明了大量具體細節。然而,能夠理解,本發明的實施例可以在沒有這些具體細節的情況下實踐。在一些實例中,并未詳細示出公知的方法、結構和技術,以便不模糊對本說明書的理解。
[0264]類似地,應當理解,為了精簡本公開并幫助理解各個發明方面中的一個或多個,在上面對本發明的示例性實施例的描述中,本發明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說,如下面的權利要求書所反映的那樣,發明方面在于少于前面公開的單個實施例的所有特征。因此,遵循【具體實施方式】的權利要求書由此明確地并入該【具體實施方式】,其中每個權利要求本身都作為本發明的單獨實施例。
[0265]本領域那些技術人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。
[0266]此外,本領域的技術人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發明的范圍之內并且形成不同的實施例。例如,在下面的權利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0267]本發明的各個部件實施例可以以硬件實現,或者以在一個或者多個處理器上運行的軟件模塊實現,或者以它們的組合實現。本領域的技術人員應當理解,可以在實踐中使用微處理器或者數字信號處理器(DSP)來實現根據本發明實施例的發明名稱(如確定網站內鏈接等級的裝置)中的一些或者全部部件的一些或者全部功能。本發明還可以實現為用于執行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如,計算機程序和計算機程序產品)。這樣的實現本發明的程序可以存儲在計算機可讀介質上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網網站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。
[0268]應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現。在列舉了若干裝置的單元權利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
【權利要求】
1.一種防御漏洞攻擊的方法,其特征在于,所述方法包括: 對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程; 將所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為; 若所述實際行為特征與所述標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志,以使得所述云服務器根據所述攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
2.根據權利要求1所述的方法,其特征在于,所述標準行為特征包括: 隱藏IP、非法掃描、登錄主機、清除記錄、預留后門、修改注冊表、植入代碼、盜取信息、信息回傳、修改DNS。
3.根據權利要求1所述的方法,其特征在于,所述攻擊日志包括:遭受漏洞攻擊的進程的標識、攻擊類型、漏洞代碼以及所述實際行為特征。
4.根據權利要求3所述的方法,其特征在于,所述進程的標識包括: 進程名稱、進程ID、進程句柄、進程文件的存儲路徑。
5.根據權利要求3所述的方法,其特征在于,所述攻擊類型包括: 拒絕服務、非授權訪問嘗試、預探測攻擊、協議解碼、系統代理攻擊。
6.根據權利要求1所述的方法,其特征在于,所述方法進一步包括: 對所述進程進行模擬漏洞攻擊檢測; 若成功實現模擬漏洞攻擊,則將所述模擬漏洞攻擊的行為特征作為所述標準行為特征記錄到所述行為特征庫中; 向所述云服務器上報所述模擬漏洞攻擊的攻擊日志。
7.一種防御漏洞攻擊的方法,其特征在于,所述方法包括: 接收終端上報的攻擊日志,所述攻擊日志中攜帶有所述終端遭受的漏洞攻擊的實際行為特征; 將所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為; 若所述實際行為特征與所述標準行為特征一致,則將所述攻擊日志下發給其他終端,以使得所述其他終端根據所述攻擊日志對相同的漏洞攻擊進行主動防御。
8.一種終端,其特征在于,所述終端包括: 監測單元,用于對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程; 比對單元,用于將所述監測單元獲得的所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為; 發送單元,用于當所述比對單元的比對結果為所述實際行為特征與所述標準行為特征一致時,向云服務器上報漏洞攻擊的攻擊日志,以使得所述云服務器根據所述攻擊日志通知其他終端對相同的漏洞攻擊進行主動防御。
9.一種云服務器,其特征在于,所述云服務器包括: 接收單元,用于接收終端上報的攻擊日志,所述攻擊日志中攜帶有所述終端遭受的漏洞攻擊的實際行為特征; 比對單元,用于將所述接收單元接收的所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為; 發送單元,用于當所述比對單元的比對結果為所述實際行為特征與所述標準行為特征一致時,將所述接收單元接收的所述攻擊日志下發給其他終端,以使得所述其他終端根據所述攻擊日志對相同的漏洞攻擊進行主動防御。
10.一種防御漏洞攻擊的系統,其特征在于,所述系統包括:第一終端、云服務器以及第二終端;其中, 所述第一終端,用于對運行中的進程進行監測,獲得所述進程的實際行為特征,其中,所述進程包括應用進程及系統進程,將所述實際行為特征與行為特征庫中的標準行為特征進行比對,所述標準行為特征用于描述漏洞攻擊所涉及的行為,若所述實際行為特征與所述標準行為特征一致,則向云服務器上報漏洞攻擊的攻擊日志; 所述云服務器,用于接收所述第一終端上報的所述攻擊日志,將所述攻擊日志中的所述實際行為特征與云端行為特征庫中的標準行為特征進行比對,若所述實際行為特征與所述標準行為特征一致,則將所述攻擊日志下發給所述第二終端; 所述第二終端,用于接收所述云服務器下發的所述攻擊日志,將所述攻擊日志中的實際行為特征作為標準行為特征,記錄到行為特征庫中,根據所述行為特征庫對可能出現的漏洞攻擊進行發現和主動防御。
【文檔編號】H04L29/06GK104468632SQ201410854248
【公開日】2015年3月25日 申請日期:2014年12月31日 優先權日:2014年12月31日
【發明者】汪圣平, 湯迪斌, 楊曉東 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司