网络攻击信息处理方法、装置、电子设备及存储介质转让专利
申请号 : CN202010671834.0
文献号 : CN111565199B
文献日 : 2021-10-01
发明人 : 贺家成 , 董志强 , 李滨 , 张壮
申请人 : 腾讯科技(深圳)有限公司
摘要 :
权利要求 :
1.一种网络攻击信息处理方法,其特征在于,所述方法包括:获取对目标系统进行攻击的攻击流量;
响应于所获取的攻击流量,触发端口复用进程,并基于所述端口复用进程,确定目标端口;
根据所述目标端口,配置与所述目标端口相匹配的套接字以及套接口函数;
基于与所述目标端口相匹配的套接字以及套接口函数,对目标端口所转发的攻击流量进行监听;
通过攻击信息分类模型,对所述攻击流量进行特征化处理;
对所述攻击流量特征化处理结果进行标准化处理,形成标准化处理后的攻击流量特征;
基于对应的敏感字、敏感字符以及字符串长度,通过所述攻击信息分类模型对所述标准化处理后的攻击流量特征进行识别处理,确定所述攻击流量的类别,其中,所述攻击流量的类别与部署在同一服务器中的不同类型的蜜罐系统相适配;
基于所述攻击信息分类模型所确定的攻击流量的类别,触发端口转发进程,对所述攻击流量进行转发,以实现通过不同类型的蜜罐系统获取对应的攻击流量;
其中,在通过攻击信息分类模型,对所述攻击流量进行特征化处理之前,所述方法还包括:
获取与所述攻击信息分类模型的使用环境相匹配的训练样本,其中,所述训练样本中包括相应目标系统托管平台所获取的历史攻击流量,其中,所述目标系统托管平台保存有历史攻击流量中的攻击类型、攻击目标以及对应的标识;
通过所述攻击信息分类模型提取与所述训练样本相匹配的训练数据集合以及测试数据集合;
根据与所述训练样本相匹配的训练数据集合以及测试数据集合对所述攻击信息分类模型进行训练,以实现确定与所述攻击信息分类模型相适配的模型参数。
2.根据权利要求1所述的方法,其特征在于,所述通过所述攻击信息分类模型提取与所述训练样本相匹配的训练数据集合以及测试数据集合,包括:对所述训练样本进行分类,确定不同的攻击流量类型;
基于所述攻击流量的不同类型,对所述训练样本进行特征化处理,提取相匹配的差异特征;
对所提取的差异特征进行标准化处理,形成标准化差异特征,并按照相应分配比例对所述标准化差异特征进行数据拆分处理,形成与所述训练样本相匹配的训练数据集合以及测试数据集合。
3.根据权利要求1所述的方法,其特征在于,所述根据与所述训练样本相匹配的训练数据集合以及测试数据集合对所述攻击信息分类模型进行训练,以实现确定与所述攻击信息分类模型相适配的模型参数,包括:对与所述训练样本相匹配的测试数据集合中的攻击流量类型进行标记;
通过所述训练数据集合,对所述攻击信息分类模型进行训练,确定所述攻击信息分类模型的参数;
保持所述攻击信息分类模型的参数不变,对所述测试数据集合中的攻击流量类型进行分类;
将所述测试数据集合中的攻击流量类型的分类结果与标记的攻击流量类型进行比较;
当所述测试数据集合中的攻击流量类型的分类结果与标记的攻击流量类型的一致比例超过阈值时,确定与所述攻击信息分类模型相适配的模型参数。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述目标系统的使用环境,确定对应的固件配置信息;
根据固件配置信息,从蜜罐镜像云服务器中获取相匹配的蜜罐镜像,其中,蜜罐镜像支持不同组织架构的蜜罐结构;
在目标系统中创建容器,并通过所述容器创建支持不同组织架构的蜜罐系统,以实现通过所部署的蜜罐系统捕获对所述目标系统的攻击流量。
5.根据权利要求1‑4任一所述的方法,其特征在于,所述方法还包括:将蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录送至区块链网络,以使
所述区块链网络的节点将所述蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录填充至新区块,且当对所述新区块共识一致时,将所述新区块追加至区块链的尾部。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:接收所述区块链网络中的其他节点的数据同步请求;
响应于所述数据同步请求,对所述其他节点的权限进行验证;
当所述其他节点的权限通过验证时,控制当前节点与所述其他节点之间进行数据同步,以实现所述其他节点获取蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:响应于查询请求,解析所述查询请求以获取对应的对象标识;
根据所述对象标识,获取区块链网络中的目标区块内的权限信息;
对所述权限信息与所述对象标识的匹配性进行校验;
当所述权限信息与所述对象标识相匹配时,在所述区块链网络中获取相应的蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录;
响应于查询指令,将所获取的相应的蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录向相应的客户端进行推送。
8.一种网络攻击信息处理装置,其特征在于,所述装置包括:信息传输模块,用于获取对目标系统进行攻击的攻击流量;
信息处理模块,用于响应于所获取的攻击流量,触发端口复用进程,并基于所述端口复用进程,确定目标端口;根据所述目标端口,配置与所述目标端口相匹配的套接字以及套接口函数;基于与所述目标端口相匹配的套接字以及套接口函数,对目标端口所转发的攻击流量进行监听;
所述信息处理模块,用于通过攻击信息分类模型,对所述攻击流量进行特征化处理;
所述信息处理模块,用于对所述攻击流量特征化处理结果进行标准化处理,形成标准化处理后的攻击流量特征;
所述信息处理模块,用于基于对应的敏感字、敏感字符以及字符串长度,通过攻击信息分类模型对所述标准化处理后的攻击流量特征进行识别处理,确定所述攻击流量的类别,其中,所述攻击流量的类别与部署在同一服务器中的不同类型的蜜罐系统相适配;
所述信息处理模块,用于基于所述攻击信息分类模型所确定的攻击流量的类别,触发端口转发进程,对所述攻击流量进行转发,以实现通过不同类型的蜜罐系统获取对应的攻击流量;
所述信息处理模块,进一步用于获取与所述攻击信息分类模型的使用环境相匹配的训练样本,其中,所述训练样本中包括相应目标系统托管平台所获取的历史攻击流量,其中,所述目标系统托管平台保存有历史攻击流量中的攻击类型、攻击目标以及对应的标识;通过所述攻击信息分类模型提取与所述训练样本相匹配的训练数据集合以及测试数据集合;
根据与所述训练样本相匹配的训练数据集合以及测试数据集合对所述攻击信息分类模型进行训练,以实现确定与所述攻击信息分类模型相适配的模型参数。
9.一种电子设备,其特征在于,所述电子设备包括:存储器,用于存储可执行指令;
处理器,用于运行所述存储器存储的可执行指令时,实现权利要求1至7任一项所述的网络攻击信息处理方法。
10.一种计算机可读存储介质,存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现权利要求1至7任一项所述的网络攻击信息处理方法。
说明书 :
网络攻击信息处理方法、装置、电子设备及存储介质
技术领域
背景技术
攻击者对该虚假系统进行攻击,其中,该虚假系统通常可以被称为蜜罐系统。在攻击者被引
诱而对蜜罐系统展开攻击时,该蜜罐系统可以捕获攻击者的攻击数据。通过对捕获的攻击
数据进行分析,可以给实际生产工作中对攻击行为进行识别以及后续的安全防御措施提供
依据。传统的蜜罐系统在部署过程中,不但需要部署数量众多的服务器,配置大量的IP地
址,而且攻击流量是与攻击目标不匹配,造成蜜罐系统对攻击信息的处理效率较低。
发明内容
发,通过不同类型的蜜罐系统获取对应的攻击流量,提升蜜罐系统的网络攻击信息处理效
率,减少所部署的服务器数量,节省用户的成本,实现蜜罐系统的大规模部署。
模型参数。
本相匹配的训练数据集合以及测试数据集合。
数。
所述新区块追加至区块链的尾部。
类模型以及所述攻击信息分类模型对攻击流量的分类记录。
攻击流量的分类记录;
端进行推送。
对所述攻击流量的类别进行识别;基于所述攻击信息分类模型的识别结果,触发端口转发
进程,对所述攻击流量进行转发,由此,可以实现通过不同类型的蜜罐系统获取对应的攻击
流量,提升蜜罐系统的网络攻击信息处理效率,减少所部署的服务器数量,节省用户的成
本,实现蜜罐系统的大规模部署。
附图说明
具体实施方式
做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
的情况下相互结合。
析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们
所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
明的情况下,所执行的多个操作不存在执行先后顺序的限制。
拟化。
易”这一术语,本发明实施例遵循了这一习惯。
块链的状态数据库进行操作,包括更新操作(包括增加、删除和修改状态数据库中的键值
对)和查询操作(即查询状态数据库中的键值对)。
交易被填充到区块并经过区块链网络中节点的共识后,会被追加到区块链的尾部从而形成
链式的增长。
查询。
的键值对数据进行更新或查询的操作。
括工作量证明(Po W,Proof of Work)、权益证明(PoS,Proof of Stake)、股份授权证明(D
Po S,Delegated Proof‑of‑Stake)、消逝时间量证明(Po ET,Proof of Elapsed Time)等。
端(包括终端10‑1和终端10‑2)通过网络300从相应的服务器200中获取不同的相应信息进
行浏览,终端通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二
者的组合,使用无线链路实现数据传输,其中,终端与网络进行信息交互的过程中,有可能
遭受网络攻击,因此,可以部署蜜罐系统。具体来说,蜜罐技术是一种对攻击者进行欺骗的
主动安全技术。在蜜罐技术中,技术人员可以部署一个模拟真实工作系统的虚假系统作为
诱饵,并引诱攻击者对该虚假系统进行攻击,其中,该虚假系统通常可以被称为蜜罐系统。
在攻击者被引诱而对蜜罐系统展开攻击时,该蜜罐系统可以捕获攻击者的攻击数据。通过
对捕获的攻击数据进行分析,可以给实际生产工作中对攻击行为进行识别以及后续的安全
防御措施提供依据。
取的攻击流量,触发端口复用进程,以实现对目标端口所转发的攻击流量进行监听;触发攻
击信息分类模型,对所述攻击流量的类别进行识别;基于所述攻击信息分类模型的识别结
果,触发端口转发进程,对所述攻击流量进行转发,以实现通过不同类型的蜜罐系统获取对
应的攻击流量。
以为设置有网络攻击信息处理装置处理功能的服务器或者服务器群组,例如部署于目标系
统中的蜜罐系统,例如前序图1中的服务器200。图2为本发明实施例提供的网络攻击信息处
理装置的组成结构示意图,可以理解,图2仅仅示出了网络攻击信息处理装置的示例性结构
而非全部结构,根据需要可以实施图2示出的部分结构或全部结构。
系统205耦合在一起。可以理解,总线系统205用于实现这些组件之间的连接通信。总线系统
205除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明
起见,在图2中将各种总线都标为总线系统205。
操作。这些数据的示例包括:用于在终端(如10‑1)上操作的任何计算机程序,如操作系统和
应用程序。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现
各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序。
码处理器形式的处理器,其被编程以执行本发明实施例提供的网络攻击信息处理方法。例
如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,
Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable
Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场
可编程门阵列(FPGA,Field‑Programmable Gate Array)或其他电子元件。
组合,软件模块可以位于存储介质中,存储介质位于存储器202,处理器201读取存储器202
中软件模块包括的可执行指令,结合必要的硬件(例如,包括处理器201以及连接到总线205
的其他组件)完成本发明实施例提供的网络攻击信息处理方法。
立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常
规的处理器等。
个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可
编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex
Programmable Logic Device)、现场可编程门阵列(FPGA,Field‑Programmable Gate
Array)或其他电子元件执行实现本发明实施例提供的网络攻击信息处理方法。
令,如可执行指令,实现本发明实施例的从网络攻击信息处理方法的程序可以包含在可执
行指令中。
形式的软件,并包括一系列的模块,作为存储器202中存储的程序的示例,可以包括网络攻
击信息处理装置,网络攻击信息处理装置中包括以下的软件模块信息传输模块2081和信息
处理模块2082。当网络攻击信息处理装置中的软件模块被处理器201读取到RAM中并执行
时,将实现本发明实施例提供的网络攻击信息处理方法,其中,网络攻击信息处理装置中各
个软件模块的功能,包括:
量。
对于攻击流量的处理过程进行介绍,其中,参考图3,图3为本发明实施例中传统的蜜罐系统
对攻击流量的处理示意图,其中,在传统的蜜罐系统的使用过程中,常见的WEB攻击目标达
几百种,按传统的蜜罐布置需要几百台服务器分布式实现,并且需要几百个IP地址(作为示
例,图3中示出了4台服务器以及4个独立IP),同时这一过程中超过80%以上的攻击流量是与
攻击目标不匹配的,也就是说变成无效流量,造成巨大的资源浪费,(例如图3只有实线的攻
击流量的匹配过程才是有效的,虚线都是不匹配的流量,造成效率蜜罐系统较低,影响用户
的使用体验)。
种电子设备执行,例如可以是可以部署蜜罐系统的服务器或服务器群组。具体包括:
件配置信息;根据固件配置信息,从蜜罐镜像云服务器中获取相匹配的蜜罐镜像,其中,蜜
罐镜像支持不同组织架构的蜜罐结构;而云服务器中存储有不同类型的蜜罐镜像,进一步
地,在目标系统中创建容器,并通过所述容器创建支持不同组织架构的蜜罐系统,可以实现
通过所部署的蜜罐系统捕获对目标系统的攻击流量,其中,攻击流量是指攻击者通过互联
网发起的攻击行为,一个攻击行为对应一个攻击流量。
的套接字以及套接口函数,对目标端口所转发的攻击流量进行监听。其中,参考图5,图5为
本发明实施例中端口复用进程处理过程示意图,其中,通过端口复用进程可以建立特殊套
接字:绑定任意端口,比如80端口,例如使所有攻击流量从80端口进入;设置套接口
setsockopt:用于任意类型、任意状态套接口的设置选项值。尽管在不同协议层上存在选
项,但本申请所使用的函数仅定义了最高的“套接口”层次上的选项通过流量分类后,可以
使用经过训练的svm模型进行类型判断,进一步地,判断请求流量所属类型,再通过端口转
发进程与该类型对应的目标建立套接字通讯,例如当存在不同的蜜罐服务进程时,可以分
别作为目标1和目标2,并通过端口转发进程建立不同的套接字并分别与目标1和目标2进行
通讯。
处理装置说明本发明实施例提供的网络攻击信息处理方法,参见图6,图6为本发明实施例
提供的网络攻击信息处理方法一个可选的流程示意图,可以理解地,图6所示的步骤可以由
运行网络攻击信息处理装置的各种电子设备执行,例如可以是如带有网络攻击信息处理功
能的服务器或者服务器群组。下面针对图6示出的步骤进行说明。
标准化处理,形成标准化差异特征,并按照相应分配比例对所述标准化差异特征进行数据
拆分处理,形成与所述训练样本相匹配的训练数据集合以及测试数据集合。具体来说,参考
表1训练样本的获取可以从蜜罐系统的托管服务器github收集得来,其中,托管服务器保存
有历史攻击流量中的攻击类型、攻击目标以及对应的标识或者标记。
攻击流量的信息长度小于100字节,同时数据包中携带“php、phpinfo、think”等敏感字时,
可以确定对应的攻击流量的类型为Thinkphp攻击;或者,攻击流量的信息长度大于100字
节,同时数据包中携带“java.io、action”等敏感字时,可以确定对应的攻击流量的类型为
Struts2 攻击攻击。
收的攻击流量进行智能识别,例如,参考表3,通过所部署的模型,可以识别恶意流量攻击的
蜜罐目标类型。
息分类模型的参数;保持所述攻击信息分类模型的参数不变,对所述测试数据集合中的攻
击流量类型进行分类;将所述测试数据集合中的攻击流量类型的分类结果与标记的攻击流
量类型进行比较;当所述测试数据集合中的攻击流量类型的分类结果与标记的攻击流量类
型的一致比例超过阈值时,确定与所述攻击信息分类模型相适配的模型参数。
击流量的类型进行分类,以便于蜜罐系统根据不同的攻击流量类型进行获取对应的攻击流
量。
于攻击信息分类模型对所述攻击流量特征进行处理,确定所述攻击流量的类别。
访问服务的记录,获取并解析攻击流量所携带的网络数据包;基于所述网络数据包,确定并
监控所述攻击流量入侵蜜罐系统后的蜜罐系统连接行为。进一步地,还可以对网络攻击行
为进行记录,例如记录网络攻击行为的源网际互连协议地址(即IP地址)、网络攻击行为的
时间与次数、网络攻击行为的类型、攻击流量发起源等。此外,计算机设备捕获到网络攻击
行为时,可以对网络攻击行为进行响应,将回复报文返回给网络攻击行为的攻击方,从而通
过和攻击方进行交互,避免被攻击方识别出入侵了蜜罐环境。此外,计算机设备可以隐藏自
身的IP地址,以免泄露真实的IP地址。
系统以及网络攻击信息处理装置,其中,可以将蜜罐系统配置信息、攻击信息分类模型以及
所述攻击信息分类模型对攻击流量的分类记录送至区块链网络,以使所述区块链网络的节
点将所述蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的
分类记录填充至新区块,且当对所述新区块共识一致时,将所述新区块追加至区块链的尾
部。
享的一种托管技术,也可理解为基于云计算商业模式应用的网络技术、信息技术、整合技
术、管理平台技术及应用技术等的总称。技术网络系统的后台服务需要大量的计算、存储资
源,如视频网站、图片类网站和更多的门户网站,因此云技术需要以云计算作为支撑。
络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使
用,随时扩展,按使用付费。作为云计算的基础能力提供商,会建立云计算资源池平台,简称
云平台,一般称为基础设施即服务(IaaS,Infrastructure as a Service),在资源池中部
署多种类型的虚拟资源,供外部客户选择使用。云计算资源池中主要包括:计算设备(可为
虚拟化机器,包含操作系统)、存储设备和网络设备。
络300可以是广域网或者局域网,又或者是二者的组合。值得说明的是,服务器200可为实体
设备,也可为虚拟化设备。
分类模型对攻击流量的分类记录。
限信息与所述对象标识的匹配性进行校验;当所述权限信息与所述对象标识相匹配时,在
所述区块链网络中获取相应的蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分
类模型对攻击流量的分类记录;响应于所述查询指令,将所获取的相应的蜜罐系统配置信
息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录向相应的客户端
进行推送。
300、业务主体400和业务主体500,下面分别进行说明。
授权的情况下接入区块链网络200;以联盟链为例,业务主体在获得授权后其下辖的电子设
备(例如终端/服务器)可以接入区块链网络200,此时,成为区块链网络200中的客户端节
点。
识节点210的功能,例如排序功能、共识服务和账本功能等,客户端节点可以缺省或者有选
择性(例如,取决于业务主体的具体业务需求)地实施。从而,可以将业务主体的数据和业务
处理逻辑最大程度迁移到区块链网络200中,通过区块链网络200实现数据和业务处理过程
的可信和可追溯。
410、以及归属于业务主体500的客户端节点510)提交的交易,执行交易以更新账本或者查
询账本,执行交易的各种中间结果或最终结果可以返回业务主体的客户端节点中显示。
节点410/510,从而触发客户端节点410/510中相应的业务逻辑。
300进行登记注册获得各自的数字证书,数字证书中包括业务主体的公钥、以及认证中心
300对业务主体的公钥和身份信息签署的数字签名,用来与业务主体针对交易的数字签名
一起附加到交易中,并被发送到区块链网络,以供区块链网络从交易中取出数字证书和签
名,验证消息的可靠性(即是否未经篡改)和发送消息的业务主体的身份信息, 区块链网络
会根据身份进行验证,例如是否具有发起交易的权限。业务主体下辖的电子设备(例如终端
或者服务器)运行的客户端都可以向区块链网络200请求接入而成为客户端节点。
发攻击信息分类模型,对所述攻击流量的类别进行识别;基于所述攻击信息分类模型的识
别结果,触发端口转发进程,对所述攻击流量进行转发,以实现通过不同类型的蜜罐系统获
取对应的攻击流量;将蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型
对攻击流量的分类记录发送至区块链网络200。
成相应的目标对象确定结果时,客户端节点410将蜜罐系统配置信息、攻击信息分类模型以
及所述攻击信息分类模型对攻击流量的分类记录自动发送至区块链网络200,也可以由业
务主体400的业务人员在客户端节点410中登录,手动打包将蜜罐系统配置信息、攻击信息
分类模型以及所述攻击信息分类模型对攻击流量的分类记录,并将其发送至区块链网络
200。在发送时,客户端节点410根据将蜜罐系统配置信息、攻击信息分类模型以及所述攻击
信息分类模型对攻击流量的分类记录生成对应更新操作的交易,在交易中指定了实现更新
操作需要调用的智能合约、以及向智能合约传递的参数,交易还携带了客户端节点410的数
字证书、签署的数字签名(例如,使用客户端节点410的数字证书中的私钥,对交易的摘要进
行加密得到),并将交易广播到区块链网络200中的共识节点210。
是具有交易权限,数字签名和权限验证中的任何一个验证判断都将导致交易失败。验证成
功后签署节点210自己的数字签名(例如,使用节点210‑1的私钥对交易的摘要进行加密得
到),并继续在区块链网络200中广播。
过程,如果共识成功,则将新区块追加到自身所存储的区块链的尾部,并根据交易的结果更
新状态数据库,执行新区块中的交易:对于提交更新将蜜罐系统配置信息、攻击信息分类模
型以及所述攻击信息分类模型对攻击流量的分类记录的交易,在状态数据库中添加包括将
蜜罐系统配置信息、攻击信息分类模型以及所述攻击信息分类模型对攻击流量的分类记录
的键值对。
更新操作/查询操作的交易,在交易中指定了实现更新操作/查询操作需要调用的智能合
约、以及向智能合约传递的参数,交易还携带了客户端节点510的数字证书、签署的数字签
名(例如,使用客户端节点510的数字证书中的私钥,对交易的摘要进行加密得到),并将交
易广播到区块链网络200中的共识节点210。
态数据库,执行新区块中的交易:对于提交的更新某一将蜜罐系统配置信息、攻击信息分类
模型以及所述攻击信息分类模型对攻击流量的分类记录的交易,根据人工识别结果更新状
态数据库中该目标对象确定结果对应的键值对;对于提交的查询某个目标对象确定结果的
交易,从状态数据库中查询目标对象确定结果对应的键值对,并返回交易结果。
中,对于目标对象确定结果的数据量较大的情况,客户端节点410可将目标对象确定结果的
哈希以及相应的目标对象确定结果的哈希成对上链,将原始的目标对象确定结果以及相应
的目标对象确定结果存储于分布式文件系统或数据库。客户端节点510从分布式文件系统
或数据库获取到目标对象确定结果以及相应的目标对象确定结果后,可结合区块链网络
200中对应的哈希进行校验,从而减少上链操作的工作量。
区块中所有交易的哈希值,新产生的交易的记录被填充到区块并经过区块链网络中节点的
共识后,会被追加到区块链的尾部从而形成链式的增长,区块之间基于哈希值的链式结构
保证了区块中交易的防篡改和防伪造。
层203、数据层204和资源层205,下面分别进行说明。
字签名、公/私钥对)实现节点210之间传输数据的可靠性;接入认证机制用于根据实际的业
务场景对加入区块链网络200的业务主体的身份进行认证,并在认证通过时赋予业务主体
接入区块链网络200的权限;业务主体身份管理用于存储允许接入区块链网络200的业务主
体的身份、以及权限(例如能够发起的交易的类型)。
法的可插拔。
关信息);对于获得接入区块链网络200的授权的业务主体而言,均拥有认证中心颁发的数
字证书,业务主体利用自己的数字证书中的私钥对提交的交易进行签名,从而声明自己的
合法身份。
当交易包括查询操作时查询状态数据库中的键值对并向业务主体的客户端节点返回查询
结果。支持对状态数据库的多种维度的查询操作,包括:根据区块向量号(例如交易的哈希
值)查询区块;根据区块哈希值查询区块;根据交易向量号查询区块;根据交易向量号查询
交易;根据业务主体的账号(向量号)查询业务主体的账号数据;根据通道名称查询通道中
的区块链。
的网络攻击信息处理方法一个可选的流程示意图,其中,由于WEB中间件的多样性、应用服
务的多样性,web攻击是目前最流行的攻击之一;而蜜罐监听端口十分有限,通常只有80、
8080、8081等常见的端口,因此可以使用攻击流量发起web攻击,同时对于异常端口(例如修
改了端口名称的端口),攻击流量还可以发起异常端口随机攻击。具体来说,包括以下步骤:
进程利用网络协议交换数据的机制,是应用程序通过网络协议进行通信的接口,也是应用
程序与网络协议根进行交互的接口。
置接入服务器,由接入服务器将不同攻击流量导入指定蜜罐终端中,便于蜜罐系统能够捕
获并分析攻击流量中的恶意代码。
蜜罐系统捕获到的攻击流量进行存储、统计和展示,用户可以直观地看到蜜罐系统受到攻
击的状况,同时可以根据数据进一步对攻击进行溯源。
Machine ,SVM)分类器对目标进行模型建立,以便智能识别thinkphp与struts2的攻击。
成不同的训练样本。
及时地调整攻击信息分类模型的参数,以适应蜜罐系统不同的使用环境。
处理交互,可以使一台服务器处理各种类型的攻击流量的交互;节约大量蜜罐ip和服务器
资源、并且大大提高蜜罐交互命中率,实现高准度的交互,提升蜜罐系统捕获未知0day漏洞
的能力,提升用户的使用体验。具体来说,参考图12和图13,图12为本申请实施例中网络攻
击信息处理方法对web攻击处理示意图;图13为本申请实施例中网络攻击信息处理方法对
异常端口随机攻击处理示意图;其中,参考图12,对于web攻击的使用场景,由于蜜罐监听端
口十分有限,通常只有80、8080、8081等常见的端口,通过本申请的方案,可以提前智能判断
各种攻击流量的类型,并交给对应类型的蜜罐实现交互,提升处理效率,相比于传统技术中
的网络攻击信息处理方法能够实现蜜罐系统通过80、8080、8081等经过配置的端口。
信息分类模型判断攻击流量协议所属的服务类型,转发给相应服务的蜜罐处理,最终实现
执行交互,提升处理效率,同时不同类型的蜜罐系统以及攻击信息分类模型装置可以部署
于一台服务器中,有效减少了硬件成本。
对所述攻击流量的类别进行识别;基于所述攻击信息分类模型的识别结果,触发端口转发
进程,对所述攻击流量进行转发,由此能够实现通过攻击信息分类模型,对攻击流量的类别
进行识别,对攻击流量进行转发,通过不同类型的蜜罐系统获取对应的攻击流量,提升蜜罐
系统的网络攻击信息处理效率,减少所部署的服务器数量,节省用户的成本,实现蜜罐系统
的大规模部署。
之内。