相似攻击的防御方法及装置、系统、存储介质、电子装置与流程

本发明涉及网络安全领域，具体而言，涉及一种相似攻击的防御方法及装置、系统、存储介质、电子装置。

背景技术：

网络攻击是黑客或者病毒木马等对电子设备发起的攻击，通过窃取文件等给用户带来了巨大损失。

相关技术中，在计算机安全领域内，目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件，往往缺少对该攻击事件的整体认识，而对其防御也是各自为战，并没有形成一个很好的防御体系。比如apt(高级持续性威胁)攻击或者“震网”病毒，这种攻击是有目的性和针对性的，只对特定的行业或者某些目标系统才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时，能够提前获得威胁情报，并在大范围内进行预警和防御。导致网络攻击的防御滞后。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

技术实现要素：

本发明实施例提供了一种相似攻击的防御方法及装置、系统、存储介质、电子装置。

根据本发明的一个实施例，提供了一种相似攻击的防御方法，包括：检测在预定周期内发生的同一类型的多个目标攻击事件；确定所述多个目标攻击事件的攻击范围；向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

可选的，检测在预定周期内发生的同一类型的多个目标攻击事件包括：检测在预定周期内发生的多个攻击事件；通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计每个攻击类型中攻击事件的数量；将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。

可选的，通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型包括：获取攻击事件的网络行为特征；根据所述网络行为特征识别攻击事件连接的控制伺服器；将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。

可选的，向所述攻击范围内的攻击目标发送针对所述攻击事件的预警信息包括：向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。

可选的，确定所述多个目标攻击事件的攻击范围包括以下至少之一：确定所述多个目标攻击事件的攻击地理区域；确定所述多个目标攻击事件的攻击企业；确定所述多个目标攻击事件的攻击网络；确定所述多个目标攻击事件的攻击服务器；确定所述多个目标攻击事件的攻击设备类型；确定所述多个目标攻击事件的攻击软件类型。

根据本发明的另一个实施例，提供了一种相似攻击的防御装置，包括：检测模块，用于检测在预定周期内发生的同一类型的多个目标攻击事件；确定模块，用于确定所述多个目标攻击事件的攻击范围；发送模块，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

可选的，所述检测模块包括：检测单元，用于检测在预定周期内发生的多个攻击事件；识别单元，用于通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计单元，用于统计每个攻击类型中攻击事件的数量；确定单元，用于将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。

可选的，所述识别单元包括：获取子单元，用于获取攻击事件的网络行为特征；识别子单元，用于根据所述网络行为特征识别攻击事件连接的控制伺服器；确定子单元，用于将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。

可选的，所述发送模块包括：发送单元，用于向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。

可选的，所述确定模块包括以下至少之一：第一确定单元，用于确定所述多个目标攻击事件的攻击地理区域；第二确定单元，用于确定所述多个目标攻击事件的攻击企业；第三确定单元，用于确定所述多个目标攻击事件的攻击网络；第四确定单元，用于确定所述多个目标攻击事件的攻击服务器；第五确定单元，用于确定所述多个目标攻击事件的攻击设备类型；第六确定单元，用于确定所述多个目标攻击事件的攻击软件类型。

根据本发明的又一个实施例，还提供了一种相似攻击的防御系统，包括：第一服务器，第二服务器，终端，其中，所述第一服务器包括：检测模块，用于检测在预定周期内发生的同一类型的多个目标攻击事件；确定模块，用于确定所述多个目标攻击事件的攻击范围；发送模块，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息；第二服务器，连接在所述第一服务器和所述终端之间，包括：采集模块，用于采集所述终端的攻击事件，并将所述攻击事件上传至所述第一服务器；转发模块，用于接收所述预警信息，并将所述预警信息转发给所述终端。

根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本发明，检测在预定周期内发生的同一类型的多个目标攻击事件，在确定所述多个目标攻击事件的攻击范围后，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息，通过发现具有目标针对性的攻击事件，进而对相关的攻击目标进行防御，向各个可能被攻击的目标下发防御预警信息，可以防止该类型攻击事件的进一步扩散和对未攻击的目标造成破坏，解决了相关技术中不能防御相似攻击事件的技术问题。实现了及时获取相关威胁情报，并对其他相似的攻击目标做针对性的防御。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的一种相似攻击的防御服务器的硬件结构框图；

图2是根据本发明实施例的一种相似攻击的防御方法的流程图；

图3是本发明实施例在特定地理区域内进行相似攻击的示意图；

图4是根据本发明实施例的相似攻击的防御装置的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例，图1是本发明实施例的一种相似攻击的防御服务器的硬件结构框图。如图1所示，服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)和用于存储数据的存储器104，可选地，上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述服务器的结构造成限定。例如，服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的一种相似攻击的防御方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种相似攻击的防御方法，图2是根据本发明实施例的一种相似攻击的防御方法的流程图，如图2所示，该流程包括如下步骤：

步骤s202，检测在预定周期内发生的同一类型的多个目标攻击事件；

利用网络或者硬件实体存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击，网络攻击可以分为主动攻击和被动攻击，其中，主动攻击会导致某些数据流的篡改和虚假数据流的产生，这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。被动攻击中攻击者不对数据信息做任何修改，但会截取或窃听设备的数据，其中，截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据，包括窃听、流量分析、破解弱加密的数据流等攻击方式。

本实施例的目标攻击事件可以发生在电脑，笔记本，打印机，摄像头，u盘、服务器等可以接入网络或者是可以被控制的电子设备。

步骤s204，确定所述多个目标攻击事件的攻击范围；

本实施例攻击范围是指发生目标攻击事件的范围，包括可能发生目标攻击事件的所有攻击对象，攻击范围内的攻击对象存在相同或者相似的特征，如，连接同一个服务器，安装了同一个软件，工作在同一个地理区域，使用同一个账号登录过，在同一个局域网内等。

步骤s206，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

通过上述步骤，检测在预定周期内发生的同一类型的多个目标攻击事件，在确定所述多个目标攻击事件的攻击范围后，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息，通过发现具有目标针对性的攻击事件，进而对相关的攻击目标进行防御，向各个可能被攻击的目标下发防御预警信息，可以防止该类型攻击事件的进一步扩散和对未攻击的目标造成破坏，解决了相关技术中不能防御相似攻击事件的技术问题。实现了及时获取相关威胁情报，并对其他相似的攻击目标做针对性的防御。

在本实施例的一个可选实施方式中，检测在预定周期内发生的同一类型的多个目标攻击事件包括：

s11，检测在预定周期内发生的多个攻击事件；

在终端设备发生崩溃，终端的安全软件监测到攻击事件，或者用户主动上传攻击事件，可以认为是发生了攻击事件；

s12，通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；

本实施例的行为特征包括网络行为特征，交互行为特征等，包括在攻击事件过程中连接的服务器，调用的接口，使用的网络，开启的软件等；

可选的，通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型包括：获取攻击事件的网络行为特征；根据所述网络行为特征识别攻击事件连接的控制伺服器(commandandcontrolserver，c&c服务器)；将连接同一控制伺服器的多个攻击事件确定为同一攻击类型；

s13，统计每个攻击类型中攻击事件的数量；

s14，将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。

在一个示例中，预定周期为一天，监测到发生了50次攻击事件，其中，第一类型的30次，第二类型的11次，其他类型都没有超过3次；以预设阈值为10次为例，第一类型和第二类型的攻击事件为目标攻击事件，在预定周期了发生了多次，可知该类型的攻击事件是有组织、有对象、有规划的攻击事件，将第一类型和第二类型的攻击事件集合分别确定为第一目标攻击事件和第二目标攻击事件，然后分别根据事件特征确定其攻击范围。

在本实施例的一个可选实施方式中，向所述攻击范围内的攻击目标发送针对所述攻击事件的预警信息包括：向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略，防御策略用于指示终端和用户如何防御该目标攻击事件。预警通知还可以包括目标攻击事件的描述信息，以及已经发生目标攻击事件的设备，如已经感染病毒的设备等。

在本实施例中，攻击范围为发生目标攻击事件的攻击对象的范围，包括终端集合，地理范围，网络范围等，可以通过大数据来分析攻击范围，确定所述多个目标攻击事件的攻击范围可以但不限于为：

示例一：确定所述多个目标攻击事件的攻击地理区域；通过分析发生目标攻击事件的设备的mac地址和ip地址，可确定攻击事件的发生位置，进而可确定多个目标攻击事件的攻击地理区域，如集中在北京市等，则可对北京市内的网络终端进行针对性的提醒；图3是本发明实施例在特定地理区域内进行相似攻击的示意图，其中，a市的多个攻击对象发生了相同类型的攻击事件，而b市没有发生击事件，则目标攻击事件的攻击地理区域为a市。

示例二：确定所述多个目标攻击事件的攻击企业；通过分析发生目标攻击事件的设备的账号信息，所属操作用户信息等，可以确定该目标攻击事件发生的单位和企业；如攻击事件集中在微软员工的电脑上，则可对整个微信公司进行针对性的提醒；

示例三：确定所述多个目标攻击事件的攻击网络；通过分析发生目标攻击事件的设备所连接的网络(如，网口地址，ip地址等)，如公司内网，指定网络运营商提供的网络服务等，如攻击事件集中在铁通网络的用户，则可提醒整个铁通网的用户设备；

示例四：确定所述多个目标攻击事件的攻击服务器；攻击事件有可能通过服务器来接入和控制终端，通过钓鱼网站来控制设备，如某个url连接的数据服务器，通过分析发生目标攻击事件的设备连接过的服务器或浏览器的历史访问记录，可以确定目标攻击事件的服务器，如某个非法网站的数据服务器；

示例五：确定所述多个目标攻击事件的攻击设备类型；通过分析发生目标攻击事件的设备属性信息来确定设备类型，如操作系统，生产商，如攻击事件集中在安卓操作系统的设备上，则可提醒整个安装了安卓操作系统的用户设备；

示例六：确定所述多个目标攻击事件的攻击软件类型。通过分析发生目标攻击事件的设备所安装的软件，或者与目标攻击事件相相关联的软件，攻击文件所属的软件等，可以确定攻击事件集中攻击的指定软件，则可提醒安装了该指定软件的用户设备或软件开发者。

可选地，上述步骤的执行主体可以为连接一个或多个客户端或服务器的云端服务器等，客户端可以是移动终端，pc等，但不限于此。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

在本实施例中还提供了一种相似攻击的防御装置，可以是终端或服务器，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图4是根据本发明实施例的相似攻击的防御装置的结构框图，可以应用在客户端或服务器中，如图4所示，该装置包括：检测模块40，确定模块42，发送模块44，其中，

检测模块40，用于检测在预定周期内发生的同一类型的多个目标攻击事件；

确定模块42，用于确定所述多个目标攻击事件的攻击范围；

发送模块44，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

可选的，所述检测模块包括：检测单元，用于检测在预定周期内发生的多个攻击事件；识别单元，用于通过攻击事件的行为特征识别所述多个攻击事件中每个攻击事件的攻击类型；统计单元，用于统计每个攻击类型中攻击事件的数量；确定单元，用于将攻击事件的数量大于预设阈值的任一攻击类型的攻击事件集合确定为所述多个目标攻击事件。

可选的，所述识别单元包括：获取子单元，用于获取攻击事件的网络行为特征；识别子单元，用于根据所述网络行为特征识别攻击事件连接的控制伺服器；确定子单元，用于将连接同一控制伺服器的多个攻击事件确定为同一攻击类型。

可选的，所述发送模块包括：发送单元，用于向所述攻击范围内的攻击目标发送针对所述攻击事件的预警通知，其中，所述预警通知携带所述目标攻击事件的防御策略。

可选的，所述确定模块包括以下至少之一：第一确定单元，用于确定所述多个目标攻击事件的攻击地理区域；第二确定单元，用于确定所述多个目标攻击事件的攻击企业；第三确定单元，用于确定所述多个目标攻击事件的攻击网络；第四确定单元，用于确定所述多个目标攻击事件的攻击服务器；第五确定单元，用于确定所述多个目标攻击事件的攻击设备类型；第六确定单元，用于确定所述多个目标攻击事件的攻击软件类型。

本实施例还提供了一种相似攻击的防御系统，包括：第一服务器，第二服务器，终端，其中，所述第一服务器包括：检测模块，用于检测在预定周期内发生的同一类型的多个目标攻击事件；确定模块，用于确定所述多个目标攻击事件的攻击范围；发送模块，用于向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息；第二服务器，连接在所述第一服务器和所述终端之间，包括：采集模块，用于采集所述终端的攻击事件，并将所述攻击事件上传至所述第一服务器；转发模块，用于接收所述预警信息，并将所述预警信息转发给所述终端。

可选的，第一服务器为云端服务器，连接第二服务器，第二服务器为连接用户终端的接入服务器。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本发明的实施例还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的计算机程序：

s1，检测在预定周期内发生的同一类型的多个目标攻击事件；

s2，确定所述多个目标攻击事件的攻击范围；

s3，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(read-onlymemory，简称为rom)、随机存取存储器(randomaccessmemory，简称为ram)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

s1，检测在预定周期内发生的同一类型的多个目标攻击事件；

s2，确定所述多个目标攻击事件的攻击范围；

s3，向所述攻击范围内的攻击目标发送针对所述目标攻击事件的预警信息。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。