一种网络入侵检查与处置方法及系统与流程

阅读：评论：0

1.本发明属于网络安全技术领域，具体涉及一种网络入侵检查与处置方法及系统。

背景技术：

2.物联网(iot，internet of things)网络即为万物相连的互联网，属于在互联网基础上进行延伸和扩展的网络，是将各种信息传感设备与网络结合起来而形成的一个巨大网络，能够实现任何时间、任何地点、人、机、物质检的互联互通。
3.但是现有iot网络主要存在以下问题：防御技术比较薄弱，iot设备数量庞大，安全问题较多，容易被利用和攻击。

技术实现要素：

4.针对现有技术中的缺陷，本发明提供一种网络入侵检查与处置方法及系统，能够加强网络的防御能力，提高网络的安全性。
5.第一方面，一种网络入侵检查与处置方法，包括：
6.检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备；
7.检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备；
8.入侵设备当接收到处置规则时，根据处置规则进行处置。
9.进一步地，在检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：
10.检查与诱捕系统收集真实设备的操作系统信息、开放端口以及底层服务信息，用于进行虚拟设备的底层仿真；
11.检查与诱捕系统收集真实设备中应用层服务信息，用于进行虚拟设备的应用层仿真。
12.进一步地，在检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：
13.检查与诱捕系统获取网络中总的ip地址以及已占用的ip地址；
14.检查与诱捕系统计算总的ip地址和已占用的ip地址之差，以得到网络中空闲的ip地址；
15.检查与诱捕系统采用trunk技术调整虚拟设备的数量，使得虚拟设备充满全部或部分空闲的ip地址。
16.进一步地，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
17.虚拟设备当接收到入侵设备的连接请求时，根据tcp/ip协议生成响应信息，返回给入侵设备；
18.检查与诱捕系统生成告警信息；
19.虚拟设备当接收到白名单内的设备的连接请求时，不响应。
20.进一步地，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
21.检查与诱捕系统获取入侵设备的ip地址和协议类型，将ip地址和协议类型发送给溯源和处置平台；
22.溯源和处置平台根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息；
23.溯源和处置平台根据ip地址、进程信息和及pe文件信息生成处置规则，并将处置规则返回给入侵设备。
24.进一步地，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
25.溯源和处置平台生成表征入侵设备认证失败的认证失败信息，反馈给外部接入交换机，以使得外部接入交换机关闭入侵设备的接入端口。
26.进一步地，在溯源和处置平台根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息之后，还包括：
27.溯源和处置平台通过pe文件和攻击行为生成braise脚本；
28.溯源和处置平台将braise脚本分发给全网，调查失陷的设备。
29.进一步地，入侵设备当接收到处置规则时，根据处置规则进行处置具体包括：
30.入侵设备根据处置规则到对应的进程和pe文件；
31.入侵设备关闭进程；
32.入侵设备设置与pe文件相符的文件的权限为不可读不可写不可运行不可以被访问。
33.第二方面，一种网络入侵检查与处置系统，包括：
34.检查与诱捕系统用于在网络中根据真实设备的设备信息生成虚拟设备，当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备；
35.入侵设备用于当接收到处置规则时，根据处置规则进行处置。
36.进一步地，还包括溯源和处置平台；
37.检查与诱捕系统具体用于获取入侵设备的ip地址和协议类型，将ip地址和协议类型发送给溯源和处置平台；
38.溯源和处置平台用于根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息，根据ip地址、进程信息和及pe文件信息生成处置规则，将处置规则发送给入侵设备。
39.由上述技术方案可知，本发明提供的网络入侵检查与处置方法及系统，能够在实际企业内部网络中，自主学习真实设备，实时感知网络中真实设备，虚拟设备能够模拟真实设备的网卡及操作系统、端口和服务，更加真实，提高了虚拟设备与真实设备一致性。在不改变网络架构的情况下，部署一台真实设备即可，无需在各个网段安装虚拟机。该方法支持白名单机制，避免误告警。该方法当发现网络攻击性，能够进行有效阻断和隔离，加强网络的防御能力，提高网络的安全性。
附图说明
40.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。
41.图1为实施例提供的网络入侵检查与处置方法的流程图。
42.图2为实施例提供的虚拟设备生成方法的流程图。
43.图3为实施例提供的处置规则生成方法的流程图。
44.图4为实施例提供的网络入侵检查与处置系统的模块框图。
具体实施方式
45.下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
46.应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
47.还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。
48.如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
[0049]
实施例：
[0050]
一种网络入侵检查与处置方法，参见图1，包括：
[0051]
s1：检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备；
[0052]
s2：检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备；
[0053]
s3：入侵设备当接收到处置规则时，根据处置规则进行处置。
[0054]
在本实施例中，该网络入侵检查与处置方法中，检查与诱捕系统可以抓取并分析网络的arp或dhcp协议数据包，从而识别出网络中的真实设备，然后可以根据网络中真实设备的设备信息、mac地址厂家、开放端口及服务，生成虚拟设备。检查与诱捕系统也可以把网络中的真实网段复制到虚拟网段中，将新网段的网关指向虚拟设备的ip地址即可。虚拟网段为原来不存在的网段，虚拟网段可以在路由器上进行配置。生成的虚拟设备除了ip地址、mac地址与真实设备不一样，其mac地址厂家操作系统、监听端口和监听服务都与真实设备一致。
[0055]
在本实施例中，当入侵设备错误地把虚拟设备当作真实设备时，就会向虚拟设备发起连接，此时检查与诱捕系统定义连接虚拟设备的设备、且不在白名单内的设备为入侵
设备。例如假设虚拟设备为摄像头，在攻击方看来，摄像头的mac地址厂家与真实设备是一样的，且都是linux的操作系统，并开放22、80、554端口，此时攻击方就会错误地连接摄像头。检查与诱捕系统通过白名单管理正常设备，即白名单中的设备为正常设备，当连接虚拟设备的设备不在白名单内，认为该设备不是正常设备，可能是错误地把虚拟设备当作真实设备的入侵设备。白名单内的设备还可以由管理员统一进行维护，例如管理员手动维护白名单中正常设备的ip地址。最后该方法在查到入侵设备后，对入侵设备进行处置。
[0056]
该方法能够在实际企业内部网络中，自主学习真实设备，实时感知网络中真实设备，虚拟设备能够模拟真实设备的网卡及操作系统、端口和服务，更加真实，提高了虚拟设备与真实设备一致性。在不改变网络架构的情况下，部署一台真实设备即可，无需在各个网段安装虚拟机。该方法支持白名单机制，避免误告警。该方法当发现网络攻击性，能够进行有效阻断和隔离，加强网络的防御能力，提高网络的安全性。
[0057]
进一步地，在一些实施例中，在检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：
[0058]
检查与诱捕系统收集真实设备的操作系统信息、开放端口以及底层服务信息，用于进行虚拟设备的底层仿真；
[0059]
检查与诱捕系统收集真实设备中应用层服务信息，用于进行虚拟设备的应用层仿真。
[0060]
在本实施例中，检查与诱捕系统可以通过nmap扫描收集真实设备的操作系统信息、开放端口及底层服务信息，用于进行虚拟设备的底层系统仿真。检查与诱捕系统还通过爬虫技术收集真实设备的应用层服务信息，用于进行虚拟设备的应用服务仿真，比如采集真实设备上打印机提供的web页面，在虚拟设备进行web页面仿真，这样能提高虚拟设备和真实设备的相似度，达到更好的网络欺骗效果。
[0061]
进一步地，在一些实施例中，参见图2，在检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：
[0062]
s11：检查与诱捕系统获取网络中总的ip地址以及已占用的ip地址；
[0063]
s12：检查与诱捕系统计算总的ip地址和已占用的ip地址之差，以得到网络中空闲的ip地址；
[0064]
s13：检查与诱捕系统采用trunk技术调整虚拟设备的数量，使得虚拟设备充满全部或部分空闲的ip地址。
[0065]
在本实施例中，该方法还具有实时动态变换的功能，即检查与诱捕系统可以跟随网络的变化动态调整虚拟设备的数量和类型，自动充满整个或部分网络空间。检查与诱捕系统可以通过配置在网卡上的ip地址和掩码得出总体的ip地址，通过真实设备的ip地址得出已经被占用的ip地址，二者相减可以得出空闲的ip地址，空闲的ip地址给虚拟设备使用。检查与诱捕系统可以采用trunk技术(也可以与所有的vlan打通，每个网段需要配置一个ip地址)，让虚拟设备充满全部或部分空闲的ip地址，使得虚拟设备充满整个或部分网络空间。检查与诱捕系统当检测到网络中的真实设备发生变化时，虚拟设备的数量也可以随之发生变化，该方法能够使虚拟设备覆盖整个网络空间，使得检测手段更加灵敏、及时，为管理员争取更多的处置时间。在网络部署方面，采用了trunk技术，降低了网络部署的成本和复杂度。
[0066]
在本实施例中，检查与诱捕系统如果发现真实设备上线，且与虚拟设备的ip地址一致时，可以立即让虚拟设备释放出ip地址，避免ip地址冲突。如果发现真实设备上线，可以立即获取真实设备的设备信息，并生成对应的虚拟设备。如果真实的网段地址不够用，也可以在虚拟网段继续填充虚拟设备，虚拟网段全都是虚拟设备。
[0067]
进一步地，在一些实施例中，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
[0068]
虚拟设备当接收到入侵设备的连接请求时，根据tcp/ip协议生成响应信息，返回给入侵设备；
[0069]
检查与诱捕系统生成告警信息；
[0070]
虚拟设备当接收到白名单内的设备的连接请求时，不响应。
[0071]
在本实施例中，虚拟设备当检测到入侵设备的连接行为(例如接收到连接请求)时，对连接虚拟设备ip地址的行为(icmp ping，访问tcp/udp端口及服务)进行响应，例如采用tcp/ip协议栈进行正常响应，这样就可以让攻击方错误的把虚拟设备当做真实设备。例如假设虚拟设备是摄像头，当被入侵设备连接时，摄像头可以和真实设备一样，回传页面信息。该方法在攻击响应的同时，还生成告警信息发送给管理员，通知管理员进行及时处置，告警方式包括管理界面告警、短信告警、即时通讯(比如，企业，钉钉等)告警、告警等。虚拟设备对正常设备的正常网络扫描行为(例如资产扫描或者漏洞扫描行为)不做任何响应和告警，避免把虚拟设备当做真实设备录入资产管理系统，避免误告警。该方法当内网攻击行为开始横向移动时，可以模拟真实设备进行响应，让入侵设备误认为连接的是真实设备，并及时发出告警，为管理员争取更多的处置时间。
[0072]
进一步地，在一些实施例中，参见图3，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
[0073]
s21：检查与诱捕系统获取入侵设备的ip地址和协议类型，将ip地址和协议类型发送给溯源和处置平台；
[0074]
s22：溯源和处置平台根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息；
[0075]
s23：溯源和处置平台根据ip地址、进程信息和及pe文件信息生成处置规则，并将处置规则返回给入侵设备。
[0076]
在本实施例中，溯源和处置平台还具有信息收集功能，例如可以通过注册操作系统回调和pe文件扫描收集入侵设备的终端信息，终端信息包括：tcp/ip stack《传输协议、进程pid、本地ip、本地端口、远程ip、远程端口》，ntkrnlmp.exe prcocess callback《进程用户名、pid、md5、全路径、启动命令》，findfirstfile/findnext/findclose：文件名、md5等等。
[0077]
在本实施例中，溯源和处置平台还具有目标溯源的功能，检查与诱捕系统可以发现入侵设备的ip地址以及协议类型，溯源和处置平台可以根据入侵设备的ip地址和协议类型快速定位到入侵设备的设备ip、进程信息和pe文件信息，根据ip信息，进程信息和pe文件md5生成处置规则。
[0078]
进一步地，在一些实施例中，在检查与诱捕系统当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备之后，还包括：
[0079]
溯源和处置平台生成表征入侵设备认证失败的认证失败信息，反馈给外部接入交换机，以使得外部接入交换机关闭入侵设备的接入端口。
[0080]
在本实施例中，该方法还具有网络隔离功能。溯源和处置平台可以采用802.1x mab准入认证技术，与外部radius认证系统联动。当发现入侵设备在攻击虚拟设备时，通过api接口和radius认证系统通知接入交换机，反馈入侵设备认证失败的信息，这样接入交换机就会关闭入侵设备的接入端口，从而实现对入侵设备的东西向网络隔离，比南北向的网络隔离更彻底。
[0081]
进一步地，在一些实施例中，在溯源和处置平台根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息之后，还包括：
[0082]
溯源和处置平台通过pe文件和攻击行为生成braise脚本；
[0083]
溯源和处置平台将braise脚本分发给全网，调查失陷的设备。
[0084]
在本实施例中，该方法还具有全网调查功能，即溯源和处置平台可以通过pe文件的信息(路径、md5和进程名称)和攻击行为(网络连接协议和目标地址)生成braise脚本，并分发到全网，调查可能失陷的终端。例如假设该方法发现终端a通过http的443端口连接虚拟设备，此时可以去溯源和处置平台查过终端a连接虚拟设备的进程以及进程对应的文件，再核对采取的协议和连接端口，这样就能够知道这个pe文件有问题。接着还可以查一下进程的父子关系，发现终端a打开了文档，文档里内嵌了宏病毒，启动了cmd.exe，攻击了虚拟设备。这是就需要进行全网调查，下发braise脚本查其他终端有没有类似的行为，有没有类似的文件，或者是类似的动作。如果有，说明其他设备是失陷的设备。
[0085]
进一步地，在一些实施例中，入侵设备当接收到处置规则时，根据处置规则进行处置具体包括：
[0086]
入侵设备根据处置规则到对应的进程和pe文件；
[0087]
入侵设备关闭进程；
[0088]
入侵设备设置与pe文件相符的文件的权限为不可读不可写不可运行不可以被访问。
[0089]
在本实施例中，该方法还具有威胁处置功能。即入侵设备当收到溯源和处置平台下发的处置规则后，可以到对应的进程和pe文件进行处置。处置动作包括：获取本地的网络连接信息，发现尝试连接虚拟设备的行为，杀死进程，阻止该设备的一切网络访问行为，对符合pe文件md5信息的文件进行文件隔离操作，将权限设置为不可读不可写不可运行不可以被访问。
[0090]
例如当终端b收到处置规则时，解析出处置规则中的检测规则(pe文件的信息(路径、md5和进程名称)和攻击行为(网络连接协议和目标地址))，终端b将下发的行为(网络连接协议和目标地址)依次与该攻击行为进行比对，当检测到与攻击行为一致的行为时，获取这个行为的进程信息和进程对应的pe文件路径，通过命令“taskkill/f/t/im*yangben.exe”结束进程，再通过windows的接口setnamedsecurityinfo将对应文件所属的权限全部清除，达到不可读不可写不可运行不可以被访问状态。
[0091]
一种网络入侵检查与处置系统，参见图4，包括：
[0092]
检查与诱捕系统：用于在网络中根据真实设备的设备信息生成虚拟设备；当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备；
[0093]
入侵设备：用于当接收到处置规则时，根据处置规则进行处置。
[0094]
进一步地，在一些实施例中，
[0095]
还包括溯源和处置平台；
[0096]
检查与诱捕系统具体用于获取入侵设备的ip地址和协议类型，将ip地址和协议类型发送给溯源和处置平台；
[0097]
溯源和处置平台用于根据ip地址和协议类型定位入侵设备的ip地址、进程信息和及pe文件信息，根据ip地址、进程信息和及pe文件信息生成处置规则，将处置规则发送给入侵设备。
[0098]
本发明实施例所提供的系统，为简要描述，实施例部分未提及之处，可参考前述实施例中相应内容。
[0099]
最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

技术特征：

1.一种网络入侵检查与处置方法，其特征在于，包括：检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备；检查与诱捕系统当检测到非白名单内的设备连接所述虚拟设备时，定义所述非白名单内的设备为入侵设备；入侵设备当接收到处置规则时，根据所述处置规则进行处置。2.根据权利要求1所述网络入侵检查与处置方法，其特征在于，在所述检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：检查与诱捕系统收集所述真实设备的操作系统信息、开放端口以及底层服务信息，用于进行所述虚拟设备的底层仿真；检查与诱捕系统收集所述真实设备中应用层服务信息，用于进行所述虚拟设备的应用层仿真。3.根据权利要求1所述网络入侵检查与处置方法，其特征在于，在所述检查与诱捕系统在网络中根据真实设备的设备信息生成虚拟设备之后，还包括：检查与诱捕系统获取所述网络中总的ip地址以及已占用的ip地址；检查与诱捕系统计算所述总的ip地址和已占用的ip地址之差，以得到所述网络中空闲的ip地址；检查与诱捕系统采用trunk技术调整所述虚拟设备的数量，使得所述虚拟设备充满全部或部分所述空闲的ip地址。4.根据权利要求1所述网络入侵检查与处置方法，其特征在于，在所述检查与诱捕系统当检测到非白名单内的设备连接所述虚拟设备时，定义所述非白名单内的设备为入侵设备之后，还包括：虚拟设备当接收到所述入侵设备的连接请求时，根据tcp/ip协议生成响应信息，返回给所述入侵设备；检查与诱捕系统生成告警信息；虚拟设备当接收到白名单内的设备的连接请求时，不响应。5.根据权利要求1所述网络入侵检查与处置方法，其特征在于，在所述检查与诱捕系统当检测到非白名单内的设备连接所述虚拟设备时，定义所述非白名单内的设备为入侵设备之后，还包括：检查与诱捕系统获取所述入侵设备的ip地址和协议类型，将所述ip地址和协议类型发送给溯源和处置平台；溯源和处置平台根据所述ip地址和所述协议类型定位所述入侵设备的ip地址、进程信息和及pe文件信息；溯源和处置平台根据所述ip地址、进程信息和及pe文件信息生成所述处置规则，并将所述处置规则返回给所述入侵设备。6.根据权利要求5所述网络入侵检查与处置方法，其特征在于，在所述检查与诱捕系统当检测到非白名单内的设备连接所述虚拟设备时，定义所述非白名单内的设备为入侵设备之后，还包括：溯源和处置平台生成表征所述入侵设备认证失败的认证失败信息，反馈给外部接入交换机，以使得所述外部接入交换机关闭所述入侵设备的接入端口。
7.根据权利要求5所述网络入侵检查与处置方法，其特征在于，在所述溯源和处置平台根据所述ip地址和所述协议类型定位所述入侵设备的ip地址、进程信息和及pe文件信息之后，还包括：溯源和处置平台通过所述pe文件和攻击行为生成braise脚本；溯源和处置平台将所述braise脚本分发给全网，调查失陷的设备。8.根据权利要求5所述网络入侵检查与处置方法，其特征在于，所述入侵设备当接收到处置规则时，根据所述处置规则进行处置具体包括：入侵设备根据所述处置规则到对应的进程和pe文件；入侵设备关闭所述进程；入侵设备设置与所述pe文件相符的文件的权限为不可读不可写不可运行不可以被访问。9.一种网络入侵检查与处置系统，其特征在于，包括：检查与诱捕系统用于在网络中根据真实设备的设备信息生成虚拟设备，当检测到非白名单内的设备连接所述虚拟设备时，定义所述非白名单内的设备为入侵设备；入侵设备用于当接收到处置规则时，根据所述处置规则进行处置。10.根据权利要求9所述网络入侵检查与处置系统，其特征在于，还包括溯源和处置平台；所述检查与诱捕系统具体用于获取所述入侵设备的ip地址和协议类型，将所述ip地址和协议类型发送给溯源和处置平台；所述溯源和处置平台用于根据所述ip地址和所述协议类型定位所述入侵设备的ip地址、进程信息和及pe文件信息，根据所述ip地址、进程信息和及pe文件信息生成处置规则，将所述处置规则发送给所述入侵设备。

技术总结

本发明提供了一种网络入侵检查与处置方法及系统，方法包括在网络中根据真实设备的设备信息生成虚拟设备；当检测到非白名单内的设备连接虚拟设备时，定义非白名单内的设备为入侵设备；对入侵设备进行处置。该方法能够在实际企业内部网络中，自主学习真实设备，实时感知网络中真实设备，虚拟设备能够模拟真实设备的网卡及操作系统、端口和服务，更加真实，提高了虚拟设备与真实设备一致性。在不改变网络架构的情况下，部署一台真实设备即可，无需在各个网段安装虚拟机。该方法支持白名单机制，避免误告警。该方法当发现网络攻击性，能够进行有效阻断和隔离，加强网络的防御能力，提高网络的安全性。络的安全性。络的安全性。