本發(fā)明實施例涉及網絡安全技術領域，公開了一種基于行為的攻擊檢測方法、裝置、計算設備及存儲介質，該方法包括：在網絡中散布誘餌以誘導攻擊者對虛擬沙箱進行攻擊；在真實業(yè)務服務器上配置網關代理和偽裝代理，將攻擊者對真實業(yè)務服務器的攻擊行為轉發(fā)至所述虛擬沙箱；通過所述虛擬沙箱記錄攻擊者的攻擊行為。通過上述方式，本發(fā)明實施例通過偽裝代理技術與網關代理技術，轉發(fā)攻擊者流量，誘導攻擊者對虛假的業(yè)務系統(tǒng)進行攻擊，在真實業(yè)務上融入虛擬沙箱的服務，使攻擊者無法有效地對真實業(yè)務和虛擬沙箱中的服務進行區(qū)分，能夠感知針對真實業(yè)務的攻擊，通過在真實的業(yè)務機器上構造虛假的業(yè)務資產信息，增大被捕捉到的概率，減少誤報和漏報。

技術領域

本發(fā)明實施例涉及網絡安全技術領域，具體涉及一種基于行為的攻擊檢測方法、裝置、計算設備及存儲介質。

背景技術

高級持續(xù)威脅(Advanced Persistent Threat，APT)攻擊通過社交工程獲取大量、敏感的企業(yè)信息，用戶數據，并通過0day漏洞對服務器資產進行攻擊，竊取核心機密數據，給企業(yè)和企業(yè)客戶造成巨大的破壞和社會影響，從中獲得最大的利益。

目前對于APT攻擊的檢測方案，主要以傳統(tǒng)的安全軟件多以防范病毒和木馬為主，無法有效防范漏洞攻擊。只有當漏洞被黑客大規(guī)模攻擊時，安全廠商才有機會監(jiān)測到漏洞。而傳統(tǒng)的防火墻、入侵檢測、安全網關系統(tǒng)等檢測技術也主要是網絡邊界和主機邊界進行檢測，它們均缺乏對未知攻擊和高級威脅的檢測能力和對流量的深度分析能力。目前，業(yè)界在APT攻擊檢測方面已可實現了很多技術方案，包括應用shellcode特征和惡意行為特征來判定是否存在攻擊和應用基于蜜罐的網絡誘騙系統(tǒng)模擬真實的網絡資源以吸引攻擊者對蜜罐進行攻擊和入侵。

在實現本發(fā)明實施例的過程中，發(fā)明人發(fā)現：基于特征的檢測方式存在誤報和漏報的可能，檢測結果可信度不高。而基于蜜罐的網絡誘騙系統(tǒng)與真實業(yè)務關聯度低，相對真實業(yè)務獨立，與真實業(yè)務資產為不同的地址，存在被黑客識破的可能，黑客攻擊到誘騙系統(tǒng)的可能性也較低。另外，如若攻擊者直接對真實業(yè)務服務器發(fā)起攻擊，網絡誘騙系統(tǒng)無法捕捉到攻擊，也無法通過黑客入侵誘騙系統(tǒng)的日志關聯到被攻擊的具體真實業(yè)務系統(tǒng)，無法對真實業(yè)務遭受的攻擊進行感知。

發(fā)明內容

鑒于上述問題，本發(fā)明實施例提供了一種基于行為的攻擊檢測方法、裝置、計算設備及存儲介質，克服了上述問題或者至少部分地解決了上述問題。

根據本發(fā)明實施例的一個方面，提供了一種基于行為的攻擊檢測方法，所述方法包括：在網絡中散布誘餌以誘導攻擊者對虛擬沙箱進行攻擊；在真實業(yè)務服務器上配置網關代理和偽裝代理，將攻擊者對真實業(yè)務服務器的攻擊行為轉發(fā)至所述虛擬沙箱；通過所述虛擬沙箱記錄攻擊者的攻擊行為。

在一種可選的方式中，所述在網絡中散布誘餌以誘導攻擊者對虛擬沙箱進行攻擊，包括：在攻擊者經常使用的代碼搜索網站中上傳欺騙信息；給重點保護的郵箱中發(fā)送郵箱誘餌；在個人電腦中散布欺騙誘餌；在真實業(yè)務服務器上散布欺騙誘餌。

在一種可選的方式中，所述在真實業(yè)務服務器上配置網關代理和偽裝代理，將攻擊者對真實業(yè)務服務器的攻擊行為轉發(fā)至所述虛擬沙箱，包括：在真實業(yè)務服務器上配置網關代理，將攻擊者探測特定敏感路徑的請求通過反向代理，轉發(fā)至所述虛擬沙箱；在真實業(yè)務服務器上配置偽裝代理，通過模擬高危漏洞的虛擬端口，將訪問到所述虛假端口的流量重定向到所述虛擬沙箱。

在一種可選的方式中，所述在真實業(yè)務服務器上配置網關代理，將攻擊者探測特定敏感路徑的請求通過反向代理，轉發(fā)至所述虛擬沙箱，包括：建立敏感目錄特征庫，其中，所述敏感目錄特征庫中記錄經常被攻擊者探測的敏感路徑；在攻擊者訪問所述敏感目錄特征庫時，將攻擊者流量轉發(fā)至所述虛擬沙箱，使攻擊者攻擊所述虛擬沙箱。