本申請實施例提供了一種反制方法、系統、設備及存儲介質，用以解決現有的網絡安全反制方法僅通過對攻擊者的IP進行阻斷，無法滿足當前的防護要求的技術問題。方法包括：對所有的流量進行實時監測，生成流量數據包；識別所述流量數據包中的攻擊流量，并進行標記；基于所述攻擊流量收集攻擊者的情報，并構建反向木馬，對所述攻擊者進行反制。利用監測到的攻擊流量，對疑似攻擊流量進行數據清洗以及關鍵信息提取，并調用網絡威脅情報平臺以及本地數據庫中的IP信息。解決了當前網絡安全監測人員需要結合工作經驗以及安全設備的告警信息，對攻擊者的IP進行阻斷，不能滿足實際的實際網絡安全防護需求。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種反制方法、系統、設備及存儲介質。

背景技術

隨著互聯網的快速發展，網絡攻擊日益頻繁，規模和復雜性逐年上升，造成的影響越來越大。面對各類網絡攻擊事件，網絡安全監測人員需要結合工作經驗以及安全設備的告警信息，對攻擊者的IP進行阻斷，防止進一步的攻擊行為。

然而，各類攻擊手段不斷更新，攻擊者利用跳板機、移動熱點、代理池等方式進行網絡攻擊時，僅僅依靠對攻擊IP進行阻斷已經無法滿足當前的防護要求。因此，亟需開發一種安全有效的反制方法。

發明內容

本申請實施例提供了一種反制方法、系統、設備及存儲介質，用以解決現有的網絡安全反制方法僅通過對攻擊者的IP進行阻斷，無法滿足當前的防護要求的技術問題。

一方面，本申請實施例提供了一種反制方法，所述方法包括：

對所有的流量進行實時監測，生成流量數據包；

識別所述流量數據包中的攻擊流量，并進行標記；

基于所述攻擊流量收集攻擊者的情報，并構建反向木馬，對所述攻擊者進行反制。

在本申請的一種實現方式中，所述對所有的流量進行實時監測，生成流量數據包，具體為：

將實時監測的所有的流量進行數據清洗；

將清洗后的流量進行關鍵信息篩選，得到數據流量包。

在本申請的一種實現方式中，所述識別所述流量數據包中的攻擊流量，并進行標記，具體為：

對所述數據流量包中的請求數據和響應數據進行特征提取；

將提取到的特征中攜帶的載荷字符串與特征數據庫中記載的攻擊載荷字符串進行對比；

若提取到的特征中攜帶的載荷字符串，與特征數據庫中記載的攻擊載荷字符串相一致，則證明提取到的特征中含有攻擊流量，將該攻擊流量對應的數據流量包進行標記。

在本申請的一種實現方式中，所述對所述數據流量包中的請求數據和響應數據進行特征提取，具體為：

識別所述請求數據以及所述響應數據中的指紋信息；

基于所述指紋信息，確定所述請求數據以及所述響應數據對應的應用是否存在異常。

在本申請的一種實現方式中，在所述識別所述流量數據包中的攻擊流量，并進行標記之后，所述方法還包括：

對攻擊流量進行分析，生成分析結果；

基于所述分析結果構建攻擊者行為及攻擊設備畫像；

基于所述攻擊者行為及攻擊設備畫像，在威脅情報庫中匹配本次攻擊行為與情報庫中其他攻擊行為或事件的關聯程度，對攻擊者進行溯源分析。

在本申請的一種實現方式中，所述方法還包括：

對于無法溯源的攻擊流量，對其部署誘餌式客戶端；其中，所述誘餌式客戶端用于誘導攻擊者暴露IP地址以及設備指紋；