一种反制黑客攻击的方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种反制黑客攻击的方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.现有技术定位黑客的方法通常是在发现有异常流量之后，开始对网卡进行抓包，筛选对服务器3306端口的流量，分析流量来源来定位黑客。除此之外，还有一些常用的安全措施，如对生产服务器的端口进行严格管理，封闭mysql的端口3306，改用其他端口，或者禁止公网连接，使用密码强度比较强的密码。
3.然而，这些方法都只能定位到黑客的ip地址，如果黑客使用代理等技术改变了自己的ip地址等，就会造成溯源上的困难。并且只能在问题发生了后被动地去排查问题，无法主动发现，排查进度慢。只能被动防御，不能更多的获取黑客的攻击信息。


技术实现要素：

4.本技术实施例的目的在于提供一种反制黑客攻击的方法、装置、电子设备及计算机可读存储介质，可以主动防御黑客，获取黑客的具体信息，并防止黑客入侵。
5.第一方面，本技术实施例提供了一种反制黑客攻击的方法，所述方法包括：创建伪mysql程序；根据所述伪mysql程序接收黑客客户端的连接请求；根据所述连接请求与所述黑客客户端建立连接；读取所述黑客客户端的配置数据；根据所述配置数据断开与所述黑客客户端的连接。
6.在上述实现过程中，通过创建伪mysql程序设置陷阱引诱黑客客户端连接，黑客客户端扫描端口发现mysql程序的端口开放，就会与黑客客户端连接，在入侵的过程中可以获取到黑客客户端的具体信息，对黑客客户端进行溯源，防止黑客客户端再次攻击。
7.进一步地，所述创建伪mysql程序的步骤，包括：监听mysql程序的默认端口，得到默认端口信息；根据所述默认端口信息创建相应的伪mysql程序。
8.在上述实现过程中，根据mysql程序的默认端口创建伪mysql程序，可以使得黑客客户端扫描端口的时候能够扫描到，引诱黑客客户端主动连接，并且不会遭到黑客客户端的入侵和攻击，可以提高对于黑客客户端的识别速度。
9.进一步地，在所述根据所述连接请求与所述黑客客户端建立连接的步骤之后，还包括：发送数据读取请求，以使所述黑客客户端根据所述数据读取请求返回响应列表；接收所述响应列表。
10.在上述实现过程中，发送读取请求，可以快速地读取黑客客户端中的具体信息，防
止黑客直接入侵，接收黑客客户端的响应列表对其进行判断，实现对黑客客户端的识别。
11.进一步地，所述读取所述黑客客户端的配置数据的步骤，包括：获取所述黑客客户端返回的响应列表中的数据包；读取所述数据包中的配置数据。
12.在上述实现过程中，获取数据包并读取其中的配置数据，可以快速地识别出黑客客户端，节省连接黑客客户端的时间，避免遭受攻击。
13.进一步地，所述读取所述数据包中的配置数据的步骤，还包括：将所述数据包中的数据写入proc表；解析所述proc表，获得所述配置数据。
14.在上述实现过程中，将数据写入proc表中，可以节省计算时间和计算内存，并且保证读取到的配置数据的准确性。
15.进一步地，所述根据所述配置数据断开与所述黑客客户端的连接的步骤，还包括：获取所述配置数据中的id信息和ip地址；将所述id信息、所述ip地址分别与所述默认端口信息中的id信息和ip地址进行匹配，若任意一个匹配成功，断开与所述黑客客户端的连接。
16.在上述实现过程中，根据配置数据中的id信息和ip地址，可以追溯黑客客户端的源头，防止黑客客户端的再次入侵，提高安全性能，提高反制黑客客户端的效率。
17.进一步地，在所述根据所述配置数据断开与所述黑客客户端的连接的步骤之后，还包括：根据所述id信息和所述ip地址获取所述黑客客户端的历史连接记录；根据所述历史连接记录生成黑客行为日志。
18.在上述实现过程中，生成黑客行为日志，可以对黑客客户端的行为进行溯源，防止黑客客户端的再次攻击。
19.第二方面，本技术实施例还提供了一种反制黑客攻击的装置，所述装置包括：创建模块，用于创建伪mysql程序；接收模块，用于根据所述伪mysql程序接收黑客客户端的连接请求；连接模块，用于根据所述连接请求与所述黑客客户端建立连接；读取模块，用于读取所述黑客客户端的配置数据；断开连接模块，用于根据所述配置数据断开与所述黑客客户端的连接。
20.在上述实现过程中，通过创建伪mysql程序使得黑客客户端可以主动连接，避免黑客客户端入侵，并且可以获取到黑客客户端的具体信息，对黑客客户端进行溯源，防止黑客客户端再次攻击。
21.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
22.第四方面，本技术实施例提供的一种计算机可读存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
23.第五方面，本技术实施例提供的一种计算机程序产品，所述计算机程序产品在计
算机上运行时，使得计算机执行如第一方面任一项所述的方法。
24.本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。
25.并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的反制黑客攻击的方法的流程示意图；图2为本技术实施例提供的反制黑客攻击的装置的结构组成示意图；图3为本技术实施例提供的电子设备的结构组成示意图。
具体实施方式
28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
29.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
30.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
31.实施例一图1是本技术实施例提供的反制黑客攻击的方法的流程示意图，如图1所示，该方法包括：s1，创建伪mysql程序；s2，根据伪mysql程序接收黑客客户端的连接请求；s3，根据连接请求与黑客客户端建立连接；s4，读取黑客客户端的配置数据；s5，根据配置数据断开与黑客客户端的连接。
32.在上述实现过程中，通过创建伪mysql程序使得黑客客户端可以主动连接，避免黑客客户端入侵，并且可以获取到黑客客户端的具体信息，对黑客客户端进行溯源，防止黑客客户端再次攻击。
33.本技术实施例采用蜜罐技术，并在蜜罐中提供一种伪造的mysql程序即伪mysql程序，当黑客客户端来建立连接的时候，接收黑客客户端的连接请求，与黑客客户端建立连接。蜜罐技术是网络安全中的一种入侵诱饵，目的是引诱黑客客户端前来攻击，并收集黑客客户端相关的证据和信息。mysql是一种关系型数据库管理系统。
34.进一步地，s1包括：监听mysql程序的默认端口，得到默认端口信息；
根据默认端口信息创建相应的伪mysql程序。
35.在上述实现过程中，根据默认端口信息创建伪mysql程序，可以使得黑客客户端主动连接，并且不会遭到黑客客户端的入侵和攻击，可以提高对于黑客客户端的识别速度。
36.然后当黑客客户端执行伪mysql程序中的sql语句的时候，利用伪mysql程序中的漏洞，让黑客客户端执行并读取黑客客户端本地的任意文件，返回给伪mysql程序，来获取更详细的黑客信息。在服务器上部署一个蜜罐，创建伪mysql程序即开启伪造的mysql服务，来主动引诱黑客客户端攻击，并套取黑客客户端的信息。
37.进一步地，在根据连接请求与黑客客户端建立连接的步骤之后，还包括：发送数据读取请求，以使黑客客户端根据数据读取请求返回响应列表（response tabular）；接收响应列表。
38.在上述实现过程中，发送读取请求，可以快速地读取黑客客户端中的具体信息，防止黑客直接入侵，接收黑客客户端的响应列表对其进行判断，实现对黑客客户端的识别。
39.进一步地，s4包括：获取黑客客户端返回的响应列表中的数据包；读取数据包中的配置数据。
40.在上述实现过程中，获取数据包并读取其中的配置数据，可以快速地识别出黑客客户端，节省连接黑客客户端的时间，避免遭受攻击。
41.可选地，配置数据包括用户名信息，加密远程登录管理服务器（secure shell，ssh）配置，ssh连接日志等。
42.本技术实施例中，由于是伪mysql程序，会把其他的sql语句都返回要求黑客客户端读取任意文件的响应，得到响应列表，然后黑客客户端按照服务端的指令执行读取并发送给服务端，这样就获取到了黑客的信息。
43.进一步地，读取数据包中的配置数据的步骤，还包括：将数据包中的数据写入proc表；解析proc表，获得配置数据。
44.在上述实现过程中，将数据写入proc表中，可以节省计算时间和计算内存，并且保证读取到的配置数据的准确性。
45.proc的全称为procedure，即存储过程，proc表为由proc sql生成的数据文件。
46.进一步地，s5包括：获取配置数据中的身份标识号（identity document，id）信息和网际协议（internet protocol，ip）地址；将id信息、ip地址分别与默认端口信息中的id信息和ip地址进行匹配，若任意一个匹配成功，断开与黑客客户端的连接。
47.示例性地，利用伪mysql程序的漏洞，读取黑客客户端的/etc/password文件的用户身份信息，读取/root/.ssh/config文件，获取黑客客户端常用的服务器的配置数据，对定位黑客客户端的身份有进一步的帮助。读取var/log/wtmp和/var/run/utmp获取ssh登录退出记录和登录时间。有助于追踪溯源黑客行为。
48.在上述实现过程中，根据配置数据中的id信息和ip地址，可以追溯黑客客户端的
源头，防止黑客客户端的再次入侵，提高安全性能，提高反制黑客客户端的效率。
49.进一步地，在根据配置数据断开与黑客客户端的连接的步骤之后，还包括：根据id信息和ip地址获取黑客客户端的历史连接记录；根据历史连接记录生成黑客行为日志。
50.在上述实现过程中，生成黑客行为日志，可以对黑客客户端的行为进行溯源，防止黑客客户端的再次攻击。
51.示例性地，环境搭建如下：一台服务器，上面安装蜜罐，开启mysql任意文件读取蜜罐。
52.在另一台电脑上，通过mysql客户端如navicat（一种mysql数据库管理和开发工具）连接服务器的3306端口。蜜罐收到请求链接信息，发送response tabular的数据包，客户端会根据这个数据包，读取文件并将文件内容返回到服务端。其中文件内容包含id信息和ip地址。
53.当客户端发起这个读取本地文件并写到proc表中的请求时，服务器会返回一个response tabular的数据包：这个数据包包含了要读取的文件的文件名，包括但不限于/etc/password文件，/root/.ssh/config/var/log/wtmp /var/log/utmp文件。然后，客户端会根据这个数据包，读取文件并将文件内容返回到服务端。
54.实施例二为了执行上述实施例一对应的方法，以实现相应的功能和技术效果，下面提供一种反制黑客攻击的装置，如图2所示，该装置包括：创建模块1，用于创建伪mysql程序；接收模块2，用于根据伪mysql程序接收黑客客户端的连接请求；连接模块3，用于根据连接请求与黑客客户端建立连接；读取模块4，用于读取黑客客户端的配置数据；断开连接模块5，用于根据配置数据断开与黑客客户端的连接。
55.在上述实现过程中，通过创建伪mysql程序使得黑客客户端可以主动连接，避免黑客客户端入侵，并且可以获取到黑客客户端的具体信息，对黑客客户端进行溯源，防止黑客客户端再次攻击。
56.进一步地，创建模块1还用于：监听mysql程序的默认端口，得到默认端口信息；根据默认端口信息创建相应的伪mysql程序。
57.在上述实现过程中，根据默认端口信息创建伪mysql程序，可以使得黑客客户端主动连接，并且不会遭到黑客客户端的入侵和攻击，可以提高对于黑客客户端的识别速度。
58.进一步地，该装置还包括发送模块，用于：发送数据读取请求，以使黑客客户端根据数据读取请求返回响应列表。
59.进一步地，连接模块3还用于：接收响应列表。
60.在上述实现过程中，发送读取请求，可以快速地读取黑客客户端中的具体信息，防止黑客直接入侵，接收黑客客户端的响应列表对其进行判断，实现对黑客客户端的识别。
61.进一步地，连接模块3还用于：
获取黑客客户端返回的响应列表中的数据包；读取数据包中的配置数据。
62.在上述实现过程中，获取数据包并读取其中的配置数据，可以快速地识别出黑客客户端，节省连接黑客客户端的时间，避免遭受攻击。
63.进一步地，连接模块3还用于：将数据包中的数据写入proc表；解析proc表，获得配置数据。
64.在上述实现过程中，将数据写入proc表中，可以节省计算时间和计算内存，并且保证读取到的配置数据的准确性。
65.进一步地，断开连接模块5还用于：获取配置数据中的id信息和ip地址；将id信息、ip地址分别与默认端口信息中的id信息和ip地址进行匹配，若任意一个匹配成功，断开与黑客客户端的连接。
66.在上述实现过程中，根据配置数据中的id信息和ip地址，可以追溯黑客客户端的源头，防止黑客客户端的再次入侵，提高安全性能，提高反制黑客客户端的效率。
67.进一步地，该装置还包括生成模块，用于：根据id信息和ip地址获取黑客客户端的历史连接记录；根据历史连接记录生成黑客行为日志。
68.在上述实现过程中，生成黑客行为日志，可以对黑客客户端的行为进行溯源，防止黑客客户端的再次攻击。
69.上述的反制黑客攻击的装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例，这里不再详述。
70.本技术实施例的其余内容可参照上述实施例一的内容，在本实施例中，不再进行赘述。
71.实施例三本技术实施例提供一种电子设备，包括存储器及处理器，该存储器用于存储计算机程序，该处理器运行计算机程序以使电子设备执行实施例一的反制黑客攻击的方法。
72.可选地，上述电子设备可以是服务器。
73.请参见图3，图3为本技术实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中，通信总线34用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片，具有信号的处理能力。
74.上述的处理器31可以是通用处理器，包括中央处理器（central processing unit，cpu）、网络处理器（network processor，np）等；还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
75.存储器33可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，
prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。存储器33中存储有计算机可读取指令，当计算机可读取指令由所述处理器31执行时，设备可以执行上述图1方法实施例涉及的各个步骤。
76.可选地，电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。
77.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
78.可以理解，图3所示的结构仅为示意，电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
79.另外，本技术实施例还提供一种计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现实施例一的反制黑客攻击的方法。
80.本技术实施例还提供一种计算机程序产品，该计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。
81.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
82.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
83.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
84.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和
字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
85.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
86.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。