一种网络防御方法及装置与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络防御方法及装置。


背景技术：

2.随着网络的日益发展，对于网络的防御显得越来越重要。在网络环境中，存在恶意的网络攻击行为，为了提升网络的安全性以及防御能力，一般会部署蜜罐来捕获的恶意的网络攻击行为，达到迷惑攻击者、尽早发现攻击行为的目的。通过分析攻击行为确定攻击者的攻击目的和攻击手段，从而延缓乃至阻止网络被攻击破坏行为的发生，保护网络的真实服务资源。
3.但是目前对于目标网络部署蜜罐的手段一般是根据经验人为预设；如根据目标网络的流量大小部署一定数量的蜜罐，这就导致部署蜜罐的灵活性较差。另外，若目标网络的流量变大或变小，导致部署的蜜罐欠缺或过剩，使得网络防御的准确性低或浪费网络资源。


技术实现要素：

4.本发明实施例提供一种网络防御方法及装置，用于实现自动化的部署蜜罐，提高部署蜜罐的灵活性，进而提高网络防御的准确性，避免网络资源的浪费。
5.第一方面，本发明实施例提供一种网络防御方法，包括：
6.获取目标网络中各终端的历史数据；
7.根据所述历史数据分析出所述历史数据中的恶意样本数量；
8.根据所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述恶意样本数量正相关；
9.基于所述待部署蜜罐数量在所述目标网络中部署蜜罐，根据所述蜜罐对所述目标网络进行网络防御。
10.上述技术方案中，待部署蜜罐的数量是根据各终端的历史数据中恶意样本数量计算的，以此增加部署蜜罐的灵活性和与恶意样本的相关性，实现自动化的部署蜜罐，提高对目标网络部署蜜罐的效果，增加网络防御的准确性，避免网络资源的浪费。
11.可选的，获取目标网络中各终端的历史数据；包括：
12.针对任一终端，判断预设时段内所述终端的上行流量与下行流量的和是否小于预设流量阈值；若是，则获取所述终端的历史数据；
13.否则在预设间隔后再次判断预设时段内所述终端的上行流量与下行流量的和是否小于预设流量阈值，直至确定所述终端的上行流量与下行流量的和小于所述预设流量阈值，获取所述终端的历史数据。
14.上述技术方案中，目标网络中各终端的历史数据可以是周期性获取的，进而可知计算待部署蜜罐数量是周期性实现的，如以一星期为周期、一个月为周期等。历史数据可以为当前时刻之前的预设时段的数据。以此实现自动化的部署蜜罐，提高对目标网络部署蜜罐的灵活性。
15.且在获取历史数据时，根据预设时段内终端的上行流量与下行流量确定当前终端的负载情况，实现在终端负载低的情况下获取终端的历史数据，以此避免获取历史数据时影响终端的业务处理。
16.可选的，根据所述历史数据分析出所述历史数据中的恶意样本数量，包括：
17.针对所述历史数据中的任一样本，根据静态分析和动态分析确定所述样本的静态分析结果和动态分析结果；所述静态分析表示对样本的基本信息进行分析；所述动态分析表示对样本的执行过程进行分析；
18.若所述静态分析结果为恶意结果和/或所述动态分析结果为恶意结果，则确定所述样本为恶意样本；
19.在分析出所述历史数据中的恶意样本之后，统计恶意样本数量。
20.上述技术方案中，对历史数据分析时，使用静态分析和动态分析得到静态分析结果和动态分析结果，在任一结果为恶意结果时，确定该样本为恶意样本，以此提升确定恶意样本的准确率，进而增加计算待部署蜜罐数量的准确性。
21.可选的，根据所述恶意样本数量计算待部署蜜罐数量，包括：
22.检测所述目标网络的安全系数、所述目标网络中的终端数量以及各终端cpu的平均使用率；
23.根据所述安全系数、所述终端数量、所述平均使用率、所述历史数据的样本总数量以及所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述安全系数正相关；所述待部署蜜罐数量与所述终端数量正相关；所述待部署蜜罐数量与所述平均使用率负相关；所述待部署蜜罐数量与所述样本总数量负相关。
24.上述技术方案中，待部署蜜罐数量与所述目标网络的安全系数、所述目标网络中的终端数量、各终端cpu的平均使用率、历史数据的样本总数量以及所述恶意样本数量相关，进而增加待部署蜜罐数量的准确性和灵活性。
25.可选的，根据公式(1)计算待部署蜜罐数量；
[0026][0027]
其中，n为所述待部署蜜罐数量；δ为第一预设值，表示所述目标网络的安全系数；c为所述目标网络中的终端数量；a为所述恶意样本数量；l为样本总数量；p为所述目标网络中各终端cpu的平均使用率。
[0028]
可选的，基于所述待部署蜜罐数量在所述目标网络中部署蜜罐之后，还包括：
[0029]
对所述目标网络发送攻击策略；所述攻击策略包括预设恶意样本；
[0030]
根据所述预设恶意样本的异常值计算所述目标网络的防御值。
[0031]
可选的，根据公式(2)计算所述目标网络的防御值；
[0032][0033]
其中，g为第二预设值；s为所述目标网络的防御值；si为第i预设恶意样本的风险值；所述第i预设恶意样本的风险值是根据所述第i预设恶意样本的异常值计算的；w为所述预设恶意样本总数量。
[0034]
可选的，根据公式(3)计算所述第i预设恶意样本的风险值；
[0035]
si＝(αi βi)*γiꢀꢀꢀ
(3)；
[0036]
其中，si为所述第i预设恶意样本的风险值；αi为所述第i预设恶意样本的异常值；εi为所述第i预设恶意样本的危险等级，m为所述第i预设恶意样本的数量；γi＝kr，k为第三预设值，r为所述第i预设恶意样本的攻击次数。
[0037]
第二方面，本发明实施例提供一种网络防御装置，包括：
[0038]
获取模块，用于获取目标网络中各终端的历史数据；
[0039]
处理模块，用于根据所述历史数据分析出所述历史数据中的恶意样本数量；
[0040]
根据所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述恶意样本数量正相关；
[0041]
基于所述待部署蜜罐数量在所述目标网络中部署蜜罐，根据所述蜜罐对所述目标网络进行网络防御。
[0042]
可选的，所述获取模块具体用于：
[0043]
针对任一终端，判断预设时段内所述终端的上行流量与下行流量的和是否小于预设流量阈值；若是，则获取所述终端的历史数据；
[0044]
否则在预设间隔后再次判断预设时段内所述终端的上行流量与下行流量的和是否小于预设流量阈值，直至确定所述终端的上行流量与下行流量的和小于所述预设流量阈值，获取所述终端的历史数据。
[0045]
可选的，所述处理模块具体用于：
[0046]
针对所述历史数据中的任一样本，根据静态分析和动态分析确定所述样本的静态分析结果和动态分析结果；所述静态分析表示对样本的基本信息进行分析；所述动态分析表示对样本的执行过程进行分析；
[0047]
若所述静态分析结果为恶意结果和/或所述动态分析结果为恶意结果，则确定所述样本为恶意样本；
[0048]
在分析出所述历史数据中的恶意样本之后，统计恶意样本数量。
[0049]
可选的，所述处理模块具体用于：
[0050]
检测所述目标网络的安全系数、所述目标网络中的终端数量以及各终端cpu的平均使用率；
[0051]
根据所述安全系数、所述终端数量、所述平均使用率、所述历史数据的样本总数量以及所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述安全系数正相关；所述待部署蜜罐数量与所述终端数量正相关；所述待部署蜜罐数量与所述平均使用率负相关；所述待部署蜜罐数量与所述样本总数量负相关。
[0052]
可选的，根据公式(1)计算待部署蜜罐数量；
[0053][0054]
其中，n为所述待部署蜜罐数量；δ为第一预设值，表示所述目标网络的安全系数；c为所述目标网络中的终端数量；a为所述恶意样本数量；l为样本总数量；p为所述目标网络中各终端cpu的平均使用率。
[0055]
可选的，所述处理模块还用于：
[0056]
基于所述待部署蜜罐数量在所述目标网络中部署蜜罐之后，对所述目标网络发送攻击策略；所述攻击策略包括预设恶意样本；
[0057]
根据所述预设恶意样本的异常值计算所述目标网络的防御值。
[0058]
可选的，根据公式(2)计算所述目标网络的防御值；
[0059][0060]
其中，g为第二预设值；s为所述目标网络的防御值；si为第i预设恶意样本的风险值；所述第i预设恶意样本的风险值是根据所述第i预设恶意样本的异常值计算的；w为所述预设恶意样本总数量。
[0061]
可选的，根据公式(3)计算所述第i预设恶意样本的风险值；
[0062]
si＝(αi βi)*γiꢀꢀꢀ
(3)；
[0063]
其中，si为所述第i预设恶意样本的风险值；αi为所述第i预设恶意样本的异常值；εi为所述第i预设恶意样本的危险等级，m为所述第i预设恶意样本的数量；γi＝kr，k为第三预设值，r为所述第i预设恶意样本的攻击次数。
[0064]
第三方面，本发明实施例还提供一种计算机设备，包括：
[0065]
存储器，用于存储程序指令；
[0066]
处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述网络防御方法。
[0067]
第四方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述网络防御方法。
附图说明
[0068]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0069]
图1为本发明实施例提供的一种系统架构示意图；
[0070]
图2为本发明实施例提供的一种网络防御方法的流程示意图；
[0071]
图3为本发明实施例提供的一种网络防御装置的结构示意图。
具体实施方式
[0072]
为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0073]
随着计算机网络技术的飞速发展，计算机网络的逐渐普及，各种计算机网络的防御显得尤为重要。近年来，网络攻击事件频发，互联网上的木马、蠕虫、勒索软件层出不穷，
这对网络安全形成了严重的威胁。
[0074]
网络攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。对于计算机和计算机网络来说，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。具体的，网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击。因此网络信息系统时刻面临着威胁。
[0075]
网络防御方法包括蜜罐技术、防火墙等方式。其中，蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，以此了解网络所面对的安全威胁，并通过技术和管理手段来增强网络的安全防御能力。
[0076]
目前部署蜜罐的方式一般是人为根据目标网络的数据流量、终端数量等信息进行分析，计算出部署蜜罐的数量，然后根据计算出的数量对目标网络进行部署蜜罐。
[0077]
但是这种方法部署后的蜜罐一般是一成不变的，或者人为重新部署蜜罐，导致蜜罐部署的灵活性、智能性较差，使得网络防御的准确性低或浪费网络资源。因此现亟需一种网络防御方法，实现自动化的部署蜜罐，提高对目标网络部署蜜罐的效果，增加网络防御的准确性，避免网络资源的浪费。
[0078]
图1示例性的示出了本发明实施例所适用的一种系统架构，该系统架构包括服务端110和终端120。
[0079]
其中，终端120的数量可以为多个，在此不做具体限定；且多个终端120属于同一网络。
[0080]
服务端110包括获取单元111、分析单元112、计算单元113、部署单元114、攻击单元115和评估单元116。
[0081]
获取单元111，用于周期性的通过终端120的主机agent从终端120中获取历史数据。
[0082]
分析单元112，用于根据静态分析和动态分析确定出历史数据中的恶意样本，并统计恶意样本数量。
[0083]
计算单元113，用于检测出该目标网络的安全系数、目标网络中终端120的数量、终端120的cpu(central processing unit，中央处理器)的平均使用率；并根据该目标网络的安全系数、目标网络中终端120的数量、终端120的cpu的平均使用率、历史数据的样本总数量以及恶意样本数量计算待部署蜜罐数量。
[0084]
部署单元114，用于根据计算出的待部署蜜罐数量在目标网络中部署蜜罐，以此实现根据部署的蜜罐对目标网络进行网络防御。
[0085]
攻击单元115，用于在对目标网络部署蜜罐之后，对目标网络中的终端120发送攻击策略；其中，攻击策略包括预设恶意样本。
[0086]
评估单元116，用于根据预设恶意样本的异常值计算该目标网络的防御值。
[0087]
需要说明的是，上述图1所示的结构仅是一种示例，本发明实施例对此不做限定。
[0088]
基于上述描述，图2示例性的示出了本发明实施例提供的一种网络防御方法的流程示意图，该流程可由网络防御装置执行。
[0089]
如图2所示，该流程具体包括：
[0090]
步骤210，获取目标网络中各终端的历史数据。
[0091]
本发明实施例中，可以周期性的采集任一终端设备的历史数据。历史数据为当前时刻之前的预设时段的数据，如当前时刻之前一天的数据作为历史数据。其中，周期可以是根据经验预设的值，在此不做具体限定。
[0092]
步骤220，根据所述历史数据分析出所述历史数据中的恶意样本数量。
[0093]
本发明实施例中，针对历史数据中任一样本，根据静态分析和动态分析两种方式确定该样本的分析结果。静态分析用于对样本的基本信息(如代码格式、代码地址等)进行分析；动态分析用于对样本的执行过程(如所调用的接口、访问的文件等)进行分析。
[0094]
步骤230，根据所述恶意样本数量计算待部署蜜罐数量。
[0095]
本发明实施例中，待部署蜜罐数量与恶意样本数量正相关。且待部署蜜罐数量还与目标网络的安全系数正相关；待部署蜜罐数量与目标网络中的终端数量正相关；待部署蜜罐数量与各终端cpu的平均使用率负相关；待部署蜜罐数量与历史数据的样本总数量负相关。
[0096]
在一种可实施的方式中，待部署蜜罐数量与恶意样本数量成正比。且待部署蜜罐数量还与目标网络的安全系数成正比；待部署蜜罐数量与目标网络中的终端数量成正比；待部署蜜罐数量与各终端cpu的平均使用率成反比；待部署蜜罐数量与历史数据的样本总数量成反比。
[0097]
也就是说，恶意样本数量越大，待部署蜜罐数量越大，恶意样本数量越小，待部署蜜罐数量越小；目标网络的安全系数越大，待部署蜜罐数量越大，目标网络的安全系数越小，待部署蜜罐数量越小；目标网络中终端数量越大，待部署蜜罐数量越大，目标网络中终端数量越小，待部署蜜罐数量越小；各终端cpu的平均使用率越大，待部署蜜罐数量越小，各终端cpu的平均使用率越小，待部署蜜罐数量越大历史数据的样本总数量越大，待部署蜜罐数量越小历史数据的样本总数量越小，待部署蜜罐数量越大。
[0098]
步骤240，基于所述待部署蜜罐数量在所述目标网络中部署蜜罐，根据所述蜜罐对所述目标网络进行网络防御。
[0099]
在步骤210中，为了保证终端的正常运行，避免对终端的业务执行造成影响，在获取终端数据之前，会先确定该终端的负载情况。
[0100]
具体的，若预设时段内终端的上行流量与下行流量满足预设负载要求，则确定该终端允许获取终端数据；若预设时段内终端的上行流量与下行流量不满足预设负载要求，则确定该终端禁止获取终端数据。
[0101]
在本发明实施例中，预设负载要求为终端的上行流量与下行流量的和小于预设流量阈值；其中，预设流量阈值可以是根据经验预设的值，在此不做限定。预设时段可以为1分钟内、2分钟内等，在此不做具体限定。
[0102]
进一步的，若判断终端的上行流量与下行流量的和小于预设流量阈值，则获取终端的历史数据。其中，上行流量表示终端发现网络的字节数，下行流量表示终端从网络中下载的字节数。预设流量阈值可以是根据经验预设的值，如50、100等。若当前终端的上行流量与下行流量的和小于预设流量阈值，则表示当前该终端的负载低，此时从终端获取数据不会对终端的正常操作造成影响。以此实现在避免对终端造成影响的前提下，获取终端的历
史数据。
[0103]
若判断终端的上行流量与下行流量的和不小于预设流量阈值，则表示当前该终端的负载高，进而不获取终端的历史数据。而是在预设间隔(如1小时等)后再次判断终端的上行流量与下行流量的和是否小于预设流量阈值，直至确定终端的上行流量与下行流量的和小于预设流量阈值，再获取终端的历史数据。
[0104]
在一些实施例中，历史数据可以只包括终端的增量数据，以此减少数据的传输量，提升获取数据的效率。
[0105]
服务端在获取各终端的历史数据之后，根据数据来源对各终端的历史数据进行存储。如根据终端的地址分别存储各终端的历史数据(如192.168.1.2_20220815_filename)。
[0106]
在步骤220中，针对任一终端的历史数据的任一样本，根据预设分析方式对该样本进行分析，得到分析结果。
[0107]
在本发明实施例中，预设分析方式包括静态分析和/或动态分析；其中，静态分析表示对样本的基本信息进行分析；动态分析表示对样本的执行过程进行分析。
[0108]
例如，静态分析包括加壳分析、引用函数分析、反汇编、代码审计、漏洞扫描、计算md5等信息与该样本进行动态匹配，如果匹配成功则确定该样本的静态分析结果为恶意结果。
[0109]
再如，动态分析包括网络、文件访问与操作、注册表操作、进程操作等方面的特征，动态分析过程除与样本联动外，还提供设置自定义的规则，如注册表操作次数达操作阈值、敏感信息定义被操作次数达到敏感阈值、新建进程的数量达到进程阈值、访问某个特定站点达到访问阈值等，进而分析出该样本执行时是否存在恶意行为；若存在恶意行为，则确定该样本的动态分析结果为恶意结果。
[0110]
进一步的，使用静态分析和动态分析确定该样本的分析结果，并在确定出静态分析结果和动态分析结果之后，根据静态分析结果和动态分析结果确定该样本是否为恶意样本。
[0111]
具体的，若静态分析结果为恶意结果和/或动态分析结果为恶意结果，则确定样本为恶意样本；在分析出历史数据中的恶意样本之后，统计恶意样本数量。
[0112]
也就是说，在一种可实施的方式中，该样本的任一分析结果(静态分析结果或动态分析结果)确定为恶意结果，则确定该样本为恶意样本。
[0113]
在另一种可实施的方式中，该样本的两个分析结果(静态分析结果和动态分析结果)均确定为恶意结果，则确定该样本为恶意样本。
[0114]
在步骤230中，根据恶意样本数量计算待部署蜜罐数量时，还会统计历史数据中样本总数量，并检测出目标网络的安全系数、目标网络中的终端数量以及各终端cpu的平均使用率。
[0115]
然后根据下述公式(1)计算待部署蜜罐数量；
[0116][0117]
其中，n为待部署蜜罐数量；δ为第一预设值，表示目标网络的安全系数；c为目标网络中的终端数量；a为恶意样本数量；l为样本总数量；p为目标网络中各终端cpu的平均使用率。
[0118]
举例来说，目标网络的安全等级包括三种，分别为核心系统网络(如用于记录财务、金融信息等网络)、重要系统网络(如用于记录员工信息、企业信息等网络)和非重要系统网络(如用于记录食品类型、数量等网络)。预设安全等级对应的安全系数分别为1、0.5、0.3。
[0119]
也就是说，若当前目标网络的安全等级为核心系统网络时，δ＝1；以此类推，若当前目标网络的安全等级为重要系统网络时，δ＝0.5；若当前目标网络的安全等级为非重要系统网络时，δ＝0.3。
[0120]
假设该目标网络的安全等级为核心系统网络；且该目标网络中共有3台终端(如计算机主机)，分别为y1、y2和y3；其中，终端y1的历史数据共有100个样本；终端y2的历史数据共有70个样本；终端y3的历史数据共有30个样本。终端y1的历史数据中包括85个恶意样本；终端y2的历史数据中包括45个恶意样本；终端y3的历史数据中包括20个恶意样本。终端y1的cpu使用率为25％；终端y2的cpu使用率为45％；终端y3的cpu使用率为20％；
[0121]
则安全系数δ＝1；终端数量c＝3；恶意样本数量a＝150；恶意样本数量l＝200；各终端cpu的平均使用率p＝30％。
[0122]
进而可以计算出在n不为整数时，可以向上取整，确定出待部署蜜罐数量n＝2。
[0123]
在一些可实施的方式中，可以根据应用场景对公式(1)中的各参数可以设置权重、指数等方式，实现对公式(1)进行公式变换；例如对c设置权重为0.9等，在此不做具体限定。
[0124]
在步骤240中，在目标网络中部署蜜罐之后，对目标网络发送攻击策略；其中，攻击策略包括预设恶意样本；然后根据预设恶意样本的异常值计算目标网络的防御值。
[0125]
为了验证部署蜜罐后的目标网络的防御能力，服务端会向终端发送预设攻击策略。其中，预设攻击策略包含漏洞利用、恶意样本投递等多种攻击方式。
[0126]
在一种可实施的方式中，计算攻击策略发动的次数与已部署蜜罐的检测发现恶意样本的次数的商，得到出检出率。根据检出率对预设攻击策略进行控制；如停止存在漏洞的某种功能、阻止和切断存在漏洞的端口、降低攻击频率等，以此增加验证的灵活性。
[0127]
在本发明实施例中，根据下述公式(2)计算目标网络的防御值；
[0128][0129]
其中，g为第二预设值；s为目标网络的防御值；si为第i预设恶意样本的风险值；第i预设恶意样本的风险值是根据第i预设恶意样本的异常值计算的；w为预设恶意样本总数量。第二预设值g可以是根据经验预设的值，如100、200等，本发明实施例中以g＝100为例。
[0130]
进一步的，根据下述公式(3)计算第i预设恶意样本的风险值；
[0131]
si＝(αi βi)*γiꢀꢀꢀ
(3)；
[0132]
其中，si为第i预设恶意样本的风险值；αi为第i预设恶意样本的异常值；εi为第i预设恶意样本的危险等级，m为第i预设恶意样本的数量；γi＝kr，k为第三预设值，r为第i预设恶意样本的攻击次数。第三预设值k可以是根据经验预设的值，如1.1、1.2等，本发明实施例中以k＝1.1为例。
[0133]
需要说明的是，计算目标网络的防御值可以是周期性实现的，如5分钟、10分钟计算一次等。恶意样本的危险等级可以是根据经验预设的值，如包括低等级、中等级和高等级，对应的εi值分别为10、5、1。不同等级的恶意样本的异常值也是可以根据经验预设的值，如低等级恶意样本的异常值为80、中等级恶意样本的异常值为50、高等级恶意样本的异常值为20等。其中，等级越高异常值越低。或者根据不同类型的恶意样本设置异常值。
[0134]
假设第i预设恶意样本的异常值为20，数量为5个。则再次假设，第i预设恶意样本的攻击次数为2(即r＝2)，则si＝(20 32)*1.12＝62.92。
[0135]
基于上述举例可知，可以计算出所有预设恶意样本对应的风险值，进而根据所有预设恶意样本对应的风险值和预设恶意样本的数量计算出本次目标网络的防御值，进而可以根据防御值评估目标网络的安全性是否有保障。
[0136]
下述表1示出了一种不同验证场景下的防御值的计算结果。
[0137]
表1
[0138][0139][0140]
有上述表1可以看出，预设恶意样本的等级、预设恶意样本的数量、预设恶意样本的异常值等参数的不同，目标网络的防御值也是不同的，以此实现对不同场景使用的目标网络进行评估验证。
[0141]
基于上述描述，本发明实施例周期性的根据目标网络的安全系数、目标网络中的终端数量、各终端cpu的平均使用率、各终端的历史数据中恶意样本数量以及各终端的历史数据中样本总数量计算待部署蜜罐的数量，以此增加部署蜜罐的灵活性和与恶意样本的相关性，实现自动化的部署蜜罐，提高对目标网络部署蜜罐的效果，增加网络防御的准确性，避免网络资源的浪费。
[0142]
基于相同的技术构思，图3示例性的示出了本发明实施例提供的一种网络防御装置的结构示意图，该装置可以执行网络防御方法的流程。
[0143]
如图3所示，该装置具体包括：
[0144]
获取模块310，用于获取目标网络中各终端的历史数据；
[0145]
处理模块320，用于根据所述历史数据分析出所述历史数据中的恶意样本数量；
[0146]
根据所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述恶意样本数量正相关；
[0147]
基于所述待部署蜜罐数量在所述目标网络中部署蜜罐，根据所述蜜罐对所述目标网络进行网络防御。
[0148]
可选的，所述获取模块310具体用于：
[0149]
针对任一终端，判断预设时段内所述终端的上行流量与下行流量的和是否小于预
设流量阈值；若是，则获取所述终端的历史数据；
[0150]
否则在预设间隔后再次判断预设时段内所述终端的上行流量与下行流量的和是否小于预设流量阈值，直至确定所述终端的上行流量与下行流量的和小于所述预设流量阈值，获取所述终端的历史数据。
[0151]
可选的，所述处理模块320具体用于：
[0152]
针对所述历史数据中的任一样本，根据静态分析和动态分析确定所述样本的静态分析结果和动态分析结果；所述静态分析表示对样本的基本信息进行分析；所述动态分析表示对样本的执行过程进行分析；
[0153]
若所述静态分析结果为恶意结果和/或所述动态分析结果为恶意结果，则确定所述样本为恶意样本；
[0154]
在分析出所述历史数据中的恶意样本之后，统计恶意样本数量。
[0155]
可选的，所述处理模块320具体用于：
[0156]
检测所述目标网络的安全系数、所述目标网络中的终端数量以及各终端cpu的平均使用率；
[0157]
根据所述安全系数、所述终端数量、所述平均使用率、所述历史数据的样本总数量以及所述恶意样本数量计算待部署蜜罐数量；所述待部署蜜罐数量与所述安全系数正相关；所述待部署蜜罐数量与所述终端数量正相关；所述待部署蜜罐数量与所述平均使用率负相关；所述待部署蜜罐数量与所述样本总数量负相关。
[0158]
可选的，根据公式(1)计算待部署蜜罐数量；
[0159][0160]
其中，n为所述待部署蜜罐数量；δ为第一预设值，表示所述目标网络的安全系数；c为所述目标网络中的终端数量；a为所述恶意样本数量；l为样本总数量；p为所述目标网络中各终端cpu的平均使用率。
[0161]
可选的，所述处理模块320还用于：
[0162]
基于所述待部署蜜罐数量在所述目标网络中部署蜜罐之后，对所述目标网络发送攻击策略；所述攻击策略包括预设恶意样本；
[0163]
根据所述预设恶意样本的异常值计算所述目标网络的防御值。
[0164]
可选的，根据公式(2)计算所述目标网络的防御值；
[0165][0166]
其中，g为第二预设值；s为所述目标网络的防御值；si为第i预设恶意样本的风险值；所述第i预设恶意样本的风险值是根据所述第i预设恶意样本的异常值计算的；w为所述预设恶意样本总数量。
[0167]
可选的，根据公式(3)计算所述第i预设恶意样本的风险值；
[0168]
si＝(αi βi)*γiꢀꢀꢀ
(3)；
[0169]
其中，si为所述第i预设恶意样本的风险值；αi为所述第i预设恶意样本的异常值；εi为所述第i预设恶意样本的危险等级，m为所述第i预设恶意样本的数量；
γi＝kr，k为第三预设值，r为所述第i预设恶意样本的攻击次数。
[0170]
基于相同的技术构思，本发明实施例还提供一种计算机设备，包括：
[0171]
存储器，用于存储程序指令；
[0172]
处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述网络防御方法。
[0173]
基于相同的技术构思，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上述网络防御方法。
[0174]
本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0175]
本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0176]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0177]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0178]
显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。