CN108881271B - 一种代理主机的反向追踪溯源方法及装置 - Google Patents
一种代理主机的反向追踪溯源方法及装置 Download PDFInfo
- Publication number
- CN108881271B CN108881271B CN201810720807.0A CN201810720807A CN108881271B CN 108881271 B CN108881271 B CN 108881271B CN 201810720807 A CN201810720807 A CN 201810720807A CN 108881271 B CN108881271 B CN 108881271B
- Authority
- CN
- China
- Prior art keywords
- http request
- request data
- real
- address
- attack alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种代理主机的反向追踪溯源方法及装置,属于网络安全技术领域。该方法包括:从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。该方法不仅能够快速有效地判断真实攻击来源的IP地址、完成追踪溯源的工作,并且还能帮助网络安全防护设备提高对代理攻击行为的识别能力。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种代理主机的反向追踪溯源方法及装置。
背景技术
在日常分析网络安全设备日志的过程中发现,大多数告警的攻击来源IP地址并不是攻击者真实的IP地址,网络攻击者不仅拥有漏洞探测能力,其自身安全意识也都比常人高,特别是以黑色产业链为生的黑产从业者,更是对网络匿名攻击技术有一定的研究和实战。然而,往往是这些所谓“专业”的黑客每天都在制造网络攻击告警数据,给网络安全带来了极大的挑战。在传统的对黑客甚至是黑产网络攻击的追踪溯源中,经常遇到线索断在了代理IP地址上,无法对攻击者真实IP地址进行追溯,进而无法措施以提升网络安全防护设备的入侵识别能力。
发明内容
鉴于此,本发明的目的在于提供一种代理主机的反向追踪溯源方法及装置,以有效地改善上述问题。
本发明的实施例是这样实现的:
第一方面,本发明实施例提供了一种代理主机的反向追踪溯源方法,包括:从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。
结合第一方面的一种实施方式,从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据,包括:从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据;将获取到的所有HTTP请求数据均格式化为字典结构;依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配;在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时,所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。
结合第一方面的又一种实施方式,从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据,包括:从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志;从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
结合第一方面的又一种实施方式,在判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址之后,所述方法还包括:在所述至少一个HTTP请求数据中不存在包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
结合第一方面的又一种实施方式,所述方法还包括:将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。
第二方面,本发明实施例还提供了一种代理主机的反向追踪溯源装置,包括:筛选模块,用于从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;判断模块,用于判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;第一查询模块,用于在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。
结合第二方面的一种实施方式,所述筛选模块包括:获取子模块,用于从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据;格式化子模块,用于将获取到的所有HTTP请求数据均格式化为字典结构;匹配子模块,依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配;得到子模块,用于当在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时,所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。
结合第二方面的又一种实施方式,所述获取子模块包括:筛选单元,用于从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志;获取单元,用于从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
结合第二方面的又一种实施方式,所述装置还包括:第二查询模块,用于在所述至少一个HTTP请求数据中不存在包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
结合第二方面的又一种实施方式,所述装置还包括:存储模块,用于将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。
第三方面,本发明实施例还提供了一种电子设备,包括:存储器和处理器,所述存储器与所述处理器连接;所述存储器用于存储程序;所述处理器用于调用存储于所述存储器中的程序,以执行上述第一方面实施例提供的所述的方法。
第四方面,本发明实施例还提供了一种存储介质,其特征在于,所述存储介质存储有处理器可执行的程序代码于计算机内,所述存储介质包括多条指令,所述多条指令被配置成使所述处理器执行上述第一方面实施例提供的所述的方法。
本发明实施例提供的方法,通过从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;然后判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;然后在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。通过该方法不仅能够快速有效地判断真实攻击来源的IP地址、完成追踪溯源的工作,并且还能帮助网络安全防护设备提高对代理攻击行为的识别能力。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本发明的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本发明的主旨。
图1示出了本发明实施例提供的一种电子设备的结构示意图。
图2示出了本发明实施例提供的一种代理主机的反向追踪溯源方法的流程图。
图3示出了本发明实施例提供的图2中的步骤S101的流程图。
图4示出了本发明实施例提供的一种代理主机的反向追踪溯源装置的模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
如图1所示,图1示出了本发明实施例提供的一种电子设备100的结构框图。所述电子设备100包括:反向追踪溯源装置110、存储器120、存储控制器130和处理器140。
所述存储器120、存储控制器130、处理器140各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述反向追踪溯源装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器120中或固化在所述电子设备100的操作系统(operating system,OS)中的软件功能模块。所述处理器140用于执行存储器120中存储的可执行模块,例如所述反向追踪溯源装置110包括的软件功能模块或计算机程序。
其中,存储器120可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器120用于存储程序,所述处理器140在接收到执行指令后,执行所述程序,后述本发明实施例任一实施例揭示的流程定义的电子设备100所执行的方法可以应用于处理器140中,或者由处理器140实现。
处理器140可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
第一实施例
请参阅图2,为本发明实施例提供的一种应用于上述电子设备100的代理主机的反向追踪溯源方法,下面将结合图2对其所包含的步骤进行说明。
步骤S101:从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据。
从网络安全防护设备已拦截的所有WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据。作为一种实施方式,可以结合图3所示的步骤对这一过程进行说明。
步骤S201:从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
从网络安全防护设备已拦截的所有WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据,进一步地,从网络安全防护设备已拦截的所有攻击告警日志中筛选出WEB类型的WEB攻击告警日志;从筛选出的所有WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
其中,该HTTP请求数据包括HTTP请求的头部信息(即请求头),以及代理IP,此外,该HTTP请求数据中可能还包括真实攻击者的真实IP地址。
其中,作为一种可选的实施方式,获取到的每条WEB攻击告警日志的HTTP请求数据可以以json格式进行存储记录。
步骤S202:将获取到的所有HTTP请求数据均格式化为字典结构。
将获取到的所有HTTP请求数据中的头部数据均格式化为字典结构。
步骤S203:依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配。
依次将每个HTTP请求数据格式化后的字典结构中对应的字典键名和键值在预设代理工具指纹库中进行匹配。其中,需要说明的是,该预设代理工具指纹库记录有存在代理行为的代理工具的指纹特征信息,是事先定义好的。
步骤S204:在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时,所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。
若从该预设代理工具指纹库中匹配到至少一个HTTP请求数据对应的字典键名和键值时,则当前匹配到的字典键名和键值对应的HTTP请求数据即为存在代理行为的HTTP请求数据。此外,作为一种可选的实施方式,在预设代理工具指纹库中匹配到对应的字典键名和键值时,将匹配到的代理工具名的键和值以json格式进行存储记录。
其中,需要说明的是,在日常分析网络安全设备日志的过程中发现,大多数告警的攻击来源IP地址并不是攻击者真实的IP地址,攻击IP地址大多是代理的IP地址。为了解决这一难题,本申请的发明人在对网络攻击常用的代理工具进行了深度研究,发现市面上大多数能够下载得到的代理工具大多在代理的流量中的HTTP请求头部数据内添加了真实IP地址及代理工具的特征指纹,由此发明了本申请实施例所示的方法对攻击告警日志中的代理行为进行反向追踪溯源,极大地提高了网络攻击追溯的响应效率和准确度。
需要说明的是,针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在本发明过程中对本发明做出的贡献。
步骤S102:判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址。
在从网络安全防护设备已拦截的WEB攻击告警日志中筛选出存在代理行为的HTTP请求数据后,分别判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址,若存在某个HTTP请求数据中包含有真实攻击者的真实IP地址,则执行步骤S103,若不存在某个HTTP请求数据中包含有真实攻击者的真实IP地址,则执行步骤S104。
步骤S103:在预设威胁情报数据库中对第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。
在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。
其中,需要说明的是,预设威胁情报数据库记录了已知的所有威胁情报、历史黑名单等信息,通过查询该第一HTTP请求数据的真实IP地址以及代理IP地址是否存在历史记录,以提高识别的准确度。即结合预设威胁情报数据库佐证能力,快速有效地判断真实攻击来源IP地址、完成追踪溯源的工作。
其中,第一HTTP请求数据为所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的任一数据。
步骤S104:在预设威胁情报数据库中对第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
在所述至少一个HTTP请求数据中不存在包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
其中,需要说明的是,预设威胁情报数据库记录了已知的所有威胁情报、历史黑名单等信息,通过查询该第二HTTP请求数据的代理IP地址是否存在历史记录,以提高识别的准确度。即结合预设威胁情报数据库佐证能力,快速有效地判断真实攻击来源IP地址、完成追踪溯源的工作。
其中,第二HTTP请求数据为所述至少一个HTTP请求数据中不存在包含有真实攻击者的真实IP地址的任一数据。
此外,作为一种可选的实施方式,所述方法还包括:将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。例如,将第一查询结果或所述第二查询结果以json格式存储至MongoDB数据库。
本实施例提供的方法,通过与网络安全防护设备进行交互,从网络安全防护设备上的攻击告警日志中提取攻击HTTP请求的头部信息,将头部信息逐一与预设代理工具指纹信息库进行匹配对比。若在HTTP请求头部中成功匹配到代理行为的指纹,则调用端口扫描程序对攻击来源IP地址进行反向扫描,爬取开放端口的指纹信息,判断开放的端口是否存在代理指纹,并调用预设威胁情报数据库对攻击IP地址加以佐证。
本发明实施例还提供了一种代理主机的反向追踪溯源装置110,如图4所示。该反向追踪溯源装置110包括:筛选模块111、判断模块112、第一查询模块113以及第二查询模块114。
筛选模块111,用于从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据。
判断模块112,用于判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址。
第一查询模块113,用于在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果。
第二查询模块114,用于在所述至少一个HTTP请求数据中不存在包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
此外,该反向追踪溯源装置110还包括:存储模块,用于将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。
本发明实施例还提供了一种存储介质,所述存储介质存储有处理器可执行的程序代码于计算机内,所述存储介质包括多条指令,所述多条指令被配置成使所述处理器执行上述实施例所述的方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本发明实施例所提供的反向追踪溯源装置110,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种代理主机的反向追踪溯源方法,其特征在于,包括:
从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;
判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;
在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果,
其中,从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据,包括:
从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据;
将获取到的所有HTTP请求数据均格式化为字典结构;
依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配;
在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时,所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。
2.根据权利要求1所述的方法,其特征在于,从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据,包括:
从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志;
从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
3.根据权利要求1-2任一项所述的方法,其特征在于,在判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址之后,所述方法还包括:
在所述至少一个HTTP请求数据中存在不包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。
5.一种代理主机的反向追踪溯源装置,其特征在于,包括:
筛选模块,用于从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据;
判断模块,用于判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址;
第一查询模块,用于在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时,在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询,得到第一查询结果,
其中,所述筛选模块包括:
获取子模块,用于从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据;
格式化子模块,用于将获取到的所有HTTP请求数据均格式化为字典结构;
匹配子模块,依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配;
得到子模块,用于当在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时,所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。
6.根据权利要求5所述的装置,其特征在于,所述获取子模块包括:
筛选单元,用于从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志;
获取单元,用于从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
第二查询模块,用于在所述至少一个HTTP请求数据中存在不包含有真实攻击者的真实IP地址的第二HTTP请求数据时,在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询,得到第二查询结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
存储模块,用于将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810720807.0A CN108881271B (zh) | 2018-07-03 | 2018-07-03 | 一种代理主机的反向追踪溯源方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810720807.0A CN108881271B (zh) | 2018-07-03 | 2018-07-03 | 一种代理主机的反向追踪溯源方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881271A CN108881271A (zh) | 2018-11-23 |
| CN108881271B true CN108881271B (zh) | 2021-01-26 |
Family
ID=64298801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810720807.0A Active CN108881271B (zh) | 2018-07-03 | 2018-07-03 | 一种代理主机的反向追踪溯源方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881271B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217777A (zh) * | 2019-07-12 | 2021-01-12 | 上海云盾信息技术有限公司 | 攻击回溯方法及设备 |
| CN110708292A (zh) * | 2019-09-11 | 2020-01-17 | 光通天下网络科技股份有限公司 | Ip处理方法、装置、介质、电子设备 |
| CN112769827B (zh) * | 2021-01-08 | 2021-09-10 | 中国电子科技集团公司第十五研究所 | 一种网络攻击代理端检测及溯源方法与装置 |
| CN113810515B (zh) * | 2021-09-06 | 2022-12-20 | 杭州安恒信息技术股份有限公司 | 客户端的真实ip地址的识别方法、系统和电子装置 |
| CN114189361B (zh) * | 2021-11-19 | 2023-06-02 | 上海纽盾科技股份有限公司 | 防御威胁的态势感知方法、装置及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100379201C (zh) * | 2001-11-29 | 2008-04-02 | 上海交通大学 | 可控计算机网络的分布式黑客追踪的方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| US10171491B2 (en) * | 2014-12-09 | 2019-01-01 | Fortinet, Inc. | Near real-time detection of denial-of-service attacks |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
-
2018
- 2018-07-03 CN CN201810720807.0A patent/CN108881271B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901975A (zh) * | 2015-06-30 | 2015-09-09 | 北京奇虎科技有限公司 | 网站日志安全分析方法、装置及网关 |
| CN107046543A (zh) * | 2017-04-26 | 2017-08-15 | 国家电网公司 | 一种面向攻击溯源的威胁情报分析系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881271A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| CN108881294B (zh) | 基于网络攻击行为的攻击源ip画像生成方法以及装置 | |
| CN110177108B (zh) | 一种异常行为检测方法、装置及验证系统 | |
| CN109299135B (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| US20100169973A1 (en) | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions | |
| CN111600880A (zh) | 异常访问行为的检测方法、系统、存储介质和终端 | |
| CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
| CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| CN113965419B (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN114579636A (zh) | 数据安全风险预测方法、装置、计算机设备和介质 | |
| CN114461864A (zh) | 一种告警溯源方法和装置 | |
| CN111756745B (zh) | 告警方法、告警装置、终端设备及计算机可读存储介质 | |
| CN111371581A (zh) | 物联网卡业务异常检测的方法、装置、设备和介质 | |
| KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
| CN108268775B (zh) | 一种Web漏洞检测方法、装置、电子设备及存储介质 | |
| EP4111660A1 (en) | Cyberattack identification in a network environment | |
| CN111064730A (zh) | 网络安全检测方法、装置、设备及存储介质 | |
| CN106446687B (zh) | 恶意样本的检测方法及装置 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Applicant after: Hangzhou Anheng Information Technology Co.,Ltd. Address before: 310051 15-storey Zhejiang Zhongcai Building, No. 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Hangzhou Anheng Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |