CN110602032A - 攻击识别方法及设备 - Google Patents
攻击识别方法及设备 Download PDFInfo
- Publication number
- CN110602032A CN110602032A CN201910533815.9A CN201910533815A CN110602032A CN 110602032 A CN110602032 A CN 110602032A CN 201910533815 A CN201910533815 A CN 201910533815A CN 110602032 A CN110602032 A CN 110602032A
- Authority
- CN
- China
- Prior art keywords
- access request
- attack
- attack behavior
- waf
- honeypot system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的目的是提供一种攻击识别方法及设备,本发明通过将蜜罐系统直接集成到云WAF,二者直接进行联动;在黑客针对真实业务系统进行攻击的时候,可以将黑客的访问请求无感诱导至蜜罐系统,黑客将不会继续对真实业务系统进行攻击;通过蜜罐系统中获取的各种攻击手法,来训练WAF防护规则和/或模型,可以提升云WAF防护能力。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种攻击识别方法及设备。
背景技术
随着云WAF(网站应用级入侵防御系统,Web Application Firewall)的发展,因其具备的良好扩展性、稳定性以及易维护等特点,更多的政企单位开始采用云WAF的方式来保护业务系统安全。云WAF经过多年的发展,不单单需要具备防御能力,还需具备事件分析能力、防护攻击情况可视化能力、溯源能力。
网络世界里每天有大量的攻击发生,如果将所有数据同等级展示将不利于维护人员发现其中高威胁攻击者。
针对攻击可以分为两种类型:
一种是漫无目标的网络扫描器扫描,其攻击目标不明确,威胁程度也不高,对用户分析攻击时意义不是很大;
另外一种是黑客专门针对某个具体系统进行攻击,此类攻击特点为攻击目标明确,其攻击的最终目的就是入侵这个特定目标系统,由此来获取系统中的各种数据,或对系统进行破坏,攻击威胁程度最高,需要重点关注及防御。
面对大量的攻击,云WAF威胁分析能力需要具备从中提取这种威胁等级高的攻击。
现有的方案一为无蜜罐方案,其中,云WAF检测到威胁后直接对攻击者进行阻断。此种处置模式因为在检测到攻击后将攻击阻断了,攻击者可能不会再次攻击,或者改变攻击方向,如攻击此单位的其他系统。这种方式仅能获知黑客掌握的部分攻击方法,无法获知该攻击者所掌握的更多的攻击手法及样本。同样的因为没有使用蜜罐,其不具备蜜罐所拥有的优势,比如迷惑攻击者一直攻击蜜罐,而不会对真实业务系统产生影响。
现有方案二为云WAF和蜜罐是分开运行方案,其中,该现有的方案未进行业务关联,各自运行,蜜罐虽然可以诱捕很多攻击手法,但是当黑客针对真实系统进行攻击时,如企业官网进行攻击时,无法将攻击者诱捕到蜜罐系统中。
同样蜜罐收集到的攻击手法需要通过转换才可以应用到WAF产品,并且需要自己制定规则来进行防护,时延大,并且因为数据隔离,分析结果无法直接提供给客户使用,诱捕与防御没有关联。
发明内容
本发明的一个目的是提供一种攻击识别方法及设备。
根据本发明的一个方面,提供了一种攻击识别方法,该方法包括:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
进一步的,上述方法中,若包含攻击行为,将所述访问请求发送至蜜罐系统之后,还包括:
记录所述访问请求对所述蜜罐系统的攻击行为数据;
基于所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化。
进一步的,上述方法中,接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中攻击行为的攻击程度是否大于预设阈值,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理,包括:
若所述攻击行为的攻击程度小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统,包括:
若所述攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
进一步的,上述方法中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
进一步的,上述方法中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
从所述访问请求中提取请求体和响应数据;
按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
进一步的,上述方法中,所述蜜罐系统包括WEB蜜罐系统。
根据本发明的另一方面,还提供了一种攻击识别设备,该设备包括:
云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
诱导模块,用于当云WAF检测防御模块检测到包含攻击行为,将所述访问请求发送至蜜罐系统;
真实服务器,用于对从云WAF检测防御模块接收到的所述访问请求进行处理;
蜜罐系统,用于对从诱导模块接收到的所述访问请求进行处理。
进一步的,上述设备中,所述蜜罐系统,还用于记录所述访问请求对所述蜜罐系统的攻击行为数据;
所述设备还包括:
大数据分析模块,用于基于所述蜜罐系统所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化,并将优化后的WAF防护规则和/或模型发送至云WAF检测防御模块。
进一步的,上述设备中,所述云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中攻击行为的攻击程度是否大于预设阈值,若所述攻击行为的攻击程度小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
所述诱导模块,用于当所述云WAF检测防御模块检测到访问请求中攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
进一步的,上述设备中,所述云WAF检测防御模块,用于当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
进一步的,上述设备中,所述云WAF检测防御模块,用于从所述访问请求中提取请求体和响应数据;按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
进一步的,上述设备中,所述蜜罐系统包括WEB蜜罐系统。
根据本发明的另一面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
根据本发明的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
与现有技术相比,本发明通过将蜜罐系统直接集成到云WAF,二者直接进行联动;在黑客针对真实业务系统进行攻击的时候,可以将黑客的访问请求无感诱导至蜜罐系统,黑客将不会继续对真实业务系统进行攻击;通过蜜罐系统中获取的各种攻击手法,来训练WAF防护规则和/或模型,可以提升云WAF防护能力。蜜罐系统诱捕的攻击行为数据可以作为云WAF的威胁分析数据源,提升当前云WAF针对高威胁攻击的识别能力,筛选出真正的威胁者,为威胁等级提供参考维度;例如,黑客被诱导至蜜罐系统并破解蜜罐,登录蜜罐系统,则其为高危攻击者。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出本发明一实施例的攻击识别方法的原理图;
图2示出本发明一实施例的诱导模块的模式示意图;
图3示出本发明一实施例的指定目录诱导过程示意图;
图4示出本发明一实施例的威胁设备诱导过程示意图;
图5示出本发明一实施例的黑客诱导至WEB蜜罐系统的示意图;
图6示出本发明一实施例的大数据分析模块的原理图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本发明提供一种攻击识别方法,所述方法包括:
步骤S1,接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为;
在此,如图1所示,云WAF检测防御模块可以通过接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求的攻击程度是否大于预设阈值,云WAF检测防御模块可以用来检测访客访问是否有攻击行为,是否需要将其与真实服务器进行阻断;
步骤S2,若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
步骤S3,若包含攻击行为,将所述访问请求发送至蜜罐系统。
在此,如图1所示,若访问请求中包含攻击行为,可以通过诱导模块将访问请求诱导至蜜罐系统,使访客攻击仅针对蜜罐系统,保证了真实服务器(Server)的业务系统的安全。
本发明的攻击识别方法一实施例中,步骤S1,接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
步骤S1,接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中攻击行为的攻击程度是否大于预设阈值,
步骤S2,若未包含攻击行为,则将所述访问请求发送给真实服务器处理,包括:
若所述攻击行为的攻击程度小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
步骤S3,若包含攻击行为,将所述访问请求发送至蜜罐系统,包括:
若所述攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
在此,通过判断是否超过预设阈值,若访问请求的攻击程度大于预设阈值,可以将访问请求诱导至蜜罐系统,使访客攻击仅针对蜜罐系统,可以更可靠的保证真实服务器的业务系统的安全。
本发明的攻击识别方法一实施例中,步骤S3,若包含攻击行为,将所述访问请求发送至蜜罐系统之后,还包括:
步骤S4,记录所述访问请求对所述蜜罐系统的攻击行为数据;
步骤S5,基于所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化。
在此,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力;
蜜罐作为一种诱捕攻击的方式,其可以让黑客尽可能的将自身具备的攻击方法在其中施展,用来发现很多新型攻击手法,并且可以成功入侵蜜罐的黑客其本身具备威胁程度特征;
如图1所示,可以通过诱导模块诱导后,黑客将访问到带非强口令账号的“企业核心系统”的蜜罐系统,黑客进行相关破解后将可获得登录蜜罐系统权限;
将黑客诱导至蜜罐系统后,蜜罐系统开始记录其各种攻击行为数据,如暴力破解、木马上传等。如图5所示,如果黑客入侵成功了WEB蜜罐系统,可以确定此黑客威胁程度高,针对企业系统威胁程度高;
蜜罐系统入侵行为可以作为云WAF IP画像的其中一个维度,绘制出IP画像更丰富;
如图1所示,可以通过大数据分析模块对黑客攻击样本手法进行统计分析;通过统计黑客采用的各种攻击方式,发现云WAF还未知的攻击方式方法;然后可以将统计结果作为该攻击IP画像的一个维度,可视化展示此黑客的威胁程度。
本发明基于当前云WAF需要提升防护能力及定位攻击威胁程度出发,将云WAF与蜜罐结合,搭建的WEB蜜罐系统,蜜罐系统本身可以是附属于云WAF的一个功能模块,用来捕获攻击者攻击手法,提升云WAF防护能力,可以根据域名信息可以明确判断出黑客攻击对象。
另外,因为非攻击者不会去破解蜜罐或者尝试探测企业后台,因此可以利用WEB蜜罐系统的特点来提升当前云WAF针对高威胁攻击的识别能力,筛选出真正的威胁者,为威胁等级、IP画像等作为参考维度;本发明根据从蜜罐系统中获取的各种攻击行为数据如攻击手法,来训练WAF防护规则和/或模型,提升云WAF防护能力以及检测精准度;挖掘未知的攻击手法,如0day漏洞等;在将黑客引导至WEB蜜罐时,攻击者的访问请求被引导至蜜罐后采用的攻击手法中如果有当前云WAF未知的攻击手法、样本信息的话,如0day。可以结合人工分析、实时分析、离线分析等方式,可以生成云WAF新的防御规则,比如针对获取的0day,云WAF生成相关优化后的防御规则和/或模型,并将其使用与云WAF的防护中,如图1和6所示,云WAF检测防御模块从大数据分析模块获取化后的WAF防护规则和/或模型,后续云WAF检测防御模块就可以按照优化后的WAF防护规则和/或模型检测访问请求是否包括攻击行为,由此来提升云WAF防御未知威胁的能力。
本发明的攻击识别方法一实施例中,步骤S1中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
在此,如图2所示,可以通过诱导模块,当诱导模块的模式是“指定目录诱导”,例如,当一个站点没有”/admin”目录,但是黑客的访问请求包括扫描带”/admin”目录时,基本可以判断黑客在尝试猜解系统后台地址,如有此种方式出现将会将诱导至对应的WEB蜜罐系统中,例如蜜罐Server1、蜜罐Server2、蜜罐Server…中的某一个。
本实施例的检测目录名称仅是诱导模块的一个模式即“指定目录诱导模式”,本发明还可以包括其他各种可用的模式。
具体的,如图3所示,指定目录诱导过程可以如下:
正常访客在访问网站时有一定的顺序性,比如先访问首页,然后点登录或注册等页面,并且访问页面一般均为存在的页面;而黑客在攻击网站前一般会对网站后台进行猜解,如/admin、/login等。
步骤一:设置需要进行诱导的目录,如:“/admin”
步骤二:访客发起请求,访问云WAF防御集群下的某站点;
步骤三:云WAF检测防御模块检测是否开启了WEB蜜罐系统并且为目录诱导模式;
如果开启了WEB蜜罐,检测其模式是否为“指定目录诱导”,如果是,检测访客访问目录是否为预设的目录名称,如果访问请求中访问的目录名称为预设的目录名称,则将所述访问请求直接引导至蜜罐系统。
本发明的攻击识别方法一实施例中,步骤S1中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
从所述访问请求中提取请求体和响应数据;
按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
在此,如图2所示,诱导模块的诱导模式还可以为“威胁设备诱导”,此种方式会将识别出来的发起了恶意攻击的终端设备(如浏览器、APP等)诱导至蜜罐系统。
如图4所示,威胁设备诱导的过程可以具体包括:
步骤一:云WAF检测模块判断某IP访问请求中是否有攻击风险。可以对访客发起的访问请求中的请求体(http请求报文请求体)及响应数据通过AI模型(人工智能模型)+WAF防护规则双引擎进行检测,检测访问请求是否进行了恶意扫描或恶意攻击。
所述模型及规则可以来源于多年的经验积累、国内外权威系统如CNNVD、CVE、OWASP等。常规攻击分析一般采用规则方式或者按照漏洞风险级别作为威胁程度的维度。
步骤二:检查是否开启了WEB蜜罐系统,并且模式是否为“威胁设备诱导”;
步骤三:如果攻击无威胁或威胁程度低则云WAF检测模块直接将所述访问请求发送至真实服务器(Server)去取数据;如果有恶意扫描或者高危攻击,云WAF检测模块可以将黑客的访问请求诱导至WEB蜜罐系统。
如果没有攻击的话可以走正常的云WAF访问路径,云WAF检测防御模块代理访客去所述真实服务器取数据,然后返回给访客。如果有攻击的话会将访问请求通过诱导模块诱导至蜜罐系统。
在将黑客引导至WEB蜜罐时,“威胁设备诱导”方式采用的的是云WAF已知的攻击方式,及防御模型分析结果。攻击者的访问请求被引导至蜜罐后采用的攻击手法中如果有当前云WAF未知的攻击手法、样本信息的话,如0day。结合人工分析、实时分析、离线分析等方式,可以生成云WAF新的防御规则,比如针对获取的0day,云WAF生成相关优化后的防御规则和/或模型,并将其使用与云WAF的防护中,由此来提升云WAF防御未知威胁的能力
本发明中的云WAF在定义威胁程度时可以按照攻击将会对系统产生的影响为维度,
例如在整个云WAF系统中,某黑客仅针对某一个系统进行了攻击,则此攻击针对性明显,将会被系统识别为高危攻击;
当攻击者触发了云WAF的拦截并且拦截页面在浏览器中成功显示、进行了低频探测、有对webshell进行访问等类型的高危动作均会被识别为高风险攻击,从而可以准确判断需要将哪些用户诱导至蜜罐系统中。
本发明的攻击识别方法一实施例中,所述蜜罐系统包括WEB蜜罐系统。
在此,本实施例中将WEB蜜罐系统作为云WAF一个模块,WEB蜜罐系统云服务化,所有接入云WAF系统的站点均可直接使用,不需要客户进行部署,维护工作;并且WEB蜜罐系统是专门针对WEB系统搭建的,所有相对云WAF而言WEB蜜罐系统搜集到的数据价值更高。
根据本发明的另一面,还提供一种攻击识别设备,该设备包括:
云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
诱导模块,用于当云WAF检测防御模块检测到包含攻击行为,将所述访问请求发送至蜜罐系统;
真实服务器,用于对从云WAF检测防御模块接收到的所述访问请求进行处理;
蜜罐系统,用于对从诱导模块接收到的所述访问请求进行处理。
本发明的攻击识别设备一实施例中,所述蜜罐系统,还用于记录所述访问请求对所述蜜罐系统的攻击行为数据;
所述设备还包括:
大数据分析模块,用于基于所述蜜罐系统所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化,并将优化后的WAF防护规则和/或模型发送至云WAF检测防御模块。
本发明的攻击识别设备一实施例中,所述云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中攻击行为的攻击程度是否大于预设阈值,若所述攻击行为的攻击程度小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
所述诱导模块,用于当所述云WAF检测防御模块检测到访问请求中攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
本发明的攻击识别设备一实施例中,所述云WAF检测防御模块,用于当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
本发明的攻击识别设备一实施例中,所述云WAF检测防御模块,用于从所述访问请求中提取请求体和响应数据;按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
本发明的攻击识别设备一实施例中,所述蜜罐系统包括WEB蜜罐系统。
本发明还提供一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
本发明还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
本发明的各设备和存储介质实施例的详细内容,具体可参见各方法实施例的对应部分,在此,不再赘述。
综上所述,本发明通过将蜜罐系统直接集成到云WAF,二者直接进行联动;在黑客针对真实业务系统进行攻击的时候,可以将黑客的访问请求无感诱导至蜜罐系统,黑客将不会继续对真实业务系统进行攻击;通过蜜罐系统中获取的各种攻击手法,来训练WAF防护规则和/或模型,可以提升云WAF防护能力。蜜罐系统诱捕的攻击行为数据可以作为云WAF的威胁分析数据源,提升当前云WAF针对高威胁攻击的识别能力,筛选出真正的威胁者,为威胁等级提供参考维度;例如,黑客被诱导至蜜罐系统并破解蜜罐,登录蜜罐系统,则其为高危攻击者。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (14)
1.一种攻击识别方法,其中,该方法包括:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
2.根据权利要求1所述的方法,其中,若包含攻击行为,将所述访问请求发送至蜜罐系统之后,还包括:
记录所述访问请求对所述蜜罐系统的攻击行为数据;
基于所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化。
3.根据权利要求1所述的方法,其中,接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中攻击行为的攻击程度是否大于预设阈值,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理,包括:
若所述攻击行为的攻击程度小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统,包括:
若所述攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
4.根据权利要求1所述的方法,其中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
5.根据权利要求1所述的方法,其中,按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,包括:
从所述访问请求中提取请求体和响应数据;
按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
6.根据权利要求1至5任一项所述的方法,其中,所述蜜罐系统包括WEB蜜罐系统。
7.一种攻击识别设备,其中,该设备包括:
云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
诱导模块,用于当云WAF检测防御模块检测到包含攻击行为,将所述访问请求发送至蜜罐系统;
真实服务器,用于对从云WAF检测防御模块接收到的所述访问请求进行处理;
蜜罐系统,用于对从诱导模块接收到的所述访问请求进行处理。
8.根据权利要求7所述的设备,其中,所述蜜罐系统,还用于记录所述访问请求对所述蜜罐系统的攻击行为数据;
所述设备还包括:
大数据分析模块,用于基于所述蜜罐系统所记录的攻击行为数据,对所述WAF防护规则和/或模型进行优化,并将优化后的WAF防护规则和/或模型发送至云WAF检测防御模块。
9.根据权利要求7所述的设备,其中,所述云WAF检测防御模块,用于接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为的攻击程度是否大于预设阈值,若小于等于所述预设阈值,则将所述访问请求发送给真实服务器处理;
所述诱导模块,用于当所述云WAF检测防御模块检测到访问请求中是否包含攻击行为的攻击程度大于所述预设阈值,将所述访问请求发送至蜜罐系统。
10.根据权利要求7所述的设备,其中,所述云WAF检测防御模块,用于当检测到所述访问请求中包括预设的目录名称时,则确定所述访问请求中包含攻击行为。
11.根据权利要求7所述的设备,其中,所述云WAF检测防御模块,用于从所述访问请求中提取请求体和响应数据;按照WAF防护规则和/或人工智能模型模型,检测所述请求体和响应数据中是否包含攻击行为。
12.根据权利要求7至11任一项所述的设备,其中,所述蜜罐系统包括WEB蜜罐系统。
13.一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
14.一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
接收访问请求,并按照WAF防护规则和/或模型检测所述访问请求中是否包含攻击行为,
若未包含攻击行为,则将所述访问请求发送给真实服务器处理;
若包含攻击行为,将所述访问请求发送至蜜罐系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910533815.9A CN110602032A (zh) | 2019-06-19 | 2019-06-19 | 攻击识别方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910533815.9A CN110602032A (zh) | 2019-06-19 | 2019-06-19 | 攻击识别方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110602032A true CN110602032A (zh) | 2019-12-20 |
Family
ID=68852630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910533815.9A Pending CN110602032A (zh) | 2019-06-19 | 2019-06-19 | 攻击识别方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602032A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343174A (zh) * | 2020-02-22 | 2020-06-26 | 上海观安信息技术股份有限公司 | 一种智能学习式自应答工业互联网蜜罐诱导方法及系统 |
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112995168A (zh) * | 2021-02-22 | 2021-06-18 | 云盾智慧安全科技有限公司 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
| CN113411314A (zh) * | 2021-05-26 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
| CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| US20150121529A1 (en) * | 2012-09-28 | 2015-04-30 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN106850690A (zh) * | 2017-03-30 | 2017-06-13 | 国家电网公司 | 一种蜜罐构造方法及系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
-
2019
- 2019-06-19 CN CN201910533815.9A patent/CN110602032A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150121529A1 (en) * | 2012-09-28 | 2015-04-30 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN103051605A (zh) * | 2012-11-21 | 2013-04-17 | 国家计算机网络与信息安全管理中心 | 一种数据包处理方法、装置和系统 |
| CN106850690A (zh) * | 2017-03-30 | 2017-06-13 | 国家电网公司 | 一种蜜罐构造方法及系统 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111343174A (zh) * | 2020-02-22 | 2020-06-26 | 上海观安信息技术股份有限公司 | 一种智能学习式自应答工业互联网蜜罐诱导方法及系统 |
| CN111343174B (zh) * | 2020-02-22 | 2022-04-26 | 上海观安信息技术股份有限公司 | 一种智能学习式自应答工业互联网蜜罐诱导方法及系统 |
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
| CN112367315A (zh) * | 2020-11-03 | 2021-02-12 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112367315B (zh) * | 2020-11-03 | 2021-09-28 | 浙江大学 | 一种内生安全waf蜜罐部署方法 |
| CN112995168A (zh) * | 2021-02-22 | 2021-06-18 | 云盾智慧安全科技有限公司 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
| CN112995168B (zh) * | 2021-02-22 | 2022-11-08 | 云盾智慧安全科技有限公司 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
| CN113411314A (zh) * | 2021-05-26 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
| CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
| CN114726608B (zh) * | 2022-03-31 | 2024-09-13 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
| CN115118500A (zh) * | 2022-06-28 | 2022-09-27 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
| CN115118500B (zh) * | 2022-06-28 | 2023-11-07 | 深信服科技股份有限公司 | 攻击行为规则获取方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110602032A (zh) | 攻击识别方法及设备 | |
| US20210152520A1 (en) | Network Firewall for Mitigating Against Persistent Low Volume Attacks | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US9356957B2 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| Tjhai et al. | Investigating the problem of IDS false alarms: An experimental study using Snort | |
| CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
| US10372907B2 (en) | System and method of detecting malicious computer systems | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| Fraunholz et al. | Defending web servers with feints, distraction and obfuscation | |
| CN103701794A (zh) | 拒绝服务攻击的识别方法和装置 | |
| CN108282446B (zh) | 识别扫描器的方法及设备 | |
| Wang et al. | RansomTracer: exploiting cyber deception for ransomware tracing | |
| Riadi et al. | Vulnerability analysis of E-voting application using open web application security project (OWASP) framework | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
| CN110611673B (zh) | Ip信用计算方法、装置、电子设备及介质 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| CN112491817A (zh) | 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 | |
| Li | An empirical analysis on threat intelligence: Data characteristics and real-world uses | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| Ng et al. | Advanced persistent threat detection based on network traffic noise pattern and analysis | |
| CN113923025A (zh) | 一种工控网络中的威胁检测方法 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191220 |
|
| RJ01 | Rejection of invention patent application after publication |