CN110839025A - 中心化web渗透检测蜜罐方法、装置、系统及电子设备 - Google Patents
中心化web渗透检测蜜罐方法、装置、系统及电子设备 Download PDFInfo
- Publication number
- CN110839025A CN110839025A CN201911092037.0A CN201911092037A CN110839025A CN 110839025 A CN110839025 A CN 110839025A CN 201911092037 A CN201911092037 A CN 201911092037A CN 110839025 A CN110839025 A CN 110839025A
- Authority
- CN
- China
- Prior art keywords
- web
- request
- information
- honeypot
- web request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种中心化web渗透检测蜜罐方法、装置、系统及电子设备,涉及蜜罐技术领域,包括:确定来自第一web蜜罐的当前web请求,所述当前web请求包括参数信息;基于所述当前web请求的参数信息匹配目标处理策略;根据所述目标处理策略对所述当前web请求进行恶意信息检测;如果恶意信息检测的结果为攻击信息,则触发告警。解决了蜜罐的检测对软硬件资源及网络资源的需求量较大的技术问题。
Description
技术领域
本申请涉及蜜罐技术领域,尤其是涉及一种中心化web渗透检测蜜罐方法、装置、系统及电子设备。
背景技术
蜜罐技术是一种基于欺骗防御的理念发展而来的网络安全技术。传统的蜜罐安全技术厂商在实现web渗透检测蜜罐时,都是在同一蜜罐节点上开发出服务模拟、请求接收、威胁检测等能力。
在复杂网络环境下,为了充分覆盖客户网络,通常需要批量部署大量的web渗透检测蜜罐。这就可能导致实际需要部署的web渗透检测蜜罐的数量非常多。而蜜罐数量越多,对软硬件资源及网络资源的需求量就越大,从而造成应用瓶颈。
发明内容
本发明的目的在于提供一种中心化web渗透检测蜜罐方法、装置、系统及电子设备,以解决蜜罐的检测对软硬件资源及网络资源的需求量较大的技术问题。
第一方面,本申请实施例提供了一种中心化web渗透检测蜜罐方法,包括:
确定来自第一web蜜罐的当前web请求,所述当前web请求包括参数信息;
基于所述当前web请求的参数信息匹配目标处理策略;
根据所述目标处理策略对所述当前web请求进行恶意信息检测;
如果恶意信息检测的结果为攻击信息,则触发告警。
在一个可能的实现中,基于所述当前web请求的请求头信息和参数信息匹配目标处理策略的步骤,包括:
对所述当前web请求进行格式化处理,生成统一格式的第一web请求,通过所述第一web蜜罐的标识对所述当前web请求进行标记,得到第二web请求;
基于所述第二web请求的请求头信息和参数信息,确定所述第二web请求的类型;
基于所述第二web请求的类型匹配目标处理策略。
在一个可能的实现中,所述攻击信息包括:
命令执行攻击、本地包含文件攻击、远程文件包含攻击、CRLF攻击、sql注入攻击、php代码注入攻击、xss攻击中的任意一项。
在一个可能的实现中,触发告警的步骤包括:
基于所述攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,所述告警信息用于指示所述第一web蜜罐受到攻击。
第二方面,提供了一种中心化web渗透检测蜜罐系统,包括:web渗透检测中心以及至少一个web蜜罐;
每个所述web蜜罐,用于仿真业务网站,接收针对仿真的业务网站的服务请求,以及将所述针对仿真的业务网站的web请求发送至所述web渗透检测中心;
所述web渗透检测中心,用于接收每个蜜罐节点转发的web请求,对web请求进行检测分析,如果检测到存在攻击载荷的web请求,则针对该web请求进行攻击告警。
第三方面,本申请实施例又提供了一种中心化web渗透检测蜜罐装置,包括:
确定模块,用于确定来自第一web蜜罐的当前web请求,所述当前web请求包括参数信息;
匹配模块,用于基于所述当前web请求的参数信息匹配目标处理策略;
检测模块,用于根据所述目标处理策略对所述当前web请求进行恶意信息检测;
触发模块,用于如果恶意信息检测的结果为攻击信息,则触发告警。
在一个可能的实现中,所述匹配模块具体用于:
对所述当前web请求进行格式化处理,生成统一格式的第一web请求,通过所述第一web蜜罐的标识对所述当前web请求进行标记,得到第二web请求;
基于所述第二web请求的请求头信息和参数信息,确定所述第二web请求的类型;
基于所述第二web请求的类型匹配目标处理策略。
在一个可能的实现中,所述触发模块具体用于:
基于所述攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,所述告警信息用于指示所述第一web蜜罐受到攻击。
第四方面,本申请实施例又提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的第一方面所述方法。
第五方面,本申请实施例又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述的第一方面所述方法。
本申请实施例带来了以下有益效果:
本申请实施例提供的一种中心化web渗透检测蜜罐方法、装置、系统及电子设备,能够确定包括了参数信息的来自第一web蜜罐的当前web请求,然后,可以基于当前web请求的参数信息匹配目标处理策略,再根据目标处理策略对当前web请求进行恶意信息检测,若恶意信息检测的结果为攻击信息则触发告警,通过将来自web蜜罐的当前web请求统一的根据目标处理策略进行恶意信息检测,能够对不同的web蜜罐进行集中的恶意信息检测,而无需对每一套业务都部署具备web检测能力的蜜罐,从而降低每个蜜罐节点的软硬件资源及网络资源的占用率,解决蜜罐的检测对软硬件资源及网络资源的需求量较大的技术问题。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种中心化web渗透检测蜜罐方法的流程示意图;
图2为本申请实施例提供的web渗透攻击流量流转的示意图;
图3为本申请实施例提供的整体方案框架的示意图;
图4为本申请实施例提供的web渗透检测中心的内部结构的示意图;
图5为本申请实施例提供的一种中心化web渗透检测蜜罐装置的结构示意图;
图6为示出了本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
在本申请的描述中,除非另有说明,“至少一个”的含义是指一个或一个以上。
下面将详细描述本申请的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本申请的全面理解。但是,对于本领域技术人员来说很明显的是,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请的更好的理解。本申请决不限于下面所提出的任何具体配置和算法,而是在不脱离本申请的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本申请造成不必要的模糊。
目前,基于欺骗防御技术的蜜罐网络,到目前为止已经发展的相对成熟。然而在web渗透检测技术方面,现有的蜜罐技术通常是在一个蜜罐当中模拟web服务的同时,对web请求做检测过滤,然后触发攻击告警。如果需要部署多台蜜罐,则每台蜜罐都同时具有web服务模拟、请求接收和请求检测的功能,单蜜罐节点构造复杂,势必要占用更多的资源。且系统出现问题的概率也会大大增加。
现有的web渗透蜜罐技术本质属于单点多功能的设计,系统复杂度较高,对于开发人员来说,维护起来较为困难,一次大的升级可能需要变更多个组件。对于部署实施人员来说,部署单个蜜罐出现问题的概率也相对较高。此外,对于业务系统的资源占用也较大。
基于此,本申请实施例提供的一种中心化web渗透检测蜜罐方法、装置、系统及电子设备,可以解决现有技术中存在的蜜罐的检测对软硬件资源及网络资源的需求量较大的技术问题。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种中心化web渗透检测蜜罐方法、装置、系统及电子设备进行详细介绍。
图1为本申请实施例提供的一种中心化web渗透检测蜜罐方法的流程示意图。如图1所示,该方法包括:
S110,确定来自第一web蜜罐的当前web请求。
当前web请求包括参数信息。
需要说明的是,蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
S120,基于当前web请求的参数信息匹配目标处理策略。
其中,参数信息可以为请求的头信息、远程主机、请求url等参数。对于匹配的过程,示例性的,可以根据当前web请求的类型匹配不同的处理策略。
S130,根据目标处理策略对当前web请求进行恶意信息检测。
对于检测的过程,示例性的,可以将当前web请求分别放入对应策略中要求的检测模块。
S140,如果恶意信息检测的结果为攻击信息,则触发告警。
例如,如图2所示,web蜜罐1仿真一个真实的业务网站,攻击者由外部通过渗透工具攻击web蜜罐1;然后,产生的恶意请求被web蜜罐1的流量转发模块发送到web渗透检测中心;之后,web渗透检测中心通过内置请求预处理器标准化请求参数后,调用内置检测模块进行检测,分析出攻击payload,攻击路径,真人概率等价值信息。一旦检测到真实攻击,则发出攻击告警信息。
本申请实施例提供的中心化web渗透检测蜜罐方法可以作为一种基于docker、沙箱等技术实现的中心化web渗透检测蜜罐系统。其中,docker是一个开源的应用容器引擎,使开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。沙箱(Sandboxie)是一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
通过请求转发的方式,将不同模拟不同业务系统的web蜜罐接收到的请求统一转发到web渗透检测中心(即检测中心),由检测中心集中检测web请求中是否包含恶意信息,并返回web端请求的恶意信息情况。因此,仅仅只需要一套web检测系统,即可对业务环境中不同web蜜罐提供渗透检测服务,而无需对每一套业务都部署同时具备web模拟及渗透检测能力的蜜罐。
本申请实施例提供的方法可以应用于蜜罐系统,如图3所示,蜜罐系统可以分为web渗透检测中心和web蜜罐两个部分。web渗透检测中心能够接收所有蜜罐节点转发的web请求,并对web请求进行检测分析,如果检测到有攻击payload,则进行攻击告警。通过将流量转发模块安装到正常业务系统,可实现无需安装蜜罐即可对正常业务web网站实现安全检测的能力。
其中,web蜜罐包含服务模拟和请求转发两个模块。服务模拟模块负责仿真不同的业务网站,并负责接收黑客对网站的恶意请求。在接收到请求后,由请求转发模块将请求统一发送到检测中心而不做其他额外的操作,系统构造简单,利于维护和定制化。当需要仿真不同的网站时,仅需要更改网站静态页面资源即可。需要说明的是,web蜜罐的请求转发模块可单独抽出,迁入到正常的网站后台,复制正常网站的请求,并发送到检测中心,实现对正常网站的安全监测。
在实际部署的蜜罐集群中,每个蜜罐都只负责web服务的模拟和请求的接收及转发,然后只需要再单独部署一个web渗透检测中心,负责接收所有蜜罐的web请求并进行分析,对真正的攻击进行告警,从而降低每个蜜罐节点的资源占用率,提高系统鲁棒性。
再者,通过web服务仿真和web渗透威胁检测相解耦的设计,实现web渗透检测的蜜罐功能解耦,能够让web渗透蜜罐的变得更轻量,在实际应用中对系统的资源占用也更小,使每个蜜罐本身轻量化、专业化,实现系统轻量化,资源占用最小化,在降低蜜罐监控系统复杂度的同时,还能够提高系统的可靠性、可用性。
web蜜罐中的流量转发模块还可以单独移植或者迁入到正常的业务系统中,直接镜像正常的业务请求数据到web渗透检测中心,实现对正常web系统的流量监测的功能。
下面对上述步骤进行详细介绍。
在一些实施例中,上述步骤S120可以包括如下步骤:
对当前web请求进行格式化处理,生成统一格式的第一web请求,通过第一web蜜罐的标识对当前web请求进行标记,得到第二web请求;
基于第二web请求的请求头信息和参数信息,确定第二web请求的类型;
基于第二web请求的类型匹配目标处理策略。
如图4所示,web渗透检测中心主要包含请求预处理器、恶意信息检测模块、告警数据产出模块。
其中,请求预处理器负责将不同web蜜罐端所转发的web请求,进行格式化处理,生成统一格式的可被恶意信息检测模块使用的请求格式,包含请求的头信息、远程主机、请求url等参数,并将请求标记上相应蜜罐的唯一标记。
需要说明的是,恶意信息检测模块负责对输入的请求数据进行过滤和威胁分析,根据请求的类型匹配不同的处理策略,从请求中提取请求参数,分别放入对应策略中要求的检测模块。
例如,检测到请求url中有shell操作命令,则投入到docker容器中进行执行,并获取执行结果。如果为恶意执行命令,则产生攻击信息,并将攻击信息附带相应web蜜罐端的唯一标识后,传递到告警数据产出模块。
通过基于第二web请求的请求头信息和参数信息确定第二web请求的类型,以及基于第二web请求的类型匹配目标处理策略,能够使得到的第二web请求的处理策略更加适应于该web请求,以保证后续检测过程更具有针对性,使检测结果的精确性提高。
在一些实施例中,攻击信息包括:
命令执行攻击、本地包含文件攻击、远程文件包含攻击、CRLF攻击、sql注入攻击、php代码注入攻击、xss攻击中的任意一项。
示例性的,恶意信息检测模块根据配置模块可检出:命令执行攻击、本地包含文件攻击、远程文件包含攻击、CRLF攻击、sql注入攻击、php代码注入攻击、xss攻击等。
因此,通过本申请实施例提供的方法,能够检测出更多方面的攻击信息,提高恶意信息检测结果的准确性。
在一些实施例中,上述步骤S140可以包括如下步骤:
基于攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,告警信息用于指示第一web蜜罐受到攻击。
例如,告警数据产出模块收到攻击信息后,按照预先配置的告警模板,向告警接收人发送。其中,告警信息用于通知指定位置的web服务蜜罐受到攻击。
通过基于攻击信息按照预先配置的告警模板发送告警信息,能够更加明确的向告警接收人指示出第一web蜜罐受到攻击,以便于告警接收人根据该告警信息采取有效措施。
本申请实施例提供的一种中心化web渗透检测蜜罐系统,包括:web渗透检测中心以及至少一个web蜜罐;
每个web蜜罐,用于仿真业务网站,接收针对仿真的业务网站的服务请求,以及将针对仿真的业务网站的web请求发送至web渗透检测中心;
web渗透检测中心,用于接收每个蜜罐节点转发的web请求,对web请求进行检测分析,如果检测到存在攻击载荷的web请求,则针对该web请求进行攻击告警。
本申请实施例提供的中心化web渗透检测蜜罐系统,与上述实施例提供的中心化web渗透检测蜜罐方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
图5提供了一种中心化web渗透检测蜜罐装置的结构示意图。如图5所示,中心化web渗透检测蜜罐装置500包括:
确定模块501,用于确定来自第一web蜜罐的当前web请求,当前web请求包括参数信息;
匹配模块502,用于基于当前web请求的参数信息匹配目标处理策略;
检测模块503,用于根据目标处理策略对当前web请求进行恶意信息检测;
触发模块504,用于如果恶意信息检测的结果为攻击信息,则触发告警。
在一些实施例中,匹配模块具体用于:
对当前web请求进行格式化处理,生成统一格式的第一web请求,通过第一web蜜罐的标识对当前web请求进行标记,得到第二web请求;
基于第二web请求的请求头信息和参数信息,确定第二web请求的类型;
基于第二web请求的类型匹配目标处理策略。
在一些实施例中,触发模块具体用于:
基于攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,告警信息用于指示第一web蜜罐受到攻击。
本申请实施例提供的中心化web渗透检测蜜罐装置,与上述实施例提供的中心化web渗透检测蜜罐方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种电子设备,如图6所示,电子设备6包括存储器61、处理器62,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图6,电子设备还包括:总线63和通信接口64,处理器62、通信接口64和存储器61通过总线63连接;处理器62用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口64(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线63可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器62在接收到执行指令后,执行所述程序,前述本申请任一实施例揭示的过程定义的系统所执行的方法可以应用于处理器62中,或者由处理器62实现。
处理器62可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器62中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器62可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器62读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述方法的步骤。
本申请实施例所提供的中心化web渗透检测蜜罐装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、装置和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述移动控制方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种中心化web渗透检测蜜罐方法,其特征在于,包括:
确定来自第一web蜜罐的当前web请求,所述当前web请求包括参数信息;
基于所述当前web请求的参数信息匹配目标处理策略;
根据所述目标处理策略对所述当前web请求进行恶意信息检测;
如果恶意信息检测的结果为攻击信息,则触发告警。
2.根据权利要求1所述的方法,其特征在于,基于所述当前web请求的请求头信息和参数信息匹配目标处理策略的步骤,包括:
对所述当前web请求进行格式化处理,生成统一格式的第一web请求,通过所述第一web蜜罐的标识对所述当前web请求进行标记,得到第二web请求;
基于所述第二web请求的请求头信息和参数信息,确定所述第二web请求的类型;
基于所述第二web请求的类型匹配目标处理策略。
3.根据权利要求1所述的方法,其特征在于,所述攻击信息包括:
命令执行攻击、本地包含文件攻击、远程文件包含攻击、CRLF攻击、sql注入攻击、php代码注入攻击、xss攻击中的任意一项。
4.根据权利要求1所述的方法,其特征在于,触发告警的步骤包括:
基于所述攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,所述告警信息用于指示所述第一web蜜罐受到攻击。
5.一种中心化web渗透检测蜜罐系统,其特征在于,包括:web渗透检测中心以及至少一个web蜜罐;
每个所述web蜜罐,用于仿真业务网站,接收针对仿真的业务网站的服务请求,以及将所述针对仿真的业务网站的web请求发送至所述web渗透检测中心;
所述web渗透检测中心,用于接收每个蜜罐节点转发的web请求,对web请求进行检测分析,如果检测到存在攻击载荷的web请求,则针对该web请求进行攻击告警。
6.一种中心化web渗透检测蜜罐装置,其特征在于,包括:
确定模块,用于确定来自第一web蜜罐的当前web请求,所述当前web请求包括参数信息;
匹配模块,用于基于所述当前web请求的参数信息匹配目标处理策略;
检测模块,用于根据所述目标处理策略对所述当前web请求进行恶意信息检测;
触发模块,用于如果恶意信息检测的结果为攻击信息,则触发告警。
7.根据权利要求6所述的装置,其特征在于,所述匹配模块具体用于:
对所述当前web请求进行格式化处理,生成统一格式的第一web请求,通过所述第一web蜜罐的标识对所述当前web请求进行标记,得到第二web请求;
基于所述第二web请求的请求头信息和参数信息,确定所述第二web请求的类型;
基于所述第二web请求的类型匹配目标处理策略。
8.根据权利要求6所述的装置,其特征在于,所述触发模块具体用于:
基于所述攻击信息,按照预先配置的告警模板,向告警接收人发送告警信息,所述告警信息用于指示所述第一web蜜罐受到攻击。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行所述权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911092037.0A CN110839025A (zh) | 2019-11-08 | 2019-11-08 | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911092037.0A CN110839025A (zh) | 2019-11-08 | 2019-11-08 | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110839025A true CN110839025A (zh) | 2020-02-25 |
Family
ID=69576377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911092037.0A Pending CN110839025A (zh) | 2019-11-08 | 2019-11-08 | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110839025A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637226A (zh) * | 2020-12-28 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 站点访问响应方法、装置及电子设备 |
| CN113507440A (zh) * | 2021-06-08 | 2021-10-15 | 贵州电网有限责任公司 | 一种基于web应用运行时的零规则XSS攻击检测方法 |
| CN113515464A (zh) * | 2021-09-14 | 2021-10-19 | 广州锦行网络科技有限公司 | 基于linux系统的蜜罐测试方法及装置 |
| CN114567472A (zh) * | 2022-02-22 | 2022-05-31 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006078446A2 (en) * | 2005-01-18 | 2006-07-27 | International Business Machines Corporation | Intrusion detection system |
| CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
-
2019
- 2019-11-08 CN CN201911092037.0A patent/CN110839025A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006078446A2 (en) * | 2005-01-18 | 2006-07-27 | International Business Machines Corporation | Intrusion detection system |
| CN107465663A (zh) * | 2017-07-06 | 2017-12-12 | 广州锦行网络科技有限公司 | 一种网络无痕蜜罐的实现方法及装置 |
| CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
| CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张春瑞等: "《分布式蜜网中的重定向技术》", 《中国计算机学会信息保密专业委员会论文集》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637226A (zh) * | 2020-12-28 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 站点访问响应方法、装置及电子设备 |
| CN113507440A (zh) * | 2021-06-08 | 2021-10-15 | 贵州电网有限责任公司 | 一种基于web应用运行时的零规则XSS攻击检测方法 |
| CN113515464A (zh) * | 2021-09-14 | 2021-10-19 | 广州锦行网络科技有限公司 | 基于linux系统的蜜罐测试方法及装置 |
| CN113515464B (zh) * | 2021-09-14 | 2021-11-19 | 广州锦行网络科技有限公司 | 基于linux系统的蜜罐测试方法及装置 |
| CN114567472A (zh) * | 2022-02-22 | 2022-05-31 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10445502B1 (en) | Susceptible environment detection system | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
| US9973531B1 (en) | Shellcode detection | |
| US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| US10873597B1 (en) | Cyber attack early warning system | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| US10148693B2 (en) | Exploit detection system | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| US10581874B1 (en) | Malware detection system with contextual analysis | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| US10284575B2 (en) | Launcher for setting analysis environment variations for malware detection | |
| EP3014514B1 (en) | Zero-day discovery system | |
| US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
| Uitto et al. | A survey on anti-honeypot and anti-introspection methods | |
| WO2014003872A1 (en) | In-line filtering of insecure or unwanted mobile device software components or communications | |
| US20230370439A1 (en) | Network action classification and analysis using widely distributed honeypot sensor nodes | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN112152972A (zh) | 检测iot设备漏洞的方法和装置、路由器 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN112948829A (zh) | 文件查杀方法、系统、设备及存储介质 | |
| CN114697049B (zh) | WebShell检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200225 |
|
| RJ01 | Rejection of invention patent application after publication |