CN112995151B - 访问行为处理方法和装置、存储介质及电子设备 - Google Patents

访问行为处理方法和装置、存储介质及电子设备 Download PDF

Info

Publication number
CN112995151B
CN112995151B CN202110172274.9A CN202110172274A CN112995151B CN 112995151 B CN112995151 B CN 112995151B CN 202110172274 A CN202110172274 A CN 202110172274A CN 112995151 B CN112995151 B CN 112995151B
Authority
CN
China
Prior art keywords
attack
access request
access
data packet
application component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110172274.9A
Other languages
English (en)
Other versions
CN112995151A (zh
Inventor
唐文韬
甘祥
郑兴
范宇河
郭晶
申军利
彭婧
刘羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110172274.9A priority Critical patent/CN112995151B/zh
Publication of CN112995151A publication Critical patent/CN112995151A/zh
Application granted granted Critical
Publication of CN112995151B publication Critical patent/CN112995151B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种访问行为处理方法和装置、存储介质及电子设备。其中,该方法包括:在网络入口的交换机处对访问流量进行镜像处理后,探针服务器接收镜像处理后得到的镜像访问流量;探针服务器从镜像访问流量中解析出攻击访问请求;攻击访问请求命中目标应用部署的诱饵应用组件模板的情况下,探针服务器生成与攻击访问请求匹配的响应数据包;探针服务器将响应数据包返回触发攻击访问请求的攻击客户端。本发明解决了基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的技术问题。

Description

访问行为处理方法和装置、存储介质及电子设备
技术领域
本发明涉及计算机领域,具体而言,涉及一种访问行为处理方法和装置、存储介质及电子设备。
背景技术
针对在互联网中运行的一些重要计算机系统,常常会有很多恶意主体(如攻击方)对其发起不同的攻击行为,以试图获取其中重要的运行数据或用户信息等。
为了克服上述问题,目前常用的一种可选方式是采用传统蜜罐技术来迷惑上述发起攻击行为的恶意主体,以诱使其向伪造的蜜罐实施攻击,从而便于防御方清晰地了解所要面对的安全威胁,以增强重要计算机系统的安全防护能力。其中,传统蜜罐技术是一个包含漏洞的欺骗系统,它通过在真实场景中的一个或多个易受攻击的服务器上部署伪装服务代理程序,给攻击方提供一个容易攻击的目标,从而通过伪造的服务来实现对攻击访问行为的监听和记录。
也就是说,在一个服务器集群中部署蜜罐以延缓外部攻击者的攻击访问行为对服务器集群中整个业务的攻击节奏的过程中,由于蜜罐部署安装过程中依赖服务器中的很多软硬件组件,就需要在真实的网络环境中的不同服务器上分别执行部署操作。即,相关技术提供的蜜罐的部署操作复杂度较高,从而导致基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种访问行为处理方法和装置、存储介质及电子设备,以至少解决基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的技术问题。
根据本发明实施例的一个方面,提供了一种访问行为处理方法,包括:在网络入口交换机处对访问流量进行镜像后,探针服务器接收镜像处理后得到的镜像访问流量,其中,上述访问流量中包括用于请求对目标应用执行访问行为的访问请求;在上述探针服务器从上述镜像访问流量中解析出攻击访问请求,在上述攻击访问请求命中上述目标应用部署的诱饵应用组件模板的情况下,上述探针服务器生成与上述攻击访问请求匹配的响应数据包,其中,上述诱饵应用组件模板中包括模拟上述目标应用的应用组件生成的伪造组件;上述探针服务器将上述响应数据包返回触发上述攻击访问请求的攻击客户端。
根据本发明实施例的另一方面,还提供了一种访问行为处理装置,应用于探针服务器,上述装置包括:接收模块,用于在网络入口交换机处对访问流量进行镜像后,接收镜像处理后得到的镜像访问流量,其中,上述访问流量中包括用于请求对目标应用执行访问行为的访问请求;生成模块,用于从上述镜像访问流量中解析出攻击访问请求,在上述攻击访问请求命中上述目标应用部署的诱饵应用组件模板的情况下,生成与上述攻击访问请求匹配的响应数据包,其中,上述诱饵应用组件模板中包括模拟上述目标应用的应用组件生成的伪造组件;返回模块,用于上述响应数据包返回触发上述攻击访问请求的攻击客户端。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述访问行为处理方法。
根据本发明实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的访问行为处理方法。
在本发明实施例中,采用在网络入口交换机处部署探针服务器,并在探针服务器中设置诱饵应用组件模板的方式,通过将访问流量镜像由探针服务器进行处理响应,并利用诱饵应用组件模板对于访问流量进行攻击访问判断,达到了通过探针服务器对攻击访问进行处理并响应以实现通过探针服务器与攻击客户端交互拖延攻击时间的目的。在目标应用的网络入口交换机处的探针服务器中部署包含诱饵应用组件模板的蜜罐,从而实现在网络入口处集中部署蜜罐,以便于集中地基于攻击行为特征对访问流量进行攻击判断,并与诱饵应用组件模板中的诱饵地址进行匹配,实现对攻击访问行为的诱骗,以达到拖延交互时间的目的。也就是说将蜜罐集中部署在网络入口处的探针服务器中,而无需再对网络中各个宿主机单独部署蜜罐,从而达到简化蜜罐部署操作,提高部署效率的效果,进而解决了在基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的技术问题。此外,通过设置在网络入口交换机处的探针服务器来对镜像访问流量直接进行识别处理,也就是在网络入口处的服务器中部署蜜罐,从而实现直接对这些集中部署的蜜罐进行更新升级,而无需对有组织的蜜罐网络中已部署的蜜罐分别进行调整,提升了蜜罐部署的灵活性。再者,在网络入口处集中部署蜜罐,而不是在有组织的蜜罐网络中部署蜜罐,从而使得部署蜜罐的服务器与实际主机系统环境实现物理隔离,以确保基于蜜罐处理访问行为的安全性,降低访问行为的安全风险,进而避免相关技术中基于已有的虚拟化环境部署的蜜罐,陆续出现被利用使得攻击行为逃逸到宿主机所导致的安全漏洞。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的访问行为处理方法的应用环境的示意图;
图2是根据本发明实施例的一种可选的访问行为处理方法的流程示意图;
图3是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图4是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图5是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图6是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图7是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图8是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图9是根据本发明实施例的又一种可选的访问行为处理方法的流程示意图;
图10是根据本发明实施例的一种可选的访问行为处理装置的结构示意图;
图11是根据本发明实施例的一种可选的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种访问行为处理方法,可选地,作为一种可选的实施方式,上述访问行为处理方法可以但不限于应用于如图1所示的环境中。通过网络110接收对服务器一132,服务器二134,服务器三136和服务器四138的访问。服务器一132,服务器二134,服务器三136通过私有云交换机112接入网络110,私有云交换机112在服务器侧设置有私有防火墙122以对服务器进行数据交互保护。服务器四138通过公有云交换机114接入网络110,公有云交换机114在服务器侧设置有公有云防火墙124以对服务器进行数据交互保护。在网络110与私有云交换机112对接处设置有与私有云交换机112关联的探针服务器102。
在通过网络110发起对私有云交换机112中的服务器进行访问的情况下,将访问流量进行镜像。探针服务器102执行S102,接收镜像访问流量。访问流量中包括用于请求对目标服务器执行访问行为的访问请求。探针服务器102对接收到的镜像访问流量进行解析,在镜像访问流量中解析出携带有攻击行为特征的攻击访问请求,而且攻击访问请求命中为目标应用部署的诱饵应用组件模板的情况下,执行S104,生成响应数据包。响应数据包是与攻击访问请求匹配的数据包,诱饵应用组件模板中包括模拟目标应用的应用组件生成的伪造组件。探针服务器102在生成响应数据包后,执行S106,发送响应数据包。将响应数据包发送给触发此次攻击访问请求的攻击客户端。
可选地,在本实施例中,上述交换机是信号转发的网络设备,可以但不限于是:广域网交换机、局域网交换机、以太网交换机、快速以太网交换机、千兆以太网交换机。上述网络110可以包括但不限于:有线网络,无线网络,其中,该有线网络包括:局域网、城域网和广域网,该无线网络包括:蓝牙、WIFI及其他实现无线通信的网络。上述服务器可以是单一服务器,也可以是由多个服务器组成的服务器集群,或者是云服务器。上述仅是一种示例,本实施例中对此不作任何限定。
作为一种可选的实施方式,如图2所示,上述访问行为处理方法包括:
S202,在网络入口交换机处对访问流量进行镜像处理后,探针服务器接收镜像处理后得到的镜像访问流量,其中,访问流量中包括用于请求对目标应用执行访问行为的访问请求;
S204,在探针服务器从镜像访问流量中解析出攻击访问请求;
S206,在攻击访问请求命中为目标应用部署的诱饵应用组件模板的情况下,探针服务器生成与攻击访问请求匹配的响应数据包,其中,诱饵应用组件模板中包括模拟目标应用的应用组件生成的伪造组件;
S208,探针服务器将响应数据包返回触发攻击访问请求的攻击客户端。
可选地,对网络入口处接收到的访问流量进行镜像处理以得到镜像访问流量。镜像访问流量是指对于通过网络入口发起的真实访问流量进行复制得到的访问流量,利用探针服务器处理镜像访问流量。
可选地,在接收镜像访问流量之前,在探针服务器中部署诱饵应用组件模板。诱饵应用组件模板中可以但不限于包括多个模拟应用组件生成的伪造组件。伪造组件可以是应用组件复制得到的组件,伪造组件与应用组件具备相同的数据结构。伪造组件可以是需要进行访问安全保护的组件,被攻击次数较多的组件,容易被攻击的组件,任意应用组件。
可选地,攻击行为特征可以但不限于是指示发起访问流量的客户端具备攻击属性,访问流量本身具备攻击属性。攻击属性可以用于指示非正常访问,不安全访问。
可选地,攻击客户端可以是能够通过网络对交换机发起访问请求的任意客户端。在客户端访问请求命中诱饵应用组件模板的情况下,确定该客户端为攻击客户端。
可选地,在攻击客户端接收到响应数据包之后,攻击客户端会基于响应数据包与探针服务器进一步交互。在进一步交互过程中,探针服务器基于攻击客户端的每一次数据交互,生成相应的响应数据包以进行答复,从而通过多次响应交互以延缓攻击客户端对于交换机的访问,达到拖延时间的目的。
在本申请实施例中,在目标应用的网络入口交换机处的探针服务器中部署包含诱饵应用组件模板的蜜罐,从而实现在网络入口处集中部署蜜罐,以便于集中地基于攻击行为特征对访问流量进行攻击判断,并与诱饵应用组件模板中的诱饵地址进行匹配,实现对攻击访问行为的诱骗,以达到拖延交互时间的目的。也就是说将蜜罐集中部署在网络入口处的探针服务器中,而无需再对网络中各个宿主机单独部署蜜罐,从而达到简化蜜罐部署操作,提高部署效率的效果,进而解决了在基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的技术问题。此外,通过设置在网络入口交换机处的探针服务器来对镜像访问流量直接进行识别处理,也就是在网络入口处的服务器中部署蜜罐,从而实现直接对这些集中部署的蜜罐进行更新升级,而无需对有组织的蜜罐网络中已部署的蜜罐分别进行调整,提升了蜜罐部署的灵活性。再者,在网络入口处集中部署蜜罐,而不是在有组织的蜜罐网络中部署蜜罐,从而使得部署蜜罐的服务器与实际主机系统环境实现物理隔离,以确保基于蜜罐处理访问行为的安全性,降低访问行为的安全风险,进而避免相关技术中基于已有的虚拟化环境部署的蜜罐,陆续出现被利用使得攻击行为逃逸到宿主机所导致的安全漏洞。
作为一种可选的实施方式,如图3所示,在探针服务器从镜像访问流量中解析出攻击访问请求包括:
S302,将镜像访问流量中的每个访问请求依次作为当前访问请求,以执行以下操作:
S304,提取当前访问请求中的访问行为特征;
S306,在访问行为特征是攻击行为特征的情况下,确定当前访问请求为攻击访问请求。
可选地,上述访问请求中可以但不限于携带有访问特征信息,如访问请求的访问地址,访问请求发起方标识。例如,在访问请求发起方标识指示访问请求发起方为非正常访问发起方的情况下,可确定访问请求中包含攻击行为特征。又例如,在访问发起方标识对应的访问者的访问频率已达到阈值的情况下,可确定访问请求中包含攻击行为特征。
可选地,在访问请求中包含攻击行为特征的情况下,从访问请求的访问地址中提起访问请求所要访问的路径信息,在访问路径信息与诱饵应用组件模板所在诱饵地址一致的情况下,确定访问请求为攻击访问请求。
可选地,在本实施例中,在确定当前访问请求为攻击访问请求之后,还包括:从当前访问请求中提取当前访问路径信息;比对当前访问路径信息所指示的访问地址,与目标应用所部署的诱饵应用组件模块所在的诱饵地址;在访问地址与诱饵地址匹配的情况下,确定当前访问请求命中目标应用所部署的诱饵应用组件模块。
需要说明的是,诱饵应用组件模板为应对攻击访问请求提前部署的伪造组件集合。伪造组件对应的诱饵地址是与目标应用中真实组件的访问地址一致的地址。在诱饵应用组件模板中包含多个伪造组件对应的诱饵地址的情况下,访问路径信息与其中一个诱饵地址一致的情况下,确定当前访问请求命中目标应用所部署的诱饵应用组件模块。
可选地,诱饵应用组件模板包含的每一个伪造组件可以但不限于以蜜罐的形式存在。蜜罐是一种设定的计算机应用,是一个包含漏洞的欺骗系统,通过模拟应用的处理行为,给访问者提供数据交互对象,但并没有向访问者提供真正的服务。
在本申请实施例中,在探针服务器中针对每个访问请求单独进行识别处理,从而避免攻击访问请求的攻击行为影响到其他网络中的宿主机,通过将部署蜜罐的服务器与实际主机系统环境实现物理隔离,以确保基于蜜罐处理访问行为的安全性,降低访问行为的安全风险。
作为一种可选的实施方式,如图4所示,提取当前访问请求中的访问行为特征包括:
S402,按照当前访问请求对应的当前传输协议对当前访问请求进行解析,得到多个中间数据包;
S404,对多个中间数据包进行重组还原,以得到当前访问请求对应的原始访问请求数据包;
S406,提取原始访问请求数据包中携带的目标参数值,并将目标参数值作为当前访问请求中的访问行为特征。
此外,如图5所示,在提取当前访问请求的访问行为特征之后,还包括:
S502,比对目标参数值与与数据库中预先存储的攻击参数值;
S504,在目标参数值与攻击参数值匹配的情况下,确定访问行为特征是攻击行为特征。
可选地,按照当前访问请求对应的当前传输协议进行解析以得到多个中间数据包,可以是对应用层数据包进行解析以得到应用层对应的数据包。应用层对应的传输协议可以但不限于是:域名系统(Domain Name System,DNS)协议,文件传输(File TransferProtocol,FTP)协议,简单邮件传送(Simple Mail Transfer Protocol,SMTP)协议,超文本传输(Hyper Text Transfer Protocol,HTTP)协议,简单网络管理(Simple NetworkManagement Protocol,SNMP)协议,远程登录(Telnet)协议。
需要说明的是:域名系统(Domain Name System,DNS)协议用于实现应用层网络设备名字到IP地址映射的网络服务。文件传输(File Transfer Protocol,FTP)协议用于实现交互式文件传输功能。简单邮件传送(Simple Mail Transfer Protocol,SMTP)协议提供可靠且有效的电子邮件传输协议,用于实现电子邮箱传送功能。超文本传输(Hyper TextTransfer Protocol,HTTP)协议属于面向对象的协议,是基于传输控制协议(TransferControl Protocol,TCP)的可靠传输,采用的是客户端/服务器的工作模式。简单网络管理(Simple Network Management Protocol,SNMP)协议用于管理域监视网络设备。远程登录(Telnet)协议用于实现远程登录功能。
可选地,在应用层对应的当前传输协议是HTTP协议的情况下,解析得到的多个中间数据包是TCP数据包。
可选地,对多个中间数据包进行重组可以是对TCP数据包的底层数据进行重组,得到完整的HTTP会话数据包。
可选地,对多个中间数据包进行还原可以是对重组得到的HTTP会话数据包进行还原。还原可以是对HTTP会话数据包中的统一资源定位符(Uniform Resource Locator,URL)编码进行解码还原。
可选地,原始访问请求数据包中携带的目标参数值可以指示访问请求发起方标识的参数值,指示访问请求的参数值。
可选地,在接收镜像访问流量之前,在探针服务器的数据库中存储用于指示攻击行为特征的攻击参数值。在原始访问请求数据包中携带的目标参数值与攻击参数值一致的情况下,确定访问请求的访问行为特征是攻击行为特征。
可选地,在原始访问请求数据包为HTTP数据包的情况下,目标参数值可以但不限于是数据包中的关键字段。关键字段可以但不限于是HTTP数据包中的host字段。host字段中至少携带有访问目标的域名、访问目标IP地址、访问目标的端口信息。
可选地,在HTTP数据包中host字段携带的访问目标IP地址与诱饵地址一致的情况下,确定访问请求的访问行为特征是攻击行为特征,且访问请求命中诱饵应用组件模板。
可选地,在目标IP地址与诱饵地址不匹配的情况下,确定访问请求的访问行为特征不是攻击行为特征,且访问请求并未命中为诱饵应用组件模板。
可选地,在访问请求不是的访问行为特征不是攻击行为特征的情况下,对于访问请求不做任何处理。
在本申请实施例中,通过确定从原始访问数据包中提取的关键字段指示的访问地址,与诱饵地址进行对比,在匹配的情况下,确定访问请求访问行为特征是攻击行为特征。实现了通过原始数据包中提取的访问地址直接确定访问行为特征,更加快速的确定是否需要对于访问请求进行处理,从而在需要对方问请求进行处理的情况下,及时响应访问请求。
作为一种可选的实施方式,在生成与攻击访问请求匹配的响应数据包之前,还包括:
1)在与探针服务器关联的目标服务器中设置的监听端口监听到访问请求的情况下,生成参考响应数据包,并将参考响应数据包发送给触发访问请求的客户端,其中,在访问请求为攻击访问请求的情况下,参考响应数据包将比探针服务器返回的响应数据包晚到达客户端,参考响应数据包将被丢弃;
2)在与探针服务器关联的目标服务器中设置的监听端口并未监听到访问请求的情况下,确定目标服务器并未与触发访问请求的客户端建立会话连接,且目标服务器处于非正常运行状态,其中,在目标服务器处于非正常运行状态的情况下,探针服务器将无法生成与攻击访问请求匹配的响应数据包。
可选地,在接收镜像访问流量之前,在与探针服务器关联的目标服务器中设置监听端口。这里的目标服务器可以但不限于是与探针服务器关联的交换机中的全部服务器。这里的监听端口可以但不限于是服务器中的空闲端口。
需要说明的是,这里监听端口的监听服务,可以但不限于是为了维持被蜜罐伪装的目标服务器的存活状态,以确保探针服务器发送伪造响应数据包可以先到触发访问请求的客户端。因为如果目标服务器的目标服务端口关闭的情况下,则该监听端口将无法监听到访问请求。因为在攻击访问客户端请求访问目标服务端口的话,将会立即收到目标服务器发送的端口连接失败的数据包,也就是表示这里的目标服务器与攻击访问客户端之间的会话连接并未成功建立。那后续该攻击访问客户端对上述目标服务端口的访问请求将就无法发送。换言之,即使在发送访问请求的过程中,产生了镜像访问流量,在后续的剧本比对过程中,由于目标服务器端口未开启,其并不处于存活状态,后续的访问请求也将无法命中诱饵应用组件模板。
此外,在目标应用的网络架构中,由于探针服务器位于网络入口处,而目标服务器位于网络中,因而目标服务器返回的任意响应数据包(即参考响应数据包)的返回路程比探针服务器返回响应数据包的返回路程长,从而将使得上述目标服务器返回的任意响应数据包更晚到达客户端。这里的客户端将优先处理先探针服务器返回的响应数据包,并对上述目标服务器返回的任意响应数据包(即参考响应数据包)做丢弃处理,从而达到对该客户端的欺骗和拖延交互时间的目的。
可选地,确定指令还用于指示在探针服务器生成响应数据包后,将响应数据包发给触发访问请求的客户端。发送响应数据包给访问请求发起的客户端可以但不限于是在监听到访问请求后的目标时间将响应数据包发送给客户端。其中,上述响应数据包可以但不限于是任意响应数据包。
可选地,探针服务器对于镜像流量数据的处理过程可以但不限于如图6所示,探针服务器执行S602,接收镜像访问流量。在接收到镜像访问流量的情况下,执行S604,对镜像访问流量进行解析,得到原始访问数据包。对镜像访问流量进行解析,包括对于镜像访问流量包含的数据包进行重组还原,以得到解码处理后的HTTP会话数据包,并从HTTP会话数据包中获取目标参数值作为访问行为特征。在获取到访问行为特征的情况下。执行S606,判断是否为攻击行为特征。通过目标参数值与探针服务器中存储的攻击参数值进行比较,在匹配的情况下,确定访问行为特征是攻击行为特征。在目标参数值与攻击参数值不匹配的情况下,确定访问行为特征不是攻击行为特征。
在S606判断访问行为特征是攻击行为特征的情况下,执行S608,进行诱饵应用组件模板匹配。诱饵应用组件模板匹配即是通过访问请求的目标地址与诱饵应用组件模板中包含的诱饵地址进行比较,用以确定访问请求是否为攻击访问请求。在S606判断访问请求的访问行为特征不是攻击行为特征的情况下,执行S614,不做任何处理,结束。
在访问的目标地址与诱饵地址比较之后,执行S610,判断是否命中。在访问的目标地址与诱饵地址一致的情况下,确定命中,即访问请求为攻击访问请求。在访问的目标地址与诱饵地址不一致的情况下,确定没有命中,即访问请求不是攻击访问请求。在S610判断为命中的情况下,执行S612,生成响应数据包,并发送响应数据包。在S610判断为没有命中的情况下,执行S614,不做任何处理,结束。
在本申请实施例中,通过在真实服务器中部署监听端口,以实现在监听到访问请求的情况下,基于确定指令指示生成响应数据包,从而避免了攻击访问请求对于真实服务器的攻击访问,以通过设置在网络入口处的探针服务器发送响应数据包的形式以攻击访问发起客户端进行数据交互,从而通过基于探针服务器确定出的较短网络路径,实现对攻击访问的优先回复,以避免攻击访问与真实服务器进行数据交互,并达到诱骗攻击访问客户端,实现拖延攻击时长,以便于追溯攻击访问客户端的效果。
作为一种可选的实施方式,如图7所示,探针服务器生成与攻击访问请求匹配的响应数据包包括:
S702,从诱饵应用组件模板中确定出与攻击访问请求匹配的对象应用组件;
S704,基于对象应用组件构造响应数据包。
可选地,诱饵应用组件模板中包含多个与模拟应用组件生成的伪造组件。从诱饵应用组件模板中确定出与攻击访问请求匹配的对象应用组件可以但不限于是根据攻击访问请求中携带的访问目标地址确定访问的伪造组件,从而根据伪造组件确定对象应用组件。
可选地,在确定了对象应用组件的情况下,模拟对象应用组件对于访问请求的响应数据构造响应数据包。
可选地,基于对象应用组件构造相应数据包可以但不限于是基于对象应用组件的访问路径确定用于模拟响应的数据结构,根据模拟响应的数据结构构造响应数据包。
在本申请实施例中,根据与访问请求对应的对象应用组件,从而模拟对象应用组件构建对应的响应数据包,以实现通过与对象应用组件对应的响应数据包达到,迷惑攻击访问发起客户端的效果,以使发起客户端继续与探针服务器进行数据交互,以拖延客户端对于目标服务器发起攻击访问的效果。
作为一种可选的实施方式,基于对象应用组件构造响应数据包包括以下之一:
1)在攻击访问请求是用于请求展示业务登录界面的登录请求的情况下,获取业务登录界面中的登录对象应用组件;利用登录对象应用组件来生成模拟业务登录界面的数据包;将模拟业务登录界面的数据包作为响应数据包;
2)在攻击访问请求是用于请求登录业务接口的登录验证请求的情况下,获取与登录验证请求中携带的登录验证信息匹配的验证结果;利用验证结果对应的结果界面中的结果对象应用组件来生成模拟业务登录接口的数据包;将模拟业务登录接口的数据包作为响应数据包;
3)在攻击访问请求是用于请求访问根目录的访问请求的情况下,获取与根目录对应的默认页面中的页面对象应用组件;利用页面对象应用组件来生成模拟默认页面的数据包;将模拟默认页面的数据包作为响应数据包;
4)在攻击访问请求是用于请求访问存在安全漏洞的风险路径的情况下,获取与风险路径中的攻击参数值匹配的参考对象应用组件;利用参考对象应用组件生成响应数据包。
可选地,在攻击访问请求是登录请求的情况下,利用登录对象应用组件生成模拟登录页面的数据包可以但不限于是根据攻击访问请求对应的客户端进行登录页面所包含元素的变更。其中,上述登录页面所包含元素可以包括但不限于:页面标识元素、登录控件格式元素,登录用户名录入格式元素,密码录入格式元素。
可选地,在攻击访问请求是登录验证请求的情况下,利用验证结果对象应用组件生成模拟业务登录接口的数据包可以但不限于是生成验证不成功的业务验证结果的数据包,以使攻击访问客户端在接收到验证不成功的情况下,继续进行验证尝试,增加客户端与探针服务器之间的交互次数以及交互时间,以实现对于客户端攻击访问的时间拖延。
可选地,在攻击访问请求是用于请求访问根目录的访问请求的情况下,利用页面对象应用组件生成模拟默认页面的数据包可以但不限于是页面对象变更后生成的模拟默认页面的数据包。页面对象变更可以是根目录版本号的变更。
可选地,在攻击访问请求是用于请求访问存在安全漏洞的风险路径的情况下,获取攻击参数值可以但不限于是获取HTTP数据包中的POST指令对应的参数值。
可选地,在获取到POST参数值的情况下,判断POST参数值中是否包含攻击负载(payload)特征。判断是否包含攻击payload特征可以但不限于通过POST参数值结构是否符合XML格式,是否包含特定特征。特定特征可以但不限于是指令特征,具体可以但不限于是:class="java.beans.XMLDecoder"。
可选地,在判断不包含payload特征的情况下,将包含有标识端口特征的数据包作为响应数据包,其中,标识端口特征利用字符替代标识端口的真正标识。
可选地,在判断包含payload特征的情况下,通过调用组包发送将包含漏洞信息的数据包作为响应数据包,以迷惑攻击访问请求发起客户端,使客户端在接收到响应数据包的情况下与探针服务器进行多次交互。
在本申请实施例中,通过攻击访问请求访问的类型或者对象的不同,生成与访问类型或者对象相应的响应数据包,以迷惑攻击访问请求发起客户端,使攻击访问请求发起客户端认为是与真实服务器进行数据交互,从而在接收到响应数据包后与探针服务器进行多次数据交互,以达到拖延攻击访问客户端对真实服务器发起攻击访问的时间。
可选地,探针服务器对于镜像流量数据的处理以生成响应数据包可以但不限于如图8所示。探针服务器执行S802,获取原始攻击访问数据包。从原始攻击访问数据包的中提取关于访问请求域名和端口的信息。执行S804,确定访问权请求的域名和端口。根据访问请求的域名和端口即访问目标地址与诱饵地址进行比对。执行S806,判断是否为诱饵地址。在访问请求的目标地址不是诱饵地址的情况下,执行S810,不做任何处理,结束。在访问请求的目标地址是诱饵地址的情况下,执行S808,在诱饵应用组件模块中匹配对象应用组件。根据访问请求对应的访问目标地址确定屁屁额的对象应用组件。
在访问请求是登录请求的情况下,执行S812,生成包含模拟登录页面的响应数据包。在访问请求是登录验证请求的情况下,执行S814,生成包含模拟登录验证结果的响应数据包。在访问请求是访问根目录请求的情况下,执行S816,生成包含模拟版本号和默认信息的响应数据包。在访问请求是访问存在漏洞的风险路径的情况下,执行S818,确定伪装漏洞响应。在确定是伪装漏洞响应的情况下,判断取HTTP数据包中的POST参数值中是否指示攻击payload。在指示攻击payload的情况下,执行S820,生成包含模拟漏洞信息的响应数据包。在指示不攻击payload的情况下,执行S822,生成包含模拟路径默认信息的响应数据包。
在访问请求发起方在接收到基于S812生成的模拟登录页面的响应数据包,进行尝试登录的情况下,可以直接执行S814,生成包含模拟登录验证结果的响应数据包。
在基于S816生成的包含模拟版本号和默认信息的响应数据包中可以包含模拟登录页面的数据包,从而在显示完模拟版本号和默认信息之后,自动跳转至模拟登录页面,相当于直接执行S812。
在本申请实施例中,基于不同的访问请求指示的对象应用组件,进行不同的响应数据包的生成,从而使得响应数据包与访问请求相匹配,以迷惑攻击访问发起客户端。并且在发起客户端基于不同响应数据包进行进一步交互的情况下,可以直接生成与之关联的进一步响应数据包,减少交互响应时间,以使得模拟交互响应更加真实,对于发起客户端的迷惑性更强,以达到与发起客户端进行多次交互从而实现时间拖延。
作为一种可选的实施方式,如图9所示,在探针服务器将响应数据包返回触发攻击访问请求的攻击客户端之后,还包括:
S902,记录攻击客户端已触发的攻击访问行为的行为记录;
S904,根据行为记录生成攻击客户端的攻击行为轨迹;
S906,保存攻击行为轨迹。
可选地,将记录的攻击访问行为的行为记录保存至探针服务器的日志中,将攻击行为轨迹保存至探针服务器的日志中。
可选地,根据攻击行为轨迹对攻击行为进行追踪。根据攻击行为轨迹对应的攻击行为发起者即攻击访问请求发起客户端进行追踪标记。对于发起客户端进行追踪标记可以但不限于将发起客户端的标识记录在标识攻击参数值。
在本申请实施例中,保存攻击行为轨迹可以根据攻击行为轨迹对攻击行为估计的发起者进行持续追踪,从而便于后续攻击行为的取证分析。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述访问行为处理方法的访问行为处理装置,应用于探针服务器。如图10所示,该装置包括:
接收模块1002,用于在网络入口交换机处对访问流量进行镜像处理后,接收镜像处理后得到的镜像访问流量,其中,访问流量中包括用于请求对目标应用执行访问行为的访问请求;
解析模块1004,用于从镜像访问流量中解析出攻击访问请求;
生成模块1006,用于在攻击访问请求命中目标应用所部署的诱饵应用组件模板的情况下,生成与攻击访问请求匹配的响应数据包,其中,诱饵应用组件模板中包括模拟目标应用的应用组件生成的伪造组件;
返回模块1008,用于将响应数据包返回触发攻击访问请求的攻击客户端。
作为一种可选的实施方式,上述解析模块1004包括:
第一确定单元,用于将镜像访问流量中的每个访问请求依次作为当前访问请求,以执行以下操作:提取当前访问请求中的访问行为特征;在访问行为特征是攻击行为特征的情况下,确定当前访问请求为攻击访问请求。
作为一种可选的实施方式,上述解析模块1004还包括:
第一提取单元,用于在确定当前访问请求为攻击访问请求之后,从当前访问请求中提取当前访问路径信息;
比对单元,用于比对当前访问路径信息所指示的访问地址,与目标应用所部署的诱饵应用组件模板所在的诱饵地址;
命中单元,用于在访问地址与诱饵地址匹配的情况下,当前访问请求命中目标应用部署的诱饵应用组件模板。
作为一种可选的实施方式,上述解析模块1004还用于:
解析单元,用于按照当前访问请求对应的传输协议对当前访问请求进行解析,得到多个中间数据包;
重组单元,用于对多个中间数据包进行重组还原,以得到当前访问请求对应的原始访问请求数据包;
第二提取单元,用于提取原始访问请求数据包中携带的目标参数值,并将目标参数值作为当前访问请求中的访问行为特征。
作为一种可选的实施方式,上述生成模块1008包括:
第二确定单元,用于从诱饵应用组件模板中确定出与攻击访问请求匹配的对象应用组件;
构造单元,用于基于对象应用组件构造响应数据包。
作为一种可选的实施方式,上述构造单元包括以下之一:
第一构造模块,用于在攻击访问请求是用于请求展示业务登录界面的登录请求的情况下,获取业务登录界面中的登录对象应用组件;利用登录对象应用组件来生成模拟业务登录界面的数据包;将模拟业务登录界面的数据包作为响应数据包;
第二构造模块,用于在攻击访问请求是用于请求登录业务接口的登录验证请求的情况下,获取与登录验证请求中携带的登录验证信息匹配的验证结果;利用验证结果对应的结果界面中的结果对象应用组件来生成模拟业务登录接口的数据包;将模拟业务登录接口的数据包作为响应数据包;
第三构造模块,用于在攻击访问请求是用于请求访问根目录的访问请求的情况下,获取与根目录对应的默认页面中的页面对象应用组件;利用页面对象应用组件来生成模拟默认页面的数据包;将模拟默认页面的数据包作为响应数据包;
第四构造模块,用于在攻击访问请求是用于请求访问存在安全漏洞的风险路径的情况下,获取与风险路径中的攻击参数值匹配的参考对象应用组件;利用参考对象应用组件生成响应数据包。
作为一种可选的实施方式,上述访问行为处理装置还包括监听模块,其中,监听模块,用于在生成与攻击访问请求匹配的响应数据包之前,在与探针服务器关联的目标服务器中设置的监听端口监听到参考访问请求的情况下,生成参考响应数据包,并将参考响应数据包发送给触发参考访问请求的参考客户端,其中,在参考访问请求为攻击访问请求的情况下,参考响应数据包将比探针服务器返回的响应数据包晚到达参考客户端,参考响应数据包将被丢弃。
上述监听模块还用于在生成与攻击访问请求匹配的响应数据包之前,在与探针服务器关联的目标服务器中设置的监听端口并未监听到参考访问请求的情况下,确定目标服务器并未与触发参考访问请求的参考客户端建立会话连接,并确定目标服务器处于非正常运行状态,其中,在目标服务器处于非正常运行状态的情况下,探针服务器将无法生成与攻击访问请求匹配的响应数据包。
作为一种可选的实施方式,上述访问行为处理装置还包括记录模块。上述记录模块用于在探针服务器将响应数据包返回触发攻击访问请求的攻击客户端之后,记录攻击客户端触发的全部攻击访问行为的行为记录,根据行为记录生成攻击客户端的攻击行为轨迹,保存攻击行为轨迹。
在本申请实施例中,在目标应用的网络入口交换机处的探针服务器中部署包含诱饵应用组件模板的蜜罐,从而实现在网络入口处集中部署蜜罐,以便于集中地基于攻击行为特征对访问流量进行攻击判断,并与诱饵应用组件模板中的诱饵地址进行匹配,实现对攻击访问行为的诱骗,以达到拖延交互时间的目的。也就是说将蜜罐集中部署在网络入口处的探针服务器中,而无需再对网络中各个宿主机单独部署蜜罐,从而达到简化蜜罐部署操作,提高部署效率的效果,进而解决了在基于蜜罐来延缓攻击访问行为的处理准备操作的复杂度增加的技术问题。此外,通过设置在网络入口交换机处的探针服务器来对镜像访问流量直接进行识别处理,也就是在网络入口处的服务器中部署蜜罐,从而实现直接对这些集中部署的蜜罐进行更新升级,而无需对有组织的蜜罐网络中已部署的蜜罐分别进行调整,提升了蜜罐部署的灵活性。再者,在网络入口处集中部署蜜罐,而不是在有组织的蜜罐网络中部署蜜罐,从而使得部署蜜罐的服务器与实际主机系统环境实现物理隔离,以确保基于蜜罐处理访问行为的安全性,降低访问行为的安全风险,进而避免相关技术中基于已有的虚拟化环境部署的蜜罐,陆续出现被利用使得攻击行为逃逸到宿主机所导致的安全漏洞。
根据本发明实施例的又一个方面,还提供了一种用于实施上述访问行为处理方法的电子设备,该电子设备可以是图1所示的终端设备或服务器。本实施例以该电子设备为服务器(如探针服务器)为例来说明。如图11所示,该电子设备包括存储器1102和处理器1104,该存储器1102中存储有计算机程序,该处理器1104被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,在网络入口交换机处对访问流量进行镜像处理后,接收镜像处理后得到的镜像访问流量,其中,访问流量中包括用于请求对目标应用执行访问行为的访问请求;
S2,从镜像访问流量中解析出攻击访问请求;
S3,在攻击访问请求命中目标应用部署的诱饵应用组件模板的情况下,生成与攻击访问请求匹配的响应数据包,其中,诱饵应用组件模板中包括模拟目标应用的应用组件生成的伪造组件;
S4,将响应数据包返回触发攻击访问请求的攻击客户端。
可选地,本领域普通技术人员可以理解,图11所示的结构仅为示意,电子装置电子设备也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图11其并不对上述电子装置电子设备的结构造成限定。例如,电子装置电子设备还可包括比图11中所示更多或者更少的组件(如网络接口等),或者具有与图11所示不同的配置。
其中,存储器1102可用于存储软件程序以及模块,如本发明实施例中的访问行为处理方法和装置对应的程序指令/模块,处理器1104通过运行存储在存储器1102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的访问行为处理方法。存储器1102可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1102可进一步包括相对于处理器1104远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1102具体可以但不限于用于存储访问流量、镜像访问流量、响应数据包等信息。作为一种示例,如图11所示,上述存储器1102中可以但不限于包括上述访问行为处理装置中的接收模块1002、解析模块1004、生成模块1006、返回模块1008。此外,还可以包括但不限于上述访问行为处理装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1106包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1106为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子设备还包括:显示器1108,用于显示上述访问请求和响应数据包;和连接总线1110,用于连接上述电子设备中的各个模块部件。
在其他实施例中,上述终端设备或者服务器可以是一个分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述访问行为处理方面的各种可选实现方式中提供的方法。其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,在网络入口交换机处对访问流量进行镜像处理后,接收镜像处理后得到的镜像访问流量,其中,访问流量中包括用于请求对目标应用执行访问行为的访问请求;
S2,从镜像访问流量中解析出攻击访问请求;
S3,在攻击访问请求命中目标应用部署的诱饵应用组件模板的情况下,生成与攻击访问请求匹配的响应数据包,其中,诱饵应用组件模板中包括模拟目标应用的应用组件生成的伪造组件;
S4,将响应数据包返回触发攻击访问请求的攻击客户端。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (16)

1.一种访问行为的处理方法,其特征在于,包括:
在网络入口的交换机处对访问流量进行镜像处理后,探针服务器接收处理后得到的镜像访问流量,其中,所述访问流量中包括用于请求对目标应用执行访问行为的访问请求;
所述探针服务器从所述镜像访问流量中解析出攻击访问请求;从所述攻击访问请求中提取攻击访问路径信息;比对所述攻击访问路径信息所指示的访问地址,与所述目标应用所部署的诱饵应用组件模板所在的诱饵地址;在所述访问地址与所述诱饵地址匹配的情况下,确定所述攻击访问请求命中所述目标应用所部署的所述诱饵应用组件模板;
在所述攻击访问请求命中所述目标应用所部署的所述诱饵应用组件模板的情况下,所述探针服务器生成与所述攻击访问请求匹配的响应数据包,其中,所述诱饵应用组件模板中包括模拟所述目标应用的应用组件生成的伪造组件;
所述探针服务器将所述响应数据包返回触发所述攻击访问请求的攻击客户端。
2.根据权利要求1所述的方法,其特征在于,所述探针服务器从所述镜像访问流量中解析出攻击访问请求包括:
将所述镜像访问流量中的每个访问请求依次作为当前访问请求,以执行以下操作:
提取所述当前访问请求中的访问行为特征;
在所述访问行为特征是攻击行为特征的情况下,确定所述当前访问请求为所述攻击访问请求。
3.根据权利要求2所述的方法,其特征在于,
所述提取所述当前访问请求中的访问行为特征包括:按照所述当前访问请求对应的传输协议对所述当前访问请求进行解析,得到多个中间数据包;对所述多个中间数据包进行重组还原,以得到所述当前访问请求对应的原始访问请求数据包;提取所述原始访问请求数据包中携带的目标参数值,并将所述目标参数值作为所述当前访问请求中的访问行为特征;
在所述提取所述当前访问请求中的访问行为特征之后,还包括:
比对所述目标参数值与数据库中预先存储的攻击参数值;在所述目标参数值与所述攻击参数值匹配的情况下,确定所述访问行为特征是所述攻击行为特征。
4.根据权利要求1所述的方法,其特征在于,所述探针服务器生成与所述攻击访问请求匹配的响应数据包包括:
从所述诱饵应用组件模板中确定出与所述攻击访问请求匹配的对象应用组件;
基于所述对象应用组件构造所述响应数据包。
5.根据权利要求4所述的方法,其特征在于,所述基于所述对象应用组件构造所述响应数据包包括以下之一:
在所述攻击访问请求是用于请求展示业务登录界面的登录请求的情况下,获取所述业务登录界面中的登录对象应用组件;利用所述登录对象应用组件来生成模拟业务登录界面的数据包;将所述模拟业务登录界面的数据包作为所述响应数据包;
在所述攻击访问请求是用于请求登录业务接口的登录验证请求的情况下,获取与所述登录验证请求中携带的登录验证信息匹配的验证结果;利用所述验证结果对应的结果界面中的结果对象应用组件来生成模拟业务登录接口的数据包;将所述模拟业务登录接口的数据包作为所述响应数据包;
在所述攻击访问请求是用于请求访问根目录的访问请求的情况下,获取与所述根目录对应的默认页面中的页面对象应用组件;利用所述页面对象应用组件来生成模拟默认页面的数据包;将所述模拟默认页面的数据包作为所述响应数据包;
在所述攻击访问请求是用于请求访问存在安全漏洞的风险路径的情况下,获取与所述风险路径中的攻击参数值匹配的参考对象应用组件;利用所述参考对象应用组件生成所述响应数据包。
6.根据权利要求1所述的方法,其特征在于,在所述探针服务器生成与所述攻击访问请求匹配的响应数据包之前,还包括:
在与所述探针服务器关联的目标服务器中设置的监听端口监听到参考访问请求的情况下,生成参考响应数据包,并将所述参考响应数据包发送给触发所述参考访问请求的参考客户端,其中,在所述参考访问请求为所述攻击访问请求的情况下,所述参考响应数据包将比所述探针服务器返回的所述响应数据包晚到达所述参考客户端,所述参考响应数据包将被丢弃;
在与所述探针服务器关联的目标服务器中设置的监听端口并未监听到参考访问请求的情况下,确定所述目标服务器并未与触发所述参考访问请求的参考客户端建立会话连接,并确定所述目标服务器处于非正常运行状态,其中,在所述目标服务器处于所述非正常运行状态的情况下,所述探针服务器将无法生成与所述攻击访问请求匹配的响应数据包。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在所述探针服务器将所述响应数据包返回触发所述攻击访问请求的攻击客户端之后,还包括:
记录所述攻击客户端已触发的全部攻击访问行为的行为记录;
根据所述行为记录生成所述攻击客户端的攻击行为轨迹;
保存所述攻击行为轨迹。
8.一种访问行为的处理装置,其特征在于,应用于探针服务器,所述装置包括:
接收模块,用于在网络入口的交换机处对访问流量进行镜像处理后,接收镜像处理后得到的镜像访问流量,其中,所述访问流量中包括用于请求对目标应用执行访问行为的访问请求;
解析模块,用于从所述镜像访问流量中解析出攻击访问请求;
所述解析模块还包括:第一提取单元,用于从所述攻击访问请求中提取攻击访问路径信息;比对单元,用于比对所述攻击访问路径信息所指示的访问地址,与所述目标应用所部属的诱饵应用组件模板所在的诱饵地址;命中单元,用于在所述访问地址与所述诱饵地址匹配的情况下,确定所述攻击访问请求命中所述目标应用所部署的所述诱饵应用组件模板;
生成模块,用于在所述攻击访问请求命中所述目标应用所部署的所述诱饵应用组件模板的情况下,生成与所述攻击访问请求匹配的响应数据包,其中,所述诱饵应用组件模板中包括模拟所述目标应用的应用组件生成的伪造组件;
返回模块,用于将所述响应数据包返回触发所述攻击访问请求的攻击客户端。
9.根据权利要求8所述的装置,其特征在于,所述解析模块还包括:
第一确定单元,用于将所述镜像访问流量中的每个访问请求依次作为当前访问请求,以执行以下操作:提取所述当前访问请求中的访问行为特征;在所述访问行为特征是攻击行为特征的情况下,确定所述当前访问请求为攻击访问请求。
10.根据权利要求9所述的装置,其特征在于,所述解析模块还用于:
解析单元,用于按照所述当前访问请求对应的传输协议对所述当前访问请求进行解析,得到多个中间数据包;重组单元,用于对所述多个中间数据包进行重组还原,以得到所述当前访问请求对应的原始访问请求数据包;第二提取单元,用于提取所述原始访问请求数据包中携带的目标参数值,并将所述目标参数值作为所述当前访问请求中的访问行为特征。
11.根据权利要求8所述的装置,其特征在于,所述生成模块还用于:
第二确定单元,用于从所述诱饵应用组件模板中确定出与所述攻击访问请求匹配的对象应用组件;
构造单元,用于基于所述对象应用组件构造所述响应数据包。
12.根据权利要求11所述的装置,其特征在于,所述构造单元包括以下之一:
第一构造模块,用于在所述攻击访问请求是用于请求展示业务登录界面的登录请求的情况下,获取所述业务登录界面中的登录对象应用组件;利用所述登录对象应用组件来生成模拟业务登录界面的数据包;将所述模拟业务登录界面的数据包作为所述响应数据包;
第二构造模块,用于在所述攻击访问请求是用于请求登录业务接口的登录验证请求的情况下,获取与所述登录验证请求中携带的登录验证信息匹配的验证结果;利用所述验证结果对应的结果界面中的结果对象应用组件来生成模拟业务登录接口的数据包;将所述模拟业务登录接口的数据包作为所述响应数据包;
第三构造模块,用于在所述攻击访问请求是用于请求访问根目录的访问请求的情况下,获取与所述根目录对应的默认页面中的页面对象应用组件;利用所述页面对象应用组件来生成模拟默认页面的数据包;将所述模拟默认页面的数据包作为所述响应数据包;
第四构造模块,用于在所述攻击访问请求是用于请求访问存在安全漏洞的风险路径的情况下,获取与所述风险路径中的攻击参数值匹配的参考对象应用组件;利用所述参考对象应用组件生成所述响应数据包。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
监听模块,用于在所述探针服务器生成与所述攻击访问请求匹配的响应数据包之前,在与所述探针服务器关联的目标服务器中设置的监听端口监听到参考访问请求的情况下,生成参考响应数据包,并将所述参考响应数据包发送给触发所述参考访问请求的参考客户端,其中,在所述参考访问请求为所述攻击访问请求的情况下,所述参考响应数据包将比所述探针服务器返回的所述响应数据包晚到达所述参考客户端,所述参考响应数据包将被丢弃;
所述监听模块还用于,在所述探针服务器生成与所述攻击访问请求匹配的响应数据包之前,在与所述探针服务器关联的目标服务器中设置的监听端口并未监听到参考访问请求的情况下,确定所述目标服务器并未与触发所述参考访问请求的参考客户端建立会话连接,并确定所述目标服务器处于非正常运行状态,其中,在所述目标服务器处于所述非正常运行状态的情况下,所述探针服务器将无法生成与所述攻击访问请求匹配的响应数据包。
14.根据权利要求8-13中任一项所述的装置,其特征在于,所述装置还包括:
记录模块,用于在所述探针服务器将所述响应数据包返回触发所述攻击访问请求的攻击客户端之后,记录所述攻击客户端已触发的全部攻击访问行为的行为记录;根据所述行为记录生成所述攻击客户端的攻击行为轨迹;保存所述攻击行为轨迹。
15.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行所述权利要求1至7任一项中所述的方法。
16.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至7任一项中所述的方法。
CN202110172274.9A 2021-02-08 2021-02-08 访问行为处理方法和装置、存储介质及电子设备 Active CN112995151B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110172274.9A CN112995151B (zh) 2021-02-08 2021-02-08 访问行为处理方法和装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110172274.9A CN112995151B (zh) 2021-02-08 2021-02-08 访问行为处理方法和装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN112995151A CN112995151A (zh) 2021-06-18
CN112995151B true CN112995151B (zh) 2023-11-14

Family

ID=76347538

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110172274.9A Active CN112995151B (zh) 2021-02-08 2021-02-08 访问行为处理方法和装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN112995151B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113515750B (zh) * 2021-07-22 2022-06-28 苏州知微安全科技有限公司 一种高速流量下的攻击检测方法及装置
CN113691527A (zh) * 2021-08-23 2021-11-23 海尔数字科技(青岛)有限公司 安全处理方法、装置、电子设备、及存储介质
CN113973011A (zh) * 2021-10-15 2022-01-25 杭州安恒信息安全技术有限公司 一种网络攻击防护方法、系统及计算机存储介质
CN114124477B (zh) * 2021-11-05 2024-04-05 深圳市联软科技股份有限公司 一种业务服务系统及方法
CN114143042A (zh) * 2021-11-09 2022-03-04 奇安信科技集团股份有限公司 漏洞模拟方法、装置、计算机设备和存储介质
CN114095264A (zh) * 2021-11-24 2022-02-25 北京永信至诚科技股份有限公司 一种蜜罐系统的高交互溯源方法、装备及硬件
CN114390108B (zh) * 2021-12-07 2024-03-12 新浪技术(中国)有限公司 一种处理用户服务请求的方法和系统
CN114257604A (zh) * 2021-12-09 2022-03-29 北京知道创宇信息技术股份有限公司 一种数据处理方法及系统
CN114938291A (zh) * 2022-04-25 2022-08-23 深圳开源互联网安全技术有限公司 检测应用程序中用户身份验证漏洞的方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110719299A (zh) * 2019-11-18 2020-01-21 中国移动通信集团内蒙古有限公司 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN110995640A (zh) * 2019-09-19 2020-04-10 中国银联股份有限公司 识别网络攻击的方法及蜜罐防护系统
CN111314281A (zh) * 2019-12-04 2020-06-19 江苏天网计算机技术有限公司 一种攻击流量转发至蜜罐的方法
CN111565199A (zh) * 2020-07-14 2020-08-21 腾讯科技(深圳)有限公司 网络攻击信息处理方法、装置、电子设备及存储介质
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN112134854A (zh) * 2020-09-02 2020-12-25 北京华赛在线科技有限公司 防御攻击的方法、装置、设备、存储介质及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553885B2 (en) * 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10462181B2 (en) * 2016-05-10 2019-10-29 Quadrant Information Security Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures
US10454969B2 (en) * 2017-07-17 2019-10-22 Sap Se Automatic generation of low-interaction honeypots

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995640A (zh) * 2019-09-19 2020-04-10 中国银联股份有限公司 识别网络攻击的方法及蜜罐防护系统
CN110719299A (zh) * 2019-11-18 2020-01-21 中国移动通信集团内蒙古有限公司 防御网络攻击的蜜罐构建方法、装置、设备及介质
CN111314281A (zh) * 2019-12-04 2020-06-19 江苏天网计算机技术有限公司 一种攻击流量转发至蜜罐的方法
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN111565199A (zh) * 2020-07-14 2020-08-21 腾讯科技(深圳)有限公司 网络攻击信息处理方法、装置、电子设备及存储介质
CN112134854A (zh) * 2020-09-02 2020-12-25 北京华赛在线科技有限公司 防御攻击的方法、装置、设备、存储介质及系统

Also Published As

Publication number Publication date
CN112995151A (zh) 2021-06-18

Similar Documents

Publication Publication Date Title
CN112995151B (zh) 访问行为处理方法和装置、存储介质及电子设备
US11075885B2 (en) Methods and systems for API deception environment and API traffic control and security
Nawrocki et al. A survey on honeypot software and data analysis
Ndatinya et al. Network forensics analysis using Wireshark
Tsikerdekis et al. Approaches for preventing honeypot detection and compromise
Chakravarty et al. Detecting traffic snooping in tor using decoys
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
Trassare et al. A technique for network topology deception
Ghafir et al. Tor-based malware and Tor connection detection
CA2516880A1 (en) System and method for monitoring network traffic
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
CN111526132B (zh) 攻击转移方法、装置、设备及计算机可读存储介质
US10243983B2 (en) System and method for using simulators in network security and useful in IoT security
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
Wählisch et al. Design, implementation, and operation of a mobile honeypot
Rebecchi et al. DDoS protection with stateful software‐defined networking
Chakravarty et al. Detection and analysis of eavesdropping in anonymous communication networks
CN114826663A (zh) 蜜罐识别方法、装置、设备及存储介质
US20170201543A1 (en) Embedded device and method of processing network communication data
Thom et al. Correlation of cyber threat intelligence data across global honeypots
CN114531258A (zh) 网络攻击行为的处理方法和装置、存储介质及电子设备
Groat et al. IPv6: nowhere to run, nowhere to hide
Balogh et al. LAN security analysis and design
Wang et al. A dynamic analysis security testing infrastructure for internet of things
Schindler et al. IPv6 network attack detection with HoneydV6

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40047320

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant