CN113114696B - 拟态防御处理方法、装置、电子设备和介质 - Google Patents

拟态防御处理方法、装置、电子设备和介质 Download PDF

Info

Publication number
CN113114696B
CN113114696B CN202110418247.5A CN202110418247A CN113114696B CN 113114696 B CN113114696 B CN 113114696B CN 202110418247 A CN202110418247 A CN 202110418247A CN 113114696 B CN113114696 B CN 113114696B
Authority
CN
China
Prior art keywords
http request
heterogeneous
heterogeneous executive
vulnerability
executive body
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110418247.5A
Other languages
English (en)
Other versions
CN113114696A (zh
Inventor
袁欢
梁志红
姚磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202110418247.5A priority Critical patent/CN113114696B/zh
Publication of CN113114696A publication Critical patent/CN113114696A/zh
Application granted granted Critical
Publication of CN113114696B publication Critical patent/CN113114696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开涉及一种拟态防御处理方法、装置、电子设备和介质;其中,该方法包括:接收超文本传输协议http请求;其中,http请求包括报文特征;将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出确定http请求的异构执行体集合;其中,异构执行体集合中包括至少两个异构执行体;将http请求分别分发给异构执行体集合中的每一异构执行体,以使每一异构执行体处理http请求;接收每一异构执行体返回的响应信息;根据响应信息,确定http请求的合法性决策结果。本公开实施例能够降低共模漏洞的产生,有效提高了网络安全防护性能。

Description

拟态防御处理方法、装置、电子设备和介质
技术领域
本公开涉及网络安全技术领域,尤其涉及一种拟态防御处理方法、装置、电子设备和介质。
背景技术
万维网Web管理作为一种可视化管理方式,被广泛的应用到防火墙设备管理中;web应用功能越来越强大的同时,随之而来的是日新月异的恶意请求攻击;Web管理对web服务器的拟态改造,提高了防火墙的防御能力。但是,在现有的拟态防御系统中,主要是通过将访问请求通过随机原则分发到异构执行体中,实现异构执行体的动态分发处理。
现有方案的缺陷在于:异构执行体的分发原则随机化,难以保证当前异构执行体集合中的异构执行体能够防御恶意攻击,即可能存在异构执行体集合中的所有异构执行体全部包含该漏洞,会造成共模漏洞,无法有效拦截恶意请求的攻击。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种拟态防御处理方法、装置、电子设备和介质。
第一方面,本公开提供了一种拟态防御处理方法,所述方法包括:
接收超文本传输协议http请求;其中,所述http请求包括报文特征;
将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出确定所述http请求的异构执行体集合;其中,所述异构执行体集合中包括至少两个异构执行体;
将所述http请求分别分发给所述异构执行体集合中的每一异构执行体,以使所述每一异构执行体处理所述http请求;接收所述每一异构执行体返回的响应信息;
根据所述响应信息,确定所述http请求的合法性决策结果。
可选的,所述将所述报文特征输入预先训练好的漏洞场景分析器中之前,所述方法还包括:
获取目标http请求的报文特征,以及确定所述目标http请求的漏洞场景标识;
根据所述目标http请求的报文特征和所述目标http请求的漏洞场景标识,训练得到漏洞场景分析器。
可选的,所述将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出确定所述http请求的异构执行体集合,包括:
将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识;
获取所述报文特征关联的漏洞场景标识的候选异构执行体集合;
将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合。
可选的,所述根据所述响应信息,确定所述http请求的合法性决策结果,包括:
判断所述每一异构执行体返回的响应信息是否相同;
若是,则确定所述http请求的合法性决策结果为合法;
若否,则确定所述http请求的合法性决策结果为非法。
可选的,所述确定所述http请求的合法性决策结果为合法之后,所述方法还包括:
检测到所述http请求为攻击请求,根据第一更新规则更新所述http请求的异构执行体集合的差异度权值;
所述确定所述http请求的合法性决策结果为非法之后,所述方法还包括:
根据第二更新规则更新所述http请求的异构执行体集合的差异度权值。
可选的,所述检测到所述http请求为攻击请求之前,所述方法还包括:
将所述http请求的报文传输信息与预设信息进行匹配,得到匹配值;其中,所述报文传输信息包括请求报文、响应报文和服务日志;
若所述匹配值大于匹配值阈值,则确定所述http请求为攻击请求。
可选的,所述根据第一更新规则更新所述http请求的异构执行体集合的差异度权值,包括:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
所述根据第二更新规则更新所述http请求的异构执行体集合的差异度权值,包括:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。
第二方面,本公开还提供了一种拟态防御处理装置,包括:
请求接收模块,用于接收超文本传输协议http请求;其中,所述http请求包括报文特征;
异构执行体集合确定模块,用于将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出确定所述http请求的异构执行体集合;其中,所述异构执行体集合中包括至少两个异构执行体;
请求发送和信息接收模块,用于将所述http请求分别分发给所述异构执行体集合中的每一异构执行体,以使所述每一异构执行体处理所述http请求;接收所述每一异构执行体返回的响应信息;
结果确定模块,用于根据所述响应信息,确定所述http请求的合法性决策结果。
可选的,还包括:标识确定模块和漏洞场景分析器训练模块;
标识确定模块,用于获取目标http请求的报文特征,以及确定所述目标http请求的漏洞场景标识;
漏洞场景分析器训练模块,用于根据所述目标http请求的报文特征和所述目标http请求的漏洞场景标识,训练得到漏洞场景分析器。
可选的,异构执行体集合确定模块,具体用于:
将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识;
获取所述报文特征关联的漏洞场景标识的候选异构执行体集合;
将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合。
可选的,结果确定模块,具体用于:
判断所述每一异构执行体返回的响应信息是否相同;
若是,则确定所述http请求的合法性决策结果为合法;
若否,则确定所述http请求的合法性决策结果为非法。
可选的,还包括:差异度权值第一更新单元和差异度权值第二更新单元;
差异度权值第一更新单元,用于检测到所述http请求为攻击请求,根据第一更新规则更新所述http请求的异构执行体集合的差异度权值;
差异度权值第二更新单元,用于根据第二更新规则更新所述http请求的异构执行体集合的差异度权值。
可选的,还包括:信息匹配模块和攻击请求确定模块;
信息匹配模块,用于将所述http请求的报文传输信息与预设信息进行匹配,得到匹配值;其中,所述报文传输信息包括请求报文、响应报文和服务日志;
攻击请求确定模块,用于若所述匹配值大于匹配值阈值,则确定所述http请求为攻击请求。
可选的,差异度权值第一更新单元,具体用于:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
差异度权值第二更新单元,具体用于:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。
第三方面,本公开还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明实施例中的任一种所述的拟态防御处理方法。
第四方面,本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例中的任一种所述的拟态防御处理方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:能够根据接收到的http请求为其分发匹配的异构执行体,使得各异构执行体返回的响应信息不同,从而极大降低共模漏洞的产生,有效提高了网络安全防护性能。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种拟态防御处理方法的流程示意图;
图2是本公开实施例提供的另一种拟态防御处理方法的流程示意图;
图3是本公开实施例提供的又一种拟态防御处理方法的流程示意图;
图4是本公开实施例提供的又一种拟态防御处理方法的流程示意图;
图5是本公开实施例提供的一种拟态防御处理装置的结构示意图;
图6是本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种拟态防御处理方法的流程示意图。本实施例可适用于基于接收到的访问请求动态分配异构执行体的情况。本实施例方法可由拟态防御处理装置来执行,该装置可采用硬件/或软件的方式来实现,并可配置于电子设备中。可实现本申请任意实施例所述的拟态防御处理方法。
在目前全球化大背景下,信息系统的安全漏洞问题非常严重,网络空间的安全形势非常严峻,拟态防御能够对攻击目标进行主动防御,及时阻拦危险信息的进攻。其中,拟态防御理论,是一种以动态异构冗余为核心思想的拟态防御机制,为应对网络空间不同领域、应用层次上基于未知漏洞、后门、病毒或木马等未知威胁,提供了具有创新、普适意义的防御理论和方法;拟态防御核心技术原理为围绕一个或者多个处理环节,建设多个功能一致、技术异构的执行体,通过对异构执行体的动态调度使用,构建异构冗余的服务环境,以使的每个信息请求都通过动态选择的多个异构体来共同处理,先天性地避免了针对某一特定漏洞的攻击,实现主动防御的目标。
如图1所示,该方法具体包括如下:
S110、接收超文本传输协议http请求;其中,http请求包括报文特征。
在本实施例中,超文本传输协议(hyper text transfer protocol,http)请求为用户通过电子设备触发的访问请求,例如,用户在浏览器的搜索框中输入的搜索内容或者搜索网址。
其中,http请求中包括的报文特征可分为请求时间、服务器名称、客户端网络协议(Internet Protocol,IP)地址、请求方法、请求资源、服务器IP地址、浏览器信息、响应状态码、请求来源、响应长度以及请求协议等。
S120、将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出确定http请求的异构执行体集合;其中,异构执行体集合中包括至少两个异构执行体。
在本实施例中,漏洞场景分析器为根据访问请求和基于该访问请求分析归纳得出的漏洞场景训练得出,该漏洞场景分析器可实时进行更新,以适配多类型的访问请求。
每个漏洞场景可为其标记唯一对应的漏洞场景标识,以对多种类的漏洞场景进行有效区分和统一管理;其中,每一漏洞场景标识下均关联多个异构执行体集合,异构执行体集合中的异构执行体的数量可不相同,且每一异构执行体集合具有差异度权值;需限定每一异构执行体集合中异构执行体的数量至少为两个,以确保每一异构执行体集合对访问请求处理具有意义。
S130、将http请求分别分发给异构执行体集合中的每一异构执行体,以使每一异构执行体处理http请求;接收每一异构执行体返回的响应信息。
在本实施例中,异构执行体可为服务器;异构执行体具有多层异构组织,可包括编程语言、服务器类型、操作系统和硬件架构;其中,编程语言可包括Java、Python或者PHP等;服务器类型可包括多种Web服务器,apache、nginx、lighttpd、zeus、tomcat等;操作系统可包括Windows系列操作系统、Unix类操作系统、Linux类操作系统或Mac操作系统等;硬件架构可包括x86架构或arm架构等。
由于每一异构执行体的多层组织不同,则其对一条访问请求的处理的规则则不同,即返回的响应信息可可能具有较大区别,因此,采用异构执行体能够有效识别出具有恶意攻击的请求,并对其进行安全阻拦。
S140、根据响应信息,确定http请求的合法性决策结果。
在本实施例中,异构执行体集合中包含的多个异构执行体能够根据同一访问请求输出不同的响应信息,以根据多个不同的响应信息对http请求的合法性进行有效判断。其中,响应信息可包括状态码、服务类型、响应长度、响应编码和响应体。
本公开实施例接收超文本传输协议http请求;其中,http请求包括报文特征;将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出确定http请求的异构执行体集合;其中,异构执行体集合中包括至少两个异构执行体;将http请求分别分发给异构执行体集合中的每一异构执行体,以使每一异构执行体处理http请求;接收每一异构执行体返回的响应信息;根据响应信息,确定http请求的合法性决策结果。本公开实施例能够根据接收到的http请求为其分发匹配的异构执行体,使得各异构执行体返回的响应信息不同,从而极大降低共模漏洞的产生,有效提高了网络安全防护性能。
图2是本公开实施例提供的另一种拟态防御处理方法的流程示意图。本实施例是在上述实施例的基础上进一步扩展与优化,并可与上述技术方案中任意可选方案组合。如图2所示,该方法包括:
S210、接收超文本传输协议http请求;其中,http请求包括报文特征。
S220、获取目标http请求的报文特征,以及确定目标http请求的漏洞场景标识。
在本实施例中,目标http请求为选取的训练漏洞场景分析器的样本请求;目标http请求的漏洞场景标识可根据目标http请求的报文特征进行漏洞总结归纳得出,并为该漏洞场景进行标识标记,建立目标http请求的报文特征与漏洞场景标识的关联对应关系存储在数据库中。
S230、根据目标http请求的报文特征和目标http请求的漏洞场景标识,训练得到漏洞场景分析器。
在本实施例中,漏洞场景分析器在首次训练过程中,由于其中的漏洞场景为空,可对常见的攻击请求进行学习训练,得到常见的漏洞场景,添加至初始的漏洞场景分析器中,以进行样本请求的二次学习训练,从而得到最终的漏洞场景分析器。
本实施例能够根据样本请求的报文特征与其对应的漏洞场景标识进行学习训练,准确有效的得到漏洞场景分析器,从而后续可直接根据该漏洞场景分析器快速识别出访问请求的漏洞场景信息。
S240、将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出得到报文特征关联的漏洞场景标识。
在本实施例中,漏洞场景分析器存储报文特征与漏洞场景标识的关联对应关系;具体的,在漏洞场景分析器中查找报文特征,并将报文特征关联对应的漏洞场景标识作为待输出的漏洞场景标识并输出。
S250、获取报文特征关联的漏洞场景标识的候选异构执行体集合;将候选异构执行体集合中差异度权值最大的异构执行体集合作为http请求的异构执行体集合。
在本实施例中,异构执行体集合的差异度权值可根据异构执行体集合中每两个异构执行体之间的差异度权值来确定;差异度权值能够表明异构执行体集合中异构执行体能够涵盖不同较多种类的漏洞,因此,差异度权值越大的异构执行体集合对漏洞的识别效果更高。本实施例选择差异度权值最大的异构执行体集合作为http请求的异构执行体集合,能够使得进行漏洞识别的异构执行体集合具有较强的鉴别能力。
示例性的,异构执行体集合中包含的异构执行体为A、B和C;其中,A和B的差异度权值为1,B和C的差异度权值为2,A和C的差异度权值为3,则由异构执行体A、异构执行体B和异构执行体C组成的异构执行体集合的差异度权值为3。
S260、判断每一异构执行体返回的响应信息是否相同;若是,则执行S270;若否,则执行S280。
在本实施例中,响应信息可有效表达出异构执行体对应http请求的处理结果,可包括状态码、服务器类型、响应长度、响应编码和响应体。本实施例能够根据异构执行体集合中每一异构执行体的的响应信息精准确定http请求是否合法。
S270、确定http请求的合法性决策结果为合法。
S280、确定http请求的合法性决策结果为非法。
示例性的,以异构执行体返回的响应信息为状态码为例进行说明;异构执行体集合包括异构执行体A、异构执行体B和异构执行体C;若A返回的状态码为404,B和C返回的状态码为200,则表示http请求为非法;若A、B和C返回的状态码均为200,则表示http请求为合法。
在本实施例中,若确定出http请求的合法性决策结果为合法,则将该http请求的响应结果返回给用户,例如响应结果为针对于用户的搜索内容的搜索结果;若确定出http请求的合法性决策结果为非法,则不返回搜索结果,返回该http请求不合法的提示信息。
图3是本公开实施例提供的又一种拟态防御处理识别方法的流程示意图。本实施例是在上述实施例的基础上进一步扩展与优化,并可与上述技术方案中任意可选方案组合。如图3所示,该方法包括:
S310、接收超文本传输协议http请求;其中,http请求包括报文特征。
S320、将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出确定http请求的异构执行体集合;其中,异构执行体集合中包括至少两个异构执行体。
S330、将http请求分别分发给异构执行体集合中的每一异构执行体,以使每一异构执行体处理http请求;接收每一异构执行体返回的响应信息。
S340、判断每一异构执行体返回的响应信息是否相同;若是,则确定http请求的合法性决策结果为合法。
S350、检测到http请求为攻击请求,根据第一更新规则更新http请求的异构执行体集合的差异度权值。
在本实施例中,根据异构执行体集合中每一异构执行体的响应信息确定出http请求为合法且为攻击请求时,有较大可能出现参与裁决的异构执行体包含相同漏洞,当再次遇到此类攻击时,有可能引起共模漏洞的产生,因此,需要对该异构执行体集合的差异度权值进行调整,以提高异构执行体集合的每一异构执行体处理漏洞的覆盖性。
在本实施例中,可选的,检测到http请求为攻击请求之前,本实施例方法还包括:
将http请求的报文传输信息与预设信息进行匹配,得到匹配值;其中,报文传输信息包括请求报文、响应报文和服务日志;
若匹配值大于匹配值阈值,则确定http请求为攻击请求。
其中,预设信息为根据历史访问请求得出的历史报文传输信息,其包括请求报文、异构执行体的响应报文和异构执行体记录的服务日志;从而能够有效识别出待检测的http请求是否具有攻击性。
在本实施例中,可选的,将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值。
其中,由于异构执行体集合中每一异构执行体的响应信息均相同,其被认为有较大可能会涵盖相同漏洞,当再次遇到此类攻击时,为了降低将该攻击请求再次分配到该异构执行体集合中,则需要对该异构执行体集合的差异度权值进行降低操作,以降低再次被分配的几率。
示例性的,若异构执行体集合中包括异构执行体A、异构执行体B和异构执行体C,A和B之间的差异度权值为2,B和C之间的差异度权值为3,A和C之间的差异度权值为2,此时,该异构执行体集合的差异度权值为3。对其进行差异度权值降低操作,即将A和B的差异度权值调整为1,将B和C的差异度权值调整为2,将A和C的差异度权值调整为1,则修正后的异构执行体集合的差异度权值为2。
图4是本公开实施例提供的又一种拟态防御处理识别方法的流程示意图。本实施例是在上述实施例的基础上进一步扩展与优化,并可与上述技术方案中任意可选方案组合。如图4所示,该方法包括:
S410、接收超文本传输协议http请求;其中,http请求包括报文特征。
S420、将报文特征输入预先训练好的漏洞场景分析器中,根据漏洞场景分析器的输出确定http请求的异构执行体集合;其中,异构执行体集合中包括至少两个异构执行体。
S430、将http请求分别分发给异构执行体集合中的每一异构执行体,以使每一异构执行体处理http请求;接收每一异构执行体返回的响应信息。
S440、判断每一异构执行体返回的响应信息是否相同;若否,则确定http请求的合法性决策结果为非法。
S450、根据第二更新规则更新http请求的异构执行体集合的差异度权值。
在本实施例中,当检测到http请求为非法,则需要对处理其的异构执行体集合的差异度权值进行调整,以使得其能够更加灵敏的反映出访问请求的合法性。
在本实施例中,可选的,根据第二更新规则更新http请求的异构执行体集合的差异度权值,包括:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。
其中,第一权值阈值可根据异构执行体之间的差异度权值的最小单元进行确定,例如,第一权值阈值可为1。本实施例减小响应元素相同的异构执行体之间的差异度权值,并增大响应元素不同的异构执行体之间的差异度权值,能够使得异构执行体集合中异构执行体之间的区别性更大,从而使得异构执行体集合组中异构执行体集合中能够包含差异性较大的异构执行体,从而使得同一访问请求具有多个响应信息,以提高其合法性判断的准确性。
图5是本公开实施例提供的一种拟态防御处理装置的结构示意图;该装置配置于电子设备中,可实现本申请任意实施例所述的拟态防御处理方法。该装置具体包括如下:
请求接收模块510,用于接收超文本传输协议http请求;其中,所述http请求包括报文特征;
异构执行体集合确定模块520,用于将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出确定所述http请求的异构执行体集合;其中,所述异构执行体集合中包括至少两个异构执行体;
请求发送和信息接收模块530,用于将所述http请求分别分发给所述异构执行体集合中的每一异构执行体,以使所述每一异构执行体处理所述http请求;接收所述每一异构执行体返回的响应信息;
结果确定模块540,用于根据所述响应信息,确定所述http请求的合法性决策结果。
在本实施例中,可选的,本实施例装置还包括:标识确定模块和漏洞场景分析器训练模块;
标识确定模块,用于获取目标http请求的报文特征,以及确定所述目标http请求的漏洞场景标识;
漏洞场景分析器训练模块,用于根据所述目标http请求的报文特征和所述目标http请求的漏洞场景标识,训练得到漏洞场景分析器。
在本实施例中,可选的,异构执行体集合确定模块520,具体用于:
将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识;
获取所述报文特征关联的漏洞场景标识的候选异构执行体集合;
将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合。
在本实施例中,可选的,结果确定模块540,具体用于:
判断所述每一异构执行体返回的响应信息是否相同;
若是,则确定所述http请求的合法性决策结果为合法;
若否,则确定所述http请求的合法性决策结果为非法。
在本实施例中,可选的,本实施例装置还包括:差异度权值第一更新单元和差异度权值第二更新单元;
差异度权值第一更新单元,用于检测到所述http请求为攻击请求,根据第一更新规则更新所述http请求的异构执行体集合的差异度权值;
差异度权值第二更新单元,用于根据第二更新规则更新所述http请求的异构执行体集合的差异度权值。
在本实施例中,可选的,本实施例装置还包括:信息匹配模块和攻击请求确定模块;
信息匹配模块,用于将所述http请求的报文传输信息与预设信息进行匹配,得到匹配值;其中,所述报文传输信息包括请求报文、响应报文和服务日志;
攻击请求确定模块,用于若所述匹配值大于匹配值阈值,则确定所述http请求为攻击请求。
在本实施例中,可选的,差异度权值第一更新单元,具体用于:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
差异度权值第二更新单元,具体用于:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。
通过本发明实施例的拟态防御处理装置,能够根据接收到的http请求为其分发匹配的异构执行体,使得各异构执行体返回的响应信息不同,从而极大降低共模漏洞的产生,有效提高了网络安全防护性能。
本发明实施例所提供的拟态防御处理装置可执行本发明任意实施例所提供的拟态防御处理方法,具备执行方法相应的功能模块和有益效果。
图6是本公开实施例提供的一种电子设备的结构示意图。如图6所示,该电子设备包括处理器610、存储器620、输入装置630和输出装置640;电子设备中处理器610的数量可以是一个或多个,图6中以一个处理器610为例;电子设备中的处理器610、存储器620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器620作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的拟态防御处理方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现本发明实施例所提供的拟态防御处理方法。
存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置640可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的拟态防御处理方法。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的拟态防御处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述搜索装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种拟态防御处理方法,其特征在于,所述方法包括:
接收超文本传输协议http请求;其中,所述http请求包括报文特征;
将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识;
获取所述报文特征关联的漏洞场景标识的候选异构执行体集合;
将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合;
其中,所述异构执行体集合中包括至少两个异构执行体;
将所述http请求分别分发给所述异构执行体集合中的每一异构执行体,以使所述每一异构执行体处理所述http请求;接收所述每一异构执行体返回的响应信息;
根据所述响应信息,确定所述http请求的合法性决策结果。
2.根据权利要求1所述的方法,其特征在于,所述将所述报文特征输入预先训练好的漏洞场景分析器中之前,所述方法还包括:
获取目标http请求的报文特征,以及确定所述目标http请求的漏洞场景标识;
根据所述目标http请求的报文特征和所述目标http请求的漏洞场景标识,训练得到漏洞场景分析器。
3.根据权利要求1所述的方法,其特征在于,所述根据所述响应信息,确定所述http请求的合法性决策结果,包括:
判断所述每一异构执行体返回的响应信息是否相同;
若是,则确定所述http请求的合法性决策结果为合法;
若否,则确定所述http请求的合法性决策结果为非法。
4.根据权利要求3所述的方法,其特征在于,所述确定所述http请求的合法性决策结果为合法之后,所述方法还包括:
检测到所述http请求为攻击请求,根据第一更新规则更新所述http请求的异构执行体集合的差异度权值;
所述确定所述http请求的合法性决策结果为非法之后,所述方法还包括:
根据第二更新规则更新所述http请求的异构执行体集合的差异度权值。
5.根据权利要求4所述的方法,其特征在于,所述检测到所述http请求为攻击请求之前,所述方法还包括:
将所述http请求的报文传输信息与预设信息进行匹配,得到匹配值;其中,所述报文传输信息包括请求报文、响应报文和服务日志;
若所述匹配值大于匹配值阈值,则确定所述http请求为攻击请求。
6.根据权利要求4所述的方法,其特征在于,所述根据第一更新规则更新所述http请求的异构执行体集合的差异度权值,包括:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
所述根据第二更新规则更新所述http请求的异构执行体集合的差异度权值,包括:
将异构执行体集合中返回响应元素相同的异构执行体之间的差异度权值减小第一权值阈值;
将异构执行体集合中返回响应元素不同的异构执行体之间的差异度权值增大第一权值阈值。
7.一种拟态防御处理装置,其特征在于,所述装置包括:
请求接收模块,用于接收超文本传输协议http请求;其中,所述http请求包括报文特征;
异构执行体集合确定模块,用于将所述报文特征输入预先训练好的漏洞场景分析器中,根据所述漏洞场景分析器的输出得到所述报文特征关联的漏洞场景标识;获取所述报文特征关联的漏洞场景标识的候选异构执行体集合;将所述候选异构执行体集合中差异度权值最大的异构执行体集合作为所述http请求的异构执行体集合;其中,所述异构执行体集合中包括至少两个异构执行体;
请求发送和信息接收模块,用于将所述http请求分别分发给所述异构执行体集合中的每一异构执行体,以使所述每一异构执行体处理所述http请求;接收所述每一异构执行体返回的响应信息;
结果确定模块,用于根据所述响应信息,确定所述http请求的合法性决策结果。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~6中任一所述的拟态防御处理方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~6中任一所述的拟态防御处理方法。
CN202110418247.5A 2021-04-19 2021-04-19 拟态防御处理方法、装置、电子设备和介质 Active CN113114696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110418247.5A CN113114696B (zh) 2021-04-19 2021-04-19 拟态防御处理方法、装置、电子设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110418247.5A CN113114696B (zh) 2021-04-19 2021-04-19 拟态防御处理方法、装置、电子设备和介质

Publications (2)

Publication Number Publication Date
CN113114696A CN113114696A (zh) 2021-07-13
CN113114696B true CN113114696B (zh) 2022-12-09

Family

ID=76718683

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110418247.5A Active CN113114696B (zh) 2021-04-19 2021-04-19 拟态防御处理方法、装置、电子设备和介质

Country Status (1)

Country Link
CN (1) CN113114696B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257519B (zh) * 2021-11-02 2023-05-16 中国人民解放军战略支援部队信息工程大学 多功能等价执行体系统的异构度评估方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108769073A (zh) * 2018-07-04 2018-11-06 中国人民解放军战略支援部队信息工程大学 一种信息处理方法及设备
CN110048868A (zh) * 2018-01-16 2019-07-23 北京中科晶上超媒体信息技术有限公司 操作系统执行体的调度方法
CN111698235A (zh) * 2020-06-03 2020-09-22 北京润通丰华科技有限公司 一种拟态dns防御系统控制单元中的异构体调度方法
CN112019557A (zh) * 2020-09-02 2020-12-01 北京天融信网络安全技术有限公司 一种数据处理方法及装置
CN112615862A (zh) * 2020-12-18 2021-04-06 网络通信与安全紫金山实验室 一种基于拟态防御的攻击防御装置、方法、设备和介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11223637B2 (en) * 2018-01-07 2022-01-11 Microsoft Technology Licensing, Llc Detecting attacks on web applications using server logs

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110048868A (zh) * 2018-01-16 2019-07-23 北京中科晶上超媒体信息技术有限公司 操作系统执行体的调度方法
CN108769073A (zh) * 2018-07-04 2018-11-06 中国人民解放军战略支援部队信息工程大学 一种信息处理方法及设备
CN111698235A (zh) * 2020-06-03 2020-09-22 北京润通丰华科技有限公司 一种拟态dns防御系统控制单元中的异构体调度方法
CN112019557A (zh) * 2020-09-02 2020-12-01 北京天融信网络安全技术有限公司 一种数据处理方法及装置
CN112615862A (zh) * 2020-12-18 2021-04-06 网络通信与安全紫金山实验室 一种基于拟态防御的攻击防御装置、方法、设备和介质

Also Published As

Publication number Publication date
CN113114696A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
US9680848B2 (en) Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis
US9892261B2 (en) Computer imposed countermeasures driven by malware lineage
US11848913B2 (en) Pattern-based malicious URL detection
US20190222589A1 (en) Method computing device for detecting malicious domain names in network traffic
KR101666177B1 (ko) 악성 도메인 클러스터 탐지 장치 및 방법
CN107294982B (zh) 网页后门检测方法、装置及计算机可读存储介质
US10484400B2 (en) Dynamic sensors
CN106549980B (zh) 一种恶意c&c服务器确定方法及装置
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
CN104426906A (zh) 识别计算机网络内的恶意设备
US20080313708A1 (en) Data content matching
EP3905086B1 (en) Large scale malware sample identification
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
US11088991B2 (en) Firewall device to automatically select a rule required for each individual web server
CN111224941A (zh) 一种威胁类型识别方法及装置
WO2018039792A1 (en) Apparatus and methods for network-based line-rate detection of unknown malware
CN113114696B (zh) 拟态防御处理方法、装置、电子设备和介质
Haddadi et al. Malicious automatically generated domain name detection using stateful-SBB
CN114697066A (zh) 网络威胁检测方法和装置
Nguyen et al. Improving web application firewalls with automatic language detection
Kayacik et al. Evolving successful stack overflow attacks for vulnerability testing
CN114095235B (zh) 系统识别方法、装置、计算机设备及介质
US11552989B1 (en) Techniques for generating signatures characterizing advanced application layer flood attack tools
US11888893B2 (en) Characterization of HTTP flood DDoS attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant