CN113542302A - 攻击干扰方法、装置、网关及可读存储介质 - Google Patents
攻击干扰方法、装置、网关及可读存储介质 Download PDFInfo
- Publication number
- CN113542302A CN113542302A CN202110879467.8A CN202110879467A CN113542302A CN 113542302 A CN113542302 A CN 113542302A CN 202110879467 A CN202110879467 A CN 202110879467A CN 113542302 A CN113542302 A CN 113542302A
- Authority
- CN
- China
- Prior art keywords
- request
- target
- response
- attack
- source station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的实施例提供了一种攻击干扰方法、装置、网关及可读存储介质,涉及通信技术领域。该方法应用于网关,该方法包括:在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同,所述可疑请求表示可能为攻击的请求;将所述第一响应发送给所述目标客户端。如此,通过针对可疑请求返回与实际源站服务器描述信息不同的描述信息,从而增加不确定因素,迷惑攻击者,使得攻击者无法获得源站服务器的真实特征,增加攻击难度,以维护网络安全。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种攻击干扰方法、装置、网关及可读存储介质。
背景技术
目前一般都是在网络攻击发生后,根据攻击提取特征,分析现有漏洞,进而实施补救,以维护网络安全。当今网络越来越发达,会有无穷多的未知攻击不断发生。这些还没被发现的漏洞、没被利用的后门、没被感知的病毒,都是不确定威胁。现有的网络安全维护方式对这些不确定威胁没有相关的预防措施,由此将导致网络安全受到影响。
发明内容
本申请实施例提供了一种攻击干扰方法、装置、网关及可读存储介质,其能够通过针对可疑请求返回与实际源站服务器描述信息不同的描述信息,从而增加不确定因素,迷惑攻击者,使得攻击者无法获得源站服务器的真实特征,增加攻击难度,以维护网络安全。
本申请的实施例可以这样实现:
第一方面,本申请实施例提供一种攻击干扰方法,应用于网关,所述方法包括:
在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同,所述可疑请求表示可能为攻击的请求;
将所述第一响应发送给所述目标客户端。
第二方面,本申请实施例提供一种攻击干扰装置,应用于网关,所述装置包括:
生成模块,用于在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同,所述可疑请求表示可能为攻击的请求;
发送模块,用于将所述第一响应发送给所述目标客户端。
第三方面,本申请实施例提供一种网关,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式所述的攻击干扰方法。
第四方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式所述的攻击干扰方法。
本申请实施例提供的攻击干扰方法、装置、网关及可读存储介质,网关在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,并将该第一响应发送给目标客户端。该第一响应中包括了源站服务器描述信息,该源站服务器描述信息与上述目标请求所对应的目标源站服务器的描述信息不同,可疑请求表示可能为攻击的请求。如此,通过针对可疑请求返回与实际源站服务器描述信息不同的描述信息,从而增加不确定因素,迷惑攻击者,使得攻击者无法获得源站服务器的真实特征,增加攻击难度,以维护网络安全。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为一种防攻击架构示意图;
图2为本申请实施例提供的网络系统的方框示意图;
图3为图2中网关的方框示意图;
图4为本申请实施例提供的攻击干扰方法的流程示意图之一;
图5为本申请实施例提供的攻击干扰方法的流程示意图之二;
图6为图5中步骤S120包括的子步骤的流程示意图;
图7为图6中子步骤S123包括的子步骤的流程示意图;
图8为步骤S130包括的子步骤的流程示意图;
图9为本申请实施例提供的架构图;
图10为本申请实施例提供的攻击干扰装置的方框示意图之一;
图11为本申请实施例提供的攻击干扰装置的方框示意图之二。
图标:10-网络系统;100-网关;110-存储器;120-处理器;130-通信单元;200-客户端;300-目标源站服务器;400-攻击干扰装置;410-请求接收模块;420-判断模块;430-生成模块;440-发送模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
21世纪人们已经进入了信息时代,大到国家、小到公司甚至个人,信息都是不可或缺的关键资源。而随着计算机技术和网络技术的不断发展,网络逐渐成为信息传递的主要载体。正如美国未来学家托尔勒所说:“谁掌握了信息,谁控制了网络,谁就将拥有整个世界”。而网络是一个开发的、无控制的环境,目前主要使用的TCP/IP网络协议也缺乏相应的安全措施,这就使得黑客可以轻松入侵网络,盗取或破坏信息。随着网络安全问题不断发生,网络安全已经成为世界各国关注的焦点,不仅关系到用户的信息和资产风险,也关系到国家安全和社会稳定。当前使用的解决方案主要有如下三种。
第一种:安全网关。请参照图1,图1为一种防攻击架构示意图。如图1所示,将防火墙和WAF(Web Application Firewall,Web应用防火墙)系统部署在网关,作为一种代理服务,网关可中断用户和Web服务器(即图1中的Site Sever)的直接连接。安全网关既具备传统防火墙的功能,也具备WAF的功能。具体来说,传统防火墙主要工作在OSI(Open SystemInterconnection,开放式系统互联)模型的三、四层,基于IP+Port进行检测和限制;WAF基于应用层,主要是HTTP(HyperText Transfer Protocol,HyperText Transfer Protocol)协议,可以充分理解并分析HTTP会话,根据内置的特征库对流量进行模式匹配,检测出网络中可能存在攻击或异常的流量并进行拦截。
第二种:终端杀毒软件。采用先进的杀毒软件,定期对终端(包含客户终端、服务器、工作站等)进行漏洞扫描、病毒查杀等,用于消除病毒、木马、恶意软件等终端计算机威胁。其中,杀毒软件是根据已经发生的攻击制作的。
第三种:网络版杀毒产品部署。上述方案二只能防止安装了杀毒软件的某一些终端设备遭受攻击,并不能杜绝威胁在网络中传播。而第三种方案可以在整个网络中可能传播和感染病毒的地方都采取相应的防毒手段,类似现在各大云网盘、邮件系统等都具备各自的防毒能力。网络版杀毒产品也是根据已经发生的攻击制作的。
上述三种方案可以单独使用,也可以三者共同部署,共同构建一个防护网,以此来保护网络安全。
然而,不管是基于特征的入侵防御,还是病毒查杀或者漏洞扫描,都是一种被动的“亡羊补牢”式的思路。即先有攻击发生,然后根据攻击提取特征、分析现有漏洞,再实施补救。而当今网络越来越发达,会有无穷多的未知攻击不断发生。所有这些还没被发现的漏洞、没被利用的后门、没被感知的病毒,都是不确定威胁,都是当前技术方案不能处理的。也即,当前技术方案没有对这些不确定威胁制定相关的预防措施,由此将导致网络安全受到影响。
针对以上情况,本申请实施例提出一种攻击干扰方法、装置、网关及可读存储介质,通过针对可疑请求返回与实际源站服务器描述信息不同的描述信息,从而增加不确定因素,迷惑攻击者,使得攻击者无法获得源站服务器的真实特征,增加攻击难度,以维护网络安全。值得说明的是,针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得到的结果,因此,上述问题的发现过程以及下文中本申请实施例针对上述问题所提出的解决方案,都应是发明人在本申请过程中对本申请做出的贡献。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图2,图2为本申请实施例提供的网络系统10的方框示意图。所述网络系统10中可以包括网关100、与所述网关100通信连接的目标源站服务器300及至少一个客户端200。所述网关100可以是一个设备,可以是多个设备构成的集群,具体可以根据实际需求。所述客户端200可以是电脑、服务器、智能手机等。所述目标源站服务器300可以是一个服务器,也可以是服务器集群。
所述网关100在接收到客户端200发送的情况下,根据该请求是否为可疑请求,从而确定向该客户端发送正常响应还是混淆响应。其中,所述正常响应为所述目标源站服务器300基于所述请求生成的响应。如此,能够增加不确定因素,迷惑攻击者,使得攻击者无法获得目标源站服务器300的真实特征,增加攻击难度,以维护网络安全。
请参照图3,图3为图2中网关100的方框示意图。所述网关100中可以包括防火墙和WAF系统等。所述网关100可以包括存储器110、处理器120及通信单元130。所述存储器110、处理器120以及通信单元130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。比如,存储器110中存储有攻击干扰装置400,所述攻击干扰装置400包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中的软件功能模块。所述处理器120通过运行存储在存储器110内的软件程序以及模块,如本申请实施例中的攻击干扰装置400,从而执行各种功能应用以及数据处理,即实现本申请实施例中的攻击干扰方法。
通信单元130用于通过网络建立所述网关100与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图3所示的结构仅为网关100的结构示意图,所述网关100还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
请参照图4,图4为本申请实施例提供的攻击干扰方法的流程示意图之一。所述方法可应用于图2中的网关100。下面对攻击干扰方法的具体流程进行详细阐述。所述方法可以包括步骤S130及步骤S140。
步骤S130,在目标客户端200发送的目标请求为可疑请求的情况下,生成第一响应。
步骤S140,将所述第一响应发送给所述目标客户端200。
其中,在所述网关100需要对某个客户端200的请求进行响应的情况下,可将该客户端200作为所述目标客户端200,将该请求作为所述目标请求。由此可知,所述目标客户端200可以为任意客户端。
所述网关100可通过检测确定该目标请求是否为可疑请求;也可以将该目标请求发送给其他设备,由其他设备确定该目标请求是否为可疑请求,并接收该其他设备的判断结果,从而确定该目标请求是否为可疑请求。当然可以理解的是,上述仅为举例说明,也可以通过其他方式确定该目标请求是否为可疑请求。其中,所述可疑请求表示可能为攻击的请求。
在所述目标请求为可疑请求的情况下,所述网关100生成第一响应。该第一响应中包括源站服务器描述信息,该源站服务器描述信息与所述目标请求对应的目标源站服务器300的描述信息不同。也即,所述第一响应中虽然包括了源站服务器描述信息,但该源站服务器描述信息并不是与该目标请求对应的真正源站服务器的描述信息,也就是说第一响应中包括的不是真正源站服务器的真实特征。
将生成的所述第一响应发送给所述目标客户端200,使得所述目标客户端200接收到针对所述目标请求的响应信息。
如此,通过向发送可疑请求的目标客户端200返回不包括真正源站服务器的真实特征的第一响应,可增强不确定因素,迷惑攻击者,使得攻击者无法从第一响应中获取到真实源站服务器的真实特征,增大攻击难度。该方式可干扰黑客对真实源站服务器的攻击。该方式相较于常规的网络安全维护方式,变被动为主动,进行主动防御,能提升后端的安全性。
请参照图5,图5为本申请实施例提供的攻击干扰方法的流程示意图之二。在本实施例中,在步骤S130之前,所述方法还可以包括步骤S110及步骤S120。
步骤S110,接收所述目标请求。
步骤S120,判断所述目标请求是否为可疑请求。
在本实施实施例中,所述网关100可接收所述目标客户端200发送的所述目标请求,然后可通过任意方式判断该目标请求是否为可疑请求。比如,所述网关100可以根据自身预先存储的判断规则判断该目标请求是否为可疑请求;或者,所述网关100将该目标请求发送给其他设备,由其他设备进行判断,并接收该其他设备返回的判断结果,从而确定该目标请求是否为可疑请求;或者,所述网关100可以将上述两种方式结合,基于自身的判断结果以及其他设备发送的判断结果,确定该目标请求是否为可疑请求。当然可以理解的是,上述仅为距离说明,也可以通过其他方式进行判断。
可选地,在本实施例中,可通过图6所示方式确定所述目标请求是否为可疑请求。请参照图6,图6为图5中步骤S120包括的子步骤的流程示意图。步骤S120可以包括子步骤S121~子步骤S123。
子步骤S121,将所述目标请求发送给所述目标源站服务器300。
可选地,作为一种可能的实现方式,所述网关100在接收到所述目标请求后,可直接将所述目标请求发送给所述目标源站服务器300。如此,可减少所述网关100的工作量。
可选地,作为另一种可能的实现方式,所述网关100在接收到所述目标请求的情况下,可先检测所述目标请求是否为攻击。在所述目标请求不是攻击的情况下,将该目标请求发送给所述目标源站服务器300。如此,通过将首次判断为不是攻击的目标请求发送给目标源站服务器300,可对发送给所述目标源站服务器300的请求进行过滤,减少为攻击的请求对目标源站服务器300造成的不良影响。
可选地,所述网关100可通过任意方式完成上述首次判断。比如,所述网关100可基于防火墙规则、WAF引擎等对该目标请求进行检测,以得到第一判断结果。在所述第一判断结果表示该目标请求不是攻击的情况下,可将该目标请求发送给所述目标源站服务器300。
可选地,在所述第一判断结果表示该目标请求是攻击的情况下,所述网关100可直接生成第三响应,并将该第三响应返回给所述目标客户端200。其中,所述第三响应中可以包括用于告知目标客户端200该目标请求为威胁的信息。该第三响应中所包括的信息,可以是所述网关100预先设置好的针对为威胁(即攻击)的请求的响应信息。
子步骤S122,接收所述目标源站服务器300返回的针对所述目标请求的第二响应。
子步骤S123,根据所述第二响应确定所述目标请求是否为可疑请求。
所述网关100在将所述目标请求发送给所述目标源站服务器300后,所述目标源站服务器300可针对该目标请求,向所述网关100返回与该目标请求对应的第二响应。所述网关100可根据该第二响应,对所述目标请求进行第二次判断,获得第二判断结果。所述第二判断结果用于表示所述目标请求为可疑请求或正常请求。
可选地,作为一种可能的实现方式,所述目标源站服务器300具有检测请求是否为可疑请求的功能,所述第二响应中可以包括该目标请求是否为可疑请求的判断结果。所述第二响应中还包括与可疑请求对应的具体响应内容。在所述第二响应中包括该目标请求是否为可疑请求的判断结果的情况下,所述网关100可直接根据该判断结果确定该目标请求是否为可疑请求。
比如,在所述目标源站服务器300判定该目标请求为正常请求的情况下,所述网关100可根据该判断结果确定该目标请求不是可疑请求,是正常情况。在所述目标源站服务器300判定该目标请求是可疑请求的情况下,所述网关100可根据该判断结果确定该目标请求是可疑请求。
可选地,作为另一种可能的实现方式,可通过图7所示方式基于所述第二响应确定所述目标请求是否为可疑请求。请参照图7,图7为图6中子步骤S123包括的子步骤的流程示意图。子步骤S123可以包括子步骤S1231及子步骤S1232。
子步骤S1231,获取所述第二响应中包括的状态码作为第二状态码。
子步骤S1232,在所述第二状态码为目标状态码的情况下,确定所述目标请求为可疑请求。
在本实现方式中,所述目标源站服务器300可按照常规方式进行工作,针对接收到的由网关100发送的目标请求,向所述网关100返回第二响应。该第二响应中可以包括有状态码以及响应页面。该状态码可以为HTTP状态码(HTTP Status Code),是用于表示网页服务器HTTP响应状态的3位数字代码。可从所述第二响应中提取出该第二响应所包括的状态码,作为所述第二状态码。接着,所述网关100可根据该第二状态码,确定所述目标请求是否为可疑请求。
可选地,可将所有的状态码分为正常状态码及异常状态码,并将其中的异常状态码作为所述目标状态码。在获得所述第二状态码的情况下,将所述第二状态码与各目标状态码进行比对,若所述第二状态码与其中一个目标状态码相同,则可以确定该目标请求为可疑请求。若所述第二状态码与所有目标状态码均不同,则可以确定所述目标请求不是可疑请求,是正常请求。
可选地,在状态码为HTTP状态码的情况下,由于针对正常请求服务器一般返回1xx、2xx、3xx,针对可疑请求服务器一般返回4xx、5xx,因此,可将1xx、2xx、3xx作为正常状态码,将4xx、5xx作为异常状态码(即目标状态码)。
在确定所述目标请求不是可疑请求的情况下,所述网关100可将所述目标源站服务器300处获得的针对该目标请求的第二响应,发送给所述目标客户端200。其中,所述第二响应中所包括的状态码可以为第二状态码,所包括的响应页面可以为第二响应页面。当然可以理解的是,所述第二响应中还可以包括其他内容。
从真实源站服务器返回的响应,会暴露真实源站服务器的信息。也即第二响应中会包括所述目标源站服务器的信息。服务器返回的响应中,可以包括HTTP状态码、server服务器类型、以及各种自定义的响应头及响应body等,自定义的响应头及响应body中都可能包含信息。一般情况下,服务器的响应中的响应头包括状态码、服务器类型,响应body中包括有响应页面。
在确定所述目标请求是可疑请求的情况下,可以生成作为混淆响应的第一响应,并将该第一响应返回给所述目标客户端200。由此,可疑请求得到的响应就是经过混淆之后的响应,可对攻击者造成干扰。其中,生成所述第一响应的方式可任意,只要该第一响应中所包括的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同即可。
可选地,所述第一响应中可以包括第一状态码及第一响应页面。可选地,作为一种可能的实现方式,可通过图8所示方式生成所述第一响应。请参照图8,图8为步骤S130包括的子步骤的流程示意图。步骤S130可以包括子步骤S131及步骤S132。
子步骤S131,从至少一个备选状态码中选出所述第一状态码。
子步骤S132,从至少一个备选服务器中选出目标服务器,并模拟该目标服务器在状态码为所述第一状态码的情况下的响应页面作为所述第一响应页面。
可选地,所述网关100中可存储至少一个状态码作为至少一个备选状态码。比如,备选状态码可以为全部的HTTP状态码,也可以为HTTP状态码中的部分状态码,例如200、40x和50x。在确定所述目标请求为可疑请求的情况下,所述网关100可从所述至少一个备选状态码中随机选出一个备选状态码作为所述第一状态码。
还可以预先指定至少一个服务器作为至少一个备选服务器。其中,可选地,备选服务器的类型可以与所述目标源站服务器300的类型相同,比如,都是Web服务器,当然也可以不同,具体可以根据实际设置。例如,备选服务器为Tomcat、Nginx、Apache、IIS服务器。其中,Tomcat是一个免费的开源的Web应用服务器。Nginx是一款轻量级、高性能的HTTP和反向代理Web服务器。Apache是Apache软件基金会的一个开放源码的Web服务器。IIS(InternetInformation Services)是微软公司提供的一款Web服务器。
在确定所述目标请求为可疑请求的情况下,所述网关100可从所述至少一个备选服务器中随机选出一个备选服务器作为所述目标服务器,然后模拟该目标服务器在状态码为所述第一状态码的情况下的响应页面,并将模拟的响应页面作为所述第一响应页面。
如此,可基于上述第一状态码及第一响应生成所述第一响应,进而将该第一响应发送给所述目标客户端200。可以理解的是,所述第一响应中还可以包括其他信息,具体可以根据实际需求设置。
值得说明的是,上述备选状态码中可以包括所述第二响应中的第二状态码,上述备选服务器中可以包括所述目标源站服务器300,只要最终生成的第一响应中所包括的源站服务器描述信息与所述第二响应中所包括的源站服务器描述信息不同即可。
如此,本申请实施例在采用安全网关的架构下,基于主动防御的思路,识别可疑请求,然后对可疑请求响应时,通过动态选择状态码及服务器、结合模拟响应页面,进行随机混淆,不断改变目标源站服务器300的属性,模拟知名Web服务器的特点,增强不确定因素,迷惑攻击者,使攻击者无法获取目标源站服务器300的真实特征,增大攻击难度,从而提升后端的安全性,也即,可提高Web服务器的安全性。
并且,本申请实施例在随机混淆时,是模拟不同服务,动态变化目标源站服务器300的属性。而要模拟的服务,以及可变化的属性是极容易扩展的。比如,可以扩展模拟服务器的列表,扩展模拟的响应码,扩展模拟的HTTP响应头等。由此可知,本申请实施例还具有高扩展性的特点。
请参照图9,图9为本申请实施例提供的架构图。下面结合图9,对本申请实施例提供的攻击干扰方法进行举例说明。
客户端发送请求给网关Gateway。也即,用户流量到达网关Gateway。该请求可能为正常请求(即图9所示的valid),也可能是可疑请求(及图9所示的suspicious),也可以是攻击attack。
网关Gateway在接收到所述请求后,可基于防火墙规则、WAF引擎等对该请求进行检测。在确定该请求是攻击attack的情况下,则不会将该请求发送给目标源站服务器(即图9中的Site Server)。网关Gateway可直接生成响应,并将响应发送给客户端。
在确定该请求不是攻击的情况下,也即可能是正常请求或可疑请求的情况下,将该请求发送给目标源站服务器Site Server。目标源站服务器Site Server针对该请求,向网关Gateway返回响应response。
网关Gateway可分析该响应response中的状态码是否为4xx、5xx。若是,则确定该请求为可疑请求。在该请求为可疑请求的情况下,为了避免由于直接将网关Gateway返回的响应response发送给客户端导致目标源站服务器Site Server的真实信息暴露,网关Gateway可从200、40x和50x等多种状态码中随机选择一个状态码,并从Tomcat、Nginx、Apache、IIS服务器中随机选择一个、并模拟备选的服务器在状态码为所选择的状态码下的响应页面,从而生成混淆响应,并将该混淆响应发送给可疑请求所对应的客户端。
在确定该请求不是可疑请求、是正常请求的情况下,网关Gateway可将接收到的响应response发送给与接收到的响应所对应的客户端。
其中,根据响应response中的状态码判断请求是否为可疑请求以及生成混淆响应可由图9中网关Gateway中的New Mod实现。
如此,基于主动防御的思路,识别可疑请求,然后对其响应进行随机混淆,使得攻击者很难找到Web服务器的真实特点及漏洞,进而增强Web服务器的安全性。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种攻击干扰装置400的实现方式,可选地,该攻击干扰装置400可以采用上述图3所示的网关100的器件结构。进一步地,请参照图10,图10为本申请实施例提供的攻击干扰装置400的方框示意图之一。需要说明的是,本实施例所提供的攻击干扰装置400,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。攻击干扰装置400可应用于网关100,该攻击干扰装置400可以包括:生成模块430及发送模块440。
所述生成模块430,用于在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应。其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器300的描述信息不同,所述可疑请求表示可能为攻击的请求。
所述发送模块440,用于将所述第一响应发送给所述目标客户端200。
可选地,在本实施例中,所述生成模块430具体用于:从至少一个备选状态码中选出所述第一状态码;从至少一个备选服务器中选出目标服务器,并模拟该目标服务器在状态码为所述第一状态码的情况下的响应页面作为所述第一响应页面。
请参照图11,图11为本申请实施例提供的攻击干扰装置400的方框示意图之二。可选地,在本实施例中,所述攻击干扰装置400还可以包括请求接收模块410及判断模块420。
所述请求接收模块410,用于接收所述目标请求。
所述判断模块420,用于判断所述目标请求是否为可疑请求。
可选地,在本实施例中,所述判断模块420具体用于:将所述目标请求发送给所述目标源站服务器;接收所述目标源站服务器返回的针对所述目标请求的第二响应;根据所述第二响应确定所述目标请求是否为可疑请求。
可选地,在本实施例中,所述判断模块420具体用于:获取所述第二响应中包括的状态码作为第二状态码;在所述第二状态码为目标状态码的情况下,确定所述目标请求为可疑请求。
可选地,在本实施例中,所述判断模块420具体用于:检测所述目标请求是否为攻击;在所述目标请求不是攻击的情况下,将所述目标请求发送给所述目标源站服务器。
可选地,上述模块可以软件或固件(Firmware)的形式存储于图3所示的存储器110中或固化于网关100的操作系统(Operating System,OS)中,并可由图1中的处理器120执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器110中。
本申请实施例还提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的攻击干扰方法。
综上所述,本申请实施例提供一种攻击干扰方法、装置、网关及可读存储介质,网关在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,并将该第一响应发送给目标客户端。该第一响应中包括了源站服务器描述信息,该源站服务器描述信息与上述目标请求所对应的目标源站服务器的描述信息不同,可疑请求表示可能为攻击的请求。如此,通过针对可疑请求返回与实际源站服务器描述信息不同的描述信息,从而增加不确定因素,迷惑攻击者,使得攻击者无法获得源站服务器的真实特征,增加攻击难度,以维护网络安全。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的可选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种攻击干扰方法,其特征在于,应用于网关,所述方法包括:
在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同,所述可疑请求表示可能为攻击的请求;
将所述第一响应发送给所述目标客户端。
2.根据权利要求1所述的方法,其特征在于,所述第一响应包括第一状态码及第一响应页面,所述生成第一响应,包括:
从至少一个备选状态码中选出所述第一状态码;
从至少一个备选服务器中选出目标服务器,并模拟该目标服务器在状态码为所述第一状态码的情况下的响应页面作为所述第一响应页面。
3.根据权利要求1所述的方法,其特征在于,在生成第一响应之前,所述方法还包括:
接收所述目标请求;
判断所述目标请求是否为可疑请求。
4.根据权利要求3所述的方法,其特征在于,所述判断所述目标请求是否为可疑请求,包括:
将所述目标请求发送给所述目标源站服务器;
接收所述目标源站服务器返回的针对所述目标请求的第二响应;
根据所述第二响应确定所述目标请求是否为可疑请求。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第二响应确定所述目标请求是否为可疑请求,包括:
获取所述第二响应中包括的状态码作为第二状态码;
在所述第二状态码为目标状态码的情况下,确定所述目标请求为可疑请求。
6.根据权利要求4所述的方法,其特征在于,所述将所述目标请求发送给所述目标源站服务器,包括:
检测所述目标请求是否为攻击;
在所述目标请求不是攻击的情况下,将所述目标请求发送给所述目标源站服务器。
7.一种攻击干扰装置,其特征在于,应用于网关,所述装置包括:
生成模块,用于在目标客户端发送的目标请求为可疑请求的情况下,生成第一响应,其中,所述第一响应中的源站服务器描述信息与所述目标请求对应的目标源站服务器的描述信息不同,所述可疑请求表示可能为攻击的请求;
发送模块,用于将所述第一响应发送给所述目标客户端。
8.根据权利要求7所述的装置,其特征在于,所述第一响应包括第一状态码及第一响应页面,所述生成模块具体用于:
从至少一个备选状态码中选出所述第一状态码;
从至少一个备选服务器中选出目标服务器,并模拟该目标服务器在状态码为所述第一状态码的情况下的响应页面作为所述第一响应页面。
9.一种网关,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现权利要求1-6中任意一项所述的攻击干扰方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任意一项所述的攻击干扰方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110879467.8A CN113542302B (zh) | 2021-08-02 | 2021-08-02 | 攻击干扰方法、装置、网关及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110879467.8A CN113542302B (zh) | 2021-08-02 | 2021-08-02 | 攻击干扰方法、装置、网关及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113542302A true CN113542302A (zh) | 2021-10-22 |
| CN113542302B CN113542302B (zh) | 2023-05-02 |
Family
ID=78121806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110879467.8A Active CN113542302B (zh) | 2021-08-02 | 2021-08-02 | 攻击干扰方法、装置、网关及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542302B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528811A (zh) * | 2016-06-21 | 2017-12-29 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
| CN109145535A (zh) * | 2018-08-13 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种前端页面提供方法及装置 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
| CN110557358A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
-
2021
- 2021-08-02 CN CN202110879467.8A patent/CN113542302B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107528811A (zh) * | 2016-06-21 | 2017-12-29 | 中兴通讯股份有限公司 | 请求的响应方法及装置 |
| CN110557358A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 |
| CN109145535A (zh) * | 2018-08-13 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种前端页面提供方法及装置 |
| CN110166486A (zh) * | 2019-06-14 | 2019-08-23 | 李啟锋 | 网站防护方法、装置及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113542302B (zh) | 2023-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ghafir et al. | Botdet: A system for real time botnet command and control traffic detection | |
| US10855700B1 (en) | Post-intrusion detection of cyber-attacks during lateral movement within networks | |
| Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
| EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
| US9667589B2 (en) | Logical / physical address state lifecycle management | |
| Gillman et al. | Protecting websites from attack with secure delivery networks | |
| Cheema et al. | [Retracted] Prevention Techniques against Distributed Denial of Service Attacks in Heterogeneous Networks: A Systematic Review | |
| Soltani et al. | A survey on real world botnets and detection mechanisms | |
| Aoki et al. | Controlling malware http communications in dynamic analysis system using search engine | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| US7469418B1 (en) | Deterring network incursion | |
| Fakeeh | An overview of DDoS attacks detection and prevention in the cloud | |
| Stiawan et al. | Penetration Testing and Mitigation of Vulnerabilities Windows Server. | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Simkhada et al. | Security threats/attacks via botnets and botnet detection & prevention techniques in computer networks: a review | |
| Singh et al. | Detection and Prevention of UDP Protocol Exploiting and Smurf Attack in WSN Using Sequential Probability Ratio Test Algorithm | |
| Al Makdi et al. | Trusted security model for IDS using deep learning | |
| Sonawane | A survey of botnet and botnet detection methods | |
| Thangavel et al. | Review on machine and deep learning applications for cyber security | |
| CN113542302B (zh) | 攻击干扰方法、装置、网关及可读存储介质 | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| Pahal et al. | Distributed Denial of Services attacks on cloud servers: Detection, Analysis, and Mitigation. | |
| Ogwara et al. | Enhancing Data Security in the User Layer of Mobile Cloud Computing Environment: A Novel Approach | |
| Hamdani et al. | Detection of DDOS attacks in cloud computing environment | |
| Gomathi et al. | Detecting malware attack on cloud using deep learning vector quantization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |