CN114389898B - 一种基于靶场的Web防御方法、装置及系统 - Google Patents
一种基于靶场的Web防御方法、装置及系统 Download PDFInfo
- Publication number
- CN114389898B CN114389898B CN202210285190.0A CN202210285190A CN114389898B CN 114389898 B CN114389898 B CN 114389898B CN 202210285190 A CN202210285190 A CN 202210285190A CN 114389898 B CN114389898 B CN 114389898B
- Authority
- CN
- China
- Prior art keywords
- traffic
- attack
- drone
- request
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于靶场的Web防御方法、装置及系统,防御装置代理业务系统接收业务请求,并判断是否为攻击流量;对于非攻击流量,正常响应,同时录制流量数据并更新回放流量库数据;对于可疑攻击流量,从回放流量库中获取响应流量数据,并选择一个靶机,根据靶机实例的目标IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求,并在响应之后,检测是否有重试流量,若有则标记当前请求的客户端的流量为正常流量,以纠正之前的误判。本发明通过对预录制流量中关键字段的替换并监控是否有请求重试,可以有效筛选机器人攻击并做出针对性处理,诱导到靶场后可对机器人攻击行为进行记录并作为后续安全分析的基础数据。
Description
技术领域
本发明涉及一种基于靶场的Web防御方法、装置及系统,属于网络安全、计算机软件领域。
背景技术
在传统的企业网络部署方案中,为了保证业务系统的安全,会在业务系统之前前置安全防御装置,用来抵御可能的网络入侵。安全防御装置工作在OSI协议的不同层,如工作在TCP层的传统防火墙、工作在HTTP层的WAF设备等。
如图1所示,对于典型的Web流量,来自外部的业务请求会被防御装置拦截,通过内置的安全防御策略以及必要的入侵检测手段,防御装置会对外来流量进行特征计算并匹配安全规则。允许符合安全规则的流量访问业务系统,对于可疑或者确定的攻击流量,防御装置直接进行拦截并返回错误信息,从而达到保护业务系统的目的。
就目前的防御方案,在发现网络攻击后,防御装置一般只选择是否对请求进行阻断,该方式虽然有效保护了业务系统安全,但无法有效收集攻击者的信息。并且对于Web流量而言,防御装置无法识别该流量来自实际的用户客户端,或者来自攻击机器人,对攻击的判断强依赖特征识别,容易产生误报。
发明内容
发明目的:针对上述现有技术存在的问题,本发明目的在于提供一种基于靶场的Web防御方法、装置及系统,以识别攻击机器人,捕获其攻击行为,并能有效避免传统攻击特征识别算法引入的误判问题。
技术方案:为实现上述发明目的,本发明采用如下技术方案:
一种基于靶场的Web防御方法,包括如下步骤:
步骤1:防御装置代理业务系统接收业务请求;
步骤2:防御装置判断请求流量是否为攻击流量,如果是非攻击流量,跳转步骤3,否则跳转步骤4;
步骤3:对于非攻击流量,转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;
步骤4:对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;检测在设定时间内所响应的业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。
作为优选,对于可疑攻击流量,报文所替换的内容包括鉴权字段、业务系统服务器的IP地址和响应时间。
具体地,对于使用cookie鉴权的Web业务系统,将报文中的cookie id替换为随机值;对于使用JWT鉴权的Web业务系统,将报文中JWT协议相关的字段替换为随机值。
作为优选,为可疑攻击流量选择目标靶机时,根据靶机的负载进行选择,选择靶场的实例池中当前负载最低的实例A,如果实例A的负载大于系统指定的负载阈值,则生成新的靶机实例,否则复用实例A。
作为优选,对于可疑攻击流量,通过替换IP地址引诱到靶机,在靶机上记录攻击者的攻击行为,对于攻击者的攻击请求,从回放流量库中获取录制流量作为诱饵流量。
作为优选,所述回放流量库,针对各个Web接口的请求,根据系统配置保留最新的若干条响应流量数据。
一种计算机装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述计算机程序被加载至处理器时实现所述的基于靶场的Web防御方法的步骤。
一种基于靶场的Web防御系统,其包括防御装置、靶场和回放流量库;所述防御装置用于代理业务系统接收业务请求,以及判断请求流量是否为攻击流量;对于非攻击流量,则转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;检测在设定时间内所响应的业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。
有益效果:与现有技术相比,本发明具有如下优点:1、本发明在发现网络攻击后,从回放流量库中获取响应流量伪装成正常的响应流量,可以诱导指定的攻击行为到目标靶机,从而在目标靶机上收集攻击者信息。2、相比传统通过特征识别对流量的判断,本发明的防御装置在特征识别错误后,可根据重试流量来纠正之前的判断,减少误报率。3、本发明通过对预录制流量中关键字段的替换并监控是否有请求重试,可以有效筛选机器人攻击并做出针对性处理。4、靶场实例化的靶机可对机器人攻击流量进行记录并作为后续安全分析的基础数据。
附图说明
图1为现有典型Web防御部署示意图。
图2为本发明实施例的Web防御部署示意图。
图3为本发明实施例的Web防御方法流程图。
具体实施方式
下面将结合附图和具体实施例,对本发明的技术方案进行清楚、完整的描述。
本发明实施例公开的一种基于靶场的Web防御方法,防御装置对于非攻击流量(正常流量),转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;并且业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。
本实施例在识别出可疑的攻击流量后,动态生成用来引诱机器人攻击的虚拟业务节点;在业务节点中捕获攻击者的行为数据,可以为后续安全加固提供原始数据。通过实时录制业务接口的响应流量数据,针对可疑的业务请求进行报文篡改,如果该请求是正常用户发出,会提示用户进行业务重试,从而有效避免传统攻击特征算法引入的误判问题。
实际部署系统如图2所示。网络中包括必要的防御装置,在防御装置之后,是靶场虚拟化平台以及实际需要保护的业务系统。防御装置除了传统WAF的威胁检测之外,可以对流量选择性录制,录制后的流量可以作为检测到威胁后的诱饵流量。
下面结合图3对本发明实施例的业务执行流程进行详细说明。
步骤1、防御装置代理了业务系统的外部业务请求,外部用户的访问会先达到防御装置。
步骤2、防御装置根据请求流量特征以及预设的安全规则,检测当前流量是否为可疑的攻击流量。如果非攻击流量,转跳步骤3;否则转跳步骤4。
步骤3、防御装置将流量转发给实际业务系统,业务系统响应外部请求,防御装置在收到实际的业务响应之后,录制该响应流量数据并更新回放流量库数据;同时正常响应外部请求。针对业务系统的每个Web接口的请求,回放流量库中可保存最新的N条(如10)业务响应流量数据,N由系统配置。
步骤4、对于可疑的攻击流量,从回放流量库获取之前相应接口对应的响应流量数据。得到回放流量数据后,根据当前靶机的使用状态,从靶场的实例池中选择某个特定靶机作为当前请求的靶机,或者为当前请求新生成一个靶机实例。
生成或者复用靶机的策略如下:根据靶机的负载进行选择。靶机作为被攻击的载体,系统负载随着攻击流量的增大递增,选择靶场的实例池中当前负载最低的实例A。如果该实例的负载大于系统指定的负载阈值,则生成新的靶机实例,否则复用当前实例A作为靶机。
步骤5、防御装置根据步骤4中从回放流量库获取到的回放流量以及靶机实例,根据靶机实例的目标IP地址替换回放流量中的报文内容,并将替换后的报文作为外部请求的实际响应。这里替换的报文内容主要包括鉴权字段、业务系统服务器的IP地址、响应时间等。对于正常的用户页面请求而言,替换后的报文因为用户登录态信息不一致,会导致退出当前业务系统;攻击机器人不会有登录态问题。
实际执行过程中,对回放流量的具体修改操作如下:
5.1、替换报文中的鉴权字段。对于使用cookie的web系统而言,将回放流量cookie中的cookie id替换为随机值;对于使用JWT(JSON Web Token)鉴权的系统而言,遍历响应报文头部中含JWT协议的字段并替换为随机值。
5.2、替换响应头中的server字段为靶机IP,对于回放流量库中未设置该字段的流量,设置响应头中的server字段为靶机IP。
5.3、替换响应头中的响应时间字段Last-Modified为当前时间。
5.4、遍历响应体,替换其中的业务服务器IP为靶机IP。
步骤6、考虑到正常用户在业务系统退出后会重新执行之前操作,防御装置会检测在周期T内上述业务请求是否会有重试,周期T根据用户操作业务需要的时间来估算,如1分钟。对于攻击机器人而言,步骤5中返回的响应是合法的。实际用户在收到步骤5的响应后会显示系统错误,刷新页面后会有重试流量。
步骤7、如果有重试流量,标记当前客户端的流量为正常流量,后续防御装置正常响应来自该客户的请求;否则转跳步骤8;
步骤8、没有重试流量代表上述业务请求为恶意攻击,通过步骤5响应流量中设置的靶机信息,能够引导后续的攻击请求转发到目标靶机。用户可以在靶机上记录实际的攻击行为,作为后续安全决策的基础数据。靶机上可以采用预设的数据响应攻击请求,也可使用回放流量库中的历史数据进行响应,以捕获攻击机器人的行为动作。
基于相同的发明构思,本发明实施例公开的一种计算机装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被加载至处理器时实现所述的基于靶场的Web防御方法的步骤。
基于相同的发明构思,本发明实施例公开的一种基于靶场的Web防御系统,主要包括防御装置、靶场和回放流量库;所述防御装置用于代理业务系统接收业务请求,以及判断请求流量是否为攻击流量;对于非攻击流量,则转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;检测在设定时间内所响应的业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。具体实施细节参见上述方法实施例,不再赘述。
Claims (10)
1.一种基于靶场的Web防御方法,其特征在于,包括如下步骤:
步骤1:防御装置代理业务系统接收业务请求;
步骤2:防御装置判断请求流量是否为攻击流量,如果是非攻击流量,跳转步骤3,否则跳转步骤4;
步骤3:对于非攻击流量,转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;
步骤4:对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;检测在设定时间内所响应的业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。
2.根据权利要求1所述的基于靶场的Web防御方法,其特征在于,包括:对于可疑攻击流量,报文所替换的内容包括鉴权字段、业务系统服务器的IP地址和响应时间。
3.根据权利要求2所述的基于靶场的Web防御方法,其特征在于,对于使用cookie鉴权的Web业务系统,将报文中的cookie id替换为随机值;对于使用JWT鉴权的Web业务系统,将报文中JWT协议相关的字段替换为随机值。
4.根据权利要求1所述的基于靶场的Web防御方法,其特征在于,为可疑攻击流量选择目标靶机时,根据靶机的负载进行选择,选择靶场的实例池中当前负载最低的实例A,如果实例A的负载大于系统指定的负载阈值,则生成新的靶机实例,否则复用实例A。
5.根据权利要求1所述的基于靶场的Web防御方法,其特征在于,对于可疑攻击流量,通过替换IP地址引诱到靶机,在靶机上记录攻击者的攻击行为,对于攻击者的攻击请求,从回放流量库中获取录制流量作为诱饵流量。
6.根据权利要求1所述的基于靶场的Web防御方法,其特征在于,所述回放流量库,针对各个Web接口的请求,根据系统配置保留最新的若干条响应流量数据。
7.一种计算机装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被加载至处理器时实现根据权利要求1-6任一项所述的基于靶场的Web防御方法的步骤。
8.一种基于靶场的Web防御系统,其特征在于,包括防御装置、靶场和回放流量库;所述防御装置用于代理业务系统接收业务请求,以及判断请求流量是否为攻击流量;对于非攻击流量,则转发给业务系统,在收到业务系统的响应之后,响应业务请求,同时录制流量数据并更新回放流量库数据;对于可疑攻击流量,从回放流量库中获取与业务请求接口对应的响应流量数据,并从靶场的实例池中选择一个靶机,根据靶机实例的IP地址替换响应流量中的报文内容,用替换后的报文响应业务请求;检测在设定时间内所响应的业务请求是否会重试,若有重试流量,则标记发出请求的客户端的流量为正常流量。
9.根据权利要求8所述的基于靶场的Web防御系统,其特征在于,对于可疑攻击流量,报文所替换的内容包括鉴权字段、业务系统服务器的IP地址和响应时间。
10.根据权利要求8所述的基于靶场的Web防御系统,其特征在于,所述靶场在为可疑攻击流量选择目标靶机时,根据靶机的负载进行选择,选择靶场的实例池中当前负载最低的实例A,如果实例A的负载大于系统指定的负载阈值,则生成新的靶机实例,否则复用实例A。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210285190.0A CN114389898B (zh) | 2022-03-23 | 2022-03-23 | 一种基于靶场的Web防御方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210285190.0A CN114389898B (zh) | 2022-03-23 | 2022-03-23 | 一种基于靶场的Web防御方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114389898A CN114389898A (zh) | 2022-04-22 |
| CN114389898B true CN114389898B (zh) | 2022-07-01 |
Family
ID=81204780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210285190.0A Active CN114389898B (zh) | 2022-03-23 | 2022-03-23 | 一种基于靶场的Web防御方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114389898B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117240925B (zh) * | 2023-11-13 | 2024-03-19 | 广州品唯软件有限公司 | 流量录制方法、装置、存储介质及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100994076B1 (ko) * | 2010-04-12 | 2010-11-12 | 주식회사 나우콤 | 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
| CN114024709A (zh) * | 2021-09-22 | 2022-02-08 | 湖北天融信网络安全技术有限公司 | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 |
-
2022
- 2022-03-23 CN CN202210285190.0A patent/CN114389898B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100994076B1 (ko) * | 2010-04-12 | 2010-11-12 | 주식회사 나우콤 | 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
| CN114024709A (zh) * | 2021-09-22 | 2022-02-08 | 湖北天融信网络安全技术有限公司 | 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114389898A (zh) | 2022-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105939326B (zh) | 处理报文的方法及装置 | |
| US8522349B2 (en) | Detecting and defending against man-in-the-middle attacks | |
| JP2020515962A (ja) | Apt攻撃に対する防御 | |
| CN110445770A (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| JP4196989B2 (ja) | ウィルスの感染を阻止する方法およびシステム | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN114500080A (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
| CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
| CN116132090B (zh) | 一种面向Web安全防护的欺骗防御系统 | |
| CN114389898B (zh) | 一种基于靶场的Web防御方法、装置及系统 | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN108737421B (zh) | 一种发现网络内潜在威胁的方法、系统、装置及存储介质 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |