CN114553524A - 流量数据处理方法、装置、电子设备及网关 - Google Patents
流量数据处理方法、装置、电子设备及网关 Download PDFInfo
- Publication number
- CN114553524A CN114553524A CN202210159382.7A CN202210159382A CN114553524A CN 114553524 A CN114553524 A CN 114553524A CN 202210159382 A CN202210159382 A CN 202210159382A CN 114553524 A CN114553524 A CN 114553524A
- Authority
- CN
- China
- Prior art keywords
- data
- traffic data
- determining
- service request
- predetermined condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种流量数据处理方法、装置、电子设备及网关,涉及计算机技术技术领域,尤其涉及计算机安全领域。具体实现方案为:响应于接收到流量数据,确定流量数据是否满足预定条件;确定预定功能的开闭状态;以及在确定流量数据满足预定条件的情况下,根据预定功能的开闭状态,对流量数据进行处理。应用本公开提供的技术方案,可以在不改造业务系统的基础上对数据流量进行处理,因此能够降低业务系统的改造和使用成本。
Description
技术领域
本公开涉及计算机技术技术领域,尤其涉及计算机安全领域,更具体地,本公开提供了一种流量数据处理方法、装置、电子设备、存储介质、计算机程序产品以及网关。
背景技术
随着互联网行业的发展,网络安全越来越受到人们的重视。网络攻击者会利用现有网络系统中存在的漏洞,对网络进行攻击,从而非法获取信息。
发明内容
本公开提供了一种流量数据处理方法、装置、电子设备、存储介质、计算机程序产品以及网关。
根据本公开的一方面,提供了一种流量数据处理方法,包括:响应于接收到流量数据,确定所述流量数据是否满足预定条件;确定预定功能的开闭状态;以及在确定流量数据满足预定条件的情况下,根据所述预定功能的开闭状态,对所述流量数据进行处理。
根据本公开的另一方面,提供了一种流量数据处理装置,包括预定条件确定模块、状态确定模块以及处理模块;预定条件确定模块用于响应于接收到流量数据,确定所述流量数据是否满足预定条件;状态确定模块用于确定预定功能的开闭状态;处理模块用于在确定流量数据满足预定条件的情况下,根据所述预定功能的开闭状态,对所述流量数据进行处理。
根据本公开的另一个方面,提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开提供的方法。
根据本公开的另一个方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开提供的方法。
根据本公开的另一个方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现本公开提供的方法。
根据本公开的另一个方面,提供了一种网关,包括本公开提供的电子设备。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开实施例的流量数据处理方法和装置的应用场景示意图;
图2是根据本公开实施例的流量数据处理方法的示意流程图;
图3是根据本公开实施例的流量数据处理方法的示意流程图;
图4是根据本公开另一实施例的流量数据处理方法的示意原理图;
图5是根据本公开另一实施例的流量数据处理方法的示意原理图;
图6是根据本公开实施例的流量数据处理装置的示意结构框图;以及
图7是用来实施本公开实施例的流量数据处理方法的电子设备的结构框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本公开实施例的流量数据处理方法和装置的应用场景示意图。
需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、网络102、网关103和业务系统104以及蜜罐105。
用户可以使用终端设备101经由网关103向业务系统104发送数据流量,以及接受网关103转发的来自业务系统104的响应消息。终端设备101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
网关103用于实现终端设备101与业务系统104之间的通信,例如,在确定终端设备101正常使用时,将终端设备101发送的数据流量转发至业务系统104,以及将来自业务系统104的响应消息转发至终端设备101。网关103还可以用于实现终端设备101与蜜罐105之间的通信,例如,在确定终端设备101异常使用时(例如终端设备101对业务系统104进行攻击),将终端设备101发送的数据流量转发至蜜罐105,或者对终端设备101发送的数据流量进行拦截,从而避免数据流量进入业务系统104。
业务系统104可以是提供各种服务的服务器,例如对用户利用终端设备101所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)通过网关103反馈给终端设备101。
蜜罐105可以是一种作为诱饵使用的设备,用于诱使有攻击意图的用户发出攻击,并对攻击行为进行捕获和分析,从而了解有攻击意图的用户所使用的工具与方法。
网络102用以在终端设备101和网关103之间、网关103和蜜罐105之间、网关103和业务系统104之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线和/或无线通信链路等等。
需要说明的是,本公开实施例所提供的流量数据处理方法一般可以由网关103执行。相应地,本公开实施例所提供的流量数据处理装置一般可以设置于网关103中。
应该理解,图1中的终端设备、网关和业务系统、蜜罐和网络的数目仅仅是示意性的,可以根据实现需要而设置任意数目。
图2是根据本公开实施例的流量数据处理方法的示意流程图。
如图2所示,该流量数据处理方法200可以包括操作S210~操作S230。该流量数据处理方法200可以由网关执行。
在操作S210,响应于接收到流量数据,确定流量数据是否满足预定条件。
预定条件可以包括第一预定条件和第二预定条件中的至少一个,可以在确定满足第一预定条件和第二预定条件中的任意一个的情况下,确定流量数据满足预定条件。
第一预定条件可以是流量数据与陷阱数据有关。例如,故意泄露一些虚假的URL(Uniform Resource Locator,统一资源定位符),正常用户不会访问虚假的URL,访问虚假的URL的用户是恶意访问者,陷阱数据可以是指示虚假的URL被访问的消息。
第二预定条件可以是流量数据具有攻击性。例如,在流量数据的类型属于OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)中涉及的攻击类型的情况下,可以确定流量数据具有攻击性。本公开实施例对实现检测流量数据是否具有攻击性的方式不做限定,例如,可以使用WAF(Web Application Firewall,网站应用级入侵防御系统)来实现。
在操作S220,确定预定功能的开闭状态。
预定功能可以包括攻击诱捕功能和引流功能中的至少一个。
预定功能可以包括攻击诱捕功能,攻击诱捕功能可以包括在拦截页面中插入溯源脚本,并通过溯源脚本获取攻击者的信息。本公开实施例对实现攻击诱捕功能的方式不做限定,例如,可以通过JSONP(JSON with Padding)漏洞原理实现攻击诱捕功能。
预定功能可以包括引流功能。引流功能可以包括将来自攻击者客户端的数据流量发送至蜜罐,而非发送至业务系统。本公开实施例对实现引流功能的方式不做限定。
需要说明的是,在一种示例中,预定功能可以在一些情况下自动开启。例如,可以在预定时长内接收到具有攻击性的流量数据的次数大于次数阈值的情况下,开启预定功能,预定时长可以是2小时,次数阈值可以是100次。在另一种示例中,用户也可以根据实际需要来开启或关闭预定功能。
在操作S230,在确定流量数据满足预定条件的情况下,根据预定功能的开闭状态,对流量数据进行处理。
在一种示例中,在确定攻击诱捕功能关闭的情况下,可以拦截数据流量,从而避免数据流量进入业务系统并攻击业务系统。还可以向客户端发送拦截页面,例如403页面,以提示用户访问失败。
在实际应用中,当预定功能包括攻击诱捕功能和引流功能时,可以在引流功能关闭且攻击诱捕功能关闭的情况下,拦截数据流量。
在另一种示例中,在确定攻击诱捕功能开启且引流功能关闭的情况下,可以执行以下操作:拦截流量数据,确定包括溯源脚本的拦截页面,向客户端发送拦截页面,以及响应于接收到溯源脚本的执行结果,确定与流量数据对应的溯源信息。
在实际应用中,客户端接收到拦截页面之后,拦截页面中插入的溯源脚本可以自动执行,并采集溯源信息,例如攻击者的社交账号、注册ID、邮箱、手机号等攻击者信息,然后向网关发送溯源信息,达到获取溯源信息的效果。
需要说明的是,本公开实施例对拦截页面的来源不做限定。例如,网关可以生成拦截页面,并在拦截页面中插入溯源脚本。例如,业务系统对客户端的业务请求进行处理后,将响应消息发送至网关,然后网关可以将响应消息作为拦截页面,并在响应消息中插入溯源脚本。
在另一种示例中,在确定引流功能开启的情况下,可以向蜜罐发送流量数据,不向业务系统发送数据流量。然后蜜罐可以通过流量数据进行溯源、反制、取证等操作。
在实际应用中,当预定功能包括攻击诱捕功能和引流功能时,可以在引流功能开启且攻击诱捕功能关闭的情况下,向蜜罐发送流量数据。
在另一种示例中,在确定流量数据不满足预定条件的情况下,可以不向蜜罐发送数据流量,而是向业务系统发送数据流量,以便业务系统对数据流量进行处理,从而使业务系统为客户端提供业务服务。流量数据不满足预定条件可以表示数据流量是正常请求,流量数据不满足预定条件可以包括:流量数据与陷阱数据无关,并且流量数据不具有攻击性。
本公开实施例可以根据流量数据是否满足预定条件和预定功能的开闭状态,对流量数据进行处理。在实际应用中,无需改造业务系统,便能够对攻击者进行攻击诱捕和引流操作,因此能够降低使用成本。
图3是根据本公开另一实施例的流量数据处理方法的示意流程图。
在操作S310,确定数据流量是否与陷阱数据有关。若否,则进入操作S320;若是,则进入操作S340。
在操作S320,确定流量数据是否具有攻击性。若否,则进入操作S330;若是,则进入操作S340;
在操作S330,回源业务。例如,将来自客户端的流量数据转发至业务系统,从而方便业务系统对客户端的请求进行处理。
在操作S340,确定攻击诱捕功能是否开启。若否,进入操作S350;若是,则进入操作S360。
在操作S350,拦截来自客户端的流量数据,向客户端发送拦截页面。
在操作S360,确定引流功能是否开启。若否,进入操作S370;若是,则进入操作S380。
在操作S370,拦截流量数据,确定包括溯源脚本的拦截页面,向客户端发送拦截页面。
在操作S380,向蜜罐发送数据流量。
在操作S390,获取溯源信息。
例如,在网关向客户端发送包括溯源脚本的拦截页面的情况下,可以根据溯源脚本的执行结果,确定溯源信息。
例如,在网关向蜜罐发送数据流量的情况下,可以利用蜜罐确定溯源信息。
图4是根据本公开另一实施例的流量数据处理方法的示意原理图。
本公开实施例400涉及客户端410和网关420,网关420还可以在虚拟响应消息中设置陷阱数据,并根据陷阱数据确定流量数据是否具有攻击性,流量数据可以包括第一业务请求和第二业务请求。
客户端410向网关420发送第一业务请求。
网关420接收到第一业务请求,不向业务系统转发第一业务请求,而是生成包括陷阱数据的虚拟响应消息,然后向客户端410发送虚拟响应消息。
在一些实施例中,陷阱数据可以包括git文件(一种GIT的记录文件,GIT是一种分布式版本控制系统)、svn文件(一种包含源码信息的文件)、bak文件(一种备份文件)、phpinfo文件(一种用于显示业务系统的配置信息的文件)等。在另一些实施例中,陷阱数据也可以包括虚拟出业务应用的首页,并且虚拟出的业务应用的版本存在已知漏洞。
客户端410接收到虚拟响应消息之后,如需继续访问业务系统,客户端410会向网关420发送第二业务请求。当用户不是恶意访问者时,用户不会访问虚拟响应消息中的陷阱数据。当用户是恶意访问者时,用户会发现虚拟响应消息中存在的漏洞,并针对漏洞生成第二业务请求。
网关420接收到第二业务请求,并确定第二业务请求是否满足预定条件。例如,在第二业务与陷阱数据有关的情况下,确定第二业务请求满足预定条件。
本公开实施例中,网关420可以对来自客户端410的第一业务请求进行响应,并在虚拟响应消息中设置陷阱数据,从而确定流量数据是否满足预定条件。
图5是根据本公开另一实施例的流量数据处理方法的示意原理图。
本公开实施例500涉及客户端510、网关520和业务系统530,网关520还可以通过修改来自业务系统530的第一响应消息来设置陷阱数据,并根据陷阱数据确定流量数据是否具有攻击性,流量数据可以包括第一业务请求和第二业务请求。
客户端510向网关520发送第一业务请求。
网关520接收到第一业务请求,向业务系统530转发第一业务请求。
业务系统530接收到第一业务请求,并对第一业务请求进行处理,得到针对第一业务请求的第一响应消息,然后向网关520发送第一响应消息。
网关520接收到第一响应消息,修改第一响应消息,得到包括陷阱数据的第二响应消息。然后网关520向客户端510发送第二响应消息。
在一些实施例中,可以通过以下方式修改第一响应消息,例如,虚拟robots.txt(一种ASCII编码的文本文件)或修改robots.txt,在文件中故意泄露一些虚假的URL。也可以在与业务有关的HTML(超文本标记语言)页面增加注释,故意泄露一些虚假的URL。也可以修改第一响应消息中的头信息,来虚拟应用程序版本,并且这些应用版本存在已知漏洞。
客户端510接收到第二响应消息之后,如需继续访问业务系统530,客户端510会向网关520发送第二业务请求。当用户不是恶意访问者时,用户不会访问第二响应消息中的陷阱数据。当用户是恶意访问者时,用户会发现第二响应消息中存在的漏洞,并针对漏洞生成第二业务请求。
网关520接收到第二业务请求,网关520接收到第二业务请求,并确定第二业务请求是否满足预定条件。例如,在第二业务与陷阱数据有关的情况下,确定第二业务请求满足预定条件。
本公开实施例中,网关520可以在来自业务系统530的第一响应消息中设置陷阱数据,从而确定流量数据是否满足预定条件。由于第一响应消息来自业务系统530,而非来自蜜罐,因此,即使攻击者熟悉蜜罐的样式、开发框架、UE(User Experience,用户体验)风格、部署环境(例如IP,域名),攻击者也难以从第一响应消息中识别陷阱数据,从而提高陷阱数据的隐蔽性,进而提高攻击者踩陷阱的概率和溯源成功的概率。
根据本公开另一实施例,本实施例与图5所示的实施例的区别在于,本实施例利用溯源脚本替代上述实施例中的陷阱数据。例如,网关在修改第一响应消息的过程中,可以不在第一响应消息中插入陷阱数据,得到包括陷阱数据的第二响应消息,而是在第一响应消息中插入溯源脚本,得到包括溯源脚本的第二响应消息,然后利用溯源脚本进行溯源。本实施例适用于发送业务流量的用户可能是攻击者的情况。
本实施例中,由于第一响应消息来自业务系统,而非来自蜜罐,因此可以提高溯源数据的隐蔽性,避免溯源数据被攻击者识别。
图6是根据本公开实施例的流量数据处理装置的示意结构框图。
如图6所示,该流量数据处理装置600可以包括预定条件确定模块610、状态确定模块620以及处理模块630。
预定条件确定模块610用于响应于接收到流量数据,确定流量数据是否满足预定条件。
状态确定模块620用于确定预定功能的开闭状态。
处理模块630用于在确定流量数据满足预定条件的情况下,根据预定功能的开闭状态,对流量数据进行处理。
根据本公开另一实施例,处理模块包括第一处理模块,用于在确定攻击诱捕功能开启且引流功能关闭的情况下,执行以下操作:拦截流量数据;确定包括溯源脚本的拦截页面;发送拦截页面;以及响应于接收到溯源脚本的执行结果,确定与具有攻击性的流量数据对应的溯源信息。
根据本公开另一实施例,处理模块包括第二处理模块,用于在确定引流功能开启的情况下,向蜜罐发送流量数据。
根据本公开另一实施例,预定条件确定模块包括第一确定子模块、第一发送子模块以及虚拟响应消息生成子模块。虚拟响应消息生成子模块用于响应于接收到流量数据中的第一业务请求,生成包括陷阱数据的虚拟响应消息。第一发送子模块用于发送虚拟响应消息。第一确定子模块用于响应于接收到流量数据中的第二业务请求,在确定第二业务请求与陷阱数据有关的情况下,确定第二业务请求满足预定条件。
根据本公开另一实施例,预定条件确定模块包括修改子模块、第二发送子模块以及第二确定子模块。修改子模块用于响应于接收到针对流量数据中的第一业务请求的第一响应消息,修改第一响应消息,得到包括陷阱数据的第二响应消息。第二发送子模块用于发送第二响应消息。第二确定子模块用于响应于接收到流量数据中的第二业务请求,在确定第二业务请求与陷阱数据有关的情况下,确定第二业务请求满足预定条件。
根据本公开另一实施例,预定条件确定模块包括:第三确定子模块,用于响应于接收到流量数据,在确定流量数据具有攻击性的情况下,确定流量数据满足预定条件。
本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
根据本公开另一实施例,还提供了一种电子设备,包括至少一个处理器,还包括与所述至少一个处理器通信连接的存储器。所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述流量数据处理方法。
根据本公开另一实施例,还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行上述流量数据处理方法。
根据本公开另一实施例,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述流量数据处理方法。
图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,设备700包括计算单元701,其可以根据存储在只读存储器(ROM)702中的计算机程序或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序,来执行各种适当的动作和处理。在RAM 703中,还可存储设备700操作所需的各种程序和数据。计算单元701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如流量数据处理方法。例如,在一些实施例中,流量数据处理方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到RAM 703并由计算单元701执行时,可以执行上文描述的流量数据处理方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行流量数据处理方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
本公开还提供了一种网关,可以包括例如图7所示的电子设备。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。
Claims (16)
1.一种流量数据处理方法,包括:
响应于接收到流量数据,确定所述流量数据是否满足预定条件;
确定预定功能的开闭状态;以及
在确定流量数据满足预定条件的情况下,根据所述预定功能的开闭状态,对所述流量数据进行处理。
2.根据权利要求1所述的方法,其中,根据所述预定功能的开闭状态,对所述流量数据进行处理包括:
在确定攻击诱捕功能开启且引流功能关闭的情况下,执行以下操作:
拦截所述流量数据;
确定包括溯源脚本的拦截页面;
发送所述拦截页面;以及
响应于接收到所述溯源脚本的执行结果,确定与所述流量数据对应的溯源信息。
3.根据权利要求1所述的方法,其中,根据所述预定功能的开闭状态,对所述流量数据进行处理包括:
在确定引流功能开启的情况下,向蜜罐发送流量数据。
4.根据权利要求1至3中任意一项所述的方法,其中,所述响应于接收到流量数据,确定所述流量数据是否满足预定条件包括:
响应于接收到所述流量数据中的第一业务请求,生成包括陷阱数据的虚拟响应消息;
发送所述虚拟响应消息;以及
响应于接收到所述流量数据中的第二业务请求,在确定所述第二业务请求与所述陷阱数据有关的情况下,确定所述第二业务请求满足预定条件。
5.根据权利要求1至3中任意一项所述的方法,其中,所述响应于接收到流量数据,确定所述流量数据是否满足预定条件包括:
响应于接收到针对所述流量数据中的第一业务请求的第一响应消息,修改所述第一响应消息,得到包括陷阱数据的第二响应消息;
发送所述第二响应消息;以及
响应于接收到所述流量数据中的第二业务请求,在确定所述第二业务请求与所述陷阱数据有关的情况下,确定所述第二业务请求满足预定条件。
6.根据权利要求1至3中任意一项所述的方法,其中,所述响应于接收到流量数据,确定所述流量数据是否满足预定条件包括:
响应于接收到所述流量数据,在确定所述流量数据具有攻击性的情况下,确定所述流量数据满足预定条件。
7.一种流量数据处理装置,包括:
预定条件确定模块,用于响应于接收到流量数据,确定所述流量数据是否满足预定条件;
状态确定模块,用于确定预定功能的开闭状态;以及
处理模块,用于在确定流量数据满足预定条件的情况下,根据所述预定功能的开闭状态,对所述流量数据进行处理。
8.根据权利要求7所述的装置,其中,处理模块包括:
第一处理模块,用于在确定攻击诱捕功能开启且引流功能关闭的情况下,执行以下操作:
拦截所述流量数据;
确定包括溯源脚本的拦截页面;
发送所述拦截页面;以及
响应于接收到所述溯源脚本的执行结果,确定与所述流量数据对应的溯源信息。
9.根据权利要求7所述的装置,其中,处理模块包括:
第二处理模块,用于在确定引流功能开启的情况下,向蜜罐发送流量数据。
10.根据权利要求7至9中任意一项所述的装置,其中,所述预定条件确定模块包括:
虚拟响应消息生成子模块,用于响应于接收到所述流量数据中的第一业务请求,生成包括陷阱数据的虚拟响应消息;
第一发送子模块,用于发送所述虚拟响应消息;以及
第一确定子模块,用于响应于接收到所述流量数据中的第二业务请求,在确定所述第二业务请求与所述陷阱数据有关的情况下,确定所述第二业务请求满足预定条件。
11.根据权利要求7至9中任意一项所述的装置,其中,所述预定条件确定模块包括:
修改子模块,用于响应于接收到针对所述流量数据中的第一业务请求的第一响应消息,修改所述第一响应消息,得到包括陷阱数据的第二响应消息;
第二发送子模块,用于发送所述第二响应消息;以及
第二确定子模块,用于响应于接收到所述流量数据中的第二业务请求,在确定所述第二业务请求与所述陷阱数据有关的情况下,确定所述第二业务请求满足预定条件。
12.根据权利要求7至9中任意一项所述的装置,其中,所述预定条件确定模块包括:
第三确定子模块,用于响应于接收到所述流量数据,在确定所述流量数据具有攻击性的情况下,确定所述流量数据满足预定条件。
13.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至6中任一项所述的方法。
14.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1至6中任一项所述的方法。
15.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1至6中任一项所述的方法。
16.一种网关,包括权利要求13所述的电子设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210159382.7A CN114553524B (zh) | 2022-02-21 | 2022-02-21 | 流量数据处理方法、装置、电子设备及网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210159382.7A CN114553524B (zh) | 2022-02-21 | 2022-02-21 | 流量数据处理方法、装置、电子设备及网关 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114553524A true CN114553524A (zh) | 2022-05-27 |
| CN114553524B CN114553524B (zh) | 2023-10-10 |
Family
ID=81676888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210159382.7A Active CN114553524B (zh) | 2022-02-21 | 2022-02-21 | 流量数据处理方法、装置、电子设备及网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553524B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| US20210152598A1 (en) * | 2019-11-18 | 2021-05-20 | F5 Networks, Inc. | Network application firewall |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
| CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
| CN113411314A (zh) * | 2021-05-26 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
| US20210352103A1 (en) * | 2020-05-08 | 2021-11-11 | International Business Machines Corporation | Dynamic maze honeypot response system |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
-
2022
- 2022-02-21 CN CN202210159382.7A patent/CN114553524B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US20210152598A1 (en) * | 2019-11-18 | 2021-05-20 | F5 Networks, Inc. | Network application firewall |
| CN110881044A (zh) * | 2019-12-05 | 2020-03-13 | 北京宏达隆和科技有限公司 | 一种计算机防火墙动态防御安全平台 |
| US20210352103A1 (en) * | 2020-05-08 | 2021-11-11 | International Business Machines Corporation | Dynamic maze honeypot response system |
| CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及系统 |
| CN113194091A (zh) * | 2021-04-28 | 2021-07-30 | 顶象科技有限公司 | 恶意流量入侵检测系统和硬件平台 |
| CN113411314A (zh) * | 2021-05-26 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
| CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 朱朝霞;: "Linux网络系统攻击的防范" * |
| 朱朝霞;: "Linux网络系统攻击的防范", 计算机与数字工程, no. 10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114553524B (zh) | 2023-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| US20190215330A1 (en) | Detecting attacks on web applications using server logs | |
| US8856325B2 (en) | Network element failure detection | |
| US9215209B2 (en) | Source request monitoring | |
| US11824878B2 (en) | Malware detection at endpoint devices | |
| CN108664793B (zh) | 一种检测漏洞的方法和装置 | |
| US20140331319A1 (en) | Method and Apparatus for Detecting Malicious Websites | |
| US20150047042A1 (en) | Techniques for validating distributed denial of service attacks based on social media content | |
| US10972507B2 (en) | Content policy based notification of application users about malicious browser plugins | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| US10778687B2 (en) | Tracking and whitelisting third-party domains | |
| CN111711617A (zh) | 网络爬虫的检测方法、装置、电子设备及存储介质 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| EP3679700A1 (en) | Detecting remote application profiling | |
| US10855704B1 (en) | Neutralizing malicious locators | |
| CN109150790B (zh) | Web页面爬虫识别方法和装置 | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| GB2542140B (en) | Controlling access to web resources | |
| US10367835B1 (en) | Methods and apparatus for detecting suspicious network activity by new devices | |
| CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
| CN114553524B (zh) | 流量数据处理方法、装置、电子设备及网关 | |
| CN112351009B (zh) | 一种网络安全防护方法、装置、电子设备及可读存储介质 | |
| CN115102781A (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| US11411918B2 (en) | User interface for web server risk awareness | |
| CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |