CN116471121A - 安全防御方法、网关代理设备及存储介质 - Google Patents

Abstract

本申请公开了一种安全防御方法，应用于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，该方法包括：接收终端设备发送的访问请求；在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐；其中，至少一个探针包括第一探针。本申请还公开了一种网关代理设备及计算机可读存储介质。

Description

安全防御方法、网关代理设备及存储介质

技术领域

本申请涉及但不限于通信领域，尤其涉及一种安全防御方法、网关代理设备及计算机可读存储介质。

背景技术

相关技术中，将蜜罐(Honeypot)服务作为诱饵，通过访问控制系统下发给终端，流量探针将网络攻击者点击蜜罐服务的资源图标时产生的网络流量，重定向至蜜罐服务，诱导网络攻击者攻击蜜罐服务，以通过蜜罐服务对攻击行为进行取证和溯源。但是，流量探针通常部署于业务系统主机或关键网络区域的流量探针设备，存在流量探针部署困难，较难实现蜜罐引流的问题。

发明内容

本申请实施例提供一种安全防御方法、网关代理设备及计算机可读存储介质。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供了一种安全防御方法，应用于基于身份认证的网关代理设备，所述网关代理设备中包括至少一个探针，所述探针用于捕获来自攻击者的恶意请求，所述方法包括：

接收终端设备发送的访问请求；

在所述访问请求与第一探针对应的资源匹配的情况下，获取所述访问请求所对应的身份认证信息，并调用所述第一探针，将所述访问请求重定向至蜜罐；其中，所述至少一个探针包括所述第一探针。

第二方面，本申请实施例提供的一种网关代理设备，所述网关代理设备为基于身份认证的代理设备，所述网关代理设备中包括至少一个探针，所述探针用于捕获来自攻击者的恶意请求，所述网关代理设备包括：

接收模块，用于接收终端设备发送的访问请求；

处理模块，用于在所述访问请求与第一探针对应的资源匹配的情况下，获取所述访问请求所对应的身份认证信息，并调用所述第一探针，将所述访问请求重定向至蜜罐；其中，所述至少一个探针包括所述第一探针。

第三方面，本申请实施例提供的一种网关代理设备，所述网关代理设备包括：处理器和存储器；

存储器，用于存储可执行指令；

处理器，用于执行所述存储器中存储的可执行指令，以实现如上述的安全防御方法的步骤。

第四方面，本申请实施例提供的一种存储有可执行指令的计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上述的安全防御方法的步骤。

本申请实施例公开了一种安全防御方法、网络代理设备及计算机可读存储介质，该方法应用于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，该方法包括：接收终端设备发送的访问请求；在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐；其中，至少一个探针包括第一探针。可以看出，在本申请中，在基于身份认证的网关代理设备中部署原生探针，由于身份认证的网关代理设备具备网络访问的代理功能并且能够获取访问者的身份信息，因此，将引流至蜜罐的探针部署至基于身份认证的网关代理设备时，可以实现引流至蜜罐。所以在进行蜜罐引流时不需要再单独额外部署用于引流蜜罐的流量探针设备，也不需要在业务系统主机上额外部署用于引流蜜罐的流量探针，不会入侵现有业务系统和网络环境，降低了探针部署难度，降低了蜜罐引流方案的实施难度。并且可同时拿到攻击者的身份信息。

附图说明

图1为本申请的实施例提供的安全防御方法的流程示意图一；

图2为本申请的实施例提供的安全防御方法的流程示意图二；

图3为本申请的实施例提供的安全防御方法的流程示意图三；

图4为本申请的实施例提供的安全防御方法的流程示意图四；

图5为本申请的实施例提供的零信任访问控制系统对应的架构示意图；

图6为本申请的实施例提供的安全防御方法的流程示意图五；

图7为本申请提的实施例供的客户端在终端设备上注入诱饵的示意性流程图；

图8为本申请的实施例提供的一种网关代理设备的结构示意图一；

图9为本申请的实施例提供的一种网关代理设备的结构示意图二。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，所描述的实施例不应视为对本申请的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。

对本申请实施例进行进一步详细说明之前，对本申请实施例中涉及的名词进行说明，本申请实施例中涉及的名词适用于如下的解释。

零信任访问控制系统，指的是采用了零信任安全理念的访问控制系统，其主要针对网络边界上的用户和设备进行身份验证和授权，需要经过身份认证后，才能访问业务系统。零信任访问控制系统的零信任理念主张“从不信任，持续验证”，对访问过程中的环境、身份状态、操作行为进行持续而动态的监控检测，如果发现异常，则及时处置，从而保障访问的安全性。也就是说，零信任访问控制系统通过持续而动态的身份认证，确保了访问过程的安全性。并且，零信任访问控制系统通过单包授权(Single Packet Authorization，SPA)网络隐身、多因素身份认证、动态自适应访问控制等网络防御技术保护网络及系统的安全。零信任访问控制系统本质是维护一份白名单，只有白名单中的主体，才能对客体发起访问。

SPA，指的是一种基于包过滤的网络安全技术，用于保护网络服务免受攻击。单包授权(SPA)可以防止分布式阻断服务(Distributed Denial of Service，DDoS)攻击、端口扫描、暴力破解等攻击方式，提高网络安全性。SPA是软件定义边界(Software DefinedPerimeter，SDP)，架构的标志性技术。

SDP，指的是一种基于零信任理念的网络访问控制安全架构，用于保护企业应用和服务，属于零信任访问控制系统的一种。SDP通过定义一组安全策略和规则，限制访问应用和服务的用户和设备，防止未经授权的访问和攻击。

欺骗技术，指的是综合使用多种欺骗手段混淆网络，迷惑攻击者，使攻击者不能准确地了解真实的网络结构，从而创造有利于防御者的非对称优势。其中，欺骗技术的相关子技术包括但不限于诱饵、蜜罐、蜜标。

诱饵，指的是一种用于吸引和欺骗攻击者的虚假信息。

蜜罐：指的是一种欺骗攻击者进入的安全资源，包括多个负责收集攻击者的行为信息，并帮助识别和应对安全威胁的虚拟服务。

蜜罐技术通过在关键网络区域部署探针，实现网际互联协议(InternetProtocol，IP)与蜜罐绑定，诱导攻击者攻击蜜罐并进行取证和溯源。

云蜜罐技术中云端蜜罐通常是指部署在云端的蜜罐，通过云端的资源算力，能够实施较强的模拟。通过云蜜罐的云端高级捕获与分析技术，获取攻击方的指纹信息、工具、手法、攻击轨迹等，汇总形成攻击者画像。云端蜜罐通过需要利用防火墙(Firewall)或终端上的能够自主活动的软件或者硬件实体，例如Agent程序进行流量引流，否则默认情况下，攻击者不会踩中企业采购的云端蜜罐。

钓鱼(Phishing)，指的是一种网络攻击方式，通常通过电子邮件、短信、社交媒体或者伪装成合法网站的方式来窃取用户的敏感信息，例如零信任访问控制系统的用户名、密码，或执行恶意软件，例如病毒、木马、勒索软件。

社工攻击(Social Engineering)，指的是一种利用心理学和社会工程学技术，使用户透露敏感信息或执行某种行为、植入恶意软件的攻击方式。社工攻击是一种针对人的攻击手段，与技术漏洞攻击不同。社工攻击通常通过电话、邮件、短信、社交媒体、面对面等方式进行。例如，在零信任访问控制系统场景下，社工攻击可以用于骗取正常用户的MFA验证码(Verify Code)、骗取正常用户的登录口令、或骗取用户安装运行恶意软件等。

MFA，指的是一种多重身份验证机制，用于增强账户安全性。它要求用户在登录时提供多个验证因素，如密码、生物识别信息、硬件令牌等，以确保用户身份的合法性。

终端检测和响应(Endpoint Detection and Response，EDR)，用于检测和响应企业内部终端设备上的安全事件。EDR主要关注终端设备，如台式机、笔记本电脑、手机、服务器等，它可以监控终端设备上的安全事件，如恶意软件感染、入侵行为、文件操作、系统配置更改等，提供实时响应和阻止。

网络检测与响应(Network Detection and Response，NDR)，用于监控、分析和响应企业网络内部的安全事件。NDR技术主要关注网络层面，可以监测企业网络中的数据流量和数据包，分析和识别网络中的安全事件，并及时响应和阻止。

在解释本申请之前，这里针对一种网络系统，例如零信任访问控制系统所存在的问题进行详细说明：

针对使用了零信任访问控制系统的机构，虽然实施零信任访问控制，但是其接入用户也是多种多样的，比如说正式员工、第三方合作伙伴、供应商员工。这些多种多样的员工，均能通过所持有的接入账号(Account)、在终端(Endpoint)上登录，通过零信任访问控制系统的多因素认证，并访问零信任访问控制系统中的业务资源。这些终端和账号在MFA认证通过后，可视为进入了一个“白名单”内，在未被发现异常的情况下(零信任持续验证)，可以正常访问相应具备权限的业务系统。

然而，零信任访问控制系统中正常登录的终端或正常登录的账号很有可能通过钓鱼攻击、社工攻击，感染恶意软件，从而导致账号被盗、终端被攻击者控制。虽然，零信任访问控制系统存在持续验证；但是，若攻击者针对业务系统实施定向、小幅度的攻击，零信任访问控制系统的持续验证方式，很难发现定向、小幅度的攻击，如此，零信任访问控制系统无法有效阻止攻击者的定向攻击。

需要说明的是，零信任访问控制系统的持续验证方式包括终端合规类检查、账号登录类行为检查、应用访问行为类检查或基于第三方组件的检查。这里，终端合规类检查包括检查是否安装杀毒软件、检查是否更新病毒库，以及检查是否开启防火墙等。账号登录类行为检查包括检查是否异地登录、检查是否非常用地点登录，以及检查是否非常用时间段登录(下班时间、凌晨、不符合个人习惯的时间段等)等。应用访问行为类检查包括检查短时间内频繁访问业务系统、大量下载文件等操作行为。基于第三方组件的检查包括零信任访问控制系统还可以通过联动EDR/NDR等组件，判断终端是否感染了恶意软件，或者访问流量中是否有明确的攻击特征。

本申请的实施例提供一种安全防御方法，应用于基于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，参照图1所示，该方法包括以下步骤：

步骤101、接收终端设备发送的访问请求。

本申请实施例中，终端设备，利用网络，向网关代理设备发送访问请求；其中，访问请求用于请求对待访问对象执行访问行为；待访问对象包括但不限于应用程序、网页、链接。

这里，访问请求中可以但不限于携带有访问特征信息，如访问请求的访问地址，访问请求发起方标识。

本申请实施例中，终端设备可以是认证通过的终端设备，这里，可以认证通过指的是登录在终端设备上的账号通过MFA认证，确定为合法账号。

这里，网络可以包括但不限于：有线网络，无线网络，其中，该有线网络包括：局域网、城域网和广域网，该无线网络包括：蓝牙、无线保真(Wireless Fidelity，WIFI)及其他实现无线通信的网络。

本申请实施例中，上述探针，又称欺骗探针，指的是系统发布的虚假易受攻击的资源，在欺骗探针对应的资源被触发、攻击、访问后，欺骗探针能够记录攻击者访问行为，并将流量引导到的蜜罐或其他防御设施上，以使蜜罐或其他防御设施进行分析和处理。

在一些实施例中，攻击者可以通过扫描等手段，从文件的配置信息或网页的程序中发现探针，但是，若普通用户正常打开文件或打开网页，是无法发现探针的；也就是说，探针需要通过攻击者的攻击手段才会被发现，对于普通用户而言，是隐藏的。

在一些实施例中，欺骗探针可以是主机探针，也可以是网络探针。其中，主机探针是直接部署在网关代理设备上。网络探针部署在与网关代理设备关联的网络上，是能够对网关代理设备的网络流量进行采集、分析、信息提取的网络流量处理工具。

本申请实施例中，终端设备包括但不限于接入终端、用户设备(User Equipment，UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(SessionInitiation Protocol，SIP)电话、卫星手持终端、无线本地环路(Wireless Local Loop，WLL)站、个人数字助理(Personal Digital Assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、第五代移动通信技术(the 5th generation mobile communication technology，5G)网络中的终端设备或者未来演进网络中的终端设备等。

本申请实施例中，网关代理设备是网络系统中进行身份认证的设备，包括但不限于零信任访问控制系统中控制器、中心网关或代理网关、长期演进(Long Term Evolution，LTE)系统中的演进型基站(Evolutional Node B，eNB或eNodeB)，或者是下一代无线接入网(Next Generation Radio Access Network，NG RAN)设备，或者是NR系统中的基站(gNB)，或者是云无线接入网络(Cloud Radio Access Network，CRAN)中的无线控制器，或者该网关代理设备可以为服务器、中继站、接入点、车载设备、可穿戴设备、集线器、交换机、网桥、路由器，或者未来演进的公共陆地移动网络(Public Land Mobile Network，PLMN)中的网关代理设备等。上述服务器可以是单一服务器，也可以是由多个服务器组成的服务器集群，或者是云服务器。

步骤102、在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐。

其中，至少一个探针包括第一探针。

这里，访问请求与第一探针对应的资源匹配可以理解为：访问请求所要访问的业务资源与第一探针对应的资源匹配；或访问请求直接命中第一探针，例如，访问请求所要访问的业务资源包括第一探针对应的统一资源定位器(Uniform Resource Locator，URL)路径。

示例性的，第一探针对应的资源可以是一种URL蜜标，指的是诱导攻击者访问的URL路径，通常部署在虚假或真实的全球广域网(World Wide Web，Web)应用上，帮助识别安全威胁。第一探针对应的资源可以是：IP级别的：比如：1.1.1.1；也可以是域名级别的，比如：oa.sangfor.com；还可以是常见的服务端口级别的，比如：22，3389，3306；还可以是URL级别的，比如：oa.sangfor.com/admin；还可以是经常访问的高危URL路径，比如：/admin。

本申请实施例中，在访问请求与第一探针对应的资源匹配的情况下，则说明该访问请求不是正常用户发起的访问请求，那么，网关代理设备调用第一探针，将访问请求重定向至蜜罐，从而使得访问请求访问蜜罐中的安全资源。若访问请求时正常用户发起的访问请求，即访问请求并未访问任何不可见/没有访问权限的资源，那么，访问请求直接访问真实业务资源。

本申请实施例中，在访问请求与第一探针对应的资源匹配的情况下，网关代理设备调用第一探针，将访问请求的目的地址重定向至蜜罐的监听地址，并将携带有访问请求的访问业务流量转发至蜜罐。

这里，蜜罐可以理解为一个容器或一个虚拟机，蜜罐的监听地址可以是容器对应的地址或虚拟机对应的地址。

本申请实施例中，在访问请求与第一探针对应的资源匹配的情况下，网关代理设备获取访问请求所对应的用户认证信息。明显，本申请的网关代理设备可以使用代理协议传输用户认证信息，并进行业务流量转发。

这里，用户认证信息包括：终端设备的属性信息、认证通过的账号信息、网络标识信息、待访问的目标应用的身份信息和认证方式信息。

其中，终端设备的属性信息包括但不限于终端名称、终端位置、终端设备的操作系统和终端设备的硬件身份标识(Identity document，ID)。认证通过的账号信息包括但不限于用户名和密码。网络标识信息包括IP地址、端口号和域名。

在其他实施例中，用户认证信息包括访问主体信息和访问客体信息；其中，访问主体信息包括用户名、组织结构、岗位、认证方式、终端操作系统/硬件ID、访问业务系统的进程。访问客体信息包括目标IP、域名、端口号。需要说明的是，基于访问客体信息，网关代理设备可以查询目标的真实IP，以及是不是蜜罐，是什么蜜罐。这里，用户认证信息还包括MFA多因素，例如终端信息、进程信息、目标应用的身份信息。

在网关代理设备获取到用户认证信息后，可以基于用户认证信息，对访问请求进行反向溯源。需要说明的是，相关技术中的蜜罐的溯源能力有限，在攻击事件发生后，很难快速追溯出攻击者的真实身份、危害程度和影响范围等信息；并且，蜜罐进行流量检测时，依赖于IP的身份；但是在网络中，IP是很容易被伪造或持续在变化的，无法精确锁定攻击的身份。然而，本申请的网关代理设备在发现攻击的访问请求后，可以直接获取到攻击访问请求所对应的用户认证信息，使每一个访问都可以溯源其身份、工具等详细信息，弥补了蜜罐溯源能力不足的问题。

需要说明的是，针对攻击者可以实施多次攻击，但只要有一次命中探针，则会被网关代理设备发现明确的恶意异常，网关代理设备可以获取到恶意流量的身份认证信息，从而，对恶意流量反向溯源，生成反制策略，这里，反制策略包括禁止相应账号或终端访问真实业务资源，提高网关代理设备检测恶意流量的检测能力。如此，保护了业务系统的安全。

本申请实施例公开了一种安全防御方法，该方法应用于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，该方法包括：接收终端设备发送的访问请求；在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐；其中，至少一个探针包括第一探针。可以看出，在本申请中，在基于身份认证的网关代理设备中部署原生探针，由于身份认证的网关代理设备具备网络访问的代理功能并且能够获取访问者的身份信息，因此，将引流至蜜罐的探针部署至基于身份认证的网关代理设备时，可以实现引流至蜜罐。所以在进行蜜罐引流时不需要再单独额外部署用于引流蜜罐的流量探针设备，也不需要在业务系统主机上额外部署用于引流蜜罐的流量探针，不会入侵现有业务系统和网络环境，降低了探针部署难度，降低了蜜罐引流方案的实施难度。并且可同时拿到攻击者的身份信息。

需要说明的是，在终端设备请求访问业务资源与网关代理设备中的探针对应的资源匹配时，探针就会将包括该访问请求对应的恶意流量重定向至蜜罐，使得访问请求只能访问到蜜罐中的安全资源，无法访问到真实业务资源；明显，本申请可以通过网关代理设备中的探针，检测到攻击者利用窃取到的合法账号所进行的攻击行为，持续感知攻击者恶意攻击行为，以进行精准阻断，实现了主动防御。同时，通过蜜罐中的服务，响应该访问请求，如此，迷惑攻击者，使攻击者不能准确地了解真实的网络结构。

需要说明的是，相关技术中的威胁检测方案通常是匹配流量的黑特征和恶意软件，而大多数高级持续性威胁来源不是恶意软件，而是人为参与策划和工具定制，使攻击活动伪装为白流量；即高级持续性威胁往往更复杂隐秘更容易绕过传统防御技术。因此，本申请将具有身份认证机制的网络系统，例如零信任访问控制系统与欺骗技术相结合，即在零信任访问控制系统已实现的基于MFA认证和合规安全(终端环境合规、登录行为合规、操作行为合规)的基础上，叠加欺骗技术，从而使得具有身份认证机制的网络系统具备主动威胁检测能力，实现主动防御的技术方式。也就是说，本申请提出了一种零信任访问控制架构构建的威胁检测方案，用于检测绕过传统防御技术的高级持续性威胁，实现主动防御。

上述合规，主要是指符合企业的安全规定。比如说企业对于终端环境，要求安装杀毒软件、启动防火墙才允许终端接入，则该条件属于终端环境合规的准入检测条件。

需要说明的是，零信任访问控制系统具备可MFA验证的有效身份，但是缺乏明确的恶意检测。本申请将具有身份认证机制的网络系统，例如零信任访问控制系统与欺骗技术相结合，为具有身份认证机制的网络系统添加了恶意检测的能力。

本申请所要保护的方案可以应用于多种访问控制类型产品，包括但不限于零信任访问SDP类型产品、虚拟专用网络(Virtual Private Network，VPN)类型产品、零信任安全架构类型产品、零信任安全访问服务边缘(Secure Access Service Edge，SASE)类型产品、零信任网络访问(Zero Trust Network Access，ZTNA)类型产品、身份及访问管理(Identity and Access Management，IAM)类型产品。

需要说明的是，本申请所要保护的安全防御方法可以支持在所有基于身份认证，例如MFA认证的主客体访问的系统上实施。

在一些实施例中，步骤102中的将访问请求重定向至蜜罐，可以通过如下步骤实现：

从蜜罐中的蜜罐资源池中确定第一蜜罐服务。

其中，蜜罐资源池中包括至少两个蜜罐服务。

本申请实施例中，蜜罐中包括至少一个蜜罐资源池。

本申请实施例中，探针与提供服务的蜜罐服务之间存在映射关系；可以根据映射关系直接确定第一蜜罐服务；或根据访问请求对应的协议类型，确定第一蜜罐服务。

例如，访问请求对应的协议类型是安全外壳协议(Secure Shell，SSH)协议，那么第一蜜罐服务就是SSH蜜罐服务。

本申请实施例中，网关代理设备通过解析代理协议，获取业务流量中的身份信息，并调度蜜罐资源池中的第一蜜罐服务完成交互。

本申请实施例中，蜜罐服务包括但不限于SSH服务、远程登录(Telnet)服务、超文本传输协议(Hyper Text Transfer Protocol，HTTP)服务、文件传输协议(File TransferProtocol，FTP)服务、关系型数据库管理系统(例如，MySQL、MSSQL)服务、远程字典服务(Remote Dictionary Server，Redis)服务、以及服务器消息块(Server Message Block，SMB)服务。

本申请实施例中，蜜罐服务可以部署在网关代理设备中，即控制器或代理网关中；也可以单独部署，还可以和其他的蜜罐产品相结合，对于蜜罐服务的部署方式，本申请不进行具体限定。

这里，在确定第一蜜罐服务之后，本申请所要保护的安全防御方法还包括如下步骤：

通过第一蜜罐服务，分析访问请求的访问行为特征；基于访问行为特征，生成与攻击访问请求匹配的响应数据包，并向终端设备发送响应数据包。

本申请实施例中，访问请求的访问行为特征用于表征该访问请求是否属于攻击访问请求，或用于表征该访问请求是否是正常用户发送的请问请求。

本申请实施例中，发送响应数据包的方式：带内、带外、媒体、信令、数据、消息、控制面、用户面等方式。示例性的，可以通过现有的媒体信道来发送响应数据包，以更好的与现有系统兼容并降低系统改造的成本。

本申请实施例中，网关代理设备利用第一蜜罐服务完成与访问请求的交互，并且，第一蜜罐服务将交互结果输出至分析服务，即分析引擎，由分析引擎完成为分析、溯源和审计。

示例性的，第一蜜罐服务是一个SSH蜜罐服务，若访问请求是用SSH协议来访问，第一蜜罐服务判断为该访问请确定的攻击访问请求。若发送该访问请求对应的协议不是SSH协议，而是其他协议或乱码，这种，第一蜜罐服务无法确定该访问请求是攻击访问请求，就会让分析引擎会调整用户的风险评分。如此，调整用户的风险评分有可能会影响用户的认证策略、访问应用的策略，例如增强访问应用的策略、或增强诱捕等级。

需要说明的是，分析引擎可以部署在控制面所处设备上，但是也可部署在外部，即独立部署；本申请中的分析引擎的部署方式不进行具体限定。

本申请的实施例提供一种安全防御方法，应用于基于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，参照图2所示，该方法包括如下步骤：

步骤201、接收终端设备发送的登录请求。

其中，登录请求中携带有登录账号。

本申请实施例中，终端设备利用网络，向网关代理设备发送登录请求；其中，登录请求用于登录具有身份认证机制的网络系统；并在登录成功之后，可以访问收到具有身份认证机制的网络系统保护的业务系统。

本申请实施例中待登录账号中至少包括登录用户名和登录密码。

步骤202、若登录账号与诱饵账号库中的一诱饵账号匹配，向终端设备返回虚假资源信息。

本申请实施例中，诱饵账号是预先设置好的。示例性的，诱饵账号为预先隐藏部署在网关代理设备的关键位置的用户名和密码；例如，关键位置包括网关代理设备对应的浏览器访问记录、浏览器的书签、浏览器的密码管理器中、配置文件中、会话中、系统文档、数据库中。

在本申请中，网关代理设备可以为一泛指，即是：不单单只是包括代理网关，还可以除了代理网关之外，包括控制代理网关工作的控制中心，由此，步骤201-202可以由网关代理设备的控制中心来执行。

本申请实施例中，诱饵账号库中的一诱饵账号包括默认诱饵账号和特权诱饵账号；其中，默认诱饵账号包括设置流行的用户名和密码；特权诱饵账号包括的是文件诱饵中散播虚假特权账号信息。

本申请实施例中，攻击者登录诱饵账号后，网关代理设备向终端设备返回虚假资源信息，以使终端设备基于虚拟资源信息，访问虚假资源，保护真实资源。其中，虚假资源是模拟真实业务资源所生成的，与真实业务资源相对应。

本申请实施例中，虚假资源信息包括但不限于虚假资源的地址、虚假资源的访问路径、虚假资源的访问权限、虚假资源的网络结构。

其中，虚假资源信息可以以可访问列表的形式呈现至终端设备中。

步骤203、接收终端设备发送的访问请求。

本申请实施例中，若登录账号与诱饵账号库中的一诱饵账号不匹配，且登录账号是合法账号，那么，确定终端设备上登录的账号认证通过，该登录账号登录成功。进一步的，当前这个认证通过的终端设备可以向网关代理设备发送访问请求，用于访问真实的业务资源。

本申请实施例中，若登录账号与诱饵账号库中的一诱饵账号匹配，那么，向终端设备返回虚假资源信息，以使终端设备基于虚拟资源信息，访问虚假资源。进一步的，当前该终端设备向网关代理设备发送访问请求，网关代理设备就会让其访问虚假资源。也就是说，不管登录账号是否与诱饵账号匹配，都能够使登录账号登录成功，只不过在登录账号与诱饵账号匹配，该登录账号对应的终端设备发起的访问请求只能访问虚假资源；在登录账号与诱饵账号不匹配，该登录账号对应的终端设备发起的访问请求可以访问真实业务资源或虚假资源。

步骤204、在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐。

其中，至少一个探针包括第一探针。

需要说明的是，步骤204可以针对通过认证的登录账号以及诱饵账号对应的终端设备，发起的访问请求；也可以仅针对通过认证的登录账号对应的终端设备，发起的访问请求。因为，在确定登录账号与诱饵账号匹配的情况下，网关代理设备就会给诱饵账号访问虚假资源的权限以及路径；在诱饵账号对应的终端设备发起访问请求时，直接访问的是虚假资源，即攻击者通扫描等手段只能针对的是虚假资源，在这种情况下，诱饵账号对应的访问请求是很难与部署在真实业务资源中的探针对应的资源匹配的。

图3是本申请实施例提供的一种安全防御方法。如图3所示，终端设备中部署有客户端以及账号文件诱饵，若网关代理设备接收终端设备发送的登录请求中的登录账号与诱饵账号库中的一诱饵账号匹配，即终端设备通过客户端登录诱饵账号，那么网关代理设备对诱饵账号进行管理，例如，向终端设备返回虚假资源信息。若终端设备上客户端中的登录账号登录成功，并终端设备通过客户端发起针对业务资源的访问，若网关代理设备接收终端设备发送的访问请求与探针对应的资源匹配，网关代理设备通过探针，将访问请求重定向至蜜罐服务。这里，诱饵账号可以是账号文件诱饵中散播虚假特权账号信息。

本申请通过在网关代理设备中设置诱饵账号和探针的方式，对攻击者的攻击行为进行双重探测，如此，持续感知攻击者恶意攻击行为，以进行精准阻断实现了主动防御。

需要说明的是，本实施例中与其它实施例中相同步骤和相同内容的说明，可以参照其它实施例中的描述，此处不再赘述。

本申请的实施例提供一种安全防御方法，应用于基于身份认证的网关代理设备，网关代理设备中包括至少一个探针，探针用于捕获来自攻击者的恶意请求，参照图4所示，该方法包括以下步骤：

步骤401、接收终端设备发送的访问请求。

步骤402、在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐。

其中，至少一个探针包括第一探针。

步骤403、基于终端设备登录时采用的账号信息，识别登录用户属性。

本申请实施例中，登录用户属性包括但不限于登录用户所属的部门或组别和登录用户对应的权限。

步骤404、基于用户属性，发送与用户属性对应的终端欺骗策略至客户端，以指示客户端根据终端欺骗策略，在终端设备中注入相应的诱饵。

在本申请中，网关代理设备可以为一泛指，即是：不单单只是包括代理网关，还可以除了代理网关之外，包括控制代理网关工作的控制中心，由此，步骤403-404可以由网关代理设备的控制中心来执行。此外，步骤403-404通常是在步骤401之前执行，但具体执行顺序本申请不予限定。

该实施例具备非常好的技术效果，即：防止正常用户点击虚假资源误报，并且，具备非常好的吸引攻击者的效果。传统的方法为了吸引攻击者，往往在返回用户可访问资源列表中包括：虚假资源。这会导致正常用户误点击，但是如果隐藏这些虚假资源，那么对攻击者的吸引力又不足，所以，在本申请中，可通过在用户登录认证的过程中，向用户返回终端诱饵，这些终端诱饵并非呈现给用户的虚假资源，而是一一种更为隐蔽的方式来呈现虚假资源，一方面避免用户误点击，另一方面也具备一定的攻击者吸引力。

终端诱饵可以包括如下至少之一，但不限于如下类型的诱饵：

路由诱饵，所述路由诱饵表征在终端的路由表中添加设定的虚假路由信息；

浏览器诱饵，所述浏览器诱饵表征在终端的浏览器中例如，在收藏夹、历史访问记录中注入虚假信息，例如设定的虚假统一资源定位符URL；

文件诱饵，所述文件诱饵表征在目标路径中创建设定的虚假文件；诱使攻击者打开或下载的文件，文件内容包含欺骗攻击者的虚假信息，可通过检测文件操作行为，识别并追溯攻击者。这里，文件包括图片文件、视频文件、网页文件。

会话诱饵，所述会话诱饵表征在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。

也即是：本申请包括相关系列案中所描述的终端诱饵为：位于终端侧的包含虚假资源信息的载体，但不包括以正常用户(非攻击者)可见形式(如：的资源访问列表)呈现的载体。

此外，在下发终端诱饵时，可以获取登录用户属性，根据不同的属性下发不同的终端欺骗策略，以指示客户端根据终端欺骗策略部署不同的终端诱饵。比如，在研发人员使用的终端中部署的终端诱饵不同于财务人员使用的终端中部署的终端诱饵。

本申请实施例中，客户端是部署在终端设备上，为用户提供本地服务的程序。

本申请实施例中，终端欺骗策略指的是针对终端设备的，并用于捕获攻击者行为，以提高终端安全的一系列策略；这里，终端欺骗策略可以部署在终端设备上，例如在终端设备上部署不同的诱饵，或者扩大终端设备中的诱饵账号库的诱饵账号的数量。

这里，终端欺骗策略也可以是终端对应的用户的认证策略和终端用户访问应用的策略；终端对应的用户的认证策略包括使用该终端进行账号认证时，可以采用多重机制认证。终端用户访问应用的策略包括使用该终端进行访问时，可以限制访问资源的类型。

本申请实施例中，不同用户属性的终端设备接收到所接收到的终端欺骗策略不同。

步骤405、基于终端设备的访问行为，不断调整终端设备的安全风险属性。

本申请实施例中，安全风险属性可以是安全风险等级，也可以是安全风险倾向类型，这里，安全风险倾向类型包括终端设备可能有爆破攻击的倾向或终端设备不可能有爆破攻击的倾向；若终端设备可能有爆破攻击的倾向，那么该终端的相关信息可以注入账号诱饵中。

步骤406、基于调整后的安全风险属性，调整针对终端设备的终端欺骗策略。

本申请实施例中，调整针对终端设备的终端欺骗策略包括调整用户的认证策略、访问应用的策略，或调整终端诱捕等级，或调整终端设备上部署不同的诱饵的数量。这里，针对诱捕等级可以是增强诱捕等级或减弱诱捕等级。

步骤407、将调整后的终端欺骗策略发送至客户端，以指示客户端根据调整后的终端欺骗策略调整注入的诱饵。

本申请实施例中，网关代理设备可以周期性的向终端设备发送终端欺骗策略；当然，网关代理设备可以在终端设备的风安全风险属性发生变更的情况下，发送终端欺骗策略；对此，本申请不进行具体限定。

本申请实施例中，网关代理设备针对不同部门或用户组制定对应的终端欺骗策略，可针对不同安全风险的用户动态调整终端欺骗策略，提高威胁的捕获率。

需要说明的是，步骤404和步骤407中客户端在终端设备中注入的诱饵包括浏览器诱饵、文件诱饵、会话诱饵、路由诱饵中至少一个。

需要说明的是，探针也是诱饵的一种，在终端设备中部署诱饵可以是在终端设备中部署探针。

在一些实施例中，探针可以是一种诱饵，部署在终端设备上。需要说明的是，诱饵可通过网络虚拟化方式部署至被保护主体的各个区域，组成防御系统作为基础设施诱捕黑客。

在本申请所要保护架构中，通过在用户终端的文件系统部署文件诱饵，在浏览器访问记录、书签、密码管理器中部署诱饵等欺骗手段吸引攻击者，诱使攻击者访问虚假资源从而检测出高级威胁，生成高置信度威胁情报，精准快速进行威胁处置。

需要说明的是，本申请通过在终端设备中有诱饵，在网关代理设备上设置探针，使得丰富的欺骗手段覆盖业务访问链，吸引攻击者访问，提高威胁诱捕。

需要说明的是，本实施例中与其它实施例中相同步骤和相同内容的说明，可以参照其它实施例中的描述，此处不再赘述。

在一些实施例中，步骤405、基于终端设备的访问行为，不断调整终端设备的安全风险属性，可以通过如下步骤实现：

分析终端设备与蜜罐之间的访问行为数据，进而调整终端设备的风险属性。

需要说明的是，相关技术中的蜜罐部署难：蜜罐依赖第三方安全服务联动，对攻击者进行处置，无法实现攻击防御自闭环。针对复杂、分布式的大型用户网络，蜜罐的投放是阻碍蜜罐技术实施的一大痛点。在不确定攻击者意图的情况下部署静态蜜罐，会导致威胁诱捕率低。并且，蜜罐引入的额外安全风险，不管是高交互还是低交互类型的蜜罐都是模拟了网络服务或者系统，不可避免的使用应用层通讯协议，而针对openssl Heartbleed或者SSH缓冲区溢出这类应用层漏洞总是不可控的，给蜜罐的使用带来额外的安全风险。本申请将认证与欺骗技术相结合，通过在网关代理设备中的探针，重定向恶意流量至内置蜜罐，无需对用户真实业务网络进行蜜罐投放，完成威胁诱捕。同时，本申请提供的安全防御方法，能够获取用户认证信息，使具有身份认证机制的网络系统具备用户身份、安全检测、IP账号终端处置能力，因此实现威胁检测、处置、溯源自闭环，无需依赖第三方安全服务。

以零信任访问控制系统为例，本申请提供的安全防御方法能够应用于图5中的零信任访问控制系统对应的架构。图5中的架构包括部署有零信任客户端的终端设备、基于身份认证的网关代理设备，即零信任控制中心和零信任代理网关；这里，终端设备包括支持安全文件传送协议(SSH File Transfer Protocol，Sftp)的设备。零信任控制中心能够下发终端欺骗策略，并能够实现账号诱饵管理和探针管理。零信任代理网关中包括代理服务和蜜罐服务；其中，代理服务中包括蜜罐服务代理，并且零信任代理网关中部署有探针；蜜罐资源池中包括至少两个蜜罐服务，每一蜜罐服务能够进行身份解析，并能够将解析结果发送给分析引擎。图5的架构中还包括业务资源。业务资源可以是针对云端业务的资源，也可以是针对本地业务的资源。

需要说明的是，零信任控制中心主要是做认证、登录、资源列表下发、策略鉴权调整一些控制操作；零信任代理网关是数据面，用于代理网络流量；两个可以对应于同一台设备的控制面和数据面，也可以是两台设备，本申请不进行具体限定。

图6是本申请提供的一种安全防御方法的示意性流程图。需要说明的是，图6是依赖于图5对应的架构。如图6所示，攻击者会先进行网络环境探测。

需要说明的是，相关技术人员可以通过网络映射(Network Mapper，NMAP)工具模拟攻击者进行网络环境探测的行为，可以确定攻击者在终端设备上进行网络环境探测前，无法区分零信任网关设备上部署的欺骗探针与真实业务地址。在攻击者对网络环境探测结束后，会对网络中某些感兴趣的链接或地址进行访问，例如，攻击者发起针对19.20.2.11:21或http://bb.c.cn的访问请求，终端设备向零信任代理网关发送携带有针对19.20.2.11:21或http://bb.c.cn的访问请求的访问流量，若代理服务确定该访问流量属于恶意访问流量，即检测出访问的目标地址为探针，那么，重定向恶意访问流量至蜜罐服务代理，通过蜜罐服务代理将恶意访问流量输入至蜜罐中；具体的，重定向目标地址至蜜罐监听地址，并使用代理协议传输用户信息后进行业务流量转发。

进一步地，蜜罐服务对接收到的流量进行身份解析，并调度蜜罐资源池相应的服务完成交互，相应的服务将结果输出至分析引擎，由分析引擎完成为分析、溯源和审计；这里，蜜罐资源池中可以包括蜜罐1FTP服务、蜜罐2SSH服务、蜜罐3HTTP服务。

若零信任客户端发起针对1.20.2.112:23的访问请求，终端设备向零信任代理网关发送携带有针对1.20.2.112:23的访问请求的访问流量，若代理服务确定该访问流量属于正常访问流量，即检测出访问的目标地址为业务系统地址，那么，就会将访问流量传输至业务资源中，由本地业务或云端业务完成交互。

图7是本申请提供的一种客户端在终端设备中部署诱饵的示意性流程图。需要说明的是，图7是依赖于图5对应的访问架构。如图7所示，在网关代理设备接收终端设备发起请求之前，零信任控制中心设备针对不同部门或用户组制定对应的终端欺骗策略，可针对不同安全风险的用户动态调整所要下发给终端的终端欺骗策略，如此，提高威胁的捕获率。

零信任控制中心对零信任客户端对应的终端设备下发终端欺骗策略后，零信任客户端在终端设备环境部署丰富诱饵；即零信任客户端在对应的终端设备的不同的位置注中入诱饵，例如在浏览器上，文件中；其中。零信任控制中心设备中包括多个终端欺骗策略。

基于前述，本申请提供了一种基于零信任访问控制架构构建的威胁检测方案，通过在业务访问链中实施终端欺骗、网络欺骗和账号欺骗干扰攻击者观察与决策从而达到检测与阻断攻击者活动的目的。

基于前述实施例，本申请实施例提供一种网关代理设备，参照图8所示，该网关代理设备8可用于实现图1至图2、图4所示的安全防御方法的步骤，网关代理设备8是基于身份认证的代理设备，网关代理设备8包括至少一个探针，探针用于捕获来自攻击者的恶意请求，该网关代理设备8包括：接收模块81和处理模块82；

接收模块81，用于接收终端设备发送的访问请求；

处理模块82，用于在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐；其中，至少一个探针包括第一探针。

在本申请的其他实施例中，接收模块81，用于接收终端设备发送的登录请求；其中，登录请求中携带有登录账号；

发送模块83，用于若登录账号与诱饵账号库中的一诱饵账号匹配，向终端设备返回虚假资源信息。

在本申请的其他实施例中，处理模块82，用于基于终端设备登录时采用的账号信息，识别登录用户属性；

发送模块83，用于基于用户属性，发送与用户属性对应的终端欺骗策略至客户端，以指示客户端根据终端欺骗策略，在终端设备中注入相应的诱饵。

在本申请的其他实施例中，诱饵包括浏览器诱饵、文件诱饵、会话诱饵、路由诱饵中至少一个。

在本申请的其他实施例中，处理模块82，用于基于终端设备的访问行为，不断调整终端设备的安全风险属性；

处理模块82，用于基于调整后的安全风险属性，调整针对终端设备的终端欺骗策略；

发送模块83，用于将调整后的终端欺骗策略发送至客户端，以指示客户端根据调整后的终端欺骗策略调整注入的诱饵。

在本申请的其他实施例中，处理模块82，用于分析终端设备与蜜罐之间的访问行为数据，进而调整终端设备的风险属性。

在本申请的其他实施例中，处理模块82，用于从蜜罐中的蜜罐资源池中确定第一蜜罐服务；其中，蜜罐资源池中包括至少两个蜜罐服务；

处理模块82，用于通过第一蜜罐服务，分析访问请求的访问行为特征；

处理模块82，用于基于访问行为特征，生成与攻击访问请求匹配的响应数据包；

发送模块83，用于向终端设备发送响应数据包。

需要说明的是，本实施例中各功能模块所执行的步骤的具体实现过程，可以参照图1至图2、图4对应的实施例提供的安全防御方法中的实现过程，此处不再赘述。

基于前述实施例，本申请实施例提供一种网关代理设备，本申请的网关代理设备可以是单个终端，也可以是多个终端组成的集群，参照图9所示，该网关代理设备9可用于实现图1至图2、图4所示的安全防御方法的步骤，网关代理设备9是基于身份认证的代理设备，网关代理设备9包括至少一个探针，探针用于捕获来自攻击者的恶意请求，该网关代理设备9(图9中的网关代理设备9与图8中的网关代理设备8对应)包括：处理器91、存储器92和通信总线93；

通信总线93用于实现处理器91和存储器92之间的通信连接；

处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

接收终端设备发送的访问请求；

在访问请求与第一探针对应的资源匹配的情况下，获取访问请求所对应的身份认证信息，并调用第一探针，将访问请求重定向至蜜罐；其中，至少一个探针包括第一探针。

在本申请的其他实施例中，处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

接收终端设备发送的登录请求；其中，登录请求中携带有登录账号；

若登录账号与诱饵账号库中的一诱饵账号匹配，向终端设备返回虚假资源信息。

在本申请的其他实施例中，处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

基于终端设备登录时采用的账号信息，识别登录用户属性；

基于用户属性，发送与用户属性对应的终端欺骗策略至客户端，以指示客户端根据终端欺骗策略，在终端设备中注入相应的诱饵。

在本申请的其他实施例中，诱饵包括浏览器诱饵、文件诱饵、会话诱饵、路由诱饵中至少一个。

在本申请的其他实施例中，处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

基于终端设备的访问行为，不断调整终端设备的安全风险属性；

基于调整后的安全风险属性，调整针对终端设备的终端欺骗策略；

将调整后的终端欺骗策略发送至客户端，以指示客户端根据调整后的终端欺骗策略调整注入的诱饵。

在本申请的其他实施例中，处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

分析终端设备与蜜罐之间的访问行为数据，进而调整终端设备的风险属性。

在本申请的其他实施例中，处理器91用于执行存储器92中存储的安全防御程序，以实现以下步骤：

从蜜罐中的蜜罐资源池中确定第一蜜罐服务；其中，蜜罐资源池中包括至少两个蜜罐服务；

通过第一蜜罐服务，分析访问请求的访问行为特征；

基于访问行为特征，生成与攻击访问请求匹配的响应数据包，并向终端设备发送响应数据包。

本申请实施例所提供的方法可以直接体现为由处理器91执行的软件模块组合，软件模块可以位于存储介质中，存储介质位于存储器92，处理器91读取存储器92中软件模块包括的可执行指令，结合必要的硬件完成本申请实施例提供的方法。

作为示例，处理器91可以是一种集成电路芯片，具有信号的处理能力，例如通用处理器、数字信号处理器(Digital Signal Processor，DSP)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其中，通用处理器可以是微处理器或者任何常规的处理器等。

需要说明的是，本实施例中处理器所执行的步骤的具体实现过程，可以参照图1至图2、图4对应的实施例提供的安全防御方法中的实现过程，此处不再赘述。

基于前述实施例，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质存储有一个或多个程序，一个或多个程序可被一个或多个处理器执行，以实现如图1至图2、图4对应的实施例提供的安全防御方法中的步骤，此处不再赘述。

这里需要指出的是：以上存储介质和设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

上述计算机存储介质/存储器可以是只读存储器(Read Only Memory，ROM)、可编程只读存储器(Programmable Read-Only Memory，PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory，FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory，CD-ROM)等存储器；也可以是包括上述存储器之一或任意组合的各种终端，如移动电话、计算机、平板设备、个人数字助理等。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”或“本申请实施例”或“前述实施例”或“一些实施例”或“一些实施方式”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“本申请实施例”或“前述实施例”或“一些实施例”或“一些实施方式”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

值得注意的是，本申请实施例中的附图只是为了说明各个器件在终端设备上的示意位置，并不代表在终端设备中的真实位置，各器件或各个区域的真实位置可根据实际情况(例如，终端设备的结构)作出相应改变或偏移，并且，图中的终端设备中不同部分的比例并不代表真实的比例。

以上所述，仅为本申请的实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种安全防御方法，应用于基于身份认证的网关代理设备，所述网关代理设备中包括至少一个探针，所述探针用于捕获来自攻击者的恶意请求，其特征在于，所述方法包括：

接收终端设备发送的访问请求；

在所述访问请求与第一探针对应的资源匹配的情况下，获取所述访问请求所对应的身份认证信息，并调用所述第一探针，将所述访问请求重定向至蜜罐；其中，所述至少一个探针包括所述第一探针。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收终端设备发送的登录请求；其中，所述登录请求中携带有登录账号；

若所述登录账号与诱饵账号库中的一诱饵账号匹配，向所述终端设备返回虚假资源信息。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于终端设备登录时采用的账号信息，识别登录用户属性；

基于所述用户属性，发送与所述用户属性对应的终端欺骗策略至客户端，以指示所述客户端根据所述终端欺骗策略，在终端设备中注入相应的诱饵。

4.根据权利要求3所述的方法，其特征在于，所述诱饵包括浏览器诱饵、文件诱饵、会话诱饵、路由诱饵中至少一个。

5.根据权利要求3所述的方法，其特征在于，所述方法还包括：

基于所述终端设备的访问行为，不断调整所述终端设备的安全风险属性；

基于调整后的安全风险属性，调整针对所述终端设备的终端欺骗策略；

将调整后的终端欺骗策略发送至客户端，以指示所述客户端根据调整后的终端欺骗策略调整注入的诱饵。

6.根据权利要求5所述的方法，其特征在于，所述基于所述终端设备的访问行为，不断调整所述终端设备的安全风险属性，包括：

分析所述终端设备与所述蜜罐之间的访问行为数据，进而调整所述终端设备的风险属性。

7.根据权利要求1至6任一项所述的方法，其特征在于，所述将所述访问请求重定向至蜜罐，包括：

从所述蜜罐中的蜜罐资源池中确定第一蜜罐服务；其中，所述蜜罐资源池中包括至少两个蜜罐服务；

相应地，在所述将所述访问请求重定向至蜜罐之后，包括：

通过所述第一蜜罐服务，分析所述访问请求的访问行为特征；

基于所述访问行为特征，生成与所述攻击访问请求匹配的响应数据包，并向所述终端设备发送所述响应数据包。

8.一种网关代理设备，所述网关代理设备为基于身份认证的代理设备，所述网关代理设备中包括至少一个探针，所述探针用于捕获来自攻击者的恶意请求，其特征在于，所述网关代理设备包括：

接收模块，用于接收终端设备发送的访问请求；

处理模块，用于在所述访问请求与第一探针对应的资源匹配的情况下，获取所述访问请求所对应的身份认证信息，并调用所述第一探针，将所述访问请求重定向至蜜罐；其中，所述至少一个探针包括所述第一探针。

9.一种网关代理设备，其特征在于，所述设备包括处理器和存储器；

所述处理器用于执行所述存储器中的安全防御程序，以实现如权利要求1至7中任一项所述的安全防御方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1至7中任一项所述安全防御方法的步骤。