CN116915419A - 网络威胁防护方法、装置、设备及介质 - Google Patents
网络威胁防护方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116915419A CN116915419A CN202211398558.0A CN202211398558A CN116915419A CN 116915419 A CN116915419 A CN 116915419A CN 202211398558 A CN202211398558 A CN 202211398558A CN 116915419 A CN116915419 A CN 116915419A
- Authority
- CN
- China
- Prior art keywords
- visitor
- information
- program
- honeypot
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000009545 invasion Effects 0.000 claims abstract description 28
- 230000006698 induction Effects 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 18
- 230000001939 inductive effect Effects 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 32
- 235000012907 honey Nutrition 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 8
- 230000002265 prevention Effects 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 16
- 238000001514 detection method Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 241000209202 Bromus secalinus Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本发明实施例提供了一种网络威胁防护方法、装置、电子设备和计算机存储介质,应用于Web应用防护系统,该方法包括:接收第一访问者的访问请求,在访问请求对应的响应报文中插入诱导入侵信息;诱导入侵信息用于诱导第一访问者访问蜜罐程序;在接收到蜜罐程序发送的针对第一访问者的唯一标识信息时,确定第一访问者为攻击者,生成告警信息。
Description
技术领域
本发明涉及一种网络威胁防护方法,尤其涉及一种网络威胁防护方法、装置、电子设备及计算机存储介质。
背景技术
随着互联网技术的快速发展,病毒入侵及黑客攻击等网络安全问题日益突出,并且万维网(World Wide Web,Web)攻击的不确定性一直是网络安全的痛点问题,因此需要及时检测和处理网络攻击行为,保障网络安全。但面对不断出现的新的攻击方法和攻击工具,传统的被动防御网络防护技术已无法适应网络安全的需要,网络安全防护体系开始由传统的被动检测转向主动防御,例如,通过部署蜜罐系统对网络攻击行为进行捕捉,蜜罐系统是一种对攻击者进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务等,诱使攻击者对它们实施攻击,并对攻击者的攻击行为进行严密监控,从而可以对其攻击行为进行捕获和分析,以此了解攻击者所使用的工具与方法,对新攻击发出预警,同时蜜罐系统还可以延缓攻击时间和转移攻击目标,从而提高网络安全防护能力。
然而传统的蜜罐系统一般是单独部署在一个物理服务器上,即蜜罐系统只能对特定物理服务器的扫描行为进行检测,而由于该物理服务器的位置固定的,因此,蜜罐系统具有配置静态、且位置固定的不足,并且为了提高蜜罐系统的仿真度降低被识别概率,高交互蜜罐往往需要部署在大量的物理服务器上,使得部署成本较高。
发明内容
本发明主要提供一种网络威胁防护方法、装置、电子设备及计算机存储介质。
本发明实施例提供了一种网络威胁防护方法,应用于Web应用防护系统(WebApplication Firewall,WAF),所述方法包括:
接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;
在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
上述方案中,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的网际互连协议(InternetProtocol,IP)地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
可以看出,在蜜罐程序在检测到第一访问者存在访问蜜罐程序的行为操作时,即可确定第一访问者为攻击者,通过采集第一访问者的特征信息,生成第一访问者唯一的标识信息并发送至WAF,可使得WAF能够准确定位攻击者的信息,提高WAF的主动防护能力。
上述方案中,所述方法还包括:接收所述蜜罐程序发送的溯源结果;所述溯源结果为所述蜜罐程序根据所述第一访问者唯一的标识信息,对所述第一访问者的访问操作进行溯源,生成的所述第一访问者的身份信息。
可以看出,通过根据第一访问者唯一的标识信息,对第一访问者的访问操作进行溯源,可以得到第一访问者的身份信息,从而可以溯源到真实的个体,实现对攻击者的有效打击。
上述方案中,所述方法还包括:将所述第一访问者的唯一标识信息上传至所述WAF的威胁情报库中。
可以看出,通过将第一访问者的唯一标识信息上传至WAF的威胁情报库中,即标识信息可以用于识别恶意攻击者的请求,实现全网协同研判和处置联动。
上述方案中,所述方法还包括:接收第二访问者的访问请求,确定所述第二访问者的特征信息;所述第二访问者的特征信息至少包括:所述第二访问者的网际互连协议地址、所述第二访问者的浏览器指纹信息、以及所述第二访问者的设备指纹信息;根据所述第二访问者的特征信息,生成所述第二访问者的唯一标识信息;在所述WAF的威胁情报库中存在与所述第二访问者的唯一标识信息相同的标识信息时,确定所述第二访问者为攻击者,生成告警信息。
可以看出,通过将第二访问者的唯一标识信息与WAF的威胁情报库中的标识信息进行匹配,判断第二访问者是否为攻击者,能够有效提高WAF的防御效率。
上述方案中,所述诱导入侵信息包括所述蜜罐程序的地址信息。
可以看出,诱导入侵信息中包括蜜罐程序的地址信息,可诱使攻击者在获取到诱导入侵信息后尝试性访问该地址,从而实现诱导攻击者访问蜜罐程序,提高诱捕成功率。
本发明实施例还提供了一种网络威胁防护装置,应用于WAF,所述装置至少包括:
接收模块,用于接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;
确定模块,用于在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
在一种实现方式中,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的IP地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
在一种实现方式中,所述接收模块还用于:接收所述蜜罐程序发送的溯源结果;所述溯源结果为所述蜜罐程序根据所述第一访问者唯一的标识信息,对所述第一访问者的访问操作进行溯源,生成的所述第一访问者的身份信息。
在一种实现方式中,所述装置还包括发送模块,所述发送模块用于:将所述第一访问者的唯一标识信息上传至所述WAF的威胁情报库中。
在一种实现方式中,所述确定模块还用于:接收第二访问者的访问请求,确定所述第二访问者的特征信息;所述第二访问者的特征信息至少包括:所述第二访问者的网际互连协议地址、所述第二访问者的浏览器指纹信息、以及所述第二访问者的设备指纹信息;根据所述第二访问者的特征信息,生成所述第二访问者的唯一标识信息;在所述WAF的威胁情报库中存在与所述第二访问者的唯一标识信息相同的标识信息时,确定所述第二访问者为攻击者,生成告警信息。
在一种实现方式中,所述诱导入侵信息包括所述蜜罐程序的地址信息。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意一种网络威胁防护方法。
本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种网络威胁防护方法。
基于本发明实施例提供的一种网络威胁防护方法、装置、电子设备及计算机存储介质,所述方法包括:接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
可以看出,本发明实施例中,基于已接入WAF的真实网站作为诱饵,通过在访问请求对应的响应报文中插入诱导入侵信息,诱导第一访问者访问蜜罐程序。当接收到蜜罐程序发送的针对第一访问者的唯一标识信息时,则说明第一访问者在入侵侦查的过程中发现了插入诱导入侵信息,并对诱导入侵信息进行了有效性尝试,存在访问蜜罐程序的行为操作,从而可以确定第一访问者为攻击者,其对网络安全构成威胁,因此生成告警信息。
可以看出,本发明实施例中,不需要将蜜罐程序部署在单独的物理服务器上,而是通过对WAF进行简单改造,将蜜罐程序部署在WAF上,仅需要通过在访问请求对应的响应报文中插入诱导入侵信息,就能够使WAF在对现网业务零改造的情况下,具备入侵诱导感知能力,并且蜜罐程序与真实业务系统融为一体,迷惑性高,不易被攻击者察觉,即可以有效提高蜜罐程序的动态性与诱骗性,同时降低部署成本,实现安全投资价值最大化。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本发明。
附图说明
图1为本发明实施例提供的一种网络威胁防护方法的流程示意图;
图2为本发明实施例提供的一种WAF的工作原理图;
图3为本发明实施例提供的一种诱导入侵信息的配置示意图;
图4为本发明实施例提供的一种网站网页源代码的示意图;
图5为本发明实施例提供的第一种基于WAF部署的蜜罐程序的工作原理图;
图6为本发明实施例提供的第二种基于WAF部署的蜜罐程序的工作原理图;
图7为本发明实施例提供的一种生成的攻击者唯一的标识信息的示意图;
图8为本发明实施例提供的一种确定的社交信息的示意图;
图9为本发明实施例提供的一种网络威胁防护装置的示意图
图10为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
随着计算机网络的开放性发展,网络安全问题也越来越受到人们的重视。入侵检测技术作为网络安全中的一项重要技术,是网络安全防御体系中至关重要的一环。目前,入侵检测技术一般是通过对网络请求和系统行为进行分析,判断是否存在攻击行为,但这种技术存在两个问题,一个是入侵检测技术是基于预设的检测规则,通过正则匹配的方式检测访问请求中是否含有恶意内容,若出现新型的攻击行为,而预设的检测规则中可能无法检测出攻击行为,因此可能出现漏报的情况,以及若预设的检测规则不准确,则可能出现误判的情况;另一个是预设的检测规则是由人工确定的,当新型的攻击行为出现时,可能无法及时更新检测规则,则无法对网络请求和系统行为进行有效检测,即存在滞后性。
因此,为了进一步提升网络安全,可以通过蜜罐程序对网络攻击进行诱捕。蜜罐程序是一种用于通过虚假的资源诱骗攻击者,从而采集攻击者攻击数据和分析攻击行为的技术应用,蜜罐程序通过设置诱捕器,如在核心业务网段中部署包含多个漏洞的模拟环境,在让攻击远离正常网络和主机情况下,欺骗攻击者对蜜罐进行攻击和入侵,也就是说,蜜罐存在的意义就在于被攻击和入侵,任何与蜜罐的交互行为都可以认定为攻击行为,因此,通过采集攻击者的攻击数据和分析其攻击行为,可以预知攻击者及其攻击手段,使网络安全体系由被动防御转换为主动防御。
目前传统的蜜罐程序的部署方案,一般是单独部署在一个物理服务器上,即蜜罐系统只能对特定物理服务器的扫描行为进行检测,则蜜罐程序具有配置静态、位置固定的不足。除此之外,还存在以下不足:第一,蜜罐程序作为入侵检测的实现非常依靠运气,例如,在一个网段内有49台正常的服务器和1台部署有蜜罐程序的服务器,则蜜罐被攻击者攻击的概率是1/50,并且,当攻击者先发现其它带有漏洞的正常服务器时,会直接攻击带有漏洞的正常服务器,而不会再攻击蜜罐了,则蜜罐程序很有可能无法被攻击者第一时间探测到,则可能无法有效检测攻击行为;若为了提高蜜罐程序的检测能力,则需要对蜜罐程序进行高密度的部署,将蜜罐程序部署在大量的物理服务器上,这使得蜜罐程序的部署成本较高,则安全投资价值较低。
第二,随着传统蜜罐的普遍使用,对于有经验的攻击者而言辨识难度系数较低,易于被攻击者察觉,即当攻击者分别出某个蜜罐被用来对攻击进行检查时,攻击者就会避免对其进行攻击,转而去攻击其它正常服务器,攻击者还可能会将这一发现通知其他的攻击者,这样所有的攻击者都会避开该蜜罐,导致蜜罐程序无法有效检测攻击行为。
第三、其它扫描器可能也会扫描到蜜罐,而蜜罐会误以为是攻击者扫描的,由此造成虚警率较高。
针对上述技术问题,提出本发明实施例的技术方案。以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本发明实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
例如,本发明实施例提供的一种网络威胁防护方法包含了一系列的步骤,但是本发明实施例提供的一种网络威胁防护方法不限于所记载的步骤。同样地,本发明实施例提供的一种网络威胁防护装置包括了一系列电路,但是本发明实施例提供的一种网络威胁防护装置不限于包括所明确记载的模块,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
本发明实施例提供了一种网络威胁防护方法,应用于WAF,图1为本发明实施例提供的一种网络威胁防护方法的流程示意图,如图1所示,该流程可以包括:
步骤101:接收第一访问者的访问请求,在访问请求对应的响应报文中插入诱导入侵信息;诱导入侵信息用于诱导第一访问者访问蜜罐程序。
在一些实施方式中,所述诱导入侵信息包括所述蜜罐程序的地址信息。
可以看出,诱导入侵信息中包括蜜罐程序的地址信息,可诱使攻击者在获取到诱导入侵信息后尝试性访问该地址,从而实现诱导攻击者访问蜜罐程序,提高诱捕成功率。
本发明实施例中,WAF是通过执行一系列针对超文本传输协议(Hyper TextTransfer Protocol,HTTP)和/或超文本传输安全协议(Hypertext Transfer ProtocolSecure,HTTPS)的安全策略,来专门为Web应用提供保护的防火墙服务,WAF部署在Web应用之前,即所有向Web应用发送的访问请求都先经过WAF,经过WAF的初步防护后再决定是否允许访问Web应用。
本发明实施例中,图2为本发明实施例提供的一种WAF的工作原理图,参见图2,WAF部署在Web应用之前,这里,Web应用即为访问者A请求访问的源站。访问者A向源站发送访问请求,访问请求会先经过WAF经过初步防护,通过对访问请求的内容进行检测,判断是否存在恶意内容,若存在,则确定访问者A为攻击者,对其访问请求进行拦截,若不存在,则将访问请求发送至源站,源站对根据访问请求生成响应报文,并经过WAF发送至访问者A,则访问者A可以实现访问源站。
本发明实施例中,攻击者在对网站进行攻击时,一般会先收集网站的相关情报信息,以此找到网站可能存在的漏洞,对存在的漏洞进行攻击,因此收集情报信息往往是是渗透测试中最重要的部分。开发人员和测试人员在开发项目时,会将一些测试使用的接口或者账号密码等信息备注在项目代码中,或者在测试时设计一个免密码登录的路径,也称为后门,以便于测试。但在项目上线后,可能由于开发人员或测试人员的疏忽,忘记删除测试使用的信息或后门,造成信息泄露。攻击者通过对网站的相关情报信息进行收集,例如,查看网页源代码,就可以发现这些忘记删除的测试信息或后门,即攻击者可以利用这些信息对网站进行攻击,甚至能够登陆网站的后台,获取Shell权限。
本发明实施例中,通过在访问请求对应的响应报文中插入诱导入侵信息,则攻击者在收集网站的相关情报信息时,会发现插入的诱导入侵信息,即可诱使攻击者访问蜜罐程序;而由于需要查看网页源代码才能获取插入的诱导入侵信息,因此,正常的访问者或无目的的自动化探测扫描工具并不会发现插入的诱导入侵信息,也就不会访问蜜罐程序,即可以确定访问蜜罐程序的均为攻击者。
本发明实施例中,诱导入侵信息包括蜜罐程序的地址信息,即攻击者通过访问诱导入侵信息中的地址信息,即可访问蜜罐程序。图3为本发明实施例提供的一种诱导入侵信息的配置示意图,参见图3,是在某一个网站的根路径下插入超文本标记语言(Hyper TextMarkup Language,HTML)、JavaScript(JS)注释等诱导入侵信息,这里,诱导入侵信息即为蜜罐程序的地址信息:139.159.177.90:10086,可以诱使攻击者在收集到该地址信息时,访问蜜罐程序。
本发明实施例中,在对诱导入侵信息配置完成后,在该网站根目录的源代码中将新增该诱导入侵信息,但由于该诱导入侵信息为注释,因此,对网站的页面数据的显示没有任何影响,网站的正常访问也不受任何影响,即不会影响到Web应用的现有业务。
本发明实施例中,攻击者在收集网站的相关情报信息时,通过查看网站网页的源代码,就会发现插入的诱导入侵信息,如图4所示,图4为本发明实施例提供的一种网站网页源代码的示意图,图4中方框内的地址信息即为诱导入侵信息,可以诱导攻击者访问蜜罐程序。
步骤102:在接收到蜜罐程序发送的针对第一访问者的唯一标识信息时,确定第一访问者为攻击者,生成告警信息。
在一些实施方式中,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的IP地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
可以看出,在蜜罐程序在检测到第一访问者存在访问蜜罐程序的行为操作时,即可确定第一访问者为攻击者,通过采集第一访问者的特征信息,生成第一访问者唯一的标识信息并发送至WAF,可使得WAF能够准确定位攻击者的信息,提高WAF的主动防护能力。
本发明实施例中,图5为本发明实施例提供的第一种基于WAF部署的蜜罐程序的工作原理图,参见图5,第一访问者向网站1发送访问请求,访问请求会先经过WAF经过初步防护,通过对访问请求的内容进行检测,在初步防护后将访问请求发送至网站1,网站1对根据访问请求生成响应报文,并经过WAF发送至第一访问者。当第一访问者查找得到插入的诱导入侵信息时,第一访问者可以通过主动扫描或者连接的方式,访问对应的蜜罐程序。
本发明实施例中,蜜罐程序可以设置有监听模块,蜜罐程序内的进程、文件、网络等多维度数据进行实时记录和存储,从而可以实现对访问者的行为进行实时监控。参见图5,当蜜罐程序检测到第一访问者存在访问蜜罐程序的行为操作时,即可确定第一访问者为攻击者。
本发明实施例中,蜜罐程序在检测到访问者存在访问蜜罐程序的行为操作时,会自动收集该访问者的特征信息,这里,访问者的特征信息至少包括:访问者的IP地址、访问者的浏览器指纹信息、以及访问者的设备指纹信息。其中,浏览器的指纹信息可以包括:浏览器的版本、浏览器的插件版本,设备指纹信息可以包括:操作系统的信息。
本发明实施例中,蜜罐程序可以根据访问者的特征信息,生成访问者对应的唯一标识信息,每一个访问者都具有一个唯一的标识信息,即可以根据标识信息确定访问者。参见图5,蜜罐程序将生成的第一访问者的唯一标识信息发送至WAF,则WAF接收到第一访问者的唯一标识信息时,即确定第一访问者为攻击者,并且,WAF生成告警信息。
可以看出,本发明实施例中,通过对WAF进行简单改造,在访问请求对应的响应报文中插入诱导入侵信息,即可将蜜罐程序部署在WAF上,从而诱使第一访问者访问蜜罐程序,当蜜罐程序检测到第一访问者存在访问蜜罐程序的行为操作时,会根据采集的第一访问者的特征信息,生成第一访问者对应的唯一标识信息,并发送至WAF,则WAF可以确定第一访问者为攻击者。可以看出,本申请实施例基于现有的WAF架构,仅通过简单的部署,即可使之具备入侵诱导感知能力,并且蜜罐程序与真实业务系统融为一体,迷惑性高,不易被攻击者察觉,即可以有效提高蜜罐程序的动态性与诱骗性,同时,降低部署成本,实现安全投资价值最大化。可以简捷、高效、全面的帮助企业完成Web类应用系统的入侵感知能力建设和主动防护能力。
在一些实施方式中,所述方法还包括:
接收所述蜜罐程序发送的溯源结果;所述溯源结果为所述蜜罐程序根据所述第一访问者唯一的标识信息,对所述第一访问者的访问操作进行溯源,生成的所述第一访问者的身份信息。
在一些实施例中,蜜罐程序在生成第一访问者唯一的标识信息后,还会根据第一访问者唯一的标识信息,对该标识信息的访问者的所有访问行为进行溯源,生成溯源结果,这里,溯源结果表示的第一访问者的身份信息,这里,可以根据第一访问者的身份信息,溯源到真实的个体,从而实现对攻击者的有效打击。
在一些实施例中,蜜罐程序会将溯源结果发送至WAF,溯源结果将显示在攻击者访问的网站的溯源结果中。
可以看出,通过根据第一访问者唯一的标识信息,对第一访问者的访问操作进行溯源,可以得到第一访问者的身份信息,从而可以溯源到真实的个体,实现对攻击者的有效打击。
在一些实施方式中,所述方法还包括:
将所述第一访问者的唯一标识信息上传至所述WAF的威胁情报库中。
可以看出,通过将第一访问者的唯一标识信息上传至WAF的威胁情报库中,即标识信息可以用于识别恶意攻击者的请求,实现全网协同研判和处置联动。
在一些实施方式中,所述方法还包括:
接收第二访问者的访问请求,确定所述第二访问者的特征信息;所述第二访问者的特征信息至少包括:所述第二访问者的网际互连协议地址、所述第二访问者的浏览器指纹信息、以及所述第二访问者的设备指纹信息;
根据所述第二访问者的特征信息,生成所述第二访问者的唯一标识信息;
在所述WAF的威胁情报库中存在与所述第二访问者的唯一标识信息相同的标识信息时,确定所述第二访问者为攻击者,生成告警信息。
在一些实施例中,会将第一访问者的唯一标识信息上传至WAF的威胁情报库中,这里,还可以将第一访问者的唯一标识信息上传至其他安全应急处置平台,如一键封堵平台或者安全运营平台,需要说明的是,这里上传访问者的唯一标识信息是将该标识信息全网共享,使得各个平台可以根据标识信息识别恶意攻击者的访问请求,并实施有效拦截,从而实现全网协同研判和处置联动。
在一些实施例中,当WAF已经接受到第一访问者的唯一标识信息时,WAF确定第一访问者为攻击者,并将第一访问者的唯一标识信息上传至威胁情报库。
在一些实施例中,图6为本发明实施例提供的第二种基于WAF部署的蜜罐程序的工作原理图,参见图6,当第二访问者向网站2发送访问请求时,访问请求先经过WAF,WAF中设计有采集访问者的特征信息的脚本代码,则WAF可以根据第二访问者发送的访问请求,采集到第二访问者的特征信息,这里,第二访问者的特征信息至少包括:第二访问者的IP地址、第二访问者的浏览器指纹信息、以及第二访问者的设备指纹信息,并根据第二访问者的特征信息,生成第二访问者的唯一标识信息。
在一些实施例中,WAF将生成的第二访问者的唯一标识信息与威胁情报库中的标识信息进行匹配,并匹配成功,则说明WAF已经认定第二访问者为攻击者,因此,拦截第二访问者的访问请求。需要说明的是,第一访问者和第二访问者可以是相同的访问者,也可以是不同的访问者,对此本发明不作限定。
可以看出,通过将第二访问者的唯一标识信息与WAF的威胁情报库中的标识信息进行匹配,判断第二访问者是否为攻击者,能够有效提高WAF的防御效率。
在一个具体的示例中,当WAF需要配置开启蜜罐功能后,只需要在访问请求对应的响应报文中插入诱导入侵信息即可,这里,诱导入侵信息包括蜜罐程序的地址信息。示例性地,可以在响应报文中插入如下信息:
则插入的蜜罐程序的地址信息为:http://47.114.*.*:10086。
在一些实施例中,当插入诱导入侵信息后,网站的页面数据的显示不会有任何变化,正常的访问者也不会查看到该诱导入侵信息。只有攻击者在收集网站的相关情报信息时,通过查看网页源代码,会获取到该诱导入侵信息,当攻击者对该地址信息进行访问时,蜜罐程序就会检测到攻击者存在访问蜜罐程序的行为操作,并且蜜罐程序会采集该攻击者的特征信息,如访问者的IP地址、访问者的浏览器指纹信息、以及访问者的设备指纹信息等,根据采集到的特征信息生成,该攻击者唯一的标识信息,示例性地,如图7所示,图7为本发明实施例提供的一种生成的攻击者唯一的标识信息的示意图,图7中方框内的访客标识码即为攻击者唯一的标识信息。
在一些实施例中,蜜罐程序在得到攻击者的唯一标识信息后,还会根据标识信息溯源该标识信息下所有的访问操作,从而可以溯源到攻击者的真实个体。示例性地,通过溯源该标识信息下所有的访问操作,即可得到攻击者访问过的网站,以及攻击者在该网站的社交信息,如社交账号等信息,如图8所示,图8为本发明实施例提供的一种确定的社交信息的示意图,图8中方框内的“头像”和“用户名”即为攻击者社交信息,可以看出,该攻击者的社交账号为“XXXX”,从而可以根据攻击者社交信息,进一步确定攻击者的真实身份信息。
在一些实施例中,蜜罐程序将生成的攻击者的唯一标识信息和溯源结果发送至WAF,以便WAF根据攻击者的唯一标识信息识别恶意攻击者的请求,从而有效提高WAF的防御效率。
基于前述实施例相同的技术构思,参见图9,本发明实施例提供的网络威胁防护装置应用于WAF,所述装置至少包括:
接收模块901,用于接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;
确定模块902,用于在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
在一种实现方式中,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的IP地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
在一种实现方式中,所述接收模块901还用于:接收所述蜜罐程序发送的溯源结果;所述溯源结果为所述蜜罐程序根据所述第一访问者唯一的标识信息,对所述第一访问者的访问操作进行溯源,生成的所述第一访问者的身份信息。
在一种实现方式中,所述装置还包括发送模块,所述发送模块用于:将所述第一访问者的唯一标识信息上传至所述WAF的威胁情报库中。
在一种实现方式中,所述确定模块902还用于:接收第二访问者的访问请求,确定所述第二访问者的特征信息;所述第二访问者的特征信息至少包括:所述第二访问者的网际互连协议地址、所述第二访问者的浏览器指纹信息、以及所述第二访问者的设备指纹信息;根据所述第二访问者的特征信息,生成所述第二访问者的唯一标识信息;在所述WAF的威胁情报库中存在与所述第二访问者的唯一标识信息相同的标识信息时,确定所述第二访问者为攻击者,生成告警信息。
在一种实现方式中,所述诱导入侵信息包括所述蜜罐程序的地址信息。
在实际应用中,接收模块901、确定模块902、发送模块均可以采用电子设备的处理器实现,上述处理器可以是ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种,本发明实施例对此不作限制。
需要说明的是,以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本发明实施例中,如果以软件功能模块的形式实现上述的方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是终端、服务器等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本发明实施例再提供一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,该计算机可执行指令用于实现本发明实施例提供的任意一种网络威胁防护方法。
相应的,本发明实施例再提供一种计算机存储介质,所述计算机存储介质上存储有计算机可执行指令,该计算机可执行指令用于实现上述实施例提供的任意一种网络威胁防护方法。
在一些实施例中,本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述。
基于前述实施例相同的技术构思,参见图10,本发明实施例提供的电子设备1000,可以包括:存储器1010和处理器1020;其中,
存储器1010,用于存储计算机程序和数据;
处理器1020,用于执行存储器中存储的计算机程序,以实现前述实施例中的任意一种网络威胁防护方法。
上文对各个实施例的描述倾向于强调各个实施例间的不同处,其相同或相似处可以互相参考,为了简洁,本文不再赘述。
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,示例性地,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网格单元上;可以根据实际的可以选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络威胁防护方法,其特征在于,应用于Web应用防护系统,所述方法包括:
接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;
在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
2.根据权利要求1所述的方法,其特征在于,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的网际互连协议地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述蜜罐程序发送的溯源结果;所述溯源结果为所述蜜罐程序根据所述第一访问者唯一的标识信息,对所述第一访问者的访问操作进行溯源,生成的所述第一访问者的身份信息。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述第一访问者的唯一标识信息上传至所述Web应用防护系统的威胁情报库中。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收第二访问者的访问请求,确定所述第二访问者的特征信息;所述第二访问者的特征信息至少包括:所述第二访问者的网际互连协议地址、所述第二访问者的浏览器指纹信息、以及所述第二访问者的设备指纹信息;
根据所述第二访问者的特征信息,生成所述第二访问者的唯一标识信息;
在所述Web应用防护系统的威胁情报库中存在与所述第二访问者的唯一标识信息相同的标识信息时,确定所述第二访问者为攻击者,生成告警信息。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述诱导入侵信息包括所述蜜罐程序的地址信息。
7.一种网络威胁防护装置,其特征在于,应用于Web应用防护系统,所述装置至少包括:
接收模块,用于接收第一访问者的访问请求,在所述访问请求对应的响应报文中插入诱导入侵信息;所述诱导入侵信息用于诱导所述第一访问者访问蜜罐程序;
确定模块,用于在接收到所述蜜罐程序发送的针对所述第一访问者的唯一标识信息时,确定所述第一访问者为攻击者,生成告警信息。
8.根据权利要求7所述的装置,其特征在于,所述第一访问者的唯一标识信息为所述蜜罐程序在检测到所述第一访问者存在访问所述蜜罐程序的行为操作时,根据采集到的所述第一访问者的特征信息生成的;所述第一访问者的特征信息至少包括:所述第一访问者的网际互连协议地址、所述第一访问者的浏览器指纹信息、以及所述第一访问者的设备指纹信息。
9.一种电子设备,其特征在于,所述电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1-6中任一项所述的网络威胁防护方法。
10.一种计算机存储介质,所述存储介质存储有计算机程序;其特征在于,所述计算机程序被执行后能够实现权利要求1-6中任一项所述的网络威胁防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211398558.0A CN116915419A (zh) | 2022-11-09 | 2022-11-09 | 网络威胁防护方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211398558.0A CN116915419A (zh) | 2022-11-09 | 2022-11-09 | 网络威胁防护方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116915419A true CN116915419A (zh) | 2023-10-20 |
Family
ID=88365430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211398558.0A Pending CN116915419A (zh) | 2022-11-09 | 2022-11-09 | 网络威胁防护方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116915419A (zh) |
-
2022
- 2022-11-09 CN CN202211398558.0A patent/CN116915419A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN107659583B (zh) | 一种检测事中攻击的方法及系统 | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US10063574B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using N-gram distribution of data | |
| US8769684B2 (en) | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior | |
| CN105471912B (zh) | 监控网络的安全防御方法和系统 | |
| US20090241191A1 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| CN113014597A (zh) | 蜜罐防御系统 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN107666464B (zh) | 一种信息处理方法及服务器 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| JP2013152497A (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
| Xie et al. | Scanner hunter: Understanding http scanning traffic | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |