CN117040779A - 一种网络异常访问信息获取方法及装置 - Google Patents
一种网络异常访问信息获取方法及装置 Download PDFInfo
- Publication number
- CN117040779A CN117040779A CN202310744680.7A CN202310744680A CN117040779A CN 117040779 A CN117040779 A CN 117040779A CN 202310744680 A CN202310744680 A CN 202310744680A CN 117040779 A CN117040779 A CN 117040779A
- Authority
- CN
- China
- Prior art keywords
- access
- information
- flow
- website
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 156
- 238000000034 method Methods 0.000 title claims abstract description 62
- 235000012907 honey Nutrition 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 26
- 239000003999 initiator Substances 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 15
- 230000006399 behavior Effects 0.000 claims description 9
- 238000010801 machine learning Methods 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 8
- 238000012549 training Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络异常访问信息获取方法及装置,涉及信息安全技术领域,可用于金融领域或其他技术领域。所述方法包括:获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取与所述异常访问流量相对应的指纹识别信息和攻击信息。所述装置执行上述方法。本发明实施例提供的网络异常访问信息获取方法及装置,能够全面和准确的获取网络异常访问信息。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种网络异常访问信息获取方法及装置。
背景技术
随着万维网规模的增长,有漏洞的网站也随之增多。这些网站暴露在复杂的网络环境中,每时每刻都面临着安全威胁,其中有相当一部分是网络机器人带来的。这些网络机器人可能带有善意目的,例如搜索引擎的网络爬虫,安全研究机构的网络分析系统等;也可能带有不良的意图,会对目标网站进行指纹检测、漏洞利用、文件扫描等。通过数据分析可知,在全部万维网流量中,超过40%以上是由机器人流量组成,其中很大一部分为异常机器人流量,即带有不良的意图的由网络机器人带来的流量。
现有的网络机器人检测方法往往是利用网络机器人与正常用户对网站进行访问时的不同特征,通过机器学习的方法来对它们进行区分。
利用机器学习的方法来进行网络机器人的区分,需要足够规模的高质量数据集,而数据集又需要优质的模型来提供,存在技术挑战。同时,网站收集到的原始数据,混杂了正常用户的流量与网络机器人的流量。况且一些机器人会对自身进行伪装(修饰HTTP报文的user-agent字段等),让正常流量与机器人流量的区分变得更加困难。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络异常访问信息获取方法及装置,能够至少部分地解决现有技术中存在的问题。
一方面,本发明提出一种网络异常访问信息获取方法,包括:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
其中,所述日志信息包括访问所述蜜罐网站的IP地址;相应的,所述根据所述日志信息确定正常访问流量,包括:
通过反向DNS查找与所述IP地址相关联的域名,得到所述正常访问流量。
其中,获取与所述异常访问流量相对应的指纹识别信息,包括:
从预设应用程序指纹数据库中提取文件路径;
在所述文件路径中查找与所述异常访问流量相对应的目标文件路径,并将所述目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为。
其中,获取与所述异常访问流量相对应的指纹识别信息,还包括:
根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具。
其中,所述攻击信息包括异常访问流量发起方的源IP地址;相应的,获取与所述异常访问流量相对应的攻击信息,包括:
获取异常访问流量发起方的源IP地址。
其中,所述攻击信息包括攻击目标,以及与所述攻击目标相对应的攻击手段;相应的,获取与所述异常访问流量相对应的攻击信息,还包括:
获取作为攻击目标的目标蜜罐网站的应用程序类型、功能和技术栈信息,并建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系。
其中,在所述获取与所述异常访问流量相对应的指纹识别信息和攻击信息的步骤之后,所述网络异常访问信息获取方法还包括:
将所述指纹识别信息和所述攻击信息作为异常访问流量检测样本数据;
使用所述异常访问流量检测样本数据训练机器学习模型,得到预设异常访问流量检测模型。
一方面,本发明提出一种网络异常访问信息获取装置,包括:
第一确定单元,用于获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
第二确定单元,用于在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取单元,用于获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
再一方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本发明实施例提供的网络异常访问信息获取方法及装置,获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取与所述异常访问流量相对应的指纹识别信息和攻击信息,能够全面和准确的获取网络异常访问信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明一实施例提供的网络异常访问信息获取方法的流程示意图。
图2是本发明实施例提供的网络异常访问信息获取方法模块化的结构示意图。
图3是本发明另一实施例提供的网络异常访问信息获取方法的流程示意图。
图4是本发明一实施例提供的网络异常访问信息获取装置的结构示意图。
图5为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
相关术语说明:
蜜罐技术:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
网络机器人:是指能自动化快速发现并获取互联网内容的程序或工具。
缓存中断(cache bust):用于防止浏览器或代理缓存过期或不需要的内容。它通常通过在请求的URL中添加一个随机参数来实现,从而使每个请求看起来都是唯一的。
反向DNS查找:反向DNS查找是对给定IP地址所关联的域名的DNS查询。
TLS指纹识别:SSL/TLS总是由客户端发起握手连接(Client Hello),后续过程因Client Hello中提供的信息不同而不同,所以Client Hello是对客户端进行指纹识别的重要数据结构。Client Hello包含客户端版本、随机数、会话ID、密码套件、压缩方法、扩展列表等。以JA3的指纹计算规则为例,把版本,加密套件,扩展等内容按顺序排列然后计算hash值,便可得到一个客户端的TLS指纹,一些WAF防护规则其实就是整理提取一些常见的非浏览器客户端requests,curl的指纹然后在客户端发起https请求时进行识别并拦截。
图1是本发明一实施例提供的网络异常访问信息获取方法的流程示意图,如图1所示,本发明实施例提供的网络异常访问信息获取方法,包括:
步骤S1:获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站。
步骤S2:在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求。
步骤S3:获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
在上述步骤S1中,装置获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站。装置可以是执行该方法的计算机设备,例如可以包括服务器。需要说明是,本发明实施例涉及数据的获取及分析是经用户授权的。蜜罐网站可以理解为基于蜜罐技术建立的网站,且该网站为首次使用的蜜罐网站,由分布各地的运行着完整而真实的网络应用的多个蜜罐网站组成,这些网站具有日志记录功能,均使用从未被注册过的域名以避免残留流量的干扰,不被其他网站链接,也不提交到搜索引擎并且不对任何用户宣传。
网络机器人对这些蜜罐网站的访问会在网站的日志上留下足迹(包括机器人的源IP地址、HTTP请求的方法、请求路径等),蜜罐网站把所有日志进行汇总。
所述日志信息包括访问所述蜜罐网站的IP地址;相应的,所述根据所述日志信息确定正常访问流量,包括:
通过反向DNS查找与所述IP地址相关联的域名,得到所述正常访问流量。日志内容还可以包括机器人的基本信息、web服务器访问日志、TLS指纹、浏览器指纹以及记录违反安全机制的日志。
为了避免代理服务器缓存机制的影响,需要在首部设置字段“Cache-Control”值为“no-cache”,并采用缓存中断技术使得同一资源的每个URL都是唯一的,进而完整地记录机器人的每一个请求。
网站应用选择上,可以选择开源社区最热门的,最常用应用程序,覆盖内容管理系统CMS、服务器管理以及数据库管理等场景。
为了进一步方便查找日志信息,可以将相同的IP地址进行聚类,然后对相同的IP地址按照日志生成时间的时间戳的先后顺序依次排序,并合并重复的日志,得到日志信息。
在上述步骤S2中,装置在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求。待测访问流量可以包括正常的网络机器人访问流量,例如可以通过反向DNS查找和验证所有机器人,可以筛选出进行网站数据收集的公司、机构以及搜索引擎。
待测访问流量还可以包括异常的网络机器人访问流量,即存在恶意的访问流量。恶意的访问流量会不经过前序的访问其他资源的过程,直接访问预设资源,上述预设资源可以是指定访问路径下的文件等,不作具体限定。
恶意的访问流量会通过网络请求的方式直接访问上述预设资源,这种网络请求就是无效请求。
由于蜜罐网站的域名在以往并未被使用过,善意的机器人在过往并不存在与蜜罐网站的交互记忆,就不会请求一个不存在的资源,因此可以将所有无效的请求标记为侦察请求,并最终将其归类为恶意的。
在上述步骤S3中,装置获取与所述异常访问流量相对应的指纹识别信息和攻击信息。获取与所述异常访问流量相对应的指纹识别信息,包括:
从预设应用程序指纹数据库中提取文件路径;预设应用程序指纹数据库,可以是已公开的全部异常访问流量的文件访问路径。
在所述文件路径中查找与所述异常访问流量相对应的目标文件路径,并将所述目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为。从上述文件路径中查找到与异常访问流量对应的文件路径,这些文件路径就是目标文件路径。异常访问流量发起方,就可以是上述异常访问的网络机器人。
获取与所述异常访问流量相对应的指纹识别信息,还包括:
根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具。网络机器人可能在user-agent字段中把自身标记为浏览器,然而实际上可能是由其他的网络访问请求工具搭建的。这里是要根据TLS指纹对网络访问请求工具进行识别和统计。
所述攻击信息包括异常访问流量发起方的源IP地址;相应的,获取与所述异常访问流量相对应的攻击信息,包括:
获取异常访问流量发起方的源IP地址。需要说明的是,本发明实施例的源IP地址是指异常访问流量发起方发起网络请求的IP地址,而上述访问所述蜜罐网站的IP地址,是指将蜜罐网站作为访问目标的访问方发起网络请求的IP地址,而访问方可以是正常访问流量的发起方,也可以是异常访问流量的发起方。
所述攻击信息包括攻击目标,以及与所述攻击目标相对应的攻击手段;相应的,获取与所述异常访问流量相对应的攻击信息,还包括:
获取作为攻击目标的目标蜜罐网站的应用程序类型、功能和技术栈信息,并建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系。技术栈信息是指一组技术和工具的集合,用于支持软件开发和运维,它包括开发语言、框架、数据库、服务器、操作系统、版本控制工具、测试工具等多个方面,开发语言是技术栈的核心部分,它们是程序员用来编写代码的语言,常见的开发语言有Java、Python、JavaScript、C#、Ruby等。
攻击载荷,可以包括用于攻击目的的程序代码。
通过建立上述关联关系,可以通过分析关联关系,实现更加准确合理的选择异常访问流量检测样本数据,从而使得建立预设异常访问流量检测模型的检测结果更加准确。
需要说明的是,上述将目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为、根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具、获取异常访问流量发起方的源IP地址,以及建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系,这四部分内容的执行先后顺序可以进行任意组合,不作具体限定。
在所述获取与所述异常访问流量相对应的指纹识别信息和攻击信息的步骤之后,所述网络异常访问信息获取方法还包括:
将所述指纹识别信息和所述攻击信息作为异常访问流量检测样本数据;
使用所述异常访问流量检测样本数据训练机器学习模型,得到预设异常访问流量检测模型。训练机器学习模型的训练方法可以为本领域常规训练方法,在得到预设异常访问流量检测模型之后,就可以使用预设异常访问流量检测模型进行异常访问流量检测。
如图2所示,本发明实施例提供的网络异常访问信息获取方法可以基于模块化来实现,具体包括:分布式站点模块100、日志聚合节点模块200、流量分析节点模块300和数据存储模块400;其中:
分布式站点模块100用于获取原始访问蜜罐网站的日志信息。
日志聚合节点模块200用于基于原始访问蜜罐网站的日志信息,将相同的IP地址进行聚类,然后对相同的IP地址按照日志生成时间的时间戳的先后顺序依次排序,并合并重复的日志,得到日志信息。
流量分析节点模块300用于过滤得到正常访问流量、异常访问流量,以及获取与异常访问流量相对应的指纹识别信息和攻击信息。
数据存储模块400用于接收来自流量分析节点模块300的数据,进行分类存储,并提供查询接口。
如图3所示,对基于模块化的处理流程说明如下:
步骤1:部署蜜罐网站,即分布式站点模块100,记录访问流量。
步骤2:日志聚合节点模块200收集蜜罐网站日志数据,并经过初步的关联合并处理。
步骤3:流量分析节点模块300对经过初步处理的日志条目进行分析,整理或产生非恶意机器人信息、恶意机器人特征集合、流量过滤规则。
步骤4:数据存储模块400存储流量分析节点模块300的产物,提供数据查询接口。
本发明实施例提供的网络异常访问信息获取方法,其有益效果在于:
1.分布式的蜜罐网站结构有利于广泛地收集网络机器人的流量数据。
2.网络机器人特征信息收集过程减少甚至杜绝了人类访问流量的干扰,有利于理解网络机器人的行为模型。
3.流量过滤规则根据真实的恶意网络机器人生成,是系统主动去认识恶意机器人的行为的结果,一定程度上克服了传统流量过滤规则的滞后性。
4.收集生成的关于恶意网络机器人的特征数据有利于优化现有的基于机器学习的恶意网络机器人检测模型。
本发明实施例提供的网络异常访问信息获取方法,获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取与所述异常访问流量相对应的指纹识别信息和攻击信息,能够全面和准确的获取网络异常访问信息。
进一步地,所述日志信息包括访问所述蜜罐网站的IP地址;相应的,所述根据所述日志信息确定正常访问流量,包括:
通过反向DNS查找与所述IP地址相关联的域名,得到所述正常访问流量。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,能够准确获取正常访问流量。
进一步地,获取与所述异常访问流量相对应的指纹识别信息,包括:
从预设应用程序指纹数据库中提取文件路径;可参照上述实施例说明,不再赘述。
在所述文件路径中查找与所述异常访问流量相对应的目标文件路径,并将所述目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,进一步能够准确获取与异常访问流量相对应的指纹识别信息。
进一步地,获取与所述异常访问流量相对应的指纹识别信息,还包括:
根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,进一步能够准确获取与异常访问流量相对应的指纹识别信息。
进一步地,所述攻击信息包括异常访问流量发起方的源IP地址;相应的,获取与所述异常访问流量相对应的攻击信息,包括:
获取异常访问流量发起方的源IP地址。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,进一步能够准确获取与异常访问流量相对应的攻击信息。
进一步地,所述攻击信息包括攻击目标,以及与所述攻击目标相对应的攻击手段;相应的,获取与所述异常访问流量相对应的攻击信息,还包括:
获取作为攻击目标的目标蜜罐网站的应用程序类型、功能和技术栈信息,并建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,进一步能够准确获取与异常访问流量相对应的攻击信息。
进一步地,在所述获取与所述异常访问流量相对应的指纹识别信息和攻击信息的步骤之后,所述网络异常访问信息获取方法还包括:
将所述指纹识别信息和所述攻击信息作为异常访问流量检测样本数据;可参照上述实施例说明,不再赘述。
使用所述异常访问流量检测样本数据训练机器学习模型,得到预设异常访问流量检测模型。可参照上述实施例说明,不再赘述。
本发明实施例提供的网络异常访问信息获取方法,进一步能够优化预设异常访问流量检测模型的样本选择。
需要说明的是,本发明实施例提供的网络异常访问信息获取方法可用于金融领域,也可用于除金融领域之外的任意技术领域,本发明实施例对网络异常访问信息获取方法的应用领域不做限定。
图4是本发明一实施例提供的网络异常访问信息获取装置的结构示意图,如图4所示,本发明实施例提供的网络异常访问信息获取装置,包括第一确定单元401、第二确定单元402和获取单元403,其中:
第一确定单元401用于获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;第二确定单元402用于在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取单元403用于获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
具体的,装置中的第一确定单元401用于获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;第二确定单元402用于在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取单元403用于获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本发明实施例提供的网络异常访问信息获取装置,获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;获取与所述异常访问流量相对应的指纹识别信息和攻击信息,能够全面和准确的获取网络异常访问信息。
进一步地,所述日志信息包括访问所述蜜罐网站的IP地址;相应的,所述第一确定单元401具体用于:
通过反向DNS查找与所述IP地址相关联的域名,得到所述正常访问流量。
本发明实施例提供的网络异常访问信息获取装置,能够准确获取正常访问流量。
进一步地,所述获取单元403具体用于:
从预设应用程序指纹数据库中提取文件路径;
在所述文件路径中查找与所述异常访问流量相对应的目标文件路径,并将所述目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为。
本发明实施例提供的网络异常访问信息获取装置,进一步能够准确获取与异常访问流量相对应的指纹识别信息。
进一步地,所述获取单元403具体用于:
根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具。
本发明实施例提供的网络异常访问信息获取装置,进一步能够准确获取与异常访问流量相对应的指纹识别信息。
进一步地,所述攻击信息包括异常访问流量发起方的源IP地址;相应的,所述获取单元403具体用于:
获取异常访问流量发起方的源IP地址。
本发明实施例提供的网络异常访问信息获取装置,进一步能够准确获取与异常访问流量相对应的攻击信息。
进一步地,所述攻击信息包括攻击目标,以及与所述攻击目标相对应的攻击手段;相应的,所述获取单元403具体用于:
获取作为攻击目标的目标蜜罐网站的应用程序类型、功能和技术栈信息,并建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系。
本发明实施例提供的网络异常访问信息获取装置,进一步能够准确获取与异常访问流量相对应的攻击信息。
进一步地,在所述获取与所述异常访问流量相对应的指纹识别信息和攻击信息的步骤之后,所述网络异常访问信息获取装置还用于:
将所述指纹识别信息和所述攻击信息作为异常访问流量检测样本数据;
使用所述异常访问流量检测样本数据训练机器学习模型,得到预设异常访问流量检测模型。
本发明实施例提供的网络异常访问信息获取装置,进一步能够优化预设异常访问流量检测模型的样本选择。
本发明实施例提供网络异常访问信息获取装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图5为本发明实施例提供的电子设备实体结构示意图,如图5所示,所述电子设备包括:处理器(processor)501、存储器(memory)502和总线503;
其中,所述处理器501、存储器502通过总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述各方法实施例所提供的方法,例如包括:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络异常访问信息获取方法,其特征在于,包括:
获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
2.根据权利要求1所述的网络异常访问信息获取方法,其特征在于,所述日志信息包括访问所述蜜罐网站的IP地址;相应的,所述根据所述日志信息确定正常访问流量,包括:
通过反向DNS查找与所述IP地址相关联的域名,得到所述正常访问流量。
3.根据权利要求1所述的网络异常访问信息获取方法,其特征在于,获取与所述异常访问流量相对应的指纹识别信息,包括:
从预设应用程序指纹数据库中提取文件路径;
在所述文件路径中查找与所述异常访问流量相对应的目标文件路径,并将所述目标文件路径标记为异常访问流量发起方访问蜜罐网站的指纹识别行为。
4.根据权利要求3所述的网络异常访问信息获取方法,其特征在于,获取与所述异常访问流量相对应的指纹识别信息,还包括:
根据TLS指纹识别获取异常访问流量发起方的网络访问请求工具。
5.根据权利要求1所述的网络异常访问信息获取方法,其特征在于,所述攻击信息包括异常访问流量发起方的源IP地址;相应的,获取与所述异常访问流量相对应的攻击信息,包括:
获取异常访问流量发起方的源IP地址。
6.根据权利要求5所述的网络异常访问信息获取方法,其特征在于,所述攻击信息包括攻击目标,以及与所述攻击目标相对应的攻击手段;相应的,获取与所述异常访问流量相对应的攻击信息,还包括:
获取作为攻击目标的目标蜜罐网站的应用程序类型、功能和技术栈信息,并建立作为攻击手段的攻击载荷、漏洞、所述应用程序类型、所述功能和技术栈信息之间的关联关系。
7.根据权利要求1至6任一所述的网络异常访问信息获取方法,其特征在于,在所述获取与所述异常访问流量相对应的指纹识别信息和攻击信息的步骤之后,所述网络异常访问信息获取方法还包括:
将所述指纹识别信息和所述攻击信息作为异常访问流量检测样本数据;
使用所述异常访问流量检测样本数据训练机器学习模型,得到预设异常访问流量检测模型。
8.一种网络异常访问信息获取装置,其特征在于,包括:
第一确定单元,用于获取访问蜜罐网站的日志信息,根据所述日志信息确定正常访问流量;所述蜜罐网站为以往并未被使用过的蜜罐网站;
第二确定单元,用于在去除所述正常访问流量后保留的待测访问流量中,将与无效请求相对应的流量确定为异常访问流量;所述无效请求为直接访问预设资源的网络请求;
获取单元,用于获取与所述异常访问流量相对应的指纹识别信息和攻击信息。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310744680.7A CN117040779A (zh) | 2023-06-21 | 2023-06-21 | 一种网络异常访问信息获取方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310744680.7A CN117040779A (zh) | 2023-06-21 | 2023-06-21 | 一种网络异常访问信息获取方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117040779A true CN117040779A (zh) | 2023-11-10 |
Family
ID=88625118
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310744680.7A Pending CN117040779A (zh) | 2023-06-21 | 2023-06-21 | 一种网络异常访问信息获取方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117040779A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
-
2023
- 2023-06-21 CN CN202310744680.7A patent/CN117040779A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117424764A (zh) * | 2023-12-19 | 2024-01-19 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
| CN117424764B (zh) * | 2023-12-19 | 2024-02-23 | 中关村科学城城市大脑股份有限公司 | 系统资源访问请求信息处理方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107483488B (zh) | 一种恶意Http检测方法及系统 | |
| CN107888571B (zh) | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 | |
| CN105184159B (zh) | 网页篡改的识别方法和装置 | |
| CN112347485B (zh) | 多引擎获取漏洞并自动化渗透的处理方法 | |
| CN112468360A (zh) | 一种基于指纹的资产发现识别和检测方法及系统 | |
| CN108156131A (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN103595732A (zh) | 一种网络攻击取证的方法及装置 | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| Rasool et al. | A review of web browser forensic analysis tools and techniques | |
| CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
| CN110768949A (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN115098151A (zh) | 一种细粒度的内网设备固件版本探测方法 | |
| Papadogiannaki et al. | Pump Up the JARM: Studying the Evolution of Botnets Using Active TLS Fingerprinting | |
| Zou et al. | Deep learning for detecting network attacks: An end-to-end approach | |
| Somarriba et al. | A collaborative framework for android malware detection using DNS & dynamic analysis | |
| CN117081801A (zh) | 网站的内容管理系统的指纹识别方法、装置及介质 | |
| CN113992443B (zh) | 一种云沙箱流量处理方法及装置 | |
| CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及系统 | |
| KR102258965B1 (ko) | HTTP 프로토콜의 메쏘드 필드 정보와 content-type 필드 정보를 이용해 웹 공격 유형 범위를 분류하는 방법 및 장치 | |
| CN106411879B (zh) | 一种软件识别特征的获取方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |