CN117201150A - 基于蜜点的用户服务无感切换的方法 - Google Patents

基于蜜点的用户服务无感切换的方法 Download PDF

Info

Publication number
CN117201150A
CN117201150A CN202311218444.8A CN202311218444A CN117201150A CN 117201150 A CN117201150 A CN 117201150A CN 202311218444 A CN202311218444 A CN 202311218444A CN 117201150 A CN117201150 A CN 117201150A
Authority
CN
China
Prior art keywords
user client
user
honey
point
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311218444.8A
Other languages
English (en)
Inventor
李夫兵
卢晨鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Softpole Network Technology Beijing Co ltd
Original Assignee
Softpole Network Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Softpole Network Technology Beijing Co ltd filed Critical Softpole Network Technology Beijing Co ltd
Publication of CN117201150A publication Critical patent/CN117201150A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种基于蜜点的用户服务无感切换的方法。该方法包括:用户客户端向蜜点发送网络服务请求,蜜点生成用户客户端对应的session会话控制文件,将session文件存储到密点系统中,返回网络服务响应给所述用户客户端;在用户客户端与所述蜜点进行交互过程中,蜜点根据用户客户端的交互行为判断所述用户客户端为攻击者或者正常用户;蜜点在判断用户客户端为攻击者后,在用户客户端下一次进行网络服务交互时,将用户客户端引进密点系统。本发明方法可以有效对真实服务器系统进行保护,通过对用户交互行为的记录,判断用户为正常用户还是攻击者,并为攻击者行为分析提供依据,同时在用户使用过程中,不会对正常用户的使用体验产生影响,正常用户也不会注意到使用差异,更符合实际网络安全中的产品需求。

Description

基于蜜点的用户服务无感切换的方法
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于蜜点的用户服务无感切换的方法。
背景技术
由于互联网技术的飞速发展,网络中的安全隐患也日益严重。随着网络攻击事件日益频繁发生,各个企业和国家对于网络安全的防护也日益重视。
在网络防御中,诱导欺骗是一种常用手段,其中蜜罐就是欺骗诱导的一种常用手段,通常指对真实系统进行镜像模拟,提供真实系统能提供的响应。通过将攻击者的网络流量诱导到蜜罐中,从而对攻击者的行为进行监控和处理,同时不会对真实服务器产生影响。但是这种情况下,对于正常用户的网络流量也会牵引到蜜罐之中,而如果用户流量需要从蜜罐中将服务转回真实服务器时,会出现用户掉线等现象,影响用户正常的使用体验。
发明内容
本发明的实施例提供了一种基于蜜点的用户服务无感切换的方法。用于解决现有技术中存在的如何实现诱导攻击者网络流量计入蜜点的同时不影响正常用户的体验。
为了实现上述目的,本发明采取了如下技术方案。
一种基于蜜点的用户服务无感切换的方法。包括:
用户客户端向蜜点发送网络服务请求,蜜点生成用户客户端对应的session会话控制文件,将所述session文件存储到密点系统中,返回网络服务响应给所述用户客户端;
在所述用户客户端与所述蜜点进行交互过程中,所述蜜点根据用户客户端的交互行为判断所述用户客户端为攻击者或者正常用户;
所述蜜点在判断用户客户端为攻击者后,在用户客户端下一次进行网络服务交互时,将所述用户客户端引进密点系统。
优选地,所述的用户客户端向蜜点发送网络服务请求,蜜点生成用户客户端对应的session会话控制文件,将所述session文件存储到密点系统中,返回网络服务响应给所述用户客户端,包括:
用户客户端向蜜点发送网络服务请求,蜜点接收到所述网络服务请求后,生成用户客户端对应的会话控制session文件,将所述session文件复制到真实服务器系统中,返回网络服务响应给所述用户客户端,所述网络服务响应中携带包含所述用户客户端的sessionID的cookie;
所述用户客户端在向所述蜜点后续发送的网络服务请求中携带蜜点返回的cookie。
优选地,当所述用户客户端禁用了cookie或者浏览器不支持cookie的解决方案,所述用户客户端将所述sessionID信息重写到网络服务请求的统一资源定位器URL地址中,蜜点解析重写后的URL获取所述用户客户端的sessionID。
优选地,所述的蜜点根据用户客户端的交互行为判断所述用户客户端为攻击者或者正常用户,包括:
当用户客户端的交互行为与之前交互行为发生超过设定范围的变化时,蜜点将该用户客户端判别为攻击者;
当用户客户端的交互行为与大部分用户交互行为存在超过设定范围的差异时,蜜点将该用户客户端判别为攻击者;
当用户客户端的交互行为保持稳定,未出现超过设定范围的异常行为时,蜜点将该用户客户端判别为正常用户。
由上述本发明的实施例提供的技术方案可以看出,本发明方法可以提供有效对真实服务器系统进行保护,通过对用户交互行为的记录,判断用户为正常用户还是攻击者,并为通过攻击者行为分析攻击者信息提供依据。同时在用户使用过程中,不会对正常用户的使用体验产生影响,正常用户也不会对注意到使用差异,更符合实际网络安全中的产品需求。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于蜜点的用户服务无感切换的方法。的处理流程图。
具体实施方式
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
(1)对于攻击者,如果允许其在真实系统进行交互操作,可能会对真实系统产生破坏;而如果不允许其进行交互操作,则无法根据其行为分析其具体特征;
(2)对于正常用户,如果开始使用虚假系统与其进行交互,则当判别其为正常用户时,将其切换到真实系统时,会对用户的使用体验产生影响。
为了解决上述问题,本发明提供的一种基于蜜点的用户服务无感切换的方法,处理流程如图1所示,包括如下步骤:
步骤S1:用户客户端首次向蜜点发送网络服务请求,该网络服务请求可以为流量服务请求。蜜点接收到上述网络服务请求后,生成用户客户端对应的session(会话控制)文件,将上述session文件存储到密点系统中,并返回一个网络服务响应给用户客户端。
蜜点利用session文件记录用户客户端的交互动作,作为判断该用户客户端是否为攻击者或者正常用户的依据。
蜜点返回给用户客户端的网络服务响应中包含set-cookie,该set-cookie包含sessionID。在客户端发起的第二次网络服务请求时,假如蜜点已经提供了set-cookie,用户客户端会自动在网络服务请求中添加蜜点返回的cookie。如果用户客户端禁用了cookie或者浏览器不支持cookie的解决方案,可以采用URL(Uniform Resource Locator,统一资源定位器)地址重写,即将该用户的sessionID信息重写到URL地址中,蜜点能够解析重写后的URL获取的sessionID。
步骤S2:用户客户端接收到蜜点返回的网络服务响应后,将相应信息存入cookie文件;
步骤S3:在该用户客户端多次与蜜点进行交互过程中,蜜点会根据用户客户端的交互行为,对该用户客户端的流量以及对应的session文件进行区分,判断该用户客户端为攻击者或者正常用户。
蜜点判断用户客户端为攻击者或者正常用户的方法包括:
(1)当用户客户端的交互行为与之前交互行为发生超过设定范围的变化时,蜜点将该用户客户端判别为攻击者;
(2)当用户客户端的交互行为与大部分用户交互行为存在超过设定范围的差异时,蜜点将该用户客户端判别为攻击者;
(3)当用户客户端的交互行为保持稳定,未出现超过设定范围的异常行为时,蜜点将该用户客户端判别为正常用户。
正常用户与攻击者行为设置范围,可以基于历史数据分析和对用户行为的了解去设定,考虑以下几个方面:
1.基础行为指标:这些指标描述了用户通常会进行的基本操作,如登录、浏览、搜索和购买等。对于这些指标,可以使用基线模型或正态分布等方法来设置设定范围。
2.时间和频率指标:时间和频率指标描述了某些操作的发生频率和持续时间。例如,在时间上,大多数用户可能会在每周末休息时间使用某个应用程序;在频率上,正常用户可能每天或每周访问某个应用程序的数量有明显的范围。通过分析这些指标,可以识别潜在的异常或不寻常的活动,并设置相应的设定范围。
3.地理位置指标:地理位置指标反映了用户所在地区对于不同类型应用行为的总量、时段和规律性产生的变化,可以根据地理位置的限制,使用树形模型或度量聚类等方法来判别是否存在异常。
以下是三个判别方法的举例说明:
1.当用户客户端的交互行为与之前交互行为发生超过设定范围的变化时,蜜点将该用户客户端判别为攻击者。
例如,一个正常用户过去每天使用App的时间大概都在30分钟左右,但突然有一天使用时间变成了5小时,那么蜜点就会将该用户客户端判断为攻击者。
2.当用户客户端的交互行为与大部分用户交互行为存在超过设定范围的差异时,蜜点将该用户客户端判别为攻击者。
例如,对于一个社交网络应用,如果一个用户始终不与其他用户进行沟通或交流,而且只是在应用页面中频繁地对同一项内容进行操作,这就与大多数用户的交互行为存在较大的差异,蜜点可能会将该用户客户端判断为攻击者。
3.当用户客户端的交互行为保持稳定,未出现超过设定范围的异常行为时,蜜点将该用户客户端判别为正常用户。
例如,一个用户访问一个电子商务网站并购买产品,他的交互行为与很多其他用户的行为类似且没有超过设定范围的异常,因此蜜点将该用户客户端判断为正常用户。
本领域技术人员应能理解上述判别方法仅为举例,其他现有的或今后可能出现的其他的判别用户为攻击者还是正常用户的方法如可适用于本发明实施例,也应包含在本发明保护范围以内,并在此以引用方式包含于此。
步骤S4:蜜点在区分用户客户端为攻击者或者正常用户后,蜜点将攻击者流量对应的session文件保存在蜜点服务器中,同时将正常用户对应的session文件复制到真实服务器系统中,正常用户客户端在下一次进行网络服务交互时可进入真实服务器系统。
综上所述,本发明方法可以提供有效对真实服务器系统进行保护,通过对用户交互行为的记录,判断用户为正常用户还是攻击者,并为通过攻击者行为分析攻击者信息提供依据。
在用户使用过程中,不会对正常用户的使用体验产生影响,正常用户也不会对注意到使用差异,更符合实际网络安全中的产品需求。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (4)

1.一种基于蜜点的用户服务无感切换的方法,其特征在于,包括:
用户客户端向蜜点发送网络服务请求,蜜点生成用户客户端对应的session会话控制文件,将所述session文件存储到密点系统中,返回网络服务响应给所述用户客户端;
在所述用户客户端与所述蜜点进行交互过程中,所述蜜点根据用户客户端的交互行为判断所述用户客户端为攻击者或者正常用户;
所述蜜点在判断用户客户端为攻击者后,在用户客户端下一次进行网络服务交互时,将所述用户客户端引进密点系统。
2.根据权利要求1所述的方法,其特征在于,所述的用户客户端向蜜点发送网络服务请求,蜜点生成用户客户端对应的session会话控制文件,将所述session文件存储到密点系统中,返回网络服务响应给所述用户客户端,包括:
用户客户端向蜜点发送网络服务请求,蜜点接收到所述网络服务请求后,生成用户客户端对应的会话控制session文件,将所述session文件复制到真实服务器系统中,返回网络服务响应给所述用户客户端,所述网络服务响应中携带包含所述用户客户端的sessionID的cookie;
所述用户客户端在向所述蜜点后续发送的网络服务请求中携带蜜点返回的cookie。
3.根据权利要求2所述的方法,其特征在于,当所述用户客户端禁用了cookie或者浏览器不支持cookie的解决方案,所述用户客户端将所述sessionID信息重写到网络服务请求的统一资源定位器URL地址中,蜜点解析重写后的URL获取所述用户客户端的sessionID。
4.根据权利要求1或者2或者所述的方法,其特征在于,所述的蜜点根据用户客户端的交互行为判断所述用户客户端为攻击者或者正常用户,包括:
当用户客户端的交互行为与之前交互行为发生超过设定范围的变化时,蜜点将该用户客户端判别为攻击者;
当用户客户端的交互行为与大部分用户交互行为存在超过设定范围的差异时,蜜点将该用户客户端判别为攻击者;
当用户客户端的交互行为保持稳定,未出现超过设定范围的异常行为时,蜜点将该用户客户端判别为正常用户。
CN202311218444.8A 2023-06-29 2023-09-20 基于蜜点的用户服务无感切换的方法 Pending CN117201150A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2023107868692 2023-06-29
CN202310786869.2A CN116668173A (zh) 2023-06-29 2023-06-29 基于蜜点的用户服务无感切换的方法

Publications (1)

Publication Number Publication Date
CN117201150A true CN117201150A (zh) 2023-12-08

Family

ID=87722482

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202310786869.2A Pending CN116668173A (zh) 2023-06-29 2023-06-29 基于蜜点的用户服务无感切换的方法
CN202311218444.8A Pending CN117201150A (zh) 2023-06-29 2023-09-20 基于蜜点的用户服务无感切换的方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202310786869.2A Pending CN116668173A (zh) 2023-06-29 2023-06-29 基于蜜点的用户服务无感切换的方法

Country Status (1)

Country Link
CN (2) CN116668173A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130145465A1 (en) * 2011-12-06 2013-06-06 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
US20130198294A1 (en) * 2012-01-30 2013-08-01 Microsoft Corporation Dynamic cross-site request forgery protection in a web-based client application
CN107070929A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工控网络蜜罐系统
CN107332823A (zh) * 2017-06-06 2017-11-07 北京明朝万达科技股份有限公司 一种基于机器学习的服务器伪装方法和系统
CN112333203A (zh) * 2020-11-26 2021-02-05 哈尔滨工程大学 一种基于中间人技术的高交互蜜罐系统的rdp会话方法
CN115134166A (zh) * 2022-08-02 2022-09-30 软极网络技术(北京)有限公司 一种基于蜜洞的攻击溯源方法
CN116132157A (zh) * 2023-01-16 2023-05-16 西安热工研究院有限公司 基于网页元素可见性校验的请求防篡改方法及装置
CN116346430A (zh) * 2023-03-03 2023-06-27 北京邮电大学 一种基于高交互性蜜罐的网络威胁管理系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130145465A1 (en) * 2011-12-06 2013-06-06 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
US20130198294A1 (en) * 2012-01-30 2013-08-01 Microsoft Corporation Dynamic cross-site request forgery protection in a web-based client application
CN107070929A (zh) * 2017-04-20 2017-08-18 中国电子技术标准化研究院 一种工控网络蜜罐系统
CN107332823A (zh) * 2017-06-06 2017-11-07 北京明朝万达科技股份有限公司 一种基于机器学习的服务器伪装方法和系统
CN112333203A (zh) * 2020-11-26 2021-02-05 哈尔滨工程大学 一种基于中间人技术的高交互蜜罐系统的rdp会话方法
CN115134166A (zh) * 2022-08-02 2022-09-30 软极网络技术(北京)有限公司 一种基于蜜洞的攻击溯源方法
CN116132157A (zh) * 2023-01-16 2023-05-16 西安热工研究院有限公司 基于网页元素可见性校验的请求防篡改方法及装置
CN116346430A (zh) * 2023-03-03 2023-06-27 北京邮电大学 一种基于高交互性蜜罐的网络威胁管理系统

Also Published As

Publication number Publication date
CN116668173A (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
US10104095B2 (en) Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications
US9923900B2 (en) Online privacy management system with enhanced automatic information detection
CN104519032B (zh) 一种互联网账号的安全策略及系统
US8645300B1 (en) System and method for intent data processing
US8429751B2 (en) Method and apparatus for phishing and leeching vulnerability detection
CN105100032B (zh) 一种防止资源盗取的方法及装置
CN109951500A (zh) 网络攻击检测方法及装置
US8898272B1 (en) Identifying information in resource locators
CN107465651A (zh) 网络攻击检测方法及装置
Chen et al. In-depth survey of digital advertising technologies
CN105357195A (zh) web访问的越权漏洞检测方法及装置
EP3085023B1 (en) Communications security
CN100362805C (zh) 网络色情图像和不良信息检测多功能管理系统
WO2009077193A2 (en) Systems and methods for detecting click fraud
Schmucker Web tracking
JP7389806B2 (ja) 挙動による脅威検出のためのシステムおよび方法
CN110535806A (zh) 监测异常网站的方法、装置、设备和计算机存储介质
Kaur et al. Browser fingerprinting as user tracking technology
CN109889485A (zh) 一种用户异常操作行为检测方法、系统及存储介质
CN107196811A (zh) 视频网站防盗链控制系统与方法
CN114240060A (zh) 风险控制方法、风险处理系统、装置、服务器及存储介质
CN109150875A (zh) 反爬虫方法、装置、电子设备及计算机可读存储介质
US9723017B1 (en) Method, apparatus and computer program product for detecting risky communications
CN111078757A (zh) 一种自主学习的业务风控规则引擎系统及风险评估方法
CN117201150A (zh) 基于蜜点的用户服务无感切换的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Li Fubing

Inventor after: Lu Chenpeng

Inventor before: Li Fubing

Inventor before: Lu Chenpeng

CB03 Change of inventor or designer information