CN117424741A - 一种云waf的网络攻击者溯源方法、装置及介质 - Google Patents
一种云waf的网络攻击者溯源方法、装置及介质 Download PDFInfo
- Publication number
- CN117424741A CN117424741A CN202311455702.4A CN202311455702A CN117424741A CN 117424741 A CN117424741 A CN 117424741A CN 202311455702 A CN202311455702 A CN 202311455702A CN 117424741 A CN117424741 A CN 117424741A
- Authority
- CN
- China
- Prior art keywords
- identification number
- request
- attack
- requesting user
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 235000014510 cooky Nutrition 0.000 claims abstract description 72
- 230000006399 behavior Effects 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 13
- 238000007789 sealing Methods 0.000 claims description 6
- 230000032683 aging Effects 0.000 claims description 5
- 230000035945 sensitivity Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 abstract description 3
- 230000002776 aggregation Effects 0.000 description 7
- 238000004220 aggregation Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000533950 Leucojum Species 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Abstract
本申请公开了一种云WAF的网络攻击者溯源方法、装置及介质;涉及Web应用防护领域,解决云WAF只能溯源到攻击者的公共地址的问题。接收请求用户的访问请求;判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;本申请在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网地址的网络地址转换设备出口的不同内网用户,实现攻击行为溯源。
Description
技术领域
本申请涉及Web应用防护领域,特别是涉及一种云WAF的网络攻击者溯源方法、装置及介质。
背景技术
云WAF(Web Application Firewall,Web应用防护系统),是全球广域网(WorldWide Web,Web)应用防火墙的云模式,它将WAF的功能在云端进行实现,每天需要处理高达千万级别的攻击行为。云WAF主要工作在应用层,通过检查和过滤超文本传输协议(Hypertext Transfer Protocol,HTTP)请求来保护Web应用程序。
云WAF无法精准定位在网络地址转换(NAT)设备环境中的攻击者的内网互联网协议地址(Internet Protocol Address,IP),只能溯源到公共的出口IP。因为在企业内部网络中使用NAT来将多个内网IP地址映射到公共IP地址。当攻击者在企业内部网络中发起攻击时,其内网IP经过NAT之后变为公共IP,使得WAF只能获取到经过NAT转换之后的公共IP。
由此可见,如何解决云WAF只能溯源到攻击者的公共地址而无法进行区分的问题,是本领域人员亟待解决的技术问题。
发明内容
本申请的目的是提供一种云WAF的网络攻击者溯源方法、装置及介质,解决云WAF只能溯源到攻击者的公共地址而无法进行区分的问题。
为解决上述技术问题,本申请提供一种云WAF的网络攻击者溯源方法,包括:
接收请求用户的访问请求;
判断访问请求的浏览器cookie是否携带唯一标记识别号;
若是,将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;
其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。
优选地,上述云WAF的网络攻击者溯源方法中,唯一标记识别号的设置步骤如下:
初次接收到请求用户的攻击扫描请求;
根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
当请求用户渲染伪造超文本标记语言页面时,唯一标记识别号植入到请求用户的浏览器cookie。
优选地,上述云WAF的网络攻击者溯源方法中,初次接收到请求用户的攻击扫描请求,包括:
接收到请求用户的访问请求;
判断访问请求的浏览器cookie是否携带唯一标记识别号;
若不携带,判断访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则为初次接收到当前请求用户的攻击扫描请求。
优选地,上述云WAF的网络攻击者溯源方法中,非站点正常业务敏感特征包括:敏感路径匹配特征、敏感文件匹配特征。
优选地,上述云WAF的网络攻击者溯源方法中,若判断访问请求的浏览器cookie携带唯一标记识别号,则还包括:
判断是否开启恶意终端封杀开关;
若是,则拦截访问请求;
若否,则根据预设防护规则进行Web防护。
优选地,上述云WAF的网络攻击者溯源方法中,根据唯一标记识别号记录攻击扫描请求,包括:
基于唯一标记识别号,将攻击扫描请求记录至对应的攻击行为日志与拦截日志;
根据攻击行为日志、拦截日志构建攻击行为图像。
优选地,上述云WAF的网络攻击者溯源方法中,若判断访问请求的浏览器cookie不携带唯一标记识别号,则还包括:
判断访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则访问请求确认为攻击扫描请求;
根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
当请求用户渲染伪造超文本标记语言页面时,判断浏览器cookie是否已存在其他的唯一标记识别号;
若存在,则刷新老化时间;
若不存在,则将携带的唯一标记识别号植入到请求用户的浏览器cookie。
为解决上述技术问题,本申请还提供一种云WAF的网络攻击者溯源装置,包括:
接收模块,用于接收请求用户的访问请求;
判断模块,用于判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,触发标记溯源模块;
标记溯源模块,用于将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;
其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。
为解决上述技术问题,本申请还提供一种云WAF的网络攻击者溯源装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述的云WAF的网络攻击者溯源方法的步骤。
为解决上述技术问题,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的云WAF的网络攻击者溯源方法的步骤。
本申请所提供的云WAF的网络攻击者溯源方法,包括:接收请求用户的访问请求;判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网IP的NAT设备出口的不同内网用户,实现攻击行为溯源。
另外,本申请还提供一种云WAF的网络攻击者溯源装置及计算机可读存储介质,与上述方法对应,效果同上。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供一种云WAF的网络攻击者溯源方法的流程图;
图2为本申请实施例提供的一种唯一标记识别号的设置步骤的流程图;
图3为本申请实施例提供的一种云WAF的网络攻击者溯源装置的结构图;
图4为本申请实施例提供的另一种云WAF的网络攻击者溯源装置的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的核心是提供一种云WAF的网络攻击者溯源方法、装置及介质。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
在企业内部网络中使用NAT来将多个内部IP地址映射到公共IP地址。当攻击者在企业内部网络中发起攻击时,其内网IP经过NAT之后变为公共IP,使得WAF只能获取到经过NAT转换之后的公共IP。多数云环境的网络架构是独立的,攻击者通过互联网访问被攻击的Web应用,其攻击流量经过了网络边界,使得WAF只能记录到攻击者的公共出口IP地址。无法对其进行区分,实现攻击者溯源及攻击行为取证。
为解决上述问题,本申请实施例提供一种云WAF的网络攻击者溯源方法,图1为本申请实施例提供一种云WAF的网络攻击者溯源方法的流程图,如图1所示,包括:
S11:接收请求用户的访问请求;
S12:判断访问请求的浏览器cookie是否携带唯一标记识别号;
S13:若是,将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。
云WAF工作在Web服务器之前,对基于HTTP协议的通信进行检测和识别。对于HTTP请求进行快速安全检查,通过解析HTTP数据,在不同的字段分别在特征、规则等维度进行判断,判断的结果作为是否拦截的依据从而决定是否放行,并进行此后一系列的动作,这些动作包括拦截、记录、警报等。
步骤S11接收请求用户的访问请求,云WAF可能接收到正常的访问请求,也可能接收到攻击性的请求。可通过预设的识别规则对其进行识别确认请求是否安全。
在本实施例中,当接收到请求用户第一次发起攻击扫描请求时,将唯一标记识别号标记在对应的请求用户的浏览器cookie上的,则再一次接收到同一请求用户的访问请求时,可通过检测浏览器cookie携带唯一标记识别号确定其为攻击扫描请求,不需要对访问请求进行具体的识别,可根据唯一标记识别号记录当前攻击扫描请求,记录的内容包括但不限于攻击时间、次数、公共地址等。
本实施例不限制生成唯一标识识别号的方法,例如通过时间戳和随机数组合、或雪花算法等,攻击实际需要设置即可。
另外,需要说明的是,本实施例提到的浏览器cookie指的是一种用于在Web浏览器和Web服务器之间交换数据的小文本文件。它由Web服务器通过HTTP协议发送给浏览器,并由浏览器存储在用户计算机上的特定位置。cookie主要用于跟踪、识别和存储有关用户的信息,以提供个性化的Web体验和确保持久的用户会话。当用户在浏览器中访问一个网站时,浏览器会检查是否存在与该网站相关的cookie。如果存在,浏览器会将cookie信息附加到HTTP请求中,并将其发送回Web服务器。在本实施例中,云WAF会对请求先进行检测再发送至Web服务器。
通过本实施例提供的方案,每当一个请求用户发送过攻击扫描请求后,则可标记其浏览器cookie,每个请求用户只对应一个唯一标记识别号,通过唯一标记识别号聚合记录对应请求用户的攻击行为。通过浏览器cookie中携带的唯一标记识别号,可以区分同一公网IP的NAT设备出口的不同内网用户,并基于唯一标记识别号实现同一用户的攻击行为聚合,实现攻击者溯源及攻击行为取证。
通过本实施例提供的云WAF的网络攻击者溯源方法,包括:接收请求用户的访问请求;判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网IP的NAT设备出口的不同内网用户,实现攻击行为溯源。
本实施例提供一种唯一标记识别号设置的具体方案,图2为本申请实施例提供的一种唯一标记识别号的设置步骤的流程图,如图2所示,唯一标记识别号的设置步骤如下:
S21:初次接收到请求用户的攻击扫描请求;
S22:根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
S23:根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
S24:当请求用户渲染伪造超文本标记语言页面时,唯一标记识别号植入到请求用户的浏览器cookie。
当初次接收到请求用户的攻击扫描请求,根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面,伪造超文本标记语言页面为云WAF伪造的源站(Web服务器)的HTTP响应HTML页面,HTML页面在请求用户端渲染后会执行其内的JavaScript程序,触发将唯一标记识别号植入到请求用户的浏览器cookie的操作。JavaScript(简称“JS”)是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。
具体地,辨别是否为初次接收到攻击扫描请求,本实施例提供一种方案,S21:初次接收到请求用户的攻击扫描请求,包括:
S211:接收到请求用户的访问请求;
S212:判断访问请求的浏览器cookie是否携带唯一标记识别号;
S213:若不携带,判断访问请求是否匹配到非站点正常业务敏感特征;
S214:若匹配,则为初次接收到当前请求用户的攻击扫描请求。
通过判断浏览器cookie是否携带唯一标记识别号初步判断请求用户是否曾被标记,若不携带,则判断当前访问请求是否为攻击扫描请求,通过判断是否匹配到非站点正常业务敏感特征,非站点正常业务敏感特征是指在网络流量中出现的与站点正常业务无关、可能具有攻击性或异常行为的特征。识别和监测这些非站点正常业务敏感特征可以帮助提前发现潜在的安全威胁,并采取相应的防御措施。具体地,非站点正常业务敏感特征包括:敏感路径匹配特征、敏感文件匹配特征。
敏感路径是指系统中包含敏感信息或可能导致系统漏洞的特定路径。例如,常见的敏感路径可能包括管理员后台登录页面、数据库管理工具、系统配置文件等。通过识别这些敏感路径,可以及时发现攻击者对其进行的扫描或尝试访问行为。例如,敏感路径匹配特征为:/root/、/admin/(这些路径通常与系统管理员、管理界面或敏感操作相关)。敏感文件是指包含敏感信息或可以被利用的系统文件或资源。攻击者通常会尝试访问敏感文件以获取敏感信息或利用可能存在的漏洞。通过识别和防止对这些敏感文件的访问,可以增加系统的安全性。敏感文件匹配特征为:Password、www.tar.dz(可能与密码相关的信息或非法的文件扩展名有关)。
为了增强安全性,您可以采取以下措施来防御这类攻击
若匹配到了预设的非站点正常业务敏感特征,则判断为初次接收到请求用户的攻击扫描请求,需要生成唯一标记识别号进行标记。
根据上述实施例,在一种实施方案中,上述云WAF的网络攻击者溯源方法中,若判断访问请求的浏览器cookie携带唯一标记识别号,则还包括:
判断是否开启恶意终端封杀开关;
若是,则拦截访问请求;
若否,则根据预设防护规则进行Web防护。
若需要对访问请求作拦截处理,则需要预先打开恶意终端封杀开关,当访问请求的浏览器cookie携带唯一标记识别号时,直接拦截访问请求;若未打开恶意终端封杀开关,则根据预设防护规则进行Web防护。
Web防护是确保系统安全的重要环节。对用户输入数据进行验证和过滤,防止恶意或非法输入造成的安全漏洞。可以通过正则表达式、白名单和黑名单、安全编码实践等方式来实现输入验证和过滤。
进行过Web防护后,将访问请求转发给源站(Web服务器),源站收到请求后会响应访问请求。
为了帮助分析人员更好地理解攻击者的策略和目标,云WAF的网络攻击者溯源方法中,根据唯一标记识别号记录攻击扫描请求,包括:
基于唯一标记识别号,将攻击扫描请求记录至对应的攻击行为日志与拦截日志;
根据攻击行为日志、拦截日志构建攻击行为图像。
通过构建攻击行为的行为图像,可以帮助分析人员更好地理解攻击者的策略和目标,从而加强系统的安全防御能力,并提前做好应对措施。
在上述实施例,由于cookie的基本信息中包含有效期,若有效期过期,即使非第一次接到请求用户的攻击扫描请求,在访问请求的浏览器cookie中也不携带唯一标记识别号,本实施例提供一种具体的方案,上述云WAF的网络攻击者溯源方法中,若判断访问请求的浏览器cookie不携带唯一标记识别号,则还包括:
判断访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则访问请求确认为攻击扫描请求;
根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
当请求用户渲染伪造超文本标记语言页面时,判断浏览器cookie是否已存在其他的唯一标记识别号;
若存在,则刷新老化时间;
若不存在,则将携带的唯一标记识别号植入到请求用户的浏览器cookie。
由于每个cookie都包含有效期(Expires/Max-Age):用于指定cookie的有效期,以确定其何时过期。
在本实施例中,在未识别到访问请求携带唯一标记识别号,且访问请求匹配到非站点正常业务敏感特征,确认为攻击扫描请求,将伪造响应发送至请求用户,当请求用户渲染伪造超文本标记语言页面时,判断浏览器cookie是否已存在其他的唯一标记识别号;若存在,则说明有效期过期,刷新老化时间指更新cookie的过期时间,以延长其在浏览器中的有效期。若不存在,则将携带的唯一标记识别号植入到请求用户的浏览器cookie,对请求用户进行标记。需要说明的是,判断浏览器cookie是否已存在其他的唯一标记识别号,是在请求用户端渲染伪造超文本标记语言页面时执行其内的JavaScript程序,触发的一系列操作。
在上述实施例中,对于云WAF的网络攻击者溯源方法进行了详细描述,本申请还提供云WAF的网络攻击者溯源装置对应的实施例。需要说明的是,本申请从两个角度对装置部分的实施例进行描述,一种是基于功能模块的角度,另一种是基于硬件的角度。
基于功能模块的角度,图3为本申请实施例提供的一种云WAF的网络攻击者溯源装置的结构图,如图3所示,一种云WAF的网络攻击者溯源装置,包括:
接收模块31,用于接收请求用户的访问请求;
判断模块32,用于判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,触发标记溯源模块33;
标记溯源模块33,用于将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;
其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。
本申请实施例提供的云WAF的网络攻击者溯源装置,接收模块31接收请求用户的访问请求;判断模块32判断访问请求的浏览器cookie是否携带唯一标记识别号;若是,触发标记溯源模块33;标记溯源模块33将当前访问请求确定为攻击扫描请求,并根据唯一标记识别号记录攻击扫描请求;其中,唯一标记识别号为初次接收到请求用户的攻击扫描请求时标记在对应的请求用户的浏览器cookie上的。在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网IP的NAT设备出口的不同内网用户,实现攻击行为溯源。
还包括:
初次攻击识别模块,用于初次接收到请求用户的攻击扫描请求;
生成模块,用于根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
伪响应模块,用于根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
标记模块,用于当请求用户渲染伪造超文本标记语言页面时,唯一标记识别号植入到请求用户的浏览器cookie。
初次攻击识别模块包括:
接收单元,用于接收到请求用户的访问请求;
判断单元,用于判断访问请求的浏览器cookie是否携带唯一标记识别号;
若不携带,触发异常识别单元,用于判断访问请求是否匹配到非站点正常业务敏感特征;
若匹配,确认单元,用于确认为初次接收到当前请求用户的攻击扫描请求。
还包括:
查询模块,用于判断是否开启恶意终端封杀开关;
若是,则触发拦截模块,用于拦截访问请求;
若否,则触发常规防护模块,用于根据预设防护规则进行Web防护。
还包括:
记录模块,用于基于唯一标记识别号,将攻击扫描请求记录至对应的攻击行为日志与拦截日志;
构建行为图像模块,用于根据攻击行为日志、拦截日志构建攻击行为图像。
还包括:
攻击识别模块,用于判断访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则触发攻击行为确认模块,用于确认访问请求确认为攻击扫描请求;
生成识别号模块,用于根据攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
伪响应模块,用于根据伪造超文本标记语言页面与唯一标记识别号生成伪造响应并发送至请求用户;
过期确认模块,用于当请求用户渲染伪造超文本标记语言页面时,判断浏览器cookie是否已存在其他的唯一标记识别号;
若存在,则触发刷新模块,用于刷新老化时间;
若不存在,则触发标记模块,用于将携带的唯一标记识别号植入到请求用户的浏览器cookie。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图4为本申请实施例提供的另一种云WAF的网络攻击者溯源装置的结构图,如图4所示,云WAF的网络攻击者溯源装置包括:存储器40,用于存储计算机程序;
处理器41,用于执行计算机程序时实现如上述实施例(云WAF的网络攻击者溯源方法)获取用户操作习惯信息的方法的步骤。
本实施例提供的云WAF的网络攻击者溯源装置可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器41可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器41可以采用数字信号处理器(Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列(Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器41也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器(CentralProcessing Unit,CPU);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器41可以在集成有图像处理器(Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器41还可以包括人工智能(Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器40可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器40还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器40至少用于存储以下计算机程序401,其中,该计算机程序被处理器41加载并执行之后,能够实现前述任一实施例公开的云WAF的网络攻击者溯源方法的相关步骤。另外,存储器40所存储的资源还可以包括操作系统402和数据403等,存储方式可以是短暂存储或者永久存储。其中,操作系统402可以包括Windows、Unix、Linux等。数据403可以包括但不限于实现云WAF的网络攻击者溯源方法所涉及到的数据等。
在一些实施例中,云WAF的网络攻击者溯源装置还可包括有显示屏42、输入输出接口43、通信接口44、电源45以及通信总线46。
本领域技术人员可以理解,图4中示出的结构并不构成对云WAF的网络攻击者溯源装置的限定,可以包括比图示更多或更少的组件。
本申请实施例提供的云WAF的网络攻击者溯源装置,包括存储器和处理器,处理器在执行存储器存储的程序时,能够实现如下方法:云WAF的网络攻击者溯源方法,包括:接收请求用户的访问请求;判断所述访问请求的浏览器cookie是否携带唯一标记识别号;若是,将当前所述访问请求确定为攻击扫描请求,并根据所述唯一标记识别号记录所述攻击扫描请求;其中,所述唯一标记识别号为初次接收到所述请求用户的攻击扫描请求时标记在对应的所述请求用户的浏览器cookie上的。在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网IP的NAT设备出口的不同内网用户,实现攻击行为溯源。
最后,本申请还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述云WAF的网络攻击者溯源方法实施例中记载的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例提供的计算机可读存储介质,其上存储有计算机程序,当处理器执行该程序时,可实现以下方法:云WAF的网络攻击者溯源方法,包括:接收请求用户的访问请求;判断所述访问请求的浏览器cookie是否携带唯一标记识别号;若是,将当前所述访问请求确定为攻击扫描请求,并根据所述唯一标记识别号记录所述攻击扫描请求;其中,所述唯一标记识别号为初次接收到所述请求用户的攻击扫描请求时标记在对应的所述请求用户的浏览器cookie上的。在请求用户第一次发起攻击扫描请求时,就将唯一标记识别号标记在请求用户的浏览器cookie上,若请求用户再次发起请求,则可通过唯一标记识别号对同一请求用户的攻击行为聚合,实现攻击者溯源及攻击行为取证,可以区分出同一公网IP的NAT设备出口的不同内网用户,实现攻击行为溯源。
以上对本申请所提供的云WAF的网络攻击者溯源方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种云WAF的网络攻击者溯源方法,其特征在于,包括:
接收请求用户的访问请求;
判断所述访问请求的浏览器cookie是否携带唯一标记识别号;
若是,将当前所述访问请求确定为攻击扫描请求,并根据所述唯一标记识别号记录所述攻击扫描请求;
其中,所述唯一标记识别号为初次接收到所述请求用户的攻击扫描请求时标记在对应的所述请求用户的浏览器cookie上的。
2.根据权利要求1所述的云WAF的网络攻击者溯源方法,其特征在于,所述唯一标记识别号的设置步骤如下:
初次接收到所述请求用户的攻击扫描请求;
根据所述攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
根据所述伪造超文本标记语言页面与所述唯一标记识别号生成伪造响应并发送至所述请求用户;
当所述请求用户渲染所述伪造超文本标记语言页面时,所述唯一标记识别号植入到所述请求用户的浏览器cookie。
3.根据权利要求2所述的云WAF的网络攻击者溯源方法,其特征在于,所述初次接收到请求用户的攻击扫描请求,包括:
接收到所述请求用户的访问请求;
判断所述访问请求的浏览器cookie是否携带唯一标记识别号;
若不携带,判断所述访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则为初次接收到当前所述请求用户的攻击扫描请求。
4.根据权利要求3所述的云WAF的网络攻击者溯源方法,其特征在于,所述非站点正常业务敏感特征包括:敏感路径匹配特征、敏感文件匹配特征。
5.根据权利要求1所述的云WAF的网络攻击者溯源方法,其特征在于,若判断所述访问请求的浏览器cookie携带唯一标记识别号,则还包括:
判断是否开启恶意终端封杀开关;
若是,则拦截所述访问请求;
若否,则根据预设防护规则进行Web防护。
6.根据权利要求1所述的云WAF的网络攻击者溯源方法,其特征在于,所述根据所述唯一标记识别号记录所述攻击扫描请求,包括:
基于所述唯一标记识别号,将所述攻击扫描请求记录至对应的攻击行为日志与拦截日志;
根据所述攻击行为日志、所述拦截日志构建攻击行为图像。
7.根据权利要求1所述的云WAF的网络攻击者溯源方法,其特征在于,若判断所述访问请求的浏览器cookie不携带唯一标记识别号,则还包括:
判断所述访问请求是否匹配到非站点正常业务敏感特征;
若匹配,则所述访问请求确认为攻击扫描请求;
根据所述攻击扫描请求生成唯一标记识别号与伪造超文本标记语言页面;
根据所述伪造超文本标记语言页面与所述唯一标记识别号生成伪造响应并发送至所述请求用户;
当所述请求用户渲染所述伪造超文本标记语言页面时,判断所述浏览器cookie是否已存在其他的所述唯一标记识别号;
若存在,则刷新老化时间;
若不存在,则将携带的所述唯一标记识别号植入到所述请求用户的浏览器cookie。
8.一种云WAF的网络攻击者溯源装置,其特征在于,包括:
接收模块,用于接收请求用户的访问请求;
判断模块,用于判断所述访问请求的浏览器cookie是否携带唯一标记识别号;若是,触发标记溯源模块;
所述标记溯源模块,用于将当前所述访问请求确定为攻击扫描请求,并根据所述唯一标记识别号记录所述攻击扫描请求;
其中,所述唯一标记识别号为初次接收到所述请求用户的攻击扫描请求时标记在对应的所述请求用户的浏览器cookie上的。
9.一种云WAF的网络攻击者溯源装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的云WAF的网络攻击者溯源方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的云WAF的网络攻击者溯源方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311455702.4A CN117424741A (zh) | 2023-11-02 | 2023-11-02 | 一种云waf的网络攻击者溯源方法、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311455702.4A CN117424741A (zh) | 2023-11-02 | 2023-11-02 | 一种云waf的网络攻击者溯源方法、装置及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117424741A true CN117424741A (zh) | 2024-01-19 |
Family
ID=89522466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311455702.4A Pending CN117424741A (zh) | 2023-11-02 | 2023-11-02 | 一种云waf的网络攻击者溯源方法、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117424741A (zh) |
-
2023
- 2023-11-02 CN CN202311455702.4A patent/CN117424741A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102046789B1 (ko) | 웹 어플리케이션에 대한 딥러닝 기반의 침입탐지 방법, 시스템 및 컴퓨터 프로그램 | |
| da Silva et al. | Heuristic-based strategy for Phishing prediction: A survey of URL-based approach | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| US10248782B2 (en) | Systems and methods for access control to web applications and identification of web browsers | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| CA2729760C (en) | A system and method of data cognition incorporating autonomous security protection | |
| US7690035B2 (en) | System and method for preventing fraud of certification information, and recording medium storing program for preventing fraud of certification information | |
| US8949988B2 (en) | Methods for proactively securing a web application and apparatuses thereof | |
| US8429751B2 (en) | Method and apparatus for phishing and leeching vulnerability detection | |
| US8024804B2 (en) | Correlation engine for detecting network attacks and detection method | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| US20090100518A1 (en) | System and method for detecting security defects in applications | |
| Akiyama et al. | HoneyCirculator: distributing credential honeytoken for introspection of web-based attack cycle | |
| US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
| CN112165488A (zh) | 一种风险评估方法、装置、设备及可读存储介质 | |
| CN109361574B (zh) | 基于JavaScript脚本的NAT检测方法、系统、介质和设备 | |
| CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Wedman et al. | An analytical study of web application session management mechanisms and HTTP session hijacking attacks | |
| Thangavel et al. | Review on machine and deep learning applications for cyber security | |
| El Moussaid et al. | Web application attacks detection: A survey and classification | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| Li | An empirical analysis on threat intelligence: Data characteristics and real-world uses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |