CN117811836A - 一种流量转发与检测方法及装置 - Google Patents
一种流量转发与检测方法及装置 Download PDFInfo
- Publication number
- CN117811836A CN117811836A CN202410223014.3A CN202410223014A CN117811836A CN 117811836 A CN117811836 A CN 117811836A CN 202410223014 A CN202410223014 A CN 202410223014A CN 117811836 A CN117811836 A CN 117811836A
- Authority
- CN
- China
- Prior art keywords
- detection program
- new
- response
- http request
- middleware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 21
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 238000004458 analytical method Methods 0.000 claims abstract description 17
- 230000004044 response Effects 0.000 claims description 149
- 238000005206 flow analysis Methods 0.000 claims description 18
- 230000006399 behavior Effects 0.000 claims description 13
- 238000010276 construction Methods 0.000 claims description 6
- 238000004088 simulation Methods 0.000 abstract description 13
- 235000012907 honey Nutrition 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 description 2
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种流量转发与检测方法及装置,本申请实施例将蜜罐内的流量检测,分析,溯源功能和蜜罐内的仿真服务进行隔离,让制作蜜罐者更加关注于仿真业务,不再需要关注具体的流量,检测等功能实现,通过插件化的方式增加检测能力和反制能力,可以集成自研插件,当攻击者访问蜜罐时可以通过自研的插件获取攻击者更多的信息。
Description
技术领域
本申请各实施例网络安全技术领域,尤其涉及一种流量转发与检测方法及装置。
背景技术
蜜罐是基于欺骗伪装的技术理念,是一种以模拟真实业务系统的形式,引诱、监控、分析、溯源攻击行为的网络安全防护技术。其中,非常重要的是需要对蜜罐中的流量进行监控分析,溯源和反制。常规的方式是将某个端口暴露,将流量转发到蜜罐内的仿真服务,并进行流量分析,但会存在如下缺点:转发时每次请求都会创建新的TCP连接;溯源,流量分析等功能与蜜罐服务耦合,不方便添加自定义的插件实现额外的功能。
发明内容
为了解决或缓解现有技术中的问题。本申请实施例提供了一种流量转发与检测方法及装置,本申请实施例通过检测程序与蜜罐配合实现对蜜罐内流量的转发分析,溯源和反制,且方便添加自定义的插件实现额外的功能。
第一方面,本申请实施例提供了一种流量转发与检测方法,包括:
通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
所述检测程序将所述原HTTP响应体返回至所述攻击者的浏览器。
作为本申请一优选实施例,所述通过检测程序获取攻击者通过浏览器发送的原HTTP请求体之前,包括:
根据配置文件启动所述检测程序的中间件的相应功能。
作为本申请一优选实施例,所述蜜罐与所述检测程序一一对应设置。
作为本申请一优选实施例,所述方法还包括:执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析得到的第一分析结果和对所述新HTTP响应体进行进行第二次流量分析得到的第二分析结果,均上报至服务端。
作为本申请一优选实施例,所述通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体,包括:
所述检测程序的中间件读取所述原HTTP请求体中的请求地址、请求头和请求正文放入第一数据结构中,形成所述初级HTTP请求体;
所述检测程序的中间件在所述初级HTTP请求体中的请求地址、请求头和请求正文基础上增加第一新字段形成新HTTP请求体。
作为本申请一优选实施例,所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体,包括:
所述检测程序的中间件读取所述原HTTP响应体中的响应地址、响应头和响应正文放入第二数据结构中,形成所述初级HTTP响应体;
所述检测程序的中间件在所述初级HTTP响应体中的响应地址、响应头和响应正文基础上增加第二新字段形成新HTTP响应体。
作为本申请一优选实施例,所述第一新字段为用于将所述新HTTP请求体发送至所述蜜罐的字段及对所述新HTTP请求体进行解码的字段;
所述第二新字段为是否将所述新HTTP响应体发送至所述攻击者客户端的字段及对所述新HTTP响应体进行解码的字段。
作为本申请一优选实施例,将所述第一数据结构和第二数据结构分别进行复制后进行存储;
作为本申请一优选实施例,所述执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为,包括:
所述检测程序的中间件提取所述新HTTP请求体中的请求地址、请求报头和请求正文;
所述检测程序的中间件将所述新HTTP请求体中的请求地址、请求报头和请求正文中的具体内容分别与恶意攻击行为数据库进行比较匹配以确定所述新HTTP请求体中是否包含恶意攻击行为;
所述执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,包括:
所述检测程序中的中间件提取所述新HTTP响应体中的响应地址、响应报头和响应正文;
所述检测程序中的中间件将所述新HTTP响应体中的响应地址、响应报头和响应正文中的具体内容与恶意攻击行为数据库进行比较匹配以确定所述新HTTP响应体中是否包含恶意攻击行为。
与现有技术相比,本申请实施例提供了一种流量转发与检测方法,本申请实施例将蜜罐内的流量检测,分析,溯源功能和蜜罐内的仿真服务隔离开,让制作蜜罐者更加关注于仿真业务,不再需要关注具体的流量,检测等功能实现,通过插件化的方式增加检测能力和反制能力,可以集成自研插件,当攻击者访问蜜罐时可以通过自研的插件获取攻击者更多的信息。
第二方面,本申请实施例还提供了一种流量转发与检测装置,所述装置包括:
发送模块,用于通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
构造模块,用于通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
执行模块,用于执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
还原模块,用于所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
发送模块,还用于所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
构造模块,还用于所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
执行模块,还用于执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
还原模块,还用于所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
返回模块,用于所述检测程序将所述原HTTP响应体返回至所述攻击者的浏览器。
与现有技术相比,本申请实施例提供的一种流量转发与检测装置的有益效果与第一方面提供的技术方案的有益效果相同。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1是本申请实施例提供的一种流量转发与检测方法流程示意图;
图2是本申请实施例提供的一种流量转发与检测装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
第一方面,如图1所示,本申请实施例提供了一种流量转发与检测方法,包括:
步骤S01,通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
需要说明的是,首先攻击者会通过自身的浏览器发送访问目标应用的原HTTP请求,因为在本申请中将蜜罐内的仿真服务和蜜罐内的流量检测、分析及溯源功能进行分开,也就是说蜜罐内的流量、分析及溯源功能脱离蜜罐内的仿真服务,在本申请中具体通过设置检测程序代替蜜罐内的流量、分析及溯源功能置于蜜罐之外,蜜罐只负责仿真服务,这样可以让制作蜜罐者更加关注于仿真业务,不再需要关注具体的流量,检测等功能实现,可以在检测程序中集成自研插件,当攻击者访问蜜罐时可以通过自研的插件获取攻击者更多的信息。
步骤S02,通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
步骤S02具体包括:
所述检测程序的中间件读取所述原HTTP请求体中的请求地址、请求头和请求正文放入第一数据结构中,形成所述初级HTTP请求体;
所述检测程序的中间件在所述初级HTTP请求体中的请求地址、请求头和请求正文基础上增加第一新字段形成新HTTP请求体。
本申请实施例中,当检测程序接收到攻击者通过浏览器发送的原HTTP请求后,需要对原HTTP请求进行处理,具体的处理过程为:首先通过解码方式通过检测程序的中间件原HTTP请求体中的请求地址、请求头和请求正文放入第一数据结构中,进而得到初级HTTP请求体,在初级HTTP请求体中包含原HTTP请求体,同时在所述初级HTTP请求体中的请求地址、请求头和请求正文基础上增加第一新字段形成新HTTP请求体,所述第一新字段为用于将所述新HTTP请求体发送至所述蜜罐的字段及对所述新HTTP请求体进行解码的字段;通过本申请实施例,可以将初级HTTP请求体与新增的第一新字段一起构造出新HTTP请求体。同时本申请在流量处理中支持通过自定义插件的方式来对流量做更多的自定义检测功能,方便通过插件方式集成蜜罐中常见的溯源,反制等功能,目前已经自研了溯源插件,git反制插件,指纹插件,webshell插件,hostname插件,同时开发者也可以根据定义的统一插件接口开发自己的自定义插件,从而扩展更多自定义功能。
在本申请实施例中,通过构建第一数据结构,且通过将所述初级HTTP请求体与第一新字段进行组合构成新HTTP请求体,可以方便在不改变原HTTP请求体的基础上,增加新字段对原HTTP请求体进行流量分析。
在本申请实施例中,在将所述新HTTP请求体进行还原为原HTTP请求体之前,需要将所述第一数据结构进行复制后进行存储,这样可以方便后续对新HTTP请求体进行其它分析。
另外,在本申请实施例中,所述蜜罐与所述检测程序一一对应设置,也就是说,蜜罐需要和检测程序进行配合使用才能对流量进行检测,另外,需要说明的是,一般在具体使用时会开发各种类型的蜜罐,为了方便制作新蜜罐时可以非常方便的集成已经开发的流量检测功能,将关于检测功能封装成为一个基础底座功能,也就是docker 中的基础镜像。
步骤S03,执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
步骤S03具体包括:
所述检测程序的中间件提取所述新HTTP请求体中的请求地址、请求报头和请求正文;
所述检测程序的中间件将所述新HTTP请求体中的请求地址、请求报头和请求正文中的具体内容分别与恶意攻击行为数据库进行比较匹配以确定所述新HTTP请求体中是否包含恶意攻击行为。
需要说明的,在具体使用检测程序对新HTTP请求体进行检测是否存在攻击行为时,需要先通过检测程序的中间件将所述新HTTP请求体中的请求地址、请求报头和请求正文中的具体内容,将所述具体内容与恶意攻击行为数据库进行比较匹配以确定所述新HTTP请求体中是否包含恶意攻击行为,所述检测程序将对新HTTP请求体的检测结果发送至服务端,如果所述新HTTP请求体中包含恶意攻击行为,则发出报警。
步骤S04,所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
需要说明的是,将所述新HTTP请求体通过检测程序分析后,因为攻击者通过浏览器发出的是原HTTP请求体,所以需要通过原HTTP请求体访问蜜罐仿真服务;
将新HTTP请求体还原为所述原HTTP请求体具体为:对所述新HTTP请求体进行解码,取出所述新HTTP请求体中的原HTTP请求体访问蜜罐。
步骤S05,所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
步骤S06,所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
需要说明的是,通过步骤S05原HTTP请求体访问蜜罐后的原HTTP响应体发送至检测程序再次进行攻击行为流量检测。
步骤S06和步骤S02类似,只是步骤S06对原HTTP响应体构造新HTTP响应体。
步骤S06具体包括:
所述检测程序的中间件读取所述原HTTP响应体中的响应地址、响应头和响应正文放入第二数据结构中,形成所述初级HTTP响应体;
所述检测程序的中间件在所述初级HTTP响应体中的响应地址、响应头和响应正文基础上增加第二新字段形成新HTTP响应体。
首先,通过检测程序的中间件原HTTP请求体中的请求地址、请求头和请求正文放入第二数据结构中,进而得到初级HTTP响应体,在初级HTTP响应体中包含原HTTP响应体,同时在所述初级HTTP响应体中的请求地址、请求头和请求正文基础上增加第二新字段形成新HTTP响应体,所述第二新字段为用于将所述新HTTP响应体发送至所述蜜罐的字段及对所述新HTTP响应体进行解码的字段;通过本申请实施例,可以将初级HTTP响应体与新增的第二新字段一起构造出新HTTP响应体。同时本申请在流量处理中支持通过自定义插件的方式来对流量做更多的自定义检测功能,方便通过插件方式集成蜜罐中常见的溯源,反制等功能,目前已经自研了溯源插件,git反制插件,指纹插件,webshell插件,hostname插件,同时开发者也可以根据定义的统一插件接口开发自己的自定义插件,从而扩展更多自定义功能。
步骤S07,执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
步骤S07具体包括:
所述检测程序中的中间件提取所述新HTTP响应体中的响应地址、响应报头和响应正文;
所述检测程序中的中间件将所述新HTTP响应体中的响应地址、响应报头和响应正文中的具体内容与恶意攻击行为数据库进行比较匹配以确定所述新HTTP响应体中是否包含恶意攻击行为。
需要说明的,在具体使用检测程序对新HTTP响应体进行检测是否存在攻击行为时,需要先通过检测程序的中间件将所述新HTTP响应体中的请求地址、请求报头和请求正文中的具体内容,将所述具体内容与恶意攻击行为数据库进行比较匹配以确定所述新HTTP响应体中是否包含恶意攻击行为,所述检测程序将对新HTTP响应体的检测结果发送至服务端,如果所述新HTTP响应体中包含恶意攻击行为,则发出报警。
在本申请实施例中,在将所述新HTTP响应体进行还原为原HTTP响应体之前,需要将所述第二数据结构进行复制后进行存储,这样可以方便后续对新HTTP响应体进行其它分析。
步骤S08,所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
需要说明的是,步骤S08与步骤S04类似,具体将新HTTP响应体还原为所述原HTTP响应体具体为对所述新HTTP响应体进行解码,取出所述新HTTP响应体中的原HTTP响应体访问蜜罐。
步骤S09,所述检测程序将所述原HTTP响应体返回至所述攻击者的浏览器。
本申请实施例将蜜罐内的流量检测,分析,溯源功能和蜜罐内的仿真服务隔离开,不再耦合,让制作蜜罐者更加关注于仿真业务,不再需要关注具体的流量,检测等功能实现,通过插件化的方式增加检测能力和反制能力,可以集成自研插件,当攻击者访问蜜罐时可以通过自研的插件获取攻击者更多的信息。
另外,自研中的反制插件支持Porxy, Blend, Hybrid三种模式来满足http和tcp不同类型蜜罐的流量处理。
另外,本申请还可以减少tcp连接,方便对蜜罐仿真服务的请求与响应做自定义的添加和修改。
第二方面,如图2所示,本申请实施例还提供了一种流量转发与检测装置,所述装置包括:
发送模块21,用于通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
构造模块22,用于通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
执行模块23,用于执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
还原模块24,用于所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
发送模块21,还用于所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
构造模块22,还用于所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
执行模块23,还用于执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
还原模块24,还用于所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
返回模块25,用于所述检测程序将所述原HPPT响应体返回至所述攻击者的浏览器。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种流量转发与检测方法,其特征在于,包括:
通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
所述检测程序将所述原HTTP响应体返回至所述攻击者的浏览器。
2.如权利要求1所述的一种流量转发与检测方法,其特征在于,所述通过检测程序获取攻击者通过浏览器发送的原HTTP请求体之前,包括:
根据配置文件启动所述检测程序的中间件的相应功能。
3.如权利要求1所述的一种流量转发与检测方法,其特征在于,所述蜜罐与所述检测程序一一对应设置。
4.如权利要求1所述的一种流量转发与检测方法,其特征在于,所述方法还包括:执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析得到的第一分析结果和对所述新HTTP响应体进行进行第二次流量分析得到的第二分析结果,均上报至服务端。
5.如权利要求1所述的一种流量转发与检测方法,其特征在于,所述通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体,包括:
所述检测程序的中间件读取所述原HTTP请求体中的请求地址、请求头和请求正文放入第一数据结构中,形成初级HTTP请求体;
所述检测程序的中间件在所述初级HTTP请求体中的请求地址、请求头和请求正文基础上增加第一新字段形成新HTTP请求体。
6.如权利要求5所述的一种流量转发与检测方法,其特征在于,所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体,包括:
所述检测程序的中间件读取所述原HTTP响应体中的响应地址、响应头和响应正文放入第二数据结构中,形成所述初级HTTP响应体;
所述检测程序的中间件在所述初级HTTP响应体中的响应地址、响应头和响应正文基础上增加第二新字段形成新HTTP响应体。
7.如权利要求6所述的一种流量转发与检测方法,其特征在于,所述第一新字段为用于将所述新HTTP请求体发送至所述蜜罐的字段及对所述新HTTP请求体进行解码的字段;
所述第二新字段为是否将所述新HTTP响应体发送至所述攻击者客户端的字段及对所述新HTTP响应体进行解码的字段。
8.如权利要求7所述的一种流量转发与检测方法,其特征在于,将所述第一数据结构和第二数据结构分别进行复制后进行存储。
9.如权利要求1所述的一种流量转发与检测方法,其特征在于,所述执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为,包括:
所述检测程序的中间件提取所述新HTTP请求体中的请求地址、请求报头和请求正文;
所述检测程序的中间件将所述新HTTP请求体中的请求地址正文放入第一数据结构中、请求报头和请求正文中的具体内容分别与恶意攻击行为数据库进行比较匹配以确定所述新HTTP请求体中是否包含恶意攻击行为;
所述执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,包括:
所述检测程序中的中间件提取所述新HTTP响应体中的响应地址、响应报头和响应正文;
所述检测程序中的中间件将所述新HTTP响应体中的响应地址、响应报头和响应正文中的具体内容与恶意攻击行为数据库进行比较匹配以确定所述新HTTP响应体中是否包含恶意攻击行为。
10.一种流量转发与检测装置,其特征在于,所述装置包括:
发送模块,用于通过检测程序获取攻击者通过浏览器发送的原HTTP请求体;
构造模块,用于通过检测程序的中间件根据所述原HTTP请求体构造新HTTP请求体;
执行模块,用于执行所述检测程序的中间件以便对所述新HTTP请求体进行第一次流量分析,进而确定所述新HTTP请求体中是否有恶意的攻击行为;
还原模块,用于所述检测程序将新HTTP请求体还原为所述原HTTP请求体,并将还原后的所述原HTTP请求体发送至蜜罐;
发送模块,还用于所述蜜罐对所述原HTTP请求体做出响应,并将对所述原HTTP请求体的原HTTP响应体发送至所述检测程序;
构造模块,还用于所述检测程序的中间件根据原HTTP响应体构造新HTTP响应体;
执行模块,还用于执行所述检测程序的中间件以便对所述新HTTP响应体进行第二次流量分析,进而确定所述新HTTP响应体中是否有恶意的攻击行为;
还原模块,还用于所述检测程序将所述新HTTP响应体还原为所述原HTTP响应体;
返回模块,用于所述检测程序将所述原HTTP响应体返回至所述攻击者的浏览器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410223014.3A CN117811836B (zh) | 2024-02-28 | 2024-02-28 | 一种流量转发与检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410223014.3A CN117811836B (zh) | 2024-02-28 | 2024-02-28 | 一种流量转发与检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117811836A true CN117811836A (zh) | 2024-04-02 |
CN117811836B CN117811836B (zh) | 2024-05-28 |
Family
ID=90423766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410223014.3A Active CN117811836B (zh) | 2024-02-28 | 2024-02-28 | 一种流量转发与检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117811836B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
CN116781331A (zh) * | 2023-05-31 | 2023-09-19 | 国家电网有限公司信息通信分公司 | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 |
CN117614717A (zh) * | 2023-12-01 | 2024-02-27 | 海南电网有限责任公司信息通信分公司 | 一种基于网络安全告警事件全流程处置系统及方法 |
-
2024
- 2024-02-28 CN CN202410223014.3A patent/CN117811836B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN107454109A (zh) * | 2017-09-22 | 2017-12-08 | 杭州安恒信息技术有限公司 | 一种基于http流量分析的网络窃密行为检测方法 |
EP3823241A1 (en) * | 2019-11-18 | 2021-05-19 | F5 Networks, Inc | Network application firewall |
CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
CN116781331A (zh) * | 2023-05-31 | 2023-09-19 | 国家电网有限公司信息通信分公司 | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 |
CN117614717A (zh) * | 2023-12-01 | 2024-02-27 | 海南电网有限责任公司信息通信分公司 | 一种基于网络安全告警事件全流程处置系统及方法 |
Non-Patent Citations (2)
Title |
---|
杨志飞;赵凡;: "RINEX数据结构对GAMIT基线解算和效率的影响", 测控技术, no. 08, 18 August 2013 (2013-08-18) * |
王苗苗;钱步仁;许莹莹;王雪凤;: "基于通用规则的SQL注入攻击检测与防御系统的研究", 电子设计工程, no. 05, 5 March 2017 (2017-03-05) * |
Also Published As
Publication number | Publication date |
---|---|
CN117811836B (zh) | 2024-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
US20230074151A1 (en) | Multi-representational learning models for static analysis of source code | |
CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
RU2742824C2 (ru) | Системы и способы автоматической детекции устройств | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
US20180124103A1 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN107547490A (zh) | 一种扫描器识别方法、装置及系统 | |
CN112115475A (zh) | 越权漏洞的检测方法、装置、存储介质及计算机设备 | |
CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
CN111404937A (zh) | 一种服务器漏洞的检测方法和装置 | |
CN112637235A (zh) | 一种通信方法、装置、设备及介质 | |
CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
CN108092947A (zh) | 一种对第三方应用进行身份鉴别的方法及装置 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
CN117811836B (zh) | 一种流量转发与检测方法及装置 | |
CN108737350B (zh) | 一种信息处理方法及客户端 | |
CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |