CN117955690A - 一种蜜庭防御方法、系统、装置及存储介质 - Google Patents
一种蜜庭防御方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN117955690A CN117955690A CN202311787342.8A CN202311787342A CN117955690A CN 117955690 A CN117955690 A CN 117955690A CN 202311787342 A CN202311787342 A CN 202311787342A CN 117955690 A CN117955690 A CN 117955690A
- Authority
- CN
- China
- Prior art keywords
- module
- information
- reputation
- source
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 235000012907 honey Nutrition 0.000 title claims abstract description 28
- 230000007123 defense Effects 0.000 title claims description 14
- 230000006399 behavior Effects 0.000 claims description 40
- 238000005516 engineering process Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种蜜庭防御方法、系统、装置及存储介质,方法包括:反向代理转发模块实时获取访问蜜庭的流量,根据流量获取流量中的源IP信息,安全模块根据源IP信息、流量和生成规则生成蜜庭安全日志数据,第三方信誉模块根据流量和蜜庭安全日志数据确定流量的IP信誉值,反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径。通过增加安全模块来防止安全入侵,第三方信誉模块通过源IP信息和蜜庭安全日志数据实现对IP意图的判断和行为分析,然后返回IP信誉值给反向代理转发模块,反向代理转发模块将信誉值低的恶意流量转发至蜜罐系统,从而提高网络安全性,可广泛应用于网络安全技术领域。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种蜜庭防御方法、系统、装置及存储介质。
背景技术
随着互联网的迅速发展,网络安全威胁日益增加。攻击者可以利用漏洞、恶意代码和各种攻击手段对后端服务器和网络应用程序进行攻击。为了解决这些安全威胁,反向代理技术应运而生。反向代理技术在网络安全防护中发挥着重要的作用,它是一种网络服务,充当服务器和客户端之间的中间人,可以隐藏真实服务器的信息。
传统的基于反向代理的网络安全防护方法通常会使用IP黑名单来限制访问和阻断恶意流量。然而,仅依靠IP黑名单存在一定的局限性。首先,黑名单可能无法及时更新,无法实时应对新的攻击源和恶意IP地址,攻击者可以轻易更改其来源IP地址或使用代理服务器隐藏真实IP,从而绕过基于IP黑名单的防护。其次,使用IP黑名单的手段拦截或封杀IP地址,无法对访问者进行准确分析,造成拦截或封堵结果不准确,缺乏对IP恶意程度的判断,再者,传统反向代理技术主要关注流量的分发和转发,将流量转发到后端服务器,缺乏对恶意流量的引导和处理能力。
发明内容
有鉴于此,本发明实施例的目的是提供一种蜜庭防御方法、系统、装置及存储介质,能够更加准确的对访问者进行分析和拦截,并对恶意流量进行引导和处理。
第一方面,本发明实施例提供了一种蜜庭防御方法。该方法应用于反向代理转发模块端,所述反向代理转发模块连接有安全模块、第三方信誉模块和蜜罐系统,所述方法包括:
所述反向代理转发模块实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;
以使所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;
以使所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;
以使所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;
所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
可选地,反向代理转发模块包括Nginx反向代理服务器,所述实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息,具体包括:
所述Nginx反向代理服务器实时接收网卡中的流量;
所述Nginx反向代理服务器解析所述流量中的源IP信息。
可选地,所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,具体包括:
所述安全模块实时接收所述流量和所述源IP信息;
所述安全模块对所述流量进行实时检测并记录所述流量的安全事件;
所述安全模块根据预设的日志生成规则、所述安全事件和所述源IP信息生成蜜庭安全日志数据。
可选地,所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图,具体包括:
所述第三方信誉模块根据所述源IP信息确定IP地址;
所述第三方信誉模块根据蜜庭安全日志数据记录的触发信息和所述IP地址对所述流量的行为进行检测;
所述第三方信誉模块根据蜜庭安全日志数据的历史数据信息和当前数据信息分析所述流量的意图。
可选地,所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值,具体包括:
所述第三方信誉模块将所述流量的所述源IP信息、所述行为和所述意图发送至公开信誉库;
所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值。
可选地,所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值之后,具体包括:
所述安全模块根据接收到的所述IP信誉值确定信誉查询是否成功;
若所述IP信誉值不在预设分数范围内,则继续将所述源IP信息和所述蜜庭安全日志数据发送至所述第三方信誉模块;
若所述IP信誉值在预设分数范围内,则将所述IP信誉值发送至所述反向代理转发模块。
可选地,所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,具体包括:
所述反向代理转发模块接收所述第三方信誉模块返回的所述IP信誉值;
将所述IP信誉值与所述分数阈值进行比对;
将所述IP信誉值大于或等于所述分数阈值的所述流量转发至所述真实业务转发路径;
将所述IP信誉值小于所述分数阈值的所述流量通过所述蜜罐转发路径转发至所述蜜罐系统。。
第二方面,本发明实施例提供了一种蜜庭防御系统,包括:
反向代理转发模块、安全模块、第三方信誉模块和蜜罐系统,所述蜜罐系统与正常业务并联部署,将恶意流量引导至蜜罐系统,将正常流量引导至正常业务;
所述反向代理转发模块,用于实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;
所述安全模块,用于根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;
所述第三方信誉模块,用于根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;
所述第三方信誉模块,用于根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;
反向代理转发模块,用于根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
第三方面,本发明实施例提供了一种蜜庭防御装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如上所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,其中存储有处理器可执行的程序,所述处理器可执行的程序在由处理器执行时用于执行如上所述的方法。
实施本发明实施例包括以下有益效果:本发明实施例提供一种蜜庭防御方法,包括:所述反向代理转发模块实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;以使所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;以使所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;以使所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。通过增加安全模块来防止安全入侵,第三方信誉模块通过源IP信息和安全日志数据实现对IP意图的判断和行为分析,然后返回IP信誉值给反向代理转发模块,反向代理转发模块将信誉值低的恶意流量转发至蜜罐系统,从而提高网络安全性。
附图说明
图1是本发明实施例提供的一种蜜庭防御方法的步骤流程示意图;
图2是本发明实施例提供的反向代理转发模块的步骤流程示意图;
图3是本发明实施例提供的安全模块的步骤流程示意图;
图4是本发明实施例提供的第三方信誉模块的步骤流程示意图;
图5是本发明实施例提供的一种蜜庭防御系统的结构框图;
图6是本发明实施例提供的一种蜜庭防御装置的结构框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,涉及到方位描述,例如上、下、前、后、左、右等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,若干的含义是一个或者多个,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,除非另有明确的限定,设置、安装、连接等词语应做广义理解,所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
如图1所示,本发明实施例提供了一种蜜庭防御方法,其包括的步骤如下所示。
S100、所述反向代理转发模块实时获取流量,根据所述流量获取所述流量中的源IP信息。
其中,蜜庭是一种用于攻击观测的诱捕系统。作为安全前置代理部署在被保护系统之前,分析观测针对被保护系统的攻击,并进行有效判断和处置。
具体的,反向代理转发模块实时接收并解析访问蜜庭的流量,接着将流量的源IP发送给安全模块。反向代理转发模块的反向代理服务器作为前端服务器与外部网络进行通信,客户端只能与反向代理转发模块进行交互,无法直接访问到真实服务器的IP地址和其他敏感信息。通过隐藏机制有效地防止了攻击者直接针对服务器进行恶意攻击。反向代理服务器可以限制请求速率,以控制对后端服务器的请求频率,这种限制可以防止恶意用户或自动化攻击者对服务器发起过多的请求,从而保护服务器的性能和可用性。通过配置请求速率限制规则,反向代理可以确保只有在合理范围内的请求才能通过。反向代理服务器可以将请求分发给多个后端服务器,通过负载均衡的方式提高系统的性能和可靠性,并避免单点故障。反向代理服务器可以缓存静态内容,减轻后端服务器的负载,并提供更快的响应时间,改善用户体验。反向代理服务器可以提供SSL(Secure Socket Layer,安全套接层)/TLS(安全传输层协议)加密,保护客户端与服务器之间的通信安全,防止敏感数据被窃取或篡改。
可选地,所述实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息,具体包括:
S110、所述Nginx反向代理服务器实时接收网卡中的流量;
S120、所述Nginx反向代理服务器解析所述流量中的源IP信息。。
具体的,参照图2,Nginx是一款自由的、开源的、高性能的Web服务器和反向代理服务器。而本发明的反向代理转发模块是一个基于Nginx的反向代理服务模块,首先提前在Nginx配置文件中配置好代理转发的路径,然后Nginx实时接收并解析网卡中的流量,将流量中的源IP信息发送给安全模块进行处理。
S200、以使所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则。
具体的,参照3,安全模块实时接收反向代理转发模块发送的流量源IP信息,根据源IP信息及蜜庭安全日志数据向第三方信誉模块查询IP信誉值。蜜庭安全日志数据根据预设的生成规则生成。将源IP信息和流量发送至安全模块后,安全模块便能根据预设的生成规则生成安全日志数据,进而向第三方信誉模块查询流量的IP信誉值。
可选地,所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,具体包括:
S210、所述安全模块实时接收所述流量和所述源IP信息;
S220、所述安全模块对所述流量进行实时检测并记录所述流量的安全事件;
S230、所述安全模块根据预设的日志生成规则、所述安全事件和所述源IP信息生成蜜庭安全日志数据。
具体的,安全模块包括Web应用防火墙和入侵检测系统进行实时接收和检测流量,在进行流量检测的同时,安全模块会根据提前配置的日志记录规则生成格式化的蜜庭安全日志数据来记录重要的事件和信息。安全模块在初始化时,会配置安全防护规则及安全日志的生成规则、存储路径;接收反向代理转发模块发送的流量信息生成蜜庭安全日志数据后,发送源IP信息及蜜庭安全日志数据给第三方信誉模块以查询IP信誉值。蜜庭安全日志数据包括以下内容:时间戳:记录事件发生的精确时间;源IP地址:标识发起请求的客户端的IP地址;目标IP地址:标识请求的目标服务器的IP地址;请求信息:记录请求的URL路径、HTTP方法、协议版本等相关信息;安全事件:描述检测到的安全事件、攻击类型、触发的规则等详细信息;其他附加信息:包括用户代理、来源端口、响应码、响应时间等。
S300、以使所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图。
具体的,第三方信誉模块接收安全模块发送的源IP信息及蜜庭安全日志数据后,通过蜜庭安全日志数据分析出流量的行为和意图,进而通过API接口向第三方信誉工具发送IP地址、行为和意图,以查询源IP信息的信誉分数,并将查询结果即源IP的信誉分数分别发送给安全模块和反向代理服务模块。
可选地,所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图,具体包括:
S310、所述第三方信誉模块根据所述源IP信息确定IP地址;
S320、所述第三方信誉模块根据蜜庭安全日志数据记录的触发信息和所述IP地址对所述流量的行为进行检测;
S330、所述第三方信誉模块根据蜜庭安全日志数据的历史数据信息和当前数据信息分析所述流量的意图。
参照图4,具体的,将第三方信誉模块进行初始化,并配置第三方信誉工具的API(Application Programming Interface,应用程序编程接口)接口。第三方信誉模块接收安全模块发送的源IP信息及蜜庭安全日志数据。通过API接口向第三方信誉工具发送IP地址和蜜庭安全日志数据;第三方信誉工具通过传入的源IP信息和蜜庭安全日志数据,首先进行源IP信息进行身份识别,即通过查询公开IP地址数据库来确定源IP信息的IP地址是否与已知的恶意活动相关联,接着通过蜜庭安全日志数据中所报告的安全事件和触发规则的详细信息对访问者的行为进行评估,同时结合蜜庭安全日志数据的历史数据信息及当前数据信息,对访问者的意图进行更深入的推断和分析。
S400、以使所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值。
具体的,第三方信誉模块通过API接口向第三方信誉工具发送源IP信息的IP地址以及蜜庭安全日志数据分析出来的流量的行为和意图,以查询IP地址的信誉分数,并将查询结果即源IP的信誉值分别发送给安全模块和反向代理服务模块。
可选地,所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值,具体包括:
S410、所述第三方信誉模块将所述流量的所述源IP信息、所述行为和所述意图发送至公开信誉库;
S420、所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值。
具体的,参照图4,第三方信誉工具将流量的IP地址、行为和意图发送给公开IP信誉库以查询IP信誉值;第三方信誉工具接受公开IP信誉库返回的IP信誉值,并通过第三方信誉模块最终将查询结果即源IP的信誉分数分别发送给安全模块和反向代理服务模块。
可选地,所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值之后,具体包括:
S430、所述安全模块根据接收到的所述IP信誉值确定信誉查询是否成功;
S440、若所述IP信誉值不在预设分数范围内,则继续将所述源IP信息和所述安全日志数据发送至所述第三方信誉模块;
S450、若所述IP信誉值在预设分数范围内,则将所述IP信誉值发送至所述反向代理转发模块。
具体的,安全模块根据第三方信誉模块是否返回IP信誉值以判断IP信誉值是否查询成功,如果查询成功则停止。如果查询失败,则循环重复向第三方信誉模块查询的步骤。IP信誉值不在预设分数范围(0-100)内,则继续将源IP信息和蜜庭安全日志数据发送至第三方信誉模块;若IP信誉值在预设分数范围(0-100)内,则将IP信誉值发送至反向代理转发模块。
S500、可选地,所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
具体的,参照图2,反向代理转发模块接受第三方信誉模块返回的IP信誉值,反向代理转发模块根据IP信誉值和预设的分数阈值进行比较,进而根据将IP信誉值与分数阈值的大小关系将流量的发送至真实业务转发路径和蜜罐转发路径。
可选地,所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,具体包括:
S510、所述反向代理转发模块接收所述第三方信誉模块返回的所述IP信誉值;
S520、将所述IP信誉值与所述分数阈值进行比对;
S530、将所述IP信誉值大于或等于所述分数阈值的所述流量转发至所述真实业务转发路径;
S540、将所述IP信誉值小于所述分数阈值的所述流量通过所述蜜罐转发路径转发至所述蜜罐系统。
具体的,反向代理转发模块接收第三方信誉模块返回的IP信誉值,根据接收的IP信誉值判断流量是否是恶意流量。判断IP信誉值是否小于分数阈值60,具体分数阈值可根据需求设定;如果IP信誉值小于分数阈值60,则表示该流量是恶意流量,将流量通过蜜罐转发路径转发至蜜罐系统。如果IP信誉值大于等于分数阈值60,则表示该流量是正常流量,不修改流量的数据包,直接转发到真实业务。
实施本发明实施例包括以下有益效果:本发明实施例提供一种蜜庭防御方法,包括:所述反向代理转发模块实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;以使所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;以使所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;以使所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。通过增加安全模块来防止安全入侵,第三方信誉模块通过源IP信息和蜜庭安全日志数据实现对IP意图的判断和行为分析,然后返回IP信誉值给反向代理转发模块,反向代理转发模块将信誉值低的恶意流量转发至蜜罐系统,从而提高网络安全性。本发明通过融合Web应用防火墙和入侵检测系统,提供了更深层次的安全防护。这些安全设备可以执行高级的安全防护功能,如深度包检测、攻击防护和异常行为检测等,弥补了传统反向代理技术在高级安全防护方面的不足。本发明利用反向代理服务器和安全设备的日志信息,对访问者的身份、行为和意图进行分析,实现对IP恶意程度的准确判断,以此来识别恶意流量。本发明将正常业务及欺骗诱捕蜜罐设备以串联方式部署,灵活处理恶意流量和正常流量,在保证不干扰正常业务访问前提下将攻击流量引导到安全环境中进行分析和隔离,保护企业的真实资产。
如图5所示,本发明实施例还提供了一种蜜庭防御系统,蜜庭防御系统与正常业务串联部署,包括:
反向代理转发模块、安全模块、第三方信誉模块和蜜罐系统,所述蜜罐系统与正常业务并联部署,将恶意流量引导至蜜罐系统,将正常流量引导至正常业务;
所述反向代理转发模块,用于实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;
所述安全模块,用于根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;
所述第三方信誉模块,用于根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;
所述第三方信誉模块,用于根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;
反向代理转发模块,用于根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
可见,上述方法实施例中的内容均适用于本系统实施例中,本系统实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
如图6所示,本发明实施例还提供了一种蜜庭防御装置,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现上述方法实施例所述的方法步骤。
可见,上述方法实施例中的内容均适用于本装置实施例中,本装置实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
此外,本申请实施例还公开了一种计算机程序产品或计算机程序,计算机程序产品或计算机程序存储在计算机可读存介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机程序,处理器执行该计算机程序,使得该计算机设备执行上述的方法。同样地,上述方法实施例中的内容均适用于本存储介质实施例中,本存储介质实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
可以理解的是,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信息处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信息中的其他数据,并且可包括任何信息递送介质。
上面结合附图对本发明实施例作了详细说明,但是本发明不限于上述实施例,在技术领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下作出各种变化。
Claims (10)
1.一种蜜庭防御方法,其特征在于,应用于反向代理转发模块端,所述反向代理转发模块连接有安全模块、第三方信誉模块和蜜罐系统,所述方法包括:
所述反向代理转发模块实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息;
以使所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;
以使所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;
以使所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;
所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
2.根据权利要求1所述的方法,其特征在于,反向代理转发模块包括Nginx反向代理服务器,所述实时获取访问蜜庭的流量,根据所述流量获取所述流量中的源IP信息,具体包括:
所述Nginx反向代理服务器实时接收网卡中的流量;
所述Nginx反向代理服务器解析所述流量中的源IP信息。
3.根据权利要求1所述的方法,其特征在于,所述安全模块根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,具体包括:
所述安全模块实时接收所述流量和所述源IP信息;
所述安全模块对所述流量进行实时检测并记录所述流量的安全事件;
所述安全模块根据预设的日志生成规则、所述安全事件和所述源IP信息生成蜜庭安全日志数据。
4.根据权利要求1所述的方法,其特征在于,所述第三方信誉模块根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图,具体包括:
所述第三方信誉模块根据所述源IP信息确定IP地址;
所述第三方信誉模块根据蜜庭安全日志数据记录的触发信息和所述IP地址对所述流量的行为进行检测;
所述第三方信誉模块根据蜜庭安全日志数据的历史数据信息和当前数据信息分析所述流量的意图。
5.根据权利要求1述的方法,其特征在于,所述第三方信誉模块根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值,具体包括:
所述第三方信誉模块将所述流量的所述源IP信息、所述行为和所述意图发送至公开信誉库;所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值。
6.根据权利要求5所述的方法,其特征在于,所述公开信誉库根据所述源IP信息的信誉分数、所述行为和所述意图确定所述流量的IP信誉值之后,具体包括:
所述安全模块根据接收到的所述IP信誉值确定信誉查询是否成功;
若所述IP信誉值不在预设分数范围内,则继续将所述源IP信息和所述蜜庭安全日志数据发送至所述第三方信誉模块;
若所述IP信誉值在预设分数范围内,则将所述IP信誉值发送至所述反向代理转发模块。
7.根据权利要求1所述的方法,其特征在于,所述反向代理转发模块根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,具体包括:
所述反向代理转发模块接收所述第三方信誉模块返回的所述IP信誉值;
将所述IP信誉值与所述分数阈值进行比对;
将所述IP信誉值大于或等于所述分数阈值的所述流量转发至所述真实业务转发路径;
将所述IP信誉值小于所述分数阈值的所述流量通过所述蜜罐转发路径转发至所述蜜罐系统。
8.一种蜜庭防御系统,其特征在于,包括:
反向代理转发模块、安全模块、第三方信誉模块和蜜罐系统,所述蜜罐系统与正常业务并联部署,将恶意流量引导至蜜罐系统,将正常流量引导至正常业务;
所述反向代理转发模块,用于实时获取流量,根据所述流量获取所述流量中的源IP信息;
所述安全模块,用于根据所述源IP信息、所述流量和生成规则生成蜜庭安全日志数据,其中,所述生成规则表征通过所述源IP信息和所述流量生成所述蜜庭安全日志数据的规则;
所述第三方信誉模块,用于根据所述源IP信息和所述蜜庭安全日志数据确定所述流量的行为和意图;
所述第三方信誉模块,用于根据所述流量的所述源IP信息、所述行为和所述意图确定所述流量的IP信誉值;
反向代理转发模块,用于根据所述IP信誉值和预设的分数阈值确定所述流量的转发路径,其中,所述转发路径包括真实业务转发路径和蜜罐转发路径,所述蜜罐转发路径连接所述蜜罐系统。
9.一种蜜庭防御装置,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其中存储有处理器可执行的程序,其特征在于,所述处理器可执行的程序在由处理器执行时用于执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311787342.8A CN117955690A (zh) | 2023-12-22 | 2023-12-22 | 一种蜜庭防御方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311787342.8A CN117955690A (zh) | 2023-12-22 | 2023-12-22 | 一种蜜庭防御方法、系统、装置及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117955690A true CN117955690A (zh) | 2024-04-30 |
Family
ID=90795644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311787342.8A Pending CN117955690A (zh) | 2023-12-22 | 2023-12-22 | 一种蜜庭防御方法、系统、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117955690A (zh) |
-
2023
- 2023-12-22 CN CN202311787342.8A patent/CN117955690A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US11405419B2 (en) | Preventing advanced persistent threat attack | |
US11405359B2 (en) | Network firewall for mitigating against persistent low volume attacks | |
US10334083B2 (en) | Systems and methods for malicious code detection | |
US9462009B1 (en) | Detecting risky domains | |
CN105939326B (zh) | 处理报文的方法及装置 | |
US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
US8893278B1 (en) | Detecting malware communication on an infected computing device | |
KR101038387B1 (ko) | 원치 않는 트래픽 검출 방법 및 장치 | |
CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
KR20230004222A (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
CN106209907B (zh) | 一种检测恶意攻击的方法及装置 | |
US20150026806A1 (en) | Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack | |
US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
US20200213856A1 (en) | Method and a device for security monitoring of a wifi network | |
CN102098285A (zh) | 一种防范钓鱼攻击的方法及装置 | |
US10154052B1 (en) | Tracer cookies to detect web session compromise by insiders | |
CN113992442B (zh) | 一种木马连通成功检测方法及装置 | |
CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
CN117955690A (zh) | 一种蜜庭防御方法、系统、装置及存储介质 | |
US9781158B1 (en) | Integrated paronymous network address detection | |
CN114726579A (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |