CN103440454B - 一种基于搜索引擎关键词的主动式蜜罐检测方法 - Google Patents
一种基于搜索引擎关键词的主动式蜜罐检测方法 Download PDFInfo
- Publication number
- CN103440454B CN103440454B CN201310332730.7A CN201310332730A CN103440454B CN 103440454 B CN103440454 B CN 103440454B CN 201310332730 A CN201310332730 A CN 201310332730A CN 103440454 B CN103440454 B CN 103440454B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- webpage
- engine
- malicious
- keyword
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于搜索引擎关键词的主动式蜜罐检测方法,首先利用已知的恶意搜索引擎关键词库,自动构造相应的蜜罐网页:对于针对URL路径的恶意搜索引擎关键词,利用Appache?HTTP?Server引擎的地址重写技术构造相应的蜜罐网页;对于针对网页内容的恶意搜索引擎关键词,把关键词重新输入到搜索引擎中,将返回的网页结果作为蜜罐网页。其次将蜜罐网页收录到搜索引擎中。最后根据蜜罐网页的恶意访问记录采用数据挖掘算法提取新的恶意搜索引擎关键词,并将其并入到恶意搜索引擎关键词库,重新构造新的蜜罐网页。本发明大大提升蜜罐的检测效率,弥补传统蜜罐的被动性缺点;并且动态更新蜜罐网页,以获取最新的黑客攻击漏洞信息。
Description
技术领域
本发明涉及一种主动式蜜罐检测方法,尤其涉及一种基于搜索引擎关键词的主动式蜜罐检测方法。
背景技术
黑客攻击往往是在发现了***或网络某些漏洞的基础上,针对新的漏洞总会不断产生新的攻击方法。为了测试新的漏洞和攻击方法,黑客往往要利用搜索引擎在互联网上搜索可能存在某种漏洞的网站,对其进行攻击。还有黑客针对某种漏洞,写出了某种特定的扫描和自动入侵的工具,通过搜索引擎,对互联网上可能存在这种漏洞的所有网站进行大规模的扫描和入侵。这几年,利用搜索引擎的黑客攻击已经成为了一种重要的黑客攻击手段。
蜜罐是一个包含漏洞的诱骗***,其是专门为吸引并诱骗那些黑客而设计的,通过模拟一个或多个易受攻击的主机,给黑客提供一个容易攻击的目标。由于蜜罐没有向外界提供真正有价值的服务,所以所有对蜜罐的尝试都被视为可疑。蜜罐的另一个用途是拖延攻击中对真正目标的攻击,让黑客在蜜罐上浪费时间。
蜜罐分为实***蜜罐和伪***蜜罐。实***蜜罐是真正的蜜罐,它运行着真实的***,并且带着真实可入侵的漏洞,这种漏洞属于最危险的漏洞;而且它记录下的入侵信息是最真实的。伪***蜜罐同样也是建立在真实***的基础上,它利用一些工具程序的强大模仿能力,伪造出不属于自己的漏洞。入侵这样的漏洞,只是在一个程序框架里打转。蜜罐可以最大程度防止入侵者破坏,也能模拟不存在的漏洞以迷惑黑客。
如果能根据黑客的搜索关键词模拟相应的蜜罐,部署于互联网上,并且让知名的搜索引擎搜索到,结合搜索引擎算法优化技术,将蜜罐展现给黑客,引诱黑客攻击,则可以达到主动吸引黑客攻击的目的,大大提升了蜜罐的检测效果,而且这样还可以根据每天出现的新的黑客搜索关键词不断更新蜜罐,保证蜜罐的内容与黑客的攻击手段同步的目的。
因此,本领域的技术人员致力于开发一种基于搜索引擎关键词的主动式蜜罐检测方法,以弥补传统蜜罐的被动等待的缺点,并且更好的主动引诱黑客攻击,来不断更新蜜罐的内容,使其与最新的黑客技术同步。
发明内容
有鉴于现有技术的上述缺陷,本发明所要解决的技术问题是提供一种基于搜索引擎关键词的主动式木管检测方法。
为实现上述目的,本发明提供了一种基于搜索引擎关键词的主动式蜜罐检测方法,其特征在于,包括以下步骤:
步骤(101)利用已经搜集到并被识别的恶意搜索引擎关键词库自动构造蜜罐网页;
步骤(102)通过搜索引擎排名优化技术将构造的所述蜜罐网页收录到搜索引擎,并提高所述蜜罐网页在所述搜索引擎中的排名以主动吸引黑客访问;
步骤(103)从所述蜜罐网页的访问记录中使用数据挖掘算法来提取新恶意搜索引擎关键词,并将提取到的所述新恶意搜索引擎关键词并入所述恶意搜索引擎关键词库,重新跳转回步骤(101)。
进一步地,在所述步骤(101)中,所述恶意搜索引擎关键词库包括针对URL路径的恶意搜索引擎关键词和针对网页内容的恶意搜索引擎关键词。
进一步地,对于针对URL路径的所述恶意搜索引擎关键词,所述蜜罐网页采用地址重写技术来构造。
进一步地,其中,所述地址重写技术使用ApacheHTTPServer引擎。
进一步地,对于针对网页内容的所述恶意搜索引擎关键词,在搜索引擎上再次搜索所述恶意搜索引擎关键词,将搜索出的网页做处理后作为所述蜜罐网页。
进一步地,所述搜索引擎排名优化技术包括注册高信誉域名,增加链接和优化网页内容。
进一步地,所述步骤(103)还包括区分所述网页访问记录中的正常访问和恶意攻击。
进一步地,所述蜜罐网页的访问记录分为引擎爬虫、所述正常访问和所述恶意攻击;其中所述引擎爬虫同样属于所述恶意攻击。
进一步地,在所述步骤(103)中,还将所有HTTP响应代码不为200的访问全部作为所述恶意攻击。
进一步地,所述数据挖掘算法是通过HTTPReferrer信息来提取所述新恶意搜索引擎关键词。
在本发明的较佳实施方式中,首先通过已识别的最近网络流行的恶意搜索引擎关键词库,采用两种方法构造出虚拟蜜罐网页:对于针对URL路径的恶意搜索引擎关键词,利用ApacheHTTPServer引擎采用地址重写技术构造蜜罐网页;对于针对网页内容的恶意搜索引擎关键词,在搜索引擎上再次查询这些关键词,将返回的网页做处理后作为相应的蜜罐网页。其次,通过搜索引擎排名优化技术让这些模拟出来的蜜罐网页被搜索引擎索引,并提高他们的排名,主动地吸引黑客。最后使用数据挖掘算法区分流量中不同恶意攻击和正常访问的记录,从而分析黑客最新的攻击行为的目的与步骤,并提取出新恶意搜索引擎关键词,并将新恶意搜索引擎关键词并入恶意搜索引擎关键词库,以动态更新恶意搜索引擎关键词,然后根据动态更新的恶意搜索引擎关键词库可以动态更新蜜罐网页,如此往复运行。
本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法,通过主动地吸引黑客攻击,大大提升蜜罐的检测效率,弥补传统蜜罐的被动性缺点;并且本发明方法采用动态更新蜜罐网页,获取最新的黑客攻击漏洞信息,以挖掘数据流量中的恶意攻击行为,分析黑客最新的攻击行为的特征。
以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明,以充分地了解本发明的目的、特征和效果。
附图说明
图1是本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法的流程图;
图2是本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法的蜜罐***架构图。
具体实施方式
下面结合附图对本发明的实施例作详细说明:本实施例在以本发明技术方案前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
在本实施例中,如图1所示,本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法包括以下步骤:
步骤101:利用已经搜集到并被识别的恶意搜索引擎关键词库,自动构造蜜罐网页,如图2所示:
分类识别已搜索到并被识别的恶意搜索引擎关键词库:恶意搜索引擎关键词分为针对网页地址URL(UniformResourceLocator)路径的恶意搜索引擎关键词和针对网页内容的恶意搜索引擎关键词。
对于是针对URL路径的恶意搜索引擎关键词,利用ApacheHTTPServer的搜索引擎采用URLRewrite技术,即地址重写技术构造蜜罐网页。URLRewrite也就是地址的重新定向,URLRewrite技术是截取传入的用户请求,并自动将该请求重定向到其他资源的过程。服务器在处理用户请求时的工作方式没有改变,只是增加了对请求进行重新定向的处理过程。在本发明中,URLRewrite技术根据已有的URL路径的恶意搜索引擎关键词,把它重新定向到相应的蜜罐网页。
对于针对网页内容的恶意搜索引擎关键词,再次查询这些恶意搜索引擎关键词,并将搜索结果的网页内容存放在本地ApacheWEB服务器作为相应的蜜罐网页。
步骤102:通过搜索引擎排名优化技术将构造的所述蜜罐网页收录到搜索引擎:提高所述蜜罐网页在所述搜索引擎中的排名以主动吸引黑客访问。利用注册高信誉域名,增加链接和优化网页内容等搜索引擎优化技术来使蜜罐网页被搜索引擎索引,并进一步提升其排名,使之能够更好的吸引黑客。
步骤103:从网页访问记录中采如下算法来提取恶意搜索引擎关键词:
第一步,对网页记录的正常访问和恶意攻击进行区分:当蜜罐网页被搜索引擎收录后,黑客可以通过恶意搜索引擎关键词搜索到这些蜜罐网页,并对其进行攻击。记录所有对蜜罐网页的访问,并从中挖掘出黑客的攻击。由于蜜罐网页的链接在网站中全部为隐藏链接,用户无法看到,但是对于黑客的攻击工具来说,这样的链接是可以被发现的。在蜜罐的访问记录中,如图2所示,除了正常访问外,还包括两类访问:即攻击201和恶意搜索203;此外,还有利用搜索引擎特有的用户代理(UserAgent)和源IP地址识别来自知名搜索引擎的爬虫202。因此,所有针对蜜罐网页的除正常访问外的所有情况将被识别为恶意攻击。并且,针对攻击者可能尝试访问一些***敏感资源路径的现象,由于HTTP响应代码为200的访问都是正常的,所以将所有HTTP响应代码不为200的访问全部列为恶意攻击。
第二步,针对恶意攻击的记录来记录其攻击来源,将记录的攻击来源作为数据库,利用数据挖掘算法对记录的攻击来源数据库创建数据挖掘模型,然后进行分类分析,并提取出新的恶意搜索引擎关键词:由于HTTPReferrer,即HTTP来源地址,是HTTP表头的一个字段,用来表示从哪儿链接到目前的网页,采用的格式是URL。借着HTTPReferrer,目前的网页可以检查访客从哪里而来;所以通过HTTPReferrer信息,能够提取出黑客访问蜜罐网页可能利用到的新恶意搜索引擎关键词。
提取出了新恶意搜索引擎关键词后,将提取出的新恶意搜索引擎关键词补充到恶意关键词库中,跳转到步骤101,重新构造新的蜜罐网页,以达到动态更新蜜罐网页的目的。
以上详细描述了本发明的较佳具体实施例。应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此,凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案,皆应在由权利要求书所确定的保护范围内。
Claims (1)
1.一种基于搜索引擎关键词的主动式蜜罐检测方法,其特征在于,包括以下步骤:
步骤(101)利用已经搜集到并被识别的恶意搜索引擎关键词库自动构造蜜罐网页;
步骤(102)通过搜索引擎排名优化技术将构造的所述蜜罐网页收录到搜索引擎,并提高所述蜜罐网页在所述搜索引擎中的排名以主动吸引黑客访问;
步骤(103)从所述蜜罐网页的访问记录中使用数据挖掘算法来提取新恶意搜索引擎关键词,并将提取到的所述新恶意搜索引擎关键词并入所述恶意搜索引擎关键词库,重新跳转回步骤(101);
在所述步骤(101)中,所述恶意搜索引擎关键词库包括针对URL路径的恶意搜索引擎关键词和针对网页内容的恶意搜索引擎关键词;
对于针对URL路径的所述恶意搜索引擎关键词,所述蜜罐网页采用地址重写技术来构造;
所述地址重写技术使用的是AppacheHTTPServer引擎;
对于针对网页内容的所述恶意搜索引擎关键词,在搜索引擎上再次搜索所述恶意搜索引擎关键词,将搜索出的网页做处理后作为所述蜜罐网页;
所述搜索引擎排名优化技术包括注册高信誉域名,增加链接和优化网页内容;所述步骤(103)还包括区分所述蜜罐网页访问记录中的正常访问和恶意攻击;
所述蜜罐网页的访问记录分为引擎爬虫、所述正常访问和所述恶意攻击;其中所述引擎爬虫同样属于所述恶意攻击;
在所述步骤(103)中,还将所有HTTP响应代码不为200的访问全部作为所述恶意攻击;
所述数据挖掘算法是通过HTTPReferrer信息来提取所述新恶意搜索引擎关键词。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310332730.7A CN103440454B (zh) | 2013-08-01 | 2013-08-01 | 一种基于搜索引擎关键词的主动式蜜罐检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310332730.7A CN103440454B (zh) | 2013-08-01 | 2013-08-01 | 一种基于搜索引擎关键词的主动式蜜罐检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103440454A CN103440454A (zh) | 2013-12-11 |
| CN103440454B true CN103440454B (zh) | 2016-04-06 |
Family
ID=49694147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310332730.7A Expired - Fee Related CN103440454B (zh) | 2013-08-01 | 2013-08-01 | 一种基于搜索引擎关键词的主动式蜜罐检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103440454B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN108229166A (zh) * | 2017-12-08 | 2018-06-29 | 重庆邮电大学 | 一种使用引导型搜索的网页木马检测***及方法 |
| CN111917691A (zh) * | 2019-05-10 | 2020-11-10 | 张长河 | 一种基于虚假响应的web动态自适应防御***及防御方法 |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN110971605B (zh) * | 2019-12-05 | 2022-03-08 | 福建天晴在线互动科技有限公司 | 一种通过捕获数据包获取盗版游戏服务器信息的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别***及方法 |
| CN101060444A (zh) * | 2007-05-23 | 2007-10-24 | 西安交大捷普网络科技有限公司 | 基于贝叶斯统计模型的网络异常检测方法 |
| CN102571484A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种检测网络水军以及找到网络水军的方法 |
-
2013
- 2013-08-01 CN CN201310332730.7A patent/CN103440454B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567118A (zh) * | 2004-03-29 | 2005-01-19 | 四川大学 | 一种计算机病毒检测和识别***及方法 |
| CN101060444A (zh) * | 2007-05-23 | 2007-10-24 | 西安交大捷普网络科技有限公司 | 基于贝叶斯统计模型的网络异常检测方法 |
| CN102571484A (zh) * | 2011-12-14 | 2012-07-11 | 上海交通大学 | 一种检测网络水军以及找到网络水军的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 恶意的URL捕获分析***;周佩颖;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20110415;I139-133页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103440454A (zh) | 2013-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10102372B2 (en) | Behavior profiling for malware detection | |
| US8978140B2 (en) | System and method of analyzing web content | |
| CN104125209B (zh) | 恶意网址提示方法和路由器 | |
| US8972401B2 (en) | Search spam analysis and detection | |
| US9430577B2 (en) | Search ranger system and double-funnel model for search spam analyses and browser protection | |
| US20080010683A1 (en) | System and method for analyzing web content | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及*** | |
| CN103440454B (zh) | 一种基于搜索引擎关键词的主动式蜜罐检测方法 | |
| WO2011094746A2 (en) | Url reputation system | |
| Sun et al. | Automating URL blacklist generation with similarity search approach | |
| CA2671183A1 (en) | System and method of analyzing web addresses | |
| US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
| CN113454621A (zh) | 用于从多域收集数据的方法、装置和计算机程序 | |
| Mansoori et al. | YALIH, yet another low interaction honeyclient | |
| CN111371778A (zh) | 攻击团伙的识别方法、装置、计算设备以及介质 | |
| CN103036896A (zh) | 用于检测恶意链接的方法及*** | |
| Sun et al. | AutoBLG: Automatic URL blacklist generator using search space expansion and filters | |
| CN107231364A (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| Tao | Suspicious URL and device detection by log mining | |
| KR102190316B1 (ko) | 브라우저 모사를 이용한 딥웹 분석 시스템 및 그 분석 방법 | |
| Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks | |
| KR100619179B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
| US20140040227A1 (en) | Method and Apparatus for Locating Phishing Kits | |
| JP6478730B2 (ja) | 悪性url候補取得装置、悪性url候補取得方法、及びプログラム | |
| KR101767589B1 (ko) | 악성코드 점검을 위한 웹주소 자동 추출 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zou Futai Inventor after: Bai Wei Inventor after: Wang Jiahui Inventor after: Pan Daoxin Inventor after: Yi Ping Inventor before: Zou Futai Inventor before: Bai Wei Inventor before: Pan Daoxin Inventor before: Yi Ping |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: ZOU FUTAI BAI WEI PAN DAOXIN YI PING TO: ZOU FUTAI BAI WEI WANG JIAHUI PAN DAOXIN YI PING |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160406 Termination date: 20180801 |