CN106549931B - 一种基于url暗记溯源攻击者的方法及*** - Google Patents

一种基于url暗记溯源攻击者的方法及*** Download PDF

Info

Publication number
CN106549931B
CN106549931B CN201610679210.7A CN201610679210A CN106549931B CN 106549931 B CN106549931 B CN 106549931B CN 201610679210 A CN201610679210 A CN 201610679210A CN 106549931 B CN106549931 B CN 106549931B
Authority
CN
China
Prior art keywords
attacker
url
identity information
secret mark
visitor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610679210.7A
Other languages
English (en)
Other versions
CN106549931A (zh
Inventor
李柏松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ahtech Network Safe Technology Ltd
Original Assignee
Beijing Ahtech Network Safe Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ahtech Network Safe Technology Ltd filed Critical Beijing Ahtech Network Safe Technology Ltd
Priority to CN201610679210.7A priority Critical patent/CN106549931B/zh
Publication of CN106549931A publication Critical patent/CN106549931A/zh
Application granted granted Critical
Publication of CN106549931B publication Critical patent/CN106549931B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于URL暗记溯源攻击者的方法及***,包括:获取访问者的身份信息,并基于所述身份信息形成暗记;将所述暗记加入访问的URL中;捕获攻击者公开的屏幕信息;提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息;其中,所述身份信息包括但不仅限于:IP、操作***类型及版本、浏览器版本、屏幕分辨率或者时间。本发明所述技术方案通过在网站开发时设置对跳转页面的URL加入暗记的方法,从而在攻击者发布的屏幕信息的URL中隐藏暗记,通过获取暗记并解析得知攻击者的身份信息,进而协助定位攻击者或关联攻击组织。

Description

一种基于URL暗记溯源攻击者的方法及***
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于URL暗记溯源攻击者的方法及***。
背景技术
出于政治目的或商业目的,一些攻击者会在入侵政府、企业网站后多次篡改网站页面,例如留下反动标语或诋毁被入侵网站的信息。为了证明其入侵成果、向别人炫耀或实现其政治、商业目的,攻击者往往会对篡改后的页面(包括浏览器地址栏中指向该页面的URL)采用截图、拍照等方式进行记录屏幕信息,并将这类截图、照片通过社交网络分享。
被入侵政府、企业虽然可以在事后获取到这些截图、照片所记载的屏幕信息,但无法据此判断攻击者是谁,也无法判断不同入侵事件是否属于同一攻击组织。
发明内容
针对上述技术问题,本发明所述的技术方案在相关网站开发过程中即进行相关设置,若存在访问请求,则获取访问者的身份信息并基于身份信息形成暗记,并将所述暗记加入URL中,一旦攻击者通过截图、拍照等形式记录屏幕信息,并大肆发布,则针对屏幕信息中的暗记即可获取攻击者的身份信息,便于后期定位攻击源头或者关联攻击组织。
本发明采用如下方法来实现:一种基于URL暗记溯源攻击者的方法,包括:
获取访问者的身份信息,并基于所述身份信息形成暗记;
将所述暗记加入访问的URL中;
捕获攻击者公开的屏幕信息;
提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
进一步地,所述获取访问者的身份信息,并基于所述身份信息形成暗记,具体为:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
进一步地,所述将所述暗记加入访问的URL中,具体为:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
进一步地,所述捕获攻击者公开的屏幕信息,包括:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
上述方法中,还包括:基于攻击者的身份信息溯源攻击者或者关联攻击组织。
本发明可以采用如下***来实现:一种基于URL暗记溯源攻击者的***,包括:
暗记生成模块,用于获取访问者的身份信息,并基于所述身份信息形成暗记;
暗记添加模块,用于将所述暗记加入访问的URL中;
信息捕获模块,用于捕获攻击者公开的屏幕信息;
身份识别模块,用于提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
进一步地,所述暗记生成模块,具体用于:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
进一步地,所述暗记添加模块,具体用于:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
进一步地,所述信息捕获模块,具体用于:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
上述***中,还包括:攻击溯源模块,用于基于攻击者的身份信息溯源攻击者或者关联攻击组织。
综上,本发明给出一种基于URL暗记溯源攻击者的方法及***,本发明通过在服务器端返回的URL中添加暗记,而该暗记不影响对真实页面的访问,从而实现在攻击者不知情的情况下将记录攻击者的身份信息的暗记记录下来,若在网络中获取到攻击者散布的篡改网页的截图或者照片,则获取截图或者照片中的URL中的暗记,解码其暗记进而获得攻击者的身份信息。
有益效果为:本发明所述技术方案能够从攻击者发布的网页截图或者照片中获取暗记,从而基于解析暗记得出的攻击者的身份信息协助溯源攻击者,关联攻击组织,以此作为起诉攻击者的辅助证据,或作为法律机构执法的证据线索。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种基于URL暗记溯源攻击者的方法实施例1流程图;
图2为本发明提供的一种基于URL暗记溯源攻击者的方法实施例2流程图;
图3为本发明提供的一种基于URL暗记溯源攻击者的***实施例1结构图。
具体实施方式
本发明给出了一种基于URL暗记溯源攻击者的方法及***实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种基于URL暗记溯源攻击者的方法实施例1,如图1所示,包括:
S101获取访问者的身份信息,并基于所述身份信息形成暗记;其中,所述身份信息包括但不仅限于:IP、操作***类型及版本、浏览器版本、屏幕分辨率或者时间;上述身份信息中还可以包括:终端标识、用户标识或者***标识等等;虽然在现有技术中,在服务器侧可以记录访问者的身份信息,但是无法根据这些身份信息定位攻击者;
S102将所述暗记加入访问的URL中;在返回网页内容时,对暗记相关的参数不予处理即可;
S103捕获攻击者公开的屏幕信息;其中,攻击者公开屏幕信息的形式包括但不限于:截图或者拍照等多种形式;
S104提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
优选地,所述获取访问者的身份信息,并基于所述身份信息形成暗记,具体为:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。其中,将获取到的访问者的身份信息进行整理,并选择预设编码方式对整理后的身份信息进行编码后形成暗记。
例如:访问者的身份信息,包括:IP:11.22.33.44;操作***类型及版本:WindowsXP SP3;浏览器版本:IE8;屏幕分辨率:1024 x 768;则整理后的身份信息为:11.22.33.44/Windows XP SP3/ IE8/1024 x 768;其中,编码方式可以根据需要选择,各编码方式有各自的好处,这里以BASE64为例,对整理后的身份信息进行编码后形成的暗记为:
MTEuMjIuMzMuNDR8V2luZG93cyBYUCBTUDN8IElFOHwxMDI0IHggNzY4Cg==;则将所述暗记加入访问的URL中,则上述暗记会出现在攻击者的屏幕信息的URL中。例如:http://www.***.com/?a=MTEuMjIuMzMuNDR8V2luZG93cyBYUCBTUDN8IElFOHwxMDI0IHggNzY4Cg==;
若攻击者的屏幕信息中包含上述暗记,则利于预设编码对上述暗记进行解码,继而获取攻击者的身份信息。
优选地,所述将所述暗记加入访问的URL中,具体为:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。上述将暗记加入访问的URL中的方法不会引起攻击者的注意。
优选地,所述捕获攻击者公开的屏幕信息,包括:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
上述方法实施例中,还包括:基于攻击者的身份信息溯源攻击者或者关联攻击组织。
本发明同时提供了一种基于URL暗记溯源攻击者的方法实施例2,如图2所示,包括:
S201获取访问者的身份信息,并基于所述身份信息形成暗记;
S202将所述暗记加入访问的URL中;
S203捕获攻击者公开的屏幕信息;
S204提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息;
S205基于攻击者的身份信息溯源攻击者或者关联攻击组织。
优选地,针对被攻击者篡改的网页信息进行修复,进而恢复网站的正常访问服务。
优选地,所述获取访问者的身份信息,并基于所述身份信息形成暗记,具体为:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
优选地,所述将所述暗记加入访问的URL中,具体为:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
本发明其次提供了一种基于URL暗记溯源攻击者的***实施例1,如图3所示,包括:
暗记生成模块301,用于获取访问者的身份信息,并基于所述身份信息形成暗记;
暗记添加模块302,用于将所述暗记加入访问的URL中;
信息捕获模块303,用于捕获攻击者公开的屏幕信息;
身份识别模块304,用于提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
优选地,所述暗记生成模块,具体用于:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
优选地,所述暗记添加模块,具体用于:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
优选地,所述信息捕获模块,具体用于:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
上述***实施例中,还包括:攻击溯源模块,用于基于攻击者的身份信息溯源攻击者或者关联攻击组织。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种基于URL暗记溯源攻击者的方法及***实施例,通过在网站页面开发过程中,对不同的跳转页面的URL加入暗记,由社交网络等公开渠道获取的攻击者记录的屏幕信息,解析屏幕信息中URL部分的暗记,获得攻击者的身份信息,基于所述身份信息溯源攻击者或者关联攻击组织。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于URL暗记溯源攻击者的方法,其特征在于,包括:
获取访问者的身份信息,并基于所述身份信息形成暗记;
将所述暗记加入访问的URL中;
捕获攻击者公开的屏幕信息;
提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
2.如权利要求1所述的方法,其特征在于,所述获取访问者的身份信息,并基于所述身份信息形成暗记,具体为:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
3.如权利要求1或2所述的方法,其特征在于,所述将所述暗记加入访问的URL中,具体为:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
4.如权利要求3所述的方法,其特征在于,所述捕获攻击者公开的屏幕信息,包括:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
5.如权利要求1或2或4所述的方法,其特征在于,还包括:基于攻击者的身份信息溯源攻击者或者关联攻击组织。
6.一种基于URL暗记溯源攻击者的***,其特征在于,包括:
暗记生成模块,用于获取访问者的身份信息,并基于所述身份信息形成暗记;
暗记添加模块,用于将所述暗记加入访问的URL中;
信息捕获模块,用于捕获攻击者公开的屏幕信息;
身份识别模块,用于提取屏幕信息中的URL,并基于URL中的暗记获取攻击者的身份信息。
7.如权利要求6所述的***,其特征在于,所述暗记生成模块,具体用于:
若网站服务器接收到访问者的访问请求,则获取访问者的身份信息,并对所述身份信息进行编码形成暗记。
8.如权利要求6或7所述的***,其特征在于,所述暗记添加模块,具体用于:
若访问者访问的是首页,则利用强制刷新页面将所述暗记加入访问的URL中;或者,
若访问者访问的是子页面,则利用上级页面动态生成时将所述暗记加入访问的下级页面的URL中。
9.如权利要求8所述的***,其特征在于,所述信息捕获模块,具体用于:判断网页是否被篡改,若是,则捕获攻击者公开的屏幕信息,否则继续为访问者提供正常的网页服务。
10.如权利要求6或7或9所述的***,其特征在于,还包括:攻击溯源模块,用于基于攻击者的身份信息溯源攻击者或者关联攻击组织。
CN201610679210.7A 2016-08-17 2016-08-17 一种基于url暗记溯源攻击者的方法及*** Active CN106549931B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610679210.7A CN106549931B (zh) 2016-08-17 2016-08-17 一种基于url暗记溯源攻击者的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610679210.7A CN106549931B (zh) 2016-08-17 2016-08-17 一种基于url暗记溯源攻击者的方法及***

Publications (2)

Publication Number Publication Date
CN106549931A CN106549931A (zh) 2017-03-29
CN106549931B true CN106549931B (zh) 2019-09-27

Family

ID=58367884

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610679210.7A Active CN106549931B (zh) 2016-08-17 2016-08-17 一种基于url暗记溯源攻击者的方法及***

Country Status (1)

Country Link
CN (1) CN106549931B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104378361A (zh) * 2014-10-24 2015-02-25 苏州阔地网络科技有限公司 一种网络入侵检测方法及***
CN105516174A (zh) * 2015-12-25 2016-04-20 北京奇虎科技有限公司 网络攻击追踪显示***和方法
CN105827582A (zh) * 2015-09-14 2016-08-03 维沃移动通信有限公司 一种通信加密方法、装置和***

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120166458A1 (en) * 2010-12-23 2012-06-28 Microsoft Corporation Spam tracking analysis reporting system
US20130263226A1 (en) * 2012-01-22 2013-10-03 Frank W. Sudia False Banking, Credit Card, and Ecommerce System

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104378361A (zh) * 2014-10-24 2015-02-25 苏州阔地网络科技有限公司 一种网络入侵检测方法及***
CN105827582A (zh) * 2015-09-14 2016-08-03 维沃移动通信有限公司 一种通信加密方法、装置和***
CN105516174A (zh) * 2015-12-25 2016-04-20 北京奇虎科技有限公司 网络攻击追踪显示***和方法

Also Published As

Publication number Publication date
CN106549931A (zh) 2017-03-29

Similar Documents

Publication Publication Date Title
Pan et al. Anomaly based web phishing page detection
US10243904B1 (en) Determining authenticity of reported user action in cybersecurity risk assessment
Boda et al. User tracking on the web via cross-browser fingerprinting
Gupta et al. Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network
CN107301355B (zh) 一种网页篡改监测方法及装置
CN112468520B (zh) 一种数据检测方法、装置、设备及可读存储介质
US10511628B1 (en) Detecting realtime phishing from a phished client or at a security server
CN101964025A (zh) Xss检测方法和设备
US20060179315A1 (en) System and method for preventing fraud of certification information, and recording medium storing program for preventing fraud of certification information
CN109104456A (zh) 一种基于浏览器指纹的用户追踪与传播统计分析方法
CN107800686B (zh) 一种钓鱼网站识别方法和装置
CN111865925A (zh) 基于网络流量的诈骗团伙识别方法、控制器和介质
CN110782374A (zh) 基于区块链的电子取证方法及***
CN108282441B (zh) 广告拦截方法及装置
CN107426148B (zh) 一种基于运行环境特征识别的反爬虫方法及***
CN111104579A (zh) 一种公网资产的识别方法、装置及存储介质
CN112416730A (zh) 一种用户上网行为分析方法、装置、电子设备及存储介质
US20190289085A1 (en) System and method for tracking online user behavior across browsers or devices
CN116366338B (zh) 一种风险网站识别方法、装置、计算机设备及存储介质
CN112600797A (zh) 异常访问行为的检测方法、装置、电子设备及存储介质
Kobusińska et al. Big Data fingerprinting information analytics for sustainability
Wu et al. TrackerDetector: A system to detect third-party trackers through machine learning
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
CN108462749B (zh) 一种Web应用处理方法、装置及***
CN107341375A (zh) 一种基于网页图片暗记溯源攻击者的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a

Applicant after: Beijing ahtech network Safe Technology Ltd

Address before: 100080 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16

Applicant before: Beijing Antiy Electronic Installation Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant