CN112134837A - Web攻击行为的检测方法和*** - Google Patents
Web攻击行为的检测方法和*** Download PDFInfo
- Publication number
- CN112134837A CN112134837A CN202010782683.6A CN202010782683A CN112134837A CN 112134837 A CN112134837 A CN 112134837A CN 202010782683 A CN202010782683 A CN 202010782683A CN 112134837 A CN112134837 A CN 112134837A
- Authority
- CN
- China
- Prior art keywords
- web
- visitor
- threat
- access data
- tracing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000013515 script Methods 0.000 claims abstract description 41
- 230000008447 perception Effects 0.000 claims abstract description 40
- 230000006399 behavior Effects 0.000 claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 230000007123 defense Effects 0.000 claims description 15
- 238000004088 simulation Methods 0.000 claims description 13
- 230000003068 static effect Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 claims description 7
- 230000002441 reversible effect Effects 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 3
- 230000003287 optical effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种Web攻击行为的检测方法和***,该***包括:Web业务网站、Web蜜罐和威胁感知追溯平台;所述Web业务网站和所述Web蜜罐,用于在向访问者返回的网页数据中嵌入追溯脚本;所述追溯脚本被加载后自动运行,用于采集访问者的访问数据并发送给所述威胁感知追溯平台;所述威胁感知追溯平台,用于收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。本申请能够有效提高Web攻击行为的检测效果。
Description
【技术领域】
本申请涉及计算机安全技术领域,特别涉及一种Web攻击行为的检测方法和***。
【背景技术】
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就被认为是现有技术。
在Web(网页)攻击中,攻击者常常利用Proxy(代理)等技术隐匿其真实攻击来源IP。在更为隐匿的攻击中,攻击者利用远程木马或自动化工具再通过Proxy或跳板等方式产生持续或批量攻击。传统防护技术很难对此类攻击追踪溯源以定位攻击者。
【发明内容】
有鉴于此,本申请提供了一种Web攻击行为的检测方法、装置和***,以提高Web攻击行为的检测效果。
具体技术方案如下:
第一方面,本申请提供了一种Web攻击行为的检测***,该***包括:Web业务网站、Web蜜罐和威胁感知追溯平台;
所述Web业务网站和所述Web蜜罐,用于在向访问者返回的网页数据中嵌入追溯脚本;
所述追溯脚本被加载后自动运行,用于采集访问者的访问数据并发送给所述威胁感知追溯平台;
所述威胁感知追溯平台,用于收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
根据本申请一优选实施方式,所述Web蜜罐包括:高仿真Web蜜罐和低交互Web蜜罐中的至少一种;
高仿真Web蜜罐,用于通过反向代理技术对所述Web业务网站进行映射,得到克隆的Web业务网站;
所述低交互Web蜜罐,用于模拟静态Web网站,所述静态Web网站不同于所述Web业务网站。
根据本申请一优选实施方式,所述访问者的访问数据包括以下至少一种:
访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址。
根据本申请一优选实施方式,该***还包括:日志收集中心;
所述追溯脚本,具体用于将访问者的访问数据发送给所述日志收集中心;
所述日志收集中心,用于收集并存储访问者的访问数据;
所述威胁感知追溯平台,具体用于从所述日志收集中心获取访问者的访问数据。
根据本申请一优选实施方式,所述威胁感知追溯平台,具体用于执行以下检测处理中的至少一种:
将访问所述Web蜜罐的访问者及其访问数据标记为威胁;
评估访问者对所述Web业务网站的访问流量是否与预设的威胁规则相匹配,如果匹配,则将该访问者及其访问数据标记为威胁;
将标记为威胁的访问者信息提供给所述Web业务网站对应的防御***,以便所述防御***阻止被标记为威胁的访问者访问所述Web业务网站,或者将被标记为威胁的访问者对所述Web业务网站的访问导流至所述Web蜜罐;
对被标记为威胁的访问者的历史访问轨迹进行分析,还原威胁事件生命周期。
第二方面,本申请提供了一种Web攻击行为的检测方法,该方法包括:
Web业务网站和Web蜜罐在向访问者返回的网页数据中嵌入追溯脚本;
所述追溯脚本被加载后自动运行,采集访问者的访问数据并发送给威胁感知追溯平台;
所述威胁感知追溯平台收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
根据本申请一优选实施方式,所述Web蜜罐包括高仿真Web蜜罐和低交互Web蜜罐中的至少一种:
所述高仿真Web蜜罐通过反向代理技术对所述Web业务网站进行映射得到克隆的Web业务网站;和/或,
所述低交互Web蜜罐模拟静态Web网站,所述静态Web网站不同于所述Web业务网站。
根据本申请一优选实施方式,所述访问者的访问数据包括以下至少一种:
访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址。
根据本申请一优选实施方式,所述发送给威胁感知追溯平台包括:
所述追溯脚本将采集的访问者的访问数据实时发送给所述威胁感知追溯平台;或者,
所述追溯脚本将采集的访问者的访问数据发送给日志收集中心,由所述威胁感知追溯平台从所述日志收集中心获取访问者的访问数据。
根据本申请一优选实施方式,所述依据访问者的访问数据对Web攻击行为进行检测包括:
所述威胁感知追溯平台将访问所述Web蜜罐的访问者及其访问数据标记为威胁;和/或,
所述威胁感知追溯平台评估访问者对所述Web业务网站的访问流量是否与预设的威胁规则相匹配,如果匹配,则将该访问者及其访问数据标记为威胁;和/或,
所述威胁感知追溯平台将标记为威胁的访问者信息提供给所述Web业务网站对应的防御***,以便所述防御***阻止被标记为威胁的访问者访问所述Web业务网站,或者将被标记为威胁的访问者对所述Web业务网站的访问导流至所述Web蜜罐;和/或,
所述威胁感知追溯平台对被标记为威胁的访问者的历史访问轨迹进行分析,还原威胁事件生命周期。
由以上技术方案可以看出,本申请通过设置Web蜜罐和威胁感知追溯平台,并在Web业务网站和Web蜜罐向访问者返回的网页数据中嵌入可收集访问者访问数据的追溯脚本,使得威胁感知追溯平台能够获取追溯脚本收集的访问者的访问数据,从而实现对Web攻击行为的检测。由于这种方式基于访问数据检测,即便攻击者采用隐匿来源IP、通过代理或跳板方式产生攻击,也能够对其攻击行为进行追溯,有效提高了Web攻击行为的检测效果。
【附图说明】
图1示出了本申请实施例提供的***架构示意图;
图2为本申请实施例提供的基于上述***的Web攻击行为的检测方法流程图;
图3示出了适于用来实现本发明实施方式的示例性计算机***/服务器的框图。
【具体实施方式】
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本申请进行详细描述。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
为了方便对本申请的理解,首先对本申请所采用的***架构进行描述。如图1中所示,该***可以包括Web业务网站、Web蜜罐和威胁感知追溯平台。
其中,Web业务网站就是正常的Web网站,线上提供各种Web服务的真实网站。在本申请中,可以在向访问者返回的网页数据中嵌入追溯脚本,例如人工嵌入追溯JS代码的方式。
Web蜜罐是一种在互联网上模拟Web网站的计算机***,是一个包含漏洞的诱骗***,通过模拟一个或多个易受攻击的网站的主机,给攻击者提供一个容易攻击的目标。在本申请中,可以包括两种Web蜜罐中的至少一种:高仿真Web蜜罐和低交互Web蜜罐。图中以包括这两种Web蜜罐为例。
高仿真Web蜜罐通过反向代理技术对Web业务网站进行映射,得到克隆的Web业务网站,也就是说,高仿真Web蜜罐模拟的是正常的Web业务网站。当访问者访问高仿真Web蜜罐时,反向代理在向访问者返回的网页数据中嵌入追溯脚本,例如自动嵌入追溯JS代码。
该高仿真Web蜜罐部署于网络中可以使攻击者误以为访问到真实网站。当攻击者成功登录Web网站后可以看到部分真实数据,从而诱使攻击者进行更多操作,以便收集到攻击者更多的访问数据。这些访问数据能够暴露攻击者的入侵意图和手法等信息。
更进一步地,该高仿真Web蜜罐可以额外部署有WAF(Web Application Firewall,网站应用级入侵防御***)***,该WAF***可以是高度灵活的轻量级***。WAF***代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF***对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。在本申请实施例中,可以通过对WAF***配置防护规则或算法来降低攻击者破坏或盗取敏感数据信息的威胁程度。
低交互Web蜜罐模拟静态Web网站,包括模拟HTTP响应和Web界面,其中模拟的静态Web网站不同于Web业务网站,与正常的Web业务网站无关。在低交互Web蜜罐向访问者返回的网页数据中也嵌入追溯脚本。
由于低交互Web蜜罐比较简单,方便进行大规模的部署,因此可以用于更大范围的快速部署,迷惑攻击者使其在横向移动或无差别扫描网站服务时采集到攻击者更多的访问数据。这些访问数据能够暴露攻击者的攻击手法和工具等信息。
可以看出,上述正常的Web业务网站和Web蜜罐都在向访问者返回的网页数据中嵌入追溯脚本。追溯脚本被浏览器加载后自动运行,用于采集访问者的访问数据并发送给威胁感知追溯平台。
其中,追溯脚本采集的访问者的访问数据可以包括以下至少一种:访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址。其中浏览器特征数据可以是诸如浏览器ID、指纹等。运动传感器可以是加速度传感器、陀螺仪等。
威胁感知追溯平台收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
其中,追溯脚本可以直接将收集的访问者的访问数据实时发送给威胁感知追溯平台。
追溯脚本也可以将收集的访问者的访问数据发送给日志收集中心。日志收集中心记录访问者的访问数据,并记录为访问日志。威胁感知平台从日志收集中心获取离线的访问数据。
在本申请实施例中,威胁感知追溯平台在依据访问者的访问数据对Web攻击行为进行检测时,可以采用但不限于以下检测处理方式中的一种或任意组合:
方式一、威胁感知追溯平台监控访问者对Web蜜罐的访问。优选地,可以实时地依据追溯脚本发送来的访问数据监控访问者对Web蜜罐的访问。一旦监控到访问者对Web蜜罐的访问,则将访问者及其访问数据标记为威胁。对访问者进行标记时可以采用对浏览器ID、指纹、访问者设备IP地址、访问者MAC地址等进行标记。
当然,也可以通过对日志收集中心记录的访问日志中的访问数据进行监控后,确定访问Web蜜罐的访问者。然后将该访问者及其访问数据标记为威胁。
可见,通过本申请中的方式,即便攻击者采用隐匿来源IP、通过代理或跳板方式产生攻击,由于Web蜜罐的设置以及追溯脚本对于访问者访问数据的采集,使得攻击者访问Web蜜罐的行为被收集和暴露,从而将该攻击者及其访问数据标记为威胁。
方式二、威胁感知追溯平台评估访问者对Web业务网站的访问流量是否与预设的威胁规则相匹配,如果匹配,则将该访问者及其访问数据标记为威胁。
其中威胁规则是利用已知威胁的访问流量分析得到的威胁的访问流量所具有的特征。其中已知威胁的访问流量可以是采用任意方式识别出的,可以是采用本申请中基于对Web蜜罐的访问识别出的,也可以是采用其他方式识别出的。也就是说,对于已经被识别为攻击者的访问者来说,可以从其访问流量中提取出攻击特征从而将建立威胁规则,如果访问者对Web业务网站的访问流量与该威胁规则匹配,则大概率说明该访问者为攻击者,因此将其标记为威胁。
方式三、威胁感知追溯平台将标记为威胁的访问者信息提供给Web业务网站对应的防御***,以便防御***阻止被标记为威胁的访问者访问Web业务网站,或者将被标记为威胁的访问者对Web业务网站的访问导流至Web蜜罐。
无论通过上述方式一、方式二还是其他方式,一旦访问者被标记为威胁,则将标记为威胁的访问者信息同步到对Web业务网站的防御***中。其中,Web业务网站对应的防御***可以是Web业务网站的防火墙、WAF***等能够对访问Web业务网站的流量进行控制的***。
对于标记为威胁的访问者,对于标记为威胁的访问者,一旦获取到其对Web业务网站的访问请求,则Web业务网站的防御***禁止该访问请求对于Web业务网站的访问。或者,一旦获取到其对Web业务网站的访问请求,Web业务网站的防御***将其转发至高仿真Web蜜罐,使攻击者误以为访问真实Web业务网站,并收集攻击者更多的访问数据,最大限度地降低攻击者对Web业务网站的影响。
方式四、威胁感知追溯平台对被标记为威胁的访问者的历史访问轨迹进行分析,还原威胁事件生命周期。
这种方式中,威胁感知追溯平台可以对长周期的访问日志进行回溯,并通过对标记为威胁的访问者的历史轨迹进行分析,从而还原威胁事件生命周期。
图2为本申请实施例提供的基于上述***的Web攻击行为的检测方法流程图,如图2中所示,该方法可以包括以下步骤:
在201中,Web业务网站和Web蜜罐在向访问者返回的网页数据中嵌入追溯脚本。
如上***实施例中所述的,Web蜜罐可以包括高仿真Web蜜罐和低交互Web蜜罐中的至少一种,在此不做赘述。正常的Web业务网站和Web蜜罐都在向访问者返回的网页数据中嵌入追溯脚本。
在202中,追溯脚本被加载后自动运行,采集访问者的访问数据并发送给威胁感知追溯平台。
追溯脚本被浏览器加载后自动运行,用于采集访问者的访问数据并发送给威胁感知追溯平台。其中,访问者的访问数据可以包括访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址中的至少一种。
具体地,追溯脚本可以将采集的访问者的访问数据实时发送给威胁感知追溯平台;也可以将采集的访问者的访问数据发送给日志收集中心,由威胁感知追溯平台从日志收集中心获取访问者的访问数据。
另外,为了提高数据传输的安全性,追溯脚本可以将访问数据加密后发送给威胁感知追溯平台或日志收集平台。
在203中,威胁感知追溯平台收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
威胁感知追溯平台对Web攻击行为进行的检测处理也可以参见上述***实施例中的相关描述,在此不做赘述。
在204中,威胁感知平台对检测结果进行展示,或者在检测出威胁时进行报警。
其中威胁感知追溯平台可以通过威胁展示界面将标记为威胁的访问者信息及其访问流量信息进行展现,或者,将对被标记为威胁的访问者的历史访问轨迹进行分析后得到的威胁事件生命周期进行展现。威胁感知追溯平台也可以在监控到被标记为威胁的访问者或访问流量时,进行告警。告警的方式可以包括但不限于界面告警、声音告警或发送告警消息等方式。
上述***中的Web蜜罐和威胁感知追溯平台可以分别以计算机***或服务器的形式设置,图3示出了适于用来实现本发明实施方式的示例性计算机***/服务器012的框图。图3显示的计算机***/服务器012仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图3所示,计算机***/服务器012以通用计算设备的形式表现。计算机***/服务器012的组件可以包括但不限于:一个或者多个处理器或者处理单元016,***存储器028,连接不同***组件(包括***存储器028和处理单元016)的总线018。
总线018表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,***总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及***组件互连(PCI)总线。
计算机***/服务器012典型地包括多种计算机***可读介质。这些介质可以是任何能够被计算机***/服务器012访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
***存储器028可以包括易失性存储器形式的计算机***可读介质,例如随机存取存储器(RAM)030和/或高速缓存存储器032。计算机***/服务器012可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。仅作为举例,存储***034可以用于读写不可移动的、非易失性磁介质(图3未显示,通常称为“硬盘驱动器”)。尽管图3中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线018相连。存储器028可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块042的程序/实用工具040,可以存储在例如存储器028中,这样的程序模块042包括——但不限于——操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块042通常执行本发明所描述的实施例中的功能和/或方法。
计算机***/服务器012也可以与一个或多个外部设备014(例如键盘、指向设备、显示器024等)通信,在本发明中,计算机***/服务器012与外部雷达设备进行通信,还可与一个或者多个使得用户能与该计算机***/服务器012交互的设备通信,和/或与使得该计算机***/服务器012能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口022进行。并且,计算机***/服务器012还可以通过网络适配器020与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器020通过总线018与计算机***/服务器012的其它模块通信。应当明白,尽管图3中未示出,可以结合计算机***/服务器012使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
处理单元016通过运行存储在***存储器028中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的方法流程。
上述的计算机程序可以设置于计算机存储介质中,即该计算机存储介质被编码有计算机程序,该程序在被一个或多个计算机执行时,使得一个或多个计算机执行本发明上述实施例中所示的方法流程和/或装置操作。例如,被上述一个或多个处理器执行本发明实施例所提供的方法流程。
随着时间、技术的发展,介质含义越来越广泛,计算机程序的传播途径不再受限于有形介质,还可以直接从网络下载等。可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种Web攻击行为的检测***,其特征在于,该***包括:Web业务网站、Web蜜罐和威胁感知追溯平台;
所述Web业务网站和所述Web蜜罐,用于在向访问者返回的网页数据中嵌入追溯脚本;
所述追溯脚本被加载后自动运行,用于采集访问者的访问数据并发送给所述威胁感知追溯平台;
所述威胁感知追溯平台,用于收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
2.根据权利要求1所述的***,其特征在于,所述Web蜜罐包括:高仿真Web蜜罐和低交互Web蜜罐中的至少一种;
高仿真Web蜜罐,用于通过反向代理技术对所述Web业务网站进行映射,得到克隆的Web业务网站;
所述低交互Web蜜罐,用于模拟静态Web网站,所述静态Web网站不同于所述Web业务网站。
3.根据权利要求1所述的***,其特征在于,所述访问者的访问数据包括以下至少一种:
访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址。
4.根据权利要求1所述的***,其特征在于,该***还包括:日志收集中心;
所述追溯脚本,具体用于将访问者的访问数据发送给所述日志收集中心;
所述日志收集中心,用于收集并存储访问者的访问数据;
所述威胁感知追溯平台,具体用于从所述日志收集中心获取访问者的访问数据。
5.根据权利要求1至4中任一项所述的***,其特征在于,所述威胁感知追溯平台,具体用于执行以下检测处理中的至少一种:
将访问所述Web蜜罐的访问者及其访问数据标记为威胁;
评估访问者对所述Web业务网站的访问流量是否与预设的威胁规则相匹配,如果匹配,则将该访问者及其访问数据标记为威胁;
将标记为威胁的访问者信息提供给所述Web业务网站对应的防御***,以便所述防御***阻止被标记为威胁的访问者访问所述Web业务网站,或者将被标记为威胁的访问者对所述Web业务网站的访问导流至所述Web蜜罐;
对被标记为威胁的访问者的历史访问轨迹进行分析,还原威胁事件生命周期。
6.一种Web攻击行为的检测方法,其特征在于,该方法包括:
Web业务网站和Web蜜罐在向访问者返回的网页数据中嵌入追溯脚本;
所述追溯脚本被加载后自动运行,采集访问者的访问数据并发送给威胁感知追溯平台;
所述威胁感知追溯平台收集追溯脚本发送的访问者的访问数据,依据访问者的访问数据对Web攻击行为进行检测。
7.根据权利要求6所述的方法,其特征在于,所述Web蜜罐包括高仿真Web蜜罐和低交互Web蜜罐中的至少一种:
所述高仿真Web蜜罐通过反向代理技术对所述Web业务网站进行映射得到克隆的Web业务网站;和/或,
所述低交互Web蜜罐模拟静态Web网站,所述静态Web网站不同于所述Web业务网站。
8.根据权利要求6所述的方法,其特征在于,所述访问者的访问数据包括以下至少一种:
访问者浏览器特征数据、鼠标键盘事件信息、触屏事件信息、运动传感器事件信息、访问者设备IP地址。
9.根据权利要求6所述的方法,其特征在于,所述发送给威胁感知追溯平台包括:
所述追溯脚本将采集的访问者的访问数据实时发送给所述威胁感知追溯平台;或者,
所述追溯脚本将采集的访问者的访问数据发送给日志收集中心,由所述威胁感知追溯平台从所述日志收集中心获取访问者的访问数据。
10.根据权利要求6至9中任一项所述的方法,其特征在于,所述依据访问者的访问数据对Web攻击行为进行检测包括:
所述威胁感知追溯平台将访问所述Web蜜罐的访问者及其访问数据标记为威胁;和/或,
所述威胁感知追溯平台评估访问者对所述Web业务网站的访问流量是否与预设的威胁规则相匹配,如果匹配,则将该访问者及其访问数据标记为威胁;和/或,
所述威胁感知追溯平台将标记为威胁的访问者信息提供给所述Web业务网站对应的防御***,以便所述防御***阻止被标记为威胁的访问者访问所述Web业务网站,或者将被标记为威胁的访问者对所述Web业务网站的访问导流至所述Web蜜罐;和/或,
所述威胁感知追溯平台对被标记为威胁的访问者的历史访问轨迹进行分析,还原威胁事件生命周期。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010782683.6A CN112134837A (zh) | 2020-08-06 | 2020-08-06 | Web攻击行为的检测方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010782683.6A CN112134837A (zh) | 2020-08-06 | 2020-08-06 | Web攻击行为的检测方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112134837A true CN112134837A (zh) | 2020-12-25 |
Family
ID=73850789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010782683.6A Pending CN112134837A (zh) | 2020-08-06 | 2020-08-06 | Web攻击行为的检测方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112134837A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113645242A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种蜜罐溯源方法、装置及相关设备 |
| CN114143105A (zh) * | 2021-12-06 | 2022-03-04 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114296820A (zh) * | 2021-12-23 | 2022-04-08 | 北京知道创宇信息技术股份有限公司 | 插件地址的添加方法、装置、服务器及存储介质 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、***及计算机可读存储介质 |
| CN115134166A (zh) * | 2022-08-02 | 2022-09-30 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
| CN115801431A (zh) * | 2022-11-29 | 2023-03-14 | 国网山东省电力公司信息通信公司 | 一种威胁自动溯源方法、***、设备及介质 |
Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222349A (zh) * | 2007-01-12 | 2008-07-16 | 中国电信股份有限公司 | 收集web用户行为及性能数据的方法及*** |
| CN101242307A (zh) * | 2008-02-01 | 2008-08-13 | 刘峰 | 用嵌入代码代理日志实现网站访问分析***与方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN105989268A (zh) * | 2015-03-02 | 2016-10-05 | 苏宁云商集团股份有限公司 | 一种人机识别的安全访问方法和*** |
| CN106446228A (zh) * | 2016-10-08 | 2017-02-22 | 中国工商银行股份有限公司 | 一种web页面数据的采集分析方法及装置 |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护***、网络安全防护方法以及存储介质 |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
| CN107797908A (zh) * | 2017-11-07 | 2018-03-13 | 南威软件股份有限公司 | 一种网站用户的行为数据采集方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署*** |
| CN108959572A (zh) * | 2018-07-04 | 2018-12-07 | 北京知道创宇信息技术有限公司 | 一种网络溯源方法、装置、电子设备及存储介质 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、***及终端设备 |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式*** |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
| CN109981608A (zh) * | 2019-03-07 | 2019-07-05 | 北京华安普特网络科技有限公司 | 基于Web的网络安全入侵检测***和方法 |
| CN110046647A (zh) * | 2019-03-08 | 2019-07-23 | 同盾控股有限公司 | 一种验证码机器行为识别方法及装置 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐***的网络威胁分析方法、装置和电子设备 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111193749A (zh) * | 2020-01-03 | 2020-05-22 | 北京明略软件***有限公司 | 一种攻击溯源方法、装置、电子设备和存储介质 |
| CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测***及方法 |
| CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及*** |
| CN111428231A (zh) * | 2020-06-12 | 2020-07-17 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
-
2020
- 2020-08-06 CN CN202010782683.6A patent/CN112134837A/zh active Pending
Patent Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222349A (zh) * | 2007-01-12 | 2008-07-16 | 中国电信股份有限公司 | 收集web用户行为及性能数据的方法及*** |
| CN101242307A (zh) * | 2008-02-01 | 2008-08-13 | 刘峰 | 用嵌入代码代理日志实现网站访问分析***与方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN105989268A (zh) * | 2015-03-02 | 2016-10-05 | 苏宁云商集团股份有限公司 | 一种人机识别的安全访问方法和*** |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN106446228A (zh) * | 2016-10-08 | 2017-02-22 | 中国工商银行股份有限公司 | 一种web页面数据的采集分析方法及装置 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署*** |
| CN107493303A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 网络安全防护***、网络安全防护方法以及存储介质 |
| CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
| CN107797908A (zh) * | 2017-11-07 | 2018-03-13 | 南威软件股份有限公司 | 一种网站用户的行为数据采集方法 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
| CN108959572A (zh) * | 2018-07-04 | 2018-12-07 | 北京知道创宇信息技术有限公司 | 一种网络溯源方法、装置、电子设备及存储介质 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、***及终端设备 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式*** |
| CN109981608A (zh) * | 2019-03-07 | 2019-07-05 | 北京华安普特网络科技有限公司 | 基于Web的网络安全入侵检测***和方法 |
| CN110046647A (zh) * | 2019-03-08 | 2019-07-23 | 同盾控股有限公司 | 一种验证码机器行为识别方法及装置 |
| CN109831465A (zh) * | 2019-04-12 | 2019-05-31 | 重庆天蓬网络有限公司 | 一种基于大数据日志分析的网站入侵检测方法 |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐***的网络威胁分析方法、装置和电子设备 |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111193749A (zh) * | 2020-01-03 | 2020-05-22 | 北京明略软件***有限公司 | 一种攻击溯源方法、装置、电子设备和存储介质 |
| CN111404909A (zh) * | 2020-03-10 | 2020-07-10 | 上海豌豆信息技术有限公司 | 一种基于日志分析的安全检测***及方法 |
| CN111404934A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及*** |
| CN111428231A (zh) * | 2020-06-12 | 2020-07-17 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113645242A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种蜜罐溯源方法、装置及相关设备 |
| CN114143105A (zh) * | 2021-12-06 | 2022-03-04 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114143105B (zh) * | 2021-12-06 | 2023-12-26 | 安天科技集团股份有限公司 | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
| CN114296820A (zh) * | 2021-12-23 | 2022-04-08 | 北京知道创宇信息技术股份有限公司 | 插件地址的添加方法、装置、服务器及存储介质 |
| CN115022077A (zh) * | 2022-06-30 | 2022-09-06 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、***及计算机可读存储介质 |
| CN115022077B (zh) * | 2022-06-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、***及计算机可读存储介质 |
| CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
| CN115378643B (zh) * | 2022-07-14 | 2024-02-23 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
| CN115134166A (zh) * | 2022-08-02 | 2022-09-30 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115134166B (zh) * | 2022-08-02 | 2024-01-26 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
| CN115801431A (zh) * | 2022-11-29 | 2023-03-14 | 国网山东省电力公司信息通信公司 | 一种威胁自动溯源方法、***、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112134837A (zh) | Web攻击行为的检测方法和*** | |
| Zhang et al. | Crawlphish: Large-scale analysis of client-side cloaking techniques in phishing | |
| US11716348B2 (en) | Malicious script detection | |
| US20220284106A1 (en) | Methods, systems, and media for testing insider threat detection systems | |
| US9424424B2 (en) | Client based local malware detection method | |
| US10904286B1 (en) | Detection of phishing attacks using similarity analysis | |
| US8528091B2 (en) | Methods, systems, and media for detecting covert malware | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| CN111885007B (zh) | 信息溯源方法、装置、***及存储介质 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN110348210A (zh) | 安全防护方法及装置 | |
| CN114422255A (zh) | 一种云安全模拟检测***及检测方法 | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及*** | |
| CN104468459B (zh) | 一种漏洞检测方法及装置 | |
| CN114169456A (zh) | 基于5g终端安全的数据处理方法、装置、设备及介质 | |
| CN110808997B (zh) | 对服务器远程取证的方法、装置、电子设备、及存储介质 | |
| Huertas Celdrán et al. | Creation of a dataset modeling the behavior of malware affecting the confidentiality of data managed by IoT devices | |
| Lawal et al. | Have you been framed and can you prove it? | |
| CN114422257A (zh) | 信息处理方法、装置、设备、介质 | |
| CN107517226A (zh) | 基于无线网络入侵的报警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201225 |