一种基于仿真器技术的威胁行为搜集系统及方法技术方案

本发明专利技术公开了一种基于仿真器技术的威胁行为搜集系统，包括Web应用服务模块、威胁识别模块、漏洞仿真模块、存储模块；Web应用服务模块与威胁识别模块、存储模块相连，威胁识别模块与漏洞仿真模块相连。本发明专利技术的系统使用仿真器技术进行威胁行为搜集，并对网络中的威胁数据进行识别，根据识别出的不同威胁类型，采用仿真器对威胁进行响应，模拟漏洞，达到搜集威胁数据的目的，避免在应用系统基础上进行改造，属于轻量级的威胁行为搜集技术，可进行威胁行为攻击检测及威胁行为数据分析。

【技术实现步骤摘要】
一种基于仿真器技术的威胁行为搜集系统及方法
本专利技术涉及WEB安全检测
，特别涉及一种基于仿真器技术的威胁行为搜集系统及方法。
技术介绍
在网络攻击中，针对于web应用的攻击占60％以上。web应用暴露在公网环境，许多应用存在漏洞，可导致应用数据泄露、应用服务无法提供服务。给web应用的所有者造成损失。为了对攻击行为进行更好的研究分析、更好的应对攻击威胁行为，威胁行为搜集技术的必要性尤其突出。
技术实现思路
本专利技术的目的是克服上述
技术介绍
中不足，提供一种基于仿真器技术的威胁行为搜集系统及方法，使用仿真器技术进行威胁行为搜集，可对多个漏洞进行模拟，避免在应用系统基础上进行改造，属于轻量级的威胁行为搜集技术。可进行威胁行为攻击检测及威胁行为数据分析。为了达到上述的技术效果，本专利技术采取以下技术方案：一种基于仿真器技术的威胁行为搜集系统，包括Web应用服务模块、威胁识别模块、漏洞仿真模块、存储模块；Web应用服务模块与威胁识别模块、存储模块相连，威胁识别模块与漏洞仿真模块相连；所述Web应用服务模块用于实现Web应用服务，接受来自外部的http请求，其中，所述http请求包括GET请求、POST请求，Web应用服务模块将收到的POST请求交给存储模块进行存储，将收到的GET请求交给威胁识别模块；所述威胁识别模块用于对收到的GET请求的参数进行威胁识别，并在识别到RFI攻击、XSS攻击或SQL攻击时将收到的GET请求交给漏洞仿真模块；所述漏洞仿真模块用于识别收到的GET请求的参数中payload的攻击内容，并利用仿真技术模拟对应的漏洞执行结果，然后将存在漏洞执行结果的http响应返回给请求方，当向请求方返回存在漏洞执行结果的http响应时，攻击者会认为该web服务存在(如SQL或XSS)漏洞，会发送更进一步的http攻击payload以实施下一步攻击，使得本专利技术的基于仿真器技术的威胁行为搜集系统能够获取到更多有价值的攻击数据。同时，本专利技术还公开了一种基于仿真器技术的威胁行为搜集方法，包括以下步骤：A.在公网部署上述的基于仿真器技术的威胁行为搜集系统；B.基于仿真器技术的威胁行为搜集系统的Web应用服务模块接受外部的http请求并对收到的http请求进行分类；C.若收到的http请求为POST请求，Web应用服务模块则将请求交给存储模块进行存储；若收到的http请求为GET请求，Web应用服务模块则将请求交给威胁识别模块，并进入步骤D；D.威胁识别模块对收到的GET请求的参数进行威胁识别，若识别为RFI威胁请求、XSS威胁请求或SQL威胁请求时将收到的GET请求交给漏洞仿真模块；E.漏洞仿真模块识别收到的GET请求的参数中payload的攻击内容，并利用仿真器技术模拟对应的漏洞执行结果，然后将存在漏洞执行结果的http响应返回给请求方并将威胁行为数据在存储模块内进行存储；F.在存储模块内进行威胁行为数据搜集。进一步地，所述步骤E具体包括以下步骤：E1.漏洞仿真模块解析收到的GET请求参数中的payload，如果为RFI威胁请求则获取远程文件；E2.读取获取的远程文件的内容或SQL威胁请求或XSS威胁请求的参数中的payload进行base64解码得到解码结果；E3.漏洞仿真模块对解码结果逐行进行规则匹配，匹配该请求的攻击类型；E4.利用仿真器技术模拟对应的攻击执行结果，然后将存在攻击执行结果的http响应返回给请求方；E5.将攻击的payload的数据保存至存储模块。进一步地，所述步骤D中，若识别到的威胁请求类型为其他威胁请求，则向请求方进行常规响应，其中，其他威胁请求为RFI威胁请求、XSS威胁请求或SQL威胁请求的威胁请求。进一步地，所述步骤C中若收到的http请求为POST请求，Web应用服务模块将请求交给存储模块进行存储后还将对请求者进行常规响应本专利技术与现有技术相比，具有以下的有益效果：本专利技术的基于仿真器技术的威胁行为搜集系统及方法，使用仿真器技术进行威胁行为搜集，并对网络中的威胁数据进行识别，根据识别出的不同威胁类型，采用仿真器对威胁进行响应，模拟漏洞，达到搜集威胁数据的目的，避免在应用系统基础上进行改造，属于轻量级的威胁行为搜集技术，可进行威胁行为攻击检测及威胁行为数据分析，具有较广的应用范围。附图说明图1是本专利技术的基于仿真器技术的威胁行为搜集系统的示意图。图2是本专利技术的基于仿真器技术的威胁行为搜集方法的流程示意图。图3是本专利技术的一个实施例中运用漏洞仿真模块进行仿真漏洞时流程示意图。具体实施方式下面结合本专利技术的实施例对本专利技术作进一步的阐述和说明。实施例：实施例一：如图1所示，一种基于仿真器技术的威胁行为搜集系统，包括Web应用服务模块、威胁识别模块、漏洞仿真模块、存储模块；Web应用服务模块与威胁识别模块、存储模块相连，威胁识别模块与漏洞仿真模块相连。具体的，Web应用服务模块用于实现一个Web应用服务，并接受来自外部的http请求，具体可支持GET、POST请求。其中，Web应用服务模块对于接受到的外部POST请求，则直接交给存储模块进行存储，对于外部的GET请求则交给威胁识别模块。威胁识别模块用于对GET请求的参数进行威胁识别，如果存在RFI、XSS、SQL攻击，则交给漏洞仿真模块。漏洞仿真模块用于识别请求的参数中payload的攻击内容，并利用仿真技术模拟对应的漏洞执行结果，然后将存在漏洞执行结果的http响应返回给请求方。则攻击者会认为该web服务存在(如SQL或XSS等)漏洞，就会发送更进一步的http攻击payload以实施下一步攻击，从而威胁行为搜集系统能够获取到更多有价值的攻击数据。存储模块则用于保存相应的请求数据及威胁行为数据，以便于后续进行威胁行为数据的搜集。工作时，先由Web应用服务模块接受外部的HTTP请求，对于HTTPPOST请求，则直接将POST请求的原始RAW数据交给存储模块进行存储并给予请求者正常的响应；对HTTPGET请求则交由威胁识别模块进行威胁识别并进行分类，若判断为RFI或SQL或XSS威胁请求，则将请求发送至漏洞仿真模块使用仿真器模拟漏洞请求并进行响应，其中，若请求不属于RFI或SQL或XSS威胁请求则判断为其他威胁请求，对于其他威胁请求则向请求者进行常规响应，即向请求者返回一个正常页面的响应，与对于POST请求的响应类似。漏洞仿真模块使用仿真器模拟漏洞请求并进行响应时，将先解析http参数，获取参数的值，再具体进行规则匹配，匹配是否为攻击及攻击类型，然后利用仿真器技术模拟对应的攻击执行结果，并向请求方返回包含代码执行结果的响应，即仿真器模拟的漏洞被利用后执行代码反馈系统信息给攻击者。最后再将威胁数据即攻击的payload内容存储于存储模块中，以便后期进行威胁行为数据搜集。实施例二如图2所示，一种基于仿真器技术的威胁行为搜集方法，具体包括以下步骤：步骤一：在公网部署上述的基于仿真器技术的威胁行为搜集系统；步骤二：Web应用服务模块接受外部的HTTP请求，对于HTTPPOST请求，则直接将POST请求的原始(RAW)数据交给存储模块进行存储，并给与请求者正常的响应如：HTTP/1.1200OKCache-Control:privateContent本文档来自技高网...

【技术保护点】
1.一种基于仿真器技术的威胁行为搜集系统，其特征在于，包括Web应用服务模块、威胁识别模块、漏洞仿真模块、存储模块；Web应用服务模块与威胁识别模块、存储模块相连，威胁识别模块与漏洞仿真模块相连；所述Web应用服务模块用于实现Web应用服务，接受来自外部的http请求，其中，所述http请求包括GET请求、POST请求，Web应用服务模块将收到的POST请求交给存储模块进行存储，将收到的GET请求交给威胁识别模块；所述威胁识别模块用于对收到的GET请求的参数进行威胁识别，并在识别到RFI攻击、XSS攻击或SQL攻击时将收到的GET请求交给漏洞仿真模块；所述漏洞仿真模块用于识别收到的GET请求的参数中payload的攻击内容，并利用仿真技术模拟对应的漏洞执行结果，然后将存在漏洞执行结果的http响应返回给请求方。

【技术特征摘要】
1.一种基于仿真器技术的威胁行为搜集系统，其特征在于，包括Web应用服务模块、威胁识别模块、漏洞仿真模块、存储模块；Web应用服务模块与威胁识别模块、存储模块相连，威胁识别模块与漏洞仿真模块相连；所述Web应用服务模块用于实现Web应用服务，接受来自外部的http请求，其中，所述http请求包括GET请求、POST请求，Web应用服务模块将收到的POST请求交给存储模块进行存储，将收到的GET请求交给威胁识别模块；所述威胁识别模块用于对收到的GET请求的参数进行威胁识别，并在识别到RFI攻击、XSS攻击或SQL攻击时将收到的GET请求交给漏洞仿真模块；所述漏洞仿真模块用于识别收到的GET请求的参数中payload的攻击内容，并利用仿真技术模拟对应的漏洞执行结果，然后将存在漏洞执行结果的http响应返回给请求方。2.一种基于仿真器技术的威胁行为搜集方法，其特征在于，包括以下步骤：A.在公网部署如权利要求1所述的基于仿真器技术的威胁行为搜集系统；B.基于仿真器技术的威胁行为搜集系统的Web应用服务模块接受外部的http请求并对收到的http请求进行分类；C.若收到的http请求为POST请求，Web应用服务模块则将请求交给存储模块进行存储；若收到的http请求为GET请求，Web应用服务模块则将请求交给威胁识别模块，并进入步骤D；D.威胁识别模块对收到的GET请求的参数进行威胁识别，若识别为RFI威胁请求、XSS威胁请求或SQ...

【专利技术属性】
技术研发人员：江佳峻，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川,51