一种攻击处理方法、系统、网络安全设备及存储介质技术方案

本申请公开了一种攻击处理方法，包括：接收客户端发送的请求信息；根据所述请求信息确定所述客户端是否异常；若所述客户端异常，则根据所述请求信息生成欺骗信息；其中，所述欺骗信息表征所述请求信息被允许；将所述欺骗信息返回至所述客户端。本申请能够避免攻击者绕过攻击检测的情况，进而提高了对攻击行为的防御能力。本申请还公开了一种攻击处理系统、一种存储介质及一种网络安全设备，具有以上有益效果。效果。效果。

【技术实现步骤摘要】
一种攻击处理方法、系统、网络安全设备及存储介质


[0001]本申请涉及网络安全
，特别涉及一种攻击处理方法、系统、网络安全设备及存储介质。

技术介绍

[0002]随着科技的发展，网络安全的重要性日益凸显。有效的网络安全方案能够使网络系统的硬件、软件及其系统中的数据受到保护，进而保障系统连续可靠正常地运行，网络服务不中断。
[0003]相关技术中，若网络安全设备识别到攻击行为，会直接对攻击者进行拦截，但是这种攻击处理方式将会导致攻击者转换其他攻击方式进行攻击，存在绕过网络安全设备检测的可能。
[0004]因此，如何提高对攻击行为的防御能力是本领域技术人员目前需要解决的技术问题。

技术实现思路

[0005]本申请的目的是提供一种攻击处理方法、一种攻击处理系统、一种网络安全设备及一种存储介质，能够提高对攻击行为的防御能力。
[0006]为解决上述技术问题，本申请提供一种攻击处理方法，包括：
[0007]接收客户端发送的请求信息；
[0008]根据所述请求信息确定所述客户端是否异常；
[0009]若所述客户端异常，则根据所述请求信息生成欺骗信息；其中，所述欺骗信息表征所述请求信息被允许；
[0010]将所述欺骗信息返回至所述客户端。
[0011]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0012]获取服务端对所述请求信息生成的响应消息；
[0013]根据所述响应消息确定所述客户端是否异常。
[0014]可选的，所述请求信息包括登录请求；
[0015]所述根据所述响应消息确定所述客户端是否异常包括：
[0016]若所述响应消息表征登录失败或者登录IP地址不在预设白名单中，则判定所述客户端异常。
[0017]可选的，所述根据所述请求信息生成欺骗信息包括：
[0018]确定发送所述登录请求的客户端的当前登录失败次数；
[0019]根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率，根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。
[0020]可选的，在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前，还包括：
[0021]接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系；
[0022]或，利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。
[0023]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0024]根据所述请求信息中的IP地址确定所述客户端是否异常。
[0025]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0026]根据客户端环境信息确定所述客户端是否异常。
[0027]可选的，所述根据所述请求信息生成欺骗信息包括：
[0028]将所述响应信息中登录失败标识替换为登录成功标识，生成欺骗信息。
[0029]可选的，在根据所述响应消息确定所述客户端是否异常之后，还包括：
[0030]若所述客户端不异常，则转发所述响应消息至所述客户端。
[0031]可选的，所述根据所述请求信息生成欺骗信息包括：
[0032]确定所述请求信息对应的响应信息，去除所述响应信息中的服务端特征信息得到所述欺骗信息。
[0033]可选的，还包括：
[0034]根据所述请求信息的协议类型获取对应的配置信息；
[0035]根据所述配置信息判断是否启动混淆功能；
[0036]若是，则执行根据所述请求信息确定所述客户端是否异常及其后续所有步骤。
[0037]可选的，若所述客户端异常，还包括：
[0038]确定所述请求信息对应的客户端标识；
[0039]若所述客户端标识在混淆列表中，则执行根据所述请求信息生成欺骗信息及其后续所有步骤。
[0040]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0041]确定所述请求信息中包含的登录密码是否存在预设校验码；
[0042]若不存在所述预设校验码，确定所述客户端异常。
[0043]可选的，还包括：
[0044]若所述客户端不异常，将去除所述预设校验码的请求信息发送至所述服务端。
[0045]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0046]确定所述请求信息对应的客户端标识；
[0047]若所述客户端标识对应的可信等级低于预设等级，则确定所述客户端异常。
[0048]可选的，所述根据所述请求信息确定所述客户端是否异常包括：
[0049]确定所述客户端与服务端之间与所述请求信息对应的连接是否存在混淆标签；
[0050]若存在混淆标签，则确定所述客户端异常。
[0051]可选的，根据所述请求信息生成欺骗信息包括：
[0052]对所述请求信息对应连接执行干扰操作得到欺骗信息；其中，所述干扰操作包括随机丢弃上行数据包、随机关闭连接、随机返回当前命令不支持的提示中的任一项操作或任几项操作的组合。
[0053]可选的，还包括：
[0054]若所述客户端异常，则向服务端返回目标信息；其中，所述目标信息用于提示所述服务端关闭与所述请求信息对应的连接。
[0055]本申请还提供了一种攻击处理系统，包括：
[0056]请求接收模块，用于接收客户端发送的请求信息；
[0057]异常确定模块，用于根据所述请求信息确定所述客户端是否异常；
[0058]欺骗信息生成模块，用于若所述客户端异常，则根据所述请求信息生成欺骗信息；其中，所述欺骗信息表征所述请求信息被允许；
[0059]欺骗信息返回模块，用于将所述欺骗信息返回至所述客户端。
[0060]本申请还提供了一种存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述攻击处理方法执行的步骤。
[0061]本申请还提供了一种网络安全设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述攻击处理方法执行的步骤。
[0062]本申请提供了一种攻击处理方法，包括：接收客户端发送的请求信息；根据所述请求信息确定所述客户端是否异常；若所述客户端异常，则根据所述请求信息生成欺骗信息；其中，所述欺骗信息表征所述请求信息被允许；将所述欺骗信息返回至所述客户端。
[0063]本申请在接收到客户端发送的请求信息后，根据请求信息判断发送请求信息的客户端是否异常。若客户端异常则生成欺骗信息，该欺骗信息用于表征请求信息被允许。当客户端接收到欺骗信息后，无法区分请求信息被允许和请求信息被拒绝，本申请将欺骗信息返回至客户端，增加了存在异常的客户端的攻击成本，可以避免攻击者绕过攻击检测的情况，进而提高了对攻击行为的防御能力。本申请同时还提供了一种攻击处理系统、一本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击处理方法，其特征在于，包括：接收客户端发送的请求信息；根据所述请求信息确定所述客户端是否异常；若所述客户端异常，则根据所述请求信息生成欺骗信息；其中，所述欺骗信息表征所述请求信息被允许；将所述欺骗信息返回至所述客户端。2.根据权利要求1所述攻击处理方法，其特征在于，所述根据所述请求信息确定所述客户端是否异常包括：获取服务端对所述请求信息生成的响应消息；根据所述响应消息确定所述客户端是否异常。3.根据权利要求2所述攻击处理方法，其特征在于，所述请求信息包括登录请求；所述根据所述响应消息确定所述客户端是否异常包括：若所述响应消息表征登录失败或者登录IP地址不在预设白名单中，则判定所述客户端异常。4.根据权利要求3所述攻击处理方法，其特征在于，所述根据所述请求信息生成欺骗信息包括：确定发送所述登录请求的客户端的当前登录失败次数；根据登录失败次数与混淆概率之间的对应关系确定所述当前登录失败次数对应的当前混淆概率，根据所述当前混淆概率对登录失败信息进行混淆生成欺骗信息。5.根据权利要求4所述攻击处理方法，其特征在于，在根据所述登录失败次数与混淆概率之间的对应关系确定当前混淆概率之前，还包括：接收用户的配置信息确定所述登录失败次数与混淆概率之间的对应关系；或，利用目标函数确定所述登录失败次数与混淆概率之间的对应关系。6.根据权利要求1所述攻击处理方法，其特征在于，所述根据所述请求信息确定所述客户端是否异常包括：根据所述请求信息中的IP地址确定所述客户端是否异常。7.根据权利要求1所述攻击处理方法，其特征在于，所述根据所述请求信息确定所述客户端是否异常包括：根据客户端环境信息确定所述客户端是否异常。8.根据权利要求3所述攻击处理方法，其特征在于，所述根据所述请求信息生成欺骗信息包括：将所述响应信息中登录失败标识替换为登录成功标识，生成所述欺骗信息。9.根据权利要求2所述攻击处理方法，其特征在于，在根据所述响应消息确定所述客户端是否异常之后，还包括：若所述客户端不异常，则转发所述响应消息至所述客户端。10.根据权利要求2所述攻击处理方法，其特征在于，所述根据所述请求信息生成欺骗信息包括：确定所述请求信息对应的响应信息，去除所述响应信息中的服务端特征信息得到所述欺骗信息。
11.根据权利要求1所述攻击处理方法，其特征在于，还包括：根据所述请求信息的协议类型获取对应的配置信息；根据所述配置信息判断是否启动混淆功能；若是，则执行根据所述...

【专利技术属性】
技术研发人员：纪侨斌，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：