攻击的诱捕处理方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种攻击的诱捕处理方法、装置、电子设备及存储介质，涉及信息流领域。具体实现方案为：基于交换机的镜像流量，获取发送至服务器的第一访问请求；获取所述第一访问请求的特征信息；基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；基于所述第一访问请求，进行诱捕响应。本公开的技术，能够有效地提高对恶意攻击的处理效率。率。率。

【技术实现步骤摘要】
攻击的诱捕处理方法、装置、电子设备及存储介质


[0001]本公开涉及计算机
，具体涉及信息流等
，尤其涉及一种攻击的诱捕处理方法、装置、电子设备及存储介质。

技术介绍

[0002]在网络会话过程中，经常构造各类恶意报文针对web站点进行恶意攻击。
[0003]在旁路防护场景下，可以通过交换机基于镜像流量的方式，还原攻击的超文本传输协议(Hyper Text Transfer Protocol；HTTP)报文，并对该HTTP报文进行检测，确定该报文是否为恶意攻击。例如，若检测到该报文为恶意攻击时，可以通过发送复位(Reset；RST)连接报文来阻断传输控制协议(Transmission Control Protocol；TCP)会话，或者发送Internet控制报文协议(Internet Control Message Protocol；ICMP)端口不可达报文，来干扰用户数据报协议(User Datagram Protocol；UDP)会话，以达到会话阻断的效果。

技术实现思路

[0004]本公开提供了一种攻击的诱捕处理方法、装置、电子设备及存储介质。
[0005]根据本公开的一方面，提供了一种攻击的诱捕处理方法，包括：
[0006]基于交换机的镜像流量，获取发送至服务器的第一访问请求；
[0007]获取所述第一访问请求的特征信息；
[0008]基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；
[0009]基于所述第一访问请求，进行诱捕响应。
[0010]根据本公开的另一方面，提供了一种攻击的诱捕处理装置，包括：
[0011]请求获取模块，用于基于交换机的镜像流量，获取发送至服务器的第一访问请求；
[0012]特征获取模块，用于获取所述第一访问请求的特征信息；
[0013]确定模块，用于基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；
[0014]诱捕响应模块，用于基于所述第一访问请求，进行诱捕响应。
[0015]根据本公开的再一方面，提供了一种电子设备，包括：
[0016]至少一个处理器；以及
[0017]与所述至少一个处理器通信连接的存储器；其中，
[0018]所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上所述的方面和任一可能的实现方式的方法。
[0019]根据本公开的又一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行如上所述的方面和任一可能的实现方式的方法。
[0020]根据本公开的再另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现如上所述的方面和任一可能的实现方式的方法。
[0021]根据本公开的技术，能够有效地提高对恶意攻击的处理效率。
[0022]应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0023]附图用于更好地理解本方案，不构成对本公开的限定。其中：
[0024]图1是根据本公开第一实施例的示意图；
[0025]图2是根据本公开第二实施例的示意图；
[0026]图3是本实施例提供的一种诱捕请求响应示意图；
[0027]图4是本实施例的攻击的诱捕处理的架构图；
[0028]图5是根据本公开第三实施例的示意图；
[0029]图6是根据本公开第四实施例的示意图；
[0030]图7是用来实现本公开实施例的方法的电子设备的框图。
具体实施方式
[0031]以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
[0032]显然，所描述的实施例是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例，都属于本公开保护的范围。
[0033]需要说明的是，本公开实施例中所涉及的终端设备可以包括但不限于手机、个人数字助理(Personal Digital Assistant，PDA)、无线手持设备、平板电脑(Tablet Computer)等智能设备；显示设备可以包括但不限于个人电脑、电视等具有显示功能的设备。
[0034]另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
[0035]现有技术的旁路防护场景中，虽然可以通过发送复位RST连接报文来阻断TCP会话，或者发送ICMP端口不可达报文，来干扰UDP会话，以达到会话阻断的效果。由于流量经过交换机镜像到安全设备，再经过安全设备分析后再发出阻断报文，这个过程需要一段时间，因此，可能造成会话无法有效阻断，导致攻击可持续进行。基于以上所述，现有的方式，对恶意攻击的处理效率非常低。
[0036]图1是根据本公开第一实施例的示意图；如图1所示，本实施例提供一种攻击的诱捕处理方法，应用于旁路的诱捕安全设备中，具体可以包括如下步骤：
[0037]S101、基于交换机的镜像流量，获取发送至服务器的第一访问请求；
[0038]S102、获取第一访问请求的特征信息；
[0039]S103、基于第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；
[0040]S104、基于第一访问请求，进行诱捕响应。
[0041]在网络访问场景中，用户的第一访问请求先到达交换机，然后由交换机发送至要访问的源站的服务器中。
[0042]本实施例中的攻击的诱捕处理方法，应用在旁路的诱捕安全设备中，该诱捕安全设备设置在相对于交换机到服务器的访问链路的旁路上，在交换机接收到第一访问请求之后，可以通过镜像的方式，获取访问服务器的第一访问请求。具体地，该第一访问请求可以是多个TCP包，通过对多个TCP包进行还原，可以得到镜像的HTTP请求。
[0043]本实施例中，可以通过分析第一访问请求的特征信息和预设的诱捕规则库，确定需要发起诱捕响应。即可以确定该第一访问请求为攻击，此时可以对该第一访问请求快速发起诱捕响应，能够及时有效地对该第一攻击请求进行反制。
[0044]本实施例的攻击的诱捕处理方法，与现有的会话阻断原理不同，通过采用上述技术方案，可以基于第一访问请求的特征信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击的诱捕处理方法，包括：基于交换机的镜像流量，获取发送至服务器的第一访问请求；获取所述第一访问请求的特征信息；基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；基于所述第一访问请求，进行诱捕响应。2.根据权利要求1所述的方法，其中，基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应，包括：检测并确定所述第一访问请求的特征信息命中所述诱捕规则库中的诱捕规则，确定需要启动诱捕响应；或者计算所述特征信息的哈希值；检测并确定所述特征信息的哈希值命中所述诱捕规则库中的诱捕规则，确定需要启动诱捕响应。3.根据权利要求1所述的方法，其中，基于所述第一访问请求，进行诱捕响应，包括：基于所述第一访问请求的序列号，发起预先创建的响应头包；组装诱捕脚本，构成诱捕响应包；发起所述诱捕响应包。4.根据权利要求3所述的方法，其中，基于所述第一访问请求，进行诱捕响应之后，所述方法还包括：接收所述诱捕脚本返回的诱捕数据，所述诱捕数据为所述诱捕脚本在所述第一访问请求的客户端运行后采集到的数据，包括所述第一访问请求的客户端的用户特征信息、所述客户端的设备特征信息、以及所述用户的社交溯源信息。5.根据权利要求4所述的方法，其中，接收所述诱捕脚本返回的诱捕数据之后，所述方法还包括：基于所述诱捕数据，进行访问拒绝处理。6.根据权利要求5所述的方法，其中，基于所述诱捕数据，进行访问拒绝处理，包括：基于所述诱捕数据中的所述第一访问请求的客户端的用户特征信息，对恶意用户信息表进行更新；向所述服务器发送所述恶意用户信息表，以供所述服务器基于所述恶意用户信息表，进行访问拒绝处理；基于所述诱捕数据中的所述第一访问请求的客户端的设备特征信息，对恶意设备信息表进行更新；向所述服务器发送所述恶意设备信息表，以供所述服务器基于所述恶意设备信息表，进行访问拒绝处理；向所述服务器发送所述诱捕数据中的所述用户的社交溯源信息，以供所述服务器基于所述用户的社交溯源信息，进行访问拒绝处理。7.根据权利要求1所述的方法，其中，获取所述第一访问请求的特征信息，包括：获取所述第一访问请求的IP地址；或者获取所述第一访问请求的IP地址和所述第一访问请求的身份特征信息。8.根据权利要求1所述的方法，其中，基于交换机的镜像流量，获取发送至服务器的第一访问请求之前，所述方法还包括：获取所述特征信息的第二访问请求；检测并确定所述第二访问请求为攻击；
基于所述特征信息，更新所述诱捕规则库。9.根据权利要求8所述的方法，其中，基于所述特征信息，更新所述诱捕规则库，包括：将所述特征信息，作为一条诱捕规则，更新至所述诱捕规则库中；或者基于所述特征信息，计算哈希值；将所述特征信息的哈希值作为一条诱捕规则，更新至所述诱捕规则库中。10.一种攻击的诱捕处理装置，包括：请求获取模块，用于基于交换机的镜像流量，获取发送至服务器的第一访问请求；特征获取模块，用于获取所述第一访问请求的特征信息；确定模块，用于基于所述第一访问请求的特征信息以及预设的诱捕规则库，确定需要启动诱捕响应；...

【专利技术属性】
技术研发人员：赵薛蛟，杜悦艺，王忠鹏，
申请(专利权)人：北京百度网讯科技有限公司，
类型：发明
国别省市：