本申请涉及一种蜜罐识别方法、装置、计算机设备和存储介质,涉及信息安全技术领域,可用于金融科技领域或其他领域。所述方法包括:在目标客户端访问目标系统的过程中,监测目标客户端发送的请求消息,并判断请求消息是否为跨域请求消息;在请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别请求消息包含的目标识别特征;从识别特征和异常等级的对应关系中,确定目标识别特征对应的目标异常等级;基于目标异常等级,确定目标系统的识别结果,识别结果用于表征目标系统是否为蜜罐。采用本方法能够提高蜜罐识别的精准度。采用本方法能够提高蜜罐识别的精准度。采用本方法能够提高蜜罐识别的精准度。
【技术实现步骤摘要】
蜜罐识别方法、装置、计算机设备和存储介质
[0001]本申请涉及信息安全
,特别是涉及一种蜜罐识别方法、装置、计算机设备和存储介质。
技术介绍
[0002]随着云计算、物联网等技术的发展,网络不再有明确的边界,网络安全体系建设也由传统对攻击的被动防御,上升至攻防对抗层面。网络安全体系可以基于蜜罐技术构建,即通过部署蜜罐来防御对业务系统的网络攻击。蜜罐识别,是从攻击者的角度来识别部署于防守方的蜜罐。在应用中,可以通过蜜罐识别的结果,来评估蜜罐产品的防御效果。
[0003]相关技术中,识别蜜罐的方法一般是基于蜜罐的欺骗行为特征进行识别,如基于端口信息、响应报文的关键字段等特征,识别出伪装业务系统的蜜罐。随着蜜罐技术的发展,出现了溯源型蜜罐,现有的基于欺骗行为特征识别蜜罐的方法,对溯源型蜜罐的识别精准度较低,得到的识别结果难以准确反映溯源型蜜罐的实际防御效果。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够提高蜜罐识别精准度的蜜罐识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
[0005]第一方面,本申请提供了一种蜜罐识别方法。所述方法包括:在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐。
[0006]在其中一个实施例中,所述根据预设的特征识别策略,识别所述请求消息包含的目标识别特征,包括:获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。
[0007]在其中一个实施例中,所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:解析所述请求消息,并从解析后的请求消息中提取目标字段信息;将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述
目标字段信息相同的识别特征,确定为匹配成功的识别特征。
[0008]在其中一个实施例中,所述识别特征对应有异常等级;所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。
[0009]在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于所述请求消息集合确定所述目标系统的识别结果。
[0010]在其中一个实施例中,所述基于所述请求消息集合确定所述目标系统的识别结果,包括:提取所述请求消息集合中各请求消息包含的目标域名;在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
[0011]在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:在所述目标异常等级为第二异常等级的情况下,获取所述目标系统的前端内容信息;将所述目标系统的前端内容信息和所述请求消息输入至关联度模型,得到所述请求消息与所述目标系统的关联度;在所述关联度小于预设阈值的情况下,将所述目标系统识别为蜜罐。
[0012]在其中一个实施例中,所述方法还包括:检测所述目标客户端安装的目标渗透测试软件的目标功能的启用状态;所述启用状态包括开启状态和关闭状态;在所述目标功能为开启状态的情况下,显示提示信息,所述提示信息用于提示用户关闭所述目标功能。
[0013]在其中一个实施例中,所述方法还包括:在所述目标客户端访问所述目标系统的过程中,获取所述目标系统的文件数据;识别所述文件数据的风险程度,并在所述文件数据的风险程度满足预设条件的情况下,将所述目标系统识别为蜜罐。
[0014]第二方面,本申请还提供了一种蜜罐识别装置。所述装置包括:监测模块,用于在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;第一识别模块,用于在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;第一确定模块,用于从识别特征和异常等级的对应关系中,确定所述目标识别特
征对应的目标异常等级;第二确定模块,用于基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐。
[0015]在其中一个实施例中,所述第一识别模块具体用于:获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。
[0016]在其中一个实施例中,所述第一识别模块具体用于:解析所述请求消息,并从解析后的请求消息中提取目标字段信息;将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述目标字段信息相同的识别特征,确定为匹配成功的识别特征。
[0017]在其中一个实施例中,所述识别特征对应有异常等级;所述第一识别模块具体用于:将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。
[0018]在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述第二确定模块具体用于:在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于所述请求消息集合确定所述目标系统的识别结果。
[0019]在其中一个实施例中,所述第二确定模块具体用于:提取所述请求消息集合中各请求消息包含的目标域名;在所述目标域名的种类数量大于预设阈值的情况下,将所述目标系统识别为蜜罐。
[0020]在其中一个实施例中,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述第二确定模块具体用于:在所述目标异常等级为第二异常等级的情况下,获取所述目标系统的前端内容信息;将所述目标系统的前端内容信息和所述请求消息输入至关联度模型,得到所述请求消息与所述目标系统的关联度;在所述关联度小于预设阈值的情况下,将所述目标系统本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜罐识别方法,其特征在于,所述方法包括:在目标客户端访问目标系统的过程中,监测所述目标客户端发送的请求消息,并判断所述请求消息是否为跨域请求消息;在所述请求消息为跨域请求消息的情况下,根据预设的特征识别策略,识别所述请求消息包含的目标识别特征;从识别特征和异常等级的对应关系中,确定所述目标识别特征对应的目标异常等级;基于所述目标异常等级,确定所述目标系统的识别结果,所述识别结果用于表征所述目标系统是否为蜜罐。2.根据权利要求1所述的方法,其特征在于,所述根据预设的特征识别策略,识别所述请求消息包含的目标识别特征,包括:获取待匹配的特征集合;所述特征集合包含多个基于目标网络行为提取得到的识别特征;将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,并将匹配成功的所述识别特征,确定为所述请求消息包含的目标识别特征。3.根据权利要求2所述的方法,其特征在于,所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:解析所述请求消息,并从解析后的请求消息中提取目标字段信息;将所述目标字段信息与所述特征集合中的各所述识别特征进行比对,并将与所述目标字段信息相同的识别特征,确定为匹配成功的识别特征。4.根据权利要求2所述的方法,其特征在于,所述识别特征对应有异常等级;所述将所述请求消息与所述特征集合中的各所述识别特征进行匹配处理,包括:将所述特征集合中的各所述识别特征,按照异常等级从高到底的顺序与所述请求消息进行匹配处理。5.根据权利要求1所述的方法,其特征在于,所述目标异常等级包括第一异常等级和第二异常等级,所述第一异常等级的异常程度大于所述第二异常等级;所述基于所述目标异常等级,确定所述目标系统的识别结果,包括:在所述目标异常等级为第一异常等级的情况下,将所述目标系统识别为蜜罐;在所述目标异常等级为第二异常等级的情况下,确定目标异常等级为第二异常等级的请求消息集合,并基于所述请求消息集合确定所述目标系统的识别结果。6.根据权利要求5所述的方法,其特征在于,所述基于所述请求消息集合确定所述目标系统的识别结果,包括:提取所述请求消息集合中各请求消息包含的目标域名;在所述目标域名的种类数量大于预设阈值的情况下,将所述...
【专利技术属性】
技术研发人员:贾紫倩,丁炎,高铭剑,张茜,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。