[发明专利]应对网络攻击的信息处理方法、装置、系统、介质及程序

权利要求书

1.一种应对网络攻击的信息处理方法，包括：

在诱捕到攻击数据后，识别出攻击数据中的攻击行为的攻击类别；

获取预置的与所述攻击类别对应的原子响应数据；

将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据；以及

将所述响应数据反馈给发送所述攻击数据的攻击者，以诱骗并分析所述攻击者进一步的攻击行为。

2.根据权利要求1所述的方法，其中，所述将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据包括：

根据所述攻击数据中的目的IP及目的端口，获取所述目的IP及目的端口提供的服务中的第一页面，其中，所述第一页面为所述服务中的一个或多个页面的其中之一；以及

将所述原子响应数据和所述第一页面合并，得到所述响应数据。

3.根据权利要求2所述的方法，其中，所述获取所述目的IP及目的端口提供的服务中的第一页面的信息包括：

根据所述目的IP以及目的端口，从日志系统中查询与所述服务对应的M个页面的日志数据，其中，M为大于1的整数；以及

按照预定规则从M个页面中选择所述第一页面。

4.根据权利要求3所述的方法，其中，所述按照预定规则从M个页面中选择所述第一页面包括：

基于页面的复杂度、页面引用外部资源的数量、以及页面的大小，评估所述M个页面中每个页面的响应仿真度；以及

选择响应仿真度最高的页面作为所述第一页面。

5.根据权利要求2所述的方法，其中，所述将所述原子响应数据和所述第一页面合并，得到所述响应数据包括：

在所述第一页面中选择驻点位置，其中，所述驻点位置包括页面的开头位置、段落位置或结束位置；以及

将所述原子响应数据设置于所述第一页面中的所述驻点位置。

6.根据权利要求1或2所述的方法，其中，所述将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据包括：

根据所述攻击数据中的目的IP及目的端口，获取所述目的IP以及目的端口所提供的服务中的数据的数据特征；以及

将所述原子响应数据调整为与所述数据特征相适应的数据。

7.根据权利要求6所述的方法，其中，所述攻击类别包括SQL注入攻击；其中

根据所述攻击数据中的目的IP及目的端口，获取所述目的IP以及目的端口所提供的服务中的数据的数据特征，包括：

根据所述目的IP以及目的端口，从日志系统中查询所述攻击数据要访问的数据库中的数据表的数据结构；

将所述原子响应数据调整为与所述数据特征相适应的数据，包括：

按照所述数据表的数据结构设置所述原子响应数据中的各个字段，以调整所述原子响应数据。

8.一种应对网络攻击的信息处理装置，包括：

识别模块，用于在诱捕到攻击数据后，识别出攻击数据中的攻击行为的攻击类别；

获取模块，用于获取预置的与所述攻击类别对应的原子响应数据；

构造模块，用于将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据；以及

发送模块，用于将所述响应数据反馈给发送所述攻击数据的攻击者，以诱骗并分析所述攻击者进一步的攻击行为。

9.一种应对网络攻击的信息处理系统，包括：

一个或多个存储器，存储有可执行指令；以及

一个或多个处理器，执行所述可执行指令，以实现根据权利要求1～7中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～7中任一项所述的方法。

11.一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现根据权利要求1～7中任一项所述的方法。