[发明专利]应对网络攻击的信息处理方法、装置、系统、介质及程序

说明书

本公开提供了一种应对网络攻击的信息处理方法。所述方法包括：在诱捕到攻击数据后，识别出攻击数据中的攻击行为的攻击类别；获取预置的与所述攻击类别对应的原子响应数据；将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据；以及将所述响应数据反馈给发送所述攻击数据的攻击者，以诱骗并分析所述攻击者进一步的攻击行为。本公开还提供了一种应对网络攻击的信息处理装置、系统、介质及程序。

技术领域

本公开涉及互联网信息安全技术领域，更具体地，涉及一种应对网络攻击的信息处理方法、装置、系统、介质及程序。

背景技术

随着互联网和工控网络的不断发展和应用，政府和企业更加重视信息安全的建设。目前业界主要是通过蜜罐技术对网络攻击进行捕获、诱骗和分析。现有蜜罐的诱骗技术要么是被动的静态应答，要么是主动的基于预置数据的防御欺骗。前者对攻击行为无主动欺骗特性，无法对攻击行为进行主动诱骗；后者虽然可以主动欺骗，但用以欺骗的数据过于死板，一般是内置的模板数据，仿真度低，无法吸引攻击者注意，欺骗性和诱惑性较差，因此成功率较低。

发明内容

有鉴于此，本公开实施例提供了一种可以反馈给攻击者高仿真性的诱骗数据的应对网络攻击的信息处理方法、装置、系统、介质及程序。

本公开实施例的一个方面提供了一种应对网络攻击的信息处理方法。所述方法包括：在诱捕到攻击数据后，识别出攻击数据中的攻击行为的攻击类别；获取预置的与所述攻击类别对应的原子响应数据；将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据；以及将所述响应数据反馈给发送所述攻击数据的攻击者，以诱骗并分析所述攻击者进一步的攻击行为。

根据公开的实施例，所述将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据包括：根据所述攻击数据中的目的IP及目的端口，获取所述目的IP及目的端口提供的服务中的第一页面，其中，所述第一页面为所述服务中的一个或多个页面的其中之一；以及将所述原子响应数据和所述第一页面合并，得到所述响应数据。

根据本公开的实施例，所述获取所述目的IP及目的端口提供的服务中的第一页面的信息包括：根据所述目的IP以及目的端口，从日志系统中查询与所述服务对应的M个页面的日志数据，其中，M为大于1的整数；以及按照预定规则从M个页面中选择所述第一页面。

根据本公开的实施例，所述按照预定规则从M个页面中选择所述第一页面包括：基于页面的复杂度、页面引用外部资源的数量、以及页面的大小，评估所述M个页面中每个页面的响应仿真度；以及选择响应仿真度最高的页面作为所述第一页面。

根据本公开的实施例，所述将所述原子响应数据和所述第一页面合并，得到所述响应数据包括：在所述第一页面中选择驻点位置，其中，所述驻点位置包括页面的开头位置、段落位置或结束位置；以及将所述原子响应数据设置于所述第一页面中的所述驻点位置。

根据本公开的实施例，所述将所述原子响应数据与所述攻击数据所要访问的资产的信息相结合，构造与所述攻击数据对应的响应数据包括：根据所述攻击数据中的目的IP及目的端口，获取所述目的IP以及目的端口所提供的服务中的数据的数据特征；以及将所述原子响应数据调整为与所述数据特征相适应的数据。

根据本公开的实施例，所述攻击类别包括SQL注入攻击。所述根据所述攻击数据中的目的IP及目的端口，获取所述目的IP以及目的端口所提供的服务中的数据的数据特征，包括根据所述目的IP以及目的端口，从日志系统中查询所述攻击数据要访问的数据库中的数据表的数据结构。所述将所述原子响应数据调整为与所述数据特征相适应的数据，包括按照所述数据表的数据结构设置所述原子响应数据中的各个字段，以调整所述原子响应数据。