[发明专利]针对Web攻击的主动欺骗防御方法、系统、设备及介质

说明书

本发明实施例提供了一种针对Web攻击的主动欺骗防御方法、系统、设备及介质，在Web防火墙检测到Web攻击时主动将攻击者引流至蜜罐，不需要大量部署蜜罐被动监听；并且在黑客发起Web攻击成功立即进行欺骗引流，确保蜜罐能够触达黑客。另外，针对攻击请求，首先从业务响应数据库中查询响应匹配项，获取响应匹配项对应的缓存内容作为响应内容，之后基于攻击请求类型选取对应的攻击响应方式，利用响应内容和攻击响应方式对攻击请求进行欺骗响应，响应数据库与攻击响应方式的选取和业务网站是深度融合，达到真实的伪装效果。

技术领域

本发明实施例涉及信息安全技术领域，具体涉及一种针对Web攻击的主动欺骗防御方法、系统、设备及介质。

背景技术

针对Web攻击通常利用蜜罐部署来实现欺骗防御，传统蜜罐部署中采用蜜罐被动监听，主要通过大规模部署让黑客有一定概率触达，需要大量的蜜罐/诱饵来接触到攻击事件，主要存在以下问题：（1）蜜罐部署成本高；（2）难以触达黑客，蜜罐通常是被动的等待黑客触达；（3）真实性差，蜜罐即使尝试模拟真实业务，也和真实业务有较大区别。

发明内容

为此，本发明实施例提供一种针对Web攻击的主动欺骗防御方法、系统、设备及介质，以解决传统Web攻击防御手段效果差的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种针对Web攻击的主动欺骗防御方法，所述方法包括：

接收访问请求；

针对所述访问请求获取用户标识；

检测所述访问请求是否为攻击请求；

如果所述访问请求为攻击请求，则转发所述攻击请求；

判断所述攻击请求对应的目标资源是否为静态资源；

如果所述目标资源为静态资源，则利用所述攻击请求的预设字段，查询业务响应数据库中是否存在响应匹配项；

如果业务响应数据库中存在响应匹配项，获取所述响应匹配项对应的缓存内容作为响应内容；

判断所述攻击请求的类型，基于攻击请求类型选取对应的攻击响应方式；

将所述攻击响应方式注入所述响应内容；

利用所述响应内容按照所述攻击响应方式对所述攻击请求进行响应。

进一步地，针对所述访问请求获取用户标识，包括：

判断所述访问请求对应的Cookie文件中是否带有会话ID；

如果所述访问请求对应的Cookie文件中不带有会话ID，则返回跳转，跳转后由用户在Cookie文件中设置会话ID；

如果所述访问请求对应的Cookie文件中带有会话ID，则针对所述访问请求获取用户标识。

进一步地，所述方法还包括：

如果所述访问请求为攻击请求，则将所述攻击请求对应的会话ID拉入黑名单。

进一步地，所述方法还包括：

如果所述访问请求为正常请求，则直接将所述访问请求转发至业务服务器进行处理并响应。

进一步地，判断所述攻击请求对应的请求目标资源是否为静态资源，包括：

判断所述攻击请求对应URL的目标后缀名是否为静态资源类后缀名；

如果所述攻击请求对应URL的目标后缀名为静态资源类后缀名，则所述攻击请求对应的请求目标资源为静态资源；