[发明专利]网络攻击行为的捕获方法、装置、系统、设备及介质

说明书

本发明公开了一种网络攻击行为的捕获方法、装置、系统、设备及介质，所述捕获方法包括：将至少一个蜜罐代理服务器的代理日志传输给分布式集群；通过所述分布式集群将所述代理日志传输给用于分布式全文检索的搜索服务器进行存储；对所述搜索服务器中存储的代理日志进行网络攻击行为的捕获分析。本发明有效地解决蜜罐代理服务器宕机的问题，有效降低IO消耗，有效增加蜜罐代理服务器的可利用率。

技术领域

本发明涉及网络技术领域，特别是涉及一种网络攻击行为的捕获方法、装置、系统、设备及介质。

背景技术

常见的爬虫及撞库行为频率很高，容易触发基于IP(Internet ProtocolAddress，互联网协议地址)维度的封禁，所以攻击者需要通过一些共有私有的代理来完成其攻击行为。Web(World Wide Web，全球广域网)代理蜜罐则是对通过在网络中搭建Web代理服务器，诱使”攻击方“通过该蜜罐进行攻击行为，从而捕获网络流量，分析其行为，帮助防御方进行针对性对攻击的防御。

目前，Web代理蜜罐系统存在以下缺陷，其中Web代理蜜罐也可以简述为代理蜜罐：

服务端易宕机，数据传输存在瓶颈，数据分析难度高。

每台代理服务器可能会收到到大量HTTP(HyperText Transfer Protocol，超文本传输协议)代理请求，类似被DDoS(Distributed Denial of Service，分布式拒绝服务)，易使服务器宕机。

需要将所有的搜集到的数据统一回传到数据处理中心，传统架构传输通常是采用logstash进行数据传输，由于logstash占用主机CPU(Central Processing Unit，中央处理器)较高，也容易使代理服务器奔溃。其中，logstash是一款日志搜集处理框架。

当多台代理服务器统一回传给后端服务器，后端对IO(Input/Output，输入输出)要求很高。

对收集到的数据进行存储，传统的关系型数据库并不适合查询分析。

发明内容

为了克服上述缺陷，本发明要解决的技术问题是提供一种网络攻击行为的捕获方法、装置、系统、设备及介质，用以至少提供现有蜜罐代理系统中蜜罐代理服务器的可利用率。

为解决上述技术问题，本发明实施例中的一种网络攻击行为的捕获方法，包括：

将至少一个蜜罐代理服务器的代理日志传输给分布式集群；

通过所述分布式集群将所述代理日志传输给用于分布式全文检索的搜索服务器进行存储；

对所述搜索服务器中存储的代理日志进行网络攻击行为的捕获分析。

可选地，所述将至少一个蜜罐代理服务器的代理日志传输给分布式集群之前，包括：

通过用于服务端代理服务程序Supervisor管理各个蜜罐代理服务器的蜜罐代理服务的运行。

可选地，所述通过用于服务端代理服务程序Supervisor管理各个蜜罐代理服务器的蜜罐代理服务的运行，包括：

通过所述Supervisor管理各个蜜罐代理服务器的蜜罐代理服务所对应的服务进程；

在监测到有服务进程报错时，启动与报错的服务进程对应的蜜罐代理服务。

可选地，所述通过用于服务端代理服务程序Supervisor管理各个蜜罐代理服务器的蜜罐代理服务的运行之后，包括：

通过所述Supervisor生成各个蜜罐代理服务器的代理日志。

可选地，所述将至少一个蜜罐代理服务器的代理日志传输给分布式集群，包括：