[发明专利]基于蜜罐的网络防御方法、系统、介质及装置

权利要求书

1.一种网络防御方法，其特征在于，包括以下步骤：

预设恶意流量请求头的host字段与调用脚本的对应关系，接收已由应用防护系统判断为恶意流量的访问流量，基于所述host字段判断调用第一类脚本还是第二类脚本；

当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面；所述标签用于区分所述恶意流量的攻击类型；

当调用第二类脚本时，识别所述恶意流量的请求路径，基于所述请求路径识别所述恶意流量的请求类型，基于所述请求类型返回相应的页面、文件或资源；

所述当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面包括以下步骤：

基于所述标签判断所述恶意流量的攻击类型是否为预设的攻击类型；

当是预设的攻击类型时，识别所述恶意流量的请求路径是否为预设的请求路径；

当是预设的请求路径时，基于所述预设的请求路径返回预设页面；

当不是预设的请求路径时，返回第一默认页面；

或，所述当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面包括以下步骤：

基于所述标签判断所述恶意流量的攻击类型是否为预设的攻击类型；

当是预设的攻击类型时，识别所述恶意流量的请求参数是否为预设的请求参数；

当是预设的请求参数时，基于所述预设的请求参数返回预设页面；

当不是预设的请求参数时，返回第一默认页面。

2.根据权利要求1所述的网络防御方法，其特征在于，所述当调用第二类脚本时，识别所述恶意流量的请求路径，基于所述请求路径识别所述恶意流量的请求类型，基于所述请求类型返回相应的页面、文件或资源包括以下步骤：

识别所述请求路径是否为入口路径；

当是入口路径时，返回入口页面；

当不是入口路径时，识别所述请求路径是否为登录请求路径；

当是登录请求路径时，获取所述恶意流量的请求用户名和请求密码，判断所述恶意流量的请求用户名和请求密码是否与预设用户名和预设密码一致；

当一致时返回预设登录成功页面；

当不一致时返回预设登录不成功页面；

当不是登录请求路径时，识别所述请求路径是否为提交登录成功后的下载页面；

当是下载页面时，返回预设的下载文件；

当不是下载页面时，识别所述请求路径是否为预设的资源；

当是预设的资源时，返回预设的资源；

当不是预设的资源时，返回第二默认页面。

3.根据权利要求1所述的网络防御方法，其特征在于，所述识别所述恶意流量的请求路径，基于所述请求路径识别所述恶意流量的请求类型，基于所述请求类型返回相应的页面、文件或资源包括以下步骤：

通过请求头中的host字段作为判断使用对应脚本；

识别所述请求路径是否为预设请求路径；

当是预设请求路径时，基于预设脚本返回所述相应的页面、文件或资源。

4.根据权利要求1所述的网络防御方法，其特征在于，所述攻击类型包括但不局限于以下任意一种或多种：SQL注入、xss攻击、爬虫攻击、CC攻击、webshell攻击、CSRF攻击。

5.根据权利要求4所述的网络防御方法，其特征在于，所述SQL注入对应的预设页面包括以下任意一种或多种：预设注入失败页面、预设注入报错信息页面或预设注入成功页面；所述xss攻击对应的预设页面包括：预设弹窗页面；所述爬虫攻击对应的预设页面包括：预设的业务页面；所述CC攻击对应的预设页面包括：预设访问成功的数据信息页面，预设页面访问失败的报错页面；所述webshell攻击对应的预设页面包括：预设访问提交成功的页面，预设提交失败的页面，预设无权限的页面；所述CSRF攻击对应的预设页面包括：预设提交失败页面、预设提交报错信息页面或预设提交成功页面。