[发明专利]基于蜜罐的网络防御方法、系统、介质及装置

说明书

本发明提供一种基于蜜罐的网络防御方法、系统、介质及装置，包括：预设恶意流量请求头的host字段与调用脚本的对应关系，接收已由应用防护系统判断为恶意流量的访问流量，基于所述host字段判断调用第一类脚本还是第二类脚本；当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面；当调用第二类脚本时，识别所述恶意流量的请求路径，基于所述请求路径识别所述恶意流量的请求类型，基于所述请求类型返回相应预设页面。本发明用于将拦截与蜜罐合并，即结合应用防护系统防护与蜜罐，基于恶意流量的各类攻击手法给予相应的不同反馈，灵活快速地返回响应内容，迷惑所述恶意流量。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于蜜罐的网络防御方法、系统、介质及装置。

背景技术

在当下的流行WAF(应用防护系统(也称为:网站应用级入侵防御系统。英文:WebApplication Firewall，简称:WAF))产品中，大多数被识别的攻击都仅仅是返回403或者带有能够识别WAF产品标志性的页面。当前市面上的一般都是单独的WAF产品和蜜罐系统，WAF产品阻止攻击者的恶意访问，蜜罐系统则单独配置，将攻击者引入，然后对攻击者的行为进行分析操作。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题。

目前的拦截与蜜罐都是分开进行防护业务的安全，这样会增加设备的使用和维护成本，对于运维的人员成本也会更高。

因此，希望能够解决现有防护是拦截与蜜罐分离，设备的使用和维护成本高的问题。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种基于蜜罐的网络防御方法、系统、介质及装置，用于解决现有技术中现有防护是拦截与蜜罐分离，设备的使用和维护成本高的问题。

为实现上述目的及其他相关目的，本发明提供一种基于蜜罐的网络防御方法，包括以下步骤：预设恶意流量请求头的host字段与调用脚本的对应关系，接收已由应用防护系统判断为恶意流量的访问流量，基于所述host字段判断调用第一类脚本还是第二类脚本；当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面；当调用第二类脚本时，识别所述恶意流量的请求路径，基于所述请求路径识别所述恶意流量的请求类型，基于所述请求类型返回相应预设页面。

于本发明的一实施例中，所述当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面包括以下步骤：基于所述标签判断所述恶意流量的攻击类型是否为预设的攻击类型；当是预设的攻击类型时，识别所述恶意流量的请求路径是否为预设的请求路径；当是预设的请求路径时，基于所述预设的请求路径返回预设页面；当不是预设的请求路径时，返回第一默认页面。

于本发明的一实施例中，所述当调用第一类脚本时，基于所述恶意流量的标签识别所述恶意流量的攻击类型，基于所述攻击类型返回相应预设页面包括以下步骤：基于所述标签判断所述恶意流量的攻击类型是否为预设的攻击类型，当是预设的攻击类型时；识别所述恶意流量的请求参数是否为预设的请求参数；当是预设的请求参数时，基于所述预设的请求参数返回预设页面；当不是预设的请求参数时，返回第一默认页面。