[发明专利]交互式攻击确认方法、装置、系统、设备和介质

说明书

本公开提供了一种交互式攻击确认方法，涉及信息安全领域。该方法包括：拦截用户发送至应用服务器的业务访问请求；对所述业务访问请求进行攻击检测，其中，所述攻击检测用于检测所述用户的攻击行为；基于所述攻击检测的结果，若所述业务访问请求命中特定行为规则，响应于所述业务访问请求返回攻击诱导响应页面，以对所述用户进行N次交互式攻击检测。能够实时对攻击行为进行分析拦截，响应速度快。多次交互可以提高判断的精准性，在保障正常业务处理的同时，大幅提高攻击识别准确率，从整体上提高了防守方的实时防御能力。本公开还提供了一种交互式攻击确认装置、系统、设备、存储介质和程序产品。

技术领域

本公开涉及信息安全领域，更具体地，涉及一种交互式攻击确认方法、装置、系统、设备、介质和程序产品。

背景技术

在网络安全监控场景中，由于应用的业务复杂性，导致一些正常的业务交易也可能会命中报警规则从而触发监控设备告警。为了不影响业务正常运行，很多监控设备对于无法确认为攻击的行为，往往采取放行的策略，导致很有可能放过真正的攻击行为。目前针对此种情况，补偿方案主要依靠事后根据历史流量进行人工确认。

在实现本公开发明构思的过程中，发明人发现相关技术中至少存在以下问题：事后确认攻击的方法需要较多的人力成本，且无法事中实时阻断攻击行为，存在较大的安全隐患。

发明内容

鉴于上述问题，本公开提供了一种能够实时处理疑似攻击行为的交互式攻击确认方法、装置、系统、设备、介质和程序产品。

本公开实施例的一个方面提供了一种交互式攻击确认方法，包括：拦截用户发送至应用服务器的业务访问请求；对所述业务访问请求进行攻击检测，其中，所述攻击检测用于检测所述用户的攻击行为；基于所述攻击检测的结果，若所述业务访问请求命中特定行为规则，响应于所述业务访问请求返回攻击诱导响应页面，以对所述用户进行N次交互式攻击检测，其中，N为大于或等于1的整数，所述攻击诱导响应页面具有可攻击漏洞。

根据本公开的实施例，所述对所述用户进行N次交互式攻击检测包括：循环执行以下步骤，直至循环N次或满足预定条件，拦截所述用户发送至所述应用服务器的攻击诱导请求，其中，所述攻击诱导请求包括所述用户响应于所述攻击诱导响应页面发送的访问请求；对所述攻击诱导请求进行所述攻击检测；若所述攻击诱导请求命中特定行为规则，响应于所述攻击诱导请求返回所述攻击诱导响应页面。

根据本公开的实施例，所述预定条件包括确认所述攻击诱导请求命中攻击条件，或确认所述攻击诱导请求未命中所述攻击条件，若确认所述攻击诱导请求命中攻击行为规则，将所述用户的IP地址加入至黑名单库，结束循环；或若确认所述攻击诱导请求未命中所述攻击行为规则和所述特定行为规则，确认不存在所述攻击行为，结束循环。

根据本公开的实施例，在每次返回所述攻击诱导响应页面之前，所述方法还包括：从攻击测试库中随机选取确定该次的攻击诱导响应页面，其中，所述攻击测试库中包括M个攻击诱导响应页面，每个攻击诱导响应页面具有不同的可攻击漏洞。

根据本公开的实施例，在拦截用户发送至应用服务器的业务访问请求之后，所述方法还包括：基于所述用户的用户标识存储所述业务防问请求；若所述业务防问请求命中所述特定行为规则，基于所述用户标识进行所述N次交互式攻击检测。

根据本公开的实施例，其中，若确认不存在所述攻击行为，所述方法还包括：将所述业务访问请求发送至所述应用服务器。

根据本公开的实施例，其中，所述对所述业务访问请求或所述攻击诱导请求进行攻击检测包括：利用攻击测试库匹配所述业务访问请求或所述攻击诱导请求，所述攻击测试库包括攻击行为规则和所述特定行为规则；和/或执行以下至少一项检测步骤：将所述用户的IP地址与白名单库中的至少一个白名单地址进行匹配，所述至少一个白名单地址用于直接放行所述业务访问请求；将所述用户的IP地址与黑名单库中的至少一个黑名单地址进行匹配，所述至少一个黑名单地址用于直接阻断所述业务访问请求。