一种基于全局比对算法的Web蜜罐响应生成方法

本发明涉及网络安全，具体涉及一种基于全局比对算法的web蜜罐响应生成方法。

背景技术：

1、蜜罐是一种欺骗防御技术，通过设置一个虚假的服务来吸引攻击者，将攻击者的视野从真实目标上转移到欺骗环境中，以保护真实的服务免受攻击。web蜜罐是指模拟web服务的蜜罐，它通过模拟目标服务的网页界面来吸引攻击者发起web攻击，并记录下攻击者的交互行为，从而了解攻击者的技术手段和意图。

2、传统web蜜罐通常具有特定的指纹，难以抵御攻击者的指纹攻击。指纹攻击是检测和标记蜜罐的有效工具，攻击者可以利用指纹攻击来检测蜜罐。在典型的指纹攻击中，攻击者主动收集目标主机的响应信息，并将这些响应与已有的蜜罐指纹库进行匹配。若发现响应中存在符合蜜罐指纹的特征，则判定目标为蜜罐。例如，可以通过分析http响应是否有“<h2>blog comments</h2>”来识别glastopf蜜罐，而常见的开源hfish蜜罐也可以通过检测http响应中的“static/x.js”特征来绕过。

3、为了减少指纹攻击，web蜜罐可以采用真实服务的数据集进行响应。由于真实服务的数据具备真实性与多样性，通常不携带蜜罐的指纹特征。然而，这个做法的缺点是数据集回归到了离线状态，即数据集脱离了真实服务的实时反馈。因此，蜜罐需要保证响应内容的仿真度，对一些需要更新的字段值灵活变化。例如，日期时间和设备读数等字段的值需要灵活变化，才能最大程度地欺骗攻击者。

4、因此，传统web蜜罐技术中亟需一种能够提高web响应仿真能力的技术。

技术实现思路

1、本发明针对上述问题，提供了一种基于全局比对算法的web蜜罐响应生成方法，通过全局比对算法，构建web蜜罐的响应模板，设计可变字段的更新规则，以生成高仿真的http响应，从而增强web蜜罐响应的仿真能力，所述方法包括：

2、构建空白的http会话字典，收集http会话数据并进行预处理，得到http会话字典，所述http会话字典存储有以键值对存储形式的http请求-响应链；

3、基于所述http会话字典，使用全局比对算法对若干http请求-响应链进行比对，根据比对匹配结果确定可变字段；

4、基于所述可变字段和所述http请求-响应链构建web蜜罐响应模板；

5、蜜罐接收外部http请求并判断请求类型，基于所述请求类型与所述web蜜罐响应模板，生成web蜜罐响应。

6、可选的，收集http会话数据具体包括：

7、收集web服务与用户的交互数据，将所述交互数据以web服务为单位整理成相应的http会话数据；其中，所述用户包括普通用户和恶意攻击者。

8、可选的，对所述http会话数据进行预处理的过程具体包括：

9、基于所述http会话数据整理http请求会话簇，所述http请求会话簇由若干http请求响应簇组成；

10、使用请求匹配算法提取所述http请求会话簇的请求与对应响应。

11、可选的，所述请求匹配算法具体包括：

12、输入单个http请求响应簇，判断单个http请求响应簇中的http请求字符串是否属于http会话字典的键；

13、若不属于http会话字典的键，将http字符串作为所述http会话字典的键，将当前http请求对应的http响应字符串作为值添加到http会话字典中；

14、若属于http会话字典的键，则判断当前http请求是否为静态文件类型的请求，若是静态文件类型的请求则直接跳过，若不是静态文件类型的请求，将当前http请求对应的http响应字符串作为值添加到当前键所述的值中。

15、可选的，基于所述http会话字典，使用全局比对算法对多个http请求-响应链进行比对，根据比对匹配结果确定可变字段的过程具体包括：

16、对http响应字符串序列进行初始化得分矩阵的计算；

17、基于所述初始化得分矩阵的计算结果填充得分矩阵；

18、对所述得分矩阵进行路径回溯的计算，得到回溯得分矩阵；

19、基于所述回溯得分矩阵查找可变字段。

20、可选的，对http响应字符串序列进行初始化得分矩阵的计算的过程具体包括：

21、输入两个同http请求的响应字符串序列，所述响应字符串序列分别为和，与分别表示序列x和序列y的长度，与表示序列x和序列y的字符，其中；

22、对所述响应字符串序列构建二维得分矩阵，其中表示序列、对应下标的字符匹配的最佳得分；

23、把初始化为全零矩阵，设定初始化得到矩阵：

24、。

25、可选的，基于所述初始化得分矩阵的计算结果填充得分矩阵的过程具体包括：

26、对二维得分矩阵的元素进行递归计算，从所述二维得分矩阵的左上角递归计算到右下角，计算对角线、水平方向以及垂直方向上的值：

27、通过比较对角线上与所述初始化得分矩阵的值、水平方向上加上空位罚分的值以及垂直方向上加上空位罚分的值，取三者的最大值作为的值，重复计算过程直到生成完整的二维矩阵：

28、;

29、其中，空位罚分的数值为0。

30、可选的，对所述得分矩阵进行路径回溯的计算，得到回溯得分矩阵的过程具体包括：

31、从最佳得分沿着右下角到左上角的路径进行回溯，得到序列、全局的最优匹配结果；

32、设最优匹配结果为，若与这两个字符相同，则根据对角线原则从右下角开始逐步回溯到左上角；若不相同，则向左移动一个字符后再次进行比对，直到字符完全匹配为止，回溯过程为：

33、。

34、与现有技术相比，本发明的有益效果为：

35、本发明提供了web蜜罐的响应生成方法，有以下两个优点：

36、（1）相较于其他web蜜罐采用虚假服务进行响应的做法，本发明利用真实web服务数据作为响应的基准，从而避免了携带开源蜜罐常见的指纹特征，显著降低了攻击者针对蜜罐进行指纹攻击的风险，增强了蜜罐的隐蔽性和安全性。

37、（2）本发明的方法可以降低对真实服务响应机制的依赖程度，只需合理设置模板中可变字段的更新规则，并结合响应模板进行动态调整，从而提高web蜜罐响应的仿真性与灵活性。

技术特征：

1.一种基于全局比对算法的web蜜罐响应生成方法，其特征在于，所述方法包括：

2.根据权利要求1所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，收集http会话数据具体包括：

3.根据权利要求2所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，对所述http会话数据进行预处理的过程具体包括：

4.根据权利要求3所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，所述请求匹配算法具体包括：

5.根据权利要求4所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，基于所述http会话字典，使用全局比对算法对多个http请求-响应链进行比对，根据比对匹配结果确定可变字段的过程具体包括：

6.根据权利要求5所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，对http响应字符串序列进行初始化得分矩阵的计算的过程具体包括：

7.根据权利要求6所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，基于所述初始化得分矩阵的计算结果填充得分矩阵的过程具体包括：

8.根据权利要求7所述的基于全局比对算法的web蜜罐响应生成方法，其特征在于，对所述得分矩阵进行路径回溯的计算，得到回溯得分矩阵的过程具体包括：

技术总结本发明公开了一种基于全局比对算法的Web蜜罐响应生成方法，属于网络安全技术领域，所述方法包括：收集HTTP会话数据并进行预处理，构建HTTP会话字典；基于所述HTTP会话字典中，使用全局比对算法对HTTP请求‑响应链进行比对，根据比对匹配结果确定可变字段；基于所述可变字段和所述HTTP请求‑响应链构建Web蜜罐响应模板；蜜罐接收外部HTTP请求并判断请求类型，基于所述请求类型与所述Web蜜罐响应模板，生成Web蜜罐响应。本发明利用真实Web服务数据作为响应的基准，从而避免了携带开源蜜罐常见的指纹特征，显著降低了攻击者针对蜜罐进行指纹攻击的风险，增强了蜜罐的隐蔽性和安全性。技术研发人员：江魁,苏耀阳,王宽锋受保护的技术使用者：深圳大学技术研发日：技术公布日：2024/7/23