前置蜜庭的URL特征引流方法、系统、存储介质及电子设备

本发明涉及网络安全防护，尤其涉及一种前置蜜庭的url特征引流方法、系统、存储介质及电子设备。

背景技术：

1、前置蜜庭是网络安全领域中的一种主动防御技术，其部署在整个被保护系统的前面，所有的流量都需要先经过前置蜜庭，经过前置蜜庭的流量会进行解析和分析，如果是正常流量，那么前置蜜庭会将其转发至正常业务上；如果是恶意流量，前置蜜庭则会将其转发至其他地方，如果是恶意流量，为了更好地分析攻击者行为，前置蜜庭不会简单地将恶意流量阻断，而是将其转发至其他地方。

2、攻击者可能会访问一些我们正常服务没有的url路径，尝试对正常业务进行攻击，为了更好地发现并观测攻击者对未知url的访问以及后续行为，亟需一种能具备这种未知url的流量功能的新型前置蜜庭，以将这些访问未知url的恶意流量转发至后端的url蜜点上，从而更好的发现攻击者，提升网络防御效果。

3、前置蜜庭是网络安全领域中的一种主动防御技术，部署在整个被保护系统的前面，所有的流量都需要先经过前置蜜庭，前置蜜庭会解析流量并进行分析，如果是正常流量，那么前置蜜庭会将其转发至正常业务上；如果是恶意流量，前置蜜庭则会有更精细的处理：为了更好地分析攻击者行为，前置蜜庭不会简单地将恶意流量阻断，因此，亟需一种引流方式使得攻击者对前置蜜庭进行主动访问,以更好的发现攻击者，从而提升网络防御效果。

技术实现思路

1、本发明的目的在于提供一种前置蜜庭的url特征引流方法、系统、存储介质及电子设备，旨在解决传统技术存在的网络防御效果较差的问题。

2、第一方面，本发明提供一种前置蜜庭的url特征引流方法，所述方法包括：

3、获取访问请求，并判断所述访问请求是否合法；

4、若所述访问请求不合法，则从所述访问请求中提取目标url特征，并根据所述目标url特征遍历预设url知识库中的所有url蜜点，得到所述目标url特征与任一所述url蜜点的url特征之间的相似度值；

5、根据所述相似度值从所述预设url知识库中筛选出目标url蜜点，并获取所述目标url蜜点的ip地址信息、端口信息以及url路径信息；

6、根据所述目标url蜜点的ip地址信息、端口信息以及url路径信息对所述访问请求进行修改。

7、综上，根据上述的前置蜜庭的url特征引流方法，前置蜜庭通过对一些特定的url访问流量(访问请求)进行转发，以转发至另外一台部署了目标url蜜点的主机上，使这些不合法的访问请求与真实的业务主机隔离开，避免访问请求本身未知的漏洞危害到真实业务，同时部署了目标url蜜点的主机能够利用访问请求吸引攻击者对该目标url蜜点进行主动攻击，进而容易被url蜜点成功诱捕，提高网络防御效果，同时可以重复利用该主机，减少制作url蜜点的成本。具体为，首先检测访问请求是否合法，以对不合法的访问请求提取目标url特征，进而遍历预设url知识库中的所有url蜜点，从而找到与访问请求中的目标url特征相似度最高的目标url蜜点，进而按照该目标url蜜点的相关信息对访问请求进行修改，从而实现将该访问请求按照修改后的信息转发至部署了目标url蜜点的主机上，进而实现不合法的访问请求与真实的业务主机的隔离,以及吸引攻击者对该访问请求主动攻击，从而容易被该url蜜点捕获。

8、进一步地，所述获取访问请求，并判断所述访问请求是否合法的步骤包括：

9、对所述访问请求进行解析，以根据解析结果判断所述访问请求是否在黑白名单内；

10、若所述访问请求不在黑白名单内，则获取与所述访问请求对应的url信息，并判断所述url信息是否合法。

11、进一步地，所述对所述访问请求进行解析，以根据解析结果判断所述访问请求是否在黑白名单内的步骤包括：

12、解析结果包括源ip、源端口、目的ip、目的端口、url路径；

13、判断所述源ip是否为预设黑名单中的ip或为预设白名单中的ip；

14、若所述源ip不为预设黑名单中的ip且不为预设白名单中的ip，则判定所述访问请求不在黑白名单内。

15、进一步地，所述判断所述源ip是否为预设黑名单中的ip或为预设白名单中的ip的步骤之后还包括：

16、若所述源ip为预设黑名单中的ip，则获取所述访问请求的访问次数，并判断所述访问次数是否大于第一预设访问次数阈值；

17、若所述访问次数大于第一预设访问次数阈值，则对所述访问请求反馈第一拒绝响应；

18、若所述访问次数小于或等于第一预设访问次数阈值，则将所述访问请求重定义为不合法；

19、若所述源ip为预设白名单中的ip，则直接对所述访问请求进行转发。

20、进一步地，所述若所述访问请求不合法，则从所述访问请求中提取目标url特征，并根据所述目标url特征遍历预设url知识库中的所有url蜜点，得到所述目标url特征与任一所述url蜜点的url特征之间的相似度值的步骤包括：

21、根据以下公式计算得到目标url特征与任一url蜜点的url特征之间的相似度值：

22、

23、其中，sj表示目标url特征与第j个url蜜点的url特征之间的相似度值，a表示目标url特征，cj表示第j个url蜜点的url特征。

24、进一步地，所述根据所述相似度值从所述预设url知识库中筛选出目标url蜜点，并获取所述目标url蜜点的ip地址信息、端口信息以及url路径信息的步骤包括：

25、判断是否存在大于第一预设相似度值阈值的相似度值；

26、若存在，则获取至少一种大于第一预设相似度阈值的第一相似度值；

27、对至少一种相似度值进行排序，以根据排序结果获取最大的第一相似度值，以根据最大的第一相似度值获取对应的目标url蜜点；

28、或者，对所有的相似度值进行排序，以根据排序结果获取最大的第二相似度值，并判断所述第二相似度值是否大于第一预设相似度阈值；

29、若所述第二相似度值大于第一预设相似度阈值，则根据所述第二相似度值获取对应的目标url蜜点。

30、进一步地，所述判断是否存在大于第一预设相似度值阈值的相似度值的步骤之后还包括：

31、若不存在大于第一预设相似于阈值的相似度值，则根据所述访问请求发送第二拒绝响应；

32、所述判断所述第二相似度值是否大于第一预设相似度阈值的步骤之后还包括：

33、若所述第二相似度值小于或等于所述第一预设相似度阈值，则根据所述访问请求发送第三拒绝响应。

34、第二方面，本发明提供一种url特征引流系统，所述系统包括：

35、请求获取模块，用于获取访问请求，并判断所述访问请求是否合法；

36、特征提取模块，用于若所述访问请求不合法，则从所述访问请求中提取目标url特征，并根据所述目标url特征遍历预设url知识库中的所有url蜜点，得到所述目标url特征与任一所述url蜜点的url特征之间的相似度值；

37、蜜点信息获取模块，用于根据所述相似度值从所述预设url知识库中筛选出目标url蜜点，并获取所述目标url蜜点的ip地址信息、端口信息以及url路径信息；

38、引流执行模块，用于根据所述目标url蜜点的ip地址信息、端口信息以及url路径信息对所述访问请求进行修改，以根据修改结果将所述访问请求转发至部署所述目标url蜜点的主机上。

39、第三方面，本发明提供一种存储介质，所述存储介质存储一个或多个程序，该程序被处理器执行时实现上述的前置蜜庭的url特征引流方法。

40、第四方面，本发明提供一种电子设备，所述电子设备包括存储器和处理器，其中：

41、所述存储器用于存放计算机程序；

42、所述处理器用于执行存储器上所存放的计算机程序时，实现上述的前置蜜庭的url特征引流方法。

43、此外，与现有技术相比，本发明还具有如下优点：

44、1.本发明通过构建一个预设url知识库，用于存储和管理各种蜜点的url特征及其对应的信息，以指导前置蜜庭进行流量转发，前置蜜庭根据预设url知识库的url特征，识别出与访问请求中的目标url特征最相似的url特征，以将访问请求转发至与该最相似的url特征对应的目标url蜜点，使得攻击者能够主动攻击该目标url蜜点，从而起到提高网络防御效果的目的。

45、2.本发明中的url蜜点能够重复使用，重用性提升，减少重复建设，提高资源利用效率。