安全处理方法、装置、电子设备、及存储介质与流程

1.本发明实施例涉及网络安全技术领域，具体涉及一种安全处理方法、装置、电子设备、及存储介质。


背景技术：

2.现有的安全蜜罐系统通常是单独部署在服务器、应用系统或专用蜜罐系统中，这些蜜罐系统通常会故意留下一些安全漏洞，供攻击者入侵，以在攻击者入侵后对攻击者的入侵行为进行记录和分析。然而，这种方法仿真度低，易被攻击者发现。


技术实现要素：

3.有鉴于此，本发明实施例提供一种安全处理方法、装置、电子设备、及存储介质，以避免被攻击者识别出蜜罐又不会影响真实业务系统。
4.本发明实施例的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本发明实施例的实践而习得。
5.在本公开的第一方面，本发明实施例提供了一种安全处理方法，包括：
6.实时监听业务系统的访问流量；
7.根据所述访问流量识别是否有入侵行为；
8.若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现。
9.于一实施例中，对所述入侵行为对应的访问流量进行代理以避免入侵者发现包括：
10.拦截所述入侵行为对应的访问流量；
11.根据所述访问流量模拟所述入侵行为向所述业务系统发送请求，接收所述业务系统返回的响应结果；
12.根据所述响应结果生成返回结果以对所述入侵行为进行响应。
13.于一实施例中，根据所述响应结果生成返回结果以对所述入侵行为进行响应包括：若所述响应结果为所述业务系统的后台页面，则返回登录密码错误页面以对所述入侵行为进行响应。
14.于一实施例中，在返回登录密码错误页面以对所述入侵行为进行响应之后还包括，对用户此后的入侵行为进行统计，若统计次数达到预定次数阈值，且登录密码错误，则返回登录密码成功页面以对所述入侵行为进行响应。
15.于一实施例中，在返回登录密码成功页面之后还包括，对登录后的内容进行模糊处理以避免数据泄露。
16.于一实施例中，所述进行模糊处理包括进行替换处理、进行加密、和/或进行打码。
17.于一实施例中，所述对所述入侵行为对应的访问流量进行代理时，基于如下至少一种协议：http协议、https协议、ssh协议、以及telnet协议。
18.在本公开的第二方面，本发明实施例还提供了一种安全处理装置，包括：
19.流量监听单元，用于实时监听业务系统的访问流量；
20.入侵确定单元，用于根据所述访问流量识别是否有入侵行为；
21.入侵响应单元，用于若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现。
22.于一实施例中，所述入侵响应单元用于：
23.拦截所述入侵行为对应的访问流量；
24.根据所述访问流量模拟所述入侵行为向所述业务系统发送请求，接收所述业务系统返回的响应结果；
25.根据所述响应结果生成返回结果以对所述入侵行为进行响应。
26.于一实施例中，所述入侵响应单元用于根据所述响应结果生成返回结果以对所述入侵行为进行响应包括：用于若所述响应结果为所述业务系统的后台页面，则返回登录密码错误页面以对所述入侵行为进行响应。
27.于一实施例中，入侵响应单元用于在返回登录密码错误页面以对所述入侵行为进行响应之后还包括，对用户此后的入侵行为进行统计，若统计次数达到预定次数阈值，且登录密码错误，则返回登录密码成功页面以对所述入侵行为进行响应。
28.于一实施例中，入侵响应单元用于在返回登录密码成功页面之后还包括，对登录后的内容进行模糊处理以避免数据泄露。
29.于一实施例中，所述进行模糊处理包括进行替换处理、进行加密、和/或进行打码。
30.于一实施例中，所述入侵响应单元在对所述入侵行为对应的访问流量进行代理时，基于如下至少一种协议：
31.http协议、https协议、ssh协议、telnet协议、oracle协议、sqlserver协议、mysql协议、sybase协议、以及db2协议。
32.在本公开的第三方面，提供了一种电子设备。该电子设备包括：处理器；以及存储器，用于存储可执行指令，所述可执行指令在被所述处理器执行时使得所述电子设备执行第一方面中的方法。
33.在本公开的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现第一方面中的方法。
34.本发明实施例提出的技术方案的有益技术效果是：
35.本发明实施例通过实时监听业务系统的访问流量，根据所述访问流量识别是否有入侵行为，若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现，能够提供真实的蜜罐环境，避免被攻击者识别出蜜罐又不会影响真实业务系统。
附图说明
36.为了更清楚地说明本发明实施例中的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明实施例中的一部分实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据本发明实施例的内容和这些附图获得其他的附图。
37.图1是根据本发明实施例提供的一种安全处理方法的流程示意图；
38.图2是根据本发明实施例提供的另一种安全处理方法的流程示意图；
39.图3是根据本发明实施例提供的一种安全处理装置的结构示意图；
40.图4示出了适于用来实现本发明实施例的电子设备的结构示意图。
具体实施方式
41.为使本发明实施例解决的技术问题、采用的技术方案和达到的技术效果更加清楚，下面将结合附图对本发明实施例的技术方案作进一步的详细描述，显然，所描述的实施例仅仅是本发明实施例中的一部分实施例，而不是全部的实施例。基于本发明实施例中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明实施例保护的范围。
42.需要说明的是，本发明实施例中术语“系统”和“网络”在本文中常被可互换使用。本发明实施例中提到的“和/或”是指包括一个或更多个相关所列项目的任何和所有组合。本公开的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于限定特定顺序。
43.还需要说明是，本发明实施例中下述各个实施例可以单独执行，各个实施例之间也可以相互结合执行，本发明实施例对此不作具体限制。
44.本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
45.下面结合附图并通过具体实施方式来进一步说明本发明实施例的技术方案。
46.图1示出了本发明实施例提供的一种安全处理方法的流程示意图，本实施例可适用于对业务系统的入侵行为进行代理，既避免被攻击者识别出蜜罐，同时又不影响真实业务系统的情况，该方法可以由配置于电子设备中的安全处理装置来执行，如图1所示，本实施例所述的安全处理方法包括：
47.在步骤s110中，实时监听业务系统的访问流量。
48.在步骤s120中，根据所述访问流量识别是否有入侵行为。
49.正常情况下，执行本实施例技术方案的电子设备仅处于监听模式，对正常流量无任何影响。当发现有人发起攻击时，便会代理这个攻击流量，进入蜜罐。
50.在步骤s130中，若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现。
51.执行本实施例技术方案的电子设备对所述入侵行为对应的访问流量进行代理时，可基于http协议、https协议、ssh协议、telnet协议、oracle协议、sqlserver协议、mysql协议、sybase协议、db2协议、以及基于上述这些协议上层的其他协议。
52.本步骤可采用多种方法，本实施例对此不作限定，例如，若识别到入侵行为，可拦截所述入侵行为对应的访问流量，根据所述访问流量模拟所述入侵行为向所述业务系统发送请求，接收所述业务系统返回的响应结果，根据所述响应结果生成返回结果以对所述入侵行为进行响应。
53.例如，若所述响应结果为所述业务系统的后台页面，则返回登录密码错误页面以对所述入侵行为进行响应。
54.此后，若侵入者继续登录，若登录次数足够大，在登录密码错误时，可返回登录密
码成功页面以对所述入侵行为进行响应，以此在保护密码泄露的前提下能够迷惑入侵者，避免入侵者发现。
55.又如，为了不影响真实业务系统，还需要对服务器内部的数据进行模糊处理，以避免数据泄漏等危害。
56.例如，可在返回登录密码成功页面之后对登录后的内容进行模糊处理以避免数据泄露。
57.其中所述进行模糊处理可采用多种方式，包括但不限于进行替换处理、进行加密、以及进行打码等。
58.本实施例通过实时监听业务系统的访问流量，根据所述访问流量识别是否有入侵行为，若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现，能够提供真实的蜜罐环境，避免被攻击者识别出蜜罐又不会影响真实业务系统。
59.图2示出了本发明实施例提供的另一种安全处理方法的流程示意图，本实施例以前述实施例为基础，进行了改进优化。如图2所示，本实施例所述的安全处理方法包括：
60.在步骤s210中，实时监听业务系统的访问流量。
61.在步骤s220中，根据所述访问流量识别是否有入侵行为。
62.在步骤s230中，若识别到入侵行为，则拦截所述入侵行为对应的访问流量。
63.在步骤s240中，根据所述访问流量模拟所述入侵行为向所述业务系统发送请求，接收所述业务系统返回的响应结果。
64.在步骤s250中，根据所述响应结果生成返回结果以对所述入侵行为进行响应。
65.当发现有攻击者攻击业务系统时，执行本实施例技术方案的电子设备可拦截这个攻击流量的操作，然后代理这个操作向业务系统发起流量操作。
66.例如攻击者访问业务系统，然后在登陆页面发起暴力破解攻击，对管理员用户admin进行密码暴力破解。执行本实施例技术方案的电子设备便会拦截这个流量，然后模拟攻击者向后端业务系统发起暴力破解攻击。暴力破解的用户名和每次尝试的密码都一样。
67.在真实的业务系统中，如果admin用户的密码输入不正确，会提示“用户名密码错误”，如果输入的密码正确，便会进入后台页面。执行本实施例技术方案的电子设备可在历史数据的积累和分析中，能够识别以上两种页面结果。
68.当攻击者尝试到了第100次，用户名admin的密码为password123，执行本实施例技术方案的电子设备可代理发送流量到后端，发现业务系统返回了后端管理页面，说明这个密码是正确的。但是执行本实施例技术方案的电子设备可返回给攻击者的页面结果仍然是“用户名密码错误”，这样攻击者会认为他的第100次尝试仍然错误，便会继续进行暴力破解尝试。
69.执行本实施例技术方案的电子设备可随机延后几次尝试，例如攻击者尝试到了第123次密码，执行本实施例技术方案的电子设备可返回登陆后端管理页面，让攻击者以为他的第123次尝试的密码是正确的密码。
70.在攻击者后续的攻击中，虽然攻击者以为他是用第123次尝试的密码登陆了业务系统，但是执行本实施例技术方案的电子设备仍然可以第100次尝试的正确密码代理登陆到后端业务系统中。
71.为了不影响真实业务系统，执行本实施例技术方案的电子设备可对服务器内部的
数据进行模糊处理，避免数据泄漏等危害。
72.执行本实施例技术方案的电子设备可在历史数据的积累和分析中，能够识别业务系统在公共页面中开的数据信息。用这些数据可以对后台真实数据进行模糊处理。
73.例如攻击者登陆到了管理后台，然后查看后台商品订单信息。执行本实施例技术方案的电子设备可代理攻击者的访问流量，然后向后端业务系统发出访问请求。后端业务系统会返回业务系统内真实的订单信息，包含商品信息、商品价格、购买者个人信息等。执行本实施例技术方案的电子设备可给予对公开数据的分析，能够识别订单信息里面的公开信息，例如商品名称、商品价格等，这些信息会原封不动的返回给攻击者。但是针对个人信息，执行本实施例技术方案的电子设备若在历史公开数据分析中未发现有公开过的内容，则可对其进行模糊处理，然后返回给攻击者。
74.模糊处理包括但不限于替换、加密、打码等多种方式。例如对收件人手机号，将会把手机号中间几位用星号“*”替换，然后返回给攻击者。也可以将手机号前三位替换为别的号段。例如对顾客的购买留言，顾客说“请将快递放在xxxxxx”，执行本实施例技术方案的电子设备可随机替换一些语句，例如替换为“我爱中国”。执行本实施例技术方案的电子设备也可以多种方式同时使用或组合使用。
75.进一步地，针对攻击者的上传、写入、修改数据等操作，执行本实施例技术方案的电子设备可专门生成一块蜜罐区域，用于记录攻击者本次攻击所修改的内容。
76.例如攻击者要上传恶意后门文件，执行本实施例技术方案的电子设备可以存储这个恶意后门文件，然后将一个无危害的模拟操作文件上传到真实业务系统中。
77.当攻击者对这个恶意后门文件发送操作指令时，执行本实施例技术方案的电子设备可将分析出这个恶意后门文件会执行的操作，然后向业务系统里的模拟操作文件发送同样功能的无危害模拟指令。这个操作的目的时为了获知服务器会有什么样的反映，真实模拟业务系统所受到的影响，不被攻击者发现他所处于蜜罐系统内，同时这样也不会对真实业务系统产生不良影响。
78.进一步地，执行本实施例技术方案的电子设备可同样对返回的数据进行数据模糊处理。
79.例如，如果数据修改会反应到真实的业务中，例如发表了一篇恶意文章，执行本实施例技术方案的电子设备可模拟对后端真实业务系统进行操作，后端真实业务系统也发表了一篇文章。执行本实施例技术方案的电子设备可识别出这个操作对真实业务系统的影响，当有正常的流量浏览业务系统时，执行本实施例技术方案的电子设备可将发表的这篇恶意文章内容拦截掉，正常访客是看不到这篇文章的，但是攻击者会看到这篇文章。
80.当攻击结束一段时间之后，执行本实施例技术方案的电子设备可自动清理掉真实服务器上所做的模拟操作。
81.根据本公开的一个或多个实施例，执行本实施例技术方案的电子设备还可详细记录攻击的相关信息，包括攻击者画像、所做的每一步操作，真实业务系统所返回的内容，蜜罐系统给攻击者所返回的内容等。执行本实施例技术方案的电子设备也可通过各种样式的图表进行统计数据显示。
82.本实施例在上一实施例的基础之上，提供了多种对入侵行为对应的访问流量进行代理的方式，能够提供真实的蜜罐环境，避免被攻击者识别出蜜罐又不会影响真实业务系
统。
83.作为上述各图所示方法的实现，本技术提供了一种安全处理装置的一个实施例,图3示出了本实施例提供的一种安全处理装置的结构示意图，该装置实施例与图1和图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。如图3所示，本实施例所述的安全处理装置包括
84.所述流量监听单元310被配置为，用于实时监听业务系统的访问流量。
85.所述入侵确定单元320被配置为，用于根据所述访问流量识别是否有入侵行为。
86.所述入侵响应单元330被配置为，用于若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现。
87.根据本公开的一个或多个实施例，所述入侵响应单元330被配置为，还用于：拦截所述入侵行为对应的访问流量；根据所述访问流量模拟所述入侵行为向所述业务系统发送请求，接收所述业务系统返回的响应结果；根据所述响应结果生成返回结果以对所述入侵行为进行响应。
88.根据本公开的一个或多个实施例，所述入侵响应单元330被配置为用于根据所述响应结果生成返回结果以对所述入侵行为进行响应包括：用于若所述响应结果为所述业务系统的后台页面，则返回登录密码错误页面以对所述入侵行为进行响应。
89.根据本公开的一个或多个实施例，所述入侵响应单元330被配置为用于在返回登录密码错误页面以对所述入侵行为进行响应之后还包括，用于对用户此后的入侵行为进行统计，若统计次数达到预定次数阈值，且登录密码错误，则返回登录密码成功页面以对所述入侵行为进行响应。
90.根据本公开的一个或多个实施例，所述入侵响应单元330被配置为用于在返回登录密码成功页面之后还包括，用于对登录后的内容进行模糊处理以避免数据泄露。
91.根据本公开的一个或多个实施例，所述进行模糊处理包括进行替换处理、进行加密、和/或进行打码。
92.根据本公开的一个或多个实施例，所述入侵响应单元330被配置为，在对所述入侵行为对应的访问流量进行代理时，基于如下至少一种协议：
93.http协议、https协议、ssh协议、telnet协议、oracle协议、sqlserver协议、mysql协议、sybase协议、db2协议、以及基于上述这些协议上层的其他协议。
94.本实施例提供的安全处理装置可执行本公开方法实施例所提供的安全处理方法，具备执行方法相应的功能模块和有益效果。
95.下面参考图4，其示出了适于用来实现本发明实施例的电子设备400的结构示意图。本发明实施例中的上述终端设备，例如为移动设备、电脑、或浮动车中内置的车载设备等，或其任意组合。在一些实施例中，移动设备例如可以包括手机、智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备等，或其任意组合。图4示出的电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
96.如图4所示，电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401，其可以根据存储在只读存储器(rom)402中的程序或者从存储装置408加载到随机访问存储器(ram)403中的程序而执行各种适当的动作和处理。在ram 403中，还存储有电子设备400操作所需的各种程序和数据。处理装置401、rom 402以及ram 403通过总线404彼此相
连。输入/输出(i/o)接口405也连接至总线404。
97.通常，以下装置可以连接至i/o接口405：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406；包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置407；包括例如磁带、硬盘等的存储装置408；以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
98.特别地，根据本发明实施例的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明实施例的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置409从网络上被下载和安装，或者从存储装置408被安装，或者从rom 402被安装。在该计算机程序被处理装置401执行时，执行本发明实施例的方法中限定的上述功能。
99.需要说明的是，本发明实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明实施例中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
100.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
101.上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：实时监听业务系统的访问流量；根据所述访问流量识别是否有入侵行为；若识别到入侵行为，则对所述入侵行为对应的访问流量进行代理以避免入侵者发现。
102.可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或
服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
103.附图中的流程图和框图，图示了按照本发明实施例各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
104.描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
105.以上描述仅为本发明实施例的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本发明实施例中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。