[发明专利]一种代理主机的反向追踪溯源方法及装置

权利要求书

1.一种代理主机的反向追踪溯源方法，其特征在于，包括：

从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据；

判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址；

在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时，在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询，得到第一查询结果，

其中，从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据，包括：

从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据；

将获取到的所有HTTP请求数据均格式化为字典结构；

依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配；

在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时，所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。

2.根据权利要求1所述的方法，其特征在于，从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据，包括：

从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志；

从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。

3.根据权利要求1－2任一项所述的方法，其特征在于，在判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址之后，所述方法还包括：

在所述至少一个HTTP请求数据中存在不包含有真实攻击者的真实IP地址的第二HTTP请求数据时，在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询，得到第二查询结果。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。

5.一种代理主机的反向追踪溯源装置，其特征在于，包括：

筛选模块，用于从已拦截的WEB攻击告警日志中筛选出存在代理行为的至少一个HTTP请求数据；

判断模块，用于判断所述至少一个HTTP请求数据中的每个HTTP请求数据的请求头中是否包含有真实攻击者的真实IP地址；

第一查询模块，用于在所述至少一个HTTP请求数据中存在包含有真实攻击者的真实IP地址的第一HTTP请求数据时，在预设威胁情报数据库中对所述第一HTTP请求数据的真实IP地址以及代理IP地址进行查询，得到第一查询结果，

其中，所述筛选模块包括：

获取子模块，用于从已拦截的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据；

格式化子模块，用于将获取到的所有HTTP请求数据均格式化为字典结构；

匹配子模块，依次将每个HTTP请求数据对应的字典键名和键值在预设代理工具指纹库中进行匹配；

得到子模块，用于当在所述预设代理工具指纹库中得到匹配的至少一个HTTP请求数据对应的字典键名和键值时，所述得到匹配的至少一个HTTP请求数据即为存在代理行为的HTTP请求数据。

6.根据权利要求5所述的装置，其特征在于，所述获取子模块包括：

筛选单元，用于从网络安全防护设备已拦截的攻击告警日志中筛选出WEB类型的WEB攻击告警日志；

获取单元，用于从筛选出的WEB攻击告警日志中获取每条WEB攻击告警日志的HTTP请求数据。

7.根据权利要求5所述的装置，其特征在于，所述装置还包括：

第二查询模块，用于在所述至少一个HTTP请求数据中存在不包含有真实攻击者的真实IP地址的第二HTTP请求数据时，在预设威胁情报数据库中对所述第二HTTP请求数据的代理IP地址进行查询，得到第二查询结果。

8.根据权利要求7所述的装置，其特征在于，所述装置还包括：

存储模块，用于将所述第一查询结果或所述第二查询结果存储至MongoDB数据库。