[发明专利]中心化web渗透检测蜜罐方法、装置、系统及电子设备

权利要求书

1.一种中心化web渗透检测蜜罐方法，其特征在于，包括：

确定来自第一web蜜罐的当前web请求，所述当前web请求包括参数信息；

基于所述当前web请求的参数信息匹配目标处理策略；

根据所述目标处理策略对所述当前web请求进行恶意信息检测；

如果恶意信息检测的结果为攻击信息，则触发告警。

2.根据权利要求1所述的方法，其特征在于，基于所述当前web请求的请求头信息和参数信息匹配目标处理策略的步骤，包括：

对所述当前web请求进行格式化处理，生成统一格式的第一web请求，通过所述第一web蜜罐的标识对所述当前web请求进行标记，得到第二web请求；

基于所述第二web请求的请求头信息和参数信息，确定所述第二web请求的类型；

基于所述第二web请求的类型匹配目标处理策略。

3.根据权利要求1所述的方法，其特征在于，所述攻击信息包括：

命令执行攻击、本地包含文件攻击、远程文件包含攻击、CRLF攻击、sql注入攻击、php代码注入攻击、xss攻击中的任意一项。

4.根据权利要求1所述的方法，其特征在于，触发告警的步骤包括：

基于所述攻击信息，按照预先配置的告警模板，向告警接收人发送告警信息，所述告警信息用于指示所述第一web蜜罐受到攻击。

5.一种中心化web渗透检测蜜罐系统，其特征在于，包括：web渗透检测中心以及至少一个web蜜罐；

每个所述web蜜罐，用于仿真业务网站，接收针对仿真的业务网站的服务请求，以及将所述针对仿真的业务网站的web请求发送至所述web渗透检测中心；

所述web渗透检测中心，用于接收每个蜜罐节点转发的web请求，对web请求进行检测分析，如果检测到存在攻击载荷的web请求，则针对该web请求进行攻击告警。

6.一种中心化web渗透检测蜜罐装置，其特征在于，包括：

确定模块，用于确定来自第一web蜜罐的当前web请求，所述当前web请求包括参数信息；

匹配模块，用于基于所述当前web请求的参数信息匹配目标处理策略；

检测模块，用于根据所述目标处理策略对所述当前web请求进行恶意信息检测；

触发模块，用于如果恶意信息检测的结果为攻击信息，则触发告警。

7.根据权利要求6所述的装置，其特征在于，所述匹配模块具体用于：

对所述当前web请求进行格式化处理，生成统一格式的第一web请求，通过所述第一web蜜罐的标识对所述当前web请求进行标记，得到第二web请求；

基于所述第二web请求的请求头信息和参数信息，确定所述第二web请求的类型；

基于所述第二web请求的类型匹配目标处理策略。

8.根据权利要求6所述的装置，其特征在于，所述触发模块具体用于：

基于所述攻击信息，按照预先配置的告警模板，向告警接收人发送告警信息，所述告警信息用于指示所述第一web蜜罐受到攻击。

9.一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有机器可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行所述权利要求1至4任一项所述的方法。