技術領域

本發明涉及一種主動式蜜罐檢測方法，尤其涉及一種基于搜索引擎關鍵詞的主動式蜜罐檢測方法。

背景技術

黑客攻擊往往是在發現了系統或網絡某些漏洞的基礎上，針對新的漏洞總會不斷產生新的攻擊方法。為了測試新的漏洞和攻擊方法，黑客往往要利用搜索引擎在互聯網上搜索可能存在某種漏洞的網站，對其進行攻擊。還有黑客針對某種漏洞，寫出了某種特定的掃描和自動入侵的工具，通過搜索引擎，對互聯網上可能存在這種漏洞的所有網站進行大規模的掃描和入侵。這幾年，利用搜索引擎的黑客攻擊已經成為了一種重要的黑客攻擊手段。

蜜罐是一個包含漏洞的誘騙系統，其是專門為吸引并誘騙那些黑客而設計的，通過模擬一個或多個易受攻擊的主機，給黑客提供一個容易攻擊的目標。由于蜜罐沒有向外界提供真正有價值的服務，所以所有對蜜罐的嘗試都被視為可疑。蜜罐的另一個用途是拖延攻擊中對真正目標的攻擊，讓黑客在蜜罐上浪費時間。

蜜罐分為實系統蜜罐和偽系統蜜罐。實系統蜜罐是真正的蜜罐，它運行著真實的系統，并且帶著真實可入侵的漏洞，這種漏洞屬于最危險的漏洞；而且它記錄下的入侵信息是最真實的。偽系統蜜罐同樣也是建立在真實系統的基礎上，它利用一些工具程序的強大模仿能力，偽造出不屬于自己的漏洞。入侵這樣的漏洞，只是在一個程序框架里打轉。蜜罐可以最大程度防止入侵者破壞，也能模擬不存在的漏洞以迷惑黑客。

如果能根據黑客的搜索關鍵詞模擬相應的蜜罐，部署于互聯網上，并且讓知名的搜索引擎搜索到，結合搜索引擎算法優化技術，將蜜罐展現給黑客，引誘黑客攻擊，則可以達到主動吸引黑客攻擊的目的，大大提升了蜜罐的檢測效果，而且這樣還可以根據每天出現的新的黑客搜索關鍵詞不斷更新蜜罐，保證蜜罐的內容與黑客的攻擊手段同步的目的。

因此，本領域的技術人員致力于開發一種基于搜索引擎關鍵詞的主動式蜜罐檢測方法，以彌補傳統蜜罐的被動等待的缺點，并且更好的主動引誘黑客攻擊，來不斷更新蜜罐的內容，使其與最新的黑客技術同步。

發明內容

有鑒于現有技術的上述缺陷，本發明所要解決的技術問題是提供一種基于搜索引擎關鍵詞的主動式木管檢測方法。

為實現上述目的，本發明提供了一種基于搜索引擎關鍵詞的主動式蜜罐檢測方法，其特征在于，包括以下步驟：

步驟（101）利用已經搜集到并被識別的惡意搜索引擎關鍵詞庫自動構造蜜罐網頁；

步驟（102）通過搜索引擎排名優化技術將構造的所述蜜罐網頁收錄到搜索引擎，并提高所述蜜罐網頁在所述搜索引擎中的排名以主動吸引黑客訪問；

步驟（103）從所述蜜罐網頁的訪問記錄中使用數據挖掘算法來提取新惡意搜索引擎關鍵詞，并將提取到的所述新惡意搜索引擎關鍵詞并入所述惡意搜索引擎關鍵詞庫，重新跳轉回步驟（101）。

進一步地，在所述步驟（101）中，所述惡意搜索引擎關鍵詞庫包括針對URL路徑的惡意搜索引擎關鍵詞和針對網頁內容的惡意搜索引擎關鍵詞。

進一步地，對于針對URL路徑的所述惡意搜索引擎關鍵詞，所述蜜罐網頁采用地址重寫技術來構造。

進一步地，其中，所述地址重寫技術使用Apache?HTTP?Server引擎。

進一步地，對于針對網頁內容的所述惡意搜索引擎關鍵詞，在搜索引擎上再次搜索所述惡意搜索引擎關鍵詞，將搜索出的網頁做處理后作為所述蜜罐網頁。

進一步地，所述搜索引擎排名優化技術包括注冊高信譽域名，增加鏈接和優化網頁內容。

進一步地，所述步驟（103）還包括區分所述網頁訪問記錄中的正常訪問和惡意攻擊。

進一步地，所述蜜罐網頁的訪問記錄分為引擎爬蟲、所述正常訪問和所述惡意攻擊；其中所述引擎爬蟲同樣屬于所述惡意攻擊。

進一步地，在所述步驟（103）中，還將所有HTTP響應代碼不為200的訪問全部作為所述惡意攻擊。

進一步地，所述數據挖掘算法是通過HTTP?Referrer信息來提取所述新惡意搜索引擎關鍵詞。