本發明涉及一種代理主機的反向追蹤溯源方法及裝置，屬于網絡安全技術領域。該方法包括：從已攔截的WEB攻擊告警日志中篩選出存在代理行為的至少一個HTTP請求數據；判斷所述至少一個HTTP請求數據中的每個HTTP請求數據的請求頭中是否包含有真實攻擊者的真實IP地址；在所述至少一個HTTP請求數據中存在包含有真實攻擊者的真實IP地址的第一HTTP請求數據時，在預設威脅情報數據庫中對所述第一HTTP請求數據的真實IP地址以及代理IP地址進行查詢，得到第一查詢結果。該方法不僅能夠快速有效地判斷真實攻擊來源的IP地址、完成追蹤溯源的工作，并且還能幫助網絡安全防護設備提高對代理攻擊行為的識別能力。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種代理主機的反向追蹤溯源方法及裝置。

背景技術

在日常分析網絡安全設備日志的過程中發現，大多數告警的攻擊來源IP地址并不是攻擊者真實的IP地址，網絡攻擊者不僅擁有漏洞探測能力，其自身安全意識也都比常人高，特別是以黑色產業鏈為生的黑產從業者，更是對網絡匿名攻擊技術有一定的研究和實戰。然而，往往是這些所謂“專業”的黑客每天都在制造網絡攻擊告警數據，給網絡安全帶來了極大的挑戰。在傳統的對黑客甚至是黑產網絡攻擊的追蹤溯源中，經常遇到線索斷在了代理IP地址上，無法對攻擊者真實IP地址進行追溯，進而無法措施以提升網絡安全防護設備的入侵識別能力。

發明內容

鑒于此，本發明的目的在于提供一種代理主機的反向追蹤溯源方法及裝置，以有效地改善上述問題。

本發明的實施例是這樣實現的：

第一方面，本發明實施例提供了一種代理主機的反向追蹤溯源方法，包括：從已攔截的WEB攻擊告警日志中篩選出存在代理行為的至少一個HTTP請求數據；判斷所述至少一個HTTP請求數據中的每個HTTP請求數據的請求頭中是否包含有真實攻擊者的真實IP地址；在所述至少一個HTTP請求數據中存在包含有真實攻擊者的真實IP地址的第一HTTP請求數據時，在預設威脅情報數據庫中對所述第一HTTP請求數據的真實IP地址以及代理IP地址進行查詢，得到第一查詢結果。

結合第一方面的一種實施方式，從已攔截的WEB攻擊告警日志中篩選出存在代理行為的至少一個HTTP請求數據，包括：從已攔截的WEB攻擊告警日志中獲取每條WEB攻擊告警日志的HTTP請求數據；將獲取到的所有HTTP請求數據均格式化為字典結構；依次將每個HTTP請求數據對應的字典鍵名和鍵值在預設代理工具指紋庫中進行匹配；在所述預設代理工具指紋庫中得到匹配的至少一個HTTP請求數據對應的字典鍵名和鍵值時，所述得到匹配的至少一個HTTP請求數據即為存在代理行為的HTTP請求數據。

結合第一方面的又一種實施方式，從已攔截的WEB攻擊告警日志中獲取每條WEB攻擊告警日志的HTTP請求數據，包括：從網絡安全防護設備已攔截的攻擊告警日志中篩選出WEB類型的WEB攻擊告警日志；從篩選出的WEB攻擊告警日志中獲取每條WEB攻擊告警日志的HTTP請求數據。

結合第一方面的又一種實施方式，在判斷所述至少一個HTTP請求數據中的每個HTTP請求數據的請求頭中是否包含有真實攻擊者的真實IP地址之后，所述方法還包括：在所述至少一個HTTP請求數據中不存在包含有真實攻擊者的真實IP地址的第二HTTP請求數據時，在預設威脅情報數據庫中對所述第二HTTP請求數據的代理IP地址進行查詢，得到第二查詢結果。

結合第一方面的又一種實施方式，所述方法還包括：將所述第一查詢結果或所述第二查詢結果存儲至MongoDB數據庫。