本申請提供了一種中心化web滲透檢測蜜罐方法、裝置、系統及電子設備，涉及蜜罐技術領域，包括：確定來自第一web蜜罐的當前web請求，所述當前web請求包括參數信息；基于所述當前web請求的參數信息匹配目標處理策略；根據所述目標處理策略對所述當前web請求進行惡意信息檢測；如果惡意信息檢測的結果為攻擊信息，則觸發告警。解決了蜜罐的檢測對軟硬件資源及網絡資源的需求量較大的技術問題。

技術領域

本申請涉及蜜罐技術領域，尤其是涉及一種中心化web滲透檢測蜜罐方法、裝置、系統及電子設備。

背景技術

蜜罐技術是一種基于欺騙防御的理念發展而來的網絡安全技術。傳統的蜜罐安全技術廠商在實現web滲透檢測蜜罐時，都是在同一蜜罐節點上開發出服務模擬、請求接收、威脅檢測等能力。

在復雜網絡環境下，為了充分覆蓋客戶網絡，通常需要批量部署大量的web滲透檢測蜜罐。這就可能導致實際需要部署的web滲透檢測蜜罐的數量非常多。而蜜罐數量越多，對軟硬件資源及網絡資源的需求量就越大，從而造成應用瓶頸。

發明內容

本發明的目的在于提供一種中心化web滲透檢測蜜罐方法、裝置、系統及電子設備，以解決蜜罐的檢測對軟硬件資源及網絡資源的需求量較大的技術問題。

第一方面，本申請實施例提供了一種中心化web滲透檢測蜜罐方法，包括：

確定來自第一web蜜罐的當前web請求，所述當前web請求包括參數信息；

基于所述當前web請求的參數信息匹配目標處理策略；

根據所述目標處理策略對所述當前web請求進行惡意信息檢測；

如果惡意信息檢測的結果為攻擊信息，則觸發告警。

在一個可能的實現中，基于所述當前web請求的請求頭信息和參數信息匹配目標處理策略的步驟，包括：

對所述當前web請求進行格式化處理，生成統一格式的第一web請求，通過所述第一web蜜罐的標識對所述當前web請求進行標記，得到第二web請求；

基于所述第二web請求的請求頭信息和參數信息，確定所述第二web請求的類型；

基于所述第二web請求的類型匹配目標處理策略。

在一個可能的實現中，所述攻擊信息包括：

命令執行攻擊、本地包含文件攻擊、遠程文件包含攻擊、CRLF攻擊、sql注入攻擊、php代碼注入攻擊、xss攻擊中的任意一項。

在一個可能的實現中，觸發告警的步驟包括：

基于所述攻擊信息，按照預先配置的告警模板，向告警接收人發送告警信息，所述告警信息用于指示所述第一web蜜罐受到攻擊。

第二方面，提供了一種中心化web滲透檢測蜜罐系統，包括：web滲透檢測中心以及至少一個web蜜罐；

每個所述web蜜罐，用于仿真業務網站，接收針對仿真的業務網站的服務請求，以及將所述針對仿真的業務網站的web請求發送至所述web滲透檢測中心；

所述web滲透檢測中心，用于接收每個蜜罐節點轉發的web請求，對web請求進行檢測分析，如果檢測到存在攻擊載荷的web請求，則針對該web請求進行攻擊告警。

第三方面，本申請實施例又提供了一種中心化web滲透檢測蜜罐裝置，包括：

確定模塊，用于確定來自第一web蜜罐的當前web請求，所述當前web請求包括參數信息；

匹配模塊，用于基于所述當前web請求的參數信息匹配目標處理策略；