一种基于搜索引擎关键词的主动式蜜罐检测方法

摘要

本发明公开了一种基于搜索引擎关键词的主动式蜜罐检测方法，首先利用已知的恶意搜索引擎关键词库，自动构造相应的蜜罐网页：对于针对URL路径的恶意搜索引擎关键词，利用Appache HTTP Server引擎的地址重写技术构造相应的蜜罐网页；对于针对网页内容的恶意搜索引擎关键词，把关键词重新输入到搜索引擎中，将返回的网页结果作为蜜罐网页。其次将蜜罐网页收录到搜索引擎中。最后根据蜜罐网页的恶意访问记录采用数据挖掘算法提取新的恶意搜索引擎关键词，并将其并入到恶意搜索引擎关键词库，重新构造新的蜜罐网页。本发明大大提升蜜罐的检测效率，弥补传统蜜罐的被动性缺点；并且动态更新蜜罐网页，以获取最新的黑客攻击漏洞信息。

说明书

技术领域

本发明涉及一种主动式蜜罐检测方法，尤其涉及一种基于搜索引擎关键词的主动式蜜罐检测方法。

背景技术

黑客攻击往往是在发现了系统或网络某些漏洞的基础上，针对新的漏洞总会不断产生新的攻击方法。为了测试新的漏洞和攻击方法，黑客往往要利用搜索引擎在互联网上搜索可能存在某种漏洞的网站，对其进行攻击。还有黑客针对某种漏洞，写出了某种特定的扫描和自动入侵的工具，通过搜索引擎，对互联网上可能存在这种漏洞的所有网站进行大规模的扫描和入侵。这几年，利用搜索引擎的黑客攻击已经成为了一种重要的黑客攻击手段。

蜜罐是一个包含漏洞的诱骗系统，其是专门为吸引并诱骗那些黑客而设计的，通过模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有向外界提供真正有价值的服务，所以所有对蜜罐的尝试都被视为可疑。蜜罐的另一个用途是拖延攻击中对真正目标的攻击，让黑客在蜜罐上浪费时间。

蜜罐分为实系统蜜罐和伪系统蜜罐。实系统蜜罐是真正的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，这种漏洞属于最危险的漏洞；而且它记录下的入侵信息是最真实的。伪系统蜜罐同样也是建立在真实系统的基础上，它利用一些工具程序的强大模仿能力，伪造出不属于自己的漏洞。入侵这样的漏洞，只是在一个程序框架里打转。蜜罐可以最大程度防止入侵者破坏，也能模拟不存在的漏洞以迷惑黑客。

如果能根据黑客的搜索关键词模拟相应的蜜罐，部署于互联网上，并且让知名的搜索引擎搜索到，结合搜索引擎算法优化技术，将蜜罐展现给黑客，引诱黑客攻击，则可以达到主动吸引黑客攻击的目的，大大提升了蜜罐的检测效果，而且这样还可以根据每天出现的新的黑客搜索关键词不断更新蜜罐，保证蜜罐的内容与黑客的攻击手段同步的目的。

因此，本领域的技术人员致力于开发一种基于搜索引擎关键词的主动式蜜罐检测方法，以弥补传统蜜罐的被动等待的缺点，并且更好的主动引诱黑客攻击，来不断更新蜜罐的内容，使其与最新的黑客技术同步。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种基于搜索引擎关键词的主动式木管检测方法。

为实现上述目的，本发明提供了一种基于搜索引擎关键词的主动式蜜罐检测方法，其特征在于，包括以下步骤：

步骤（101）利用已经搜集到并被识别的恶意搜索引擎关键词库自动构造蜜罐网页；

步骤（102）通过搜索引擎排名优化技术将构造的所述蜜罐网页收录到搜索引擎，并提高所述蜜罐网页在所述搜索引擎中的排名以主动吸引黑客访问；

步骤（103）从所述蜜罐网页的访问记录中使用数据挖掘算法来提取新恶意搜索引擎关键词，并将提取到的所述新恶意搜索引擎关键词并入所述恶意搜索引擎关键词库，重新跳转回步骤（101）。

进一步地，在所述步骤（101）中，所述恶意搜索引擎关键词库包括针对URL路径的恶意搜索引擎关键词和针对网页内容的恶意搜索引擎关键词。

进一步地，对于针对URL路径的所述恶意搜索引擎关键词，所述蜜罐网页采用地址重写技术来构造。

进一步地，其中，所述地址重写技术使用Apache HTTP Server引擎。

进一步地，对于针对网页内容的所述恶意搜索引擎关键词，在搜索引擎上再次搜索所述恶意搜索引擎关键词，将搜索出的网页做处理后作为所述蜜罐网页。

进一步地，所述搜索引擎排名优化技术包括注册高信誉域名，增加链接和优化网页内容。

进一步地，所述步骤（103）还包括区分所述网页访问记录中的正常访问和恶意攻击。

进一步地，所述蜜罐网页的访问记录分为引擎爬虫、所述正常访问和所述恶意攻击；其中所述引擎爬虫同样属于所述恶意攻击。

进一步地，在所述步骤（103）中，还将所有HTTP响应代码不为200的访问全部作为所述恶意攻击。

进一步地，所述数据挖掘算法是通过HTTP Referrer信息来提取所述新恶意搜索引擎关键词。

在本发明的较佳实施方式中，首先通过已识别的最近网络流行的恶意搜索引擎关键词库，采用两种方法构造出虚拟蜜罐网页：对于针对URL路径的恶意搜索引擎关键词，利用Apache HTTP Server引擎采用地址重写技术构造蜜罐网页；对于针对网页内容的恶意搜索引擎关键词，在搜索引擎上再次查询这些关键词，将返回的网页做处理后作为相应的蜜罐网页。其次，通过搜索引擎排名优化技术让这些模拟出来的蜜罐网页被搜索引擎索引，并提高他们的排名，主动地吸引黑客。最后使用数据挖掘算法区分流量中不同恶意攻击和正常访问的记录，从而分析黑客最新的攻击行为的目的与步骤，并提取出新恶意搜索引擎关键词，并将新恶意搜索引擎关键词并入恶意搜索引擎关键词库，以动态更新恶意搜索引擎关键词，然后根据动态更新的恶意搜索引擎关键词库可以动态更新蜜罐网页，如此往复运行。

本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法，通过主动地吸引黑客攻击，大大提升蜜罐的检测效率，弥补传统蜜罐的被动性缺点；并且本发明方法采用动态更新蜜罐网页，获取最新的黑客攻击漏洞信息，以挖掘数据流量中的恶意攻击行为，分析黑客最新的攻击行为的特征。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法的流程图；

图2是本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法的蜜罐系统架构图。

具体实施方式

下面结合附图对本发明的实施例作详细说明：本实施例在以本发明技术方案前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

在本实施例中，如图1所示，本发明的一种基于搜索引擎关键词的主动式蜜罐检测方法包括以下步骤：

步骤101：利用已经搜集到并被识别的恶意搜索引擎关键词库，自动构造蜜罐网页，如图2所示：

分类识别已搜索到并被识别的恶意搜索引擎关键词库：恶意搜索引擎关键词分为针对网页地址URL（UniformResourceLocator）路径的恶意搜索引擎关键词和针对网页内容的恶意搜索引擎关键词。

对于是针对URL路径的恶意搜索引擎关键词，利用Apache HTTP Server的搜索引擎采用URL Rewrite技术，即地址重写技术构造蜜罐网页。URLRewrite也就是地址的重新定向，URL Rewrite技术是截取传入的用户请求，并自动将该请求重定向到其他资源的过程。服务器在处理用户请求时的工作方式没有改变，只是增加了对请求进行重新定向的处理过程。在本发明中，URLRewrite技术根据已有的URL路径的恶意搜索引擎关键词，把它重新定向到相应的蜜罐网页。

对于针对网页内容的恶意搜索引擎关键词，再次查询这些恶意搜索引擎关键词，并将搜索结果的网页内容存放在本地Apache WEB服务器作为相应的蜜罐网页。

步骤102：通过搜索引擎排名优化技术将构造的所述蜜罐网页收录到搜索引擎：提高所述蜜罐网页在所述搜索引擎中的排名以主动吸引黑客访问。利用注册高信誉域名，增加链接和优化网页内容等搜索引擎优化技术来使蜜罐网页被搜索引擎索引，并进一步提升其排名，使之能够更好的吸引黑客。

步骤103：从网页访问记录中采如下算法来提取恶意搜索引擎关键词：

第一步，对网页记录的正常访问和恶意攻击进行区分：当蜜罐网页被搜索引擎收录后，黑客可以通过恶意搜索引擎关键词搜索到这些蜜罐网页，并对其进行攻击。记录所有对蜜罐网页的访问，并从中挖掘出黑客的攻击。由于蜜罐网页的链接在网站中全部为隐藏链接，用户无法看到，但是对于黑客的攻击工具来说，这样的链接是可以被发现的。在蜜罐的访问记录中，如图2所示，除了正常访问外，还包括两类访问：即攻击201和恶意搜索203；此外，还有利用搜索引擎特有的用户代理（User Agent）和源IP地址识别来自知名搜索引擎的爬虫202。因此，所有针对蜜罐网页的除正常访问外的所有情况将被识别为恶意攻击。并且，针对攻击者可能尝试访问一些系统敏感资源路径的现象，由于HTTP响应代码为200的访问都是正常的，所以将所有HTTP响应代码不为200的访问全部列为恶意攻击。

第二步，针对恶意攻击的记录来记录其攻击来源，将记录的攻击来源作为数据库，利用数据挖掘算法对记录的攻击来源数据库创建数据挖掘模型，然后进行分类分析，并提取出新的恶意搜索引擎关键词：由于HTTP Referrer，即HTTP来源地址，是HTTP表头的一个字段，用来表示从哪儿链接到目前的网页，采用的格式是URL。借着HTTP Referrer，目前的网页可以检查访客从哪里而来；所以通过HTTP Referrer信息，能够提取出黑客访问蜜罐网页可能利用到的新恶意搜索引擎关键词。

提取出了新恶意搜索引擎关键词后，将提取出的新恶意搜索引擎关键词补充到恶意关键词库中，跳转到步骤101，重新构造新的蜜罐网页，以达到动态更新蜜罐网页的目的。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。