攻击检测方法以及相关设备与流程

本申请实施例涉及访问控制领域，尤其涉及攻击检测方法以及相关设备。

背景技术：

1、蜜罐是一种有效的攻击诱捕方案，由于蜜罐服务不是真正的办公应用服务，正常用户一般不会访问，所以一旦蜜罐被访问，大概率可判定存在攻击风险，基于此把蜜罐部署到零信任系统环境中识别攻击者是一个很好的方案。

2、蜜罐一般需要先部署欺骗诱饵，引诱攻击者访问，为了更好的吸引攻击者，需要部署更多的诱饵、增大诱饵的曝光率，以吸引攻击者的访问蜜罐。但诱饵的曝光率的增加，同时也会增大正常用户访问蜜罐的概率，存在误判攻击者的风险，进而增大安全运营溯源鉴别的工作量。

技术实现思路

1、本申请实施例提供了攻击检测方法以及相关设备，用于减少真实用户踩中蜜罐的几率，减少攻击误判概率，进而降低安全运营溯源鉴别的工作量。

2、本申请实施例第一方面提供一种攻击检测方法，包括：

3、确定向零信任服务器发送当前访问请求的目标用户；

4、若所述目标用户存在风险信号，则确定所述当前访问请求对应的攻击场景，向所述目标用户的所述当前访问请求或所述当前访问请求的后续访问请求答复与所述攻击场景对应的蜜罐资源；

5、若所述目标用户访问所述蜜罐资源，则确定所述目标用户为攻击者。

6、在一种具体实现方式中，还包括：

7、确定所述目标用户的所述当前访问请求存在的至少一个异常点；

8、基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号。

9、在一种具体实现方式中，所述基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号，包括：

10、获得所述当前访问请求的每个所述异常点的风险评分，及获得所述目标用户在预设历史段的历史访问请求的每个所述异常点的风险评分；

11、综合所述当前访问请求的每个所述异常点的风险评分及所述历史访问请求的每个所述异常点的风险评分，确定所述目标用户是否存在风险信号。

12、在一种具体实现方式中，所述确定所述当前访问请求对应的攻击场景，包括：

13、将各个相同所述异常点的风险评分进行求和，得到各相同所述异常点的风险总评分；

14、将最高风险总评分的异常点所对应的预设攻击场景，确定为所述当前访问请求对应的攻击场景。

15、在一种具体实现方式中，所述基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号，包括：

16、根据所述当前访问请求的所述至少一个异常点是否满足预设异常规则，识别所述当前访问请求是否存在风险信号。

17、在一种具体实现方式中，所述确定所述当前访问请求对应的攻击场景，包括：

18、确定所述当前访问请求的所述至少一个异常点满足的预设异常规则；

19、将所述预设异常规则对应的预设攻击场景，确定为所述当前访问请求对应的攻击场景。

20、在一种具体实现方式中，所述确定所述当前访问用户的所述当前访问请求存在的至少一个异常点，包括：

21、获取所述当前访问请求关联的错误日志，所述错误日志包含错误代码；

22、将所述错误代码对应的异常点，确定为所述当前访问请求存在的异常点。

23、本申请实施例第二方面提供一种计算机设备，包括：

24、确定单元，用于确定向零信任服务器发送当前访问请求的目标用户；

25、答复单元，用于若所述目标用户存在风险信号，则确定所述当前访问请求对应的攻击场景，向所述目标用户的所述当前访问请求或所述当前访问请求的后续访问请求答复与所述攻击场景对应的蜜罐资源；

26、所述确定单元，还用于若所述目标用户访问所述蜜罐资源，则确定所述目标用户为攻击者。

27、在一种具体实现方式中，所述计算机设备还包括：识别单元；

28、所述确定单元，还用于确定所述目标用户的所述当前访问请求存在的至少一个异常点；

29、所述识别单元，用于基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号。

30、在一种具体实现方式中，所述识别单元，具体用于获得所述当前访问请求的每个所述异常点的风险评分，及获得所述目标用户在预设历史段的历史访问请求的每个所述异常点的风险评分；

31、综合所述当前访问请求的每个所述异常点的风险评分及所述历史访问请求的每个所述异常点的风险评分，确定所述目标用户是否存在风险信号。

32、在一种具体实现方式中，所述确定单元，具体用于将各个相同所述异常点的风险评分进行求和，得到各相同所述异常点的风险总评分；

33、将最高风险总评分的异常点所对应的预设攻击场景，确定为所述当前访问请求对应的攻击场景。

34、在一种具体实现方式中，所述识别单元，具体用于根据所述当前访问请求的所述至少一个异常点是否满足预设异常规则，识别所述当前访问请求是否存在风险信号。

35、在一种具体实现方式中，所述确定单元，具体用于确定所述当前访问请求的所述至少一个异常点满足的预设异常规则；

36、将所述预设异常规则对应的预设攻击场景，确定为所述当前访问请求对应的攻击场景。

37、在一种具体实现方式中，所述确定单元，具体用于获取所述当前访问请求关联的错误日志，所述错误日志包含错误代码；

38、将所述错误代码对应的异常点，确定为所述当前访问请求存在的异常点。

39、本申请实施例第三方面提供一种计算机设备，包括：

40、中央处理器，存储器以及输入输出接口；

41、所述存储器为短暂存储存储器或持久存储存储器；

42、所述中央处理器配置为与所述存储器通信，并执行所述存储器中的指令操作以执行第一方面所述的方法。

43、本申请实施例第四方面提供一种包含指令的计算机程序产品，当所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面所述的方法。

44、本申请实施例第五方面提供一种计算机存储介质，所述计算机存储介质中存储有指令，所述指令在计算机上执行时，使得所述计算机执行如第一方面所述的方法。

45、从以上技术方案可以看出，本申请实施例具有以下优点：在接收到目标用户发送的当前访问请求后，首先识别目标用户是否存在风险信号，且仅对存在风险信号的用户答复蜜罐资源。通过风险信号评估区分潜在的攻击者(即存在风险信号的用户)以及真实用户，动态地对用户发送的请求答复资源，以减少真实用户踩中蜜罐的几率，减少攻击误判概率，进而降低安全运营溯源鉴别的工作量。

技术特征：

1.一种攻击检测方法，其特征在于，包括：

2.根据权利要求1所述的攻击检测方法，其特征在于，还包括：

3.根据权利要求2所述的攻击检测方法，其特征在于，所述基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号，包括：

4.根据权利要求3所述的攻击检测方法，其特征在于，所述确定所述当前访问请求对应的攻击场景，包括：

5.根据权利要求2所述的攻击检测方法，其特征在于，所述基于所述当前访问请求存在的至少一个异常点，识别所述目标用户是否存在风险信号，包括：

6.根据权利要求5所述的攻击检测方法，其特征在于，所述确定所述当前访问请求对应的攻击场景，包括：

7.根据权利要求2至6中任一项所述的攻击检测方法，其特征在于，所述确定所述当前访问用户的所述当前访问请求存在的至少一个异常点，包括：

8.一种计算机设备，其特征在于，包括：

9.一种计算机设备，其特征在于，包括：

10.一种计算机存储介质，其特征在于，所述计算机存储介质中存储有指令，所述指令在计算机上执行时，使得所述计算机执行如权利要求1至7中任一项所述的攻击检测方法。

技术总结
本申请实施例公开了攻击检测方法以及相关设备，用于减少真实用户踩中蜜罐的几率，减少攻击误判概率，进而降低安全运营溯源鉴别的工作量。本申请实施例方法包括：确定向零信任服务器发送当前访问请求的目标用户；若所述目标用户存在风险信号，则确定所述当前访问请求对应的攻击场景，向所述目标用户的所述当前访问请求或所述当前访问请求的后续访问请求答复与所述攻击场景对应的蜜罐资源；若所述目标用户访问所述蜜罐资源，则确定所述目标用户为攻击者。

技术研发人员：周尚武,郭炳梁
受保护的技术使用者：深圳市深信服信息安全有限公司
技术研发日：
技术公布日：2024/4/24