CN109361670A - 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 - Google Patents
利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 Download PDFInfo
- Publication number
- CN109361670A CN109361670A CN201811225788.0A CN201811225788A CN109361670A CN 109361670 A CN109361670 A CN 109361670A CN 201811225788 A CN201811225788 A CN 201811225788A CN 109361670 A CN109361670 A CN 109361670A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- attack
- control system
- central control
- deployment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法,装置包括虚拟蜜罐、中央控制***和云部署平台;本发明利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击特征上传到中央控制***;中央控制***对上传的攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。本发明采用低交互性蜜罐与基于漏洞服务或***的高交互性蜜罐配合,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或***的高交互蜜罐,与基于漏洞服务或***的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。
Description
技术领域
本发明属于计算机网络安全领域,具体地是涉及一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。
背景技术
蜜罐就是指那些经过精心设计和部署的计算机设备,用于吸引入侵者来搜集信息进行研究分析或者延长攻击者的攻击意图。蜜罐按交互能力分为低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐的主要特点是模拟,欺骗技术采用模拟操作***和服务来实现,攻击者与蜜罐只有少量的交互行为,因而获取的攻击信息相对比较少,比较合适用于捕获自动攻击工具或网络蠕虫等发动的攻击活动,低交互蜜罐一般采用虚拟方式部署。高交互蜜罐是一般采用真实***来构建,蜜罐和攻击者的交互程度较高,***承担的风险比较大,但是可以获得大量有用攻击信息。另外高交互蜜罐主要利用真实的机器来实现,资源要求较高,且一旦遭到破坏,攻击者可以利用此设备对本地网络资源或者互联网资源发起攻击。
恶意代码的传播手段可以分为两大类:一类是利用漏洞传播,另一类是利用社会工程学传播。社会工程学传播是通过对受害者本能反应、好奇心、信任、贪婪等弱点进行分析利用,达到欺骗入侵的目的,其传播过程需要用户的参与。利用漏洞传播不需要与受害者进行交互即可完成传播,如2017年的“WannaCry”勒索软件的传播。
当前利用漏洞攻击越来越多,有漏洞的***和服务越来越多,然而现有的恶意样本获取技术至少存在以下不足:
第一、现有的恶意样本获取技术难以实现对大量漏洞服务或***的仿真;当同时有多台PC扩散恶意样本时,有可能存在大量的相同或者不同的攻击特征同时发生,现有技术很难对同时攻击的多种恶意样本进行全部捕获。
第二、现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或***的高交互蜜罐,现有技术中由于高交互蜜罐中没有相关的漏洞,因此高交互蜜罐无法保证能被正确感染,进而难于捕获基于漏洞攻击的恶意样本。
第三、现有技术无法针对攻击所使用的漏洞来动态的部署。
第四、现有的恶意样本的捕获需要占用大量的计算资源,大规模的部署高交互蜜罐成本很高。
发明内容
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。
根据本申请实施例的第一方面,提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,所述装置包括虚拟蜜罐、中央控制***和云部署平台;
所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制***;
所述中央控制***用于控制虚拟蜜罐的运行、监控内部云的运行;
所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或***的高交互性蜜罐,所述云部署平台根据中央控制***指令,启动对应恶意样本的高交互蜜罐。
进一步的,漏洞利用特征数据库,所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库,针对已知的攻击特征来加快分析结果。
进一步的,所述中央控制***还用于实现对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对,中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
根据本申请实施例的第二方面,提供一种利用蜜罐有针对性的动态部署捕获恶意样本的方法,该方法采用上述的装置,所述方法包括:
利用虚拟蜜罐捕获攻击活动及攻击特征;
所述虚拟蜜罐将捕获到的攻击特征上传到中央控制***;
所述中央控制***对上传的攻击特征进行分析;
所述云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;
将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。
进一步的,所述中央控制***对上传的攻击特征进行分析,包括:所述中央控制***对虚拟蜜罐所发送的攻击特征与数据漏洞利用特征数据库进行比对;比对分析接收到的攻击特征是否为已知攻击特征;
若为已知攻击特征,则通过中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;
若为未知攻击特征,则需对该未知攻击特征做进一步判断。
进一步的,对该未知攻击特征做进一步判断方法如下:
进一步判断该未知攻击特征是否为新的漏洞利用特征;
若是,则通过中央控制***在云部署平台中快速部署含有该新的漏洞利用特征对应漏洞的高交互蜜罐;若不是,则结束。
本发明中中央控制***根据利用漏洞利用特征,发起指令部署基于该利用漏洞利用特征漏洞的高交互性蜜罐,基于漏洞服务或***的高交互蜜罐配置强出站规则;
攻击特征中包含了攻击方所使用的端口号,在将攻击流量导入到高交互蜜罐之前,中央控制***部署高交互蜜罐时将设置高交互蜜罐中对所有设备的该端口号出站连接进行禁用,防止部署的高交互蜜罐被攻击者利用。
优选的,将含有攻击特征的流量导入高交互性蜜罐具体方法如下:
中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
进一步的,还包括在高交互蜜罐中部署监控软件,监测高交互蜜罐受到感染之后,立即通知中央控制***将高交互蜜罐进行隔离,并通知信息安全人员对该设备进行恶意样本的取样分析。
进一步的,当虚拟蜜罐同时接收到大量的相同或者不同的攻击特征,利用中央控制***控制云部署平台开启多个高交互蜜罐,中央控制***将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况。
本申请的实施例提供的技术方案,利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击活动及攻击特征上传到中央控制***;中央控制***对上传的攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。
本发明解决了基于漏洞利用的恶意样本难于发现的问题。采用低交互性蜜罐与基于漏洞服务或***的高交互性蜜罐配合,利用低交互蜜罐第一时间发现的攻击特征、中央控制***对攻击特征比对、控制云部署平台开启、转发到基于该漏洞的高交互性蜜罐等一系列步骤,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或***的高交互蜜罐,与基于漏洞服务或***的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。
利用本发明提供的技术方案能够实现对大量漏洞服务或***的仿真;当大量的相同或者不同的攻击特征同时发生,本发明中央控制***将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况,将攻击的多种恶意病毒进行全部捕获。
现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或***的高交互蜜罐,本发明中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。事先在云部署平台中部署基于该攻击特征对应漏洞的高交互蜜罐;实现精准导流,确保能被正确感染,有效的捕获基于漏洞攻击的恶意样本。
本发明针对攻击所使用的漏洞来动态的部署;最大价值在于利用云计算有效的节约了计算资源,只在问题发生时部署基于漏洞的高交互蜜罐,并且由于高交互蜜罐在云端减少了发现感染设备的查找的时间。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是利用蜜罐有针对性的动态部署捕获恶意样本的装置示意图;
图2是利用蜜罐有针对性的动态部署捕获恶意样本的方法流程图;
图3是本发明捕获样本流程示意图;
图4是本发明一具体应用实例示意图;
图5是本发明同时存在大量攻击特征时的处理示意图;
图6是现有技术中无法捕获恶意样本的示意图;
图7是本发明将攻击特征准确转发的示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
图1是根据一示例性实施例示出的一种利用蜜罐有针对性的动态部署捕获恶意样本的装置示意图,如图1所示,本实施例提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,所述装置包括虚拟蜜罐、中央控制***和云部署平台;
所述虚拟蜜罐是部署低交互性蜜罐,用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制***,同时接收中央控制***发出的指令是否将流量导入到高交互蜜罐中。
所述中央控制***用于控制虚拟蜜罐的运行、监控内部云的运行;所述中央控制***还用于实现对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对,比对分析是否为已知的攻击特征,若是则下发转发指令,若不是,则将该未知攻击特征则通知管理员进行人工判断是否为已知漏洞的未知攻击特征,若是则下发转发指令,若不是结束;
漏洞利用特征数据库,所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库,针对已知的攻击特征来加快分析结果。
所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或***的高交互性蜜罐,所述云部署平台根据中央控制***指令,启动对应恶意样本的高交互蜜罐。
利用云来快速部署基于漏洞服务或***的高交互性蜜罐,此处云不限内部云或者外部云,正常情况不启动,只有当中央控制***发起指令时启动,并将低交互蜜罐中的流量导入。基于漏洞服务或***的高交互蜜罐需要配置强出站规则,防止其感染之后向其他机器发起攻击。并且在高交互蜜罐中部署监控软件,一旦在高交互蜜罐中感染了恶意软件立即通知控制器进行隔离且通知安全分析员进行恶意样本分析;
恶意样本扩散PC:是假定设备攻击者控制的PC,是发起攻击的起始点。
本实施例中所述中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
图2是利用蜜罐有针对性的动态部署捕获恶意样本的方法流程图;请参阅图2,根据本申请实施例的第二方面,提供一种利用蜜罐有针对性的动态部署捕获恶意样本的方法,该方法采用上述的装置,所述方法包括:
利用虚拟蜜罐捕获攻击活动及攻击特征;
所述虚拟蜜罐将捕获到的攻击特征上传到中央控制***;
所述中央控制***对上传的攻击特征进行分析;
所述云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;
将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。
本实施例中所述中央控制***对上传的攻击特征进行分析包括:所述中央控制***对虚拟蜜罐所发送的攻击特征与数据漏洞利用特征数据库进行比对;比对分析接收到的攻击特征是否为已知攻击特征;
若为已知攻击特征,则通过中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;
若为未知攻击特征,则需对该未知攻击特征做进一步判断。
进一步的,对该未知攻击特征做进一步判断方法如下:
进一步判断该未知攻击特征是否为新的漏洞利用特征;
若是,则通过中央控制***在云部署平台中快速部署含有该新的漏洞利用特征对应漏洞的高交互蜜罐;若不是,则结束。
作为一种优选的实施方式,本发明中中央控制***根据利用漏洞利用特征,发起指令部署基于该利用漏洞利用特征漏洞的高交互性蜜罐,基于漏洞服务或***的高交互蜜罐配置强出站规则;
攻击特征中包含了攻击方所使用的端口号,在将攻击流量导入到高交互蜜罐之前,中央控制***部署高交互蜜罐时将设置高交互蜜罐中对所有设备的该端口号出站连接进行禁用,防止部署的高交互蜜罐被攻击者利用。
作为一种优选的实施方式,本实施例中将含有攻击特征的流量导入高交互性蜜罐具体方法如下:
中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
本发明提供的利用蜜罐有针对性的动态部署捕获恶意样本的方法还包括在高交互蜜罐中部署监控软件,监测高交互蜜罐受到感染之后,立即通知中央控制***将高交互蜜罐进行隔离,并通知信息安全人员对该设备进行恶意样本的取样分析。
需要对强出站规则配置做进一步的补充说明:
在攻击特征中包含了攻击方所使用的端口号,在将攻击流量导入到高交互蜜罐之前,中央控制***应当在高交互蜜罐中设置出站规则,该出站规则为:禁用对所有设备的该端口的连接;防止部署的高交互蜜罐被攻击者利用。例如,某恶意样本利用445端口来进行扩散,低交互蜜罐中在445端口中捕获到攻击特征,这时低交互蜜罐会将445端口作为攻击特征的一部分发送到中央控制***,中央控制***的部署高交互蜜罐时将设置高交互蜜罐中对所有设备的445端口出站连接进行禁用。
请参阅图3,为进步详述本发明,现提供一具体的捕获样本流程图。
部署蜜罐,开放内网服务中常见的端口,模拟漏洞信息。假定攻击者利用漏洞发起攻击,恶意样本数据在其扩散时payload(有效载荷)将首先被虚拟蜜罐捕获,虚拟蜜罐在捕获到攻击攻击活动及攻击特征后第一时间将攻击特征发送给中央控制***;
所述中央控制***对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对;如果能与漏洞利用特征数据匹配,若匹配成功则进入下一步,若无法与漏洞特征数据库匹配,则通知管理员,进行人工判断是否为新的漏洞利用特征,若不是,则直接结束,若为新的漏洞利用特征,则进入下一步;
通过攻击特征在云快速部署有相应漏洞的高交互蜜罐,配置出站规则,具体讲为中央控制***根据利用漏洞利用特征,发起指令部署基于该利用漏洞利用特征漏洞的高交互性蜜罐,控制该设备的出站规则;
中央控制***控制将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将虚拟蜜罐流量导入到高交互设备中,基于此漏洞的高交互蜜罐被感染或者被控;
迅速隔离此高交互蜜罐并通知信息安全人员对该设备进行恶意代码的取样分析;在确定高交互蜜罐被感染后迅速隔离并通知信息安全人员对该设备进行恶意代码的采样并分析。根据实际情况,及时销毁高交互蜜罐设备。
如图4所示,现就本发明提供一种具体的应用实例。
2017年5月以“永恒之蓝”为武器的勒索软件”Wannacry”席卷全球,虽经过多方努力,“Wannacry”已经基本销声匿迹了。但是以”永恒之蓝”为武器的各种蠕虫变种依然在网上流传,但是每种蠕虫变种样本各不相同。如何捕获这些蠕虫样本也存在了很大的不便性。以下如何利用本方法来捕获样本过程:
a)、某PC意外感染某个以“Wannacry”变种蠕虫病毒,该病毒扩散方式利用终端PC开放的445端口的SMB服务,漏洞编号为MS17-010。由于该蠕虫以占用计算资源进行挖矿为目的,因此用户暂未第一时间发现已感染;
b)、低交互蜜罐同时也模拟了漏洞MS17-010的端口特征,蠕虫在内网进行扩散过程中发现低交互蜜罐也存在这个漏洞,因此向该蜜罐发送MS17-010漏洞利用特征数据包;
c)、低交互蜜罐收到该数据包之后将其转发给中央控制***,中央控制***将此数据包与漏洞利用特征数据库进行比较发现该特征为利用MS17-010漏洞的恶意样本;
d)、中央控制***立即向云部署平台发起启动一个基于MS17-010漏洞的高交互蜜罐,设置出站规则;
e)、中央控制***发送指令给低交互蜜罐,将445端口所有入站流量数据转发给高交互蜜罐;
f)、监测高交互蜜罐受到感染之后立即将高交互蜜罐进行隔离,并通知安全分析人员对高交互蜜罐进行取样分析。
本实施提供的利用蜜罐有针对性的动态部署捕获恶意样本的方法,还具有一个更重要的功能,当存在大量攻击特征同时发生时,利用本发明提供的方法能够有效的进行处理。
作为一种优选的实施方式,当虚拟蜜罐同时接收到大量的相同或者不同的攻击特征,利用中央控制***控制云部署平台开启多个高交互蜜罐,中央控制***将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况。
在实际的案例中有可能存在大量的相同或者不同的攻击特征同时发生。比如:PC1、PC2~PCn同时发起攻击,由于在本发明中中央控制***会将不同的攻击特征控制转发到不同高交互蜜罐。如图中5所示,将MS17-010的攻击流量转发到基于MS17-010的高交互蜜罐,将MS08-067的攻击流量转发到基于MS08-067的高交互蜜罐。
本发明当出现大量相同的攻击特征同时产生时,可以利用中央控制***控制云部署平台开启多个高交互蜜罐,然后实现进行分流导入到不同的高交互蜜罐,降低每个高交互蜜罐的压力,从而实现处理大量攻击同时到达的情况。
需要补充说明的是大量的部署高交互蜜罐极大的浪费资源,由于蜜罐本身是一个陷阱,而攻击者攻击的时间分布存在不确定性,且无法预知。传统的方案中在实施过程中需要部署大量不同漏洞的高交互蜜罐,浪费资源。
在本实施例中采用与存储的攻击特征数据库进行比对,利用云部署平台来快速部署基于该漏洞的高交互蜜罐。具体体现在:假定当MS17-010漏洞利用特征被低交互蜜罐捕获时通知控制器,这时控制器与数据库比对之后发现是MS17-010的漏洞利用特征,立即动态的部署一台含有该漏洞的高交互蜜罐,然后将低交互蜜罐的流量导入,这样将本发明的高交互蜜罐只在需要时启动,平时不占用过多的资源。
现就一案例对本发明做进一步的补充说明:
案例:Windows操作***中在445端口有好多非常经典型的漏洞,以MS08-067与MS17-010两个漏洞来假设说明:
如图6所示,在原有的解决方案中高交互蜜罐并未指明特定的漏洞,假定在部署一个低交互与高交互蜜罐配合时,高交互蜜罐刚好只有MS08-067漏洞,当感染机的恶意样本以MS17-010为攻击特征发起攻击时,低交互蜜罐会将此攻击流量转发到开启了445端口的高交互蜜罐中,由于并没有该蜜罐并没有相关的漏洞,因此高交互蜜罐可能无法被感染从而无法保证能被正确感染,从而无法捕获。
如图7所示,采用本发明提供的利用蜜罐有针对性的动态部署捕获恶意样本的方法能够有效解决图6的问题。
感染机发起MS17-010攻击特征攻击时,低交互蜜罐首先将MS17-010的攻击特征发送到中央控制***中,中央控制***将攻击特征与特征数据库比较后确定是MS17-010的攻击特征,则立即启动基于MS17-010漏洞的高交互蜜罐;再控制低交互蜜罐将攻击流量转发到高交互蜜罐中,这样可以确保所有的已知漏洞的攻击将准确转发。而基于MS08-067漏洞的高交互蜜罐不会启动。
本申请的实施例提供的技术方案,利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击活动及攻击特征上传到中央控制***;中央控制***对上传的攻击活动及攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。
本发明解决了基于漏洞利用的恶意样本难于发现的问题。采用低交互性蜜罐与基于漏洞服务或***的高交互性蜜罐配合,利用低交互蜜罐第一时间发现的攻击特征、中央控制***对攻击特征比对、控制云部署平台开启、转发到基于该漏洞的高交互性蜜罐等一系列步骤,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或***的高交互蜜罐,与基于漏洞服务或***的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。
利用本发明提供的技术方案能够实现对大量漏洞服务或***的仿真;当大量的相同或者不同的攻击特征同时发生,本发明中央控制***将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况,将攻击的多种恶意病毒进行全部捕获。
现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或***的高交互蜜罐,本发明中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。事先在高交互蜜罐中部署基于该攻击特征对应漏洞的高交互蜜罐;实现精准导流,确保能被正确感染,有效的捕获基于漏洞攻击的恶意样本。
本发明针对攻击所使用的漏洞来动态的部署;最大价值在于利用云计算有效的节约了计算资源,只在问题发生时部署基于漏洞的高交互蜜罐,并且由于高交互蜜罐在云端减少了发现感染设备的查找的时间。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,其特征在于:所述装置包括虚拟蜜罐、中央控制***和云部署平台;
所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制***;
所述中央控制***用于控制虚拟蜜罐的运行、监控内部云的运行;
所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或***的高交互性蜜罐,所述云部署平台根据中央控制***指令,启动对应恶意样本的高交互蜜罐。
2.根据权利要求1所述的装置,其特征在于:还包括:漏洞利用特征数据库,所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库,针对已知的攻击特征来加快分析结果。
3.根据权利要求2所述的装置,其特征在于:所述中央控制***还用于实现对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对,中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
4.一种利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:该方法采用上述权利要求1至3任一项所述的装置,所述方法包括:
利用虚拟蜜罐捕获攻击活动及攻击特征;
所述虚拟蜜罐将捕获到的攻击特征上传到中央控制***;
所述中央控制***对上传的攻击特征进行分析;
所述云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;
将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。
5.根据权利要求4所述的方法,其特征在于:所述中央控制***对上传的攻击特征进行分析包括:
所述中央控制***对虚拟蜜罐所发送的攻击特征与数据漏洞利用特征数据库进行比对;比对分析接收到的攻击特征是否为已知攻击特征;
若为已知攻击特征,则通过中央控制***在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;
若为未知攻击特征,则需对该未知攻击特征做进一步判断。
6.根据权利要求5所述的利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:对该未知攻击特征做进一步判断方法如下:
进一步判断该未知攻击特征是否为新的漏洞利用特征;
若是,则通过中央控制***在云部署平台中快速部署含有该新的漏洞利用特征对应漏洞的高交互蜜罐;若不是,则结束。
7.根据权利要求4所述的利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:中央控制***根据利用漏洞利用特征,发起指令部署基于该利用漏洞利用特征漏洞的高交互性蜜罐,基于漏洞服务或***的高交互蜜罐配置强出站规则;
攻击特征中包含了攻击方所使用的端口号,在将攻击流量导入到高交互蜜罐之前,中央控制***部署高交互蜜罐时将设置高交互蜜罐中对所有设备的该端口号出站连接进行禁用,防止部署的高交互蜜罐被攻击者利用。
8.根据权利要求4所述的利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:将含有攻击特征的流量导入高交互性蜜罐具体方法如下:
中央控制***发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。
9.根据权利要求4所述的利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:还包括在高交互蜜罐中部署监控软件,监测高交互蜜罐受到感染之后,立即通知中央控制***将高交互蜜罐进行隔离,并通知信息安全人员对该设备进行恶意样本的取样分析。
10.根据权利要求4至9任一项所述的利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:当虚拟蜜罐同时接收到大量的相同或者不同的攻击特征,利用中央控制***控制云部署平台开启多个高交互蜜罐,中央控制***将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811225788.0A CN109361670B (zh) | 2018-10-21 | 2018-10-21 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811225788.0A CN109361670B (zh) | 2018-10-21 | 2018-10-21 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109361670A true CN109361670A (zh) | 2019-02-19 |
| CN109361670B CN109361670B (zh) | 2021-05-28 |
Family
ID=65346012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811225788.0A Active CN109361670B (zh) | 2018-10-21 | 2018-10-21 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109361670B (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981615A (zh) * | 2019-03-12 | 2019-07-05 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击***及方法 |
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网*** |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 |
| CN110677408A (zh) * | 2019-07-09 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN110839025A (zh) * | 2019-11-08 | 2020-02-25 | 杭州安恒信息技术股份有限公司 | 中心化web渗透检测蜜罐方法、装置、***及电子设备 |
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111314276A (zh) * | 2019-11-09 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种对多个攻击行为检测的方法、装置及*** |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| CN111767548A (zh) * | 2020-06-28 | 2020-10-13 | 杭州迪普科技股份有限公司 | 一种漏洞捕获方法、装置、设备及存储介质 |
| CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试***及其测试方法 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| CN112632531A (zh) * | 2020-12-15 | 2021-04-09 | 平安科技(深圳)有限公司 | 恶意代码的识别方法、装置、计算机设备及介质 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测***及方法 |
| CN114598512A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
| CN115242541A (zh) * | 2022-08-03 | 2022-10-25 | 西安热工研究院有限公司 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
| US11689568B2 (en) | 2020-05-08 | 2023-06-27 | International Business Machines Corporation | Dynamic maze honeypot response system |
| US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN118101346A (zh) * | 2024-04-25 | 2024-05-28 | 广州大学 | 一种面向蜜点部署的攻击图交互规则自动生成方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| KR20120070019A (ko) * | 2010-12-21 | 2012-06-29 | 한국인터넷진흥원 | 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 |
| CN105787370A (zh) * | 2016-03-07 | 2016-07-20 | 成都驭奔科技有限公司 | 一种基于蜜罐的恶意软件收集和分析方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署*** |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | ***通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
-
2018
- 2018-10-21 CN CN201811225788.0A patent/CN109361670B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| KR20120070019A (ko) * | 2010-12-21 | 2012-06-29 | 한국인터넷진흥원 | 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법 |
| CN105787370A (zh) * | 2016-03-07 | 2016-07-20 | 成都驭奔科技有限公司 | 一种基于蜜罐的恶意软件收集和分析方法 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署*** |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | ***通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 林海静: "《混合蜜罐架构在网络安全中的应用》", 《中国优秀硕士学位论文全文数据库 信息科技辑 2014年第06期》 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981615B (zh) * | 2019-03-12 | 2023-11-14 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击***及方法 |
| CN109981615A (zh) * | 2019-03-12 | 2019-07-05 | 上海纽盾科技股份有限公司 | 基于区块链的防攻击***及方法 |
| CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110677408A (zh) * | 2019-07-09 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN110677408B (zh) * | 2019-07-09 | 2021-07-09 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网*** |
| CN110391937B (zh) * | 2019-07-25 | 2022-03-04 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网*** |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 |
| CN110430190B (zh) * | 2019-08-05 | 2022-08-02 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法 |
| CN110839025A (zh) * | 2019-11-08 | 2020-02-25 | 杭州安恒信息技术股份有限公司 | 中心化web渗透检测蜜罐方法、装置、***及电子设备 |
| CN111314276A (zh) * | 2019-11-09 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种对多个攻击行为检测的方法、装置及*** |
| CN111079144A (zh) * | 2019-11-25 | 2020-04-28 | 杭州迪普科技股份有限公司 | 一种病毒传播行为检测方法及装置 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| US11689568B2 (en) | 2020-05-08 | 2023-06-27 | International Business Machines Corporation | Dynamic maze honeypot response system |
| CN111767548A (zh) * | 2020-06-28 | 2020-10-13 | 杭州迪普科技股份有限公司 | 一种漏洞捕获方法、装置、设备及存储介质 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试***及其测试方法 |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN112632531A (zh) * | 2020-12-15 | 2021-04-09 | 平安科技(深圳)有限公司 | 恶意代码的识别方法、装置、计算机设备及介质 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113098906B (zh) * | 2021-05-08 | 2022-08-30 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN114338203B (zh) * | 2021-12-31 | 2023-10-03 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测***及方法 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测***及方法 |
| CN114598512A (zh) * | 2022-02-24 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
| CN115225349B (zh) * | 2022-06-29 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
| CN115242541A (zh) * | 2022-08-03 | 2022-10-25 | 西安热工研究院有限公司 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
| CN118101346A (zh) * | 2024-04-25 | 2024-05-28 | 广州大学 | 一种面向蜜点部署的攻击图交互规则自动生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109361670B (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361670A (zh) | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 | |
| CN101567887B (zh) | 一种漏洞拟真超载蜜罐方法 | |
| Li et al. | A survey of internet worm detection and containment | |
| Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
| CN107070929A (zh) | 一种工控网络蜜罐*** | |
| Wang et al. | Trafficav: An effective and explainable detection of mobile malware behavior using network traffic | |
| Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
| Joshi et al. | Honeypots: a new paradigm to information security | |
| Nicomette et al. | Set-up and deployment of a high-interaction honeypot: experiment and lessons learned | |
| CN105024976B (zh) | 一种高级持续威胁攻击识别方法及装置 | |
| Wang et al. | IoTCMal: Towards a hybrid IoT honeypot for capturing and analyzing malware | |
| CN1889573A (zh) | 一种主动诱骗方法与*** | |
| CN111294333B (zh) | 一种开放式的自适应漏洞演练平台的构建*** | |
| CN103916288B (zh) | 一种基于网关与本地的Botnet检测方法及*** | |
| CN111541705B (zh) | 一种ttp自动化提取与攻击团队聚类的方法 | |
| CN204669399U (zh) | 基于Hadoop架构的网络病毒和威胁监测*** | |
| Haseeb et al. | A measurement study of iot-based attacks using iot kill chain | |
| CN109344624A (zh) | 基于云端协作的渗透测试方法、平台、设备及存储介质 | |
| Moorthy et al. | Botnet detection using artificial intelligence | |
| Mireles et al. | Extracting attack narratives from traffic datasets | |
| Rrushi | NIC displays to thwart malware attacks mounted from within the OS | |
| Haddadi et al. | How to choose from different botnet detection systems? | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及*** | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| Zhan et al. | Coda: Runtime detection of application-layer cpu-exhaustion dos attacks in containers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |