CN110493238A - 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 - Google Patents
基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 Download PDFInfo
- Publication number
- CN110493238A CN110493238A CN201910790301.1A CN201910790301A CN110493238A CN 110493238 A CN110493238 A CN 110493238A CN 201910790301 A CN201910790301 A CN 201910790301A CN 110493238 A CN110493238 A CN 110493238A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- equipment
- honey
- monitoring module
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了一种基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器,涉及网络技术领域。该基于蜜罐的防御方法,应用于蜜罐管理服务器,包括:确定设置有监听模块的蜜罐设备,该蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;基于设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。因此,本发明实施例提供的技术方案,是一种基于现实环境的蜜罐技术,能够缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题,提高攻击者的辨识难度系数,有利于提高诱捕效果和成功率。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器。
背景技术
蜜罐(honeypot)是一种用于诱捕入侵者的安全资源,其价值在于被探测、攻击或攻陷,蜜罐技术是一种通过虚假的资源诱骗入侵者,从而采集入侵者攻击数据和分析入侵者攻击行为,以达到保护真实主机目标的诱骗技术。即蜜罐是一种预先精心配置的***,该蜜罐***可能含有用于欺骗黑客对蜜罐进行攻击和入侵,也就是说,蜜罐存在的意义就在于被入侵,任何与蜜罐的交互行为都可以认为是入侵,因此通过蜜罐可以采集入侵者攻击数据和分析入侵者攻击行为。
目前现有技术中使用的蜜罐技术仅停留在虚拟化层面,这样的蜜罐大多只能捕获到一些自动化感染的蠕虫样本,对于更高级别的入侵者几乎没有效果。虽然现有的蜜罐技术在一定程度上能够诱导入侵者进行攻击,但是辨识难度系数较低,易于被攻击者察觉,即当攻击者发现某个蜜罐被用来对攻击进行检测时,攻击者就会避免在该***中再进行任何活动,攻击者可能还会将这一发现通知其他的攻击者,这样所有的攻击者都会避开该蜜罐。
综上,现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题。
发明内容
本发明的目的包括,例如,提供了一种基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器,其能够缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题,提高攻击者的辨识难度系数。
本发明的实施例可以这样实现:
第一方面,本发明实施例提供一种基于蜜罐的防御方法,应用于蜜罐管理服务器,包括以下步骤:
确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;
基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述监听模块包括高交互蜜罐监控程序。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述蜜罐设备为多台,多台蜜罐设备通过网络接入设备相互连接。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,所述基于所述设置有监听模块的蜜罐设备非攻击者的入侵行为进行监听,包括:
接收所述蜜罐设备发送的监控数据,所述监控数据携带有所述蜜罐设备的身份标识。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:
基于预设诱捕技术对攻击者的目标入侵行为进行诱捕。
结合第一方面的第四种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,所述预设诱捕技术包括:
将现实应用场景的真实业务***的后台管理地址映射成预设的蜜罐环境地址。
第二方面,本发明实施例提供一种基于蜜罐的防御装置,包括:
确定模块,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景且未处于虚拟机环境的实体设备;
监控模块,用于基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
第三方面,本发明实施例提供一种蜜罐***,包括:按照现实应用场景布置的实体设备和蜜罐管理服务器;
所述实体设备,用于提供吸引攻击者进行入侵的诱捕线索;
所述蜜罐管理服务器,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
第四方面,本发明实施例提供一种蜜罐管理服务器,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述前述实施方式任一项所述的方法的步骤。
第五方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述前述实施方式任一项所述的方法的步骤。
本发明实施例带来了以下有益效果:
本发明实施例提供的基于蜜罐的防御方法、装置、蜜罐***、蜜罐管理服务器和计算机可读存储介质,其中,该基于蜜罐的防御方法应用于蜜罐管理服务器,包括:确定设置有监听模块的蜜罐设备,该蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。因此,本发明实施例提供的技术方案,是一种基于现实环境的蜜罐技术,能够缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题,提高攻击者的辨识难度系数。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种基于蜜罐的防御方法的流程图;
图2为本发明实施例提供的另一种基于蜜罐的防御方法的流程图;
图3为本发明实施例提供的一种基于蜜罐的防御装置的示意图;
图4为本发明实施例提供的一种蜜罐***的***架构示意图;
图5为本发明实施例提供的一种蜜罐管理服务器的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
蜜罐技术作为一项重要的主动防御、诱捕入侵的技术,目前现有的蜜罐技术仅停留在虚拟化层面,例如虚拟机模拟业务***,这样的蜜罐大多只能捕获到一些自动化感染的蠕虫样本,对于更高级别的入侵者几乎没有效果。虽然现有的蜜罐技术在一定程度上能够诱导入侵者进行攻击,但是存在辨识难度系数较低,容易存在缺陷被攻击者发现,从而达不到诱捕目的。
基于此,本发明实施例提供的一种基于蜜罐的防御方法、装置、蜜罐***、蜜罐管理服务器和计算机可读存储介质,可以提高攻击者的辨识难度系数。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于蜜罐的防御方法进行详细介绍。
实施例1
请参考图1,本实施例提供了一种基于蜜罐的防御方法,应用于蜜罐管理服务器,包括:
步骤S102,确定设置有监听模块的蜜罐设备,该蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;
步骤S104,基于设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
在步骤S102中,上述的监听模块包括但不限于安装的监听程序(例如蜜罐监控程序)或第三方安全程序(例如XX安全卫士)、任务管理器、网络流量监控器、图像采集装置(例如物理摄像头)等,其中第三方安全程序用于对***软件进行监控和安全防护,任务管理器用于监控进程,网络流量监控器用于对流量进行监控,图像采集装置用于对界面化操作进行监控,同时在攻击者在获取到图像采集装置权限,并通过操控图像采集装置对现实应用场景进行查看,有利于打消黑客对当前现实应用环境是个蜜罐的疑虑,提高诱捕成功率。
上述的现实应用场景可以是现实的工作场景(例如企业办公场景)、生活场景(例如智能家居场景)等真实环境,而并非虚拟场景,也不是在设备内部模拟的场景(例如以虚拟机模拟的业务场景)。上述的虚拟机环境例如可以是安装有虚拟机镜像文件的***环境,上述的实体设备可以是物理计算机、服务器、物理摄像头、路由器、网络交换机等等真实的物理设备,上述的实体设备是提供有吸引攻击者进行入侵的诱捕线索;所述诱捕线索为与所述现实应用场景相关的线索,例如可以是***漏洞,或者含有各种伪造的文件和信息,吸引攻击者进行攻击和入侵。综上,本实施例的蜜罐设备是不同于安装有装虚拟机镜像文件或***处于虚拟机环境的实体设备。
在一个示例场景中,***架构中包括蜜罐管理服务器和根据现实应用场景布置的N个实体设备,其中N正整数。N个实体设备可以都布置为蜜罐设备;当然考虑到并非所有的实体设备都会被攻击,因此可以结合实体设备被攻击的概率和/或实体设备的权重(衡量该设备的重要程度)来布置蜜罐设备,将概率大和/或权重大的实体设备布置为蜜罐设备,尤其是对于实体设备很多的情况,用户可以根据上述布置规则(概率或权重)从中选择实体设备来布置为蜜罐设备。
在一实施例中,可以通过在物理计算机等实体设备上部署监听模块(例如蜜罐监控程序)来形成蜜罐设备。
具体的,当蜜罐管理服务器确定需要在特定的实体设备上安装监听模块时,可以与实体设备建立通信连接后,蜜罐管理服务器可以将特定的实体设备需要安装的监听模块发送至实体设备,在实体设备接收到镜像文件后,控制运行监听模块,将监听模块安装在实体设备中形成蜜罐设备。
在其他可选的实施方式中,用户可以根据现实应用场景布置多个实体设备,然后选择多个实体设备中的至少一台将监听模块进行预安装形成蜜罐设备,将实体设备的身份标识进行标注,生成一个蜜罐设备标识表,将该蜜罐设备标识表存储在蜜罐管理服务器中,蜜罐管理服务器通过该蜜罐设备标识表以及其是否处于虚拟机环境来确定上线的实体设备是否是设置有监听模块的蜜罐设备。
在可选的实施方式中,所述监听模块包括高交互蜜罐监控程序。
在可选的实施方式中,所述蜜罐设备为多台,多台蜜罐设备通过网络接入设备相互连接。
这里将多台蜜罐设备通过网络接入设备相互连接形成物联网,物联网中的蜜罐设备可以实现数据共享。
在可选的实施方式中,网络接入设备可以是路由器、网络交换机等。
需要指出的是,物联网也可以包括按照现实应用环境布置的连接有网络接入设备的实体设备(例如用户未选取设置监听模块的物理设备,即此处的实体设备可以不是蜜罐设备),此时,实体设备也是该物联网的一个节点,这里称之为物联网的非蜜罐节点,为了区分,上述的蜜罐设备称为物联网的蜜罐节点。
上述不走S104在基于所述设置有监听模块的蜜罐设备非攻击者的入侵行为进行监听,包括以下步骤:
1、接收所述蜜罐设备发送的监控数据,所述监控数据携带有所述蜜罐设备的身份标识。
这里的监控数据包括进程监控数据、网络监控数据、文件监控数据,上述的身份标识(Identification,简称ID)用于监控数据的设备来源,身份标识例如可以是节点的属性、类型(摄像头或流量监测器)、IP地址等等。
因此,蜜罐管理服务器可以通过该身份标识即可关联到发送的蜜罐设备。
具体的,蜜罐设备的监听模块持续实时对高仿真的物联网蜜罐进行监控,并记录设备***内的包括但不限于进程、网络、文件的活动情况,生成日志。
通过蜜罐设备对进程、文件、网络等进行监听,获取进程变化文件操作网络活动的情况,从而识别攻击者的入侵行为(也可以称为攻击行为或非法操作)。
在可选的实施方式,该方法还可以包括:对监控数据进行存储。
具体的,将记录的监控数据存储至存储设备中,这里的存储设备可以是服务器内部的存储器也可以是外部连接的存储器。
需要说明的是,在其他实施例中,监控数据不用回传给蜜罐管理服务器,蜜罐设备将监控数据分布式存储在物联网的各个节点(可以是蜜罐节点也可以是非蜜罐节点)上,然后蜜罐管理服务器根据设备的唯一ID从布式的各个节点进行提取还原为监控数据,并且可以生成告警信息来提示用户。
由于本实施例中的蜜罐设备是含有监控手段的真实物理设备,真实物理设备按照现实应用场景(例如办公场景)部署的,该蜜罐设备含有备份且对非公开数据经过脱敏处理的真实的业务***(即表面上与真的业务***一模一样,该公开的数据都公开,不公开的数据就脱敏,即该业务***不会含有非公开数据)。因此,相比于现有的虚拟化层面的蜜罐设备,本实施例提供的该基于蜜罐的防御方法是一种完全模拟真实生活环境下的物联网设备环境作为整套蜜罐的部署方法,将现实生活中的一批实体设备设置为蜜罐设备,从而达到物理层欺骗入侵者的目的,缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题,提高攻击者的辨识难度系数,避免被攻击者发现,有利于提高诱捕成功率。
实施例2
参照图2,在前述方案的基础上,本发明实施例提供了另一种基于蜜罐的防御方法,与实施例1的区别在于,所述方法还包括:
步骤S202,基于预设诱捕技术对攻击者的目标入侵行为进行诱捕。
上述的目标入侵行为例如可以是对目标文件的访问或者对目标网址的访问(例如对真实业务***的核心数据访问)。
在可选的实施方式中,所述预设诱捕技术包括:将现实应用场景的真实业务***的后台管理地址映射成预设的蜜罐环境地址。
本发明实施例提供的基于蜜罐的防御方法,通过对真实生活环境和场景的布置,提供一套完全基于现实的蜜罐设备,诱导黑客对该套设施或设备进行入侵攻击,结合蜜罐设备上的监控模块对设备内部***中包括但不限于进程、文件、网络的多维度数据进行实时记录和存储,实现对入侵者进行诱捕的目的。并且该方法通过基于预设诱捕技术对攻击者的目标入侵行为进行诱捕,不仅可以获取攻击者的入侵行为或攻击操作,还可以对真实业务***进行保护,保护真实业务***的正常运行。
实施例3
基于同一发明构思,本申请实施例中还提供了与基于蜜罐的防御方法对应的基于蜜罐的防御装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述基于蜜罐的防御方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
图3为本申请实施例提供的基于蜜罐的防御装置的示意图。
参照图3,该装置包括:确定模块301以及监控模块302;
其中,确定模块301,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景且未处于虚拟机环境的实体设备;
监控模块302,用于基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监控。
一种可选实施方式中,所述监听模块包括高交互蜜罐监控程序。
一种可选实施方式中,所述蜜罐设备为多台,多台蜜罐设备通过网络接入设备相互连接。
一种可选实施方式中,所述监听模块在基于所述设置有监听模块的蜜罐设备非攻击者的入侵行为进行监听时,具体用于:接收所述蜜罐设备发送的监控数据,所述监控数据携带有所述蜜罐设备的身份标识。
一种可选实施方式中,所述监控数据包括进程监控数据、网络监控数据、文件监控数据。
一种可选实施方式中,所述装置还包括:
诱捕模块303,用于基于预设诱捕技术对攻击者的目标入侵行为进行诱捕。
一种可选实施方式中,所述预设诱捕技术包括:将现实应用环境下真实业务***的后台管理地址映射成预设的蜜罐环境地址。
本申请实施例提供的基于蜜罐的防御装置,与上述实施例提供的基于蜜罐的防御方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本发明实施例还提供一种蜜罐***,包括:
按照现实应用场景布置的实体设备和蜜罐管理服务器;
所述实体设备,用于提供吸引攻击者进行入侵的诱捕线索;所述诱捕线索为与所述真实业务场景相关的线索;
所述蜜罐管理服务器,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
下面对本实施例提供的蜜罐***的工作原理进行简要说明:
1)准备一个现实的环境,具体可以根据客户的真实业务场景部署真实的物理实体设备,在真实业务***中,物理实体设备预留下一些诱捕线索,可以引导攻击者入侵这套物理实体设备形成的物联网***。
2)在部署的物理实体设备中确定一批实体设备并安装高交互蜜罐监控程序来得到蜜罐设备。
3)蜜罐设备中的监控程序持续实时地对高仿真的物联网***进行监控,并记录设备***内的包括但不限于进程、网络、文件的活动情况,记录入侵者的非法行为和操作,将记录的信息上传给蜜罐管理服务器。
4)蜜罐管理服务器在诱捕过程中使用的诱捕技术包括但不限于在真实业务***的后台管理地址映射成蜜罐的环境中。
本发明实施例提供的基于蜜罐的防御***,根据用户真实业务***在现实应用环境(现实工作环境或现实生活环境)中部署实体设备,并确定一批实体设备作为蜜罐设备,将蜜罐技术真正的融入现实工作或现实生活中去,使攻击者对蜜罐环境难以辨别。
图4示出了本发明实施例提供的一种蜜罐***的***架构示意图。
参见图4,该***架构主要包括:例如机器人作业场景、摄像头监控场景、办公场景、智能家居场景等现实应用场景,基于上述现实应用场景搭建物理仿真的蜜罐环境,例如将办公场景中的办公的多台真实的电脑设备中选出几台安装监听模块得到安装有监听模块的蜜罐设备,蜜罐设备通过路由器互联,并通过互联网与蜜罐管理服务器通信,蜜罐管理服务器确定安装有监听模块的蜜罐设备,并基于该安装有监听模块的蜜罐设备进行监听。
下面以企业办公场景为例对该***的工作过程进行简要说明:
在一个房间中部署了真实的摄像头、路由器以及多台真实的电脑设备,其中多台真实的电脑设备以及真实的摄像头通过路由器互联组成物联网,在真实的电脑设备主机设置高交互蜜罐监控程序得到蜜罐设备,蜜罐设备处于物理仿真的蜜罐环境中,电脑设备的诱捕线索为主机的IP地址、开机账号密码,摄像头的诱捕线索为调用的口令(例如数字),黑客入侵时通过调取摄像头查看到真实的办公环境后,从电脑设备得知电脑设备主机的IP地址和开机账号密码等,发起对电脑设备主机的攻击,摄像头和电脑设备主机中的高交互蜜罐监控程序对黑客的入侵行为进行监控和捕获,记录黑客的入侵行为和操作,生成日志信息并将日志信息发送至蜜罐管理服务器,蜜罐管理服务器将入侵主机访问的后台管理地址(服务功能)映射或跳转到预设的蜜罐环境地址(预设网址)中进行诱捕。
本发明实施例提供的***与装置,通过完全模拟真实生活的物联网设备场景,具有更高的仿真度,且能够将诱捕的业务***与现实生活中的场景布置关联起来,比如诱导黑客通过业务***入侵后,取得内部摄像头权限,从摄像头中看到了高仿真的场景,尽可能的打消黑客对当前***是个蜜罐的疑虑,提高了辨识难度系数和诱捕成功率。
本申请实施例提供的蜜罐***,将诱捕黑客的仿真程度提到了现实级别,增加了黑客对蜜罐的辨识难度系数,提高了诱捕效果和成功率。
参见图5,本发明实施例还提供一种蜜罐管理服务器100,包括:
处理器41、存储器42、和总线43;存储器42用于存储执行指令,包括内存421和外部存储器422;这里的内存421也称内存储器,用于暂时存放处理器41中的运算数据,以及与硬盘等外部存储器422交换的数据,处理器41通过内存421与外部存储器422进行数据交换,当所述蜜罐管理服务器100运行时,所述处理器41与所述存储器42之间通过总线43通信,使得所述处理器41在用户态执行以下指令:
确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;
基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
可选地,处理器41执行的指令中,所述监听模块包括高交互蜜罐监控程序。
可选地,处理器41执行的指令中,所述蜜罐设备为多台,多台蜜罐设备通过网络接入设备相互连接。
可选地,处理器41执行的指令中,基于所述设置有监听模块的蜜罐设备非攻击者的入侵行为进行监听,包括:
接收所述蜜罐设备发送的监控数据,所述监控数据携带有所述蜜罐设备的身份标识。
可选地,处理器41执行的指令中,所述监控数据包括进程监控数据、网络监控数据、文件监控数据。
可选地,处理器41执行的指令中,所述方法还包括:
基于预设诱捕技术对攻击者的目标入侵行为进行诱捕。
可选地,处理器41执行的指令中,所述预设诱捕技术包括:
将现实应用环境下的真实业务***的后台管理地址映射成预设的蜜罐环境地址。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例提供的结合威胁情报的Fast-Flux僵尸网络的检测方法的步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块或单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于蜜罐的防御方法,其特征在于,应用于蜜罐管理服务器,包括以下步骤:
确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;
基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
2.根据权利要求1所述的方法,其特征在于,所述监听模块包括高交互蜜罐监控程序。
3.根据权利要求1所述的方法,其特征在于,所述蜜罐设备为多台,多台蜜罐设备通过网络接入设备相互连接。
4.根据权利要求1所述的方法,其特征在于,所述基于所述设置有监听模块的蜜罐设备非攻击者的入侵行为进行监听,包括:
接收所述蜜罐设备发送的监控数据,所述监控数据携带有所述蜜罐设备的身份标识。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于预设诱捕技术对攻击者的目标入侵行为进行诱捕。
6.根据权利要求5所述的方法,其特征在于,所述预设诱捕技术包括:
将现实应用场景的真实业务***的后台管理地址映射成预设的蜜罐环境地址。
7.一种基于蜜罐的防御装置,其特征在于,包括:
确定模块,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景且未处于虚拟机环境的实体设备;
监控模块,用于基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
8.一种蜜罐***,其特征在于,包括:按照现实应用场景布置的实体设备和蜜罐管理服务器;
所述实体设备,用于提供吸引攻击者进行入侵的诱捕线索;
所述蜜罐管理服务器,用于确定设置有监听模块的蜜罐设备,所述蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备;基于所述设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。
9.一种蜜罐管理服务器,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当计算机设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述权利要求1至6任一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行上述权利要求1至6任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910790301.1A CN110493238A (zh) | 2019-08-26 | 2019-08-26 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910790301.1A CN110493238A (zh) | 2019-08-26 | 2019-08-26 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110493238A true CN110493238A (zh) | 2019-11-22 |
Family
ID=68554217
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910790301.1A Pending CN110493238A (zh) | 2019-08-26 | 2019-08-26 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110493238A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及*** |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN114285622A (zh) * | 2021-12-09 | 2022-04-05 | 安天科技集团股份有限公司 | 一种主动诱捕安全防御方法、***、电子设备及存储介质 |
CN114650153A (zh) * | 2020-12-17 | 2022-06-21 | 浙江宇视科技有限公司 | 一种视频网络安全风险防范***及防范方法 |
CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警***及方法 |
CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及*** |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
-
2019
- 2019-08-26 CN CN201910790301.1A patent/CN110493238A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警***及方法 |
CN104144164A (zh) * | 2014-08-06 | 2014-11-12 | 武汉安问科技发展有限责任公司 | 基于网络入侵的扩展防御方法 |
US20180167412A1 (en) * | 2016-12-08 | 2018-06-14 | Stealth Security, Inc. | Prevention of malicious automation attacks on a web service |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及*** |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
Non-Patent Citations (1)
Title |
---|
鲁智勇: "网络安全防护理论与技术", 《国防工业出版社》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
CN111556061B (zh) * | 2020-04-29 | 2022-07-12 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
CN112039717B (zh) * | 2020-06-29 | 2022-10-28 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及*** |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及*** |
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN113949520B (zh) * | 2020-06-29 | 2024-02-09 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
CN112187825B (zh) * | 2020-10-13 | 2022-08-02 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
CN114650153B (zh) * | 2020-12-17 | 2024-04-05 | 浙江宇视科技有限公司 | 一种视频网络安全风险防范***及防范方法 |
CN114650153A (zh) * | 2020-12-17 | 2022-06-21 | 浙江宇视科技有限公司 | 一种视频网络安全风险防范***及防范方法 |
CN113794674A (zh) * | 2021-03-09 | 2021-12-14 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和*** |
CN114285622B (zh) * | 2021-12-09 | 2024-01-26 | 安天科技集团股份有限公司 | 一种主动诱捕安全防御方法、***、电子设备及存储介质 |
CN114285622A (zh) * | 2021-12-09 | 2022-04-05 | 安天科技集团股份有限公司 | 一种主动诱捕安全防御方法、***、电子设备及存储介质 |
CN114884744A (zh) * | 2022-06-07 | 2022-08-09 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 一种攻击行为的分析方法及电子设备 |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御*** |
CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 | |
CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 | |
CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
US9680867B2 (en) | Network stimulation engine | |
Zhuang et al. | Investigating the application of moving target defenses to network security | |
US20180309787A1 (en) | Deploying deception campaigns using communication breadcrumbs | |
Çeker et al. | Deception-based game theoretical approach to mitigate DoS attacks | |
US20150052520A1 (en) | Method and apparatus for virtual machine trust isolation in a cloud environment | |
CN104023034A (zh) | 一种基于软件定义网络的安全防御***及防御方法 | |
US10878067B2 (en) | Physical activity and IT alert correlation | |
US11481478B2 (en) | Anomalous user session detector | |
US11425150B1 (en) | Lateral movement visualization for intrusion detection and remediation | |
CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
CN113612783B (zh) | 一种蜜罐防护*** | |
CN110351237A (zh) | 用于数控机床的蜜罐方法及装置 | |
CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
CN110099041A (zh) | 一种物联网防护方法及设备、*** | |
CN113971288A (zh) | 一种基于大数据技术智慧校园安全管控平台 | |
CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 | |
He et al. | 3d-ids: Iaas user-oriented intrusion detection system | |
WO2020069741A1 (en) | Network surveillance system | |
EP4235470A1 (en) | Method and network component for protecting networked infrastructures | |
Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
Aborujilah et al. | Critical review of intrusion detection systems in cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191122 |
|
RJ01 | Rejection of invention patent application after publication |