CN111651757A - 攻击行为的监测方法、装置、设备及存储介质 - Google Patents
攻击行为的监测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111651757A CN111651757A CN202010510412.5A CN202010510412A CN111651757A CN 111651757 A CN111651757 A CN 111651757A CN 202010510412 A CN202010510412 A CN 202010510412A CN 111651757 A CN111651757 A CN 111651757A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attack
- monitoring
- data
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 71
- 230000006399 behavior Effects 0.000 claims abstract description 140
- 239000000523 sample Substances 0.000 claims abstract description 87
- 230000008569 process Effects 0.000 claims description 17
- 238000004088 simulation Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 abstract description 9
- 230000016571 aggressive behavior Effects 0.000 abstract description 2
- 206010001488 Aggression Diseases 0.000 abstract 1
- 208000012761 aggressive behavior Diseases 0.000 abstract 1
- 235000012907 honey Nutrition 0.000 description 11
- 230000006854 communication Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 6
- 238000012806 monitoring device Methods 0.000 description 6
- 238000005422 blasting Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击行为的监测方法、装置、设备及存储介质,涉及金融科技领域,所述攻击行为的监测方法包括以下步骤:通过与被监测主机对应的蜜罐探针获取蜜罐数据;确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。本发明实现了前端主机和后端蜜罐服务器之间***架构的轻量级设置,提高了通过蜜罐应用监测攻击者的攻击行为的准确率。
Description
技术领域
本发明涉及金融科技(Fintech)的计算机技术领域,尤其涉及一种攻击行为的监测方法、装置、设备及存储介质。
背景技术
随着计算机技术的发展,越来越多的技术应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,计算机技术也不例外,但由于金融行业的安全性、实时性要求,也对计算机技术提出的更高的要求。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。目前的蜜罐应用需要在每一个蜜罐节点部署一个蜜罐应用,蜜罐应用是直接部署到需要用于入侵探测的主机上,每个主机中至少有一个蜜罐节点,每个蜜罐应用会占用大量的硬件资源,如CPU(Central Processing Unit,中央处理器)和硬盘空间,但是为了蜜罐整体效果,因此每个主机要部署很多蜜罐应用,这样就导致在IDC(Internet Data Center,互联网数据中心)中占用大量的硬件资源,同时如果有蜜罐应用的变更和迁移,整体成本将很高。
由此可知,现有蜜罐应用的设置占用主机的硬件资源多,且由于每个主机硬件资源的限制,无法在主机中部署过多的蜜罐应用,导致通过蜜罐应用监测攻击者的攻击行为的准确率低下。
发明内容
本发明的主要目的在于提供一种攻击行为的监测方法、装置、设备及存储介质,旨在解决现有的通过蜜罐应用监测攻击者的攻击行为的准确率低下,以及蜜罐应用的设置占用主机的硬件资源多的技术问题。
为实现上述目的,本发明提供一种攻击行为的监测方法,所述攻击行为的监测方法包括步骤:
通过与被监测主机对应的蜜罐探针获取蜜罐数据;
确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;
通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
可选地,所述通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤包括:
通过所述目标蜜罐应用,执行与所述蜜罐数据对应的攻击操作;
获取与所述攻击操作对应的攻击数据,以根据所述攻击数据监测攻击所述被监测主机的攻击行为。
可选地,所述通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤之后,还包括:
根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图。
可选地,所述根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图的步骤包括:
根据所述攻击数据执行蜜罐回溯操作,并在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息,并获取所述攻击者的攻击行为信息;
根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。
可选地,所述根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图的步骤之后,还包括:
输出含有所述攻击意图的告警信息,以通过所述告警信息提示用户所述被监测主机对应的攻击意图。
可选地,所述攻击行为的监测方法还包括:
当侦测到控制所述蜜罐探针的第一控制指令后,根据所述第一控制指令控制对应的蜜罐探针,其中,所述第一控制指令至少包括以下一种:启动所述蜜罐探针的探针启动指令、关闭所述蜜罐探针的关闭指令和设置所述蜜罐探针对应模拟服务的服务数量的设置指令。
可选地,所述攻击行为的监测方法还包括:
当侦测到控制蜜罐应用的第二控制指令后,根据所述第二控制指令控制蜜罐应用,其中,所述第二控制指令至少包括以下一种:增加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。
此外,为实现上述目的,本发明还提供一种攻击行为的监测装置,所述攻击行为的监测装置包括:
获取模块,用于通过与被监测主机对应的蜜罐探针获取蜜罐数据;
确定模块,用于确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;
监测模块,用于通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
此外,为实现上述目的,本发明还提供一种攻击行为的监测设备,所述攻击行为的监测设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的攻击行为的监测程序,所述攻击行为的监测程序被所述处理器执行时实现如联邦学习服务器对应的攻击行为的监测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击行为的监测程序,所述攻击行为的监测程序被处理器执行时实现如上所述的攻击行为的监测方法的步骤。
本发明通过与被监测主机对应的蜜罐探针获取蜜罐数据,确定蜜罐数据对应的服务类型,根据服务类型确定被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;通过目标蜜罐应用,根据蜜罐数据监测攻击被监测主机的攻击行为。实现了通过在前端的被监测主机中设置蜜罐探针,在后端的蜜罐服务器中设置蜜罐应用,避免前端主机的硬件资源被蜜罐应用大量占用,实现了前端主机和后端蜜罐服务器之间***架构的轻量级设置,不需要再每个主机中设置多个蜜罐应用,通过蜜罐探针即可获取到蜜罐数据,不会由于无法在主机中设置过多的蜜罐应用,导致通过蜜罐应用监测攻击者的攻击行为的准确率低下,从而提高了通过蜜罐应用监测攻击者的攻击行为的准确率。
附图说明
图1是本发明攻击行为的监测方法第一实施例的流程示意图;
图2是本发明攻击行为的监测方法第三实施例的流程示意图;
图3是本发明攻击行为的监测装置较佳实施例的功能示意图模块图;
图4是本发明实施例方案涉及的硬件运行环境的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种攻击行为的监测方法,参照图1,图1为本发明攻击行为的监测方法第一实施例的流程示意图。
本发明实施例提供了攻击行为的监测方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
攻击行为的监测方法包括:
步骤S10,通过与被监测主机对应的蜜罐探针获取蜜罐数据。
步骤S20,确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针。
在本发明实施例中,蜜罐服务器中至少设置有一个蜜罐应用,每个蜜罐应用对应多个蜜罐探针,每个被监测主机都设置有一个蜜罐探针。相对于被监测主机而言,蜜罐服务器为后端,相对于蜜罐服务器而言,被监测主机为前端。蜜罐探针用于模拟蜜罐应用的服务,每个蜜罐探针中都配置了不同服务对应的端口,通过该端口可以模拟蜜罐应用对应的服务。如通过在蜜罐探针中建立22端口来模拟SSH(Secure Shell,安全外壳协议)服务,即通过22端口将SSH服务对应的蜜罐数据发送给蜜罐应用。SSH为建立在应用层基础上的安全协议,SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。在本实施例中,蜜罐应用对应的服务类型包括但不限于SSH服务、web服务、数据库服务和windows远程桌面服务等类型。可以理解的是,蜜罐应用对应的服务类型除了可以为SSH服务、web服务、数据库服务和windows远程桌面服务等标准化服务外,蜜罐服务器对应用户也可以根据需要自定义设置蜜罐应用对应的服务类型。
当被监测主机接收到访问请求后,被监测主体中的蜜罐探针会获取到该访问请求对应蜜罐数据,将该蜜罐数据发送给蜜罐服务器。蜜罐数据包括但不限于探针信息、访问请求对应的IP地址、访问请求对应的流量类型和访问请求对应的服务类型。探针信息包括探针标识和探针对应被监测主机的名称等,探针标识可为探针名称,探针标识可唯一识别某个蜜罐探针。在本实施例中,访问请求对应的流量类型包括但不限于HTTP(HyperTextTransfer Protocol,超文本传输协议)流量,HTTPS(Hyper Text Transfer Protocol overSecureSocket Layer,超文本传输安全协议)流量,TCP(Transmission Control Protocol,传输控制协议)流量和UDP(User Datagram Protocol,用户数据报协议)流量。可以理解的是,由于蜜罐探针中设置了不同服务对应的端口,因此,蜜罐探针在获取到访问请求,会获取该访问请求中的类型标识,根据该类型标识确定对应的发送端口,通过该发送端口将蜜罐数据发送给蜜罐服务器。需要说明的是,不同端口对应的类型标识是不一样,在本实施例中,不限制类型标识的表现形式,该类型标识可为数字和/或字母等形式。通过该类型标识即可知道蜜罐数据对应的服务类型,即本实施例中的端口是和服务类型对应的。
当蜜罐服务器通过与被监测主机对应的蜜罐探针获取到蜜罐数据后,蜜罐服务器确定蜜罐数据对应的服务类型,根据服务类型确定被监测主机对应的目标蜜罐应用。需要说明的是,不同的服务类型对应的蜜罐应用是不一样的,在本实施例中,预先存储了服务类型和蜜罐应用之间的映射关系,因此通过该映射关系,以及蜜罐数据对应的服务类型即可确定被监测主机对应的蜜罐应用,并将被监测主机对应的蜜罐应用记为目标蜜罐应用。
步骤S30,通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
当蜜罐服务器确定目标蜜罐应用后,蜜罐服务器通过该目标蜜罐应用,根据该蜜罐数据监测攻击被监测主机的攻击行为,其中,该攻击行为就是和访问请求对应的攻击行为。
进一步地,当蜜罐服务器确定目标蜜罐应用后,蜜罐服务器检测目标蜜罐应用是否处于在线状态;若检测到目标蜜罐应用处于在线状态,蜜罐服务器则通过目标蜜罐应用,根据蜜罐数据监测攻击被监测主机的攻击行为;若检测到目标蜜罐应用未处于在线状态,即目标蜜罐应用处于离线状态,蜜罐服务器则控制目标蜜罐应用从离线状态转变为在线状态。
进一步地,步骤S30包括:
步骤a,通过所述目标蜜罐应用,执行与所述蜜罐数据对应的攻击操作。
步骤b,获取与所述攻击操作对应的攻击数据,以根据所述攻击数据监测攻击所述被监测主机的攻击行为。
具体地,蜜罐服务器通过目标蜜罐应用,执行与蜜罐数据对应的攻击操作,即执行访问请求,并获取与攻击操作对应的攻击数据,根据所获取的攻击数据监测攻击被监测主机的攻击行为。可以理解的是,蜜罐服务器在通过目标蜜罐应用,根据蜜罐数据监测攻击被监测主机的攻击行为过程中,通过目标蜜罐应用可以模拟访问请求的执行过程,即模拟攻击操作的攻击过程,并得到执行结果,将该执行结果返回给访问请求对应终端,即将执行结果返回给攻击者,执行结果就是访问请求对应的访问数据。如若访问请求为获取A数据库中的数据,蜜罐服务器则会将预先设置号的,虚假的A数据库中的数据返回给访问请求对应终端。在通过目标蜜罐应用模拟攻击操作的攻击过程中,会获取攻击数据,并存储该攻击数据,攻击数据包括但不限于来源IP地址(访问请求对应的IP地址),攻击者使用的账号,攻击者使用密码,攻击代码,源端口(攻击者对应终端的端口),攻击时间,目标IP地址,目标端口,攻击时所上传的文件,攻击的服务类型和攻击行为的流量类型,目标IP地址和目标端口是攻击操作所要攻击对象的设备的IP地址和端口,如攻击操作是要攻击B设备,则目标IP地址是B设备的IP地址,目标端口是B设备的端口。当蜜罐服务器获取到攻击数据后,蜜罐服务器通过该攻击数据即可监测攻击被监测主机的攻击行为,即通过攻击数据最终可达到模拟回放所有的攻击者操作信息和记录。可以理解的是,通过攻击数据即可确定攻击者的来源、使用的登录信息(账号和密码)和攻击代码等,从而实现监测攻击行为的效果。
如若蜜罐服务器确定目标蜜罐应用为数据库服务对应的蜜罐应用,即通过目标蜜罐应用,基于蜜罐数据识别数据库连接行为,进入数据库模拟子模块,建立与攻击者的连接,并根据攻击者的访问请求反馈相应的操作数据,同时记录所有的链接数据,如来源IP地址,登录数据库使用的账号,登录数据库所用密码和攻击代码。需要说明的是,其它类型的服务对应的实现逻辑是一致的,因此对于目标蜜罐应用为SSH服务、web服务和windows远程桌面服务等对应的蜜罐应用的监测过程不再重复赘述。
攻击者通过对于登录类***进行暴力探测,即对单一IP地址多次尝试不同账号密码进行登录的请求行为识别为***攻击行为,通过构造登录请求访问蜜罐服务器设计的非授权不能访问的页面或者数据,则为越权攻击行为,如访问非授权不能访问的数据库;通过SQL(结构化查询语言(Structured Query Language)注入等web恶意代码的方式获取数据的行为,归类为web服务对应的注入攻击行为等。对于不同的攻击行为,蜜罐服务器可设置不同的规则,通过命中规则来对攻击行为进行识别和分类。
当蜜罐服务器通过蜜罐应用接收到蜜罐数据后,会根据蜜罐数据模拟正常的应用交互功能,如攻击者通过前端的蜜罐探针进行探测或者攻击行为,通过蜜罐探针将相关流量发送到后端的蜜罐应用,实现应用层上攻击者对于蜜罐进行交互的操作,比如说黑客攻击蜜罐模拟的web服务,蜜罐应用的作用就是接收来自蜜罐探针转发的黑客的web请求,返回黑客模拟的存在漏洞的web页面,并支持黑客针对web页面的攻击行为,如可以模拟黑客攻击web的管理台,通过***登录到管理台中,可以允许黑客模拟***成功,进入到被模拟攻破的管理台页面中,并提供虚假的web页面数据。
本实施例通过与被监测主机对应的蜜罐探针获取蜜罐数据,确定蜜罐数据对应的服务类型,根据服务类型确定被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;通过目标蜜罐应用,根据蜜罐数据监测攻击被监测主机的攻击行为。实现了通过在前端的被监测主机中设置蜜罐探针,在后端的蜜罐服务器中设置蜜罐应用,避免前端主机的硬件资源被蜜罐应用大量占用,实现了前端主机和后端蜜罐服务器之间***架构的轻量级设置,不需要再每个主机中设置多个蜜罐应用,通过蜜罐探针即可获取到蜜罐数据,不会由于无法在主机中设置过多的蜜罐应用,导致通过蜜罐应用监测攻击者的攻击行为的准确率低下,从而提高了通过蜜罐应用监测攻击者的攻击行为的准确率。
进一步地,目前蜜罐应用可以直接捕获到攻击来源的所有流量,因为是直接面向攻击者的通信过程,蜜罐应用会将捕获到的攻击来源的流量发送给后端的蜜罐服务器,此时,蜜罐服务器是通过蜜罐应用的IP(Internet Protocol,网际互连协议)地址来区分各个蜜罐应用发送的数据。当同时有多个攻击者都是攻击同一个蜜罐应用的时候,多个攻击者的攻击代码、攻击频率等信息在蜜罐服务器的检测看来,只是一个IP地址的攻击行为,无法真实的还原其实是多个外部IP地址,多种攻击代码,攻击频率等情况,只能监测为一个IP地址,这样会导致蜜罐数据失真,从而导致蜜罐服务器无法按照正常逻辑执行恶意建模和告警等工作。而本实施例中通过在蜜罐探针中设置不同服务类型对应的端口,通过该端口将不同类型的蜜罐数据发送给对应的蜜罐应用,从而避免蜜罐数据失真,进一步提高了通过蜜罐应用监测攻击者的攻击行为的准确率。
进一步地,提出本发明攻击行为的监测方法第二实施例。所述攻击行为的监测方法第二实施例与所述攻击行为的监测方法第一实施例的区别在于,参照图2,所述攻击行为的监测方法还包括:
步骤S40,根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图。
当蜜罐服务器得到攻击数据后,蜜罐服务器根据攻击数据执行蜜罐回溯操作,以确定攻击被监测主体对应攻击者的攻击意图。攻击意图用于表示攻击者的最终目的,攻击意图可包括来源IP地址、攻击类型和攻击payload(载荷),如攻击者强行登录某个数据库,此时攻击意图可为获取该数据库中存储的数据,也可以是篡改该数据库中存储的数据。具体地,蜜罐服务器可在侦测到回溯指令时,根据攻击数据执行蜜罐回溯操作,其中,回溯指令可为蜜罐服务器定时触发的,也可以是蜜罐服务器对应用户根据需要触发的。
为了便于理解,举例说明,后端的蜜罐服务器以IP地址为唯一的key值,展示这个IP地址对应时间轴下的所有流量行为,根据时间轴中不同的服务探测和攻击流量,进行分类,简单一个攻击案例:1.攻击者扫描发现站点A的管理台,流量体现出攻击者请求A的流量行为;2.攻击者针对A进行管理台的***行为,流量体现大量针对A的管理台的账号密码重试操作,并***成功,登录到A的管理台,此时蜜罐应用可以记录并体现出攻击者用账号xx密码xx登录到A的管理台,并记录所有页面操作行为;3.攻击者对A进一步进行攻击,发现A的其他漏洞,如SSRF((Server-Side Request Forgery,服务器端请求伪造)漏洞,并通过SSRF漏洞攻击内网的其他服务器,这个时候可以记录并看到SSRF攻击的流量;4.攻击者通过3中的漏洞进一步探测内网服务器,内网会模拟各类业务***,如账户管理***,存款***等,攻击者通过3中的漏洞可以获得此部分服务,当攻击者探测并登陆到相关***,进行各类操作,都可被记录,特别是攻击者导出、读取、修改的数据可以被详细记录下来,便于识别其攻击的目标数据;5.通过1-4的步骤展示,即可识别出攻击者的所有攻击过程,并捕获其所有的攻击代码,最后根据其对具体访问的***和数据的操作行为,可最终识别其攻击的意图。
可以理解的是,蜜罐服务器可通过攻击数据对攻击者的攻击行为进行分析、回放等操作,以便于蜜罐服务器了解攻击者的攻击行为。
进一步地,所述步骤S40包括:
步骤c,根据所述攻击数据执行蜜罐回溯操作,并在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息,并获取所述攻击者的攻击行为信息。
当蜜罐服务器侦测到回溯指令后,蜜罐服务器根据攻击数据执行蜜罐回溯操作,并在执行蜜罐回溯操作过程中获取攻击被监测主机对应攻击者的身份信息。需要说明的是,蜜罐服务器在执行回溯操作过程中,会执行身份信息捕获逻辑,通过该捕获逻辑获取攻击者的身份信息,并获取攻击者的攻击行为信息,该捕获逻辑是预先存储在蜜罐服务器中。身份信息包括但不限于攻击者的身份标识,攻击者的IP地址和社交账号。通过攻击者的身份标识可以唯一确定攻击者。需要说明的是,在蜜罐服务器执行回溯操作过程,会模拟攻击者进行漏洞检测或者扫描探测操作,以及模拟攻击者打开蜜罐内目标文件的过程,以获取到攻击者的身份信息。
攻击行为信息包括但不限于访问请求对应的IP地址、访问请求对应的流量类型、访问请求对应的服务类型、攻击者使用的账号、攻击者使用密码、攻击代码、攻击时间和攻击时所上传的文件。可以理解的是,访问请求对应的IP地址为攻击者的IP地址。需要说明的是,攻击行为信息可包括蜜罐数据,但不限于蜜罐数据,攻击行为信息也可包括攻击数据,但不限于攻击数据。
步骤d,根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。
当蜜罐服务器获取到攻击行为信息和身份信息后,蜜罐服务器关联攻击行为信息和身份信息,得到关联信息,通过关联信息确定攻击者的攻击意图,需要说明的是,通过攻击意图可以是那个攻击者想攻击什么资源。具体地,蜜罐服务器可用身份信息和攻击行为信息中的攻击者的IP地址作为指纹信息将身份信息和攻击行为信息关联起来。
进一步地,所述攻击行为的监测方法还包括:
步骤e,输出含有所述攻击意图的告警信息,以通过所述告警信息提示用户所述被监测主机对应的攻击意图。
当蜜罐服务器确定攻击者的攻击意图后,蜜罐服务器输出含有攻击意图的告警信息,以通过该告警信息提示用户被监测主机被攻击者的入侵,并通过告警信息告诉用户,攻击者对应的攻击意图。具体地,蜜罐服务器可通过语音和/或文字等形式输出告警信息。进一步地,蜜罐服务器也可以将告警信息发送给移动终端,以供移动终端在接收到告警信息后,移动终端输出该告警信息,通过该告警信息提示移动终端用户攻击者攻击被监测主机对应的攻击意图。
本实施例通过根据攻击数据执行蜜罐回溯操作,以确定攻击被监测主机对应攻击者的攻击意图,便于用户根据攻击意图了解攻击者的攻击行为,便于运维人员根据攻击意图预防攻击者的攻击行为,提高相应网络的安全性。
进一步地,提出本发明攻击行为的监测方法第三实施例。所述攻击行为的监测方法第三实施例与所述攻击行为的监测方法第一和/或第二实施例的区别在于,所述攻击行为的监测方法还包括:
步骤f,当侦测到控制所述蜜罐探针的第一控制指令后,根据所述第一控制指令控制对应的蜜罐探针,其中,所述第一控制指令至少包括以下一种:启动所述蜜罐探针的探针启动指令、关闭所述蜜罐探针的关闭指令和设置所述蜜罐探针对应模拟服务的服务数量的设置指令。
蜜罐服务器检测是否侦测到控制蜜罐探针的第一控制指令,其中,第一控制指令是蜜罐服务器对应用户根据需要触发的,或者是蜜罐服务器接收到其他终端设备发送的第一控制指令。当蜜罐服务器侦测到控制蜜罐探针的第一控制指令后,蜜罐服务器根据第一控制指令控制对应的蜜罐探针。需要说明的是,在第一控制指令中,携带有所需要控制的蜜罐探针的探针标识,通过该探针标识即可确定所需要控制的蜜罐探针具体是哪一个。其中,第一控制指令至少包括以下一种:启动蜜罐探针的探针启动指令、关闭蜜罐探针的关闭指令和设置蜜罐探针对应模拟服务的服务数量的设置指令。可以理解的是,蜜罐服务器通过探针启动指令可以启动处于关闭状态的蜜罐探针,使处于关闭状态的蜜罐探针进行启动状态,只有处于启动状态的蜜罐探针才能获取蜜罐数据。蜜罐服务器根据关闭指令可以关闭蜜罐探针;蜜罐服务器根据设置指令可以设置各个蜜罐探针对应模拟服务的服务数量,如可将A蜜罐探针对应模拟服务的服务数量设置为2,分别为SSH服务和web服务,将B蜜罐探针对应模拟服务的服务数量设置为3,分别为SSH服务、web服务和windows远程桌面服务。
进一步地,所述攻击行为的监测方法还包括:
步骤g,当侦测到控制蜜罐应用的第二控制指令后,根据所述第二控制指令控制蜜罐应用,其中,所述第二控制指令至少包括以下一种:增加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。
进一步地,蜜罐服务器检测是否侦测到控制蜜罐应用的第二控制指令,其中,第二控制指令是蜜罐服务器对应用户根据需要触发的,或者是蜜罐服务器接收到其他终端设备发送的第二控制指令。当蜜罐服务器侦测到控制蜜罐应用的第二控制指令后,蜜罐服务器根据第二控制指令控制对应的蜜罐应用。需要说明的是,在第二控制指令中,携带有所需要控制的蜜罐应用的应用标识,通过该应用标识即可确定所需要控制的蜜罐应用具体是哪一个。其中,第二控制指令至少包括以下一种:加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。具体地,蜜罐服务器可以根据增加指令增加蜜罐应用的数量,如根据增加指令将蜜罐应用的数量从2个增加为4个;蜜罐服务器根据减少指令减少蜜罐应用的数量,如根据减少指令将蜜罐应用的数量从3个减少至2个;蜜罐服务器根据蜜罐启动指令启动处于关闭状态的蜜罐应用,使蜜罐应用处于启动状态;蜜罐服务器根据暂停指令暂停处于运行状态的蜜罐应用。进一步地,蜜罐服务器也可删除蜜罐应用或者卸载蜜罐应用。
本实施例通过第一控制指令控制蜜罐探针,通过第二控制指令控制蜜罐应用,从而提高了蜜罐探针和蜜罐应用设置的灵活性。
此外,本发明还提供一种攻击行为的监测装置,参照图3,所述攻击行为的监测装置包括:
获取模块10,用于通过与被监测主机对应的蜜罐探针获取蜜罐数据;
确定模块20,用于确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;
监测模块30,用于通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
进一步地,所述监测模块30包括:
第一执行单元,用于通过所述目标蜜罐应用,执行与所述蜜罐数据对应的攻击操作;
第一获取单元,获取与所述攻击操作对应的攻击数据,以根据所述攻击数据监测攻击所述被监测主机的攻击行为。
进一步地,所述攻击行为的监测装置还包括:
执行模块,用于根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图。
进一步地,所述执行模块包括:
第二执行单元,用于根据所述攻击数据执行蜜罐回溯操作;
第二获取单元,用于在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息,并获取所述攻击者的攻击行为信息;
确定单元,用于根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。
进一步地,所述攻击行为的监测装置还包括:
输出模块,用于输出含有所述攻击意图的告警信息,以通过所述告警信息提示用户所述被监测主机对应的攻击意图。
进一步地,所述攻击行为的监测装置还包括:
第一控制模块,用于当侦测到控制所述蜜罐探针的第一控制指令后,根据所述第一控制指令控制对应的蜜罐探针,其中,所述第一控制指令至少包括以下一种:启动所述蜜罐探针的探针启动指令、关闭所述蜜罐探针的关闭指令和设置所述蜜罐探针对应模拟服务的服务数量的设置指令。
进一步地,所述攻击行为的监测装置还包括:
第二控制模块,当侦测到控制蜜罐应用的第二控制指令后,根据所述第二控制指令控制蜜罐应用,其中,所述第二控制指令至少包括以下一种:增加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。
本发明攻击行为的监测装置具体实施方式与上述攻击行为的监测方法各实施例基本相同,在此不再赘述。
此外,本发明还提供一种攻击行为的监测设备。如图4所示,图4是本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图4即可为攻击行为的监测设备的硬件运行环境的结构示意图。本发明实施例攻击行为的监测设备可以是PC,便携计算机等终端设备。
如图4所示,该攻击行为的监测设备可以包括:处理器1001,例如CPU,存储器1005,用户接口1003,网络接口1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图4中示出的攻击行为的监测设备结构并不构成对攻击行为的监测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种计算机存储介质的存储器1005中可以包括操作***、网络通信模块、用户接口模块以及攻击行为的监测程序。其中,操作***是管理和控制攻击行为的监测设备硬件和软件资源的程序,支持攻击行为的监测程序以及其它软件或程序的运行。
在图4所示的攻击行为的监测设备中,用户接口1003主要用于连接终端设备,与终端设备进行数据通信,如将告警信息发送给终端设备;网络接口1004主要用于后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1005中存储的攻击行为的监测程序,并执行如上所述的攻击行为的监测方法的步骤。
本发明攻击行为的监测设备具体实施方式与上述攻击行为的监测方法各实施例基本相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击行为的监测程序,所述攻击行为的监测程序被处理器执行时实现如上所述的攻击行为的监测方法的步骤。
本发明计算机可读存储介质具体实施方式与上述攻击行为的监测方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种攻击行为的监测方法,其特征在于,所述攻击行为的监测方法包括以下步骤:
通过与被监测主机对应的蜜罐探针获取蜜罐数据;
确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;
通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
2.如权利要求1所述的攻击行为的监测方法,其特征在于,所述通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤包括:
通过所述目标蜜罐应用,执行与所述蜜罐数据对应的攻击操作;
获取与所述攻击操作对应的攻击数据,以根据所述攻击数据监测攻击所述被监测主机的攻击行为。
3.如权利要求1所述的攻击行为的监测方法,其特征在于,所述通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤之后,还包括:
根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图。
4.如权利要求3所述的攻击行为的监测方法,其特征在于,所述根据所述攻击数据执行蜜罐回溯操作,以确定攻击所述被监测主机对应攻击者的攻击意图的步骤包括:
根据所述攻击数据执行蜜罐回溯操作,并在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息,并获取所述攻击者的攻击行为信息;
根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。
5.如权利要求4所述的攻击行为的监测方法,其特征在于,所述根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图的步骤之后,还包括:
输出含有所述攻击意图的告警信息,以通过所述告警信息提示用户所述被监测主机对应的攻击意图。
6.如权利要求1至5任一项所述的攻击行为的监测方法,其特征在于,所述攻击行为的监测方法还包括:
当侦测到控制所述蜜罐探针的第一控制指令后,根据所述第一控制指令控制对应的蜜罐探针,其中,所述第一控制指令至少包括以下一种:启动所述蜜罐探针的探针启动指令、关闭所述蜜罐探针的关闭指令和设置所述蜜罐探针对应模拟服务的服务数量的设置指令。
7.如权利要求1至5任一项所述的攻击行为的监测方法,其特征在于,所述攻击行为的监测方法还包括:
当侦测到控制蜜罐应用的第二控制指令后,根据所述第二控制指令控制蜜罐应用,其中,所述第二控制指令至少包括以下一种:增加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。
8.一种攻击行为的监测装置,其特征在于,所述攻击行为的监测装置包括:
获取模块,用于通过与被监测主机对应的蜜罐探针获取蜜罐数据;
确定模块,用于确定所述蜜罐数据对应的服务类型,根据所述服务类型确定所述被监测主机对应的目标蜜罐应用,其中,一个蜜罐应用对应多个蜜罐探针;
监测模块,用于通过所述目标蜜罐应用,根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。
9.一种攻击行为的监测设备,其特征在于,所述攻击行为的监测设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的攻击行为的监测程序,所述攻击行为的监测程序被所述处理器执行时实现如权利要求1至7任一项中所述的攻击行为的监测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有攻击行为的监测程序,所述攻击行为的监测程序被处理器执行时实现如权利要求1至7任一项所述的攻击行为的监测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010510412.5A CN111651757B (zh) | 2020-06-05 | 2020-06-05 | 攻击行为的监测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010510412.5A CN111651757B (zh) | 2020-06-05 | 2020-06-05 | 攻击行为的监测方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111651757A true CN111651757A (zh) | 2020-09-11 |
CN111651757B CN111651757B (zh) | 2024-04-09 |
Family
ID=72347299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010510412.5A Active CN111651757B (zh) | 2020-06-05 | 2020-06-05 | 攻击行为的监测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111651757B (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865815A (zh) * | 2020-09-24 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于联邦学习的流量分类方法及*** |
CN112637244A (zh) * | 2021-01-08 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种针对常见与工控协议及端口的威胁检测方法 |
CN112699009A (zh) * | 2021-01-12 | 2021-04-23 | 树根互联技术有限公司 | 数据检测方法和装置、服务器及存储介质 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及*** |
CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
CN113438199A (zh) * | 2021-05-07 | 2021-09-24 | 中国银行股份有限公司 | 数据库攻击防御方法、装置及*** |
CN113645253A (zh) * | 2021-08-27 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种攻击信息获取方法、装置、设备及存储介质 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN114024774A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种攻击者画像的生成方法、装置及电子设备 |
CN114205127A (zh) * | 2021-11-29 | 2022-03-18 | 中国铁路北京局集团有限公司北京通信段 | 一种针对铁路的网络安全监测方法及*** |
CN114500086A (zh) * | 2022-02-22 | 2022-05-13 | 山东云天安全技术有限公司 | 蜜罐安全状态确定方法、电子设备和计算机可读存储介质 |
CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
CN114826663A (zh) * | 2022-03-18 | 2022-07-29 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
CN115189905A (zh) * | 2022-05-09 | 2022-10-14 | 济南大学 | 网络通信与安全管控一体机及其工作方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190245832A1 (en) * | 2017-06-09 | 2019-08-08 | Tencent Technology (Shenzhen) Company Limited | Data response method, terminal device, and server |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及***、可读存储介质 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN110990115A (zh) * | 2019-11-21 | 2020-04-10 | 博智安全科技股份有限公司 | 针对蜜罐的容器化部署管理***及其方法 |
-
2020
- 2020-06-05 CN CN202010510412.5A patent/CN111651757B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190245832A1 (en) * | 2017-06-09 | 2019-08-08 | Tencent Technology (Shenzhen) Company Limited | Data response method, terminal device, and server |
CN110990115A (zh) * | 2019-11-21 | 2020-04-10 | 博智安全科技股份有限公司 | 针对蜜罐的容器化部署管理***及其方法 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及***、可读存储介质 |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111865815B (zh) * | 2020-09-24 | 2020-11-24 | 中国人民解放军国防科技大学 | 一种基于联邦学习的流量分类方法及*** |
CN111865815A (zh) * | 2020-09-24 | 2020-10-30 | 中国人民解放军国防科技大学 | 一种基于联邦学习的流量分类方法及*** |
CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
CN112637244A (zh) * | 2021-01-08 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种针对常见与工控协议及端口的威胁检测方法 |
CN112699009A (zh) * | 2021-01-12 | 2021-04-23 | 树根互联技术有限公司 | 数据检测方法和装置、服务器及存储介质 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及*** |
CN112995151B (zh) * | 2021-02-08 | 2023-11-14 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
CN113438199A (zh) * | 2021-05-07 | 2021-09-24 | 中国银行股份有限公司 | 数据库攻击防御方法、装置及*** |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN113645253B (zh) * | 2021-08-27 | 2023-05-26 | 杭州安恒信息技术股份有限公司 | 一种攻击信息获取方法、装置、设备及存储介质 |
CN113645253A (zh) * | 2021-08-27 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种攻击信息获取方法、装置、设备及存储介质 |
CN114205127A (zh) * | 2021-11-29 | 2022-03-18 | 中国铁路北京局集团有限公司北京通信段 | 一种针对铁路的网络安全监测方法及*** |
CN114024774A (zh) * | 2022-01-05 | 2022-02-08 | 北京微步在线科技有限公司 | 一种攻击者画像的生成方法、装置及电子设备 |
CN114500086A (zh) * | 2022-02-22 | 2022-05-13 | 山东云天安全技术有限公司 | 蜜罐安全状态确定方法、电子设备和计算机可读存储介质 |
CN114826663A (zh) * | 2022-03-18 | 2022-07-29 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
CN114826663B (zh) * | 2022-03-18 | 2023-12-01 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
CN115189905A (zh) * | 2022-05-09 | 2022-10-14 | 济南大学 | 网络通信与安全管控一体机及其工作方法 |
CN115189905B (zh) * | 2022-05-09 | 2023-05-23 | 济南大学 | 网络通信与安全管控一体机及其工作方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111651757B (zh) | 2024-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CN110855676B (zh) | 网络攻击的处理方法、装置及存储介质 | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US20170230336A1 (en) | Automated honeypot provisioning system | |
CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
CN105376245A (zh) | 一种基于规则的apt攻击行为的检测方法 | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
US20210281599A1 (en) | Cyber Security System and Method Using Intelligent Agents | |
CN105939326A (zh) | 处理报文的方法及装置 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
US20040030931A1 (en) | System and method for providing enhanced network security | |
CN112615863A (zh) | 反制攻击主机的方法、装置、服务器及存储介质 | |
CN110855659A (zh) | redis蜜罐部署*** | |
CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
CN113676449A (zh) | 网络攻击处理方法及装置 | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
Yassin et al. | SQLIIDaaS: A SQL injection intrusion detection framework as a service for SaaS providers | |
CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及*** | |
CN116318783B (zh) | 基于安全指标的网络工控设备安全监测方法及装置 | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
Wu et al. | A novel approach to trojan horse detection by process tracing | |
CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |