CN112417444A - 一种基于固件模拟的攻击诱捕*** - Google Patents
一种基于固件模拟的攻击诱捕*** Download PDFInfo
- Publication number
- CN112417444A CN112417444A CN202011393227.9A CN202011393227A CN112417444A CN 112417444 A CN112417444 A CN 112417444A CN 202011393227 A CN202011393227 A CN 202011393227A CN 112417444 A CN112417444 A CN 112417444A
- Authority
- CN
- China
- Prior art keywords
- firmware
- equipment
- attack
- information
- simulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明是一种基于固件模拟的攻击诱捕***,包括如下步骤:(1)固件获取与解析;(2)对步骤1中获取到的固件信息,使用QEMU模拟器,通过***级仿真技术,对目标固件进行模拟(3)在步骤2的基础上,进行蜜罐***搭建,在虚拟化环境中部署基于SSH代理协议的高交互蜜罐***,并进行信息配置;(4)在步骤3的基础上,进行攻击行为捕获,在蜜罐中对设备受到的各种攻击行为特征进行实时监控,捕获攻击者发起攻击的途径等信息。本发明通过QEMU模拟器对固件进行模拟仿真,使用虚拟化技术部署基于SSH协议的蜜罐环境,可以实时有效地监控针对设备的各种攻击行为,捕获恶意攻击,构建更加高效完备的***安全防护体系。
Description
技术领域
本发明属于计算机安全技术领域,具体的说是涉及计算机设备固件、仿真模拟器和蜜罐技术,尤其是一种基于固件模拟的攻击诱捕***。
背景技术
随着物联网的迅猛发展和嵌入式设备的广泛普及,越来越多的嵌入式设备通过网络进行连接,用户通过手机、PC电脑等移动设备就可以在任何地方对任何一个连接到网络上的嵌入式设备进行控制,比如,人们可以在办公室中用手机连接网络摄像头随时监控家中的任何异常情况,观察家中的电器是否关闭,是否有小偷入室盗窃等,但是,物联网设备的出现,给人们生活带来方便的同时,也带来了很多潜在的问题。嵌入式设备的处理器架构多样、功能各异,导致对于嵌入式设备的安全分析步骤复杂、专业知识要求严格,再加上人们的安全意识仍然薄弱,因此,目前对于嵌入式设备的安全研究发展较为缓慢。
嵌入式物联网设备的安全问题需要引起足够的重视,2016年9月美国多个地区的嵌入式物联网设备遭受大规模的DDoS攻击,该攻击是由一个名为Mirai的僵尸网络病毒引发的,Mirai能够感染网络摄像头、路由器、无线打印机等嵌入式设备,利用多个已知、未公开的漏洞进行入侵和控制,然后通过互联网对其他嵌入式设备进行感染,该病毒爆发高峰时,操控了数十万台嵌入式设备用来执行分散式阻断服务攻击,即DDoS攻击。美国多家大型互联网企业包括Amazon、Spotify、Twitter等的官方网站都受到该病毒的攻击而导致页面无法访问。为这些互联网企业提供域名访问的Dyn公司也在10月份遭受了大规模的DDoS攻击,导致多家网站和在线服务无法访问,该攻击也被称为“美东断网事件”。2017年5月,一种新型的勒索病毒WannaCry在全世界范围内爆发。该病毒借助高危漏洞“永恒之蓝”,利用Windows***默认开放的445端口进行攻击,并通过扫描同一网段内其他机器的端口进行自我复制和自我传播。在短时间内就迅速扩散,导致上百个国家,至少30万机器受到感染,共计损失高达80亿美元。2018年5月,思科安全团队公开了一款高可扩展性、高破坏性的恶意软件“VPNFilter”,该恶意软件能够烧坏设备来掩盖自身踪迹,还能监控设备流量盗取用户信息。其攻击的设备类型大多是联网的网络设备和存储设备,据统计,VPNFliter已经感染了至少50个国家共计50万台物联网设备。
从这些重大漏洞攻击事件的影响范围和出现频率可以看出,加快对于物联网设备的逆向工程、漏洞分析,不仅有助于促进传统产业转型升级,推动全球物联网发展,而且对于国家信息安全、网络数据保护、个人信息保障等方面也具有重大意义。
目前有许多在线设备扫描服务,如Shodan、Censys等,可以对互联网上所有的在线设备进行扫描并提供扫描得到的设备详细信息。这种易于使用的研究工具使安全研究人员能够更加高效、快捷地识别可能暴露或可利用的嵌入式物联网设备。但是,这种全网扫描的缺点是仅可以针对嵌入式设备开放的端口进行漏洞扫描,如果设备没有开放端口或是根本没有联网,则无法对其进行漏洞分析。由于嵌入式物联网设备的种类繁多、功能各异,且固件中存在着各种各样的安全漏洞,因此针对嵌入式设备的安全研究非常困难,导致其遭受的攻击面越来越大,频率也越来越高。各家设备厂商对于固件的安全检测和更新并不积极,用户在购买设备后也不会主动进行固件的升级,一旦某个嵌入式设备固件中发现漏洞,则会影响百万、甚至上千万数量的用户安全。
嵌入式物联网设备所遭受的攻击不仅损害了设备本身的安全性,更是威胁了整个计算机***的稳固,所以目前亟需进一步探究物联网设备的内部结构与运作原理,从设备本身固件入手,研究设备面对各种攻击行为的状态,捕获恶意攻击,分析攻击路径,进而维护整个计算机***的安全和稳固。
发明内容
针对近年来不断出现的***安全问题,本发明提出了一种基于固件模拟的攻击诱捕***,通过对设备固件的获取,结合静态分析与动态分析,解析出固件的特征信息,使用QEMU模拟器模拟出目标固件所需环境,在虚拟化环境中通过部署蜜罐***,对攻击行为进行实时有效的监控与捕获,提高***防御各种攻击行为的能力,构建更为安全可靠的***安全防护体系。
为了达到上述目的,本发明是通过以下技术方案实现的:
本发明是一种基于固件模拟的攻击诱捕***,从固件模拟的角度,对攻击行为实施诱捕,该***包括如下步骤:
步骤1:固件获取与解析,在设备官网上获取固件信息或者通过硬件接入直接读取固件存储芯片,绕过控制设备控制器或处理器,直接控制设备的Flash芯片,读取到芯片中的整片内容,并解析固件的二进制数据;
步骤2:对步骤1中获取到的固件信息,使用QEMU模拟器,通过***级仿真技术,对目标固件进行模拟;
步骤3:在步骤2的基础上,进行蜜罐***搭建,在虚拟化环境中部署基于SSH代理协议的高交互蜜罐***,并进行信息配置;
步骤4:在步骤3的基础上,进行攻击行为捕获,在蜜罐中对设备受到的各种攻击行为特征进行实时监控,捕获攻击者发起攻击的途径等信息。
本发明的进一步改进在于:步骤1中固件获取与解析,在设备官网上获取固件信息,或者通过硬件接入直接读取固件存储芯片,绕过控制设备控制器(或处理器),直接控制设备的Flash芯片,读取到芯片中的整片内容,并解析固件的二进制数据,具体为:
(1)固件获取:使用网页爬虫在设备生产厂商提供的官网上进行固件压缩包的下载,对于没有提供下载网页的固件,选择通过硬件接入直接读取固件存储芯片的方式,绕过控制设备控制器,直接控制设备的Flash芯片,读取到芯片中的整片内容;对搜集到的所有固件信息进行整合和分类,按照设备品牌、设备种类、设备型号等信息进行分文件夹归纳,便于后期统一管理;
(2)固件解析:嵌入式设备固件指存储在电可擦除只读存储器EEPROM或FLASH芯片中的一段二进制程序,固件中包含了嵌入式设备中的所有可执行程序以及配置文件,是嵌入式设备最为核心的部分,决定了该设备功能和性能,因此固件是软件,而不是硬件。经过对大量的嵌入式设备固件分析得出:嵌入式设备固件主要包含四个部分,头部信息(Header)、引导程序(BootLoader)、内核镜像(Image)、根文件***(Root FileSystem),分析固件的头部信息,通过头部信息的格式来了解整个固件的数据结构,通过分析多种类型固件的特征字段,建立一个对应的特征值数据库,分析了嵌入式物联网设备固件的二进制数据后,根据其头部信息和偏移量来寻找对应的特征字段,识别该固件的基本信息,在分析多家厂商、多种处理器架构下的固件映像之后,将固件进行解压缩、反编译,查看其二进制数据,根据其特征字段的偏移量和字段大小生成特征值,然后利用第三方固件分析工具Binwalk对固件类型进行初步分析,根据固件运行的***架构、文件格式进行分类存储在数据库中,最终建立一个完整的嵌入式物联网设备固件特征值数据表。
本发明的进一步改进在于:步骤2中,对步骤1中获取到的固件信息,使用QEMU模拟器,通过***级仿真技术,对目标固件进行模拟,具体为:
步骤2-1:将步骤1中收集整合的嵌入式物联网设备固件特征值数据表,进行更加细致的研究;对目前动态仿真技术中用到的应用程序级仿真、进程级仿真、***级仿真,进行进一步的优缺点比较,根据固件的特征值数据表,选取***级仿真作为固件动态分析平台的仿真环境,将硬件设备的全部接口都进行仿真,快速的模拟出真实的固件运行环境;
步骤2-2:在主机上安装QEMU模拟器,选取适合固件版本的相关组件,设置模拟器相关参数,使用某个固件信息进行简单测试,保证模拟器正常运行;
步骤2-3:将固件中提取出来的根文件***进行挂载,然后使用QEMU对内核进行全***动态仿真,在仿真过程中,对***配置文件进行扫描跟踪,推断固件环境的网络配置参数并进行调整。
本发明的进一步改进在于:步骤3中,在步骤2的基础上,进行蜜罐***搭建,在虚拟化环境中部署基于SSH代理协议的高交互蜜罐***,并进行信息配置,在虚拟化环境中,基于SSH代理协议搭建一个高交互的蜜罐***,具体为:
(3-1)创建一个用户,确认所有信息并确认密码;
(3-2)通过更改配置文件来对蜜罐进行相应的配置;
(3-3)创建一个具有添加以及删除文件功能的假文件***,该假文件***包括一个完整的固件的文件***,这给了攻击者在里面添加、删除假文件的可能性,同时在设备固件中添加一些已经漏洞,用于诱捕攻击者。该***支持ssh,telnet代理,并在攻击者进行访问时进行监视。
本发明的进一步改进在于:步骤4中,在步骤3的基础上,进行攻击行为捕获,在蜜罐中对设备受到的各种攻击行为特征进行实时监控,捕获攻击者发起攻击的途径等信息,具体为:
步骤4-1:通过网络资料或者实验数据,收集不同种类、不同型号的物联网设备漏洞信息,建立完备的漏洞利用数据库,提取归纳漏洞的特征信息;
步骤4-2:实时监控蜜罐中设备的访问流量,对一些关键数据进行数据库同步比较;对于预先存在的已知漏洞,分析漏洞触发时的设备状况,及时匹配对应的攻击行为,当攻击者进行ssh访问时,一旦登陆事件发生,攻击者所有的操作记录都会被记录在日志***之中,同时,同步记录在mysql数据库中,方便后期回溯,此外,通过蜜罐中相关日志信息,获取攻击者的攻击路径,及时统计并进行高交互操作,保证***的隐蔽性与持续性;
步骤4-3:综合步骤4-1和步骤4-2的分析结果,分析得出不同种类、不同型号设备所受到的攻击行为以及攻击者的路径,从***的角度研究相应的解决措施,提高***防御各种攻击行为的能力,构建更为安全可靠的***安全防护体系。
本发明的有益效果是:(1)该方法从设备固件的角度入手,通过不同的固件搜索方式进行设备固件的收集整理与归纳,保证设备固件覆盖范围足够全面,此外,对固件的处理器架构、指令集、文件格式等二进制数据进行分析,建立了一个固件特征值数据表,通过该数据表对固件中的***类别和文件格式进行识别,然后根据其处理器架构和数据存储方式进行解析,获取固件中的内核和根文件***,相比于其它方式,分析方法更贴近设备底层,可以更深层次地解析出设备的各方面信息,从而保障诱捕攻击行为时更加高效完备;(2)该方法采用固件模拟的角度,使用了功能全面的处理器模拟器QEMU,针对固件进行模拟时,对于底层硬件架构透明,即不仅可以支持x86架构,还能够支持ARM、MIPS架构的设备仿真,对各种设备都能方便的进行交叉编译和动态调试,此外,QEMU使用动态二进制翻译技术对仿真环境的二进制指令进行动态翻译,利用缓存技术,重复利用翻译过的指令,提高QEMU仿真时的效率,节省了安全人员时间和精力,并且简单易操作,相比于其它方式,不仅模拟效果更好,也更加高效;(3)该方法通过部署高交互的蜜罐***,给攻击者所进行的操作足够多,进而使得可记录下的信息足够全面,同时最大限度隐藏自身,使***能持久地进行监控和捕获操作,此外,蜜罐***可以将攻击者的操作记录实时记录在日志***和数据库中,后期进行行为分析、路径检索、漏洞挖掘等都更加高效。
附图说明
图1是本发明的整体流程图。
图2是本发明中固件获取与解析的结构框图。
图3是本发明中基于QEMU对固件模拟的结构框图。
图4是本发明中攻击行为诱捕的结构框图。
具体实施方式
以下将以图式揭露本发明的实施方式,为明确说明起见,许多实务上的细节将在以下叙述中一并说明。然而,应了解到,这些实务上的细节不应用以限制本发明。也就是说,在本发明的部分实施方式中,这些实务上的细节是非必要的。
如图1-4所示,本发明是一种基于固件模拟的攻击诱捕***,从固件模拟的角度,对攻击行为实施诱捕,该***包括如下步骤:
步骤1:固件获取与解析,在设备官网上获取固件信息或者通过硬件接入直接读取固件存储芯片,绕过控制设备控制器或处理器,直接控制设备的Flash芯片,读取到芯片中的整片内容,并解析固件的二进制数据,如图2,具体为:
(1)固件获取:使用网页爬虫在设备生产厂商提供的官网上进行固件压缩包的下载,对于没有提供下载网页的固件,选择通过硬件接入直接读取固件存储芯片的方式,绕过控制设备控制器,直接控制设备的Flash芯片,读取到芯片中的整片内容;对搜集到的所有固件信息进行整合和分类,按照设备品牌、设备种类、设备型号等信息进行分文件夹归纳,便于后期统一管理;
(2)固件解析:嵌入式设备固件指存储在电可擦除只读存储器EEPROM或FLASH芯片中的一段二进制程序,固件中包含了嵌入式设备中的所有可执行程序以及配置文件,是嵌入式设备最为核心的部分,决定了该设备功能和性能。因此固件是软件,而不是硬件,经过对大量的嵌入式设备固件分析得出:嵌入式设备固件主要包含四个部分,头部信息(Header)、引导程序(BootLoader)、内核镜像(Image)、根文件***(Root FileSystem),分析固件的头部信息,通过头部信息的格式来了解整个固件的数据结构,通过分析多种类型固件的特征字段,建立一个对应的特征值数据库,分析了嵌入式物联网设备固件的二进制数据后,根据其头部信息和偏移量来寻找对应的特征字段,识别该固件的基本信息,在分析多家厂商、多种处理器架构下的固件映像之后,将固件进行解压缩、反编译,查看其二进制数据,根据其特征字段的偏移量和字段大小生成特征值,然后利用第三方固件分析工具Binwalk对固件类型进行初步分析,根据固件运行的***架构、文件格式进行分类存储在数据库中,最终建立一个完整的嵌入式物联网设备固件特征值数据表。
步骤2:对步骤1中获取到的固件信息,使用QEMU模拟器,通过***级仿真技术,对目标固件进行模拟,如图3,具体为:
步骤2-1:将步骤1中收集整合的嵌入式物联网设备固件特征值数据表,进行更加细致的研究;对目前动态仿真技术中用到的应用程序级仿真、进程级仿真、***级仿真,进行进一步的优缺点比较,根据固件的特征值数据表,选取***级仿真作为固件动态分析平台的仿真环境,将硬件设备的全部接口都进行仿真,快速的模拟出真实的固件运行环境;
步骤2-2:在主机上安装QEMU模拟器,选取适合固件版本的相关组件,设置模拟器相关参数,使用某个固件信息进行简单测试,保证模拟器正常运行;
步骤2-3:将固件中提取出来的根文件***进行挂载,然后使用QEMU对内核进行全***动态仿真,在仿真过程中,对***配置文件进行扫描跟踪,推断固件环境的网络配置参数并进行调整。
步骤3:在步骤2的基础上,进行蜜罐***搭建,在虚拟化环境中部署基于SSH代理协议的高交互蜜罐***,并进行信息配置;
所述步骤3在虚拟化环境中,基于SSH代理协议搭建一个高交互的蜜罐***,具体为:
(3-1)创建一个用户,确认所有信息并确认密码;
(3-2)通过更改配置文件来对蜜罐进行相应的配置;
(3-3)创建一个具有添加以及删除文件功能的假文件***,该假文件***包括一个完整的固件的文件***,这给了攻击者在里面添加、删除假文件的可能性,同时在设备固件中添加一些已经漏洞,用于诱捕攻击者。该***支持ssh,telnet代理,并在攻击者进行访问时进行监视。
步骤4:在步骤3的基础上,进行攻击行为捕获,在蜜罐中对设备受到的各种攻击行为特征进行实时监控,捕获攻击者发起攻击的途径等信息,如图4,具体为:
步骤4-1:通过网络资料或者实验数据,收集不同种类、不同型号的物联网设备漏洞信息,建立完备的漏洞利用数据库,提取归纳漏洞的特征信息;
步骤4-2:实时监控蜜罐中设备的访问流量,对一些关键数据进行数据库同步比较;对于预先存在的已知漏洞,分析漏洞触发时的设备状况,及时匹配对应的攻击行为,当攻击者进行ssh访问时,一旦登陆事件发生,攻击者所有的操作记录都会被记录在日志***之中,同时,同步记录在mysql数据库中,方便后期回溯,此外,通过蜜罐中相关日志信息,获取攻击者的攻击路径,及时统计并进行高交互操作,保证***的隐蔽性与持续性;
步骤4-3:综合步骤4-1和步骤4-2的分析结果,分析得出不同种类、不同型号设备所受到的攻击行为以及攻击者的路径,从***的角度研究相应的解决措施,提高***防御各种攻击行为的能力,构建更为安全可靠的***安全防护体系。
本发明的***通过对设备固件的获取,结合静态分析与动态分析,解析出固件的特征信息,使用QEMU模拟器模拟出目标固件所需环境,在虚拟化环境中通过部署蜜罐***,对攻击行为进行实时有效的监控与捕获,提高***防御各种攻击行为的能力,构建更为安全可靠的***安全防护体系。
以上所述仅为本发明的实施方式而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理的内所作的任何修改、等同替换、改进等,均应包括在本发明的权利要求范围之内。
Claims (5)
1.一种基于固件模拟的攻击诱捕***,从固件模拟的角度,对攻击行为实施诱捕,其特征在于:该***包括如下步骤:
步骤1:固件获取与解析,在设备官网上获取固件信息或者通过硬件接入直接读取固件存储芯片,绕过控制设备控制器,直接控制设备的Flash芯片,读取到芯片中的整片内容,并解析固件的二进制数据;
步骤2:对步骤1中获取到的固件信息,使用QEMU模拟器,通过***级仿真技术,对目标固件进行模拟;
步骤3:在步骤2的基础上,进行蜜罐***搭建,在虚拟化环境中部署基于SSH代理协议的高交互蜜罐***,并进行信息配置;
步骤4:在步骤3的基础上,进行攻击行为捕获,在蜜罐中对设备受到的各种攻击行为特征进行实时监控,捕获攻击者发起攻击的途径等信息。
2.根据权利要求1所述一种基于固件模拟的攻击诱捕***,其特征在于:步骤1具体为:
(1)固件获取:使用网页爬虫在设备生产厂商提供的官网上进行固件压缩包的下载,对于没有提供下载网页的固件,选择通过硬件接入直接读取固件存储芯片的方式,绕过控制设备控制器,直接控制设备的Flash芯片,读取到芯片中的整片内容;
(2)固件解析:分析固件的头部信息,通过头部信息的格式来了解整个固件的数据结构,通过分析多种类型固件的特征字段,建立一个对应的特征值数据库,分析了嵌入式物联网设备固件的二进制数据后,根据其头部信息和偏移量来寻找对应的特征字段,识别该固件的基本信息,在分析多家厂商、多种处理器架构下的固件映像之后,将固件进行解压缩、反编译,查看其二进制数据,根据其特征字段的偏移量和字段大小生成特征值,然后利用第三方固件分析工具Binwalk对固件类型进行初步分析,根据固件运行的***架构、文件格式进行分类存储在数据库中,最终建立一个完整的嵌入式物联网设备固件特征值数据表。
3.根据权利要求1所述一种基于固件模拟的攻击诱捕***,其特征在于: 所述步骤2具体为:
步骤2-1:将步骤1中收集整合的嵌入式物联网设备固件特征值数据表,进行更加细致的研究;
步骤2-2:在主机上安装QEMU模拟器,选取适合固件版本的相关组件,设置模拟器相关参数,使用某个固件信息进行简单测试,保证模拟器正常运行;
步骤2-3:将固件中提取出来的根文件***进行挂载,然后使用QEMU对内核进行全***动态仿真。
4.根据权利要求1所述一种基于固件模拟的攻击诱捕***,其特征在于:所述步骤3在虚拟化环境中,基于SSH代理协议搭建一个高交互的蜜罐***,具体为:
(3-1)创建一个用户,确认所有信息并确认密码;
(3-2)通过更改配置文件来对蜜罐进行相应的配置;
(3-3)创建一个具有添加以及删除文件功能的假文件***,该假文件***包括一个完整的固件的文件***,这给了攻击者在里面添加、删除假文件的可能性。
5.根据权利要求1所述一种基于固件模拟的攻击诱捕***,其特征在于:所述步骤4具体为:
步骤4-1:通过网络资料或者实验数据,收集不同种类、不同型号的物联网设备漏洞信息,建立完备的漏洞利用数据库,提取归纳漏洞的特征信息;
步骤4-2:实时监控蜜罐中设备的访问流量,对一些关键数据进行数据库同步比较;
步骤4-3:综合步骤4-1和步骤4-2的分析结果,分析得出不同种类、不同型号设备所受到的攻击行为以及攻击者的路径,从***的角度研究相应的解决措施,提高***防御各种攻击行为的能力,构建更为安全可靠的***安全防护体系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011393227.9A CN112417444A (zh) | 2020-12-03 | 2020-12-03 | 一种基于固件模拟的攻击诱捕*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011393227.9A CN112417444A (zh) | 2020-12-03 | 2020-12-03 | 一种基于固件模拟的攻击诱捕*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112417444A true CN112417444A (zh) | 2021-02-26 |
Family
ID=74829800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011393227.9A Withdrawn CN112417444A (zh) | 2020-12-03 | 2020-12-03 | 一种基于固件模拟的攻击诱捕*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112417444A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113703920A (zh) * | 2021-08-27 | 2021-11-26 | 烽火通信科技股份有限公司 | 一种硬件仿真方法及平台 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114756871A (zh) * | 2022-04-22 | 2022-07-15 | Oppo广东移动通信有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
| CN114826996A (zh) * | 2022-05-10 | 2022-07-29 | 上海磐御网络科技有限公司 | 基于busybox文件***的路由器蜜罐测试方法及装置 |
| CN114884717A (zh) * | 2022-04-28 | 2022-08-09 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
| CN115664855A (zh) * | 2022-12-22 | 2023-01-31 | 北京市大数据中心 | 网络攻击的防御方法、电子设备、计算机可读介质 |
| CN116502226A (zh) * | 2023-06-27 | 2023-07-28 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与*** |
-
2020
- 2020-12-03 CN CN202011393227.9A patent/CN112417444A/zh not_active Withdrawn
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113703920A (zh) * | 2021-08-27 | 2021-11-26 | 烽火通信科技股份有限公司 | 一种硬件仿真方法及平台 |
| CN113703920B (zh) * | 2021-08-27 | 2023-08-08 | 烽火通信科技股份有限公司 | 一种硬件仿真方法及平台 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114756871A (zh) * | 2022-04-22 | 2022-07-15 | Oppo广东移动通信有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
| CN114884717A (zh) * | 2022-04-28 | 2022-08-09 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
| CN114884717B (zh) * | 2022-04-28 | 2023-08-25 | 浙江大学 | 一种面向物联网设备的用户数据深层取证分析方法及*** |
| CN114826996A (zh) * | 2022-05-10 | 2022-07-29 | 上海磐御网络科技有限公司 | 基于busybox文件***的路由器蜜罐测试方法及装置 |
| CN115664855A (zh) * | 2022-12-22 | 2023-01-31 | 北京市大数据中心 | 网络攻击的防御方法、电子设备、计算机可读介质 |
| CN116502226A (zh) * | 2023-06-27 | 2023-07-28 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与*** |
| CN116502226B (zh) * | 2023-06-27 | 2023-09-08 | 浙江大学 | 一种基于固件仿真的高交互物联网蜜罐部署方法与*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112417444A (zh) | 一种基于固件模拟的攻击诱捕*** | |
| Dang et al. | Understanding fileless attacks on linux-based iot devices with honeycloud | |
| Lashkari et al. | Toward developing a systematic approach to generate benchmark android malware datasets and classification | |
| Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
| Antonakakis et al. | Understanding the mirai botnet | |
| Wang et al. | IoTCMal: Towards a hybrid IoT honeypot for capturing and analyzing malware | |
| US10586045B2 (en) | System and method for detecting malware in mobile device software applications | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御*** | |
| Trajanovski et al. | An automated and comprehensive framework for IoT botnet detection and analysis (IoT-BDA) | |
| Riccardi et al. | A framework for financial botnet analysis | |
| Sentanoe et al. | Virtual machine introspection based SSH honeypot | |
| CN115208634A (zh) | 一种网络资产的监管引擎 | |
| CN112398829A (zh) | 一种电力***的网络攻击模拟方法及*** | |
| KR101431192B1 (ko) | 모바일 단말의 루팅 공격 이벤트 검출 방법 | |
| CN113382006B (zh) | 物联网终端安全与风险评估评测方法 | |
| Ahmed et al. | Identifying mirai-exploitable vulnerabilities in iot firmware through static analysis | |
| Kaur et al. | Hybrid real-time zero-day malware analysis and reporting system | |
| JP2017224150A (ja) | 解析装置、解析方法および解析プログラム | |
| Nazario | Botnet tracking: Tools, techniques, and lessons learned | |
| Romana et al. | Security analysis of SOHO Wi-Fi routers | |
| CN116502226B (zh) | 一种基于固件仿真的高交互物联网蜜罐部署方法与*** | |
| Aprilliansyah et al. | Analysis of Remote Access Trojan Attack using Android Debug Bridge | |
| Fakiha | The Role of Raspberry Pi in Forensic Computer Crimes | |
| Li et al. | Automatic Detection and Analysis towards Malicious Behavior in IoT Malware | |
| Furfaro et al. | Gathering Malware Data through High-Interaction Honeypots. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210226 |
|
| WW01 | Invention patent application withdrawn after publication |