CN114095264A - 一种蜜罐***的高交互溯源方法、装备及硬件 - Google Patents
一种蜜罐***的高交互溯源方法、装备及硬件 Download PDFInfo
- Publication number
- CN114095264A CN114095264A CN202111405063.1A CN202111405063A CN114095264A CN 114095264 A CN114095264 A CN 114095264A CN 202111405063 A CN202111405063 A CN 202111405063A CN 114095264 A CN114095264 A CN 114095264A
- Authority
- CN
- China
- Prior art keywords
- access
- intrusion
- target
- file
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种蜜罐***的高交互溯源方法、装备及硬件,可以检测入侵设备的访问。方法包括:若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;然后,根据所述访问行为特征,确定目标蜜标;紧接着,根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;再紧接着,根据所述设备信息,确定所述入侵设备的用户信息。根据访问行为特征来确定目标蜜标,交互性强以及针对性强,能有效帮助目标设备获得入侵设备的用户信息,为研究网络非法入侵提供了真实数据,可帮助防止网络非法访问,提高网络信息安全。
Description
技术领域
本申请属于网络信息安全技术研究领域,特别涉及一种蜜罐***的高交互溯源方法、一种蜜罐***的高交互溯源装备及硬件。
背景技术
现在是互联网时代,网络联网覆盖率70.4%,但是网络的安全问题异日突出,现在的网络安全技术不能瞒足快速发展的互联网,网络信息安全问题堪忧。现有的蜜罐技术是一种欺骗性防御技术,它通过诱骗入侵设备进行攻击,从而监视和跟踪入侵设备的行为并以日志形式记录,然后借助一定的工具进行分析,知晓入侵设备的工具、策略和方法,从而相应的采取措施进行防御,实现防御能力的提升。
蜜罐可通过场景的仿真,拦截入侵设备对***开展攻击行为前采取的试探性信息,阻止入侵设备访问真实***。根据1999年Lance Spitzne等人对蜜罐的定义,蜜罐具备被扫描、被攻击和被攻陷三个过程,利用该特性收集攻击数据、提高***攻击难度以及被攻陷后根据部署信息对后续***进行调整。作为一种防御技术,蜜罐主要用于模拟真实***的漏洞,从而吸引入侵设备攻击行为。蜜罐技术在一定的程度上实现和增强网络信息的安全。但现有的蜜罐在支持开展攻击溯源方面存在诸多不足,其蜜标单一,不能根据访问行为特征动态获取匹配的蜜标,针对性不强。
发明内容
为了解决所述现有技术的不足,本申请提供了一种蜜罐***的高交互溯源方法,根据入侵设备的访问行为特征去确定目标蜜标,交互性强和针对性强,能有效帮助获得入侵设备的用户信息,为研究网络非法入侵提供了数据,可帮助防止网络非法访问,提高网络信息安全。
第一方面,本申请提供了一种蜜罐***的高交互溯源方法,所述方法应用于目标设备,所述方法包括:
若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;
根据所述访问行为特征,确定目标蜜标;
根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;
根据所述设备信息,确定所述入侵设备的用户信息。
可选地,所述若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征,包括:
根据所述目标设备的运行***漏洞,确定目标蜜罐;
若检测到所述入侵设备非法访问,响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜罐进行访问,以获取所述入侵设备的访问行为特征。
可选地,所述根据所述访问行为特征,确定目标蜜标,包括:
根据所述访问行为特征,确定访问方式和访问位置;
根据所述访问方式和访问位置,确定访问文件;
根据所述访问文件,确定目标蜜标。
可选地,所述根据所述目标蜜标,生产诱导文件,以便所述入侵设备响应于诱导文件返回设备信息,包括:
根据所述目标蜜标,生成所述诱导文件;
确定所述诱导文件放置的目标位置;
利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述确定所述诱导文件放置的目标位置的方式为:获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置。
可选地,所述获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置,包括:
根据所述访问行为特征,确定访问位置;
根据所述访问位置,获取所述入侵设备的访问路径;
根据所述访问路径确定所述诱导文件放置的目标位置。
可选地,所述利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息,包括:
根据所述诱导文件,生成提示信息;
若所述入侵设备响应所述提示信息,则利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述根据所述设备信息,确定所述入侵设备的用户信息,包括:
根据所述设备信息,确定域名信息和协议地址信息;
根据所述域名信息和所述协议地址信息,确定所述入侵设备的用户信息。
第二方面,本申请提供一种蜜罐***的高交互溯源装备,所述蜜罐***的高交互溯源装备包括:
第一获取模块,用于若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;
第一确定模块,用于根据所述访问行为特征,确定目标蜜标;
生成模块,用于根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;
第二确定模块,用于根据所述设备信息,确定所述入侵设备的用户信息。
可选地,所述第一获取模块,用于:
根据所述目标设备的运行***漏洞,确定目标蜜罐;
若检测到所述入侵设备非法访问,响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜罐进行访问,以获取所述入侵设备的访问行为特征。
可选地,所述第一确定模块,用于:
根据所述访问行为特征,确定访问方式和访问位置;
根据所述访问方式和访问位置,确定访问文件;
根据所述访问文件,确定目标蜜标。
可选地,所述生成模块,用于:
根据所述目标蜜标,生成所述诱导文件;
确定所述诱导文件放置的目标位置;
利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述生成模块,用于:
根据所述访问行为特征,确定访问位置;
根据所述访问位置,获取所述入侵设备的访问路径;
根据所述访问路径确定所述诱导文件放置的目标位置。
可选地,所述生成模块,用于:
根据所述诱导文件,生成提示信息;
若所述入侵设备响应所述提示信息,则利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述第二确定模块,用于:
根据所述设备信息,确定域名信息和协议地址信息;
根据所述域名信息和所述协议地址信息,确定所述入侵设备的用户信息。
第三方面,申请提供一种储存介质,所述硬件为可读介质,所述可读介质包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如第一方面所述的方法。
第四方面,本申请提供一种电子设备,所述电子设备包括处理器以及存储有执行指令的存储器,当所述处理器执行所述存储器存储的所述执行指令时,所述处理器执行如第一方面所述的方法。
本申请一种蜜罐***的高交互溯源方法,可以检测入侵设备的访问,若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;然后,根据所述访问行为特征,确定目标蜜标;紧接着,根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;再紧接着,根据所述设备信息,确定所述入侵设备的用户信息。根据访问行为特征来确定目标蜜标,交互性强和针对性强,能有效帮助目标设备获得入侵设备的用户信息,为研究网络非法入侵提供了真实数据,可帮助防止网络非法访问,提高网络信息安全。
附图说明
为了更清楚地说明本申请实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请中一种蜜罐***的高交互溯源方法的流程示意图;
图2为本申请中一实施例提供的一种蜜罐***的高交互溯源装备的结构示意图;
图3为本申请中一实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
网络信息安全技术是互联网一直研究的技术,追求不断地提高网络信息安全,以维护企业或个人的设备的运行***正常的运行,和保证企业和个人重要的信息不外泄。提高网络信息安全需要不断升级网络攻击防范手段,这需要获得攻击者的真实数据。这样,一方面可以利用这些数据来研究网络入侵行为,以研发出防止网络入侵的技术,可防止网络非法访问;一方面可以利用这些数据作为非法入侵的证据,用来维权。现有的网络信息安全技术能在一定程度上防止非法访问,但是由于各种入侵设备的访问行为不尽相同,且设备主机有些漏洞的预防方法并不能完全防止漏洞的产生,故还是存在非法访问,然而通过现有网络信息安全技术,获取的非法访问的入侵设备用户信息数据的真实度低,不能作为如何防止非法访问研究的依据,对研究如何防止非法访问提供不了帮助。
本申请提供了一种可帮助防止网络非法访问,所述方法应用于目标设备,所述方法包括:若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;然后,根据所述访问行为特征,确定目标蜜标;紧接着,根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;紧接着,根据所述设备信息,确定所述入侵设备的用户信息。获取所述入侵设备的访问行为特征以便分析所述入侵设备的访问行为特征适合采用哪种目标蜜标,以便利用该目标蜜标进行辅助以获得所述入侵设备的用户信息,且所述用户信息的数据真实度高。根据所述入侵设备的访问行为特征来确定目标蜜标,交互性强和针对性强,能有效帮助目标设备获得入侵设备的用户信息,为研究网络非法入侵提供了真实数据,可帮助防止网络非法访问,提高网络信息安全。
下面结合附图,详细说明本申请的各种非限制性实施方式。
参见附图1,示出了本申请实施例中的一种蜜罐***的高交互溯源方法,所述方法应用于目标设备,在本实施例中,所述方法例如可以包括如下的步骤:
S101:若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征。
在入侵设备访问目标设备时,对入侵设备的访问行为进行检测,若检测到所述入侵设备非法访问时,获取所述入侵设备的访问行为特征。非法访问是指访问目标设备时,入侵设备访问了无权访问或禁止访问的存储空间、服务、资源、储存内容或运行***等目标设备中存储或运行的东西。入侵设备访问目标设备时,入侵设备的访问行为都在被监测,一旦入侵设备进行非法访问时,该非法访问就会被监测出来,然后获取该非法访问的访问行为特征。所述访问行为特征包括访问方式、访问手段以及访问位置等。访问方式可以是入侵设备访问禁止访问的存储空间、服务、资源、储存内容或运行***时用的是破解密码、伪造或虚假账号等;访问手段可以是复制禁止访问的存储空间、服务、资源、储存内容或运行***;访问手段可以是删除禁止访问的存储空间、服务、资源、储存内容或运行***;以及访问手段可以是修改禁止访问的存储空间、服务、资源、储存内容或运行***等;目标设备包括设备主机和管理***,设备主机存储有禁止访问和允许访问的存储空间。
其中,在一种实现方式中所述若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征,可以根据所述目标设备的运行***漏洞,确定目标蜜罐;然后,若检测到所述入侵设备非法访问,响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜罐进行访问,以获取所述入侵设备的访问行为特征。目标蜜罐是根据目标设备的运行***漏洞构建的虚假的资源、服务、存储空间,即与目标设备禁止访问的资源、服务和存储空间的数据不同。目标蜜罐是具有诱饵节点的***形态。蜜罐参考目标设备进行实现,目标设备可以是摄像头、打印机、计算机等,在本实施例中,目标设备是计算机,包括设备主机和管理***。蜜罐具备易开发、易维护、运行稳定度高等优势。它可以部署在计算机任意的网络位置,通常用于收集到达特定网络节点的访问行为,并缓解相同网段的其他设备与资源受到的攻击。为了扩展诱饵范围,蜜罐可以在相同网络中多点部署和统一管理。目标蜜罐一方面诱导入侵设备对其进行网络探测、漏洞利用、扫描等恶意行为;目标蜜罐另一方面在入侵设备访问目标蜜罐时收集访问方式、访问手段以及访问位置等,即获取所述入侵设备的访问行为特征。
S102:根据所述访问行为特征,确定目标蜜标。
不同的入侵设备访问目标设备时,其访问行为特征是不一样的,需要根据访问行为特征,去确定适合这种访问行为特征的目标蜜标。目标蜜标的的交互性和针对性强,能有效帮助设备主机获得入侵设备的用户信息,为研究网络非法入侵提供了真实数据,可帮助防止网络非法访问,提高网络信息安全。交互式对抗是指蜜罐在入侵设备的访问条件下,根据入侵设备的访问行为特征去确定目标蜜标,实现交互的一个过程。在入侵设备访问蜜罐时,蜜罐会诱导入侵设备,也会对抗入侵设备的访问,不断地试探入侵设备。在一示例中,设备主机获取访问行为特征后,将访问行为特征发给管理***,管理***将目标蜜标的确定方法发给设备主机,可根据以往入侵设备的访问记录,以及访问行为特征,确定目标蜜标,将目标蜜标发给设备主机。管理***储存有多种目标蜜标的确定方法,且目标蜜标的确定方法可以根据实际情况更改。其中一种目标蜜标确定方法是根据入侵设备的访问行为特征记录、蜜标的使用记录、以及通过蜜标辅助设备主机所获取的用户信息数据记录,来确定针对访问行为特征,采用何种蜜标能有效帮助设备主机获取真实的用户信息数据。
设备主机设有agent,即智能体,agent接收管理***的目标蜜标的确定方法,设备组件的agent和管理***形成Client/Server模式,agent接收server发的信息,比如目标蜜标的确定方法,执行目标蜜标的确定方法,目标蜜标的放置位置,即目标位置,蜜标的更新;agent获取蜜标,并更新本地的蜜标;agent还可以回报本地蜜标的的情况,如蜜标、蜜标位置或蜜标数量等。检测非法入侵的行为由agent根据访问行为判断,再将非法入侵的信息发送给管理***。
在本实施例中,所述根据所述访问行为特征,确定目标蜜标,包括:可以根据所述访问行为特征,确定访问方式和访问位置;然后,根据所述访问方式和访问位置,确定访问文件;最后,根据所述访问文件,确定目标蜜标。例如,入侵设备的访问方式是破解C盘中命名为“文件1”的文件夹,访问位置是“文件1”中的“文档1”。那么根据“文档1”确定目标蜜标。各种文件的属性不同,那么需要选择一种蜜标能嵌入与访问文件属性一样的文档,且用于作为诱饵或探针的效果好。访问文档的属性可以是文本文件、邮件、或数据库记录等。
S103:根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息。
将目标蜜标嵌入文档生成诱导文件,所以文档可以是邮件、数据库的记录,文件文本等,目标蜜标可以是在文档中植入的隐蔽链接、标记等,所述文档的属性和访问文件的属性是一样的,文档的内容与目标设备禁止访问的数据不同,目标蜜标嵌入文档后作为诱饵或探针,所述入侵设备被诱导,以将设备信息返回给目标设备的设备主机。具体可以是入侵设备将诱导文件下载到入侵设备上,诱导文件读取入侵设备的设备信息,利用入侵设备访问目标设备时建立的通讯线路将设备信息返回到目标设备。
在本实施例中,所述根据所述目标蜜标,生产诱导文件,以便所述入侵设备响应于诱导文件返回设备信息,可以根据所述目标蜜标,生成所述诱导文件;然后,确定所述诱导文件放置的目标位置;紧接着,利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。目标蜜标嵌入文档生成诱导文件后,将诱导文件放置在目标位置,入侵设备在目标位置触发到诱导文件,将诱导文件下载到入侵设备主机,诱导文件读取入侵设备的设备信息,利用入侵设备访问目标设备时建立的通讯线路将设备信息返回到目标设备。将诱导文件放置在所述目标位置能够提高入侵设备触发所述诱导文件的概率,有效获取入侵设备的设备信息。
其中,所述确定所述诱导文件放置的目标位置的方式为:获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置。所述目标位置为在访问路径上的任一文件,当诱导文件访问时经过访问路径触发目标位置上的诱导文件,以增大入侵设备触发诱导文件的概率。
在本实施例中,所述获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置,可以先根据所述访问行为特征,确定访问位置;然后,根据所述访问位置,获取所述入侵设备的访问路径;紧接着,根据所述访问路径确定所述诱导文件放置的目标位置。从所述入侵设备的访问位置可以知道入侵设备的访问路径,到达访问位置,入侵设备需要经过的访问路径才能到达访问位置。例如,入侵设备的访问位置是C盘中名称为“文件1”的文件夹中的“文档3”,那么访问路径是C盘到“文件1”,再从“文件1”到“文档3”,目标位置可以是C盘、“文件1”或是“文档3”,目标位置为C盘、“文件1”或是“文档3”时,入侵设备触发诱导文件的概率较大,且目标位置是C盘时诱导文件被触发概率大于目标位置是“文档3”时诱导文件被触发概率。由于入侵设备访问C盘的概率是大于访问“文档3”的,因为“文档3”在C盘中,访问“文档3”就一定会访问C盘。目标位置位于存储空间越大的存储文件中,诱导文件被触发的概率越大。
在一示例中,所述利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息,可以根据所述诱导文件,生成提示信息;然后,若所述入侵设备响应所述提示信息,则利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。入侵设备根据提示信息,将目标位置的诱导文件下载到入侵设备,诱导文件读取入侵设备的设备信息,通过入侵设备访问目标设备时建立的通讯线路将设备信息返回到目标设备。提示信息可以在入侵设备触发诱导文件时,提示入侵设备进行下载操作,即诱导入侵设备将诱导文件下载到入侵设备上,提高入侵设备将诱导文件下载到入侵设备上的概率,能获取真实的入侵设备的设备信息。
S104:根据所述设备信息,确定所述入侵设备的用户信息。
用户在使用入侵设备时,会进行域名注册,且入侵设备带有地址协议,即IP地址,能根据协议地址识别入侵设备的主机或网络接口识别和位置寻址。设备信息包括域名信息、地址协议信息、用户网络浏览信息等。能根据所述设备信息去锁定入侵设备的用户信息。
在本实施例中,所述根据所述设备信息,确定所述入侵设备的用户信息,可以根据所述设备信息,确定域名信息和协议地址信息;根据所述域名信息和所述协议地址信息,确定所述入侵设备的用户信息。根据域名信息和协议地址可以追溯用户的注册信息,以确定入侵设备的用户信息。
在一示例中,先将设备主机初始化,在设备主机设置agent,入侵设备非法入侵设备主机时,蜜罐诱导入侵设备对蜜罐进行访问,入侵设备在蜜罐进行的所有访问行为以及访问行为特征通过agent反馈给管理***,管理***根据入侵设备的访问记录,确定目标蜜标的确定方法,且根据目标蜜标的确定方法确定目标蜜标,将目标蜜标的确定方法或目标蜜标发给设备主机,设备主机接收目标蜜标的确定方法或目标蜜标,根据目标蜜标确定方法确定目标蜜标后或接收目标蜜标后,根据目标蜜标生成诱导文件,将诱导文件放置在目标位置,入侵设备在目标位置触发诱导文件,根据提示信息将诱导文件下载到入侵设备的主机,诱导文件读取入侵设备的设备信息,将设备信息传输到目标设备,即将设备信息传输到目标设备的设备主机,设备主机将设备信息传输给管理***,管理***根据设备信息确定入侵设备的用户信息。确定蜜标的自动化程度高,且能根据访问行为特征去确定目标蜜标,能提高目标蜜标的有效交互程度,可根据场景动态变化,针对性高,能获得非法访问的入侵设备用户的真实信息数据,这些数据对如何防止目标设备被非法访问提供了依据,能加强目标设备的网络信息安全。
本申请一种蜜罐***的高交互溯源方法,可以检测入侵设备的访问,若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;然后,根据所述访问行为特征,确定目标蜜标;紧接着,根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;再紧接着,根据所述设备信息,确定所述入侵设备的用户信息。根据访问行为特征来确定目标蜜标,交互性强和针对性强,能有效帮助目标设备获得入侵设备的用户信息,为研究网络非法入侵提供了真实数据,可帮助防止网络非法访问,提高网络信息安全。
如附图2所示,为本申请一种蜜罐***的高交互溯源装备的一个具体实施例。本实施例所述装备,即用于执行上述实施例所述方法的实体装备。其技术方案本质上与上述实施例一致,上述实施例中的相应描述同样适用于本实施例中。一种蜜罐***的高交互溯源装备,本实施例中所述装备包括:
第一获取模块,用于若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;
第一确定模块,用于根据所述访问行为特征,确定目标蜜标;
生成模块,用于根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;
第二确定模块,用于根据所述设备信息,确定所述入侵设备的用户信息。
可选地,所述第一获取模块,用于:
根据所述目标设备的运行***漏洞,确定目标蜜罐;
若检测到所述入侵设备非法访问,响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜罐进行访问,以获取所述入侵设备的访问行为特征。
可选地,所述第一确定模块,用于:
根据所述访问行为特征,确定访问方式和访问位置;
根据所述访问方式和访问位置,确定访问文件;
根据所述访问文件,确定目标蜜标。
可选地,所述生成模块,用于:
根据所述目标蜜标,生成所述诱导文件;
确定所述诱导文件放置的目标位置;
利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述生成模块,用于:
根据所述访问行为特征,确定访问位置;
根据所述访问位置,获取所述入侵设备的访问路径;
根据所述访问路径确定所述诱导文件放置的目标位置。
可选地,所述生成模块,用于:
根据所述诱导文件,生成提示信息;
若所述入侵设备响应所述提示信息,则利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
可选地,所述第二确定模块,用于:
根据所述设备信息,确定域名信息和协议地址信息;
根据所述域名信息和所述协议地址信息,确定所述入侵设备的用户信息。
图3是本申请实施例提供的一种电子设备的结构示意图。在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放执行指令。具体地,执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器,并向处理器提供执行指令和数据。
在一种可能实现的方式中,处理器从非易失性存储器中读取对应的执行指令到内存中然后运行,也可从其它设备上获取相应的执行指令,以在逻辑层面上形成一种蜜罐***的高交互溯源装备。处理器执行存储器所存放的执行指令,以通过执行的执行指令实现本申请任一实施例中提供的一种蜜罐***的高交互溯源方法。
上述如本申请图1所示实施例提供的一种蜜罐***的高交互溯源装备执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific IntegratedCircuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的硬件中。该硬件位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
本申请实施例还提出了一种硬件,所述硬件为可读介质,该可读硬件存储有执行指令,存储的执行指令被电子设备的处理器执行时,能够使该电子设备执行本申请任一实施例中提供的一种蜜罐***的高交互溯源方法,并具体用于执行上述的一种蜜罐***的高交互溯源装备。
前述各个实施例中所述的电子设备可以为计算机。
本领域内的技术人员应明白,本申请的实施例可提供为方法或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例,或软件和硬件相结合的形式。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种蜜罐***的高交互溯源方法,其特征在于,所述方法应用于目标设备,所述方法包括:
若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;
根据所述访问行为特征,确定目标蜜标;
根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于所述诱导文件返回设备信息;
根据所述设备信息,确定所述入侵设备的用户信息。
2.如权利要求1所述的一种蜜罐***的高交互溯源方法,其特征在于,所述若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征,包括:
根据所述目标设备的运行***漏洞,确定目标蜜罐;
若检测到所述入侵设备非法访问,响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜标进行访问,以获取所述入侵设备的访问行为特征。
3.如权利要求1所述的一种蜜罐***的高交互溯源方法,其特征在于,所述根据所述访问行为特征,确定目标蜜标,包括:
根据所述访问行为特征,确定访问方式和访问位置;
根据所述访问方式和访问位置,确定访问文件;
根据所述访问文件,确定目标蜜标。
4.如权利要求1所述的一种蜜罐***的高交互溯源方法,其特征在于,所述根据所述目标蜜标,生产诱导文件,以便所述入侵设备响应于诱导文件返回设备信息,包括:
根据所述目标蜜标,生成所述诱导文件;
确定所述诱导文件放置的目标位置;
利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
5.如权利要求4所述的一种蜜罐***的高交互溯源方法,其特征在于,所述确定所述诱导文件放置的目标位置的方式为:获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置。
6.如权利要求5所述的一种蜜罐***的高交互溯源方法,其特征在于,所述获取所述入侵设备的访问路径,根据所述访问路径确定所述诱导文件放置的目标位置,包括:
根据所述访问行为特征,确定访问位置;
根据所述访问位置,获取所述入侵设备的访问路径;
根据所述访问路径确定所述诱导文件放置的目标位置。
7.如权利要求6所述的一种蜜罐***的高交互溯源方法,其特征在于,所述利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息,包括:
根据所述诱导文件,生成提示信息;
若所述入侵设备响应所述提示信息,则利用所述目标位置,将所述诱导文件传输给所述入侵设备,以便所述入侵设备响应于所述诱导文件返回所述设备信息。
8.如权利要求1所述的一种蜜罐***的高交互溯源方法,其特征在于,所述根据所述设备信息,确定所述入侵设备的用户信息,包括:
根据所述设备信息,确定域名信息和协议地址信息;
根据所述域名信息和所述协议地址信息,确定所述入侵设备的用户信息。
9.一种蜜罐***的高交互溯源装备,其特征在于,所述入侵设备一种蜜罐***的高交互溯源装备包括:
第一获取模块,用于若检测到入侵设备非法访问,获取所述入侵设备的访问行为特征;
第一确定模块,用于根据所述访问行为特征,确定目标蜜标;
生成模块,用于根据所述目标蜜标,生成诱导文件,以便所述入侵设备响应于诱导文件返回设备信息;
第二确定模块,用于根据所述设备信息,确定所述入侵设备的用户信息。
10.一种硬件,其特征在于,所述硬件为可读介质,所述可读介质包括执行指令,当电子设备的处理器执行所述执行指令时,所述电子设备执行如权利要求1-8中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111405063.1A CN114095264A (zh) | 2021-11-24 | 2021-11-24 | 一种蜜罐***的高交互溯源方法、装备及硬件 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111405063.1A CN114095264A (zh) | 2021-11-24 | 2021-11-24 | 一种蜜罐***的高交互溯源方法、装备及硬件 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114095264A true CN114095264A (zh) | 2022-02-25 |
Family
ID=80304038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111405063.1A Pending CN114095264A (zh) | 2021-11-24 | 2021-11-24 | 一种蜜罐***的高交互溯源方法、装备及硬件 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095264A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086059A (zh) * | 2022-06-30 | 2022-09-20 | 北京永信至诚科技股份有限公司 | 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置 |
CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御*** |
CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
-
2021
- 2021-11-24 CN CN202111405063.1A patent/CN114095264A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
CN113014597A (zh) * | 2021-03-17 | 2021-06-22 | 恒安嘉新(北京)科技股份公司 | 蜜罐防御*** |
CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086059A (zh) * | 2022-06-30 | 2022-09-20 | 北京永信至诚科技股份有限公司 | 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置 |
CN115378643A (zh) * | 2022-07-14 | 2022-11-22 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
CN115378643B (zh) * | 2022-07-14 | 2024-02-23 | 软极网络技术(北京)有限公司 | 一种基于蜜点的网络攻击防御方法和*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10523609B1 (en) | Multi-vector malware detection and analysis | |
US10728274B2 (en) | Method and system for injecting javascript into a web page | |
US9654494B2 (en) | Detecting and marking client devices | |
US9009829B2 (en) | Methods, systems, and media for baiting inside attackers | |
US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
US20110252476A1 (en) | Early detection of potential malware | |
CN111786966A (zh) | 浏览网页的方法和装置 | |
CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
US11503072B2 (en) | Identifying, reporting and mitigating unauthorized use of web code | |
CN104967628B (zh) | 一种保护web应用安全的诱骗方法 | |
CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
CN114095264A (zh) | 一种蜜罐***的高交互溯源方法、装备及硬件 | |
Maroofi et al. | Are you human? resilience of phishing detection to evasion techniques based on human verification | |
CN107465702A (zh) | 基于无线网络入侵的预警方法及装置 | |
EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐*** | |
CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及*** | |
CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN113949520A (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及*** | |
Samarasinghe et al. | On cloaking behaviors of malicious websites | |
CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
KR101077855B1 (ko) | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220225 |