CN114826663A - 蜜罐识别方法、装置、设备及存储介质 - Google Patents

蜜罐识别方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114826663A
CN114826663A CN202210269896.8A CN202210269896A CN114826663A CN 114826663 A CN114826663 A CN 114826663A CN 202210269896 A CN202210269896 A CN 202210269896A CN 114826663 A CN114826663 A CN 114826663A
Authority
CN
China
Prior art keywords
target
honeypot
port
identification plug
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210269896.8A
Other languages
English (en)
Other versions
CN114826663B (zh
Inventor
方永成
赵重浩
刘茂林
龚亮华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fengtai Technology Beijing Co ltd
Original Assignee
Fengtai Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fengtai Technology Beijing Co ltd filed Critical Fengtai Technology Beijing Co ltd
Priority to CN202210269896.8A priority Critical patent/CN114826663B/zh
Publication of CN114826663A publication Critical patent/CN114826663A/zh
Application granted granted Critical
Publication of CN114826663B publication Critical patent/CN114826663B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/25Integrating or interfacing systems involving database management systems
    • G06F16/252Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44521Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
    • G06F9/44526Plug-ins; Add-ons

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种蜜罐识别方法、装置、设备及存储介质,属于网络安全领域。所述方法包括:先向待识别的目标的目标端口发送扫描请求,再获取来自目标端口的扫描响应。然后若确定扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标中存在蜜罐。若确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配,则确定与目标端口匹配的目标蜜罐识别插件,根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐。其中,蜜罐指纹库包括多种蜜罐的特征指纹,目标蜜罐识别插件用于与目标端口进行交互。如此可以通过蜜罐指纹库或目标蜜罐识别插件识别目标中的蜜罐,可识别蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。

Description

蜜罐识别方法、装置、设备及存储介质
技术领域
本申请涉及网络安全领域,特别涉及一种蜜罐识别方法、装置、设备及存储介质。
背景技术
随着互联网、物联网和大数据等技术的发展,各行业、企业将发展方向越来越多的应用于线上,网络安全也变得越来越重要。其中,蜜罐识别技术又称为反蜜罐技术,是从攻击方的角度去识别部署于防守方的蜜罐,是一种网络安全领域中攻防对抗的重要技术手段。比如,从网络探测角度,利用蜜罐识别技术准确有效识别蜜罐,有利于掌握网络空间态势,有效规避网络空间的陷阱。其中,蜜罐是一种主动诱捕技术,通过模拟主机***或端口服务诱骗攻击者进行访问,进而捕获、监测和追踪攻击者的行为。
但是,目前对蜜罐识别技术的研究大多局限于对单一种类的蜜罐进行识别,可识别蜜罐的类型单一,通用性较差,无法满足网络安全中蜜罐的多样性。
发明内容
本申请提供了一种蜜罐识别方法、装置、设备及存储介质,可识别的蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。所述技术方案如下:
第一方面,提供了一种蜜罐识别方法,应用于第一设备,所述方法包括:
对于待识别的目标,向所述目标的目标端口发送扫描请求;
获取来自所述目标端口的扫描响应;
若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定所述目标中存在蜜罐,所述蜜罐指纹库包括多种蜜罐的特征指纹;
若确定所述扫描响应中的字段与所述蜜罐指纹库中的所有特征指纹均不匹配,则确定与所述目标端口匹配的目标蜜罐识别插件,根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,所述目标蜜罐识别插件用于与所述目标端口进行交互。
作为一个示例,所述目标蜜罐识别插件对应的交互策略为目标交互策略,所述目标蜜罐识别插件用于按照所述目标交互策略与所述目标端口进行交互;
所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐之前,所述方法还包括:
通过所述目标蜜罐识别插件,按照所述目标交互策略与所述目标端口进行交互,得到所述目标蜜罐识别插件与所述目标端口的交互结果;
所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,包括:
确定所述交互结果是否符合预设条件;
若所述交互结果符合所述预设条件,则确定所述目标中存在蜜罐。
作为一个示例,所述预设条件包括以下条件中的任一种:
所述交互结果中存在第一预设字段;
在所述目标交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的情况下,多次登录所述目标端口均成功;
在所述目标交互策略为对所述目标端口多次请求不同的路由的情况下,多次请求不同的路由后来自所述目标端口的响应结果均相同。
作为一个示例,所述确定与所述目标端口匹配的目标蜜罐识别插件,包括:
确定所述目标端口提供的目标服务;
从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐识别插件。
作为一个示例,所述多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略;
所述从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐识别插件,包括以下方式中的任一种:
若所述目标服务包括SSH服务、FTP服务、TELENT服务或mySQL服务,则从所述多种蜜罐识别插件中确定对应的交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的蜜罐识别插件作为所述目标蜜罐识别插件;
若所述目标服务包括HTTP服务、HTTPS服务,则从所述多种蜜罐识别插件中确定对应的交互策略为对所述目标端口多次请求不同的路由的蜜罐识别插件作为所述目标蜜罐识别插件。
作为一个示例,所述向所述目标端口发送扫描请求,包括:
根据所述第一设备的源设备地址,生成伪造的至少一个伪源设备地址;
根据所述源设备地址,以及所述至少一个伪源设备地址,构造多个扫描请求,所述多个扫描请求至少包括第一扫描请求和第二扫描请求,所述第一扫描请求为所述源设备地址发送的请求,所述第二扫描请求为伪造的所述至少一个伪源设备地址中任一伪源设备地址发送的请求;
向所述目标端口发送所述多个扫描请求,以对所述目标端口进行欺骗扫描。
作为一个示例,所述方法还包括:
从所述目标中下载文件,提取所述文件的宏代码,若根据所述宏代码确定所述目标中存在蜜标,则确定所述目标中存在蜜罐;
或者,
确定所述目标中正在运行的进程,若确定所述正在运行的进程的进程名存在第二预设字段,则确定所述目标中存在蜜罐。
第二方面,提供了一种蜜罐识别装置,所述装置包括:
发送模块,用于对于待识别的目标,向所述目标的目标端口发送扫描请求;
获取模块,用于获取来自所述目标端口的扫描响应;
第一确定模块,用于若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定所述目标中存在蜜罐,所述蜜罐指纹库包括多种蜜罐的特征指纹;
第二确定模块,用于若确定所述扫描响应中的字段与所述蜜罐指纹库中的所有特征指纹均不匹配,则确定与所述目标端口匹配的目标蜜罐识别插件,根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,所述目标蜜罐识别插件用于与所述目标端口进行交互。
作为一个示例,所述目标蜜罐识别插件对应的交互策略为目标交互策略,所述目标蜜罐识别插件用于按照所述目标交互策略与所述目标端口进行交互;
所述装置还包括交互模块:
所述交互模块,用于通过所述目标蜜罐识别插件,按照所述目标交互策略与所述目标端口进行交互,得到所述目标蜜罐识别插件与所述目标端口的交互结果;
所述第二确定模块,还用于确定所述交互结果是否符合预设条件,若所述交互结果符合所述预设条件,则确定所述目标中存在蜜罐。
作为一个示例,所述预设条件包括以下条件中的任一种:
所述交互结果中存在第一预设字段;
在所述目标交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的情况下,多次登录所述目标端口均成功;
在所述目标交互策略为对所述目标端口多次请求不同的路由的情况下,多次请求不同的路由后来自所述目标端口的响应结果均相同。
作为一个示例,所述第二确定模块,还用于确定所述目标端口提供的目标服务;
从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐识别插件。
作为一个示例,所述多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略;
所述第二确定模块,还用于若所述目标服务包括SSH服务、FTP服务、TELENT服务或mySQL服务,则从所述多种蜜罐识别插件中确定对应的交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的蜜罐识别插件作为所述目标蜜罐识别插件;
所述第二确定模块,还用于若所述目标服务包括HTTP服务、HTTPS服务,则从所述多种蜜罐识别插件中确定对应的交互策略为对所述目标端口多次请求不同的路由的蜜罐识别插件作为所述目标蜜罐识别插件。
作为一个示例,所述发送模块,还用于根据所述第一设备的源设备地址,生成伪造的至少一个伪源设备地址;
根据所述源设备地址,以及所述至少一个伪源设备地址,构造多个扫描请求,所述多个扫描请求至少包括第一扫描请求和第二扫描请求,所述第一扫描请求为所述源设备地址发送的请求,所述第二扫描请求为伪造的所述至少一个伪源设备地址中任一伪源设备地址发送的请求;
向所述目标端口发送所述多个扫描请求,以对所述目标端口进行欺骗扫描。
作为一个示例,所述装置还包括第三确定模块或第四确定模块:
所述第三确定模块,用于从所述目标中下载文件,提取所述文件的宏代码,若根据所述宏代码确定所述目标中存在蜜标,则确定所述目标中存在蜜罐;
所述第四确定模块,用于确定所述目标中正在运行的进程,若确定所述正在运行的进程的进程名存在第二预设字段,则确定所述目标中存在蜜罐。
第三方面,提供了一种计算机设备,所述计算机设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述的蜜罐识别方法。
第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的蜜罐识别方法。
本申请实施例提供的技术方案带来的有益效果是:
本申请实施例中,对于待识别的目标,先向目标的目标端口发送扫描请求,再获取来自目标端口的扫描响应。然后若确定扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标中存在蜜罐。若确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配,则确定与目标端口匹配的目标蜜罐识别插件,根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐。其中,蜜罐指纹库包括多种蜜罐的特征指纹,目标蜜罐识别插件用于与目标端口进行交互。由于可以通过将目标端口的扫描响应与蜜罐指纹库的特征指纹进行匹配来识别目标中的蜜罐,也可以通过目标蜜罐识别插件与目标端口的交互结果来识别目标中的蜜罐,因此能够识别的蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种蜜罐识别方法的流程图;
图2是本申请实施例提供的一种蜜罐识别装置的结构示意图;
图3为本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
应当理解的是,本申请提及的“多个”是指两个或两个以上。在本申请的描述中,除非另有说明,“/”表示或的意思,比如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,比如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,为了便于清楚描述本申请的技术方案,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在对本申请实施例进行详细地解释说明之前,先对本申请实施例的应用场景予以说明。
攻防对抗是网络安全领域的常态,随着防守技术和攻击技术的提升,网络安全由最初的被动防守逐渐发展到主动防守。蜜罐作为一种主动防守技术,是攻防对抗中检测威胁的重要技术手段,近年来逐步受到关注,并被大量部署。其中,蜜罐部署于攻防对抗中的防守方,是一种主动诱骗技术,能够诱骗攻防对抗中的攻击方进行访问,进而获得攻击方的设备地址、账号等信息,甚至能反制攻击方,控制攻击方的设备。
作为一个示例,蜜罐部署于防守方的设备中,防守方可以利用蜜罐分析攻击方的攻击行为,比如分析攻击方的扫描请求,根据扫描请求获取攻击方的设备地址、账户等信息。
作为一个示例,根据蜜罐的交互特性,蜜罐可以分为低交互蜜罐、中交互蜜罐、高交互蜜罐。其中,低交互蜜罐是指仅模拟一些端口服务的蜜罐,与攻击者交互程度较低。中交互蜜罐是指介于低交互蜜罐和高交互蜜罐之间,比低交互蜜罐更真实,是能够模拟更多的端口服务的蜜罐。高交互蜜罐可以模拟主机***,即模拟主机IP(Internet Protocol,互联网协议)地址,能够像真实的***一样与攻击方的设备进行交互,最不容易被攻击方识别。
由于蜜罐诱骗是一个攻防博弈的过程,因此从攻击方的角度,如何有效识别部署于防守方的蜜罐,从而规避蜜罐,防止进入防守方的陷阱,即蜜罐识别技术的研究对网络安全具有重要意义。比如,从网络探测角度,利用蜜罐识别技术准确有效识别蜜罐,有利于掌握网络空间态势,有效规避网络空间的陷阱。
另外,蜜罐识别技术有助于针对性地构建和优化蜜罐,提高蜜罐的真实性,提高蜜罐的抗识别的能力,从而加强蜜罐对网络安全威胁进行监测的能力。
基于此,本申请实施例提供了一种蜜罐识别方法,可识别的蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。
下面对本申请实施例提供的蜜罐识别方法进行详细地解释说明。
图1是本申请实施例提供的一种蜜罐识别方法的流程图,该方法可以应用于第一设备,第一设备可以为计算机设备。如图1所示,该方法可以包括以下步骤。
步骤101,对于待识别的目标,第一设备向目标的目标端口发送扫描请求。
其中,第一设备为攻击方的设备,攻击方可以通过第一设备攻击防守方,识别部署于防守方的蜜罐。
其中,待识别的目标可以是指防守方的第二设备,也可以是指第二设备的端口。目标的目标端口是指目标中开放的端口,目标的目标端口可以包括一个或多个。
其中,扫描请求用于对目标端口进行扫描,从而获得目标端口的状态、账户或存在的漏洞等信息。其中,目标端口的状态包括开放状态或关闭状态,开放状态的端口也可以称为存活端口,开放状态是指目标可以通过目标端口进行通信,也即是目标可以通过目标端口提供与目标端口对应的目标服务。
比如,待识别的目标为第二设备,第一设备在向目标的目标端口发送扫描请求之前,可以先确定第二设备的目标设备地址,以及确定目标设备地址中开放至少一个端口,将至少一个端口中的每一个端口作为目标端口,之后向目标端口发送扫描请求,以对目标端口进行扫描。其中,端口用于提供服务,不同端口提供的服务可以相同,也可以不同。
其中,目标设备地址可以为第二设备的目标IP地址、目标MAC(Media AccessControl,媒体存取控制)地址等中的一种或多种。
作为一个示例,第一设备可以对目标设备地址进行端口存活性测试,得到目标设备地址中开放的端口。若确定目标设备地址中存在至少一个存活的端口,则将至少一个存活的端口中的每一个端口分别作为目标端口,向目标端口发送扫描请求,并进行如下步骤102-步骤104。若确定目标设备地址中不存在存活的端口,则将目标设备地址存入待识别数据库中,以便后续对目标设备地址进行端口存活性测试以及进行端口扫描。
其中,第一设备可以通过无线通信技术向目标的目标端口发送扫描请求,扫描请求可以以报文的形式在网络中传输,扫描请求可以包括源设备地址和目标设备地址,源设备地址包括第一设备的源IP地址、源MAC地址和源端口号中的一种或多种,目标设备地址包括第二设备的目标IP地址、目标MAC和目标端口号中的一种或多种。
作为一个示例,第一设备也可以向目标端口发送多个扫描请求。比如,第一设备先根据第一设备的源设备地址,生成伪造的至少一个伪源设备地址,再根据源设备地址,以及至少一个伪源设备地址,构造多个扫描请求,然后向目标端口发送多个扫描请求,以对目标端口进行欺骗扫描。
其中,多个扫描请求至少包括第一扫描请求和第二扫描请求,第一扫描请求为源设备地址发送的请求,第二扫描请求为伪造的至少一个伪源设备地址中任一伪源设备地址发送的请求。
也即是,第一扫描请求为第一设备发送的请求,第一扫描请求包括源设备地址和目标设备地址。多个扫描请求中除第一扫描请求之外的其它扫描请求为伪造的伪源设备发送的请求,多个扫描请求中除第一扫描请求之外的其它扫描请求包括伪源设备地址和目标设备地址。如此,第二设备在收到多个扫描请求后,无法从多个扫描请求中确定第一设备,即无法确定源设备地址,进而无法捕获、监测和追踪第一设备的行为。
其中,伪源设备地址可以包括伪造的伪源设备的伪源IP地址、伪源MAC地址和伪源端口号中的一种或多种。
作为一个示例,第一设备可以通过程序伪造至少一个伪源设备地址,以及构造多个扫描请求。比如,通过Scapy程序伪造至少一个伪源设备地址,以及构造多个扫描请求。其中,Scapy是一个Python程序,使第一设备能够伪造或发送网络数据包,比如伪造至少一个伪源设备地址,向目标端口发送多个扫描请求。
作为一个示例,在第一设备向目标的目标端口发送扫描请求之后,目标(第二设备)可以接收扫描请求,根据扫描请求生成扫描响应,并向第一设备发送扫描响应。
步骤102,第一设备获取来自目标端口的扫描响应。
其中,若目标的目标端口提供的是蜜罐模拟服务,即目标端口为蜜罐模拟的端口,则目标向第一设备发送的扫描响应报文中存在对应于该蜜罐的特征指纹的字段。
其中,第一设备中可以预先存储多种蜜罐中每一种蜜罐对应的特征指纹。比如,可以将多种蜜罐的特征指纹存储于特征指纹库中。
作为一个示例,请参考表1,表1是本申请实施例提供的一种蜜罐指纹库中多种蜜罐的特征指纹对照表。
表1
Figure BDA0003554208890000091
Figure BDA0003554208890000101
其中,特征指纹是蜜罐的扫描响应的核心特征,可以作为与来自目标端口的扫描响应中的字段进行匹配的参考依据。
比如,如表1所示,若目标端口提供的服务为由Conpot蜜罐提供的蜜罐模拟服务,且Conpot蜜罐对应的特征指纹为“Serial number of module:88111222”,则目标向第一设备发送的扫描响应报文中必然存在字段“Serial number of module:88111222”。或者目标端口提供的服务为由Conpot蜜罐提供的蜜罐模拟服务,且Conpot蜜罐对应的特征指纹为“Device Identification:Siemens SIMATIC S7-200”,则目标向第一设备发送的扫描响应报文中必然存在字段“Device Identification:Siemens SIMATIC S7-200”。
作为一个示例,相同蜜罐提供的蜜罐模拟服务也可能不同。比如,表1中的Conpot蜜罐,若其通过模拟102端口提供蜜罐模拟服务,则模拟102端口提供与S7协议对应的蜜罐模拟服务。若其通过模拟502端口提供蜜罐模拟服务,则模拟502端口提供与Conpot协议对应的蜜罐模拟服务。
需求说明的是,表1仅作为蜜罐指纹库中包括多种蜜罐的特征指纹的示例,并不作为蜜罐指纹库的限定。比如,蜜罐指纹库中可以包括更多种类的蜜罐的特征指纹,或者一种蜜罐可以对应其它特征指纹,本申请实施例对蜜罐指纹库不做限定。
通常,蜜罐指纹库中包括的蜜罐为低交互或者中交互蜜罐。蜜罐指纹库包括的蜜罐种类越多,第一设备能够识别的蜜罐种类也越多。
在第一设备获取到来自目标端口的扫描响应之后,可以将扫描响应中的字段与蜜罐指纹库中的每个特征指纹一一进行匹配,以确定扫描响应中的字段与蜜罐指纹库中的每个特征指纹是否匹配,即确定扫描响应中是否存在与蜜罐指纹库中的任一特征指纹匹配的字段。
步骤103,第一设备若确定扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标中存在蜜罐。
其中,蜜罐指纹库包括多种蜜罐的特征指纹。比如,如上述表1所示,蜜罐指纹库中包括多种蜜罐中每一种蜜罐对应的特征指纹。每一种蜜罐对应的特征指纹是蜜罐的扫描响应的核心特征,可以作为与目标端口的扫描响应中的字段进行匹配的参考依据。
其中,第一设备若确定获取的来自目标端口的扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标端口提供的是蜜罐模拟服务,目标端口为蜜罐模拟的端口,待识别的目标中存在蜜罐。
由于蜜罐指纹库包括多种蜜罐的特征指纹,因此第一设备能够识别的多种蜜罐,即第一设备可识别蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。
比如,第一设备若确定扫描响应中包括字段“Serial number of module:88111222”,则确定目标端口提供的是蜜罐模拟服务,待识别的目标中存在蜜罐。
另外,第一设备还可以根据蜜罐指纹库确定目标中存在的蜜罐的种类。比如,第一设备根据扫描响应中包括的字段、扫描响应对应的端口号确定蜜罐的种类。
比如,如表1所示,第一设备若确定目标端口号为102,且获取的扫描响应中包括字段“Serial number of module:88111222”,则不仅可以确定目标中存在蜜罐,还可以确定目标中存在的蜜罐为Conpot蜜罐。
此外,在第一设备确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配的情况下,不能确定目标端口提供的服务一定不是蜜罐模拟服务,即不能确定待识别的目标中一定不存在蜜罐。这种情况下,可以通过增加蜜罐指纹库中的特征指纹的方式来识别更多种类的蜜罐,或者通过其它方式来识别更多种类的蜜罐。比如,通过与目标端口进行交互,在交互过程中识别蜜罐。
步骤104,第一设备若确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配,则确定与目标端口匹配的目标蜜罐识别插件,根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐。
其中,目标蜜罐识别插件用于与目标端口进行交互。
其中,第一设备中预先安装有多种蜜罐识别插件,多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略,蜜罐识别插件根据对应的交互策略与端口进行交互。
其中,多种蜜罐识别插件分别对应的交互策略可以相同,也可以不同。
比如,请参考表2,表2是本申请实施例提供的一种蜜罐识别插件识别蜜罐的对照表。
表2
Figure BDA0003554208890000121
Figure BDA0003554208890000131
其中,如表2所示,第一设备可以根据插件使用条件从预先安装的多种蜜罐识别插件中确定与目标端口匹配的目标蜜罐识别插件。其中,多种蜜罐识别插件中的每种蜜罐识别插件具有对应的至少一种蜜罐识别方式,如此第一设备可以通过目标蜜罐识别插件,按照对应的蜜罐识别方式识别蜜罐。
其中,不同端口提供的服务可能不同,第一设备可以根据目标端口提供的目标服务从多种蜜罐识别插件中确定与目标端口匹配的目标蜜罐识别插件。
比如,第一设备可以先确定目标端口提供的目标服务,再从多种蜜罐识别插件中确定与目标服务匹配的蜜罐识别插件作为目标蜜罐识别插件。
其中,目标服务可以包括SSH(Secure Shell Protocol,安全外壳协议)服务、FTP(File transfer protocol,文件传输协议)服务、TELENT服务、mySQL服务、HTTP(HyperText Transfer Protocol,超文本传输协议)服务和HTTPS(Hypertext Transfer ProtocolSecure,超文本传输安全协议)服务中的任一种。
作为一个示例,如表2所示,第一设备先确定目标端口的目标端口号为3306,由于3306端口提供的是mySQL服务,因此可以从多种蜜罐识别插件中确定与mySQL服务匹配的蜜罐识别插件作为目标蜜罐识别插件。
其中,蜜罐识别方式可以包括交互策略和识别蜜罐的方式。也即是,多种蜜罐识别插件中的每种蜜罐识别插件具有至少一种交互策略和交互策略对应的识别蜜罐的方式。第一设备可以按照交互策略与端口进行交互,得到交互结果,根据识别蜜罐的方式确定交互结果是否符合预设条件,若符合预设条件则确定目标中存在蜜罐。
比如,多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略,目标蜜罐识别插件对应的交互策略为目标交互策略。第一设备可以先根据目标端口确定对应的目标服务,再根据目标服务确定对应的目标交互策略,然后从多种蜜罐识别插件中确定交互策略为目标交互策略的蜜罐识别插件作为目标蜜罐识别插件。
其中,不同目标服务对应的交互策略可以相同,也可以不同。也即是,对于不同的目标服务,从多种蜜罐识别插件中确定的目标蜜罐识别插件可能相同,也可能不同。
比如,若目标服务包括SSH服务、FTP服务、TELENT服务或mySQL服务,则与目标服务对应的交互策略可以为采用随机生成的账号和密码对目标端口进行多次登录,第一设备可以从多种蜜罐识别插件中确定对应的交互策略为采用随机生成的账号和密码对目标端口进行多次登录的蜜罐识别插件作为目标蜜罐识别插件。若目标服务包括HTTP服务、HTTPS服务,则与目标服务对应的交互策略可以为对目标端口多次请求不同的路由,第一设备可以从多种蜜罐识别插件中确定对应的交互策略为对目标端口多次请求不同的路由的蜜罐识别插件作为目标蜜罐识别插件。
需要说明是,本申请实施例仅以目标服务为SSH服务、FTP服务、TELENT服务、mySQL服务、HTTP服务或HTTPS服务为例进行说明,并不作为目标服务的限定。比如,目标服务可以为网络安全中计算机设备所能够提供的任一服务,如表2所示,目标服务还可以为3389远程服务、Memcach服务或redis服务等。
其中,与目标端口匹配的目标蜜罐识别插件可以包括一个或多个,且每个目标蜜罐识别插件对应于一种或多种交互策略,本申请实施例对与目标端口匹配的目标蜜罐识别插件的个数、以及目标蜜罐识别插件对应的交互策略的个数不做限定。
比如,如表2所示,与mySQL服务匹配的蜜罐识别插件可以包括第一目标蜜罐识别插件和第二目标蜜罐识别插件,每种蜜罐识别插件对应一种交互策略。其中,第一目标蜜罐识别插件的交互策略为“采用随机生成的账号和密码对端口进行多次登录”,第二目标蜜罐识别插件的交互策略为“采用随机生成的账号和密码对端口进行一次登录”。如此,第一设备可以通过第一目标蜜罐识别插件和第二目标蜜罐识别插件,分别按照对应的交互策略与目标端口进行交互。
或者,与目标端口匹配的目标蜜罐识别插件只存在一个,且目标蜜罐识别插件对应多种交互策略。比如,与mySQL服务匹配的蜜罐识别插件为第三目标蜜罐识别插件,第三目标蜜罐识别插件对应两种交互策略,两种交互策略分别为第一交互策略和第二交互策略,第一交互策略为“采用随机生成的账号和密码对端口进行多次登录”,第二交互策略为“采用随机生成的账号和密码对端口进行一次登录”。如此,第一设备可以根据可以通过第三目标蜜罐识别插件,按照对应的第一交互策略和第二交互策略分别与目标端口进行交互。
其中,不同的交互策略对应有不同交互结果,相同交互策略对应相同的交互结果,但是相同的交互策略对应的识别蜜罐的方式可能不同。
作为一个示例,与mySQL服务匹配的蜜罐识别插件为第三目标蜜罐识别插件,第三目标蜜罐识别插件对应的第一交互策略为“采用随机生成的账号和密码对端口进行多次登录”。第一交互策略对应两种识别蜜罐的方式,第一种识别蜜罐的方式为“若交互结果为多次登录端口均成功,则目标中存在蜜罐”,第二种识别蜜罐的方式为“若确定多次交互结果中存在的Salt(盐)均相同,则目标中存在蜜罐”。也即是,相同交互策略对应的识别蜜罐的方式不同。
第三目标蜜罐识别插件对应的第二交互策略为“采用随机生成的账号和密码对端口进行一次登录”,与第二交互策略对应的识别蜜罐的方式可以为“若登录成功且交互结果中存在“load data local infile'xxx'into table test fields terminated by'\n'”字段,则目标中存在蜜罐”。
需要说明的是,由于第一设备安装有多种蜜罐识别插件,每种蜜罐识别插件对应一种或多种交互策略,因此第一设备可以根据多种蜜罐识别插件中每种蜜罐识别插件的一种或多种交互策略识别不同种类的蜜罐,即第一设备可识别蜜罐种类较多。
此外,第一设备中安装的蜜罐识别插件的数量越多,每种蜜罐识别插件对应的交互策略的数量越多,第一设备能够识别的蜜罐种类也越多。
其中,目标蜜罐识别插件对应的交互策略为目标交互策略,目标蜜罐识别插件用于按照目标交互策略与目标端口进行交互。第一设备在根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐之前,还可以通过目标蜜罐识别插件,按照目标交互策略与目标端口进行交互,得到目标蜜罐识别插件与目标端口的交互结果。之后,第一设备可以先确定交互结果是否符合预设条件,若交互结果符合预设条件,则确定目标端口提供蜜罐模拟服务,确定目标中存在蜜罐。
其中,预设条件包括以下条件中的任一种:
(1)交互结果中存在第一预设字段;
(2)在目标交互策略为采用随机生成的账号和密码对目标端口进行多次登录的情况下,多次登录目标端口均成功;
(3)在目标交互策略为对目标端口多次请求不同的路由的情况下,多次请求不同的路由后来自目标端口的响应结果均相同。
比如,第一设备根据目标交互策略对应的识别蜜罐的方式确定交互结果是否符合预设条件。
比如,如表2所示,若目标端口号为3306,则与目标端口对应的目标服务为mySQL服务。若与mySQL服务对应的交互策略为“采用随机生成的账号和密码对端口进行一次登录”,则第一设备可以按照该交互策略与目标端口进行交互。若交互结果中存在“load datalocal infile'xxx'into table test fields terminated by'\n'”字段,则确定目标中存在蜜罐。
或者,若与mySQL服务对应的交互策略为“采用随机生成的账号和密码对端口进行多次登录”,则第一设备按照该交互策略与目标端口进行交互。若交互结果为多次登录端口均成功,则确定目标中存在蜜罐。
比如,若目标端口号为1-65535,则与目标端口对应的目标服务为HTTP或HTTPS服务。若与HTTP或HTTPS服务对应的交互策略为“对目标端口多次请求不同的路由”,则第一设备按照该交互策略与目标端口进行交互。若交互结果为多次请求不同的路由后来自目标端口的响应结果中存在的哈希值均相同,则确定目标中存在蜜罐。
作为一个示例,第一设备也可以根据目标端口的端口号确定与目标端口匹配的目标蜜罐识别插件。比如,如表2所示,若目标端口号为1-65535,则从多种蜜罐识别插件中确定交互策略为“对目标端口多次请求不同的路由”的蜜罐识别插件作为目标蜜罐识别插件,或者从多种蜜罐识别插件中确定交互策略为“与端口进行TCP三次握手”的蜜罐识别插件作为目标蜜罐识别插件。
作为一个示例,第一设备也可以根据上述步骤102获取的来自目标端口的扫描响应确定与目标端口匹配的目标蜜罐识别插件。比如,如表2所示,若扫描响应中存在“GPON”字段,则从多种蜜罐识别插件中确定交互策略为“对目标端口多次请求任意路由”的蜜罐识别插件为目标蜜罐识别插件。
另外,第一设备还可以通过蜜罐识别插件确定目标中存在的蜜罐的种类(类型)。比如,根据端口号和交互策略确定蜜罐的种类。
作为一个示例,如表2所示,第一设备确定目标端口号为3306端口,交互策略为采用随机生成的账号和密码对端口进行多次登录,且若交互结果为多次登录端口均成功,则不仅可以确定目标中存在蜜罐,还可以确定目标中存在的蜜罐为mySQL弱口令蜜罐。
需要说明是,上述表2只是作为蜜罐识别插件识别蜜罐的一个示例,并作作为蜜罐识别插件的限定。第一设备中可以安装有其它更多的蜜罐识别插件,蜜罐识别插件的插件使用条件、蜜罐识别方式、端口号以及可识别的蜜罐也可以为其它,本申请实施例对蜜罐识别插件不做限定。
其中,蜜罐识别插件是通过与端口进行交互的方式来识别蜜罐,因此第一设备可以通过蜜罐识别插件识别高交互蜜罐。另外,由于第一设备中安装有多种蜜罐识别插件,每种蜜罐识别插件对应一种或多种交互策略,因此第一设备可以通过多种蜜罐识别插件中每种蜜罐识别插件的一种或多种交互策略识别不同种类的蜜罐,即第一设备可识别蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。
此外,在第一设备没有从多种蜜罐识别插件中找到与目标端口匹配的目标蜜罐识别插件,或者交互结果不符合预设条件的情况下,不能确定目标端口提供的服务一定不是蜜罐模拟服务,即不能确定待识别的目标中一定不存在蜜罐。这种情况下,可以通过增加第一设备中蜜罐识别插件的方式来识别更多种类的蜜罐,或者通过增加蜜罐识别插件中蜜罐识别方式来识别更多种类的蜜罐,或者通过其它方式来识别更多种类的蜜罐。
比如,第一设备还可以根据如下两种方法确定目标中存在蜜罐。
第一种方法:从目标中下载文件,提取文件的宏代码,若根据宏代码确定目标中存在蜜标,则确定目标中存在蜜罐。
其中,从目标中下载的文件可以为word、pdf或者execel等文件。
其中,蜜标是带有URL(Unified resource location address,统一资源定位地址)的文件。当文件中存在一个隐蔽的链接,第一设备下载并打开该文件时,链接可以被自动触发,待识别的目标就可以获取到第一设备的IP地址等信息。
比如,第一设备可以通过oledump.py从下载的文件中提取出宏代码。之后,确定宏代码中是否存在违规操作的代码,若确定宏代码中存在违规操作的代码,则确定该文件是蜜标,进一步确定目标中存在蜜罐。
其中,违规操作的代码可以包括获得主机权限、网络违规外联等代码。
第二种方法:确定目标中正在运行的进程,若确定正在运行的进程的进程名存在第二预设字段,则确定目标中存在蜜罐。
其中,第二预设字段可以包括decept-agent、HpfClient和heartbeats中的一种或多种。
其中,蜜罐包括蜜罐agant的组件。第一设备可以通过确定目标中是否存在正在运行蜜罐agant的进程来确定目标中存在蜜罐。
比如,第一设备可以在目标中部署获取进程脚本,通过获取进行脚本获取目标中正在运行的进程,确定正在运行的进程的进程名是否存在第二预设字段。若存在第二预设字段,则确定目标中存在蜜罐。
作为一个示例,第一设备若确定正在运行的进程的进程名存在decept-agent,则确定目标中安装有Ehoney蜜罐的蜜罐agant。若确定正在运行的进程的进程名存在HpfClient,则确定目标中安装有幻阵蜜罐的蜜罐agant。若确定正在运行的进程的进程名存在heartbeats,则确定目标中安装有安天蜜罐的蜜罐agant。
比如,第一设备可以在攻破并进入目标后,在目标中部署获取进程脚本。
本申请实施例中,对于待识别的目标,先向目标的目标端口发送扫描请求,再获取来自目标端口的扫描响应。然后若确定扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标中存在蜜罐。若确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配,则确定与目标端口匹配的目标蜜罐识别插件,根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐。其中,蜜罐指纹库包括多种蜜罐的特征指纹,目标蜜罐识别插件用于与目标端口进行交互。由于可以通过将目标端口的扫描响应与蜜罐指纹库的特征指纹进行匹配来识别目标中的蜜罐,也可以通过目标蜜罐识别插件与目标端口的交互结果来识别目标中的蜜罐,因此能够识别的蜜罐种类较多,通用性较好,满足网络安全中蜜罐的多样性。
请参考图2,图2是本申请实施例提供的一种蜜罐识别装置的结构示意图。该蜜罐识别装置可以由软件、硬件或者两者的结合实现成为计算机设备的部分或者全部,该计算机设备可以为下文图3所示的计算机设备。如图2所示,该装置包括发送模块201、获取模块202、第一确定模块203和第二确定模块204。
在本申请实施例中,发送模块201,用于对于待识别的目标,向目标的目标端口发送扫描请求;
获取模块202,用于获取来自目标端口的扫描响应;
第一确定模块203,用于若确定扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定目标中存在蜜罐,蜜罐指纹库包括多种蜜罐的特征指纹;
第二确定模块204,用于若确定扫描响应中的字段与蜜罐指纹库中的所有特征指纹均不匹配,则确定与目标端口匹配的目标蜜罐识别插件,根据目标蜜罐识别插件与目标端口的交互结果确定目标中存在蜜罐,目标蜜罐识别插件用于与目标端口进行交互。
作为一个示例,目标蜜罐识别插件对应的交互策略为目标交互策略,目标蜜罐识别插件用于按照目标交互策略与目标端口进行交互;
所述装置还包括交互模块:
交互模块,用于通过目标蜜罐识别插件,按照目标交互策略与目标端口进行交互,得到目标蜜罐识别插件与目标端口的交互结果;
第二确定模块204,还用于确定交互结果是否符合预设条件,若交互结果符合预设条件,则确定目标中存在蜜罐。
作为一个示例,预设条件包括以下条件中的任一种:
交互结果中存在第一预设字段;
在目标交互策略为采用随机生成的账号和密码对目标端口进行多次登录的情况下,多次登录目标端口均成功;
在目标交互策略为对目标端口多次请求不同的路由的情况下,多次请求不同的路由后来自目标端口的响应结果均相同。
作为一个示例,第二确定模块204,还用于确定目标端口提供的目标服务;
从多种蜜罐识别插件中确定与目标服务匹配的蜜罐识别插件作为目标蜜罐识别插件。
作为一个示例,多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略;
第二确定模块204,还用于若目标服务包括SSH服务、FTP服务、TELENT服务或mySQL服务,则从多种蜜罐识别插件中确定对应的交互策略为采用随机生成的账号和密码对目标端口进行多次登录的蜜罐识别插件作为目标蜜罐识别插件;
第二确定模块204,还用于若目标服务包括HTTP服务、HTTPS服务,则从多种蜜罐识别插件中确定对应的交互策略为对目标端口多次请求不同的路由的蜜罐识别插件作为目标蜜罐识别插件。
作为一个示例,发送模块201,还用于根据第一设备的源设备地址,生成伪造的至少一个伪源设备地址;
根据源设备地址,以及至少一个伪源设备地址,构造多个扫描请求,多个扫描请求至少包括第一扫描请求和第二扫描请求,第一扫描请求为源设备地址发送的请求,第二扫描请求为伪造的至少一个伪源设备地址中任一伪源设备地址发送的请求;
向目标端口发送多个扫描请求,以对目标端口进行欺骗扫描。
作为一个示例,所述装置还包括第三确定模块或第四确定模块:
第三确定模块,用于从目标中下载文件,提取文件的宏代码,若根据宏代码确定目标中存在蜜标,则确定目标中存在蜜罐;
第四确定模块,用于确定目标中正在运行的进程,若确定正在运行的进程的进程名存在第二预设字段,则确定目标中存在蜜罐。
需要说明的是:上述实施例提供的蜜罐识别装置,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
上述实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请实施例的保护范围。
上述实施例提供的蜜罐识别装置与蜜罐识别方法实施例属于同一构思,上述实施例中单元、模块的具体工作过程及带来的技术效果,可参见方法实施例部分,此处不再赘述。
请参考图3,图3为本申请实施例提供的一种计算机设备的结构示意图。如图3所示,计算机设备包括:处理器301、存储器302以及存储在存储器302中并可在处理器301上运行的计算机程序303,处理器301执行计算机程序303时实现上述实施例中的蜜罐识别方法中的步骤。
计算机设备可以是上述图1实施例中的第一设备或第二设备,可以为一个通用计算机设备或一个专用计算机设备。在具体实现中,计算机设备可以是终端或服务器,终端可以是手机、台式机、便携式电脑、掌上电脑、平板电脑、无线终端设备或通信设备等,本申请实施例不限定计算机设备的类型。本领域技术人员可以理解,图3仅仅是计算机设备的举例,并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,比如还可以包括输入输出设备、网络接入设备等。
处理器301可以是中央处理单元(Central Processing Unit,CPU),处理器301还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者也可以是任何常规的处理器。
存储器302在一些实施例中可以是计算机设备的内部存储单元,比如计算机设备的硬盘或内存。存储器302在另一些实施例中也可以是计算机设备的外部存储设备,比如计算机设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(SecureDigital,SD)卡、闪存卡(Flash Card)等。进一步地,存储器302还可以既包括计算机设备的内部存储单元也包括外部存储设备。存储器302用于存储操作***、应用程序、引导装载程序(Boot Loader)、数据以及其他程序等。存储器302还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机设备,该计算机设备包括:至少一个处理器、存储器以及存储在该存储器中并可在该至少一个处理器上运行的计算机程序,该处理器执行该计算机程序时实现上述任意各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当其在计算机上运行时,使得计算机执行上述各个方法实施例中的步骤。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述方法实施例中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,该计算机程序包括计算机程序代码,该计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。该计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、CD-ROM(Compact Disc Read-Only Memory,只读光盘)、磁带、软盘和光数据存储设备等。本申请提到的计算机可读存储介质可以为非易失性存储介质,换句话说,可以是非瞬时性存储介质。
应当理解的是,实现上述实施例的全部或部分步骤可以通过软件、硬件、固件或者其任意结合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。该计算机指令可以存储在上述计算机可读存储介质中。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/计算机设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/计算机设备实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种蜜罐识别方法,其特征在于,应用于第一设备,所述方法包括:
对于待识别的目标,向所述目标的目标端口发送扫描请求;
获取来自所述目标端口的扫描响应;
若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定所述目标中存在蜜罐,所述蜜罐指纹库包括多种蜜罐的特征指纹;
若确定所述扫描响应中的字段与所述蜜罐指纹库中的所有特征指纹均不匹配,则确定与所述目标端口匹配的目标蜜罐识别插件,根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,所述目标蜜罐识别插件用于与所述目标端口进行交互。
2.如权利要求1所述的方法,其特征在于,所述目标蜜罐识别插件对应的交互策略为目标交互策略,所述目标蜜罐识别插件用于按照所述目标交互策略与所述目标端口进行交互;
所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐之前,所述方法还包括:
通过所述目标蜜罐识别插件,按照所述目标交互策略与所述目标端口进行交互,得到所述目标蜜罐识别插件与所述目标端口的交互结果;
所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,包括:
确定所述交互结果是否符合预设条件;
若所述交互结果符合所述预设条件,则确定所述目标中存在蜜罐。
3.如权利要求2所述的方法,其特征在于,所述预设条件包括以下条件中的任一种:
所述交互结果中存在第一预设字段;
在所述目标交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的情况下,多次登录所述目标端口均成功;
在所述目标交互策略为对所述目标端口多次请求不同的路由的情况下,多次请求不同的路由后来自所述目标端口的响应结果均相同。
4.如权利要求1所述的方法,其特征在于,所述确定与所述目标端口匹配的目标蜜罐识别插件,包括:
确定所述目标端口提供的目标服务;
从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐识别插件。
5.如权利要求4所述的方法,其特征在于,所述多种蜜罐识别插件中每种蜜罐识别插件存在对应的交互策略;
所述从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐识别插件,包括以下方式中的任一种:
若所述目标服务包括SSH服务、FTP服务、TELENT服务或mySQL服务,则从所述多种蜜罐识别插件中确定对应的交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的蜜罐识别插件作为所述目标蜜罐识别插件;
若所述目标服务包括HTTP服务、HTTPS服务,则从所述多种蜜罐识别插件中确定对应的交互策略为对所述目标端口多次请求不同的路由的蜜罐识别插件作为所述目标蜜罐识别插件。
6.如权利要求1-5任一所述的方法,其特征在于,所述向所述目标端口发送扫描请求,包括:
根据所述第一设备的源设备地址,生成伪造的至少一个伪源设备地址;
根据所述源设备地址,以及所述至少一个伪源设备地址,构造多个扫描请求,所述多个扫描请求至少包括第一扫描请求和第二扫描请求,所述第一扫描请求为所述源设备地址发送的请求,所述第二扫描请求为伪造的所述至少一个伪源设备地址中任一伪源设备地址发送的请求;
向所述目标端口发送所述多个扫描请求,以对所述目标端口进行欺骗扫描。
7.如权利要求1-5任一所述的方法,其特征在于,所述方法还包括:
从所述目标中下载文件,提取所述文件的宏代码,若根据所述宏代码确定所述目标中存在蜜标,则确定所述目标中存在蜜罐;
或者,
确定所述目标中正在运行的进程,若确定所述正在运行的进程的进程名存在第二预设字段,则确定所述目标中存在蜜罐。
8.一种蜜罐识别装置,其特征在于,所述装置包括:
发送模块,用于对于待识别的目标,向所述目标的目标端口发送扫描请求;
获取模块,用于获取来自所述目标端口的扫描响应;
第一确定模块,用于若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配,则确定所述目标中存在蜜罐,所述蜜罐指纹库包括多种蜜罐的特征指纹;
第二确定模块,用于若确定所述扫描响应中的字段与所述蜜罐指纹库中的所有特征指纹均不匹配,则确定与所述目标端口匹配的目标蜜罐识别插件,根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜罐,所述目标蜜罐识别插件用于与所述目标端口进行交互。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
CN202210269896.8A 2022-03-18 2022-03-18 蜜罐识别方法、装置、设备及存储介质 Active CN114826663B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210269896.8A CN114826663B (zh) 2022-03-18 2022-03-18 蜜罐识别方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210269896.8A CN114826663B (zh) 2022-03-18 2022-03-18 蜜罐识别方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN114826663A true CN114826663A (zh) 2022-07-29
CN114826663B CN114826663B (zh) 2023-12-01

Family

ID=82530610

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210269896.8A Active CN114826663B (zh) 2022-03-18 2022-03-18 蜜罐识别方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114826663B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094847A (zh) * 2023-04-11 2023-05-09 中国工商银行股份有限公司 蜜罐识别方法、装置、计算机设备和存储介质
CN116668187A (zh) * 2023-07-19 2023-08-29 杭州海康威视数字技术股份有限公司 一种蜜罐识别的方法、装置及电子设备
CN117220900A (zh) * 2023-07-14 2023-12-12 博智安全科技股份有限公司 一种自动检测蜜罐***的方法和***
CN118138371A (zh) * 2024-04-29 2024-06-04 杭州海康威视数字技术股份有限公司 基于搜索引擎的快速蜜罐构建方法、装置及设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050044418A1 (en) * 2003-07-25 2005-02-24 Gary Miliefsky Proactive network security system to protect against hackers
CN101669347A (zh) * 2007-04-23 2010-03-10 国际商业机器公司 用于检测具有伪造源地址的端口扫描的方法和装置
CN107330331A (zh) * 2016-04-29 2017-11-07 阿里巴巴集团控股有限公司 识别存在漏洞的***的方法、装置和***
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN112217800A (zh) * 2020-09-14 2021-01-12 广州大学 一种蜜罐识别方法、***、装置及介质
US10986129B1 (en) * 2019-03-28 2021-04-20 Rapid7, Inc. Live deployment of deception systems
CN113472819A (zh) * 2021-09-03 2021-10-01 国际关系学院 基于指纹特征的蜜罐探测识别方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050044418A1 (en) * 2003-07-25 2005-02-24 Gary Miliefsky Proactive network security system to protect against hackers
CN101669347A (zh) * 2007-04-23 2010-03-10 国际商业机器公司 用于检测具有伪造源地址的端口扫描的方法和装置
CN107330331A (zh) * 2016-04-29 2017-11-07 阿里巴巴集团控股有限公司 识别存在漏洞的***的方法、装置和***
US10986129B1 (en) * 2019-03-28 2021-04-20 Rapid7, Inc. Live deployment of deception systems
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN112217800A (zh) * 2020-09-14 2021-01-12 广州大学 一种蜜罐识别方法、***、装置及介质
CN113472819A (zh) * 2021-09-03 2021-10-01 国际关系学院 基于指纹特征的蜜罐探测识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
史彦东;: "入侵诱骗***中自动生成特征规则的研究", 电脑知识与技术, no. 15 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094847A (zh) * 2023-04-11 2023-05-09 中国工商银行股份有限公司 蜜罐识别方法、装置、计算机设备和存储介质
CN117220900A (zh) * 2023-07-14 2023-12-12 博智安全科技股份有限公司 一种自动检测蜜罐***的方法和***
CN116668187A (zh) * 2023-07-19 2023-08-29 杭州海康威视数字技术股份有限公司 一种蜜罐识别的方法、装置及电子设备
CN116668187B (zh) * 2023-07-19 2023-11-03 杭州海康威视数字技术股份有限公司 一种蜜罐识别的方法、装置及电子设备
CN118138371A (zh) * 2024-04-29 2024-06-04 杭州海康威视数字技术股份有限公司 基于搜索引擎的快速蜜罐构建方法、装置及设备
CN118138371B (zh) * 2024-04-29 2024-07-02 杭州海康威视数字技术股份有限公司 基于搜索引擎的快速蜜罐构建方法、装置及设备

Also Published As

Publication number Publication date
CN114826663B (zh) 2023-12-01

Similar Documents

Publication Publication Date Title
US9742805B2 (en) Managing dynamic deceptive environments
CN114826663B (zh) 蜜罐识别方法、装置、设备及存储介质
CN112995151B (zh) 访问行为处理方法和装置、存储介质及电子设备
US11212281B2 (en) Attacker detection via fingerprinting cookie mechanism
Tsikerdekis et al. Approaches for preventing honeypot detection and compromise
US11265334B1 (en) Methods and systems for detecting malicious servers
US11489853B2 (en) Distributed threat sensor data aggregation and data export
US20210344690A1 (en) Distributed threat sensor analysis and correlation
CN112751815B (zh) 报文处理方法、装置、设备及计算机可读存储介质
Kumar et al. DDOS prevention in IoT
CN111756761A (zh) 基于流量转发的网络防御***、方法和计算机设备
CN111565203B (zh) 业务请求的防护方法、装置、***和计算机设备
CN113179280B (zh) 基于恶意代码外联行为的欺骗防御方法及装置、电子设备
Vidalis et al. Assessing identity theft in the Internet of Things
CN113676449A (zh) 网络攻击处理方法及装置
US12041094B2 (en) Threat sensor deployment and management
CN113098835A (zh) 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐***
US20170201543A1 (en) Embedded device and method of processing network communication data
CN112242974A (zh) 基于行为的攻击检测方法、装置、计算设备及存储介质
CN114531258B (zh) 网络攻击行为的处理方法和装置、存储介质及电子设备
CN113098865B (zh) 一种浏览器指纹获取方法、装置、电子设备及存储介质
US20230370495A1 (en) Breach prediction via machine learning
CN116781331A (zh) 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置
Sokol et al. Definition of attack in the context of low-level interaction server honeypots
CN113709130A (zh) 基于蜜罐***的风险识别方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant