CN114861168A - 一种防逃逸的攻击行为欺骗蜜罐构建方法 - Google Patents
一种防逃逸的攻击行为欺骗蜜罐构建方法 Download PDFInfo
- Publication number
- CN114861168A CN114861168A CN202210548403.4A CN202210548403A CN114861168A CN 114861168 A CN114861168 A CN 114861168A CN 202210548403 A CN202210548403 A CN 202210548403A CN 114861168 A CN114861168 A CN 114861168A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- program
- container
- daemon
- escape
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
- G06F9/4451—User profiles; Roaming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及网络安全技术领域,尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。本发明通过管理平台创建不同功能的,带有守护进程的蜜罐容器,将蜜罐部署在容器中。当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时,守护进程采用白名单、sha256进行校验。校验成功,程序正常启动。校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。对攻击行为的针对性强,有效防止蜜罐逃逸风险,提高了网络环境的安全性和稳定性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。
背景技术
随着网络高速的发展,网络中的资源也在成倍的增加,如何提高暴露在网络中资源的安全性,是目前急需解决的问题。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。
现有的网络安全技术中,现有的操作***、虚拟化工具软件有可能存在漏洞,攻击者可以利用存在的漏洞,通过攻击工具实现蜜罐逃逸。造成网络环境的安全性、稳定性下降。
发明内容
针对背景技术中存在的问题,提出一种防逃逸的攻击行为欺骗蜜罐构建方法。本发明通过管理平台创建不同功能的,带有守护进程的蜜罐容器,将蜜罐部署在容器中。当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时,守护进程采用白名单、sha256进行校验。校验成功,程序正常启动。校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。对攻击行为的针对性强,有效防止蜜罐逃逸风险,提高了网络环境的安全性和稳定性。
本发明提出一种防逃逸的攻击行为欺骗蜜罐构建方法,方法如下:
S1、建立管理平台;通过管理平台创建不同功能的蜜罐容器,并在***环境中布置多个诱捕节点;
S2、蜜罐容器对诱捕节点进行一一隔离,蜜罐容器内布置守护进程;
S3、将蜜罐一一部署在蜜罐容器内,与诱捕节点以及守护进程进行绑定;运行蜜罐、蜜罐容器以及***;
S4、当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭;当安装、配置合法程序或启动任一程序时,守护进程进行校验;
S5、校验成功,程序正常启动;校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。
优选的,管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
优选的,镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外,还包含为蜜罐容器运行时准备的配置参数。
优选的,蜜罐容器上设置有数据接口;数据接口设置有检测单元和截断单元;守护进程连接检测单元和截断单元。
优选的,校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元,用于提前采集用户行为数据,建立白名单,并将***中的进程与白名单对比,判断是否为允许的工作进程。
优选的,采集单元对正常行为数据和异常行为数据进行收集,分别提取上述数据包的特征值序列,并分类存储;白名单为正常行为数据的特征值序列合集。
优选的,守护进程进行校验会对当前执行的进程进行白名单校验,只有在白名单内的程序可以启动。
优选的,白名单校验方法为:需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列合集匹配,判断为校验合格。
优选的,安装、配置合法程序或启动任一程序时,守护进程采用sha256对宿主文件进行校验,需要输入Hash函数之前的数据和通过Hash函数处理过后得到的编号必须一一对应;需要每一个编号的长度都是固定的;且无法通过编号倒推出数据的内容。
优选的,守护进程同时会校验其它程序的启动代码参数,该启动参数由***随机生成且固定,若攻击者通过代码溢出的程序启动该通信程序,因为不知道启动代码参数,所以也无法正常启动,同时蜜罐写入报警日志。
与现有技术相比,本发明具有如下有益的技术效果:
本发明通过管理平台创建不同功能的,带有守护进程的蜜罐容器,将蜜罐部署在容器中。当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时,守护进程采用白名单、sha256进行校验。校验成功,程序正常启动。校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。对攻击行为的针对性强,有效防止蜜罐逃逸风险,提高了网络环境的安全性和稳定性。
附图说明
图1为本发明一种实施例的方法流程图。
具体实施方式
实施例一
如图1所示,本发明提出的一种防逃逸的攻击行为欺骗蜜罐构建方法,方法如下:
S1、建立管理平台;通过管理平台创建不同功能的蜜罐容器,并在***环境中布置多个诱捕节点;
S2、蜜罐容器对诱捕节点进行一一隔离,蜜罐容器内布置守护进程;
S3、将蜜罐一一部署在蜜罐容器内,与诱捕节点以及守护进程进行绑定;运行蜜罐、蜜罐容器以及***;
S4、当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭;当安装、配置合法程序或启动任一程序时,守护进程进行校验;
S5、校验成功,程序正常启动;校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。
实施例二
如图1所示,本发明提出的一种防逃逸的攻击行为欺骗蜜罐构建方法,方法如下:
S1、建立管理平台;通过管理平台创建不同功能的蜜罐容器,并在***环境中布置多个诱捕节点;
S2、蜜罐容器对诱捕节点进行一一隔离,蜜罐容器内布置守护进程;
S3、将蜜罐一一部署在蜜罐容器内,与诱捕节点以及守护进程进行绑定;运行蜜罐、蜜罐容器以及***;
S4、当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭;当安装、配置合法程序或启动任一程序时,守护进程进行校验;
S5、校验成功,程序正常启动;校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。
进一步的,管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
进一步的,镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外,还包含为蜜罐容器运行时准备的配置参数。
进一步的,蜜罐容器上设置有数据接口;数据接口设置有检测单元和截断单元;守护进程连接检测单元和截断单元。
进一步的,校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元,用于提前采集用户行为数据,建立白名单,并将***中的进程与白名单对比,判断是否为允许的工作进程。
进一步的,采集单元对正常行为数据和异常行为数据进行收集,分别提取上述数据包的特征值序列,并分类存储;白名单为正常行为数据的特征值序列合集。
实施例三
如图1所示,本发明提出的一种防逃逸的攻击行为欺骗蜜罐构建方法,方法如下:
S1、建立管理平台;通过管理平台创建不同功能的蜜罐容器,并在***环境中布置多个诱捕节点;
S2、蜜罐容器对诱捕节点进行一一隔离,蜜罐容器内布置守护进程;
S3、将蜜罐一一部署在蜜罐容器内,与诱捕节点以及守护进程进行绑定;运行蜜罐、蜜罐容器以及***;
S4、当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭;当安装、配置合法程序或启动任一程序时,守护进程进行校验;
S5、校验成功,程序正常启动;校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。
进一步的,管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
进一步的,镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外,还包含为蜜罐容器运行时准备的配置参数。
进一步的,蜜罐容器上设置有数据接口;数据接口设置有检测单元和截断单元;守护进程连接检测单元和截断单元。
进一步的,校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元,用于提前采集用户行为数据,建立白名单,并将***中的进程与白名单对比,判断是否为允许的工作进程。
进一步的,采集单元对正常行为数据和异常行为数据进行收集,分别提取上述数据包的特征值序列,并分类存储;白名单为正常行为数据的特征值序列合集。
进一步的,守护进程进行校验会对当前执行的进程进行白名单校验,只有在白名单内的程序可以启动。
进一步的,白名单校验方法为:需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列合集匹配,判断为校验合格。
进一步的,安装、配置合法程序或启动任一程序时,守护进程采用sha256对宿主文件进行校验,需要输入Hash函数之前的数据和通过Hash函数处理过后得到的编号必须一一对应;需要每一个编号的长度都是固定的;且无法通过编号倒推出数据的内容。
进一步的,守护进程同时会校验其它程序的启动代码参数,该启动参数由***随机生成且固定,若攻击者通过代码溢出的程序启动该通信程序,因为不知道启动代码参数,所以也无法正常启动,同时蜜罐写入报警日志。
本发明通过管理平台创建不同功能的,带有守护进程的蜜罐容器,将蜜罐部署在容器中。当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时,守护进程采用白名单、sha256进行校验。校验成功,程序正常启动。校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。对攻击行为的针对性强,有效防止蜜罐逃逸风险,提高了网络环境的安全性和稳定性。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于此,在所属技术领域的技术人员所具备的知识范围内,在不脱离本发明宗旨的前提下还可以作出各种变化。
Claims (10)
1.一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,方法如下:
S1、建立管理平台;通过管理平台创建不同功能的蜜罐容器,并在***环境中布置多个诱捕节点;
S2、蜜罐容器对诱捕节点进行一一隔离,蜜罐容器内布置守护进程;
S3、将蜜罐一一部署在蜜罐容器内,与诱捕节点以及守护进程进行绑定;运行蜜罐、蜜罐容器以及***;
S4、当守护进程发现***执行的工作进程被停止或启动了不明进程时,蜜罐容器自动关闭;当安装、配置合法程序或启动任一程序时,守护进程进行校验;
S5、校验成功,程序正常启动;校验失败,程序被写入报警日志,并被锁定在蜜罐容器中。
2.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
3.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外,还包含为蜜罐容器运行时准备的配置参数。
4.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,蜜罐容器上设置有数据接口;数据接口设置有检测单元和截断单元;守护进程连接检测单元和截断单元。
5.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元,用于提前采集用户行为数据,建立白名单,并将***中的进程与白名单对比,判断是否为允许的工作进程。
6.根据权利要求5所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,采集单元对正常行为数据和异常行为数据进行收集,分别提取上述数据包的特征值序列,并分类存储;白名单为正常行为数据的特征值序列合集。
7.根据权利要求6所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,守护进程进行校验会对当前执行的进程进行白名单校验,只有在白名单内的程序可以启动。
8.根据权利要求7所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,白名单校验方法为:需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列合集匹配,判断为校验合格。
9.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,安装、配置合法程序或启动任一程序时,守护进程采用sha256对宿主文件进行校验,需要输入Hash函数之前的数据和通过Hash函数处理过后得到的编号必须一一对应;需要每一个编号的长度都是固定的;且无法通过编号倒推出数据的内容。
10.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法,其特征在于,守护进程同时会校验其它程序的启动代码参数,该启动参数由***随机生成且固定,若攻击者通过代码溢出的程序启动该通信程序,因为不知道启动代码参数,所以也无法正常启动,同时蜜罐写入报警日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210548403.4A CN114861168A (zh) | 2022-05-20 | 2022-05-20 | 一种防逃逸的攻击行为欺骗蜜罐构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210548403.4A CN114861168A (zh) | 2022-05-20 | 2022-05-20 | 一种防逃逸的攻击行为欺骗蜜罐构建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114861168A true CN114861168A (zh) | 2022-08-05 |
Family
ID=82638342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210548403.4A Pending CN114861168A (zh) | 2022-05-20 | 2022-05-20 | 一种防逃逸的攻击行为欺骗蜜罐构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114861168A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086081A (zh) * | 2022-08-08 | 2022-09-20 | 北京永信至诚科技股份有限公司 | 一种蜜罐防逃逸方法及*** |
-
2022
- 2022-05-20 CN CN202210548403.4A patent/CN114861168A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086081A (zh) * | 2022-08-08 | 2022-09-20 | 北京永信至诚科技股份有限公司 | 一种蜜罐防逃逸方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109711171B (zh) | 软件漏洞的定位方法及装置、***、存储介质、电子装置 | |
CN109361670B (zh) | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 | |
US7540030B1 (en) | Method and system for automatic cure against malware | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
US9690936B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
US9973531B1 (en) | Shellcode detection | |
US7870612B2 (en) | Antivirus protection system and method for computers | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US11070570B2 (en) | Methods and cloud-based systems for correlating malware detections by endpoint devices and servers | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
CN111651754B (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
CN107408166B (zh) | 动态安全模块创建方法及创建装置 | |
KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
CN112653654A (zh) | 安全监控方法、装置、计算机设备及存储介质 | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN109241730B (zh) | 一种容器风险的防御方法、装置、设备及可读存储介质 | |
CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
CN114861168A (zh) | 一种防逃逸的攻击行为欺骗蜜罐构建方法 | |
CN115086081B (zh) | 一种蜜罐防逃逸方法及*** | |
CN115544503A (zh) | 一种无文件攻击检测方法、装置、设备及存储介质 | |
CN113824678B (zh) | 处理信息安全事件的***、方法和非暂时性计算机可读介质 | |
US11763004B1 (en) | System and method for bootkit detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |