CN115208670B - 蜜网构建方法、装置、电子设备及计算机可读取存储介质 - Google Patents
蜜网构建方法、装置、电子设备及计算机可读取存储介质 Download PDFInfo
- Publication number
- CN115208670B CN115208670B CN202210836372.2A CN202210836372A CN115208670B CN 115208670 B CN115208670 B CN 115208670B CN 202210836372 A CN202210836372 A CN 202210836372A CN 115208670 B CN115208670 B CN 115208670B
- Authority
- CN
- China
- Prior art keywords
- network
- node
- template
- target
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种蜜网构建方法、装置、电子设备及计算机可读取存储介质,涉及网络安全技术领域。该方法包括:确定待保护网络的网络信息;根据网络信息在模板库中进行匹配,确定对应的目标业务***模板;基于目标业务***模板,构建待保护网络对应的蜜网。本申请通过将待保护网络与模板库进行匹配和对比,能够识别出与待保护网络的真实业务***相对应的虚拟业务***作为目标业务***模板,从而根据目标业务***模板自动构建待保护网络对应的虚拟业务***的蜜网,使构建的蜜网能够进行虚拟的业务交互,提高了蜜网对用户真实的待保护网络进行伪装时的伪装效果和仿真能力,从而提高了蜜网对攻击者的诱捕效率,提高用户使用网络时的安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种蜜网构建方法、装置、电子设备及计算机可读取存储介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机等形成诱捕网络作为蜜网,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。
现有技术中,在构建蜜网时,通常会添加虚拟主机,以通过构建的虚拟主机上开放服务或者服务上的漏洞引诱攻击者对其进行攻击,达到诱捕攻击者目的。目前构建的蜜网的虚拟网络与被保护的实际网络的相似性较低,不利于达到诱捕攻击者的目的,导致目前蜜网的诱捕效率较低。
发明内容
有鉴于此,本申请实施例的目的在于提供一种蜜网构建方法、装置、电子设备及计算机可读取存储介质,以改善现有技术中存在的蜜网对攻击者的诱捕效率较低的问题。
为了解决上述问题,第一方面,本申请实施例提供了一种蜜网构建方法,所述方法包括:
确定待保护网络的网络信息;
根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板;
基于所述目标业务***模板,构建所述待保护网络对应的蜜网。
在上述实现过程中,通过将待保护网络中真实的网络信息与模板库进行匹配和对比,能够在模板库中识别出与网络信息的真实业务***相对应的虚拟业务***的模板,作为目标业务***模板。从而根据目标业务***模板自动构建与待保护网络对应的虚拟业务***的蜜网,构建的蜜网不仅与用户使用的真实的待保护网络的结构相似性高,蜜网在工作时还能够进行虚拟的业务交互。从结构以及业务多方面提高了蜜网对用户使用的真实的待保护网络进行伪装时的伪装效果和仿真能力,从而提高了蜜网对攻击者的诱捕效率,提高用户使用网络时的安全性。
可选地,所述根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板,包括:
将所述网络信息与所述模板库中的多个业务***模板分别进行对比,得到多个相似度;
将所述相似度达到阈值的所述业务***模板作为与所述待保护网络匹配的所述目标业务***模板。
在上述实现过程中,通过将待保护网络的网络信息与模板库中的多个历史的业务***模板依次进行对比,可以确定网络信息与每一个业务***模板之间的相似度,从而以相似度达到阈值,即相似度较高的业务***模板作为与待保护网络匹配的目标业务***模板。能够对多个业务***模板中进行筛选,提高了目标业务***模板的有效性。
可选地,所述基于所述目标业务***模板构建所述待保护网络对应的蜜网,包括:
根据所述目标业务***模板确定相应的目标节点和目标节点网络信息,其中,所述目标节点网络信息包括:所述目标节点的目标节点网络地址、所述目标节点网络地址开放的目标节点端口、目标节点服务、目标节点操作***中的至少一种;
基于所述目标节点新建虚拟主机;
在所述虚拟主机中配置对应的所述目标节点网络信息;
对所述虚拟主机进行业务配置,以得到所述待保护网络对应的蜜网。
在上述实现过程中,在构建与待保护网络对应的蜜网时,可以确定目标业务***模板中对应的目标节点和目标节点网络信息,从而根据目标节点新建一个或多个虚拟主机,在虚拟主机中配置对应的目标节点网络信息,从而使虚拟节点中具有网络地址,对应的端口、服务以及操作***等多种节点的网络结构,并在目标节点网络的基础上对虚拟主机进行虚拟的业务配置,能够得到与待保护网络对应的具有虚拟业务的蜜网。有效地提高了蜜网与待保护网络结构上的相似性以及业务上的仿真能力。
可选地,所述对所述虚拟主机进行业务配置,以得到所述待保护网络对应的蜜网,包括:
确定所述目标业务***模板中的目标业务数据,其中,所述目标业务数据包括:目标业务报文和目标交互频次中的至少一种;
在所述虚拟主机中配置对应的所述目标业务数据,以使所述目标节点进行模拟数据交互,得到所述待保护网络对应的包括所述虚拟主机的所述蜜网。
在上述实现过程中,可以获取目标业务***模板中的目标业务数据作为模拟的业务数据,在目标节点网络信息中进行配置,从而使多个目标节点对应的虚拟主机之间能够进行模拟数据交互,增加了各个目标节点之间虚拟业务的关联性,从而使包括一个或多个虚拟主机的蜜网具有虚拟业务,有效地提高了蜜网的仿真能力和伪装效果。
可选地,所述确定待保护网络的网络信息,包括:
提取所述待保护网络中的扫描网段;
根据扫描算法对所述扫描网段进行扫描,以识别出所述扫描网段中的所述网络信息,其中,所述网络信息包括:所述扫描网段中存在的真实节点、所述真实节点对应的目标网络地址、所述目标网络地址开放的目标网络端口、目标网络服务、目标操作***中的至少一种。
在上述实现过程中,为了针对待保护网络的真实情况构建对应的蜜网,可以先提取待保护网络中扫描网段,在扫描网段中使用探测网络的扫描算法进行扫描,以识别出其中存活的真实节点所对应的主机的网络地址,以及该地址开发的端口、服务、操作***等多种信息。能够快速、准确地扫描获取反映待保护网络实际结构的网络信息,从而有效地提高了根据网络信息在模板库中匹配得到的目标业务***模板与待保护网络之间的相似性,以提高蜜网对待保护网络的保护效果。
可选地,所述方法还包括:
根据网络模板创建业务***模板,以多个所述业务***模板作为所述模板库。
在上述实现过程中,可以根据网络模板创建对应的业务***模板,从而以多个业务***模板组成模板库。能够使模板库中具有多种不同结构的业务***模板,从而提高了匹配时的成功率。
可选地,所述根据网络模板创建业务***模板,包括:
确定所述网络模板中的多个历史节点、历史节点网络信息和历史业务数据,其中,所述历史节点网络信息包括:所述历史节点的历史节点网络地址、所述历史节点网络地址开放的历史节点端口、历史节点服务、历史节点操作***中的至少一种,所述历史业务数据包括:历史业务报文和历史交互频次中的至少一种;
在多个所述历史节点中配置对应的所述历史节点网络信息;
在多个所述历史节点中配置对应的所述历史业务数据,以得到所述业务***模板。
在上述实现过程中,在创建每一个业务***模板时,都可以获取网络模板中网络的历史节点、历史节点网络信息以及网络模板中进行业务交互的历史业务数据。在历史节点中配置相应的历史节点网络信息,从而确定节点中的网络结构,在历史节点网络信息的基础上配置相应的历史业务数据,从而构建对应的业务***模板。能够从网络结构以及业务交互两个方面配置业务***模板,提高了业务***模板的真实性和节点之间业务的关联性。
第二方面,本申请实施例还提供了一种蜜网构建装置,所述装置包括:
确定模块,用于确定待保护网络的网络信息;
匹配模块,用于根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板;
构建模块,用于基于所述目标业务***模板,构建所述待保护网络对应的蜜网。
第三方面,本申请实施例还提供了一种电子设备,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器读取并运行所述程序指令时,执行上述蜜网构建方法中任一实现方式中的步骤。
第四方面,本申请实施例还提供了一种计算机可读取存储介质,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行上述蜜网构建方法中任一实现方式中的步骤。
综上所述,本申请提供了一种蜜网构建方法、装置、电子设备及计算机可读取存储介质,通过待保护网络的网络信息匹配相应的业务***模板,从而根据业务***模板的网络结构和业务交互构建对应的蜜网,从结构以及业务多方面提高了蜜网对用户使用的真实的待保护网络进行伪装时的伪装效果和仿真能力,从而提高了蜜网对攻击者的诱捕效率,提高用户使用网络时的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种电子设备的方框示意图;
图2为本申请实施例提供的一种蜜网构建方法的流程示意图;
图3为本申请实施例提供的一种步骤S300的详细流程示意图;
图4为本申请实施例提供的一种步骤S400的详细流程示意图;
图5为本申请实施例提供的一种步骤S440的详细流程示意图;
图6为本申请实施例提供的一种步骤S200的详细流程示意图;
图7为本申请实施例提供的另一种蜜网构建方法的流程示意图;
图8为本申请实施例提供的一种蜜网构建装置的结构示意图。
图标:100-电子设备;111-存储器;112-存储控制器;113-处理器;114-外设接口;115-输入输出单元;116-显示单元;600-蜜网构建装置;610-确定模块;620-匹配模块;630-构建模块。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请实施例的一部分实施例,而不是全部的实施例。基于本申请实施例的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
现有技术中,由于各种例如拒绝服务攻击、域名劫持攻击、恶意爬虫、网页挂马、非法越权等不同类型的网络攻击对网络使用时带来的不利影响,为了提高网络的安全防护能力,通常会使用蜜罐技术进行主动防御。蜜罐((Honeypots)可以为一种服务、网络页面、数据库或完整的操作***等,通过构建模拟的***或者服务,达到欺骗攻击者,引诱攻击、增加攻击代价、减少对实际***或服务安全威胁的目的。
在蜜罐的基础上构建的蜜网(Honeynets)本质上是高交互蜜罐***形态,由多个蜜罐组成的模拟网络,在一个网络中配置多个蜜罐主机。当网络将多个蜜罐连接在一起时,就可以组成一个大型的虚假业务网络,把其中一部分主机用来吸引攻击者入侵,通过监测攻击者的入侵过程,一方面能够收集攻击者的攻击行为,另一方面还可以更新相关的安全防护策略。蜜网将多个蜜罐组合,在网关后形成一个类似于真实业务网络的诱捕网络,对所有进入体系架构的流量进行全面捕获和监控,网络设置高度可控,功能主机丰富多样,能对各种类型的攻击信息采集和抽样。
现有技术中,一般是由***主动构建对应结构的蜜网,并在构建蜜网添加虚拟主机,以通过构建的虚拟主机上开放服务或者服务上的漏洞引诱攻击者对其进行攻击,达到诱捕攻击者目的。
但是,目前构建的蜜网的虚拟网络与被保护的实际网络相比,网络结构上的相似性以及业务上的相似性都较低,因此,目前的蜜网的伪装效果和仿真能力较差,不利于达到诱捕攻击者的目的,导致目前蜜网的诱捕效率较低。
为了解决上述问题,本申请实施例提供了一种蜜网构建方法,应用于电子设备,电子设备可以为服务器、个人电脑(Personal Computer,PC)、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)等具有逻辑计算功能的电子设备,能够根据待保护网络的网络信息匹配相应结构和业务的目标业务***模板,以根据目标业务***模板,从网络结构和业务交互多方面构建仿真能力较高的蜜网,从而人提高蜜网的诱捕效率。
可选地,请参阅图1,图1为本申请实施例提供的一种电子设备的方框示意图。电子设备100可以包括存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115、显示单元116。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对电子设备100的结构造成限定。例如,电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
上述的存储器111、存储控制器112、处理器113、外设接口114、输入输出单元115及显示单元116各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。上述的处理器113用于执行存储器中存储的可执行模块。
其中,存储器111可以是,但不限于,随机存取存储器(Random Access Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(ProgrammableRead-Only Memory,简称PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,简称EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,简称EEPROM)等。其中,存储器111用于存储程序,处理器113在接收到执行指令后,执行程序,本申请实施例任一实施例揭示的过程定义的电子设备100所执行的方法可以应用于处理器113中,或者由处理器113实现。
上述的处理器113可能是一种集成电路芯片,具有信号的处理能力。上述的处理器113可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(digital signalprocessor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器,也可以是任何常规的处理器等。
上述的外设接口114将各种输入/输出装置耦合至处理器113以及存储器111。在一些实施例中,外设接口114,处理器113以及存储控制器112可以在单个芯片中实现。在其他一些实例中,他们可以分别由独立的芯片实现。
上述的输入输出单元115用于提供给用户输入数据,例如,用于使用户输入对应的网络信息、选择相应的业务***模板等。输入输出单元115可以是,但不限于,鼠标和键盘等。
上述的显示单元116在电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。在本实施例中,显示单元可以是液晶显示器或触控显示器。若为触控显示器,其可为支持单点和多点触控操作的电容式触控屏或电阻式触控屏等。支持单点和多点触控操作是指触控显示器能感应到来自该触控显示器上一个或多个位置处同时产生的触控操作,并将该感应到的触控操作交由处理器进行计算和处理。在本申请实施例中,显示单元116可以显示构建的蜜网的结构以及其中各节点的业务交互状态等多种信息。
本实施例中的电子设备可以用于执行本申请实施例提供的各个蜜网构建方法中的各个步骤。下面通过几个实施例详细描述蜜网构建方法的实现过程。
请参阅图2,图2为本申请实施例提供的一种蜜网构建方法的流程示意图,该方法还可以包括步骤S200-S400。
步骤S200,确定待保护网络的网络信息。
其中,为了构建与待保护网络相似度较高的蜜网,可以获取反映待保护网络真实情况的网络信息。获取的方式可以为对待保护网络进行扫描,也可以为从待保护网络中采集相关的信息等其他方式。
可选地,网络信息为反映待保护网络的真实业务***的网络情况的数据,可以包含待保护网络中存活的真实主机对应的真实节点、真实节点的目标网络地址、目标网络地址开放的目标网络端口、目标网络服务、目标操作***等多种信息中的一种或多种。
可选地,还可以先从多个网络中确定用户当前需要进行保护的待保护网络,用户可以在使用的用户终端上输入待保护网络,从而使电子设备端能够接收用户确定的待保护网络。
步骤S300,根据网络信息在模板库中进行匹配,确定对应的目标业务***模板。
其中,模板库中可以包括多个不同的业务***模板,通过网络信息与多个业务***模板进行对比,能够匹配到与网络信息相似度较高的业务***模板作为目标业务***模板。
可选地,目标业务***模板中可以包括网络中各个节点的信息以及各节点之间进行数据交互的虚拟业务信息。
步骤S400,基于目标业务***模板,构建待保护网络对应的蜜网。
其中们可以根据目标业务***模板中的节点信息以及各节点之间的业务信息,构建网络结构与待保护网络相似,且具有虚拟业务***,各节点之间能够模拟发送业务数据的虚拟业务***的蜜网。
在图2所示的实施例中,能够从结构以及业务多方面提高了蜜网对用户使用的真实的待保护网络进行伪装时的伪装效果和仿真能力,从而提高了蜜网对攻击者的诱捕效率,提高用户使用网络时的安全性。
可选地,请参阅图3,图3为本申请实施例提供的一种步骤S300的详细流程示意图,步骤S300中还可以包括步骤S310-S320。
步骤S310,将网络信息与模板库中的多个业务***模板分别进行对比,得到多个相似度。
其中,可以将待保护网络的网络信息与模板库中的多个历史的业务***模板依次进行对比,从而获取网络信息与每一个业务***模板之间的相似度。
步骤S320,将相似度达到阈值的业务***模板作为与待保护网络匹配的目标业务***模板。
其中,阈值可以为预先设置好的相似度阈值,例如98%等,可以将相似度超过该阈值的业务***模板作为与网络信息对应的目标业务***模板。通过对相似度的值进行了限定,能够有效地提高目标业务***模板与待保护网络的网络结构和真实业务***之间的相似性,减少目标业务***模板与待保护网络相似度较低时构建的蜜网的伪装效果和仿真能力较差的不利影响。
可选地,当有多个相似度超过阈值时,可以选择其中相似度最高的业务***模板作为目标业务***模板;还可以直接以相似度最高的业务***模板作为目标业务***模板。
在图3所示的实施例中,能够在模板库中对多个业务***模板中进行筛选,提高了目标业务***模板的有效性。
可选地,请参阅图4,图4为本申请实施例提供的一种步骤S400的详细流程示意图,步骤S400中还可以包括步骤S410-S440。
步骤S410,根据目标业务***模板确定相应的目标节点和目标节点网络信息。
其中,可以先确定目标业务***模板中网络结构的相关数据,即目标业务***模板中存在的相应数量的目标节点和目标节点网络信息。目标节点网络信息可以包括:目标节点的目标节点网络地址、目标节点网络地址开放的目标节点端口、目标节点服务、目标节点操作***等多种信息中的一种或多种。
步骤S420,基于目标节点新建虚拟主机。
其中,可以根据目标节点自动构建并启动相应的虚拟主机,例如,在目标节点为两个节点时,可以新建并启动2台对应的虚拟主机,可以记为虚拟OA节点1以及虚拟OA节点2。
步骤S430,在虚拟主机中配置对应的目标节点网络信息。
其中,为了使虚拟主机中的网络结构与待保护网络中的相似,可以在虚拟主机中配置每个节点相应的目标节点网络信息。例如,在虚拟OA节点1以及虚拟OA节点2中配置目标节点网络地址、目标节点网络地址开放的目标节点端口、目标节点服务、目标节点操作***等相关信息。
步骤S440,对虚拟主机进行业务配置,以得到待保护网络对应的蜜网。
其中,为了使多个节点能够进行模拟的数据交互,可以在目标节点网络信息的基础上对虚拟主机进行虚拟的业务配置,在配置完成后可以启动多个目标节点进行工作,从而构建与待保护网络的结构相似且具有虚拟业务***的蜜网。
可选地,在构建蜜网时,还可以对蜜网的名称、所属的单位名称、区域、规模等进行限定。
在图4所示的实施例中,有效地提高了蜜网与待保护网络结构上的相似性以及业务上的仿真能力。
可选地,请参阅图5,图5为本申请实施例提供的一种步骤S440的详细流程示意图,步骤S440中还可以包括步骤S441-S442。
步骤S441,确定目标业务***模板中的目标业务数据。
其中,目标业务数据可以为构建目标业务***模板时配置的多种参数数据,目标业务数据可以包括目标业务报文和目标交互频次等多种业务相关信息中的一种或多种。
示例地,目标业务报文可以为进行虚拟业务交互的报文数据,例如新建的OA长数据、登录OA***的登录信息、查询的OA用户的相关数据等;目标交互频次可以为对目标业务报文进行交互的频率或周期数据,例如每30分钟对目标业务报文进行发送和接收等。
步骤S442,在虚拟主机中配置对应的目标业务数据,以使目标节点进行模拟数据交互,得到待保护网络对应的包括虚拟主机的蜜网。
其中,根据目标业务数据在虚拟业务***中的多个目标节点网络信息的基础上进行虚拟业务地配置,能够使各个目标节点所对应的虚拟主机能够以对应的目标交互频次对相应的目标业务报文进行模拟的数据交互,例如每30分钟在虚拟主机中的虚拟OA节点1和虚拟OA节点2中发送一次业务数据报文等。
在图5所示的实施例中,通过在构建蜜网时在各个节点中增加虚拟的业务交互,能够增加各个目标节点之间虚拟业务的关联性,使包括一个或多个虚拟主机的蜜网具有虚拟业务,有效地提高了蜜网的仿真能力和伪装效果。
可选地,请参阅图6,图6为本申请实施例提供的一种步骤S200的详细流程示意图,步骤S200中还可以包括步骤S210-S220。
步骤S210,提取待保护网络中的扫描网段。
其中,由于电子设备中接收的用户上传或确定的需要进行保护的待保护网络中可能具有多个网段,为了提高获取的网络信息的效率,可以对待保护网络中的信息进行提取,以获取关键的扫描网段。
示例地,当待保护网络为10.7.212.227-10.7.212.236时,则提取的关键的扫描网段可以为10.36.3.xx等。
步骤S220,根据扫描算法对扫描网段进行扫描,以识别出扫描网段中的网络信息。
其中,可以根据自动探测网络工具中的扫描算法,例如namp工具对扫描网段进行扫描,以识别出待保护网络中存在的真实的网络结构和业务***。示例地,扫描得到的网络信息可以包括扫描网段中存在的真实节点、真实节点对应的目标网络地址、目标网络地址开放的目标网络端口、目标网络服务、目标操作***等反映待保护网络中真实的网络结构和业务情况的多种信息中的一种或多种。
可选地,在进行扫描时,还可以对扫描过程中的扫描进度,以及扫描识别到的多种网络信息进行显示,以供工作人员进行查看和操作。
在图6所示的实施例中,能够快速、准确地扫描获取反映待保护网络实际结构的网络信息,适用于多种不同的待保护网络,满足多种用户的不同需求。
可选地,可以根据网络模板创建业务***模板,以多个业务***模板作为模板库。能够在模板库中添加多种不同结构的业务***模板,从而提高了匹配时的成功率。
示例地,请参阅图7,图7为本申请实施例提供的另一种蜜网构建方法的流程示意图,该方法还可以包括步骤S510-530。
步骤S510,确定网络模板中的多个历史节点、历史节点网络信息和历史业务数据。
其中,在构建对应的业务***模板时,可以先获取历史的网络模板,并对网络模板进行扫描等处理,以获取反映网络模板的网络结构和业务***的多个数量的历史节点、历史节点上对应的历史节点网络信息和历史业务数据等。历史节点网络信息可以包括历史节点的历史节点网络地址、历史节点网络地址开放的历史节点端口、历史节点服务、历史节点操作***等反映网络模板中的网络结构以及业务情况的多种数据中的一种或多种,历史业务数据可以包括历史业务报文和历史交互频次等于网络模板的业务相关信息中的一种或多种。
可选地,可以从网络的数据库中获取历史的网络模板。
步骤S520,在多个历史节点中配置对应的历史节点网络信息。
其中,可以在网络模板中存在的多个历史节点中配置对应的历史节点网络信息,示例地,在具有两个历史节点时,可以在历史节点1中配置开放80节点端口并提供相应的http节点服务,将历史操作***设置为linux***;在历史节点2中配置开发3306节点端口并提供相应的mysql节点服务,讲历史操作***设置为linux***等。
步骤S530,在多个历史节点中配置对应的历史业务数据,以得到业务***模板。
其中,还可以在历史节点网络信息的基础上将网络模板中的历史业务***中的历史业务数据配置到对应的历史节点中,从而创建得到具有网络结构信息和业务***信息的业务***模板。
示例地,可以根据历史业务数据中的历史业务报文和历史交互频次进行相应地业务配置,例如配置为每30分钟对历史业务报文进行发送或接收等。
在图7所示的实施例中,能够从网络结构以及业务交互两个方面配置业务***模板,提高了业务***模板的真实性和节点之间业务的关联性。
请参阅图8,图8为本申请实施例提供的一种蜜网构建装置的结构示意图,蜜网构建装置600中可以包括:
确定模块610,用于确定待保护网络的网络信息;
匹配模块620,用于根据网络信息在模板库中进行匹配,确定对应的目标业务***模板;
构建模块630,用于基于目标业务***模板,构建待保护网络对应的蜜网。
在一可选的实施方式中,匹配模块620中还可以包括对比子模块和匹配子模块;
对比子模块,用于将网络信息与模板库中的多个业务***模板分别进行对比,得到多个相似度;
匹配子模块,用于将相似度达到阈值的业务***模板作为与待保护网络匹配的目标业务***模板。
在一可选的实施方式中,构建模块630中还可以包括节点子模块、主机子模块和配置子模块;
节点子模块,用于根据目标业务***模板确定相应的目标节点和目标节点网络信息,其中,目标节点网络信息包括:目标节点的目标节点网络地址、目标节点网络地址开放的目标节点端口、目标节点服务、目标节点操作***中的至少一种;
主机子模块,用于基于目标节点新建虚拟主机;
配置子模块,用于在虚拟主机中配置对应的目标节点网络信息;对虚拟主机进行业务配置,以得到待保护网络对应的蜜网。
在一可选的实施方式中,配置子模块中还可以包括业务子单元,用于确定目标业务***模板中的目标业务数据,其中,目标业务数据包括:目标业务报文和目标交互频次中的至少一种;在虚拟主机中配置对应的目标业务数据,以使目标节点进行模拟数据交互,得到待保护网络对应的包括虚拟主机的蜜网。
在一可选的实施方式中,确定模块610中还可以包括提取子模块和扫描子模块;
提取子模块,用于提取待保护网络中的扫描网段;
扫描子模块,用于根据扫描算法对扫描网段进行扫描,以识别出扫描网段中的网络信息,其中,网络信息包括:扫描网段中存在的真实节点、真实节点对应的目标网络地址、目标网络地址开放的目标网络端口、目标网络服务、目标操作***中的至少一种。
在一可选的实施方式中,蜜网构建装置600中还可以包括模板创建模块,用于根据网络模板创建业务***模板,以多个业务***模板作为模板库。
在一可选的实施方式中,模板创建模块中还可以包括模板节点子模块和模板配置子模块;
模板节点子模块,用于确定网络模板中的多个历史节点、历史节点网络信息和历史业务数据,其中,历史节点网络信息包括:历史节点的历史节点网络地址、历史节点网络地址开放的历史节点端口、历史节点服务、历史节点操作***中的至少一种,历史业务数据包括:历史业务报文和历史交互频次中的至少一种;
模板配置子模块,用于在多个历史节点中配置对应的历史节点网络信息;在多个历史节点中配置对应的历史业务数据,以得到业务***模板。
由于本申请实施例中的蜜网构建装置600解决问题的原理与前述的蜜网构建方法的实施例相似,因此本实施例中的蜜网构建装置600的实施可以参见上述蜜网构建方法的实施例中的描述,重复之处不再赘述。
本申请实施例还提供了一种计算机可读取存储介质,可读取存储介质中存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本实施例提供的蜜网构建方法中任一项方法中的步骤。
综上所述,本申请实施例提供了一种蜜网构建方法、装置、电子设备及计算机可读取存储介质,通过待保护网络的网络信息匹配相应的业务***模板,从而根据业务***模板的网络结构和业务交互构建对应的蜜网,从结构以及业务多方面提高了蜜网对用户使用的真实的待保护网络进行伪装时的伪装效果和仿真能力,从而提高了蜜网对攻击者的诱捕效率,提高用户使用网络时的安全性。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的框图显示了根据本申请的多个实施例的设备的可能实现的体系架构、功能和操作。在这点上,框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图中的每个方框、以及框图的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种蜜网构建方法,其特征在于,所述方法包括:
确定待保护网络的网络信息;
根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板;
基于所述目标业务***模板,构建所述待保护网络对应的蜜网;
其中,所述方法还包括:根据网络模板创建业务***模板,以多个所述业务***模板作为所述模板库;
所述根据网络模板创建业务***模板,包括:确定所述网络模板中的多个历史节点、历史节点网络信息和历史业务数据,其中,所述历史节点网络信息包括:所述历史节点的历史节点网络地址、所述历史节点网络地址开放的历史节点端口、历史节点服务、历史节点操作***中的至少一种,所述历史业务数据包括:历史业务报文和历史交互频次中的至少一种;在多个所述历史节点中配置对应的所述历史节点网络信息;在多个所述历史节点中配置对应的所述历史业务数据,以得到所述业务***模板;
其中,所述目标业务***模板中包括网络中各个节点的信息以及各节点之间进行数据交互的虚拟业务信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板,包括:
将所述网络信息与所述模板库中的多个业务***模板分别进行对比,得到多个相似度;
将所述相似度达到阈值的所述业务***模板作为与所述待保护网络匹配的所述目标业务***模板。
3.根据权利要求1所述的方法,其特征在于,所述基于所述目标业务***模板构建所述待保护网络对应的蜜网,包括:
根据所述目标业务***模板确定相应的目标节点和目标节点网络信息,其中,所述目标节点网络信息包括:所述目标节点的目标节点网络地址、所述目标节点网络地址开放的目标节点端口、目标节点服务、目标节点操作***中的至少一种;
基于所述目标节点新建虚拟主机;
在所述虚拟主机中配置对应的所述目标节点网络信息;
对所述虚拟主机进行业务配置,以得到所述待保护网络对应的蜜网。
4.根据权利要求3所述的方法,其特征在于,所述对所述虚拟主机进行业务配置,以得到所述待保护网络对应的蜜网,包括:
确定所述目标业务***模板中的目标业务数据,其中,所述目标业务数据包括:目标业务报文和目标交互频次中的至少一种;
在所述虚拟主机中配置对应的所述目标业务数据,以使所述目标节点进行模拟数据交互,得到所述待保护网络对应的包括所述虚拟主机的所述蜜网。
5.根据权利要求1所述的方法,其特征在于,所述确定待保护网络的网络信息,包括:
提取所述待保护网络中的扫描网段;
根据扫描算法对所述扫描网段进行扫描,以识别出所述扫描网段中的所述网络信息,其中,所述网络信息包括:所述扫描网段中存在的真实节点、所述真实节点对应的目标网络地址、所述目标网络地址开放的目标网络端口、目标网络服务、目标操作***中的至少一种。
6.一种蜜网构建装置,其特征在于,所述装置包括:
确定模块,用于确定待保护网络的网络信息;
匹配模块,用于根据所述网络信息在模板库中进行匹配,确定对应的目标业务***模板;
构建模块,用于基于所述目标业务***模板,构建所述待保护网络对应的蜜网;
模板创建模块,用于根据网络模板创建业务***模板,以多个所述业务***模板作为所述模板库;
所述模板创建模块包括模板节点子模块和模板配置子模块;所述模板节点子模块,用于确定所述网络模板中的多个历史节点、历史节点网络信息和历史业务数据,其中,所述历史节点网络信息包括:所述历史节点的历史节点网络地址、所述历史节点网络地址开放的历史节点端口、历史节点服务、历史节点操作***中的至少一种,所述历史业务数据包括:历史业务报文和历史交互频次中的至少一种;所述模板配置子模块,用于在多个所述历史节点中配置对应的所述历史节点网络信息;在多个所述历史节点中配置对应的所述历史业务数据,以得到所述业务***模板;
其中,所述目标业务***模板中包括网络中各个节点的信息以及各节点之间进行数据交互的虚拟业务信息。
7.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器中存储有程序指令,所述处理器运行所述程序指令时,执行权利要求1-5中任一项所述方法中的步骤。
8.一种计算机可读取存储介质,其特征在于,所述可读取存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器运行时,执行权利要求1-5任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210836372.2A CN115208670B (zh) | 2022-07-15 | 2022-07-15 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210836372.2A CN115208670B (zh) | 2022-07-15 | 2022-07-15 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208670A CN115208670A (zh) | 2022-10-18 |
| CN115208670B true CN115208670B (zh) | 2023-10-13 |
Family
ID=83582705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210836372.2A Active CN115208670B (zh) | 2022-07-15 | 2022-07-15 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208670B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护***及方法 |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和*** |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及***、计算机可读存储介质 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及*** |
| US11050787B1 (en) * | 2017-09-01 | 2021-06-29 | Amazon Technologies, Inc. | Adaptive configuration and deployment of honeypots in virtual networks |
| CN113067728A (zh) * | 2021-03-17 | 2021-07-02 | 中国人民解放军海军工程大学 | 一种网络安全攻防试验平台 |
| CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
| CN114221815A (zh) * | 2021-12-16 | 2022-03-22 | 北京国腾创新科技有限公司 | 一种基于编排蜜网的入侵检测方法、存储介质及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060101516A1 (en) * | 2004-10-12 | 2006-05-11 | Sushanthan Sudaharan | Honeynet farms as an early warning system for production networks |
| US8260588B2 (en) * | 2009-10-16 | 2012-09-04 | Oracle America, Inc. | Virtualizing complex network topologies |
-
2022
- 2022-07-15 CN CN202210836372.2A patent/CN115208670B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护***及方法 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
| US11050787B1 (en) * | 2017-09-01 | 2021-06-29 | Amazon Technologies, Inc. | Adaptive configuration and deployment of honeypots in virtual networks |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和*** |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及***、计算机可读存储介质 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及*** |
| CN113067728A (zh) * | 2021-03-17 | 2021-07-02 | 中国人民解放军海军工程大学 | 一种网络安全攻防试验平台 |
| CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
| CN114221815A (zh) * | 2021-12-16 | 2022-03-22 | 北京国腾创新科技有限公司 | 一种基于编排蜜网的入侵检测方法、存储介质及*** |
Non-Patent Citations (2)
| Title |
|---|
| 向全青 ; .基于网络扫描技术的动态蜜罐网络设计与实现.信息技术.2013,(第06期),全文. * |
| 张涛 ; 芦斌 ; 李玎 ; 何康 ; .一种基于软件定义网络的主机指纹抗探测模型.信息网络安全.2020,(07),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208670A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
| EP1559008B1 (en) | Method for risk detection and analysis in a computer network | |
| US11487880B2 (en) | Inferring security incidents from observational data | |
| CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
| CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
| CN113014597A (zh) | 蜜罐防御*** | |
| Arfeen et al. | Endpoint detection & response: A malware identification solution | |
| CN100568876C (zh) | 用于操作数据处理***的方法和用于处理无线通信的设备 | |
| CN114422255A (zh) | 一种云安全模拟检测***及检测方法 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| CN115277068B (zh) | 一种基于欺骗防御的新型蜜罐***及方法 | |
| CN113726790A (zh) | 网络攻击源的识别和封堵方法、***、装置及介质 | |
| CN112532636A (zh) | 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置 | |
| CN115208670B (zh) | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 | |
| CN115801431A (zh) | 一种威胁自动溯源方法、***、设备及介质 | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| EP3964987A1 (en) | Learning device, determination device, learning method, determination method, learning program, and determination program | |
| Liu et al. | A goal-oriented approach for modeling and analyzing attack graph | |
| CN115460002B (zh) | 一种蜜网动态部署方法及*** | |
| CN115296909B (zh) | 获得目标蜜罐***的方法、装置、介质和攻击响应方法 | |
| Bouafia et al. | Game theory approach for analysing attack graphs | |
| US20230379361A1 (en) | System and method for generating cyber threat intelligence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |