CN116015860A - 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 - Google Patents
基于蜜罐技术的网络资产仿真方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN116015860A CN116015860A CN202211676206.7A CN202211676206A CN116015860A CN 116015860 A CN116015860 A CN 116015860A CN 202211676206 A CN202211676206 A CN 202211676206A CN 116015860 A CN116015860 A CN 116015860A
- Authority
- CN
- China
- Prior art keywords
- service
- target
- target network
- honeypot
- network asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000004088 simulation Methods 0.000 title claims abstract description 30
- 238000005516 engineering process Methods 0.000 title claims abstract description 27
- 235000012907 honey Nutrition 0.000 claims abstract description 87
- 238000004891 communication Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种基于蜜罐技术的网络资产仿真方法、装置、设备及介质,所述方法包括:获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;如果是,将该目标网络资产绑定至目标蜜罐服务上。采用该方法,在仿真网络资产时可以通过匹配蜜罐***中已有的蜜罐服务与目标网络服务,直接利用匹配蜜罐***中已有的蜜罐服务仿真网络资产,而不需要每次都创建蜜罐服务,从而节省了仿真网络资产的时间,实现快速仿真。
Description
技术领域
本公开涉及蜜罐技术领域,尤其涉及一种基于蜜罐技术的网络资产仿真方法、装置、设备及介质。
背景技术
蜜罐技术是一种对攻击方进行欺骗的技术。防御方利用预先设置的***或网络漏洞,诱导攻击方对这些***或网络漏洞进行攻击,从而获取并分析攻击方的攻击方法,使防御方能够清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。
网络资产是指计算机网络中使用的各种设备,主要包括主机、网络设备和安全设备等。通常需要利用蜜罐技术仿真出网络资产,用于诱导攻击方对仿真的网络资产进行攻击,从而通过分析攻击方针对网络资产的攻击手段制定出相应的防止攻击的方法,提高网络资产的安全防护能力。
目前利用蜜罐技术仿真某个网络的网络资产的方式主要为:用户提前获取该网络的拓扑情况和网段内的服务开放情况,然后创建带有安全漏洞的蜜罐服务,然后再将网络资产绑定到所创建的蜜罐服务上。
然而,采用现有的仿真网络资产的方法很难实现快速仿真大量的网络资产数据的需求。因此,如何实现快速仿真大量网络资产成为了一个亟待解决的问题。
发明内容
本公开提供了基于蜜罐技术的网络资产仿真方法、装置、设备及介质,以至少解决现有技术中存在的以上技术问题。
根据本公开的第一方面,提供了一种基于蜜罐技术的网络资产仿真方法,所述方法包括:
获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;
针对每一目标网络资产,基于该目标网络资产对应的服务信息和所述属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;
如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
在一可实施方式中,所述属性信息包括:目标网络资产IP、所属网段和MAC地址;所述服务信息包括:所述目标网络服务的服务端口和服务配置信息。
在一可实施方式中,在所述将该目标网络资产绑定至所述目标蜜罐服务上之前,所述方法还包括:
基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比;
基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合;其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致;
所述将所述目标网络资产绑定至所述目标蜜罐服务,包括:
创建与该目标网络资产对应的仿真网络资产;
将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,在所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定之前,所述方法还包括:
生成与各个目标网络资产的MAC地址相对应的模拟网络地址;
所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定,包括:
基于该仿真网络资产所对应的目标网络资产的MAC地址,将该目标网络资产与该MAC地址对应的模拟网络地址进行绑定;
将绑定了模拟网络地址的该仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,所述方法还包括:
如果所述蜜罐***中预先生成的各个蜜罐服务中不存在与所述目标网络服务相匹配的目标蜜罐服务,则将该目标网络资产绑定至所述目标蜜罐服务的任一端口应答服务。
根据本公开的第二方面,提供了一种基于蜜罐技术的网络资产仿真装置,所述装置包括:
信息获取模块,用于获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;
匹配模块,用于针对每一目标网络资产,基于该目标网络资产对应的服务信息和所述属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;
绑定模块,用于如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
在一可实施方式中,所述属性信息包括:目标网络资产IP、所属网段和MAC地址;所述服务信息包括:所述目标网络服务的服务端口和服务配置信息。
在一可实施方式中,所述装置还包括:
服务组合确定模块,用于基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比;基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合;其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致;
所述绑定模块,具体用于创建与该目标网络资产对应的仿真网络资产;将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,所述装置还包括:
模拟地址生成模块,用于生成与各个目标网络资产的MAC地址相对应的模拟网络地址;
所述绑定模块,具体用于基于该仿真网络资产所对应的目标网络资产的MAC地址,将该目标网络资产与该MAC地址对应的模拟网络地址进行绑定;将绑定了模拟网络地址的该仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,所述绑定模块,还用于如果所述蜜罐***中预先生成的各个蜜罐服务中不存在与所述目标网络服务相匹配的目标蜜罐服务,则将该目标网络资产绑定至所述目标蜜罐服务红的任一端口应答服务。
采用本公开实施例提供的方法,获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;如果是,将该目标网络资产绑定至所述目标蜜罐服务上。即本公开的方法在仿真网络资产时可以通过匹配蜜罐***中已有的蜜罐服务与目标网络服务,直接利用匹配蜜罐***中已有的蜜罐服务仿真网络资产,而不需要每次都创建蜜罐服务,从而节省了仿真网络资产的时间,与现有技术相比,可以在需要仿真的网络资产的数量比较大的情况下,实现快速仿真。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
通过参考附图阅读下文的详细描述,本公开示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本公开的若干实施方式,其中:
在附图中,相同或对应的标号表示相同或对应的部分。
图1示出了本公开实施例提供的基于蜜罐技术的网络资产仿真方法的一种实现流程示意图;
图2示出了本公开实施例提供的一种将仿真网络资产与蜜罐服务进行绑定的流程图;
图3示出了本公开实施例提供的基于蜜罐技术的网络资产仿真装置的一种结构示意图;
图4示出了本公开实施例一种电子设备的组成结构示意图。
具体实施方式
为使本公开的目的、特征、优点能够更加的明显和易懂,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而非全部实施例。基于本公开中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
由于现有的仿真网络资产的方法很难实现快速仿真大量的网络资产数据的需求。因此,为了实现快速仿真大量网络资产,本公开实施例提供的了一种基于蜜罐技术的网络资产仿真方法、装置、设备及介质。本公开提供的基于蜜罐技术的网络资产仿真方法可以应用于能够进行网络资产仿真的电子设备,如电脑、手机和服务器等。
下面将结合本公开实施例中的附图,对本公开实施例的技术方案进行描述。
图1示出了本公开实施例提供的基于蜜罐技术的网络资产仿真方法的一种实现流程示意图。如图1所示,所述方法包括:
S101,获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息。
本公开中,可以使用Nmap(etwork Mapper,网络映射器)或Masscan(互联网端口扫描器)等工具探测处于活跃状态的目标网络资产。目标网络资产包括但不限于:网站、应用程序、微信小程序、路由器、交换机、网关、防火墙和WAF(Web Application Firewall,网络应用防护***)等。
本公开中,各个目标网络资产的属性信息可以包括:目标网络资产IP、所属网段和MAC地址。所开放的目标网络服务的服务信息可以包括:所述目标网络服务的服务端口和服务配置信息。
本公开中,目标网段可以为指定区域的网络,如A公司的内网或B公司的内网等。
S102,针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,确定所述蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务。
蜜罐***是一种在互联网上运行的计算机***,蜜罐***是专门为吸引并那些通过非正常方式闯入他人计算机***的人(如电脑黑客)而设计的。蜜罐***是一个包含漏洞的***,它通过模拟一个或多个易受攻击的网络资产(如主机和交换机等),给攻击者提供一个容易攻击的目标。
本公开中,用户可以预先在蜜罐***针对一些指定网段进行仿真配置,创建与这些指定网段一致的仿真资产。例如,指定网段A包括网络资产1-11,则用户可以预先在蜜罐***中创建蜜罐信息分别与指定网段A的网络资产1-11的MAC地址、所属网段、开放的服务名称、端口、版本信息和设备类型等信息一致的多个蜜罐服务。
当蜜罐***的蜜罐主机在利用Nmap或Masscan等工具探测出处于活跃状态的目标网络资产后,可以针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,例如,可以利用该目标网络资产对应的MAC地址、所属网段、开放的服务名称、端口、版本信息和设备类型等信息,查找蜜罐***中预先生成的各个蜜罐服务中,是否存在蜜罐信息与该目标网络服务的服务信息和属性信息相匹配的目标蜜罐服务,如果存在,将该目标网络资产绑定至与该目标网络服务的服务信息和属性信息相匹配的目标蜜罐服务上。
S103,如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
采用本公开实施例提供的方法,获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;如果是,将该目标网络资产绑定至所述目标蜜罐服务上。即本公开的方法在仿真网络资产时可以通过匹配蜜罐***中已有的蜜罐服务与目标网络服务,直接利用匹配蜜罐***中已有的蜜罐服务仿真网络资产,而不需要每次都创建蜜罐服务,从而节省了仿真网络资产的时间,与现有技术相比,可以在需要仿真的网络资产的数量比较大的情况下,实现快速仿真。
在一可实施方式中,在所述将该目标网络资产绑定至所述目标蜜罐服务上之前,所述基于蜜罐技术的网络资产仿真方法还包括如下步骤A1-A2:
步骤A1,基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比。
本步骤中,可以根据各个目标网段的服务信息,如服务端口和服务配置信息,确定各个目标网络服务出现的次数。例如,根据服务端口和服务配置信息可以确定出目标网段中包括目标网络服务“Nginx服务”和目标网络服务“MySQL服务”,其中,目标网络服务“Nginx服务”出现的次数为10次,目标网络服务“MySQL服务”出现的次数为2次。则可以统计目标网段所开放的目标网络服务“Nginx服务”的占比=10/(10+2)*100%=83.3%,目标网段所开放的目标网络服务“MySQL服务”的占比=2/(10+2)*100%=16.7%。
步骤A2,基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合。
其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致。
本步骤中,可以各个根据目标网络服务的占比,确定出所包括的各个类型的目标蜜罐服务的占比与对应的各个类型目标网络服务的占比一致的蜜罐服务组合。例如,若目标网络服务“Nginx服务”的占比为83.3%,目标网络服务“MySQL服务”的占比为16.7%,“Nginx服务”对应目标蜜罐服务A,“MySQL服务”对应目标蜜罐服务B,则可以确定出目标蜜罐服务A占比为83.3%、目标蜜罐服务B占比为16.7%的蜜罐服务组合。
则所述将所述目标网络资产绑定至所述目标蜜罐服务的步骤,可以包括如下步骤B1-B2:
步骤B1,创建与该目标网络资产对应的仿真网络资产。
具体的,可以仿真出属性信息与该目标网络资产的属性信息一致的仿真网络资产。例如,若该目标网络资产为主机A,主机A的属性信息包括IP是“196.108.0.127”、所属网段是“目标网段A”、MAC地址为“08:00:20:0A:8C:6C”。则可以仿真出IP是“196.108.0.127”、所属网段为“目标网段A”以及MAC地址为“08:00:20:0A:8C:6C”的仿真网络资产,作为主机A对应的仿真网络资产。
步骤B2,将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
可以将每个目标网络资产对应的仿真网络资产与蜜罐服务组合中与目标网络资产匹配的目标蜜罐服务进行绑定。
具体的,本公开中,在所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定之前,所述方法还包括:生成与各个目标网络资产的MAC地址相对应的模拟网络地址。其中,模拟网络地址即模拟MAC地址。本公开中可以根据各个目标网络资产的MAC地址,仿真出与各个目标网络资产的MAC地址相对应的模拟MAC地址。
基于各个目标网络资产对应的模拟MAC地址,图2示出了本公开实施例提供的一种将仿真网络资产与蜜罐服务进行绑定的流程图,如图2所示,所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定,可以包括:
S201,基于该仿真网络资产所对应的目标网络资产的MAC地址,将该目标网络资产与该MAC地址对应的模拟网络地址进行绑定。
具体的,将目标网络资产对应的仿真网络资产,与该目标网络资产的MAC地址所对应的模拟网络地址进行绑定。
S202,将绑定了模拟网络地址的该仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
举例说明,若目标网络资产A在所述蜜罐服务组合中匹配的蜜罐服务是目标蜜罐服务X,目标网络资产A对应的仿真资产为仿真网络资产M,且目标网络资产A的MAC地址对应的模拟网络地址为地址“08:02:00:0A:8C:6B”,且仿真网络资产M与地址“08:02:00:0A:8C:6B”进行了绑定,则本步骤中可以将仿真网络资产M与蜜罐服务组合中的目标蜜罐服务X进行绑定。
在一可实施方式中,所述基于蜜罐技术的网络资产仿真方法还包括如下步骤C1:
步骤C1,如果所述蜜罐***中预先生成的各个蜜罐服务中不存在与所述目标网络服务相匹配的目标蜜罐服务,则将该目标网络资产绑定至所述目标蜜罐服务的任一端口应答服务。
本公开中,如果蜜罐***中预先生成的各个蜜罐服务中不存在与目标网络服务相匹配的目标蜜罐服务,可以将该目标网络资产绑定至目标蜜罐服务的任一端口应答服务,然后针对所绑定的目标蜜罐服务,创建与目标网络服务一致的仿真网络资产,例如,创建MAC地址、所属网段、开放的服务名称、端口、版本信息和设备类型等信息与目标网络服务一致的仿真网络资产,提高目标蜜罐服务与目标网络服务的仿真度。
采用本公开实施例提供的方法,可以有效地解决用户仿真资产速度慢并且绑定繁琐的问题,节省人力物力资源。
基于同一发明构思,根据本公开上述实施例提供的基于蜜罐技术的网络资产仿真方法,相应地,本公开另一实施例还提供了一种基于蜜罐技术的网络资产仿真装置,其结构示意图如图3所示,具体包括:
信息获取模块301,用于获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;
匹配模块302,用于针对每一目标网络资产,基于该目标网络资产对应的服务信息和所述属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;
绑定模块303,用于如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
采用本公开实施例提供的装置,获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;针对每一目标网络资产,基于该目标网络资产对应的服务信息和属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;如果是,将该目标网络资产绑定至所述目标蜜罐服务上。即本公开的方法在仿真网络资产时可以通过匹配蜜罐***中已有的蜜罐服务与目标网络服务,直接利用匹配蜜罐***中已有的蜜罐服务仿真网络资产,而不需要每次都创建蜜罐服务,从而节省了仿真网络资产的时间,与现有技术相比,可以在需要仿真的网络资产的数量比较大的情况下,实现快速仿真。
在一可实施方式中,所述属性信息包括:目标网络资产IP、所属网段和MAC地址;所述服务信息包括:所述目标网络服务的服务端口和服务配置信息。
在一可实施方式中,所述装置还包括:
服务组合确定模块(图中未示出),用于基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比;基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合;其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致;
所述绑定模块303,具体用于创建与该目标网络资产对应的仿真网络资产;将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,所述装置还包括:
模拟地址生成模块(图中未示出),用于生成与各个目标网络资产的MAC地址相对应的模拟网络地址;
所述绑定模块303,具体用于基于该仿真网络资产所对应的目标网络资产的MAC地址,将该目标网络资产与该MAC地址对应的模拟网络地址进行绑定;将绑定了模拟网络地址的该仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
在一可实施方式中,所述绑定模块303,还用于如果所述蜜罐***中预先生成的各个蜜罐服务中不存在与所述目标网络服务相匹配的目标蜜罐服务,则将该目标网络资产绑定至所述目标蜜罐服务红的任一端口应答服务。
采用本公开实施例提供的装置,可以有效地解决用户仿真资产速度慢并且绑定繁琐的问题,节省人力物力资源。
根据本公开的实施例,本公开还提供了一种电子设备和一种可读存储介质。
图4示出了可以用来实施本公开的实施例的示例电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图4所示,设备400包括计算单元401,其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序,来执行各种适当的动作和处理。在RAM 403中,还可存储设备400操作所需的各种程序和数据。计算单元401、ROM402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理,例如基于蜜罐技术的网络资产仿真方法。例如,在一些实施例中,基于蜜罐技术的网络资产仿真方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由计算单元401执行时,可以执行上文描述的基于蜜罐技术的网络资产仿真方法的一个或多个步骤。备选地,在其他实施例中,计算单元401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行基于蜜罐技术的网络资产仿真方法。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上***(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式***的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本公开的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
以上所述,仅为本公开的具体实施方式,但本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种基于蜜罐技术的网络资产仿真方法,其特征在于,所述方法包括:
获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;
针对每一目标网络资产,基于该目标网络资产对应的服务信息和所述属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;
如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括:目标网络资产IP、所属网段和MAC地址;所述服务信息包括:所述目标网络服务的服务端口和服务配置信息。
3.根据权利要求2所述的方法,其特征在于,在所述将该目标网络资产绑定至所述目标蜜罐服务上之前,所述方法还包括:
基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比;
基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合;其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致;
所述将所述目标网络资产绑定至所述目标蜜罐服务,包括:
创建与该目标网络资产对应的仿真网络资产;
将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
4.根据权利要求3所述的方法,其特征在于,在所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定之前,所述方法还包括:
生成与各个目标网络资产的MAC地址相对应的模拟网络地址;
所述将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定,包括:
基于该仿真网络资产所对应的目标网络资产的MAC地址,将该目标网络资产与该MAC地址对应的模拟网络地址进行绑定;
将绑定了模拟网络地址的该仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
如果所述蜜罐***中预先生成的各个蜜罐服务中不存在与所述目标网络服务相匹配的目标蜜罐服务,则将该目标网络资产绑定至所述目标蜜罐服务的任一端口应答服务。
6.一种基于蜜罐技术的网络资产仿真装置,其特征在于,所述装置包括:
信息获取模块,用于获取目标网段中处于活跃状态的各个目标网络资产的属性信息和所开放的目标网络服务的服务信息;
匹配模块,用于针对每一目标网络资产,基于该目标网络资产对应的服务信息和所述属性信息,确定蜜罐***中预先生成的各个蜜罐服务中是否存在与该目标网络服务相匹配的目标蜜罐服务;
绑定模块,用于如果是,将该目标网络资产绑定至所述目标蜜罐服务上。
7.根据权利要求6所述的装置,其特征在于,所述属性信息包括:目标网络资产IP、所属网段和MAC地址;所述服务信息包括:所述目标网络服务的服务端口和服务配置信息。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
服务组合确定模块,用于基于所述服务信息,统计所述目标网段所开放的目标网络服务中各个类型的目标网络服务的占比;基于所述占比确定包括各个类型的目标蜜罐服务的蜜罐服务组合;其中,所述蜜罐服务组合中各个类型的目标蜜罐服务的占比,与该类型的蜜罐服务所匹配的目标网络服务所对应的占比一致;
所述绑定模块,具体用于创建与该目标网络资产对应的仿真网络资产;将所述仿真网络资产与所述蜜罐服务组合中匹配的目标蜜罐服务进行绑定。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-5中任一项所述的方法。
10.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使计算机执行根据权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211676206.7A CN116015860A (zh) | 2022-12-26 | 2022-12-26 | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211676206.7A CN116015860A (zh) | 2022-12-26 | 2022-12-26 | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116015860A true CN116015860A (zh) | 2023-04-25 |
Family
ID=86029119
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211676206.7A Pending CN116015860A (zh) | 2022-12-26 | 2022-12-26 | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116015860A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116599765A (zh) * | 2023-06-29 | 2023-08-15 | 软极网络技术(北京)有限公司 | 一种蜜罐部署方法 |
-
2022
- 2022-12-26 CN CN202211676206.7A patent/CN116015860A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116599765A (zh) * | 2023-06-29 | 2023-08-15 | 软极网络技术(北京)有限公司 | 一种蜜罐部署方法 |
CN116599765B (zh) * | 2023-06-29 | 2023-12-08 | 软极网络技术(北京)有限公司 | 一种蜜罐部署方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9917860B2 (en) | Visually intuitive interactive network cyber defense | |
US10237296B2 (en) | Automated penetration testing device, method and system | |
US9178906B1 (en) | Detecting and remediating malware dropped by files | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
CN112953938B (zh) | 网络攻击防御方法、装置、电子设备及可读存储介质 | |
JP2019097133A (ja) | 通信監視システム及び通信監視方法 | |
WO2017019717A1 (en) | Dynamic attachment delivery in emails for advanced malicious content filtering | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
Cambiaso et al. | Mobile executions of slow DoS attacks | |
CN116015860A (zh) | 基于蜜罐技术的网络资产仿真方法、装置、设备及介质 | |
US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
CN113312560A (zh) | 群组检测方法、装置及电子设备 | |
CN114726579B (zh) | 防御网络攻击的方法、装置、设备、存储介质及程序产品 | |
CN113839944B (zh) | 应对网络攻击的方法、装置、电子设备和介质 | |
CN113836173B (zh) | 数据的处理方法、装置、电子设备及存储介质 | |
US20210286879A1 (en) | Displaying Cyber Threat Data in a Narrative | |
Al-Amin et al. | Development of Cyber Attack Model for Private Network | |
CN113127855A (zh) | 安全防护***及方法 | |
US10230744B1 (en) | Detecting periodic behavior in a communication session using clustering | |
CN111984893B (zh) | ***日志配置冲突提醒方法、装置及*** | |
CN114338175B (zh) | 数据收集管理***及数据收集管理方法 | |
Yang et al. | Design issues of enhanced DDoS protecting scheme under the cloud computing environment | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
US11503047B2 (en) | Relationship-based conversion of cyber threat data into a narrative-like format |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |