CN101567887A - 一种漏洞拟真超载蜜罐方法 - Google Patents
一种漏洞拟真超载蜜罐方法 Download PDFInfo
- Publication number
- CN101567887A CN101567887A CNA2009101360944A CN200910136094A CN101567887A CN 101567887 A CN101567887 A CN 101567887A CN A2009101360944 A CNA2009101360944 A CN A2009101360944A CN 200910136094 A CN200910136094 A CN 200910136094A CN 101567887 A CN101567887 A CN 101567887A
- Authority
- CN
- China
- Prior art keywords
- leak
- vulnerability
- assailant
- attack
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种漏洞拟真超载蜜罐方法,包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块;当攻击序列到达虚拟蜜罐时,根据情况由虚拟蜜罐系统来进行处理;当攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理;接着,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应;最后,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,所有的攻击过程和相关数据由数据审计模块记录下来并进行综合分析。本方法减小蜜网中硬件设备数量,降低了成本。
Description
所属技术领域
本发明涉及一种漏洞拟真超载蜜罐方法,属于网络信息安全技术领域。
背景技术
蜜罐和蜜网技术的应用是为了能有效的获取网络入侵信息,了解网络入侵的过程和目的以更好的防护。蜜网按交互能力可分为高交互蜜网和低交互蜜网。现在高交互蜜网主要是用真实的主机来组成网络,在真实的主机上安装相应的检测工具,其能获得较完全的入侵信息,但资源要求过高。低交互蜜网主要是虚拟蜜网,在一台主机上用软件虚拟出蜜网,为虚拟的每台主机配置系统信息,其资源要求低,但具有较低的交互能力很容易被攻击者识别出来,其能获得较少关于入侵的信息。
从九十年代初蜜罐概念的提出到1998年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
漏洞模拟是蜜罐技术的重要部分。为了提高蜜网的真实度,可以模拟出各种操作系统及应用软件具有的漏洞,并根据攻击者对蜜网的入侵行为而采取相应的回复,使攻击者能够探测出蜜罐中模拟的漏洞。
对于虚拟蜜罐工具在国内比较少,国外的开源软件有honeyd、mwcollect、nepenthes等。
1、现有漏洞模拟系统主要是根据分析器发出的探测包中是否含有特征码,并返回相应响应特征码的数据包。因此首先要建立漏洞资料数据库,对每一个漏洞必须有探测特征码和响应特征码。漏洞扫描器对目标系统进行扫描,漏洞模拟系统对数据报进行分析,遍历数据库查找是否有与检测特征码匹配的数据报,如果检测到数据报中包含检测特征码,就根据检测特征码找到相应的漏洞信息,并将响应特征码返回扫描器。这样模拟的漏洞可欺骗简单的扫描器,告知系统存在某种漏洞,通过这样的漏洞模拟可以获得较少的入侵信息。
2、honeyd可以模拟少数漏洞,honeyd作为虚拟蜜罐工具通过脚本实现对漏洞的模拟。
3、nepenthes可模拟一些现有的主要漏洞,主要用来捕获恶意软件的攻击。Nepenthes分为:the core、vulnerability modules、shellcode parsingmodules、fetch modules、submission modules。The core控制与网络的接口并协调其他模块;vulnerability modules来模拟网络服务的漏洞;shellcodemodules分析漏洞模块收到的数据,提取有关恶意软件的信息;fetch modules利用提取到的信息来下载恶意软件;最后submission modules将下载的恶意软件保存。
综上所述,现有蜜网中漏洞模拟技术的主要缺点是交互能力低,其模拟漏洞仅能欺骗简单的扫描和探测,很容易被攻击者识破。而且,现有的漏洞模拟技术不能给攻击者提供利用漏洞的机会,无法捕获更进一步的入侵行为。现在高交互蜜网主要是用真实的主机来组成网络,在真实的主机上安装相应的检测工具,其能获得较完全的入侵信息,但资源要求过高。
发明内容
本发明提出一种漏洞拟真超载蜜罐技术,该技术提高了交互的能力,不易被攻击者识破,并通过提供给攻击者进一步利用漏洞的机会,从而记录或捕获到进一步的入侵行为。
整个系统由主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块组成。主机、端口扫描模拟模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统;漏洞攻击欺骗模拟模块在漏洞蜜罐系统上实现;漏洞利用模块在物理蜜罐上实现。
虚拟蜜罐系统根据用户要求配置虚拟主机信息,在一台主机上虚拟出多台虚拟主机,并配置虚拟网络连接信息。在攻击者看来虚拟主机与网络中其它真实的主机并无区别。更方便的是为每台虚拟主机的漏洞进行配置,可为一虚拟主机配置多个不同的漏洞;可以为多台虚拟主机同时提供漏洞模拟功能,引导攻击者误以为可对不同虚拟主机的漏洞进行攻击利用。漏洞蜜罐系统指在虚拟蜜罐系统上配置攻击者可利用的漏洞信息和参数,物理蜜罐系统是真实的主机或服务器,当攻击者利用某个漏洞攻击成功后,物理蜜罐提供攻击者一个数据交互的场所。
主机、端口扫描欺骗模拟模块主要完成对简单扫描器的欺骗;
漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟;
漏洞攻击模拟模块对攻击者对漏洞的攻击进行处理和响应;
漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作信息,
数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录。
整个的方法具体步骤为:
首先,配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虚拟蜜罐系统指配置虚拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形成虚拟蜜网网络拓扑。漏洞蜜罐系统配置攻击者可利用的漏洞信息和参数。物理蜜罐系统配置其系统信息和参数设置。
第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列到达虚拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理。然后攻击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行处理。接下来,攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理。
情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟模块根据配置文件直接进行回复。
情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复。系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理。
第三步,攻击者扫描出虚拟蜜罐系统模拟的不同漏洞之后,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应。
第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成。
以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程和相关数据记录下来,最后,由数据审计模块综合分析整个攻击过程,描述攻击者的入侵方法和意图。
有益效果:
本申请所提供的高交互漏洞模拟技术具有多个优点:
(1)高交互层次的漏洞模拟
用本技术对虚拟主机配置了漏洞后,攻击者从网络中可扫描到系统存在的漏洞。攻击者可以像对真正的漏洞一样来攻击这些虚拟漏洞,然后攻击者可以继续对虚拟主机做一定的操作。其中主机对攻击者的回复都是系统虚拟的,主机中并不存在真实的可被利用的漏洞。在交互中可以获得对整个攻击过程较为完全的掌握。
(2)低交互层次到高交互的灵活转换
攻击者最初进行漏洞的探测与扫描,漏洞拟真超载蜜罐以低交互的方式与其通信。随着获取的蜜罐信息的增多,攻击者开始利用探测的漏洞进行攻击,此时,漏洞拟真超载蜜罐随即提高交互层次,对恶意代码进行捕获,或者提供黑客入侵的环境,使黑客入侵成功,并对其攻击行为进行捕获。
(3)提供大规模的模拟漏洞
超载技术可以同时模拟大量漏洞并提供交互功能。系统设置的多台虚拟主机组成的蜜罐网络,用本技术为每台虚拟主机配置的漏洞可与不同的攻击者同时进行交互。使用少量服务器设备就可以实现大规模蜜罐网络漏洞的模拟。
(4)覆盖范围广
对于已有主要漏洞,通过模拟技术可欺骗对漏洞的访问。对于新发现的系统漏洞,本技术方案采用将攻击数据转发真实主机的方法来处理。这使系统中漏洞具有高交互功能,可处理所有对漏洞的访问数据。
(5)全面捕获蜜网数据流
对出入蜜网的数据进行全面监控,可获得较为完备的入侵者的攻击资料。可获得恶意软件的注入和运行机制。可拦截攻击者以蜜网中主机为跳板对互联网其他主机的攻击,了解攻击者的真正意图。
(6)漏洞拟真超载蜜罐能够在一台服务器或主机上模拟多种不同操作系统、应用软件的漏洞,具有较大的模拟规模,这样可以减小蜜网中硬件设备数量,降低成本。
附图说明
图1一种漏洞拟真超载蜜罐方法的软件组成结构图
图2一种漏洞拟真超载蜜罐方法的攻击序列处理流程图
图3一种漏洞拟真超载蜜罐方法的漏洞模拟实施例拓扑图
图4一种漏洞拟真超载蜜罐方法的实现流程图
具体实施方式:
下面通过一个应用实例来说明本发明的实施方案。在该应用实例中,本系统的网络拓扑结构由虚拟蜜罐、漏洞模拟、物理蜜罐组成。有一台主机与网络相连,在其上按需要虚拟多个虚拟主机,并配置每个虚拟主机的系统及服务情况,为虚拟主机配置漏洞信息。漏洞模拟模块为虚拟主机提供漏洞模拟的功能,并实现与攻击者的交互功能。图中蓝色虚线表示虚拟的网络连接状况,在攻击者看来多个虚拟主机与网络连接并存在相应的漏洞,其与真实的主机并无差别。然而,在与虚拟主机通信时,实际上是与真实主机进行交互,真实主机根据配置来回应访问信息。对虚拟主机上的漏洞进行操作时,真实主机将数据转发给漏洞模拟模块来处理。从攻击方来看,漏洞就是存在于虚拟主机中的,整个过程与真实的一样。
在攻击者访问漏洞过程中,对系统可模拟的漏洞进行的扫描和攻击由漏洞模拟模块直接回复。当攻击者在攻破漏洞后,攻击者通过漏洞继续对目标主机进行操作时,漏洞模拟模块将攻击者的命令转交物理蜜罐来处理。
工作原理:
本技术方案可监控所有进出虚拟蜜网的数据流,其中进入虚拟蜜网的数据由虚拟蜜罐对数据进行分类,其中对漏洞的攻击数据交漏洞模拟模块来处理。
攻击序列处理方案
本技术方案可处理所有对漏洞的攻击,根据攻击的过程和漏洞的特点,将对攻击行为分别进行如下不同的处理。
恶意软件捕获
在攻击者向目标主机注入恶意软件时,本技术可以捕获恶意软件。采用在网络中或在目标主机上截获,并在虚拟环境中运行恶意软件,比较恶意软件运行前后系统的差别。研究恶意软件注入系统的方法和过程,研究攻击者入侵的目的。在恶意软件运行后,监控恶意软件的运行过程及网络数据流,了解恶意软件的作用并分析其特点。
数据监控
监控攻击者对系统进行攻击的整个过程的数据流,分析攻击者入侵的手段和目的。攻击者对虚拟主机中的漏洞进行攻击,在攻击成功后,攻击者可能会利用目标主机去执行某些恶意操作。所以对攻击者与目标主机间的数据流进行监控,对从被控制的虚拟主机发出的数据流过滤,拦截其中的具有危害性的数据流。
漏洞模拟实施例拓扑图如下图1所示:
该蜜罐技术具有以下三个层次:
1.低交互层次:实现对各种不同操作系统、应用软件漏洞的模拟,使得攻击者能够扫描探测到模拟漏洞;
2.中交互层次:在对各种操作系统和软件漏洞模拟的基础上,捕获利用该漏洞传播的恶意代码;
3.高交互层次:在各种漏洞模拟的基础上,引诱利用该漏洞传播的恶意代码,并提供恶意代码执行的环境,使攻击者能够完成发现漏洞、利用漏洞入侵主机的整个过程。
这三个层次是互相联系,逐步深入的。应用这种思想和技术,不但能够模拟各种漏洞,吸引攻击者注意,还能够在蜜网管理者的监控下,提供黑客利用漏洞进行攻击的环境,实现从低到高的交互层次转变。
如图1所示,网络由攻击机、虚拟主机、漏洞模拟、物理蜜罐组成。其中虚拟主机是由一台真实主机虚拟出来的,并且漏洞模拟部分运行在与其相连的另一台主机上,物理蜜罐则与漏洞模拟相连。在攻击机上来扫描网络中存在的主机和相应主机上的服务和漏洞。
整个系统由主机端口扫描欺骗模块、漏洞扫描欺骗模拟模块、漏洞攻击模拟模块、数据审计模块和漏洞利用模块组成。
主机、端口扫描欺骗模拟模块主要完成对简单扫描器的欺骗;
漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟;
漏洞攻击模拟模块对攻击者对漏洞的攻击进行处理和响应;
漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作信息,物理蜜罐系统是真实的主机或服务器,当攻击者利用某个漏洞攻击成功后,物理蜜罐提供攻击者一个数据交互的场所。
数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录。
整个的方法具体步骤为:
首先,配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虚拟蜜罐系统指配置虚拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形成虚拟蜜网网络拓扑。漏洞蜜罐系统配置其可利用的漏洞信息和参数。物理蜜罐系统配置其系统信息和参数设置。在本例中,虚拟蜜罐网络中IP为192.168.2.10的虚拟主机开发FTP服务(21端口),并配置FTP PASS缓冲区溢出漏洞。
第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列到达虚拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理。然后攻击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行处理。接下来,攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理。本例中,攻击者首先扫描探测到192.168.2.10主机存活,开放了21端口,并存在FTP PASS漏洞。
情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟模块根据配置文件直接进行回复。
情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复。系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理。
第三步,攻击者扫描出虚拟蜜罐系统模拟的不同漏洞之后,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应。本例中,攻击者针对FTP PASS漏洞进行攻击。
第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成。本例中,最终攻击者成功利用了FTP PASS漏洞获取了管理员权限。
以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程和相关数据记录下来,最后,综合分析整个攻击过程,描述攻击者的入侵方法和意图。
本发明包括但不限于以上的实施例,凡是在本发明的精神和原则之下进行的任何局部改进,等同替换都将视为在本发明的保护范围之内。
Claims (4)
1.一种漏洞拟真超载蜜罐方法,其特征在于:包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块;主机、端口扫描模拟模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统;漏洞攻击欺骗模拟模块在漏洞蜜罐系统上实现;漏洞利用模块在物理蜜罐上实现;
虚拟蜜罐系统根据用户要求配置虚拟主机信息,在一台主机上虚拟出多台虚拟主机,并配置虚拟网络连接信息;在攻击者看来虚拟主机与网络中其它真实的主机并无区别;漏洞蜜罐系统指在虚拟蜜罐系统上配置攻击者可利用的漏洞信息和参数,物理蜜罐系统是真实的主机或服务器,当攻击者利用某个漏洞攻击成功后,物理蜜罐提供攻击者一个数据交互的场所;
主机、端口扫描欺骗模拟模块完成对简单扫描器的欺骗;
漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟;
漏洞攻击模拟模块对攻击者对漏洞的攻击进行处理和响应;
漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作信息,
数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录。
2.根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于:整个的方法具体步骤为:
首先,配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统,虚拟蜜罐系统指配置虚拟主机的操作系统及端口特性,设置相应虚拟主机中存在的漏洞而形成虚拟蜜网网络拓扑;漏洞蜜罐系统配置攻击者可利用的漏洞信息和参数。物理蜜罐系统配置其系统信息和参数设置;
第二步,在攻击过程中,攻击者首先对目标网络进行扫描。即指攻击序列到达虚拟蜜罐时,根据情况由虚拟蜜罐部分根据网络配置来进行处理,然后攻击者对虚拟主机进行端口扫描,端口扫描由虚拟蜜罐根据端口配置情况来进行处理,接下来,攻击者对虚拟主机进行漏洞扫描,虚拟蜜罐根据漏洞配置信息进行响应处理;
情况A:对于主机或端口扫描,系统利用主机、端口扫描欺骗模拟模块根据配置文件直接进行回复,
情况B:对漏洞的扫描时,系统进行模拟的漏洞则由漏洞模拟模块直接回复;系统匹配漏洞扫描特征码,匹配成功则根据漏洞特征进行回复,即指目标主机的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描,针对开放端口的漏洞扫描信息由漏洞模拟模块根据配置情况进行处理;
第三步,攻击者扫描出虚拟蜜罐系统模拟的不同漏洞之后,会利用这些漏洞进一步攻击,此时,虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统,由漏洞攻击模拟模块对攻击者的漏洞利用攻击进行处理和响应;
第四步,当攻击者利用漏洞攻击成功获取控制权时,则将此时的攻击数据转交至物理蜜罐模块,攻击者与目标主机的交互过程由真实主机来完成;
以上所有过程在回复攻击者之前都经过数据审计模块,将所有的攻击过程和相关数据记录下来,最后,由数据审计模块综合分析整个攻击过程,描述攻击者的入侵方法和意图。
3.根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于:在虚拟蜜罐系统中,在为每台虚拟主机的漏洞进行配置时,能为一个虚拟主机配置多个不同的漏洞。
4.根据权利要求1所述的一种漏洞拟真超载蜜罐方法,其特征在于:在虚拟蜜罐系统中,能多台虚拟主机同时提供漏洞模拟功能,引导攻击者误以为可对不同虚拟主机的漏洞进行攻击利用。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101360944A CN101567887B (zh) | 2008-12-25 | 2009-04-28 | 一种漏洞拟真超载蜜罐方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810188322 | 2008-12-25 | ||
| CN200810188322.8 | 2008-12-25 | ||
| CN2009101360944A CN101567887B (zh) | 2008-12-25 | 2009-04-28 | 一种漏洞拟真超载蜜罐方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101567887A true CN101567887A (zh) | 2009-10-28 |
| CN101567887B CN101567887B (zh) | 2012-05-23 |
Family
ID=41283836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101360944A Expired - Fee Related CN101567887B (zh) | 2008-12-25 | 2009-04-28 | 一种漏洞拟真超载蜜罐方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101567887B (zh) |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
| CN104978520A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种基于实际业务系统的蜜罐数据构造方法及系统 |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN105787370A (zh) * | 2016-03-07 | 2016-07-20 | 成都驭奔科技有限公司 | 一种基于蜜罐的恶意软件收集和分析方法 |
| CN106209839A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN106687974A (zh) * | 2014-09-17 | 2017-05-17 | 三菱电机株式会社 | 攻击观察装置以及攻击观察方法 |
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN108156163A (zh) * | 2017-12-28 | 2018-06-12 | 广州锦行网络科技有限公司 | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 |
| CN108322456A (zh) * | 2018-01-22 | 2018-07-24 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立方法、介质及设备 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络系统的信息安全预警系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| US10341366B2 (en) | 2015-04-29 | 2019-07-02 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| US10412104B2 (en) | 2015-04-29 | 2019-09-10 | International Business Machines Corporation | Data protection in a networked computing environment |
| WO2019179375A1 (zh) * | 2018-03-19 | 2019-09-26 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110505195A (zh) * | 2019-06-26 | 2019-11-26 | 中电万维信息技术有限责任公司 | 虚拟主机的部署方法以及系统 |
| CN110535863A (zh) * | 2019-08-30 | 2019-12-03 | 北京先勤科技有限公司 | 一种车联网通信仿真方法、系统及平台和计算机可读存储介质 |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的系统及方法 |
| US10536469B2 (en) | 2015-04-29 | 2020-01-14 | International Business Machines Corporation | System conversion in a networked computing environment |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN111767548A (zh) * | 2020-06-28 | 2020-10-13 | 杭州迪普科技股份有限公司 | 一种漏洞捕获方法、装置、设备及存储介质 |
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux系统的摄像头蜜罐构建方法 |
| CN114978708A (zh) * | 2022-05-25 | 2022-08-30 | 上海磐御网络科技有限公司 | 一种基于蜜罐数据的图神经网络预测攻击意图方法 |
| CN117610026A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种基于大语言模型的蜜点漏洞生成方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100568876C (zh) * | 2005-03-22 | 2009-12-09 | 国际商业机器公司 | 用于操作数据处理系统的方法和用于处理无线通信的设备 |
| AU2006236283A1 (en) * | 2005-04-18 | 2006-10-26 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
| CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
-
2009
- 2009-04-28 CN CN2009101360944A patent/CN101567887B/zh not_active Expired - Fee Related
Cited By (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103179106A (zh) * | 2011-12-20 | 2013-06-26 | Sap股份公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN103179106B (zh) * | 2011-12-20 | 2017-07-25 | Sap欧洲公司 | 对未授权的访问请求使用假肯定响应的网络安全 |
| CN106687974A (zh) * | 2014-09-17 | 2017-05-17 | 三菱电机株式会社 | 攻击观察装置以及攻击观察方法 |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| CN104978520A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种基于实际业务系统的蜜罐数据构造方法及系统 |
| CN104900102A (zh) * | 2015-04-13 | 2015-09-09 | 成都双奥阳科技有限公司 | 基于虚拟环境的攻防演练系统 |
| US10412104B2 (en) | 2015-04-29 | 2019-09-10 | International Business Machines Corporation | Data protection in a networked computing environment |
| US10536469B2 (en) | 2015-04-29 | 2020-01-14 | International Business Machines Corporation | System conversion in a networked computing environment |
| US10834108B2 (en) | 2015-04-29 | 2020-11-10 | International Business Machines Corporation | Data protection in a networked computing environment |
| US10666670B2 (en) | 2015-04-29 | 2020-05-26 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| US10341366B2 (en) | 2015-04-29 | 2019-07-02 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| US10686809B2 (en) | 2015-04-29 | 2020-06-16 | International Business Machines Corporation | Data protection in a networked computing environment |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN105787370A (zh) * | 2016-03-07 | 2016-07-20 | 成都驭奔科技有限公司 | 一种基于蜜罐的恶意软件收集和分析方法 |
| CN105787370B (zh) * | 2016-03-07 | 2018-08-10 | 四川驭奔科技有限公司 | 一种基于蜜罐的恶意软件收集和分析方法 |
| CN106209839B (zh) * | 2016-07-08 | 2019-08-06 | 杭州迪普科技股份有限公司 | 入侵报文的防护方法及装置 |
| CN106209839A (zh) * | 2016-07-08 | 2016-12-07 | 杭州迪普科技有限公司 | 入侵报文的防护方法及装置 |
| CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
| CN108366088A (zh) * | 2017-12-28 | 2018-08-03 | 广州华夏职业学院 | 一种用于教学网络系统的信息安全预警系统 |
| CN108156163A (zh) * | 2017-12-28 | 2018-06-12 | 广州锦行网络科技有限公司 | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN108322456A (zh) * | 2018-01-22 | 2018-07-24 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立方法、介质及设备 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| US11570212B2 (en) | 2018-03-19 | 2023-01-31 | Huawei Technologies Co., Ltd. | Method and apparatus for defending against network attack |
| WO2019179375A1 (zh) * | 2018-03-19 | 2019-09-26 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN109361670B (zh) * | 2018-10-21 | 2021-05-28 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110505195A (zh) * | 2019-06-26 | 2019-11-26 | 中电万维信息技术有限责任公司 | 虚拟主机的部署方法以及系统 |
| CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的系统及方法 |
| CN110535863A (zh) * | 2019-08-30 | 2019-12-03 | 北京先勤科技有限公司 | 一种车联网通信仿真方法、系统及平台和计算机可读存储介质 |
| CN111181998B (zh) * | 2020-01-09 | 2022-07-26 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
| CN111767548A (zh) * | 2020-06-28 | 2020-10-13 | 杭州迪普科技股份有限公司 | 一种漏洞捕获方法、装置、设备及存储介质 |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| CN112134891B (zh) * | 2020-09-24 | 2022-11-04 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114465795B (zh) * | 2022-01-27 | 2024-03-29 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux系统的摄像头蜜罐构建方法 |
| CN114978708A (zh) * | 2022-05-25 | 2022-08-30 | 上海磐御网络科技有限公司 | 一种基于蜜罐数据的图神经网络预测攻击意图方法 |
| CN117610026A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种基于大语言模型的蜜点漏洞生成方法 |
| CN117610026B (zh) * | 2024-01-22 | 2024-04-26 | 广州大学 | 一种基于大语言模型的蜜点漏洞生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101567887B (zh) | 2012-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101567887B (zh) | 一种漏洞拟真超载蜜罐方法 | |
| Koroniotis et al. | Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| US9866584B2 (en) | System and method for analyzing unauthorized intrusion into a computer network | |
| Shiravi et al. | Toward developing a systematic approach to generate benchmark datasets for intrusion detection | |
| US8429746B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
| US20230370439A1 (en) | Network action classification and analysis using widely distributed honeypot sensor nodes | |
| KR101534194B1 (ko) | 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법 | |
| EP3414663A1 (en) | Automated honeypot provisioning system | |
| CN111083117A (zh) | 一种基于蜜罐的僵尸网络的追踪溯源系统 | |
| Haseeb et al. | A measurement study of iot-based attacks using iot kill chain | |
| Al-Daweri et al. | An adaptive method and a new dataset, UKM-IDS20, for the network intrusion detection system | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| Lupia et al. | ICS Honeypot Interactions: A Latitudinal Study | |
| Ilg et al. | Survey of contemporary open-source honeypots, frameworks, and tools | |
| Furfaro et al. | Gathering Malware Data through High-Interaction Honeypots. | |
| Gallopeni et al. | Botnet command-and-control traffic analysis | |
| Felix et al. | Framework for Analyzing Intruder Behavior of IoT Cyber Attacks Based on Network Forensics by Deploying Honeypot Technology | |
| Yüksel | Analyzing the medium-interaction honeypot: A case study | |
| Liu | Design and implement of common network security scanning system | |
| Franco | Honeypot-based Security Enhancements for Information Systems | |
| CN118300834A (zh) | 基于网络靶场的攻击流量生成方法、装置及相关设备 | |
| Boparai | The behavioural study of low interaction honeypots: DShield and Glastopf in various web attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120523 Termination date: 20140428 |