CN105447385B - 一种多层次检测的应用型数据库蜜罐实现系统及方法 - Google Patents
一种多层次检测的应用型数据库蜜罐实现系统及方法 Download PDFInfo
- Publication number
- CN105447385B CN105447385B CN201410738613.5A CN201410738613A CN105447385B CN 105447385 B CN105447385 B CN 105447385B CN 201410738613 A CN201410738613 A CN 201410738613A CN 105447385 B CN105447385 B CN 105447385B
- Authority
- CN
- China
- Prior art keywords
- honey jar
- data traffic
- database
- module
- pretreatment module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 144
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000001514 detection method Methods 0.000 claims abstract description 16
- 238000004088 simulation Methods 0.000 claims abstract description 13
- 238000012544 monitoring process Methods 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 20
- 230000003993 interaction Effects 0.000 claims description 14
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 235000013399 edible fruits Nutrition 0.000 claims description 3
- 239000003550 marker Substances 0.000 claims description 3
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 2
- 238000012545 processing Methods 0.000 claims description 2
- 230000002452 interceptive effect Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Abstract
本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,包括前置分流模块、预处理模块及数据库蜜罐,通过前置分流模块,将收到的数据流量进行分流,对于预处理模块能够处理的数据则定向到预处理模块中,对于预处理模块无法处理的数据流,则直接抛弃;预处理模块将收到的数据流进行初步判断,对于能够模拟的漏洞,并且不对数据库蜜罐造成未知威胁,则进行漏洞模拟执行,如果对数据库蜜罐造成威胁,则断开双相连接,返回未知错误;通过本发明方法及系统,对现有的应用型蜜罐进一步改进,使其能够具备完成已知的,但对于当前数据库蜜罐已无效的漏洞的模拟检测能力。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种多层次检测的应用型数据库蜜罐实现系统及方法。
背景技术
网络安全领域的蜜罐一般指通过部署模拟正常的、有价值的网络节点,诱使黑客或恶意程序攻击,以暴露其黑客行径和攻击手段的目的。
传统蜜罐技术一般分为低交互式和高交互式的蜜罐,低交互的实现能力有限,一般用于触发入侵告警和捕获病毒样本为目的。高交互式蜜罐的交互能力优秀,采用虚拟机部署,可达到与正常系统一致的交互能力,一般用于研究黑客高级攻击技术,达到跟踪botnet网络等目的。当前的蜜罐技术可以有限地模拟或利用少量第三方数据与攻击方交互,在有针对性的攻击面前,很容易被发觉和感知。如:
低交互型蜜罐:交互程度低,一般的扫描工具即可以识别。
高交互型蜜罐:交互程度高,但数据伪装程度差,一般仅包括个别网页或仅仅是系统级的监控,在面对有目标的黑客攻击者,当发现不是有效数据时,即会放弃进一步攻击。致使事后发现也难于取证。
针对上述蜜罐的问题,现有一种应用型蜜罐技术:在完全参照业务应用系统进行了带有仿造业务数据的部署,一方面可进以复制业务流,从而二次验证业务系统可能出现的问题;另一方面,也可以达到诱惑攻击者驻留并实施其目的。但面对水平较低的攻击者,多数是利用公开的漏洞,和常见的攻击工具,对于数据库蜜罐的构建是完全参照业务数据库的版本安装的,两者一致才可以做二次验证。而业务数据库往往因为管理的要求已经及时打上补丁,以致蜜罐数据库在所开放的端口上已经无法实施已公开的漏洞攻击了,而这种攻击在应用级数据库蜜罐内部就自动阻断掉,而蜜罐监控模块是无法感知到的,所以存在一种外部受到攻击,而蜜罐无法感知的情况,而这种潜在威胁会一直存在于企业,政府机关等单位内部,这种潜在威胁存在越久,就越可能被攻击者识别出真实业务数据库和蜜罐数据库。
发明内容
本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,解决了现有应用型数据库蜜罐无法感知并检测已无效的漏洞的情况,能够对已知或未知的威胁进行多层次检测,提高了应用型数据库蜜罐的交互能力,保证了与后端数据库蜜罐代理连接的同时,又能够提供前置漏洞模拟能力,使得蜜罐的能力有极大提升。
一种多层次检测的应用型数据库蜜罐实现系统,包括:
前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块;否则,根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块,否则丢弃所述数据流量,拒绝响应;
预处理模块,包括:标记判断子模块,用于判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述流量,并进入完整性检测子模块,否则进入漏洞判断子模块;
完整性检测子模块,用于判断是否为完整攻击请求,如果是,则进入威胁判断子模块,否则返回标记判断子模块;
漏洞判断子模块,用于判断所述数据流量是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回标记判断子模块,否则将所述数据流量代理转发到数据库蜜罐中;
威胁判断子模块,用于判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则进入漏洞模拟子模块;所述未知影响如需要在数据库蜜罐系统上进行提权和后门行为,处于安全考虑,则拒绝执行;
漏洞模拟子模块,用于模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;如创建账户,新建存储过程,新建计划任务等;
数据库蜜罐,用于模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。所述的数据库蜜罐与现有已知的应用型蜜罐搭建方式相类似。
所述的系统中,所述前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。
所述的系统中,所述系统还包括监控模块,用于监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
所述的系统中,所述监控模块保留预设时间期限内的数据库蜜罐运行状态数据。
所述的系统中,所述监控模块在监控数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
一种多层次检测的应用型数据库蜜罐实现方法,包括:
a.前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则将所述数据流量定向到预处理模块,否则执行步骤b;
b.根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块;否则丢弃所述数据流量,拒绝响应;
c.预处理模块判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述数据流量,执行步骤d;否则执行步骤e;
d.判断所述数据流量是否为完整攻击请求,如果是,则执行步骤f,否则返回步骤c;
e.判断是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回步骤c;否则将所述数据流量代理转发到数据库蜜罐;
f.判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则,模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;
g. 数据库蜜罐模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。
所述的方法中,所述前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。
所述的方法中,还包括:监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
所述的方法中,所述监控并保存数据库蜜罐的运行状态具体为:保留预设时间期限内的数据库蜜罐运行状态数据。
所述的方法中,所述监控并保存数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
本发明的优势在于,能够通过前置的预处理模块,在数据库蜜罐之前,对已知的漏洞威胁,而对当前数据库蜜罐已无效的情况下,可以完成低级蜜罐的作用。而区别于低交互蜜罐,还可以利用数据库蜜罐和后台检测能力达到更高级的威胁检测和识别能力。并对数据库蜜罐中的操作进行监控管理,用于保存攻击行为的取证。
本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,包括前置分流模块、预处理模块及数据库蜜罐,通过前置分流模块,将收到的数据流量进行分流,对于预处理模块能够处理的数据则定向到预处理模块中,对于预处理模块无法处理的数据流,则直接抛弃;预处理模块将收到的数据流进行初步判断,对于能够模拟的漏洞,并且不对数据库蜜罐造成未知威胁,则进行漏洞模拟执行,如果对数据库蜜罐造成威胁,则断开双相连接,返回未知错误;通过本发明方法及系统,对现有的应用型蜜罐进一步改进,使其能够具备完成已知的,但对于当前数据库蜜罐已无效的漏洞的模拟检测能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种多层次检测的应用型数据库蜜罐实现系统结构示意图;
图2为本发明一种多层次检测的应用型数据库蜜罐实现方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,解决了现有应用型数据库蜜罐无法感知并检测已无效的漏洞的情况,能够对已知或未知的威胁进行多层次检测,提高了应用型数据库蜜罐的交互能力,保证了与后端数据库蜜罐代理连接的同时,又能够提供前置漏洞模拟能力,使得蜜罐的能力有极大提升。
一种多层次检测的应用型数据库蜜罐实现系统,如图1所示,包括:
前置分流模块101,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块;否则,根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块,否则丢弃所述数据流量,拒绝响应;
预处理模块102,包括:标记判断子模块102-1,用于判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述流量,并进入完整性检测子模块,否则进入漏洞判断子模块;
完整性检测子模块102-2,用于判断是否为完整攻击请求,如果是,则进入威胁判断子模块,否则返回标记判断子模块;
漏洞判断子模块102-3,用于判断所述数据流量是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回标记判断子模块,否则将所述数据流量代理转发到数据库蜜罐中;
威胁判断子模块102-4,用于判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则进入漏洞模拟子模块;所述未知影响如需要在数据库蜜罐系统上进行提权和后门行为,处于安全考虑,则拒绝执行;
漏洞模拟子模块102-5,用于模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;如创建账户,新建存储过程,新建计划任务等;
数据库蜜罐103,用于模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。所述的数据库蜜罐与现有已知的应用型蜜罐搭建方式相类似。
所述的系统中,所述前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。所述非访问当前数据库蜜罐的请求可能为SSH、FTP、HTTP等请求。对数据流进行标记,则可以用于事后追溯时间的来源。
所述的系统中,所述系统还包括监控模块,用于监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
所述的系统中,所述监控模块保留预设时间期限内的数据库蜜罐运行状态数据。
所述的系统中,所述监控模块在监控数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
一种多层次检测的应用型数据库蜜罐实现方法,如图2所示,包括:
S201:前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则将所述数据流量定向到预处理模块,即S203,否则执行S202;
S202:根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块,即S203;否则丢弃所述数据流量,拒绝响应;
S203:预处理模块判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述数据流量,执行S204;否则执行S205;
S204:判断所述数据流量是否为完整攻击请求,如果是,则执行S206,否则返回S203;
S205:判断是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回S203;否则将所述数据流量代理转发到数据库蜜罐;
S206:判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则,模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;
数据库蜜罐模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。
所述的方法中,所述前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。
所述的方法中,还包括:监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
所述的方法中,所述监控并保存数据库蜜罐的运行状态具体为:保留预设时间期限内的数据库蜜罐运行状态数据。
所述的方法中,所述监控并保存数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
本发明的优势在于,能够通过前置的预处理模块,在数据库蜜罐之前,对已知的漏洞威胁,而对当前数据库蜜罐已无效的情况下,可以完成低级蜜罐的作用。而区别于低交互蜜罐,还可以利用数据库蜜罐和后台检测能力达到更高级的威胁检测和识别能力。并对数据库蜜罐中的操作进行监控管理,用于保存攻击行为的取证。
本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法,包括前置分流模块、预处理模块及数据库蜜罐,通过前置分流模块,将收到的数据流量进行分流,对于预处理模块能够处理的数据则定向到预处理模块中,对于预处理模块无法处理的数据流,则直接抛弃;预处理模块将收到的数据流进行初步判断,对于能够模拟的漏洞,并且不对数据库蜜罐造成未知威胁,则进行漏洞模拟执行,如果对数据库蜜罐造成威胁,则断开双相连接,返回未知错误;通过本发明方法及系统,对现有的应用型蜜罐进一步改进,使其能够具备完成已知的,但对于当前数据库蜜罐已无效的漏洞的模拟检测能力。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1.一种多层次检测的应用型数据库蜜罐实现系统,其特征在于,包括:
前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块;否则,根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块,否则丢弃所述数据流量,拒绝响应;
预处理模块,包括:标记判断子模块,用于判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述流量,并进入完整性检测子模块,否则进入漏洞判断子模块;
完整性检测子模块,用于判断是否为完整攻击请求,如果是,则进入威胁判断子模块,否则返回标记判断子模块;
漏洞判断子模块,用于判断所述数据流量是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回标记判断子模块,否则将所述数据流量代理转发到数据库蜜罐中;
威胁判断子模块,用于判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则进入漏洞模拟子模块;
漏洞模拟子模块,用于模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;
数据库蜜罐,用于模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。
2.如权利要求1所述的系统,其特征在于,所述前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块,用于根据获取的数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。
3.如权利要求1所述的系统,其特征在于,所述系统还包括监控模块,用于监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
4.如权利要求3所述的系统,其特征在于,所述监控模块保留预设时间期限内的数据库蜜罐运行状态数据。
5.如权利要求3或4所述的系统,其特征在于,所述监控模块在监控数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
6.一种多层次检测的应用型数据库蜜罐实现方法,其特征在于,包括:
a.前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则将所述数据流量定向到预处理模块,否则执行步骤b;
b.根据目的端口,识别是否为预处理模块支持检测的数据流量,如果是,则将所述数据流量定向到预处理模块;否则丢弃所述数据流量,拒绝响应;
c.预处理模块判断接收的数据流量是否为已标记的数据流量,如果是,则还原所述数据流量,执行步骤d;否则执行步骤e;
d.判断所述数据流量是否为完整攻击请求,如果是,则执行步骤f,否则返回步骤c;
e.判断是否为漏洞攻击,如果是,则断开数据库蜜罐与客户端的单向连接,标记并还原所述数据流量,返回步骤c;否则将所述数据流量代理转发到数据库蜜罐;
f.判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响,如果是,则断开客户端与数据库蜜罐的双向连接,并向客户端反馈未知错误;否则,模拟所述数据流量使用的漏洞,完成数据库的初级交互,并代理执行在数据库蜜罐上的操作请求;
g. 数据库蜜罐模拟建立与想要保护的服务器相同的数据库蜜罐服务器,并完成预处理模块发送的操作请求。
7.如权利要求6所述的方法,其特征在于,所述前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,直接将所述数据流量定向到预处理模块,替换为:前置分流模块获取数据流量,判断是否为访问数据库请求,如果是,则根据IP及目的端口判断是否为访问当前数据库蜜罐请求,如果是,则进一步判断是否为来自想要保护的服务器的重定向,如果是,则标记所述数据流量,再将所述数据流量定向到预处理模块,否则直接将所述数据流量定向到预处理模块;如果为非访问当前数据库蜜罐请求,则标记所述数据流量,再将所述数据流量定向到预处理模块。
8.如权利要求6所述的方法,其特征在于,还包括:监控并保存数据库蜜罐的运行状态,并在状态异常时进行告警及结束进程,所述运行状态包括:进程的创建、退出或崩溃状态。
9.如权利要求8所述的方法,其特征在于,所述监控并保存数据库蜜罐的运行状态具体为:保留预设时间期限内的数据库蜜罐运行状态数据。
10.如权利要求8或9所述的方法,其特征在于,所述监控并保存数据库蜜罐的运行状态时,与已知白名单进行匹配,若所述进程在白名单中,则不进行监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738613.5A CN105447385B (zh) | 2014-12-08 | 2014-12-08 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410738613.5A CN105447385B (zh) | 2014-12-08 | 2014-12-08 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105447385A CN105447385A (zh) | 2016-03-30 |
| CN105447385B true CN105447385B (zh) | 2018-04-24 |
Family
ID=55557549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410738613.5A Active CN105447385B (zh) | 2014-12-08 | 2014-12-08 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105447385B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789877A (zh) * | 2016-11-15 | 2017-05-31 | 杭州安恒信息技术有限公司 | 一种基于沙箱的漏洞验证系统 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN110120899B (zh) * | 2019-05-10 | 2024-03-01 | 北京百度网讯科技有限公司 | 一种数据流的检测方法、装置、电子设备及存储介质 |
| CN110351237B (zh) * | 2019-05-23 | 2020-07-10 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN113132293B (zh) * | 2019-12-30 | 2022-10-04 | 中国移动通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐系统 |
| CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090106197A (ko) * | 2008-04-04 | 2009-10-08 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| CN101978376A (zh) * | 2008-03-19 | 2011-02-16 | 网圣公司 | 用于抵御信息窃取软件的方法及系统 |
| CN102255924A (zh) * | 2011-08-29 | 2011-11-23 | 浙江中烟工业有限责任公司 | 基于可信计算的多级安全互联平台及其处理流程 |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
-
2014
- 2014-12-08 CN CN201410738613.5A patent/CN105447385B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101978376A (zh) * | 2008-03-19 | 2011-02-16 | 网圣公司 | 用于抵御信息窃取软件的方法及系统 |
| KR20090106197A (ko) * | 2008-04-04 | 2009-10-08 | 숭실대학교산학협력단 | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 |
| CN102255924A (zh) * | 2011-08-29 | 2011-11-23 | 浙江中烟工业有限责任公司 | 基于可信计算的多级安全互联平台及其处理流程 |
| CN103685290A (zh) * | 2013-12-19 | 2014-03-26 | 南京理工大学连云港研究院 | 基于ghdb的漏洞扫描系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105447385A (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105447385B (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| US10051010B2 (en) | Method and system for automated incident response | |
| US10021127B2 (en) | Threat indicator analytics system | |
| AU2015203069B2 (en) | Deception network system | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
| US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
| CN103888459B (zh) | 网络内网入侵的检测方法及装置 | |
| JP2008516308A (ja) | 複数のコンピュータ化された装置を問い合わせる方法および装置 | |
| KR102061833B1 (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
| CN105357216A (zh) | 一种安全访问方法及系统 | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| CN110351237A (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN105978904A (zh) | 一种入侵检测方法及电子设备 | |
| CN105429996A (zh) | 一种智能发现和定位地址转换设备的方法 | |
| CN105187449B (zh) | 一种接口调用方法及装置 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| US11968235B2 (en) | System and method for cybersecurity analysis and protection using distributed systems | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| CN109768949A (zh) | 一种端口扫描处理系统、方法及相关装置 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| CN106888210A (zh) | 一种网络攻击的警示方法及装置 | |
| CN106254375A (zh) | 一种无线热点设备的识别方法及装置 | |
| KR101753846B1 (ko) | 사용자 맞춤형 로그 타입을 생성하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| KR20220073657A (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150090 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Multilayer detection based application type database honey pot realization system and method Effective date of registration: 20190718 Granted publication date: 20180424 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: 2019230000007 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150090 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150090 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20180424 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: 2019230000007 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |