CN107222515A - 蜜罐部署方法、装置及云端服务器 - Google Patents
蜜罐部署方法、装置及云端服务器 Download PDFInfo
- Publication number
- CN107222515A CN107222515A CN201610166141.XA CN201610166141A CN107222515A CN 107222515 A CN107222515 A CN 107222515A CN 201610166141 A CN201610166141 A CN 201610166141A CN 107222515 A CN107222515 A CN 107222515A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- equipment
- jar equipment
- analog simulator
- honey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请提供一种蜜罐部署方法、装置及云端服务器,该方法包括:确定需要安装模拟仿真器的至少一台蜜罐设备;控制建立与所述至少一台蜜罐设备建立通信连接;将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。在本申请的技术方案大大提高批量部署蜜罐设备的效率,实现了以自动化的方式部署蜜罐设备,避免在蜜罐设备上通过手动方式登录蜜罐设备,降低蜜罐设备的部署成本。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种蜜罐部署方法、装置及云端服务器。
背景技术
随着嵌入式设备的盛行,嵌入式设备逐步成为攻击者的目标,现有技术通过搭建蜜罐来捕获攻击者在网络中的攻击行为,现有技术中的高交互式蜜罐采用真实的操作系统搭建而成,可以捕获到大量的信息,但是,由于高交互式蜜罐需要真实的嵌入式设备,因此存在被攻陷的可能,并且高交互式蜜罐的维护成本比较高。
发明内容
有鉴于此,本申请提供一种新的技术方案,可以实现批量部署多台蜜罐设备,降低蜜罐设备的部署成本。
为实现上述目的,本申请提供技术方案如下:
根据本申请的第一方面,提出了一种蜜罐部署方法,应用在云端服务器上,包括:
确定需要安装模拟仿真器的至少一台蜜罐设备;
控制建立与所述至少一台蜜罐设备的通信连接;
将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
根据本申请的第二方面,提出了一种蜜罐部署方法,应用在蜜罐设备上,包括:
当与云端服务器建立通信连接后,从所述云端服务器下载模拟仿真器的镜像文件;
控制运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述蜜罐设备上。
根据本申请的第三方面,提出了一种蜜罐部署装置,应用在云端服务器上,包括:
第一确定模块,用于确定需要安装模拟仿真器的至少一台蜜罐设备;
控制模块,用于控制建立与所述至少一台蜜罐设备的通信连接;
第一发送模块,用于在所述控制模块控制建立与所述至少一台蜜罐设备的通信连接后,将所述模拟仿真器的镜像文件发送至所述第一确定模块确定的所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
根据本申请的第四方面,提出了一种蜜罐部署装置,应用在蜜罐设备上,包括:
下载模块,用于当与云端服务器建立通信连接后,从所述云端服务器下载模拟仿真器的镜像文件;
控制运行模块,用于控制运行所述下载模块下载的所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述蜜罐设备上。
根据本申请的第五方面,提出了一种云端服务器,所述云端服务器包括:
第一处理器;用于存储所述第一处理器可执行指令的第一存储器;第一网络接口;
其中,所述第一处理器,用于确定需要安装模拟仿真器的至少一台蜜罐设备,控制建立与所述至少一台蜜罐设备的通信连接;
所述第一网络接口,用于将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
根据本申请的第六方面,提出了一种蜜罐设备,所述蜜罐设备包括:
第二处理器;用于存储所述第二处理器可执行指令的第二存储器;第二网络接口;
其中,所述第二网络接口,用于与云端服务器建立通信连接;
所述第二处理器,用于当通过所述第二网络接口与云端服务器建立通信连接后,从所述云端服务器下载模拟仿真器的镜像文件;控制运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述蜜罐设备上。
由以上技术方案可见,本申请可以大大提高批量部署蜜罐设备的效率,实现了以自动化的方式部署蜜罐设备,避免了在蜜罐设备上通过手动方式登录蜜罐设备,并采用手动方式在蜜罐设备上部署模拟仿真器的镜像文件,降低了蜜罐设备的部署成本。
附图说明
图1A示出了根据本发明的示例性实施例一的蜜罐部署方法的流程示意图;
图1B示出了根据本发明的示例性实施例一的蜜罐部署方法的场景图;
图2示出了根据本发明的示例性实施例二的蜜罐部署方法的流程示意图;
图3示出了根据本发明的示例性实施例三的蜜罐部署方法的流程示意图;
图4示出了根据本发明的示例性实施例四的蜜罐部署方法的流程示意图;
图5示出了根据本发明的示例性实施例五的蜜罐部署方法的流程示意图;
图6示出了根据本发明的示例性实施例六的蜜罐部署方法的流程示意图;
图7示出了根据本发明的示例性实施例七的蜜罐部署方法的流程示意图;
图8示出了根据本发明的示例性实施例八的蜜罐部署方法的流程示意图;
图9示出了根据本发明的示例性实施例九的蜜罐部署方法的流程示意图;
图10示出了根据本发明的一示例性实施例的云端服务器的结构示意图;
图11示出了根据本发明的一示例性实施例的蜜罐设备的结构示意图;
图12示出了根据本发明的示例性实施例一的蜜罐部署装置的结构示意图;
图13示出了根据本发明的示例性实施例二的蜜罐部署装置的结构示意图;
图14示出了根据本发明的示例性实施例三的蜜罐部署装置的结构示意图;
图15示出了根据本发明的示例性实施例四的蜜罐部署装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为对本申请进行进一步说明,提供下列实施例:
图1A示出了根据本发明的示例性实施例一的蜜罐部署方法的流程示意图,图1B示出了根据本发明的示例性实施例一的蜜罐部署方法的场景图;本实施例可以应用在云端服务器上,如图1A所示,包括如下步骤:
步骤101,确定需要安装模拟仿真器的至少一台蜜罐设备。
步骤102,控制建立与至少一台蜜罐设备的通信连接。
步骤103,将模拟仿真器的镜像文件发送至至少一台蜜罐设备,以供至少一台蜜罐设备运行模拟仿真器的镜像文件,将模拟仿真器安装在至少一台蜜罐设备上。
在一个示例性场景中,如图1B所示,系统架构中包括云端服务器10和蜜罐设备11、蜜罐设备12、蜜罐设备13、…、蜜罐设备1N,其中N为大于1的整数。在一实施例中,可以通过在实体机或者服务器上部署蜜罐形成蜜罐设备11、蜜罐设备12、蜜罐设备13、…、蜜罐设备1N。
当云端服务器10确定需要在蜜罐设备11、蜜罐设备12、蜜罐设备13上安装模拟仿真器时,可以与蜜罐设备11、蜜罐设备12、蜜罐设备13建立通信连接后,云端服务器10可以将蜜罐设备11、蜜罐设备12、蜜罐设备13需要安装的模拟仿真器的镜像文件发送至蜜罐设备11、蜜罐设备12、蜜罐设备13,蜜罐设备11、蜜罐设备12、蜜罐设备13在接收到镜像文件后,控制运行模拟仿真器的镜像文件,将模拟仿真器安装在蜜罐设备11、蜜罐设备12、蜜罐设备13。
在一实施例中,如图1B所示,云端服务器10可以具有功能模块:镜像管理模块21、蜜罐控制模块22、数据分析模块23、通讯模块24。
其中,镜像管理模块21用于存储技术人员制作完成的模拟仿真器的镜像文件,在一实施例中,模拟仿真器可以为qemu模拟仿真器,通过采用arm或mips架构实现仿真嵌入式设备的环境。
蜜罐控制模块22用于监控蜜罐设备的状态,对蜜罐设备进行相关操作,例如,控制蜜罐设备从镜像管理模块21下载模拟仿真器的镜像文件,控制蜜罐设备修改已下载的模拟仿真器的镜像文件,控制蜜罐设备修改已下载的模拟仿真器的镜像文件,控制蜜罐设备停止运行已下载的模拟仿真器的镜像文件,控制蜜罐设备重新部署模拟仿真器的镜像文件,以及蜜罐设备删除模拟仿真器的镜像文件,等等。
数据分析模块23用于收集蜜罐设备上传的行为数据,并对行为数据进行分析和展示。
通讯模块24用于管理镜像管理模块21、蜜罐控制模块22、数据分析模块23与各个蜜罐设备之间的通讯,作为数据和命令的传输途径。
由上述描述可知,本发明实施例通过上述步骤101-步骤103,大大提高了批量部署蜜罐设备的效率,实现了以自动化的方式部署蜜罐设备,避免了在蜜罐设备上通过手动方式登录蜜罐设备,并采用手动方式在蜜罐设备上部署模拟仿真器的镜像文件,降低了蜜罐设备的部署成本。
图2示出了根据本发明的示例性实施例二的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何分析来自蜜罐设备的数据为例并结合图1B进行示例性说明,如图2所示,包括如下步骤:
步骤201,接收来自至少一台蜜罐设备根据预设的通信协议进行封装的行为数据。
步骤202,根据封装后的行为数据确定至少一台蜜罐设备上的攻击行为。
上述步骤201中,在一实施例中,封装后的行为数据包括攻击者在模拟仿真器中执行的命令,在另一实施例中,封装后的行为数据包括攻击者下载至模拟仿真器中或在模拟仿真器中生成的恶意文件。在一实施例中,预设的通信协议可以为安全外壳协议(ssh)、远程终端协议(telnet)等,蜜罐设备(例如,图1B中的蜜罐设备11、蜜罐设备12、蜜罐设备13)可以通过ssh、telnet接收到行为数据,蜜罐设备11、蜜罐设备12、蜜罐设备13还可以对蜜罐设备的文件系统进行监控,并监控攻击者下载至模拟仿真器中或在模拟仿真器中生成的恶意文件。蜜罐设备11、蜜罐设备12、蜜罐设备13通过对上述两种类型的行为数据进行封装,将封装后的行为数据发送给云端服务器。
上述步骤202中,在一实施例中,可以根据不同的数据类型采用不同的分析方式对采集到的行为数据进行分析和展示,如图1B所示,云端服务器10接收到封装后的行为数据后,可以对封装后的行为数据进行解析,根据解析后的行为数据确定蜜罐设备的攻击行为,例如,攻击者采用telnet登录蜜罐设备,攻击者的一些操作为明文操作,因此可以通过对telnet方式得到的数据流进行检测,再例如,攻击者将恶意文件下载至蜜罐设备的模拟仿真器中,以木马为例,一些木马通常都是先进入蜜罐设备后,下载木马并执行木马文件,当检测生成模拟仿真器中有新的木马样本时,可以通过木马样本分析出攻击者的攻击行为。
本实施例中,通过蜜罐设备上传的行为数据进行分析,可以很方便地对远端的蜜罐设备的攻击行为进行管理及监测;由于蜜罐设备上的模拟仿真器为嵌入式的虚拟机环境,因此蠕虫和病毒并不会判断出其所在的环境,从而可以确保蠕虫和病毒仍可以执行,进而可以确保云端服务器捕获到蠕虫和病毒的完整攻击行为。
图3示出了根据本发明的示例性实施例三的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何对运行状态异常的蜜罐设备进行相应处理为例并结合图1B进行示例性说明,如图3所示,包括如下步骤:
步骤301,接收来自至少一台蜜罐设备的用于表示运行状态为异常的通知消息。
步骤302,根据通知消息对至少一台蜜罐设备做相应处理。
如图1B所示,云端服务器10可以对蜜罐设备11、蜜罐设备12、蜜罐设备13上安装的模拟仿真器的进程的运行状态进行监测,例如,蜜罐设备11上安装的模拟仿真器是否异常退出、是否正在运行等等。
例如,云端服务器10接收到蜜罐设备11返回的用于表示运行状态异常的通知消息,通过该通知消息可以确定模拟仿真器异常退出运行,云端服务器10可以确定蜜罐设备11是否需要重新部署,或者删除定模拟仿真器的镜像文件。本领域技术人员可以理解的是,“相应处理”可以与通知消息中所携带的异常类型相对应,本申请对此不做具体限制。
本实施例中,当蜜罐设备出现异常时,根据通知消息对蜜罐设备做相应处理,从而可以很方便的对远端的蜜罐设备进行异常管理,降低了对蜜罐设备异常管理的复杂度。
图4示出了根据本发明的示例性实施例四的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何操作蜜罐设备为例并结合图1B进行示例性说明,如图4所示,包括如下步骤:
步骤401,从至少一台蜜罐设备中确定需要操作的蜜罐设备。
步骤402,生成用于操作需要操作的蜜罐设备的控制指令,以供需要操作的蜜罐设备控制模拟仿真器。
如图1B所示,当云端服务器10正在对蜜罐设备11、蜜罐设备12、蜜罐设备13上安装的模拟仿真器的运行状态进行监控时,如果云端服务器10需要对蜜罐设备11上安装的模拟仿真器进行修改、开启、停止、重新部署或者删除等任意一种类型的操作,云端服务器10可以生成用于操作需要操作的蜜罐设备的控制指令,蜜罐设备11在接收到该控制指令后,可以根据控制指令控制模拟仿真器,例如,对模拟仿真器进行修改、开启、停止、重新部署或者删除等操作。
本实施例中,当需要对任意一台蜜罐设备进行操作时,通过生成用于操作需要操作的蜜罐设备的控制指令,以供需要操作的蜜罐设备控制模拟仿真器,从而可以很方便的操作远端的蜜罐设备。
图5示出了根据本发明的示例性实施例五的蜜罐部署方法的流程示意图;本实施例可以应用在云端服务器上,本实施例结合图1B进行示例性说明,如图5所示,包括如下步骤:
步骤501,确定需要安装模拟仿真器的至少一台蜜罐设备的登录信息。
步骤502,控制建立与至少一台蜜罐设备的通信连接。
步骤503,当与至少一台蜜罐设备建立通信连接后,通过至少一台蜜罐设备的登录信息登录至少一台蜜罐设备。
步骤504,将模拟仿真器的镜像文件发送至至少一台蜜罐设备,以供至少一台蜜罐设备运行模拟仿真器的镜像文件,将模拟仿真器安装在至少一台蜜罐设备上。
在一个示例性场景中,如图1B所示,当云端服务器10确定需要在蜜罐设备11、蜜罐设备12、蜜罐设备13上安装模拟仿真器时,可以与蜜罐设备11、蜜罐设备12、蜜罐设备13建立通信连接后,通过蜜罐设备11、蜜罐设备12、蜜罐设备13各自的登录信息登录蜜罐设备11、蜜罐设备12、蜜罐设备13。其中,登录信息可以为蜜罐设备的登录账号和登录密码。
云端服务器10可以将蜜罐设备11、蜜罐设备12、蜜罐设备13需要安装的模拟仿真器的镜像文件发送至蜜罐设备11、蜜罐设备12、蜜罐设备13,蜜罐设备11、蜜罐设备12、蜜罐设备13在接收到镜像文件后,控制运行模拟仿真器的镜像文件,将模拟仿真器安装在蜜罐设备11、蜜罐设备12、蜜罐设备13。
由上述描述可知,本发明实施例通过上述步骤101-步骤103,大大提高了批量部署蜜罐设备的效率,实现了以自动化的方式部署蜜罐设备,避免了在蜜罐设备上通过手动方式登录蜜罐设备,并采用手动方式在蜜罐设备上部署模拟仿真器的镜像文件,降低了蜜罐设备的部署成本。
图6示出了根据本发明的示例性实施例六的蜜罐部署方法的流程示意图;本实施例可以应用在蜜罐设备上,如图6所示,包括如下步骤:
步骤601,当与云端服务器建立通信连接后,从云端服务器下载模拟仿真器的镜像文件。
步骤602,控制运行模拟仿真器的镜像文件,将模拟仿真器安装在蜜罐设备上。
蜜罐设备从云端服务器上下载模拟仿真器的镜像文件的相关描述可以参见上述图1A所示实施例的描述,再次不在详述。
由上述描述可知,本发明实施例通过上述步骤501和步骤502,可以大大提高批量部署蜜罐设备的效率,实现以自动化的方式部署蜜罐设备,避免在蜜罐设备上通过手动方式登录蜜罐设备,并采用手动方式在蜜罐设备上部署模拟仿真器的镜像文件,降低了蜜罐设备的部署成本。
图7示出了根据本发明的示例性实施例七的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何监控模拟仿真器中的数据为例并结合图1B进行示例性说明,如图7所示,包括如下步骤:
步骤701,对模拟仿真器中的行为数据进行监控。
步骤702,将监控得到的行为数据根据预设的通信协议进行封装。
步骤703,将封装后的行为数据发送至云端服务器,以供云端服务器根据封装后的行为数据确定蜜罐设备的攻击行为。
在上述步骤701中,模拟仿真器中的行为数据可以包括攻击者执行的命令,和/或,攻击者下载至模拟仿真器中或在所述模拟仿真器中生成的恶意文件。在一实施例中,当确定通过预设通信协议接收到行为数据时,启动预设通信协议对应的进程,通过修改进程得到进程中执行的命令;通过监控蜜罐设备上的文件系统,获取攻击者下载至模拟仿真器中或在模拟仿真器中生成的恶意文件。
在上述步骤702中,在一实施例中,封装可以以预设的数据格式进行封装,并使云端服务器能够解析出封装后的数据即可。
本实施例中,通过对蜜罐设备的模拟仿真器捕获到的行为数据进行封装,可以使云端服务器很方便地对远端的蜜罐设备的攻击行为进行管理及监测;由于蜜罐设备上的模拟仿真器为嵌入式虚拟机环境,因此蠕虫和病毒并不会判断出其所在的环境,从而可以确保蠕虫和病毒仍可以执行,进而可以确保云端服务器捕获到蠕虫和病毒的完整攻击行为。
图8示出了根据本发明的示例性实施例八的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何对运行状态异常的蜜罐设备进行相应处理为例并结合图1B进行示例性说明,如图8所示,包括如下步骤:
步骤801,确定模拟仿真器的运行状态。
步骤802,当运行状态为异常时,向云端服务器发送用于表示运行状态为异常的通知消息,以供云端服务器根据通知消息对蜜罐设备做相应处理。
如图1B所示,蜜罐设备11、蜜罐设备12、蜜罐设备13可以确定其模拟仿真器的进程在当前的运行状态,例如,蜜罐设备11上安装的模拟仿真器是否异常退出、是否正在运行等等。
例如,蜜罐设备11确定其上安装的模拟仿真器异常退出运行,则可以以标志位的方式表示该种异常方式,并在通知消息中携带该标志位,从而可以使云端服务器在接收到通知消息后,通过标志位确定蜜罐设备11的异常类型,云端服务器10可以确定蜜罐设备11是否需要重新部署,或者删除定模拟仿真器的镜像文件。本领域技术人员可以理解的是,“相应处理”可以与通知消息中所携带的异常类型相对应,本申请对此不做具体限制。
本实施例中,当蜜罐设备出现异常时,通过生成通知消息使云端服务器根据通知消息对蜜罐设备做相应处理,从而可以很方便的对远端的蜜罐设备进行异常管理,降低了对蜜罐设备异常管理的复杂度。
图9示出了根据本发明的示例性实施例九的蜜罐部署方法的流程示意图;本实施例在上述实施例的基础上,以如何操作蜜罐设备为例并结合图1B进行示例性说明,如图9所示,包括如下步骤:
步骤901,接收来自云端服务器用于操作模拟仿真器的控制指令。
步骤902,根据控制指令控制模拟仿真器。
如图1B所示,如果云端服务器10需要对蜜罐设备11上安装的模拟仿真器进行修改、开启、停止、重新部署或者删除等任意一种类型的操作,云端服务器10可以生成用于操作需要操作的蜜罐设备的控制指令,蜜罐设备11在接收到该控制指令后,可以根据控制指令控制模拟仿真器,例如,对模拟仿真器进行修改、开启、停止、重新部署或者删除等操作。
本实施例中,当需要蜜罐设备进行操作时,根据接收到控制指令控制模拟仿真器,从而可以很方便的操作远端的蜜罐设备。
对应于上述的蜜罐部署方法,本申请还提出了图10所示的根据本申请的一示例性实施例的云端服务器的示意结构图。请参考图10,在硬件层面,该云端服务器包括第一处理器、内部总线、第一网络接口、内存以及存储第一处理器可执行指令的第一存储器,当然还可能包括其他业务所需要的硬件。
其中,第一处理器,用于确定需要安装模拟仿真器的至少一台蜜罐设备,控制建立与至少一台蜜罐设备的通信连接;
网络接口,用于将模拟仿真器的镜像文件发送至至少一台蜜罐设备,以供至少一台蜜罐设备运行模拟仿真器的镜像文件,将模拟仿真器安装在至少一台蜜罐设备上。
对应于上述的蜜罐部署方法,本申请还提出了图11所示的根据本申请的一示例性实施例的蜜罐设备的示意结构图。请参考图11,在硬件层面,该蜜罐设备包括第二处理器、内部总线、第二网络接口、内存以及存储第二处理器可执行指令的第二存储器,当然还可能包括其他业务所需要的硬件。
其中,第二网络接口,用于与云端服务器建立通信连接;
第二处理器,用于当通过第二网络接口与云端服务器建立通信连接后,从云端服务器下载模拟仿真器的镜像文件;控制运行模拟仿真器的镜像文件,将模拟仿真器安装在蜜罐设备上。
图12示出了根据本发明的示例性实施例一的蜜罐部署装置的结构示意图;如图12所示,该蜜罐部署装置可应用在云端服务器上,可以包括:第一确定模块121、控制模块122、发送模块123。其中:
第一确定模块121,用于确定需要安装模拟仿真器的至少一台蜜罐设备;
控制模块122,用于控制建立与第一确定模块121确定的至少一台蜜罐设备的通信连接;
发送模块123,用于在控制模块122控制建立与至少一台蜜罐设备的通信连接后,将模拟仿真器的镜像文件发送至至少一台蜜罐设备,以供至少一台蜜罐设备运行模拟仿真器的镜像文件,将模拟仿真器安装在至少一台蜜罐设备上。
图13示出了根据本发明的示例性实施例二的蜜罐部署装置的结构示意图;在上述图12所示实施例的基础上,如图13所示,在一实施例中,装置还可包括:
第一接收模块124,用于接收来自第一确定模块121确定的至少一台蜜罐设备根据预设的通信协议进行封装的行为数据;
第二确定模块125,用于根据第一接收模块124接收到的封装后的行为数据确定至少一台蜜罐设备上的攻击行为。
在一实施例中,封装后的行为数据可包括攻击者在模拟仿真器中执行的命令。
在另一实施例中,封装后的行为数据可包括下载至模拟仿真器中或在模拟仿真器中生成的恶意文件。
在一实施例中,装置还可包括:
第二接收模块126,用于接收来自第一确定模块121确定的至少一台蜜罐设备的用于表示运行状态为异常的通知消息;
处理模块127,用于根据第二接收模块126接收到的通知消息对至少一台蜜罐设备做相应处理。
在一实施例中,装置还可包括:
第三确定模块128,用于从第一确定模块121确定的至少一台蜜罐设备中确定需要操作的蜜罐设备;
生成模块129,用于生成用于操作第三确定模块128确定的需要操作的蜜罐设备的控制指令,以供需要操作的蜜罐设备控制模拟仿真器。
在一实施例中,控制模块122可包括:
确定单元1221,用于确定需要安装模拟仿真器的至少一台蜜罐设备的登录信息;
登录单元1222,用于通过确定单元1221确定的至少一台蜜罐设备的登录信息登录至少一台蜜罐设备。
图14示出了根据本发明的示例性实施例三的蜜罐部署装置的结构示意图;如图14所示,该蜜罐部署装置可应用在蜜罐设备上,可以包括:下载模块141、控制运行模块142;其中:
下载模块141,用于当与云端服务器建立通信连接后,从云端服务器下载模拟仿真器的镜像文件;
控制运行模块142,用于控制运行下载模块141下载的模拟仿真器的镜像文件,将模拟仿真器安装在蜜罐设备上。
图15示出了根据本发明的示例性实施例四的蜜罐部署装置的结构示意图;如图15所示,本实施例在上述图14所示实施例的基础上,在一实施例中,装置还可包括:
监控模块143,用于对控制运行模块142控制的模拟仿真器中的数据进行监控;
数据封装模块144,用于将监控模块143监控得到的行为数据根据预设的通信协议进行封装;
第二发送模块145,用于将数据封装模块144封装后的行为数据发送至云端服务器,以供云端服务器对封装后的行为数据进行分析展示后确定蜜罐设备的攻击行为。
在一实施例中,模拟仿真器中的数据可包括进程中执行的命令和/或蜜罐设备上的文件系统新生成的系统文件,监控模块143可包括:
进程启动单元1431,用于当确定通过预设通信协议接收到的数据时,启动预设通信协议对应的进程,通过修改进程得到进程中执行的命令;
监控单元1432,用于对文件系统进行监控;
获取单元1433,用于当监控单元1432监控到文件系统有新的系统文件生成时,获取新的系统文件。
在一实施例中,装置还可包括:
第四确定模块146,用于确定模拟仿真器的运行状态;
第三发送模块147,用于当第四确定模块146确定运行状态为异常时,向云端服务器发送用于表示运行状态为异常的通知消息,以供云端服务器根据通知消息对蜜罐设备做相应处理。
在一实施例中,装置还可包括:
第三接收模块148,用于接收来自云端服务器用于操作模拟仿真器的控制指令;
控制模块149,用于根据第三接收模块148接收到的控制指令控制模拟仿真器。
上述实施例可见,本申请可以很方便的批量部署蜜罐设备,并可很方便的对远端的蜜罐设备进行管理。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (15)
1.一种蜜罐部署方法,其特征在于,所述方法包括:
确定需要安装模拟仿真器的至少一台蜜罐设备;
控制建立与所述至少一台蜜罐设备的通信连接;
将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收来自所述至少一台蜜罐设备根据预设的通信协议进行封装的行为数据;
根据封装后的行为数据确定所述至少一台蜜罐设备上的攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述封装后的行为数据包括攻击者在所述模拟仿真器中执行的命令。
4.根据权利要求2所述的方法,其特征在于,所述封装后的行为数据包括下载至所述模拟仿真器中或在所述模拟仿真器中生成的恶意文件。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收来自所述至少一台蜜罐设备的用于表示运行状态为异常的通知消息;
根据所述通知消息对所述至少一台蜜罐设备做相应处理。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述至少一台蜜罐设备中确定需要操作的蜜罐设备;
生成用于操作所述需要操作的蜜罐设备的控制指令,以供所述需要操作的蜜罐设备控制所述模拟仿真器。
7.根据权利要求1-6任一所述的方法,其特征在于,所述控制建立与所述至少一台蜜罐设备的通信连接,包括:
确定需要安装模拟仿真器的至少一台蜜罐设备的登录信息;
通过所述至少一台蜜罐设备的登录信息登录所述至少一台蜜罐设备。
8.一种蜜罐部署装置,应用在云端服务器上,其特征在于,所述装置包括:
第一确定模块,用于确定需要安装模拟仿真器的至少一台蜜罐设备;
控制模块,用于控制建立与所述第一确定模块确定的所述至少一台蜜罐设备的通信连接;
发送模块,用于在所述控制模块控制建立与所述至少一台蜜罐设备的通信连接后,将所述模拟仿真器的镜像文件发送至所述第一确定模块确定的所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第一接收模块,用于接收来自所述第一确定模块确定的所述至少一台蜜罐设备根据预设的通信协议进行封装的行为数据;
第二确定模块,用于根据所述第一接收模块接收到的行为封装后的数据确定所述至少一台蜜罐设备上的攻击行为。
10.根据权利要求9所述的装置,其特征在于,所述封装后的行为数据包括攻击者在所述模拟仿真器中执行的命令。
11.根据权利要求9所述的装置,其特征在于,所述封装后的行为数据包括下载至所述模拟仿真器中或在所述模拟仿真器中生成的恶意文件。
12.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收来自所述第一确定模块确定的所述至少一台蜜罐设备的用于表示运行状态为异常的通知消息;
处理模块,用于根据所述第二接收模块接收到的所述通知消息对所述至少一台蜜罐设备做相应处理。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于从所述第一确定模块确定的所述至少一台蜜罐设备中确定需要操作的蜜罐设备;
生成模块,用于生成用于操作所述第三确定模块确定的所述需要操作的蜜罐设备的控制指令,以供所述需要操作的蜜罐设备控制所述模拟仿真器。
14.根据权利要求8-13任一所述的装置,其特征在于,所述控制模块包括:
确定单元,用于确定需要安装模拟仿真器的至少一台蜜罐设备的登录信息;
登录单元,用于通过所述确定单元确定的所述至少一台蜜罐设备的登录信息登录所述至少一台蜜罐设备。
15.一种云端服务器,其特征在于,所述云端服务器包括:
第一处理器;用于存储所述第一处理器可执行指令的存储器;第一网络接口;
其中,所述第一处理器,用于确定需要安装模拟仿真器的至少一台蜜罐设备,控制建立与所述至少一台蜜罐设备的通信连接;
所述网络接口,用于将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610166141.XA CN107222515B (zh) | 2016-03-22 | 2016-03-22 | 蜜罐部署方法、装置及云端服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610166141.XA CN107222515B (zh) | 2016-03-22 | 2016-03-22 | 蜜罐部署方法、装置及云端服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107222515A true CN107222515A (zh) | 2017-09-29 |
| CN107222515B CN107222515B (zh) | 2021-05-04 |
Family
ID=59927996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610166141.XA Active CN107222515B (zh) | 2016-03-22 | 2016-03-22 | 蜜罐部署方法、装置及云端服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107222515B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| CN108737421A (zh) * | 2018-05-23 | 2018-11-02 | 深信服科技股份有限公司 | 一种发现网络内潜在威胁的方法、系统、装置及存储介质 |
| CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN109756533A (zh) * | 2017-11-02 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 一种镜像加速方法、装置及服务器 |
| WO2019140876A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立的方法、介质及设备 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| CN111506316A (zh) * | 2020-03-20 | 2020-08-07 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
| CN113098865A (zh) * | 2021-03-31 | 2021-07-09 | 广州锦行网络科技有限公司 | 一种浏览器指纹获取方法、装置、电子设备及存储介质 |
| CN114124414A (zh) * | 2020-08-11 | 2022-03-01 | 奇安信科技集团股份有限公司 | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| KR20110068308A (ko) * | 2009-12-16 | 2011-06-22 | 한전케이디엔주식회사 | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 |
| CN103679026A (zh) * | 2013-12-03 | 2014-03-26 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
| CN103701777A (zh) * | 2013-12-11 | 2014-04-02 | 长春理工大学 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
-
2016
- 2016-03-22 CN CN201610166141.XA patent/CN107222515B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| KR20110068308A (ko) * | 2009-12-16 | 2011-06-22 | 한전케이디엔주식회사 | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 |
| CN103679026A (zh) * | 2013-12-03 | 2014-03-26 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
| CN103701777A (zh) * | 2013-12-11 | 2014-04-02 | 长春理工大学 | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| CN109756533B (zh) * | 2017-11-02 | 2021-11-30 | 阿里巴巴集团控股有限公司 | 一种镜像加速方法、装置及服务器 |
| CN109756533A (zh) * | 2017-11-02 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 一种镜像加速方法、装置及服务器 |
| WO2019140876A1 (zh) * | 2018-01-22 | 2019-07-25 | 深圳市联软科技股份有限公司 | 一种防网络攻击的幻影设备建立的方法、介质及设备 |
| CN108737421A (zh) * | 2018-05-23 | 2018-11-02 | 深信服科技股份有限公司 | 一种发现网络内潜在威胁的方法、系统、装置及存储介质 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
| CN111506316A (zh) * | 2020-03-20 | 2020-08-07 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
| CN111506316B (zh) * | 2020-03-20 | 2023-02-24 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
| CN111835761A (zh) * | 2020-07-11 | 2020-10-27 | 福建奇点时空数字科技有限公司 | 一种基于系统仿真器的网络攻击诱骗环境构建方法 |
| CN114124414A (zh) * | 2020-08-11 | 2022-03-01 | 奇安信科技集团股份有限公司 | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 |
| CN114124414B (zh) * | 2020-08-11 | 2024-03-22 | 奇安信科技集团股份有限公司 | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 |
| CN113098865A (zh) * | 2021-03-31 | 2021-07-09 | 广州锦行网络科技有限公司 | 一种浏览器指纹获取方法、装置、电子设备及存储介质 |
| CN113098865B (zh) * | 2021-03-31 | 2022-03-08 | 广州锦行网络科技有限公司 | 一种浏览器指纹获取方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107222515B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107222515A (zh) | 蜜罐部署方法、装置及云端服务器 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| CN108701066A (zh) | 自动蜜罐供应系统 | |
| CN101567887A (zh) | 一种漏洞拟真超载蜜罐方法 | |
| CN111918039B (zh) | 基于5g网络的人工智能高风险作业管控系统 | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
| CN107483386A (zh) | 分析网络数据的方法及装置 | |
| CN107566409A (zh) | 局域网扫描行为检测方法、装置、电子设备、存储介质 | |
| CN107911244A (zh) | 一种云网结合的多用户蜜罐终端系统及其实现方法 | |
| CN107644161A (zh) | 样本的安全测试方法、装置和设备 | |
| CN107172127A (zh) | 基于多代理的信息安全技术竞赛过程监控方法 | |
| Koroniotis et al. | The sair-iiot cyber testbed as a service: A novel cybertwins architecture in iiot-based smart airports | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN106209902A (zh) | 一种应用于知识产权运营平台的网络安全系统及检测方法 | |
| CN114465741A (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN114157454A (zh) | 攻击反制方法、装置、计算机设备和存储介质 | |
| CN115150124A (zh) | 欺骗防御系统 | |
| CN111049780B (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN109960937B (zh) | 一种漏洞演练环境的构建方法及系统 | |
| Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
| CN109474567A (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |