CN107566409A - 局域网扫描行为检测方法、装置、电子设备、存储介质 - Google Patents
局域网扫描行为检测方法、装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN107566409A CN107566409A CN201710984711.0A CN201710984711A CN107566409A CN 107566409 A CN107566409 A CN 107566409A CN 201710984711 A CN201710984711 A CN 201710984711A CN 107566409 A CN107566409 A CN 107566409A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- daily record
- jar container
- mirror image
- standard application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种局域网扫描行为检测方法、装置、电子设备、存储介质,所述方法包括:制作镜像,并在所述镜像内模拟标准应用服务;将所述镜像下发至局域网内的多个宿主机;基于所述镜像于各所述宿主机中生成蜜罐容器;各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求;当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志;利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件;根据所述告警事件进行告警。本发明提供的方法及装置减少局域网检测成本并提升检测效果。
Description
技术领域
本发明涉及计算机应用技术领域,尤其涉及一种局域网扫描行为检测方法、装置、电子设备、存储介质。
背景技术
随着互联网行业的不断发展,IT运维场景范围不断扩大,对于大型互联网公司,庞大的局域网服务器与网络流量给局域网入侵的检测带来很多问题。尤其对于局域网流量检测,对于大量流量的抓包、协议解析、规则检测需要强大的硬件资源以及人力技术资源投入,且效果往往不理想。
对于一些现有的实时IDS(Intrusion Detection Systems,入侵检测系统),其入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这样的方式计算量大,且对硬件需求较高。
因此,如何实现低成本高效率的局域网扫描检测是亟待解决的问题。
发明内容
本发明为了克服上述现有技术存在的缺陷,提供一种局域网扫描行为检测方法、装置、电子设备、存储介质,以减少局域网检测成本并提升检测效果。
根据本发明的一个方面,提供一种局域网扫描行为检测方法,包括:制作镜像,并在所述镜像内模拟标准应用服务;将所述镜像下发至局域网内的多个宿主机;基于所述镜像于各所述宿主机中生成蜜罐容器;各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求;当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志;利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件;根据所述告警事件进行告警。
可选地,所述当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志之后,所述利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件之前包括:将所述蜜罐容器实时生成的检测日志经由一中间件进行日志分片,所述蜜罐容器每生成一检测日志,实时发送至所述中间件。
可选地,所述根据所述告警事件进行告警包括:根据一白名单筛选告警事件,根据筛选后的告警事件进行告警。
可选地,所述分布式搜索引擎追溯的所述检测日志来自一个或多个蜜罐容器。
可选地,所述检测日志包括蜜罐容器的ip地址、该标准应用服务、蜜罐容器的端口、调用该标准应用服务的服务请求的源ip地址、调用该标准应用服务的服务请求的源端口、调用该标准应用服务的行为数据中的多项,所述行为数据包括行为时间、行为类型及行为参数中的一项或多项。
可选地,所述标准应用服务包括:SSH协议、HTTP协议、SMB协议、DNS协议中的一项或多项。
可选地,若调用的标准应用服务为SSH协议,则所述行为时间为登陆时间,行为类型为登陆,行为参数为用户名及密码。
可选地,若调用的标准应用服务为HTTP协议,则所述行为类型包括建立链接、传输数据、断开连接,行为时间为各行为类型的执行时间,行为参数包括传输的数据类型及数据。
可选地,所述一个或多个预定字段包括:蜜罐容器的ip地址、源ip地址、标准应用服务、蜜罐容器的端口及时间段中的一项或多项。
可选地,所述局域网内,一个网段至多有一个生成蜜罐容器的宿主机。
可选地,所述局域网内,生成蜜罐容器的宿主机为用于不同环境之间传输数据的宿主机。
根据本发明的又一方面,还提供一种局域网扫描行为检测装置,包括:镜像生成模块,用于制作镜像,并在所述镜像内模拟标准应用服务;镜像下发模块,用于将所述镜像下发至局域网内的多个宿主机;蜜罐容器生成模块,用于基于所述镜像于各所述宿主机中生成蜜罐容器;监听模块,用于监听访问蜜罐容器各自的ip地址的服务请求;检测日志生成模块,用于当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志;分布式搜索引擎模块,用于利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件;告警模块,用于根据所述告警事件进行告警。
根据本发明的又一方面,还提供一种电子设备,所述电子设备包括:处理器;存储介质,其上存储有计算机程序,所述计算机程序被所述处理器运行时执行如上所述的步骤。
根据本发明的又一方面,还提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如上所述的步骤。
相比现有技术,本发明的优势在于:
1)相较于现有实时IDS的检测方式,本发明极大地减少了检测所需要的计算成本和存储成本。
2)容器化部署蜜罐极大地简化部署成本,运维人员能够更快地自动化操作部署动作,且具有很强的扩展性。
3)由于蜜罐容器所在局域网宿主机并不处理生产数据,且模拟的均为标准应用服务(标准生产服务),对于生产环境内部的扫描行为敏感,并能记录攻击者的调用服务时的日志作为后续追溯的检测日志。
4)由于蜜罐容器所在局域网宿主机并不处理生产数据,误报率低,针对部分运维行为,可通过白名单进行过滤。
附图说明
通过参照附图详细描述其示例实施方式,本发明的上述和其它特征及优点将变得更加明显。
图1示出了根据本发明实施例的局域网扫描行为检测方法的流程图。
图2示出了根据本发明实施例的一种蜜罐容器生成并传输检测日志的示意图。
图3示出了根据本发明实施例的另一种蜜罐容器生成并传输检测日志的示意图。
图4示出了根据本发明实施例的局域网扫描行为检测装置的示意图。
图5示意性示出本公开示例性实施例中一种计算机可读存储介质示意图。
图6示意性示出本公开示例性实施例中一种电子设备示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
为了解决现有技术的缺陷,减少局域网检测成本并提升检测效果,本发明提供一种局域网扫描行为检测方法、装置、电子设备、存储介质。
具体而言,本发明采用容器化蜜罐来进行局域网扫描行为检测。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
此外,容器技术虚拟化技术已经成为一种被大家广泛认可的容器技术服务器资源共享方式,容器技术可以在按需构建容器技术操作系统实例的过程当中为系统管理员提供极大的灵活性。容器技术可以同时将操作系统镜像和应用程序加载到内存当中。还可以从网络磁盘进行加载,因为同时启动几十台镜像不会对网络和存储带来很大负载。之后的镜像创建过程只需要指向通用镜像,大大减少了所需内存。容器技术能够在同一台服务器上创建相比于之前两倍的虚拟机实例数量,因此无疑将会降低系统总投入。
下面参见图1说明本发明提供的局域网扫描行为检测方法。如图1所示,共示出7个步骤:
步骤S110:制作镜像,并在所述镜像内模拟标准应用服务。
镜像用于后续生成蜜罐容器的步骤。本发明中的镜像和蜜罐容器可基于docker技术来实现。Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
步骤S110中所述的标准应用服务可以包括SSH协议、HTTP协议、SMB协议、DNS协议中的一项或多项。
SSH为Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH为建立在应用层基础上的安全协议。SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户(可作为本发明中的攻击端),服务器端是网站(即本发明中的宿主机)。通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。这个客户端可以被称为用户代理(user agent)。应答的服务器上存储着(一些)资源,比如HTML文件和图像。这个应答服务器可以被称为源服务器(origin server)。在用户代理和源服务器中间可能存在多个中间层,比如代理,网关,或者隧道(tunnels)。尽管TCP/IP协议是互联网上最流行的应用,HTTP协议并没有规定必须使用它和(基于)它支持的层。事实上,HTTP可以在任何其他互联网协议上,或者在其他网络上实现。HTTP只假定(其下层协议提供)可靠的传输,任何能够提供这种保证的协议都可以被其使用。
SMB(Server Message Block)是一个协议名,它能被用于Web连接和客户端(攻击端)与服务器(宿主机)之间的信息沟通。
DNS是域名系统(DomainNameSystem)的缩写,该系统用于命名组织到域层次结构中的计算机和网络服务。域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,在Internet上域名与IP地址之间是一一对应的,DNS就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库。
步骤S120:将所述镜像下发至局域网内的多个宿主机。
可选地,在步骤S110中,一个镜像模拟一个标准应用服务,多个镜像叠加地下发并部署在宿主机中,镜像在宿主机中为只读状态。
在一些实施例中,根据网段将镜像分布式下发至宿主机中。例如,对于c类网段(192.168.1.x为一个网段;192.168.2.x为一个网段;192.168.3.x为一个网段),每个网段中有一台宿主机生成有蜜罐容器。在又一些实施例中,所述局域网内,生成蜜罐容器的宿主机为用于不同环境之间传输数据的宿主机。例如,位于测试环境和生产环境(用于办公的IP环境、等工具环境等)之间边界的宿主机生成有蜜罐容器。
步骤S130:基于所述镜像于各所述宿主机中生成蜜罐容器。
蜜罐容器为宿主机中镜像之上的可写层,并具有运行态(Running)和退出态(Exited)。
步骤S140:各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求。
步骤S150:当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志。
在发明的各个实施例中,各蜜罐容器并不主动工作,当攻击端请求调用蜜罐容器中的标准应用服务时,触发蜜罐容器模拟标准应用服务并进行日志记录和发送。
可选地,在步骤S150之后,还可将所述蜜罐容器实时生成的检测日志经由一中间件进行日志分片。蜜罐容器每生成一检测日志即实时发送至所述中间件。该中间件可以是一个消息队列。日志分片可以包括所述检测日志中的每条日志进行分片,划分成多个字段。具体而言,可以根据字段位置、字段格式、字段名称等匹配方式,将每条日志的语句划分成多个字段。
具体而言,所述检测日志可以包括蜜罐容器的ip地址、该标准应用服务、蜜罐容器的端口、调用该标准应用服务的服务请求的源ip地址、调用该标准应用服务的服务请求的源端口、调用该标准应用服务的行为数据中的多项,所述行为数据包括行为时间、行为类型及行为参数中的一项或多项。
在一些实施例中,若调用的标准应用服务为SSH协议,则所述行为时间为登陆时间,行为类型为登陆,行为参数为用户名及密码。在又一些实施例中,若调用的标准应用服务为HTTP协议,则所述行为类型包括建立链接、传输数据、断开连接,行为时间为各行为类型的执行时间,行为参数包括传输的数据类型及数据。
步骤S160:利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件。
具体而言,步骤S160中分布式搜索引擎追溯的所述检测日志来自一个或多个蜜罐容器。
进一步地,步骤S160中的一个或多个预定字段可以预先设定。例如,一个或多个预定字段可以设置为蜜罐容器的ip地址、源ip地址、标准应用服务、蜜罐容器的端口及时间段中的一项或多项。在有一些实施例中,可以预先设定分布式搜索引擎首先追溯的所述检测日志的标准应用服务字段,并根据不同的标准应用服务继续追溯不同的字段。例如,当分布式搜索引擎首先追溯的所述检测日志的标准应用服务字段为SSH时,可继续追溯源ip地址、登录名、登陆事件等字段。例如,可追溯获取同一源ip地址登陆失败的次数。又例如,可追溯同一源ip地址登陆失败且的不同用户名的数量。
又例如,当分布式搜索引擎首先追溯的所述检测日志的标准应用服务字段为HTTP时,可根据字段追溯HTTP链接及数据传输的整个过程。步骤S160用于将多条检测日志进行整个,生成事件后,可删除储存的检测日志,以减少系统的储存负载。
步骤S170:根据所述告警事件进行告警。
具体而言,步骤S170还包括根据一白名单筛选告警事件,根据筛选后的告警事件进行告警。白名单可将内部运维时对各蜜罐容器的扫描行为排除在外以减少检测误报率。
可选地,步骤S160和步骤S170在SOC等安全事件分析管理平台中进行,以与SOC等安全事件分析管理平台进行高度整合。
下面分别根据图2及图3描述本发明实施例的蜜罐容器生成并传输检测日志的实施例。
如图2所示,模拟有标准应用服务的镜像下发至各个宿主机203后,基于这些镜像在宿主机203内生成蜜罐容器204。多个蜜罐容器204由例如docker容器管理平台的容器管理模块201进行管理。
当攻击端202扫描到一蜜罐容器204以请求蜜罐容器204中的标准应用服务时,蜜罐容器204模拟标准应用服务与攻击端202交互,交互过程中生成检测日志,每生成一条检测日志即发送到中间件205中。多条检测日志通过中间件205储存在分布式搜索引擎模块206或关联的数据库中,分布式搜索引擎模块206根据设置的聚合规则分析并处理这些检测日志以生成告警事件。告警模块207根据告警事件进行告警,同时,告警模块207还可根据一预定义的白名单,以排除内部运维产生的告警事件。可选地,白名单可包括内部运维的源ip地址,通过将告警事件中与白名单中源ip地址匹配的告警事件排除以减少系统误报。
图3示出了根据本发明实施例的另一种蜜罐容器生成并传输检测日志的示意图。与图2类似,但与图2不同的是,图3省略了容器管理模块201,同时在图3中攻击端202同时扫描多个蜜罐容器204。多个蜜罐容器204同时记录检测日志,并通过异步的方式发送至中间件205。在本实施例中,若分布式搜索引擎模块206的预定义聚合字段为源ip地址,则由于同一攻击端202进行扫描,分布式搜索引擎模块206聚合并分析来自多个蜜罐容器204的检测日志,并可依据多个蜜罐容器204的检测日志生成告警事件,并发送到告警模块207中。
图2及图3仅仅示意性地示出本发明的具体实施例,本发明的宿主机数量、蜜罐容器数量、镜像模块的标准应用服务并非以此为限。各模块的增加、合并在不背离本发明构思的前提下,都在本发明的保护范围之内。
下面参见图4,图4示出了根据本发明实施例的局域网扫描行为检测装置的示意图。
,局域网扫描行为检测装置400包括镜像生成模块410、镜像下发模块420、蜜罐容器生成模块430、监听模块440、检测日志生成模块450、分布式搜索引擎模块460及告警模块470。
镜像生成模块410用于制作镜像,并在所述镜像内模拟标准应用服务。镜像下发模块420用于将所述镜像下发至局域网内的多个宿主机。蜜罐容器生成模块430用于基于所述镜像于各所述宿主机中生成蜜罐容器。监听模块440用于监听访问蜜罐容器各自的ip地址的服务请求。检测日志生成模块450用于当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志。分布式搜索引擎模块460用于利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件。告警模块470用于根据所述告警事件进行告警。
图4仅仅是示意性地示出各个模块,可以理解,这些模块可以虚拟的软件模块或实际的硬件模块,这些模块的合并、拆分及其余模块的增加都在本发明的保护范围之内。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被例如处理器执行时可以实现上述任意一个实施例中所述电子处方流转处理方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
参考图5所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在租户计算设备上执行、部分地在租户设备上执行、作为一个独立的软件包执行、部分在租户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到租户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
在本公开的示例性实施例中,还提供一种电子设备,该电子设备可以包括处理器,以及用于存储所述处理器的可执行指令的存储器。其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一个实施例中所述电子处方流转处理方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图6来描述根据本发明的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得租户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述电子处方流转处理方法。
相比现有技术,本发明的优势在于:
1)相较于现有实时IDS的检测方式,本发明极大地减少了检测所需要的计算成本和存储成本。
2)容器化部署蜜罐极大地简化部署成本,运维人员能够更快地自动化操作部署动作,且具有很强的扩展性。
3)由于蜜罐容器所在局域网宿主机并不处理生产数据,且模拟的均为标准应用服务(标准生产服务),对于生产环境内部的扫描行为敏感,并能记录攻击者的调用服务时的日志作为后续追溯的检测日志。
4)由于蜜罐容器所在局域网宿主机并不处理生产数据,误报率低,针对部分运维行为,可通过白名单进行过滤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (14)
1.一种局域网扫描行为检测方法,其特征在于,包括:
制作镜像,并在所述镜像内模拟标准应用服务;
将所述镜像下发至局域网内的多个宿主机;
基于所述镜像于各所述宿主机中生成蜜罐容器;
各所述蜜罐容器监听访问蜜罐容器各自的ip地址的服务请求;
当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志;
利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件;
根据所述告警事件进行告警。
2.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志之后,所述利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件之前包括:
将所述蜜罐容器实时生成的检测日志经由一中间件进行日志分片,所述蜜罐容器每生成一检测日志,实时发送至所述中间件。
3.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述根据所述告警事件进行告警包括:
根据一白名单筛选告警事件,根据筛选后的告警事件进行告警。
4.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述分布式搜索引擎追溯的所述检测日志来自一个或多个蜜罐容器。
5.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述检测日志包括蜜罐容器的ip地址、该标准应用服务、蜜罐容器的端口、调用该标准应用服务的服务请求的源ip地址、调用该标准应用服务的服务请求的源端口、调用该标准应用服务的行为数据中的多项,所述行为数据包括行为时间、行为类型及行为参数中的一项或多项。
6.根据如权利要求5所述的局域网扫描行为检测方法,其特征在于,所述标准应用服务包括:SSH协议、HTTP协议、SMB协议、DNS协议中的一项或多项。
7.根据如权利要求6所述的局域网扫描行为检测方法,其特征在于,若调用的标准应用服务为SSH协议,则所述行为时间为登陆时间,行为类型为登陆,行为参数为用户名及密码。
8.根据如权利要求6所述的局域网扫描行为检测方法,其特征在于,若调用的标准应用服务为HTTP协议,则所述行为类型包括建立链接、传输数据、断开连接,行为时间为各行为类型的执行时间,行为参数包括传输的数据类型及数据。
9.根据如权利要求5所述的局域网扫描行为检测方法,其特征在于,所述一个或多个预定字段包括:
蜜罐容器的ip地址、源ip地址、标准应用服务、蜜罐容器的端口及时间段中的一项或多项。
10.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述局域网内,一个网段至多有一个生成蜜罐容器的宿主机。
11.根据如权利要求1所述的局域网扫描行为检测方法,其特征在于,所述局域网内,生成蜜罐容器的宿主机为用于不同环境之间传输数据的宿主机。
12.一种局域网扫描行为检测装置,其特征在于,包括:
镜像生成模块,用于制作镜像,并在所述镜像内模拟标准应用服务;
镜像下发模块,用于将所述镜像下发至局域网内的多个宿主机;
蜜罐容器生成模块,用于基于所述镜像于各所述宿主机中生成蜜罐容器;
监听模块,用于监听访问蜜罐容器各自的ip地址的服务请求;
检测日志生成模块,用于当所述蜜罐容器中的标准应用服务被调用时,实时生成检测日志;
分布式搜索引擎模块,用于利用分布式搜索引擎追溯各所述检测日志中的一个或多个预定字段,根据所述预定字段对多条所述检测日志进行聚合生成告警事件;
告警模块,用于根据所述告警事件进行告警。
13.一种电子设备,其特征在于,所述电子设备包括:
处理器;
存储介质,其上存储有计算机程序,所述计算机程序被所述处理器运行时执行如权利要求1至11任一项所述的步骤。
14.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至11任一项所述的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710984711.0A CN107566409A (zh) | 2017-10-20 | 2017-10-20 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710984711.0A CN107566409A (zh) | 2017-10-20 | 2017-10-20 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107566409A true CN107566409A (zh) | 2018-01-09 |
Family
ID=60986803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710984711.0A Pending CN107566409A (zh) | 2017-10-20 | 2017-10-20 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107566409A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
| CN110035079A (zh) * | 2019-04-10 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种蜜罐生成方法、装置及设备 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN111510463A (zh) * | 2020-03-07 | 2020-08-07 | 浙江齐治科技股份有限公司 | 异常行为识别系统 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN113965412A (zh) * | 2021-11-22 | 2022-01-21 | 国家电网公司华中分部 | 一种蜜罐攻击阶段分析与聚合系统的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018121A (zh) * | 2007-03-15 | 2007-08-15 | 杭州华为三康技术有限公司 | 日志的聚合处理方法及聚合处理装置 |
| US20140282823A1 (en) * | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
| CN104125121A (zh) * | 2014-08-15 | 2014-10-29 | 携程计算机技术(上海)有限公司 | 网络劫持行为的检测系统及方法 |
| CN105979009A (zh) * | 2016-07-06 | 2016-09-28 | 乾云众创(北京)信息科技研究院有限公司 | 一种针对云应用容器的增加负载自动均衡方法 |
| CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
-
2017
- 2017-10-20 CN CN201710984711.0A patent/CN107566409A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101018121A (zh) * | 2007-03-15 | 2007-08-15 | 杭州华为三康技术有限公司 | 日志的聚合处理方法及聚合处理装置 |
| US20140282823A1 (en) * | 2013-03-15 | 2014-09-18 | Enterasys Networks, Inc. | Device and related method for establishing network policy based on applications |
| CN104125121A (zh) * | 2014-08-15 | 2014-10-29 | 携程计算机技术(上海)有限公司 | 网络劫持行为的检测系统及方法 |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN105979009A (zh) * | 2016-07-06 | 2016-09-28 | 乾云众创(北京)信息科技研究院有限公司 | 一种针对云应用容器的增加负载自动均衡方法 |
| CN106778246A (zh) * | 2016-12-01 | 2017-05-31 | 北京奇虎科技有限公司 | 沙箱虚拟化的检测方法及检测装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
| CN110035079A (zh) * | 2019-04-10 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种蜜罐生成方法、装置及设备 |
| CN110035079B (zh) * | 2019-04-10 | 2021-10-29 | 创新先进技术有限公司 | 一种蜜罐生成方法、装置及设备 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110995738A (zh) * | 2019-12-13 | 2020-04-10 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN110995738B (zh) * | 2019-12-13 | 2022-04-01 | 北京天融信网络安全技术有限公司 | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
| CN111510463A (zh) * | 2020-03-07 | 2020-08-07 | 浙江齐治科技股份有限公司 | 异常行为识别系统 |
| CN111431881A (zh) * | 2020-03-18 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN111431881B (zh) * | 2020-03-18 | 2020-11-20 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN111600895A (zh) * | 2020-05-20 | 2020-08-28 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
| CN113965412A (zh) * | 2021-11-22 | 2022-01-21 | 国家电网公司华中分部 | 一种蜜罐攻击阶段分析与聚合系统的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566409A (zh) | 局域网扫描行为检测方法、装置、电子设备、存储介质 | |
| Baykara et al. | A novel honeypot based security approach for real-time intrusion detection and prevention systems | |
| JP6378395B2 (ja) | 異常部分グラフの検出のための道探査及び異常/変更検出及び網状況認知のためのdns要求及びホストエージェントの使用 | |
| EP3528462B1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| US20170180421A1 (en) | Deception using Distributed Threat Detection | |
| WO2021171092A2 (en) | Treating data flows differently based on level of interest | |
| CN104285219B (zh) | 统一扫描管理 | |
| CN107683597A (zh) | 用于异常检测的网络行为数据收集和分析 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN108646722A (zh) | 一种工业控制系统信息安全仿真模型及终端 | |
| US20210350248A1 (en) | Visualizing Cybersecurity Incidents Using Knowledge Graph Data | |
| Morishita et al. | Detect me if you… oh wait. An internet-wide view of self-revealing honeypots | |
| CN106131023A (zh) | 一种信息安全风险强力识别系统 | |
| CN103312689A (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 | |
| Murad et al. | Software testing techniques in iot | |
| Haseeb et al. | A measurement study of iot-based attacks using iot kill chain | |
| CN107864153A (zh) | 一种基于网络安全传感器的网络病毒预警方法 | |
| Sadineni et al. | Ready-iot: A novel forensic readiness model for internet of things | |
| CN106789371A (zh) | 一种基于云计算的安全监控方法及系统 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
| CN105683943A (zh) | 使用基于逻辑多维标签的策略模型的分布式网络安全 | |
| Geetanjali et al. | IoTexpert: Interconnection, interoperability and integration of IoT platforms | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| Pavendan et al. | A Graph Theory Based Sel f Learning Honeypot to Detect Persistent Threats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180109 |