CN107809425A - 一种蜜罐部署系统 - Google Patents
一种蜜罐部署系统 Download PDFInfo
- Publication number
- CN107809425A CN107809425A CN201710996942.3A CN201710996942A CN107809425A CN 107809425 A CN107809425 A CN 107809425A CN 201710996942 A CN201710996942 A CN 201710996942A CN 107809425 A CN107809425 A CN 107809425A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- client
- address
- agent
- port numbers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Medicines Containing Material From Animals Or Micro-Organisms (AREA)
Abstract
本发明提供了一种蜜罐部署系统,包括蜜罐代理客户端、蜜罐代理服务端、内核网络模块和真实蜜罐;蜜罐代理客户端用于和客户端建立连接,将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端;蜜罐代理服务端接收所述客户协议包后,申请代理端口号、注册一条改写记录传递给内核网络模块,内核网络模块根据改写记录将代理IP地址和端口号改写成客户IP地址和端口号,并利用代理IP地址和端口号与真实蜜罐建立连接,传达所述客户协议包。本发明通过蜜罐代理服务端将客户访问引进到真实蜜罐,通过内核网络模块进行代理IP地址和端口号与客户IP地址和端口号改写,部署成本低,并能跟踪到攻击者的IP地址和端口号。
Description
技术领域
本发明涉及计算机网络安全,尤其涉及一种蜜罐部署系统。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而对攻击行为进行捕获和分析。为增大攻击者对蜜罐攻击的概率,其中最有效的方式是,在可能被攻击的环境中,布置海量的蜜罐,增强蜜罐在攻击者前的曝光率。比如:如果蜜罐部署的密度能够和真实的企业资产达到1:1甚至更高的比例,那么攻击者就有很高的概率会踩到蜜罐,从而被感知到。然而,大量部署蜜罐的部署成本高且占用大量的服务器资源,另一方面,如此多蜜罐(应用程序)的运行和维护成本极高。
发明内容
为了克服现有技术的不足,本发明提供了一种蜜罐部署系统,通过部署蜜罐代理客户端到业务主机上,大大减少了部署成本,其具体采用的技术方案如下:
一种蜜罐部署系统,包括蜜罐代理客户端、蜜罐代理服务端、内核网络模块和真实蜜罐;
所述蜜罐代理客户端用于和客户端建立连接,并将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端;
所述蜜罐代理服务端接收所述客户协议包后,申请代理端口号、并注册一条改写记录传递给所述内核网络模块,所述内核网络模块根据所述改写记录将代理IP地址和端口号改写成所述客户IP地址和端口号,并利用所述代理IP地址和端口号与所述真实蜜罐建立连接,传递所述客户协议包。
优选的,当所述真实蜜罐向所述客户端发送反馈报文时,所述内核网络模块将所述客户IP地址和端口号改为代理IP地址和端口号后,所述蜜罐代理服务端接收所述反馈报文、并封装成反馈协议包后发送至所述蜜罐代理客户端,最后所述蜜罐代理客户端将所述反馈协议包发送至所述客户端。
优选的,当所述蜜罐代理客户端与所述客户端断开连接后,封装一个断开协议包,并发送至所述蜜罐代理服务端;所述蜜罐代理服务端接收到所述断开协议包后,所述蜜罐代理服务端通过代理IP地址和端口号与所述真实蜜罐断开连接且所述内核网络模块将所述代理IP地址和端口号改为所述客户IP地址和端口号。
优选的,当所述蜜罐代理服务端接收到所述蜜罐代理客户端的断开请求后,注册一条包含所述代理IP地址和端口号、所述客户IP地址和端口号和蜜罐IP地址和端口号信息的反改写记录,并发至所述内核网络模块,所述内核网络模块接收到所述反改写记录后,不再对所述客户IP地址和端口号与所述代理IP地址和端口号进行改写。
优选的,还包括蜜罐管理端,所述蜜罐管理端与所述真实蜜罐进行通信,用于对所述真实蜜罐进行管理。
优选的,还包括系统管理端,所述系统管理端与所述蜜罐代理客户端和所述蜜罐管理端进行通信,用于为所述蜜罐代理客户端提供代理策略,和对所述蜜罐管理端进行管理。
优选的,所述蜜罐代理客户端位于业务计算机上,所述蜜罐代理服务端、所述内核网络模块、所述真实蜜罐和所述蜜罐管理端位于与所述业务计算机网络互通的另一计算机上。
优选的,所述真实蜜罐为存在于虚拟系统上的多种虚拟蜜罐。
优选的,所述蜜罐代理客户端绑定了3306端口、22端口和80端口中的一种或多种端口,所述端口号和所述虚拟蜜罐种类对应。
与现有技术相比,本技术方案的有益效果是:本发明通过在业务主机上部署蜜罐代理客户端,让客户端以为访问蜜罐代理客户端即访问了业务信息,而实际上本发明通过蜜罐代理服务端将客户端的访问引进到真实蜜罐,并且通过内核网络模块进行代理IP地址和端口号与客户IP地址和端口号的改写,实现客户IP地址和端口号的跟踪;本发明提供的一种蜜罐部署系统,不仅部署成本低,还能跟踪到攻击者(即客户端)的IP地址和端口号。
附图说明
图1是一个实施例中的蜜罐部署系统结构框图;
图2是另一个实施例中的蜜罐部署系统结构框图。
具体实施方式
下面结合附图,通过具体实施例,对本发明的技术方案进行清楚、完整的描述。
蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。现有技术中,常见以下3中蜜罐部署方式,但都存在相应的缺点:
一、在大量机器上部署蜜罐。
缺点:部署成本高,占用大量的服务器资源。且如此多蜜罐(应用程序)的运营维护成本极高。
二、在业务服务器或者空闲的机器上,通过部署代理(proxy).然后将访问请求转发到真正的相应的蜜罐上.与直接大量部署蜜罐一样增加了攻击者前蜜罐的曝光率。
缺点:目前只有几种支持TCP(Transmission Control Protocol传输控制协议)服务的proxy,比如http/https服务的proxy,mysql服务的mysql-proxy。其中,http/https服务的proxy支持取到客户端IP(即攻击者的源IP)。mysql-proxy服务的客户端IP(即攻击者的源IP)转发后客户端被篡改成部署mysql-proxy的IP,因此获取不到客户端IP。这是因为业界提供了专门针对http/https代理,在转发http/https请求时,支持修改http/https请求头部,将客户端IP作为http/https协议一部分发往最终机器,而其他的TCP服务绝大部分没有提供这样的专业代理。
三、端口转发:网络层上修改来源IP和目标IP。支持所有TCP服务;比如iptables-
NAT。与直接大量部署蜜罐一样增加了攻击者前蜜罐的曝光率
缺点:请求的客户端IP将被篡改成,配置iptables-NAT策略的机器IP,导致蜜罐无
法捕获到客户端IP(即攻击者的源IP)。
基于此,本发明提供了一种蜜罐部署系统,通过部署代理增大蜜罐在客户端(攻击者)前出现的概率,同时通过一些了代理IP和端口号及客户IP和端口号的改写,实现蜜罐对客户端IP和端口号的追踪。
参考图1,一种蜜罐部署系统,包括蜜罐代理客户端、蜜罐代理服务端、内核网络模块和真实蜜罐;
所述蜜罐代理客户端用于和客户端(攻击者)建立连接,并将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端;
所述蜜罐代理服务端接收所述客户协议包后,申请代理端口号、并注册一条改写记录传递给所述内核网络模块,改写记录包括代理IP地址和端口号、蜜罐IP地址和端口号以及客户IP地址和端口号等信息,所述内核网络模块根据所述改写记录将代理IP地址和端口号改写成所述客户IP地址和端口号,并利用所述代理IP地址和端口号与所述真实蜜罐建立连接,传递所述客户协议包。蜜罐代理服务端与所述真实蜜罐的通信端口为自身实际的端口号,但是在向真实蜜罐发送的协议包中,通过内核网络模块将自身实际的代理IP地址和端口号改写为客户IP地址和端口号,即攻击者的IP地址和端口号;一方面保证了与真实蜜罐的通信连接,另一方面,又将客户IP地址和端口号转发给了真实蜜罐,因此,真实蜜罐认定为攻击者在对其进行攻击,进一步的,可记录跟踪客户IP地址和端口号。
该系统支持各种TCP服务的代理,让攻击者以为访问的是蜜罐代理客户端(以下简称proxy_cli)计算机上的TCP应用服务,实际上是访问的是真实蜜罐。同样,真实蜜罐认为是客户端IP发起的请求,即记录的客户端IP是真正的客户端IP,而不是中转的代理IP。
在一个实施例中,所述真实蜜罐为存在于虚拟系统上的多种虚拟蜜罐,比如部署在虚拟机(kvm:Kernel-based Virtual Machine)中的web蜜罐、mysql蜜罐。通过在kvm上部署蜜罐,最大程度上防止真实业务被入侵者破坏,且能模拟不存在的漏洞,进一步提高了真实业务的安全性。
在一个实施例中,当所述真实蜜罐向所述客户端发送反馈报文时,所述内核网络模块将所述客户IP地址和端口号改为代理IP地址和端口号后,所述蜜罐代理服务端接收所述反馈报文、并封装成反馈协议包后发送至所述蜜罐代理客户端,最后所述蜜罐代理客户端将所述反馈协议包发送至所述客户端。所述内核网络模块将所述客户IP地址和端口号改为代理IP地址和端口号,保证了真实蜜罐可以通过代理IP地址和端口号找到蜜罐代理服务端,并与之建立连接。其中,反馈协议包的信息包括报文信息,客户IP地址和端口号、蜜罐IP地址和端口号。因此,对于真实蜜罐和客户端,两者的交互的信息中都只有两者的IP地址和端口号,而蜜罐代理服务端只是提供一个转接通道,实现地址跟踪和连接对象的迷惑。
本实施例中,进一步的,所述蜜罐代理客户端与所述客户端断开连接后,封装一个断开协议包,该协议包中包括断开请求、客户IP地址和端口号和蜜罐IP地址和端口号等信息,并发送至所述蜜罐代理服务端;所述蜜罐代理服务端接收到所述断开协议包后,所述蜜罐代理服务端通过代理IP地址和端口号与所述真实蜜罐断开连接且所述内核网络模块将所述代理IP地址和端口号改为所述客户IP地址和端口号,即通过自身实际的IP地址和端口号和真实蜜罐建立连接,但传递的信息是客户IP地址和端口号而非实际参与连接的代理IP地址和端口号。更进一步的,当所述蜜罐代理服务端接收到所述蜜罐代理客户端的断开请求后,注册一条包含所述代理IP地址和端口号、所述客户IP地址和端口号和蜜罐IP地址和端口号信息的反改写记录,并发送至所述内核网络模块,所述内核网络模块接收到所述反改写记录后,不再对所述客户IP地址和端口号与所述代理IP地址和端口号进行改写,记录真实信息即可。
参见附图2,本发明还提供了一种蜜罐部署系统,它还包括蜜罐管理端,所述蜜罐管理端与所述真实蜜罐进行通信,用于对所述真实蜜罐进行管理,即对真实蜜罐进行部署确定,确定需要部署什么样的蜜罐,部署多少个蜜罐。进一步的,本实施例中,蜜罐部署系统还包括系统管理端,所述系统管理端与所述蜜罐代理客户端和所述蜜罐管理端进行通信,用于为所述蜜罐代理客户端提供代理策略,和对所述蜜罐管理端进行管理。进一步的,所述蜜罐代理客户端绑定了3306端口、22端口和80端口中的一种或多种端口,所述端口号和所述虚拟蜜罐种类对应,这些设定通过所述系统管理端实现,系统管理端通过蜜罐管理端部署的蜜罐种类和数量下发代理策略至蜜罐代理客户端。
在另一个实施例中,所述蜜罐代理客户端位于业务计算机上,所述蜜罐代理服务端、所述内核网络模块、所述真实蜜罐和所述蜜罐管理端位于与所述业务计算机网络互通的另一计算机上,所述蜜罐代理客户端位于业务计算机能更加有效的诱惑攻击者对其展开攻击。
下面通过具体实施例来对本发明进行详细阐述。
在一个实施例中,本发明提供的蜜罐部署系统分为3个环节:TCP连接阶段,交换TCP报文阶段,TCP连接关闭阶段。本实施例中,记蜜罐代理客户端为proxy_cli;蜜罐代理服务端为proxy_srv;客户端IP为cip,端口号为cport;蜜罐代理服务端IP为dip,端口号为dport;蜜罐IP为mip,端口号为mport。
I.我们在需要可以部署“蜜罐”的机器上,部署蜜罐代理客户端(proxy_cli)进程。绑定相应的TCP端口:如果是提供mysql服务最好绑定3306;如果是ssh服务最好绑定22,如果是http最好绑定80。如果是部署多个蜜罐就绑定多个相应的端口。
TCP连接阶段
II.当客户端(cip:cport),访问proxy_cli的端口(pip:pport)提供的服务时(附图1中序号1).客户端先和proxy_cli建立TCP连接。proxy_cli与客户端成功建立连接后,会封装一个协议包,相当于客户协议包;
通过TCP请求发给proxy_srv进程,该阶段对应附图1序号2。
III.proxy_srv接到proxy_cli请求后,先申请一个可用端口dport,注册一条纪录(dip、dport,mip、mport,cip、cport)给这台机器的内核网络模块。如附图1序号3所示,内核网络模块将凡是dip、dport发给mip、mport的TCP请求ip头部的dip改为cip,以及TCP请求头部的dport改为cport。凡是对应的返向包,即mip、mport发给cip、cport的包,都将篡改cip、cport为dip、dport。
IV.proxy_srv(用dip、dport与真实蜜罐建立TCP连接.由于内核模块会篡改dip,dport和cip,cport,真实蜜罐以为是cip,cport和他建立的连接。该阶段对应附图1中序号4。
TCP报文交换阶段
以客户端向proxy_cli发送报文为例子。
I.客户端(cip,cport)向proxy_cli(pip,pport)发送TCP报文(对应附图1中序号1)。Proxy_cli接收报文后,封装协议。
{
type:TCP内容报文
cip:客户端ip,
cport:客户端port,
mip:真正提供蜜罐服务的ip
mport:真正提供蜜罐服务的port
cnt:TCP报文内容
}
通过TCP请求发给proxy_srv进程(对应附图1序号2);
proxy_srv进程接收到请求(将协议里的TCP报文内容)用dip,dport发送给mip,mport。由于我们编写的内核网络模块(会改dip,dportcip,cport)因此kvm上蜜罐服务mip,mport会收到cip,cport请求。
II.同时kvm上蜜罐服务可能会给cip,cport发送相应的报文(比如http返回报文)。由于我们编写的内核网络模块(会改cip,cport为dip,dport)proxy_srv会收到回包。Proxy_srv会将回包,封装成json协议报文
发送给proxy_cli.
III.Proxy_cli将TCP报文($rsp_cnt)发送给客户端。
TCP断阶段
I.当客户端ip(cip、cport),与proxy_cli的端口(pip、pport)断连接(如附图1中的序号1)。客户端先和proxy_cli建立TCP连接后,Proxy_cli与客户端断连接后,会封装一个协议包,如下:
{
type:断连接
cip:客户端ip,
cport:客户端port,
mip:真正提供蜜罐服务的ip
mport:真正提供蜜罐服务的port
}
通过TCP请求发给proxy_srv进程(对应附图1中序号2)
II.proxy_srv(用dip,dport与kvm(上面蜜罐服务,mip,mport)端口TCP连接.由于内核模块会篡改dip,dport和cip,cport,kvm(上面的蜜罐服务)会以为是cip,cport和他断口连接。(对应附图1序号4)
III.proxy_srv(ip用dip代表)接到proxy_cli请求后,反注册一条纪录(dip、dport,mip、mport,cip、cport)给这台机器的内核网络模块(这个内核网络模块将不再对dip、dport和cip、cport进行篡改)(对应附图1的序号3)。
本发明提供的一种蜜罐部署系统,具有以下优势:
1.支持海量蜜罐
蜜罐代理(proxy_cli)部署成本很低(一个对外4层网络协议服务即可,然后转发通信内容到蜜罐设备机的程序.由蜜罐设备机的proxy_srv程序根据proxy_cli转发过来的内容,伪装成攻击者和蜜罐进行通信,这样蜜罐来说攻击者身份是可获取的),且一个蜜罐代理可以同时提供多个不同类型的蜜罐代理服务。因此我们可以低成本海量部署proxy_cli到业务机器和空闲机器。从而大概率诱导攻击者让其访问虚拟蜜罐代理,并定位到攻击者的位置(cip)。
2.让蜜罐具备更高的伪装性
因为直接在业务机器,部署蜜罐代理(proxy_cli),因为这台机器有真实的业务,这样让最终的蜜罐更容易误导攻击者误认为是真实业务。
3.更快的定位攻击者
因为蜜罐收集到的客户端ip是真实的攻击者ip。如果是内部部署,将快速定位到黑客所在那台服务器。通知安全人员进行相应的处理。
4.更快的关联攻击者
因为蜜罐收集到的客户端ip是真实的攻击者ip。可以跟进客户端ip进行归类,以及访问蜜罐的上下文,从而确认攻击者的攻击手法。
本系统利用内核模块修改网络包,模拟攻击者和蜜罐进行通信,这样蜜罐来说攻击者真实ip是可获取的),且一个蜜罐代理可以同时提供多个不同类型的蜜罐代理服务。因此我们可以低成本海量部署proxy_cli到业务机器和空闲机器。从而大概率诱导攻击者让其访问虚拟蜜罐代理,并定位到攻击者的位置(ip)。
本发明虽然已以较佳实施例公开如上,但其并不是用来限定本发明,任何本领域技术人员在不脱离本发明的精神和范围内,都可以利用上述揭示的方法和技术内容对本发明技术方案做出可能的变动和修改,因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰,均属于本发明技术方案的保护范围。
Claims (9)
1.一种蜜罐部署系统,包括蜜罐代理客户端,其特征在于,还包括蜜罐代理服务端、内核网络模块和真实蜜罐;
所述蜜罐代理客户端用于和客户端建立连接,并将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端;
所述蜜罐代理服务端接收所述客户协议包后,申请代理端口号、并注册一条改写记录传递给所述内核网络模块,所述内核网络模块根据所述改写记录将代理IP地址和端口号改写成所述客户IP地址和端口号,并利用所述代理IP地址和端口号与所述真实蜜罐建立连接,传递所述客户协议包。
2.根据权利要求1所述的一种蜜罐部署系统,其特征在于,当所述真实蜜罐向所述客户端发送反馈报文时,所述内核网络模块将所述客户IP地址和端口号改为代理IP地址和端口号后,所述蜜罐代理服务端接收所述反馈报文、并封装成反馈协议包后发送至所述蜜罐代理客户端,最后所述蜜罐代理客户端将所述反馈协议包发送至所述客户端。
3.根据权利要求2所述的一种蜜罐部署系统,其特征在于,当所述蜜罐代理客户端与所述客户端断开连接后,封装一个断开协议包,并发送至所述蜜罐代理服务端;所述蜜罐代理服务端接收到所述断开协议包后,所述蜜罐代理服务端通过代理IP地址和端口号与所述真实蜜罐断开连接且所述内核网络模块将所述代理IP地址和端口号改为所述客户IP地址和端口号。
4.根据权利要求3所述的一种蜜罐部署系统,其特征在于,当所述蜜罐代理服务端接收到所述蜜罐代理客户端的断开请求后,注册一条包含所述代理IP地址和端口号、所述客户IP地址和端口号和蜜罐IP地址和端口号信息的反改写记录,并发至所述内核网络模块,所述内核网络模块接收到所述反改写记录后,不再对所述客户IP地址和端口号与所述代理IP地址和端口号进行改写。
5.根据权利要求1-4任一项所述的一种蜜罐部署系统,其特征在于,还包括蜜罐管理端,所述蜜罐管理端与所述真实蜜罐进行通信,用于对所述真实蜜罐进行管理。
6.根据权利要求5所述的一种蜜罐部署系统,其特征在于,还包括系统管理端,所述系统管理端与所述蜜罐代理客户端和所述蜜罐管理端进行通信,用于为所述蜜罐代理客户端提供代理策略,和对所述蜜罐管理端进行管理。
7.根据权利要求6所述的一种蜜罐部署系统,其特征在于,所述蜜罐代理客户端位于业务计算机上,所述蜜罐代理服务端、所述内核网络模块、所述真实蜜罐和所述蜜罐管理端位于与所述业务计算机网络互通的的另一计算机上。
8.根据权利要求7所述的一种蜜罐部署系统,其特征在于,所述真实蜜罐为存在于虚拟系统上的多种虚拟蜜罐。
9.根据权利要求8所述的一种蜜罐部署系统,其特征在于,所述蜜罐代理客户端绑定了3306端口、22端口和80端口中的一种或多种端口,所述端口号和所述虚拟蜜罐种类对应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710996942.3A CN107809425A (zh) | 2017-10-20 | 2017-10-20 | 一种蜜罐部署系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710996942.3A CN107809425A (zh) | 2017-10-20 | 2017-10-20 | 一种蜜罐部署系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107809425A true CN107809425A (zh) | 2018-03-16 |
Family
ID=61584912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710996942.3A Pending CN107809425A (zh) | 2017-10-20 | 2017-10-20 | 一种蜜罐部署系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107809425A (zh) |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署系统 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
CN113162922A (zh) * | 2021-04-09 | 2021-07-23 | 广州锦行网络科技有限公司 | 客户端数据的获取方法及装置、存储介质、电子设备 |
CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
CN114342319A (zh) * | 2019-09-04 | 2022-04-12 | 甲骨文国际公司 | 用于基础设施即服务安全性的蜜罐 |
CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
US8087083B1 (en) * | 2002-01-04 | 2011-12-27 | Verizon Laboratories Inc. | Systems and methods for detecting a network sniffer |
CN103078753A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种邮件的处理方法、装置和系统 |
CN105447385A (zh) * | 2014-12-08 | 2016-03-30 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
-
2017
- 2017-10-20 CN CN201710996942.3A patent/CN107809425A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8087083B1 (en) * | 2002-01-04 | 2011-12-27 | Verizon Laboratories Inc. | Systems and methods for detecting a network sniffer |
CN101262351A (zh) * | 2008-05-13 | 2008-09-10 | 华中科技大学 | 一种网络追踪系统 |
CN103078753A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种邮件的处理方法、装置和系统 |
CN105447385A (zh) * | 2014-12-08 | 2016-03-30 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
CN105743878A (zh) * | 2014-12-30 | 2016-07-06 | 瞻博网络公司 | 使用蜜罐的动态服务处理 |
Non-Patent Citations (1)
Title |
---|
程杰仁: "基于代理的Honeypot系统关键技术研究与实现", 《中国优秀博硕士学位论文全文数据库 (硕士) 信息科技辑》 * |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347881B (zh) * | 2018-11-30 | 2021-11-23 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
CN110401638A (zh) * | 2019-06-28 | 2019-11-01 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN110401638B (zh) * | 2019-06-28 | 2021-05-25 | 奇安信科技集团股份有限公司 | 一种网络流量分析方法及装置 |
CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
CN114342319A (zh) * | 2019-09-04 | 2022-04-12 | 甲骨文国际公司 | 用于基础设施即服务安全性的蜜罐 |
CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN110958250B (zh) * | 2019-12-04 | 2022-06-10 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN110995763B (zh) * | 2019-12-26 | 2022-08-05 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署系统 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
CN113162922A (zh) * | 2021-04-09 | 2021-07-23 | 广州锦行网络科技有限公司 | 客户端数据的获取方法及装置、存储介质、电子设备 |
CN113162922B (zh) * | 2021-04-09 | 2022-04-15 | 广州锦行网络科技有限公司 | 客户端数据的获取方法及装置、存储介质、电子设备 |
CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107809425A (zh) | 一种蜜罐部署系统 | |
WO2021196911A1 (zh) | 基于人工智能的网络安全防护方法、装置、电子设备 | |
CN109756501B (zh) | 一种基于http协议的高隐匿网络代理方法及系统 | |
CN109347817A (zh) | 一种网络安全重定向的方法及装置 | |
CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
CN104160680B (zh) | 用于透明代理缓存的欺骗技术 | |
CN110191031A (zh) | 网络资源访问方法、装置、电子设备 | |
CN104994104B (zh) | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 | |
CN109076065A (zh) | 安全的基于资源的策略 | |
CN103491065A (zh) | 一种透明代理及其实现方法 | |
CN108156163A (zh) | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 | |
CN101989909A (zh) | 一种ssl vpn的访问链接改写方法 | |
CN106603491A (zh) | 基于https协议的Portal认证方法及路由器 | |
CN107659485A (zh) | 一种虚拟专用网络vpn中的设备与服务器通信的方法及装置 | |
CN107426339A (zh) | 一种数据连接通道的接入方法、装置及系统 | |
CN108055312A (zh) | 路由方法及其装置与计算机装置及其可读存储介质 | |
CN104320378B (zh) | 拦截网页数据的方法及系统 | |
CN102624918A (zh) | 一种基于url重写技术的代理访问方法 | |
CN110557405B (zh) | 一种高交互ssh蜜罐实现方法 | |
CN107104929A (zh) | 防御网络攻击的方法、装置和系统 | |
CN106936875A (zh) | 基于广域网数据压缩的改进tcp代理方法 | |
US8713088B2 (en) | Identifying users of remote sessions | |
CN106936796B (zh) | 一种基于sni的服务器负载均衡方法及设备 | |
CN105592038B (zh) | Portal认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180316 |
|
RJ01 | Rejection of invention patent application after publication |