CN108429739B - 一种识别蜜罐的方法、系统及终端设备 - Google Patents
一种识别蜜罐的方法、系统及终端设备 Download PDFInfo
- Publication number
- CN108429739B CN108429739B CN201810146005.3A CN201810146005A CN108429739B CN 108429739 B CN108429739 B CN 108429739B CN 201810146005 A CN201810146005 A CN 201810146005A CN 108429739 B CN108429739 B CN 108429739B
- Authority
- CN
- China
- Prior art keywords
- target terminal
- data packet
- preset
- port
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明适用于通信技术领域,提供了一种识别蜜罐的方法、系统及终端设备,所述识别蜜罐的方法包括:生成第一数据包,第一数据包包括目标终端地址、第一功能码和第一协议标识符,发送第一数据包至目标终端,若在第一预设时间内未接收到目标终端反馈的第一响应数据包,则确定目标终端为蜜罐。本发明通过根据是否在第一预设时间内接收到目标终端反馈的第一响应数据包,确定出目标终端是否为蜜罐,从而有效识别出目标终端是真实的工业控制系统还是蜜罐。
Description
技术领域
本发明属于通信技术领域,尤其涉及一种识别蜜罐的方法、系统及终端设备。
背景技术
蜜罐是一种主动防御的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,并通过技术和管理手段来增强实际系统的安全防护能力。
现有技术中,具备仿真模拟工业控制软硬件特征的蜜罐被广泛部署于互联网上,当需要与工业控制系统进行交互时,无法识别工业控制系统是真实的工业控制系统还是蜜罐。
发明内容
有鉴于此,本发明实施例提供了一种识别蜜罐的方法、系统及终端设备,以解决现有技术中无法识别需要进行交互的工业控制系统是真实的工业控制系统还是蜜罐的问题。
本发明实施例的第一方面提供了一种识别蜜罐的方法,应用于终端设备,所述识别蜜罐的方法包括:
生成第一数据包,所述第一数据包包括目标终端地址、第一功能码和第一协议标识符。
发送所述第一数据包至目标终端。
若在第一预设时间内未接收到所述目标终端反馈的第一响应数据包,则确定所述目标终端为蜜罐。
本发明实施例的第二方面提供了一种识别蜜罐的系统,应用于终端设备,所述识别蜜罐的系统包括:
第一数据包生成模块,用于生成第一数据包,所述第一数据包包括目标终端地址、第一功能码和第一协议标识符。
数据包发送模块,用于发送所述第一数据包至目标终端。
蜜罐确认模块,用于若在第一预设时间内未接收到所述目标终端反馈的第一响应数据包,则确定所述目标终端为蜜罐。
本发明实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上所述方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:本实施例通过生成第一数据包,第一数据包包括目标终端地址、第一功能码和第一协议标识符,发送第一数据包至目标终端,若在第一预设时间内未接收到目标终端反馈的第一响应数据包,则确定目标终端为蜜罐。本实施例通过根据是否在第一预设时间内接收到目标终端反馈的第一响应数据包,确定出目标终端是否为蜜罐,从而有效识别出目标终端是真实的工业控制系统还是蜜罐。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例提供的识别蜜罐的方法的实现流程示意图;
图2是本发明一个实施例提供的识别蜜罐的方法的实现流程示意图;
图3是本发明一个实施例提供的识别蜜罐的系统的结构示意图;
图4是本发明一个实施例提供的识别蜜罐的系统的结构示意图;
图5是本发明一个实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例1:
图1示出了本发明的一个实施例提供的识别蜜罐的方法的实现流程,本发明实施例的流程执行主体可以是终端设备,其过程详述如下:
在步骤S101中,生成第一数据包,第一数据包包括目标终端地址、第一功能码和第一协议标识符。
在本实施例中,根据工业控制通信协议定义的数据格式生成第一数据包,工业控制通信协议包括Modbus协议(Modbus protocol)、DNP3协议(Distributed NetworkProtocol,分布式网络规约)、MMS协议(Microsoft Media Server Protocol,MMS)、BACent协议和EtherNet/IP协议。
在本实施例中,第一数据包还包括源地址,源地址为终端设备的IP地址(InternetProtocol Address,互联网协议地址),目标终端可以根据源地址将数据发送至终端设备。
在本实施例中,第一功能码用于告知目标终端需要执行的操作以及需要反馈的信息,第一协议标识符用于告知目标终端当前第一数据包采用的协议名称,目标终端地址为目标终端的IP地址。
在步骤S102中,发送第一数据包至目标终端。
在本实施例中,根据目标终端地址将第一数据包发送至目标终端,从而使目标终端能够接收到第一数据包,避免出现数据包丢失的情况。
在步骤S103中,若在第一预设时间内未接收到目标终端反馈的第一响应数据包,则确定目标终端为蜜罐。
在一个实施例中,若在第一预设时间内接收到的第一响应数据包,判断第一响应数据包是否符合第一预设响应结果,若第一响应数据包不符合第一预设响应结果,则确定目标终端为蜜罐,若第一响应数据包符合第一预设响应结果,则确定目标终端为真实的工业控制系统。
在一个实施例中,第一数据包用于验证目标终端是否为高交互型蜜罐,第一数据包为涉及到业务逻辑层的查询请求,包括请求读取目标终端当前运行状态和读取目标终端运行日志,高交互型蜜罐并不能响应一些涉及到业务逻辑层的查询请求,因此可以根据目标终端是否能正确响应第一数据包而判断出目标终端是否为高交互型蜜罐。
在本实施例中,当发送第一数据包至目标终端后,若目标终端是真实的工业控制系统,则目标终端可以解析第一数据包,获得查询请求,根据查询请求以及第一数据包中的源地址生成第一响应数据包,将第一响应数据包发送至源地址对应的终端设备,由于第一响应数据包中包含源地址,因此终端设备能够接收到第一响应数据包。
在本实施例中,若目标终端是蜜罐,当蜜罐根据第一数据包获得查询请求后,并不能正确解析查询请求,从而无法生成第一响应数据包,即使生成第一响应数据包,也并不符合第一预设响应结果,从而使终端设备可以确定出目标终端是蜜罐。
在本实施例中,根据是否在第一预设时间内接收到目标终端反馈的第一响应数据包,确定出目标终端是否为蜜罐,从而有效识别出目标终端是真实的工业控制系统还是蜜罐。
如图2所示,在本发明的一个实施例中,图2所对应的实施例中的识别蜜罐的方法的还包括:
在步骤S201中,获取端口信息,端口信息为目标终端开放的端口号。
在本实施例中,通过终端设备内置的端口扫描工具扫描目标终端开放的端口号。
在本发明一个实施例中,在步骤S201之前包括:
1)获取目标终端的网络地址。
2)根据网络地址判断目标终端的互联网服务提供商是否为预设云服务提供商。
3)若互联网服务提供商不是预设云服务提供商,则判断目标终端的用户类型是否为预设数据中心类型。
4)若用户类型不为预设数据中心类型,则获取端口信息。
在本发明一个实施例中,将网络地址发送至终端设备内置的网络地址查询工具,接收网络地址查询工具反馈的网络信息,网络信息包括目标终端的互联网服务提供商。
在本发明一个实施例中,网络信息还包括目标终端的地理位置。
在本发明一个实施例中,根据预存数据表,判断数据中心的地理位置集合是否包括目标终端的地理位置,预存数据表存储有数据中心的地理位置,若数据中心的地理位置集合包括目标终端的地理位置,则确定目标终端的用户类型是预设数据中心类型,若数据中心的地理位置集合不包括目标终端的地理位置,则确定目标终端的用户类型不是预设数据中心类型。
在本实施例中,网络地址为域名地址(Domain Name Server,DNS)或IP地址,当想要访问一个目标终端时,可以根据域名地址或IP直接访问目标终端。
在本实施例中,将网络地址发送给设备内置的网络地址查询工具,网络地址查询工具可以根据域名地址或IP地址直接获取域名地址或IP地址对应的网络信息,网络信息包括域名地址或IP地址对应的互联网服务提供商,例如IP地址为110.249.157.118对应的互联网服务提供商为联通。
在本实施例中,预设云服务提供商包括阿里云服务提供商、百度云服务提供商和腾讯云服务提供商。
在本实施例中,由于网络地址有对应的备案信息,通过网络查询工具可以查询到网络地址对应的备案信息,即网络信息。
在本实施例中,用户类型包括宽带用户、移动网络用户和预设数据中心用户。
在本实施例中,宽带用户包括移动宽带用户、电信宽带用户和联通宽带用户。
在本实施例中,移动网络用户包括2G网络用户、3G网络用户和4G网络用户。
在本实施例中,数据中心(Internet Data Center,IDC)为入驻(Hosting)企业、商户或网站服务器群托管的场所,提供了一种高端的数据传输服务和高速接入服务,预设数据中心用户为数据中心中的用户终端。
在本实施例中,由于蜜罐一般是部署在云服务器上,若目标终端的互联网服务提供商是预设云服务提供商,则确认目标终端为蜜罐,并无需进行后续步骤,例如判断目标端口的通信协议是否符合预设通信协议。若目标终端的互联网服务提供商不是预设云服务提供商,则需要进一步地通过判断目标终端的用户类型来判断目标终端是否为蜜罐。
在本实施例中,网络地址查询工具反馈的网络信息还包括精确到街道的目标终端的地理位置和目标终端在预设时间内的访问量,访问量为访问目标终端的数量。
在本实施例中,预存数据表还存储有每个数据中心的名称和数据中心经纬度。
在本实施例中,判断预存数据表中存储的数据中心的地理位置是否包括网络地址查询工具返回的目标终端的地理位置,若数据中心的地理位置集合包括目标终端的地理位置,则认为目标终端的用户类型为数据中心类型,并确定目标终端为蜜罐,当确定目标终端为蜜罐后,便无需进行后续步骤,例如获取端口信息。若数据中心的地理位置集合不包括目标终端的地理位置,则认为目标终端的用户类型不为数据中心类型,需要后续步骤确定目标终端是否为蜜罐。
优选地,根据目标终端的地理位置和目标终端在预设时间内的访问量一起判断目标终端的用户类型是否为数据中心类型,其具体为:
1)统计全部数据中心在预设时间内的的访问量,计算平均访问量。
2)若目标终端在预设时间内的访问量小于平均访问量,则确定目标终端的数据类型不是预设数据中心类型。
3)若目标终端在预设时间内的访问量不小于平均访问量,则根据预存数据表,判断数据中心的地理位置集合是否包括目标终端的地理位置。
4)若数据中心的地理位置集合包括目标终端的地理位置,则确定目标终端的用户类型是预设数据中心类型。
5)若数据中心的地理位置集合不包括目标终端的地理位置,则确定目标终端的用户类型不是预设数据中心类型。
在本实施例中,由于数据中心的访问量一般是较大的,根据目标终端的访问量和目标终端的地理位置一起判断目标终端的用户类型是否为数据中心类型,从而能更准确地判断出目标终端是否为数据中心类型。
在一个实施例中,根据预存数据表,判断数据中心的经纬度集合是否包括目标终端的经纬度,若数据中心的经纬度集合包括目标终端的经纬度,则确定目标终端的用户类型是预设数据中心类型,若数据中心的经纬度集合不包括目标终端的经纬度,则确定目标终端的用户类型不是预设数据中心类型。
在步骤S202中,若端口信息包括预设端口信息,则将目标终端中预设端口信息对应的端口作为目标端口。
在本实施例中,若目标终端开放的端口号中包含预设端口号,则将目标终端对应的预设端口号对应的端口作为目标端口。
在本实施例中,预设端口号为工业控制通信协议对应的端口号,例如,Modbus协议对应的端口号为502端口,DNPS协议对应的端口号为20000。
在一个实施例中,若端口信息不包括预设端口信息,则确定目标终端为蜜罐,并无需进行后续步骤,例如,步骤S203。
在步骤S203中,判断目标端口的通信协议是否符合预设通信协议。
在本发明一个实施例中,步骤S203具体包括:
1)根据预设通信协议生成第二数据包,第二数据包包括目标终端地址、第二功能码、第二协议标识符和数据包长度。
2)发送第二数据包至目标端口。
3)若在第二预设时间内接收到目标端口反馈的第二响应数据包,则确定目标端口的通信协议符合预设通信协议。
4)若在第二预设时间内未接收到目标端口反馈的第二响应数据包,则确定目标端口的通信协议不符合预设通信协议。
在本实施例中,预设通信协议为工业控制协议,第二数据包还包括目标端口号和源端口号。
第二协议标识符用于告知目标终端当前第二数据包采用的协议名称,数据包长度规定了第二数据包的长度,第二功能码告知目标终端需要执行的操作以及需要反馈的信息。
在一个实施例中,由于目标终端的操作系统可以支持多进程同时运行,当目标终端接收到第二数据包后,目标终端可以根据目标端口号,将第二数据包发送到目标端口号对应的目标端口,而与目标端口对应的进程将会接收第二数据包,如果目标终端的目标端口的通信协议符合工业控制通信协议,则目标终端可以响应第二数据数据,生成第二响应数据包,将第二响应数据包发送给源地址对应的终端设备,终端设备接收第二响应数据包后,将第二响应数据包发送给源端口号对应的源端口,以使源端口对应的进程接收第二响应数据包,当源端口对应的进程接收到第二响应数据包后,确定目标端口的通信协议符合预设通信协议,则需要进一步地判断目标终端是否为蜜罐。
进一步地,根据第二响应数据包判断目标终端是否支持第二功能码,其具体为:
1)当第二响应数据包为错误报文信息时,则确定目标终端不支持第二功能码。
2)当第二响应数据包为错误报文信息为第二预设响应结果时,则确定目标终端支持第二功能码。
在本实施例中,终端设备通过判断目标终端是否支持第二功能码,可以在后续通信时,决定是否发送第二功能码对应的操作信息至目标终端。
在一个实施例中,若在第二预设时间内未接收到目标端口反馈的第二响应数据包,表示目标终端虽然开放了目标端口,但目标端口的通信协议不是预设通信协议,确定目标终端为蜜罐,则无需进行后续判断目标终端是否为蜜罐的步骤,例如,步骤101。
在步骤S204中,若目标端口的通信协议符合预设通信协议,则生成第一数据包。
在本实施例中,若目标端口的通信协议符合工业控制通信协议,需要进一步判断目标终端是否为高交互型蜜罐,则需要生成涉及高交互的第一数据包进行判断。
在本实施例中,先判断目标终端的互联网服务提供商是否为预设云服务提供商,然后判断目标终端的用户类型是否为数据中心用户,然后判断目标终端的端口信息是否为包括预设端口信息,然后判断目标端口是否符合预设通信协议,循序渐进地进行判断,提高了识别蜜罐的准确性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例2:
图3示出了本发明的一个实施例提供的识别蜜罐的系统100,用于执行图1所对应的实施例中的方法步骤,本发明实施例的系统应用于终端设备,其包括:
第一数据包生成模块110,用于生成第一数据包,第一数据包包括目标终端地址、第一功能码和第一协议标识符。
数据包发送模块120,用于发送第一数据包至目标终端。
蜜罐确认模块130,用于若在第一预设时间内未接收到目标终端反馈的第一响应数据包,则确定目标终端为蜜罐。
如图3所示,在本发明的一个实施例中,图3所对应的实施例中的识别蜜罐的系统100中的第一数据包生成模块110的还包括:
端口信息获取单元111,用于获取端口信息,端口信息为目标终端开放的端口号。
目标端口获取单元112,用于若端口信息包括预设端口信息,则将目标终端中预设端口信息对应的端口作为目标端口。
通信协议判断单元113,用于判断目标端口的通信协议是否符合预设通信协议。
第一数据包生成单元114,用于若目标端口的通信协议符合预设通信协议,则生成第一数据包。
在本发明一个实施例中,通信协议判断单元113包括:
第二数据包生成子单元,用于根据预设通信协议生成第二数据包,第二数据包包括目标终端地址、第二功能码、第二协议标识符和数据包长度。
数据包发送子单元,用于发送第二数据包至目标端口;
第一处理单元,用于若在第二预设时间内接收到目标端口反馈的第二响应数据包,则确定目标端口的通信协议符合预设通信协议;
第二处理单元,用于若在第二预设时间内未接收到目标端口反馈的第二响应数据包,则确定目标端口的通信协议不符合预设通信协议。
在本发明一个实施例中,端口信息获取单元111包括:
网络地址获取子单元,用于获取目标终端的网络地址;
服务提供商判断子单元,用于根据网络地址判断目标终端的互联网服务提供商是否为预设云服务提供商;
用户类型判断子单元,用于若互联网服务提供商不是预设云服务提供商,则判断目标终端的用户类型是否为预设数据中心类型;
端口信息获取子单元,用于若用户类型不为预设数据中心类型,则获取端口信息。
在本发明一个实施例中,服务提供商判断子单元还用于:
1)将网络地址发送至终端设备内置的网络地址查询工具。
2)接收网络地址查询工具反馈的网络信息,网络信息包括目标终端的互联网服务提供商。
在本发明一个实施例中,网络信息还包括目标终端的地理位置。
在本发明一个实施例中,用户类型判断子单元还用于。
1)根据预存数据表,判断数据中心的地理位置集合是否包括目标终端的地理位置,预存数据表存储有数据中心的地理位置。
2)若数据中心的地理位置集合包括目标终端的地理位置,则确定目标终端的用户类型是预设数据中心类型。
3)若数据中心的地理位置集合不包括目标终端的地理位置,则确定目标终端的用户类型不是预设数据中心类型。
在一个实施例中,识别蜜罐的系统100还包括其他功能模块/单元,用于实现实施例1中各实施例中的方法步骤。
实施例3:
图5是本发明一实施例提供的终端设备的示意图。如图5所示,该实施例的终端设备5包括:处理器50、存储器51以及存储在所述存储器51中并可在所述处理器50上运行的计算机程序52。所述处理器50执行所述计算机程序52时实现如实施例1中所述的各实施例的步骤,例如图1所示的步骤S101至步骤S103。或者,所述处理器50执行所述计算机程序52时实现如实施例2中所述的各系统实施例中的各模块/单元的功能,例如图3所示模块110至130的功能。
示例性的,所述计算机程序52可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器51中,并由所述处理器50执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序52在所述终端设备5中的执行过程。例如,所述计算机程序52可以被分割成第一数据包生成模块,数据包发送模块和蜜罐确认模块。各模块具体功能如下:
第一数据包生成模块,用于生成第一数据包,所述第一数据包包括目标终端地址、第一功能码和第一协议标识符。
数据包发送模块,用于发送所述第一数据包至目标终端。
蜜罐确认模块,用于若在第一预设时间内未接收到所述目标终端反馈的第一响应数据包,则确定所述目标终端为蜜罐。
所述终端设备5可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备5可包括,但不仅限于,处理器50、存储器51。本领域技术人员可以理解,图5仅仅是终端设备5的示例,并不构成对终端设备5的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器50可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器51可以是所述终端设备5的内部存储单元,例如终端设备5的硬盘或内存。所述存储器51也可以是所述终端设备5的外部存储设备,例如所述终端设备5上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器51还可以既包括所述终端设备5的内部存储单元也包括外部存储设备。所述存储器51用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器51还可以用于暂时地存储已经输出或者将要输出的数据。
实施例4:
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如实施例1中所述的各实施例中的步骤,例如图1所示的步骤S101至步骤S103。或者,所述计算机程序被处理器执行时实现如实施例2中所述的各系统实施例中的各模块/单元的功能,例如图3所示的模块110至130的功能。
所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例系统中的模块或单元可以根据实际需要进行合并、划分和删减。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种识别蜜罐的方法,其特征在于,应用于终端设备,所述识别蜜罐的方法包括:
生成第一数据包,所述第一数据包包括目标终端地址、第一功能码和第一协议标识符;其中,第一功能码用于告知目标终端需要执行的操作以及需要反馈的信息;
发送所述第一数据包至目标终端;
若在第一预设时间内未接收到所述目标终端反馈的第一响应数据包,则确定所述目标终端为蜜罐。
2.如权利要求1所述的识别蜜罐的方法,其特征在于,在所述生成第一数据包之前,包括:
获取端口信息,所述端口信息为所述目标终端开放的端口号;
若所述端口信息包括预设端口信息,则将所述目标终端中所述预设端口信息对应的端口作为目标端口;
判断所述目标端口的通信协议是否符合预设通信协议;
若所述目标端口的通信协议符合预设通信协议,则生成所述第一数据包。
3.如权利要求2所述的识别蜜罐的方法,其特征在于,所述判断所述目标端口的通信协议是否符合预设通信协议,包括:
根据所述预设通信协议生成第二数据包,所述第二数据包包括所述目标终端地址、第二功能码、第二协议标识符和数据包长度;
发送所述第二数据包至所述目标端口;
若在第二预设时间内接收到所述目标端口反馈的第二响应数据包,则确定所述目标端口的通信协议符合所述预设通信协议;
若在第二预设时间内未接收到所述目标端口反馈的第二响应数据包,则确定所述目标端口的通信协议不符合所述预设通信协议。
4.如权利 要求2所述的识别蜜罐的方法,其特征在于,在所述获取端口信息之前,包括:
获取所述目标终端的网络地址;
根据所述网络地址判断所述目标终端的互联网服务提供商是否为预设云服务提供商;
若所述互联网服务提供商不是所述预设云服务提供商,则判断所述目标终端的用户类型是否为预设数据中心类型;
若所述用户类型不为所述预设数据中心类型,则获取所述端口信息。
5.如权利要求4所述的识别蜜罐的方法,其特征在于,在所述根据所述网络地址判断所述目标终端的互联网服务提供商是否为预设云服务提供商之前,包括:
将所述网络地址发送至所述终端设备内置的网络地址查询工具;
接收所述网络地址查询工具反馈的网络信息,所述网络信息包括所述目标终端的互联网服务提供商。
6.如权利要求5所述的识别蜜罐的方法,其特征在于,所述网络信息还包括所述目标终端的地理位置;
所述判断所述目标终端的用户类型是否为预设数据中心类型,包括:
根据预存数据表,判断数据中心的地理位置集合是否包括所述目标终端的地理位置,所述预存数据表存储有数据中心的地理位置;
若所述数据中心的地理位置集合包括所述目标终端的地理位置,则确定所述目标终端的用户类型是所述预设数据中心类型;
若所述数据中心的地理位置集合不包括所述目标终端的地理位置,则确定所述目标终端的用户类型不是所述预设数据中心类型。
7.一种识别蜜罐的系统,其特征在于,应用于终端设备,所述识别蜜罐的系统包括:
第一数据包生成模块,用于生成第一数据包,所述第一数据包包括目标终端地址、第一功能码和第一协议标识符;其中,第一功能码用于告知目标终端需要执行的操作以及需要反馈的信息;
数据包发送模块,用于发送所述第一数据包至目标终端;
蜜罐确认模块,用于若在第一预设时间内未接收到所述目标终端反馈的第一响应数据包,则确定所述目标终端为蜜罐。
8.如权利要求7所述的识别蜜罐的系统,其特征在于,第一数据包生成模块包括:
端口信息获取单元,用于获取端口信息,所述端口信息为所述目标终端开放的端口号;
目标端口获取单元,用于若所述端口信息包括预设端口信息,则将所述目标终端中所述预设端口信息对应的端口作为目标端口;
通信协议判断单元,用于判断所述目标端口的通信协议是否符合预设通信协议;
第一数据包生成单元,用于若所述目标端口的通信协议符合预设通信协议,则生成所述第一数据包。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810146005.3A CN108429739B (zh) | 2018-02-12 | 2018-02-12 | 一种识别蜜罐的方法、系统及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810146005.3A CN108429739B (zh) | 2018-02-12 | 2018-02-12 | 一种识别蜜罐的方法、系统及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108429739A CN108429739A (zh) | 2018-08-21 |
| CN108429739B true CN108429739B (zh) | 2021-03-23 |
Family
ID=63156857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810146005.3A Active CN108429739B (zh) | 2018-02-12 | 2018-02-12 | 一种识别蜜罐的方法、系统及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108429739B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110266650B (zh) * | 2019-05-23 | 2020-05-29 | 中国科学院信息工程研究所 | Conpot工控蜜罐的识别方法 |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN111327636B (zh) * | 2020-03-10 | 2021-05-07 | 西北工业大学 | 一种涉及网络安全的s7-300plc私有协议逆向方法 |
| CN114679292B (zh) * | 2021-06-10 | 2023-03-21 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN116094847B (zh) * | 2023-04-11 | 2023-06-20 | 中国工商银行股份有限公司 | 蜜罐识别方法、装置、计算机设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9591023B1 (en) * | 2014-11-10 | 2017-03-07 | Amazon Technologies, Inc. | Breach detection-based data inflation |
-
2018
- 2018-02-12 CN CN201810146005.3A patent/CN108429739B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102216900A (zh) * | 2008-09-12 | 2011-10-12 | 马来西亚微电子系统有限公司 | 蜜罐主机 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
Non-Patent Citations (2)
| Title |
|---|
| 反蜜罐技术框架研究及实现;章英;《科技信息》;20081231(第29期);正文第415、419页 * |
| 蜜罐技术及其新应用;茅一磊;《电信网技术》;20170630(第6期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108429739A (zh) | 2018-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108429739B (zh) | 一种识别蜜罐的方法、系统及终端设备 | |
| CN110351283B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
| CN110677405B (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN108810116B (zh) | 消息处理方法及相关产品 | |
| CN109246078B (zh) | 一种数据交互方法及服务器 | |
| CN113366815B (zh) | 网络资源请求方法、装置、电子设备以及存储介质 | |
| CN111460458B (zh) | 一种数据处理方法、相关装置及计算机可存储介质 | |
| US20170126556A1 (en) | Information transmission method and apparatus, device and storage medium | |
| CN112217856A (zh) | 应用实例的地址获取方法、装置、设备及存储介质 | |
| CN109348434B (zh) | 一种场景信息的发送方法、发送装置及终端设备 | |
| CN113434293A (zh) | 处理重复请求的方法和装置、存储介质及电子装置 | |
| CN112580730A (zh) | 一种终端类型的识别方法及装置 | |
| CN104639555A (zh) | 请求处理方法、系统和装置 | |
| US9942766B1 (en) | Caller validation for end service providers | |
| CN111953770B (zh) | 一种路由转发方法、装置、路由设备及可读存储介质 | |
| CN113423120A (zh) | 基于专网终端的数据分流处理方法、装置及电子设备 | |
| CN112738019B (zh) | 设备信息的显示方法、装置、存储介质以及电子装置 | |
| CN111404975A (zh) | 一种消息传输的方法、装置、设备及计算机存储介质 | |
| CN112398796B (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
| CN110830984B (zh) | 服务质量加速请求消息路由方法、装置、设备、存储介质 | |
| CN111262779A (zh) | 即时通讯中数据的获取方法、装置、服务器及系统 | |
| CN108737350B (zh) | 一种信息处理方法及客户端 | |
| CN113055254B (zh) | 一种地址配置方法、装置、接入服务器及存储介质 | |
| KR20040008189A (ko) | 통신 시스템에서의 요구들 | |
| CN110661895A (zh) | 一种服务器的网络地址映射方法及网络地址映射设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |