CN108769071A - 攻击信息处理方法、装置和物联网蜜罐系统 - Google Patents
攻击信息处理方法、装置和物联网蜜罐系统 Download PDFInfo
- Publication number
- CN108769071A CN108769071A CN201810708234.XA CN201810708234A CN108769071A CN 108769071 A CN108769071 A CN 108769071A CN 201810708234 A CN201810708234 A CN 201810708234A CN 108769071 A CN108769071 A CN 108769071A
- Authority
- CN
- China
- Prior art keywords
- internet
- information
- things
- attack
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和物联网蜜罐系统,该方法包括:接收接入服务器调度的攻击流量;获取所述攻击流量中含有的恶意代码;在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行所述恶意代码;获取执行所述恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
Description
技术领域
本申请涉及网络案例技术领域,特别是涉及一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和物联网蜜罐系统。
背景技术
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
近年来,物联网技术快速发展,而传统的蜜罐主要针对互联网设备,没有及时适应物联网设备,即传统蜜罐对物联网设备的支持度低。
发明内容
基于此,有必要针对蜜罐对物联网设备支持度低的技术问题,提供一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和蜜罐系统。
一种攻击信息处理方法,包括:
接收接入服务器调度的攻击流量;
获取所述攻击流量中含有的恶意代码;
在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行所述恶意代码;
获取执行所述恶意代码产生的行为数据,得到监控信息。
一种攻击信息处理装置,包括:
攻击流量接收模块,用于接收接入服务器调度的攻击流量;
代码获取模块,用于获取所述攻击流量中含有的恶意代码;
执行模块,用于在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行所述恶意代码;
监控获取模块,用于获取执行所述恶意代码产生的行为数据,得到监控信息。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如上述方法的步骤。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如上述方法的步骤。
一种物联网蜜罐系统,包括:用于调度攻击流量的接入服务器、多个上述的计算机设备、以及与各所述计算机设备连接,接收上报的监控信息的管理服务器。
上述的攻击信息处理方法、装置、计算机可读存储介质、计算机设备和物联网蜜罐系统,通过接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码,并获取执行恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐终端能够模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
附图说明
图1为一个实施例中攻击信息处理方法的应用环境示意图;
图2为一个实施例中攻击信息处理方法的流程示意图;
图3为一个实施例中物联网设备在ssh服务登陆后,输出的标题;
图4为一个实施例的物联网蜜罐系统的系统架构示意图;
图5为一个实施例中流量调度方案的示意图;
图6为一个实施例中一次攻击事件的处理流程示意图;
图7为一种IoT病毒爆发态势图;
图8为一个实施例的攻击信息处理装置的结构框图;
图9为一个实施例中计算机设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
一种攻击信息处理方法应用于一种蜜罐系统,如图1所示,该蜜罐系统包括接入服务器101、多个终端102和管理服务器103。其中,接入服务器101和多个终端102通信连接,多个终端102还与管理服务器103通信连接。接入服务器101对于攻击流量进行调度,将攻击流量导入终端102,终端102执行一种攻击信息处理方法,执行攻击流量中含有的恶意代码,并将执行恶意代码产生的监控信息上报。管理服务器接收终端的上报信息,提取威胁情报。
如图2所示,一种攻击信息处理方法,执行于如图1所示的终端,该方法包括以下步骤:
S202,接收接入服务器调度的攻击流量。
攻击流量是指攻击者通过互联网发起的攻击行为,一个攻击行为对应一个攻击流量。攻击者指任何针对蜜罐系统发起攻击行为的实体。
接入服务器是蜜罐流量调度窗口。传统地蜜罐终端只能捕获攻击其公网IP的恶意代码,造成对攻击的覆盖不全,即传统蜜罐对网络攻击覆盖具有局限性。本实施例中,通过在蜜罐系统设置接入服务器,由接入服务器将不同地区公网的流量导入指定蜜罐终端中,这样蜜罐终端就能捕获全国乃至全球的恶意代码。
具体地,接入服务器基于隔离的原则进行攻击流量调度。隔离是指将攻击发起者所在网络与蜜罐终端网络隔离,使二者处于不同的网络构架或不同区域,实现二者的物理隔离或网络隔离,从而当蜜罐终端被攻击时,不会对攻击发起者所在网络的蜜罐终端造成影响。例如,接入服务器检测到深圳发起的攻击流量,将该流量导入北京的蜜罐终端。
S204,获取攻击流量含有的恶意代码。
其中,恶意代码是指,故意编制或设置的、对网络或系统产生威胁或潜在威胁的计算机代码。最常见的恶意代码有病毒、木马、蠕虫、后门、勒索软件等。被导入攻击流量的蜜罐终端接收接入服务器导入的攻击流量,获取攻击中含有的恶意代码。
S206,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码。
蜜罐监控环境是指为获取恶意代码在蜜罐终端中执行过程中所产生的相关数据包的工具。本实施例中的监控环境基于面向物联网设备的Linux系统创建,即终端为物联网终端,而物联网设备大都运行着Linux系统。因此,在物联网设备的监控环境中,恶意代码直接运行在嵌入式Linux系统中,使用的是原生命令,或终端能够模拟物联网设备上的特有命令,使蜜罐系统能够适应物联网环境,从而蜜罐系统能够完全支持命令的运行,不会出现命令无法支持,而被恶意软件发觉的问题。本实施例中的物联网设备包括物联网硬件设备,以及软件模拟的物联网设备,例如运行在虚拟机、模拟器(qemu、skyeye等)上的物联网设备。
具体地,面向物联网设备的Linux系统包括但不限于OpenWRT系统(嵌入式的Linux发行版),buildroot(Linux平台上一个构建嵌入式Linux系统的框架)和yocto。
为确保每一次攻击行为相关数据的准确性,避免上一次攻击行为相关数据对本次攻击行为分析的影响,在每一次攻击行为执行恶意代码前,均需要重置监控环境,清空上一次的监控数据。
S208,获取执行恶意代码产生的行为数据,得到监控信息。
具体地,监控信息是指,监控工具所记录在恶意代码在执行过程中所产生的行为数据,包括内核数据,日志数据和网络流量数据等。以一种攻击为ssh弱密码扫描攻击为例,当接入服务器将该攻击流量导入一蜜罐终端时,在蜜罐终端的ssh服务(ssh server)处理了该弱密码扫描攻击,在用户名和密码鉴权通过后,根据攻击流量中的恶意代码,下载一恶意文件并运行。该恶意文件会加密磁盘文件,留下勒索信息。恶意代码的行为在环境监控环境中进行,监控工具获取恶意代码在执行过程中所产生的行为数据,得到监控信息。
上述的攻击信息处理方法,通过接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码,并获取执行恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统能够模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
在另一个实施例中,攻击信息处理方法,还包括:将监控信息上报至管理服务器。
其中,管理服务器与各终端连接。物联网设备内存和磁盘空间受限,传统密码无法移植或运行。本实施例中,将监控信息上报至管理服务器,即终端设备不会存储日志,由管理服务器对监控信息进行分析,能够解决物联网终端内存和磁盘空间不足的问题。
具体地,管理服务器对蜜罐进行调度管理,例如,可以查看所有的蜜罐终端,包括接入状态、攻击信息,并且可以随用户需求进行配置和调整。管理服务器还将上报数据全部存储起来,进行分析和关联,使得用户可以在系统的历史攻击事件中查找所有类似的攻击,从而获得关于攻击者的更多信息。管理服务器通过对蜜罐捕获到的攻击行为和数据进行存储、统计和展示,用户可以直观地看到蜜罐系统受到攻击的状况,同时可以根据数据进一步对攻击进行溯源,或者全面感知互联网攻击态势。
在另一个实施例中,攻击信息处理方法还包括创建蜜罐的步骤。具体地,创建蜜罐的步骤,包括:获取管理服务器部署的物联网设备的固件配置信息;根据固件配置信息下载固件,创建蜜罐。
固件,是一种嵌入在硬件设备中的软件,通常它位于闪存或EEPROM(ElectricallyErasable Programmable read only memory,带电可擦可编程只读存储器)里,可以让用户更新。
传统蜜罐需要安装过程,但是大部分物联网设备不提供安装接口,因此不适合在物联网设备上部署。本实施例中,开发人员预先针对不同CPU架构(ARM,MIPS)的物联网(Internet of Things,IoT设备)进行固件编译,生成对应的固件,并在管理服务器中设置固件配置信息。固件配置信息包括各物联网终端的固件在管理服务器的存储地址。管理服务器负责固件下发部署至IoT硬件终端,用于固件的更新。
当需要创建蜜罐时,物联网终端与管理服务器通信,获取管理服务器部署的固件配置信息,并根据配置信息下载固件,创建蜜罐。
具体地,根据配置信息下载固件,创建蜜罐,包括:根据固件配置信息,从管理服务器下载对应的固件;从管理服务器中添加补丁和监控工具,创建蜜罐。
具体地,通过添加补丁和监控工具,实现蜜罐的监控功能。编译过程会根据配置文件,输出相应物联网设备的固件文件(rom.bin),利用原先物联网设备的固件升级界面进行升级操作。升级之后,蜜罐监控和数据上报程序会自动启动,连接蜜罐管理服务器,进行数据上报。
上述的攻击信息处理方法,能够利用物联网设备升级固件的方式进行部署,解决了蜜罐部署的问题。
在一个实施例中,获取模拟各终端的特征信息的模拟程序和模拟程序的服务配置信息;在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序。
具体地,不同品牌、不同类型的物联网设备具有不同的特征,为了更好地迷惑攻击者,通过使用爬虫等数据采集技术,记录下各种物联网设备的特征信息。开发人员预先编译特征信息的模拟程序,以及设置模拟程序的服务配置信息。在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序,用于迷惑攻击者。其中,服务配置信息是触发特征信息的模拟程序的关键信息,即何时触发特征信息模拟程序。例如arch linux上的ssh服务登陆之后,会输出如图3所示的标题,模拟程序可模拟物联网设备的这些特征,在检测到ssh服务登陆后,执行模拟程序,模拟出该标题,用于迷惑攻击者。
在另一个实施例中,获取执行恶意代码产生的行为数据,得到监控信息,包括但不限于使用Linux系统的审计工具,提取执行恶意代码所产生的审计记录。例如,使用Linuxaudit技术,提取执行恶意代码所产生的审计记录。
使用环形缓冲区显示命令,获取Linux内核的环形缓冲区信息。例如,使用dmesg命令,获取Linux内核日志。
使用容器监控工具,监控服务器系统调用和命令。例如,使用sysdig监控服务器系统调用和命令。
使用网络监控工具记录网络流量数据,例如,使用tcpdump记录网络流量数据。
上述的攻击信息处理方法,基于Linux系统环境,使用多种监控手段监控并上报攻击者的活动。
在一个实施例中,将监控信息上报至管理服务器,包括:使用发布/订阅协议,向管理服务器上报监控信息。例如,使用hpfeeds上报日志信息到管理服务器。
具体地,在将监控信息上报至管理服务器后,删除本地的监控信息。监控信息通过网络及时向管理服务器上报,确认存储后,及时清理,解决了物联网终端内存容量和磁盘空间受限问题。
下面,结合具体的应用场景,对本申请的攻击信息处理方法进行详细说明。一个实施例的物联网蜜罐系统的系统架构图如图4所示,包括接入服务器,物联网终端和管理服务器。
其中,接入服务器提供一个流量接入层,覆盖广泛的攻击面,将外网的攻击流量导入指定蜜罐中。如图5所示,在深圳机房的接入服务器,能够按照指定策略获得深圳地区的公网IP,使用端口代理,例如port proxy技术,可以将访问深圳IP的流量导入到部署在北京的终端上,结果就是该蜜罐能够承接深圳的攻击流量,按照此种方法,蜜罐能够接受全国乃至全球的攻击流量。
物联网终端,能够模拟不同类型的物联网终端设备,接受从流量调度模块转移过来的攻击流量,监控恶意代码的运行,并且上报给管理服务器。
具体地,物联网终端的工作包括三个阶段:
第一阶段为蜜罐准备阶段。
具体地,获取管理服务器部署的固件配置信息,根据固件配置信息,从管理服务器下载对应的固件,从管理服务器中添加补丁和监控工具,创建蜜罐。
具体地,开发人员预先针对不同CPU架构(ARM,MIPS)的物联网(Internet ofThings,IoT设备)进行固件编译,生成对应的固件,并在管理服务器中设置固件配置信息。固件配置信息包括各物联网终端的固件在管理服务器的存储地址。管理服务器负责固件下发部署至IoT硬件终端,用于固件的更新。当需要创建蜜罐时,物联网终端与管理服务器通信,获取管理服务器部署的固件配置信息,并根据配置信息下载固件,创建蜜罐。通过添加补丁和监控工具,实现蜜罐的监控功能。编译过程会根据配置文件,输出相应物联网设备的固件文件(rom.bin),利用原先物联网设备的固件升级界面进行升级操作。升级之后,蜜罐监控和数据上报程序会自动启动,连接蜜罐管理服务器,进行数据上报。通过能够利用物联网设备升级固件的方式进行部署,解决了蜜罐部署的问题。
第二阶段为接受攻击行为阶段。
具体地,接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的监控环境中,执行恶意代码,获取执行恶意代码产生的行为数据,得到监控信息。
具体地,通过在蜜罐系统设置接入服务器,由接入服务器将不同地区公网的流量导入指定蜜罐终端中,这样蜜罐终端就能捕获全国乃至全球的恶意代码。。
本实施例中的监控环境基于面向物联网设备的Linux系统创建,即终端为物联网终端,从而恶意代码直接运行在嵌入式Linux系统中,使用的是原生命令,或终端能够模拟物联网设备上的特有命令,使蜜罐系统能够适应物联网环境,从而蜜罐系统能够完全支持命令的运行,不会出现命令无法支持,而被恶意软件发觉的问题。本实施例中的物联网设备包括物联网硬件设备,以及软件模拟的物联网设备,例如运行在虚拟机、模拟器(qemu、skyeye等)上的物联网设备。
监控信息是指,监控工具所记录在恶意代码在执行过程中所产生的行为数据,包括内核数据,日志数据和网络流量数据等。由于监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统能够模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
第三阶段为监控信息上报阶段。
具体地,将监控信息上报至管理服务器,监控信息用于指示管理服务器对监控信息进行分析。其中,管理服务器与各终端连接。物联网设备内存和磁盘空间受限,传统密码无法移植或运行。本实施例中,将监控信息上报至管理服务器,即终端设备不会存储日志,由管理服务器对监控信息进行分析,能够解决物联网终端内存和磁盘空间不足的问题。
具体地,管理服务器的工作包括:
1、蜜罐系统的调度
管理服务器为用户提供对整个蜜罐系统进行调度管理的能力。通过管理系统可以查看所有的蜜罐终端,包括接入状态、攻击信息,并且可以随用户需求进行配置和调整。
2、溯源信息展示
蜜罐系统首先会将上报数据全部存储起来,在后台进行分析和关联,使得用户可以在系统的历史攻击事件中查找所有类似的攻击,从而获得关于攻击者的更多信息。
此外,蜜罐系统也支持使用协同系统对数据进行进一步的挖掘和应用。例如,通过与其它安全系统进行协作。这意味着系统中捕获的大量数据可以在其它协同系统中进行处理,比如,系统自动提取的威胁情报信息可以用于自动化配置网关或防火墙,对非蜜罐环境中的恶意流量进行拦截。
3、攻击态势的展示
通过对蜜罐捕获到的攻击行为和数据进行存储、统计和展示,用户可以直观地看到蜜罐系统受到攻击的状况,同时可以根据数据进一步对攻击进行溯源,或者全面感知互联网攻击态势。
下面以一次攻击事件的处理为例,介绍该蜜罐系统的使用流程,如图6所示,包括以下步骤:
S602,攻击者从深圳发起ssh弱密码扫描攻击。该ssh弱密码扫描攻击使用root/admin进行系统嗅探,如果嗅探成功就会下载virus.bin的恶意文件,该文件会加密磁盘文件,进行勒索攻击。
S604,接入服务器获取攻击流量,基于隔离的原则将该攻击流量调度至位于北京的物联网终端。
具体地,接入服务器接到这次攻击的请求,发现北京的一台IoT终端适合接受该攻击流量,就将该攻击流量调度至北京。
S606,位于北京的物联网终端受理了该流量,获取流量中含有的恶意代码。
具体地,此终端硬件配置为Raspberry PI 3型,装载了嵌入式Linux操作系统,CPU为ARM。
S608,在该IoT终端内,ssh server处理了此次弱密码扫描攻击,进行用户名密码的鉴权,如果鉴权失败,就会拒绝此次网络请求;如果鉴权成功,就会触发后续的逻辑,执行步骤S608。
S610,在该IoT终端内,建立监控环境,然后在监控环境内执行恶意代码,对于此次攻击,会下载virus.bin的恶意文件,然后运行,该文件会加密磁盘文件,留下勒索信息。该IoT终端会将这些恶意行为和来源信息,上报至管理服务器。
管理服务器会接收终端模块的数据上报,进行后续的三种操作。管理服务器会根据上报信息提取威胁情报信息,例如:文件hash值,攻击者的IP:port信息,下载文件的域名URL信息,以及时间、频次和地理位置等。管理服务器会进行态势感知的展现,例如在地图上标明攻击点,统计不同省份的受攻击程度。管理服务器会结合历史攻击事件,进行溯源展示。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析。蜜罐技术广泛应用于对攻击行为的捕获、分析、检测、取证、预警以及态势感知等多个维度。
以威胁态势感知为例,蜜罐系统在大量部署之后,能够形成蜜罐网络,能够实时监控网络攻击事件的发展态势,从网络攻击事件的萌芽期、发展期到成熟期、爆发期的一整套生命周期,均可以提供详实的态势情况,方便做出针对性的预警和预防措施。
利用蜜罐长时间捕获的大量数据,系统可以整理和统计出时间周期内攻击的通常状态和显著的异常特征,对于全网的安全等级进行评估。如果遇见已知攻击的大规模爆发,或者有尚未明确的未知攻击开始蔓延的迹象,系统可以第一时间自动化地提出预警,并同时给出相关的攻击聚类结果以及溯源信息,方便使用者进行进一步的分析和追踪。如图7所示为一种IoT病毒爆发态势图。
采用本申请的蜜罐系统,能够在全国IoT病毒或攻击事件大规模爆发的时候,第一时间获得预警,为后续技术分析和宣传提供最快速,最真实的技术信息,保证团队在最短时间内做出积极响应,赢在起跑线上。IoT蜜罐集群部署成功后,上报的数据能够在后台管理服务器中时时展示,提供例如全国IoT威胁态势的等重要数据,为相关部门提供有价值的数据。
例如在Wanncry蠕虫爆发时,如果能够借助蜜罐的力量,就能及时发现Wanncry的爆发趋势。如果在全国大规模部署蜜罐传感器,那么全国的网络安全信息就会实时传输到蜜罐管理中心,基于后台详实的数据统计情况,安全专家就能够对后续的安全形势作出相应的预判,对高危攻击采取必要的措施。
在一个实施例中,提供一种攻击信息处理装置,如图8所示,包括:
攻击流量接收模块802,用于接收接入服务器调度的攻击流量。
代码获取模块804,用于获取攻击流量中含有的恶意代码。
执行模块806,用于在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码。
监控获取模块808,用于获取执行恶意代码产生的行为数据,得到监控信息。
上述的攻击信息处理装置,通过接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码,并获取执行恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
在另一个实施例中,攻击信息处理装置还包括:
上报模块,用于将监控信息上报至管理服务器。
其中,管理服务器与各终端连接。物联网设备内存和磁盘空间受限,传统密码无法移植或运行。本实施例中,将监控信息上报至管理服务器,即终端设备不会存储日志,由管理服务器对监控信息进行分析,能够解决物联网终端内存和磁盘空间不足的问题。
具体地,管理服务器对蜜罐进行调度管理,例如,可以查看所有的蜜罐终端,包括接入状态、攻击信息,并且可以随用户需求进行配置和调整。管理服务器还将上报数据全部存储起来,进行分析和关联,使得用户可以在系统的历史攻击事件中查找所有类似的攻击,从而获得关于攻击者的更多信息。管理服务器通过对蜜罐捕获到的攻击行为和数据进行存储、统计和展示,用户可以直观地看到蜜罐系统受到攻击的状况,同时可以根据数据进一步对攻击进行溯源,或者全面感知互联网攻击态势。
在另一个实施例中,攻击信息处理装置还包括:
固件信息获取模块,用于获取管理服务器部署的物联网设备的固件配置信息。
创建模块,用于根据固件配置信息下载固件,创建蜜罐。
具体地,创建模块,用于根据固件配置信息,从管理服务器下载对应的固件,从管理服务器中添加补丁和监控工具,创建蜜罐。
固件,是一种嵌入在硬件设备中的软件,通常它位于闪存或EEPROM(ElectricallyErasable Programmable read only memory,带电可擦可编程只读存储器)里,可以让用户更新。
传统蜜罐需要安装过程,但是大部分物联网设备不提供安装接口,因此不适合在物联网设备上部署。本实施例中,开发人员预先针对不同CPU架构(ARM,MIPS)的物联网(Internet of Things,IoT设备)进行固件编译,生成对应的固件,并在管理服务器中设置固件配置信息。固件配置信息包括各物联网终端的固件在管理服务器的存储地址。管理服务器负责固件下发部署至IoT硬件终端,用于固件的更新。
当需要创建蜜罐时,物联网终端与管理服务器通信,获取管理服务器部署的固件配置信息,并根据配置信息下载固件,创建蜜罐。
在另一个实施例中,攻击信息处理模块,还包括模拟信息获取模块,用于获取模拟物联网终端特征信息的模拟程序和模拟程序的服务配置信息;执行模块,还用于在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序。
具体地,不同品牌、不同类型的物联网设备具有不同的特征,为了更好地迷惑攻击者,通过使用爬虫等数据采集技术,记录下各种物联网设备的特征信息。开发人员预先编译特征信息的模拟程序,以及设置模拟程序的服务配置信息。在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序,用于迷惑攻击者。
在另一个实施例中,监控获取模块,用于使用Linux系统的审计工具,提取执行恶意代码所产生的审计记录;和/或使用环形缓冲区显示命令,获取Linux内核的环形缓冲区信息;和/或使用容器监控工具,监控服务器系统调用和命令,和/或使用网络监控工具记录网络流量数据。
上述的攻击信息处理装置,基于Linux系统环境,使用多种监控手段监控并上报攻击者的活动。
在另一个实施例中,上报模块,用于使用发布/订阅协议,向管理服务器上报监控信息。
具体地,在将监控信息上报至管理服务器后,删除本地的监控信息。监控信息通过网络及时向管理服务器上报,确认存储后,及时清理,解决了物联网终端内存容量和磁盘空间受限问题
图9示出了一个实施例中计算机设备的内部结构图。该计算机设备具体为物联网设备。如图9所示,该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置、显示屏和麦克风阵列和音频输出设备。存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统,还可存储有计算机程序,该计算机程序被处理器执行时,可使得处理器实现攻击信息处理方法。该内存储器中也可储存有计算机程序,该计算机程序被处理器执行时,可使得处理器执行攻击信息处理方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。音频输出设备包括扬声器,用于播放声音。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,本申请提供的攻击信息处理方法可以实现为一种计算机程序的形式,计算机程序可在如图9所示的计算机设备上运行。计算机设备的存储器中可存储组成该表情信息处理装置的各个程序模块,比如,图9所示的攻击流量接收模块、代码获取模块和执行模块。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本申请各个实施例的攻击信息处理方法中的步骤。
例如,图9所示的计算机设备可以通过如图8所示的攻击信息处理装置中的攻击流量接收模块执行接收接入服务器调度的攻击流量的步骤。代码获取模块执行获取攻击流量中含有的恶意代码的步骤。计算机设备可通过执行模块执行在基于面向物联网设备的Linux系统创建的监控环境中,执行恶意代码的步骤。
一种计算机可读存储介质,存储有计算机程序,计算机程序被处理器执行时,使得处理器执行以下步骤:
接收接入服务器调度的攻击流量;
获取攻击流量中含有的恶意代码;
在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码;
获取执行恶意代码产生的行为数据,得到监控信息。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:将监控信息上报至管理服务器。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:
获取管理服务器部署的物联网设备的固件配置信息;
根据固件配置信息下载固件,创建蜜罐。
在一个实施例中,根据固件配置信息下载固件,创建蜜罐,包括:
根据固件配置信息,从管理服务器下载对应的固件;
从管理服务器中添加补丁和监控工具,创建蜜罐。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:
获取模拟物联网终端特征信息的模拟程序和模拟程序的服务配置信息;在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序,物联网终端的特征信息利用爬虫工具采集得到。
在另一个实施例中,获取执行恶意代码产生的行为数据,得到监控信息,包括:
使用Linux系统的审计工具,提取执行恶意代码所产生的审计记录;和/或
使用环形缓冲区显示命令,获取Linux内核的环形缓冲区信息;和/或
使用容器监控工具,监控服务器系统调用和命令,和/或
使用网络监控工具记录网络流量数据。
在另一个实施例中,将监控信息上报至管理服务器,包括:
使用发布/订阅协议,向管理服务器上报监控信息。
上述的计算机可读存储介质,通过接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码,并获取执行恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,计算机程序被处理器执行时,使得处理器执行以下步骤:
接收接入服务器调度的攻击流量;
获取攻击流量中含有的恶意代码;
在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码;
获取执行恶意代码产生的行为数据,得到监控信息。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:将监控信息上报至管理服务器。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:
获取管理服务器部署的物联网设备的固件配置信息;
根据固件配置信息下载固件,创建蜜罐。
在一个实施例中,根据固件配置信息下载固件,创建蜜罐,包括:
根据固件配置信息,从管理服务器下载对应的固件;
从管理服务器中添加补丁和监控工具,创建蜜罐。
在一个实施例中,计算机程序被处理器执行时,使得处理器执行以下步骤:
获取模拟物联网终端特征信息的模拟程序和模拟程序的服务配置信息;在恶意代码的执行逻辑与服务配置信息相关时,执行特征信息的模拟程序,物联网终端的特征信息利用爬虫工具采集得到。
在另一个实施例中,获取执行恶意代码产生的行为数据,得到监控信息,包括:
使用Linux系统的审计工具,提取执行恶意代码所产生的审计记录;和/或
使用环形缓冲区显示命令,获取Linux内核的环形缓冲区信息;和/或
使用容器监控工具,监控服务器系统调用和命令,和/或
使用网络监控工具记录网络流量数据。
在另一个实施例中,将监控信息上报至管理服务器,包括:
使用发布/订阅协议,向管理服务器上报监控信息。
上述的计算机设备,通过接收接入服务器调度的攻击流量,获取攻击流量中含有的恶意代码,在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行恶意代码,并获取执行恶意代码产生的行为数据,得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建,从而使得蜜罐系统模拟物联网设备上的特有命令,使蜜罐系统能够适应并支持物联网环境。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一非易失性计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种攻击信息处理方法,包括:
接收接入服务器调度的攻击流量;
获取所述攻击流量中含有的恶意代码;
在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行所述恶意代码;
获取执行所述恶意代码产生的行为数据,得到监控信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述监控信息上报至管理服务器。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取管理服务器部署的物联网设备的固件配置信息;
根据所述固件配置信息下载固件,创建蜜罐。
4.根据权利要求3所述的方法,其特征在于,所述根据所述固件配置信息下载固件,创建蜜罐,包括:
根据固件配置信息,从所述管理服务器下载对应的固件;
从所述管理服务器中添加补丁和监控工具,创建蜜罐。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取模拟物联网终端的特征信息的模拟程序和所述模拟程序的服务配置信息;在所述恶意代码的执行逻辑与所述服务配置信息相关时,执行所述特征信息的模拟程序,所述物联网终端的特征信息利用爬虫工具采集得到。
6.根据权利要求1所述的方法,其特征在于,所述获取执行所述恶意代码产生的行为数据,得到监控信息,包括:
使用Linux系统的审计工具,提取执行所述恶意代码所产生的审计记录;和/或
使用环形缓冲区显示命令,获取Linux内核的环形缓冲区信息;和/或
使用容器监控工具,监控服务器系统调用和命令,和/或
使用网络监控工具记录网络流量数据。
7.一种攻击信息处理装置,包括:
攻击流量接收模块,用于接收接入服务器调度的攻击流量;
代码获取模块,用于获取所述攻击流量中含有的恶意代码;
执行模块,用于在基于面向物联网设备的Linux系统创建的蜜罐监控环境中,执行所述恶意代码;
监控获取模块,用于获取执行所述恶意代码产生的行为数据,得到监控信息。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
上报模块,用于将所述监控信息上报至管理服务器。
9.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。
11.一种物联网蜜罐系统,包括:用于调度攻击流量的接入服务器、多个如权利要求10所述的计算机设备、以及与各所述计算机设备连接,接收上报的监控信息的管理服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810708234.XA CN108769071B (zh) | 2018-07-02 | 2018-07-02 | 攻击信息处理方法、装置和物联网蜜罐系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810708234.XA CN108769071B (zh) | 2018-07-02 | 2018-07-02 | 攻击信息处理方法、装置和物联网蜜罐系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108769071A true CN108769071A (zh) | 2018-11-06 |
CN108769071B CN108769071B (zh) | 2021-02-09 |
Family
ID=63975601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810708234.XA Active CN108769071B (zh) | 2018-07-02 | 2018-07-02 | 攻击信息处理方法、装置和物联网蜜罐系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108769071B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110691097A (zh) * | 2019-10-18 | 2020-01-14 | 河海大学 | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 |
CN110865597A (zh) * | 2018-12-18 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种工业控制系统及其安全防护方法 |
CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
CN112231697A (zh) * | 2020-11-05 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 第三方sdk行为的检测方法、装置、介质及电子设备 |
CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
CN115051873A (zh) * | 2022-07-27 | 2022-09-13 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1748342A1 (en) * | 2005-07-29 | 2007-01-31 | H+BEDV Datentechnik GmbH | Honeypot computer system for detecting viruses in computer networks |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
CN104391689A (zh) * | 2014-11-04 | 2015-03-04 | 中国石油天然气股份有限公司 | 一种物联网应用的开发方法、中间件及PaaS平台 |
CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
CN106778210A (zh) * | 2016-12-16 | 2017-05-31 | 成都巧班科技有限公司 | 一种基于免疫学习的工业控制系统功能安全验证方法 |
WO2017133447A1 (zh) * | 2016-02-02 | 2017-08-10 | 腾讯科技(深圳)有限公司 | 一种智能设备的控制方法及装置、计算机存储介质 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
US9894101B2 (en) * | 2014-06-02 | 2018-02-13 | Sequitur Labs, Inc. | Autonomous and adaptive methods and system for secure, policy-based control of remote and locally controlled computing devices |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
-
2018
- 2018-07-02 CN CN201810708234.XA patent/CN108769071B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1748342A1 (en) * | 2005-07-29 | 2007-01-31 | H+BEDV Datentechnik GmbH | Honeypot computer system for detecting viruses in computer networks |
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
US9894101B2 (en) * | 2014-06-02 | 2018-02-13 | Sequitur Labs, Inc. | Autonomous and adaptive methods and system for secure, policy-based control of remote and locally controlled computing devices |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
CN104391689A (zh) * | 2014-11-04 | 2015-03-04 | 中国石油天然气股份有限公司 | 一种物联网应用的开发方法、中间件及PaaS平台 |
CN105303109A (zh) * | 2015-09-22 | 2016-02-03 | 电子科技大学 | 一种恶意代码情报检测分析方法及系统 |
WO2017133447A1 (zh) * | 2016-02-02 | 2017-08-10 | 腾讯科技(深圳)有限公司 | 一种智能设备的控制方法及装置、计算机存储介质 |
CN107404465A (zh) * | 2016-05-20 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN108234400A (zh) * | 2016-12-15 | 2018-06-29 | 北京金山云网络技术有限公司 | 一种攻击行为确定方法、装置及态势感知系统 |
CN106778210A (zh) * | 2016-12-16 | 2017-05-31 | 成都巧班科技有限公司 | 一种基于免疫学习的工业控制系统功能安全验证方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110865597A (zh) * | 2018-12-18 | 2020-03-06 | 哈尔滨安天科技集团股份有限公司 | 一种工业控制系统及其安全防护方法 |
CN109696892A (zh) * | 2018-12-21 | 2019-04-30 | 上海瀚之友信息技术服务有限公司 | 一种安全自动化系统及其控制方法 |
CN110138770B (zh) * | 2019-05-13 | 2021-08-06 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110138770A (zh) * | 2019-05-13 | 2019-08-16 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
CN110691097A (zh) * | 2019-10-18 | 2020-01-14 | 河海大学 | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 |
CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
CN112231697A (zh) * | 2020-11-05 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 第三方sdk行为的检测方法、装置、介质及电子设备 |
CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
CN113572730A (zh) * | 2021-06-15 | 2021-10-29 | 郑州云智信安安全技术有限公司 | 一种基于web的主动自动诱捕蜜罐的实现方法 |
CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
CN115051873A (zh) * | 2022-07-27 | 2022-09-13 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
CN115051873B (zh) * | 2022-07-27 | 2024-02-23 | 深信服科技股份有限公司 | 网络攻击结果检测方法、装置和计算可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108769071B (zh) | 2021-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108769071A (zh) | 攻击信息处理方法、装置和物联网蜜罐系统 | |
US11295341B2 (en) | Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
US10567432B2 (en) | Systems and methods for incubating malware in a virtual organization | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
CN108780485A (zh) | 基于模式匹配的数据集提取 | |
CN107273748B (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
CN107515778B (zh) | 一种基于上下文感知的起源追踪方法及系统 | |
Xiao et al. | VulHunter: A Discovery for unknown Bugs based on Analysis for known patches in Industry Internet of Things | |
US20240007487A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
US20230205891A1 (en) | Systems and methods for prioritizing security findings using machine learning models | |
US11805152B2 (en) | Domain specific language for defending against a threat-actor and adversarial tactics, techniques, and procedures | |
US20230418938A1 (en) | Attack kill chain generation and utilization for threat analysis | |
US11805147B2 (en) | Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures | |
CN111865927B (zh) | 基于系统的漏洞处理方法、装置、计算机设备和存储介质 | |
US11763004B1 (en) | System and method for bootkit detection | |
CN110958267B (zh) | 一种虚拟网络内部威胁行为的监测方法及系统 | |
US10958686B2 (en) | Domain specific language for threat-actor deception | |
Sikos et al. | CamDec: Advancing Axis P1435-LE video camera security using honeypot-based deception | |
Dietzel | Porting and improving an Android sandbox for automated assessment of malware | |
CN116502226B (zh) | 一种基于固件仿真的高交互物联网蜜罐部署方法与系统 | |
Mao et al. | A function-level behavior model for anomalous behavior detection in hybrid mobile applications | |
Acin Sanz | ANDRIK: Automated Android malware analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |