CN109462599A - 一种蜜罐管理系统 - Google Patents
一种蜜罐管理系统 Download PDFInfo
- Publication number
- CN109462599A CN109462599A CN201811525543.XA CN201811525543A CN109462599A CN 109462599 A CN109462599 A CN 109462599A CN 201811525543 A CN201811525543 A CN 201811525543A CN 109462599 A CN109462599 A CN 109462599A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- module
- management system
- honey
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于网络技术领域,提供了蜜罐管理系统,包括:反向代理模块,用于分离第一交互类型和第二交互类型;请求响应模块,用于接收所述用户设备的操作请求,并用于返回关于所述操作请求的操作响应;日志优化模块,用于将所述蜜罐管理系统的日志数据进行优化处理;IP核查模块,用于对所述蜜罐的攻击对象进行溯源分析;规则匹配模块,用于设定关于所述蜜罐的告警事件的告警规则;蜜罐通信模块,用于与所述蜜罐进行通信,所述通信由所述蜜罐主动发起。本发明提供了实现了对蜜罐日志数据的全方位数据利用,并用有效地将用户设备与蜜罐系统之间进行通信隔离,有效地提升了系统功能的全面性。
Description
技术领域
本发明属于网络技术领域,尤其涉及一种蜜罐管理系统。
背景技术
随着网络的普及与发展,网络安全问题也日益严竣,面对不断出现的新的攻击方法或攻击工具,传统被动防御的网络防护技术越来越无法适应网络安全的需要,而蜜罐技术作为一种主动防御的网络防护技术,日益受到网络安全人员的重视。
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而实现对攻击数据的惧,以使网络安全人员可以通过攻击数据对攻击行为进行捕获和分析,了解攻击方所使用的攻击方法或攻击工具,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。然而,在目前,基于上述技术实现的蜜罐系统仅仅是实现对攻击数据的收集与展示,就系统本身来说,数据利用率低。
发明内容
有鉴于此,本发明实施例提供了一种蜜罐管理系统,以解决现有的蜜罐系统仅仅是实现对攻击数据的收集与展示,数据利用率低的问题。
本发明实施例的第一方面提供了一种蜜罐管理系统,包括:
反向代理模块,用于分离第一交互类型和第二交互类型,所述第一交互类型为用户设备与所述蜜罐管理系统的交互,所述第二交互类型为所述蜜罐管理系统与蜜罐的交互;
请求响应模块,用于接收所述用户设备的操作请求,并用于返回关于所述操作请求的操作响应;
日志优化模块,用于将所述蜜罐管理系统的日志数据进行优化处理;
IP核查模块,用于对所述蜜罐的攻击对象进行溯源分析;
规则匹配模块,用于设定关于所述蜜罐的告警事件的告警规则;
蜜罐通信模块,用于与所述蜜罐进行通信,所述通信由所述蜜罐主动发起。
进一步地,所述请求处理模块包括:
中间层处理模块,用于对所述用户设备进行权限验证;
请求处理模块,用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理,并用于返回关于所述操作请求的操作响应。
进一步地,所述中间层处理模块具体用于:
若针对同一所述用户设备,权限验证失败的次数达到预设的次数阈值,对所述用户设备进行封禁处理。
进一步地,所述日志优化模块包括:
抽离模块,用于将所述日志数据按照预设的聚合规则进行关键字段抽离;
比对模块,用于将所述抽离模块处理得到的关键字段与缓存中的关键字段进行比对,获取需要新增或修改的缓存对象;
聚合模块,用于根据所述比对模块的处理结果,对所述缓存进行增量聚合。
进一步地,所述蜜罐管理系统还包括:
存储空间监测模块,用于定时检查磁盘和缓存的存储空间,根据检查结果清理过期文件。
进一步地,所述存储空间监测模块还用于:
若检查结果为所述存储空间小于预设阈值,将所述蜜罐的日志数据转发至预设服务器。
进一步地,所述存储空间监测模块具体用于:
若检查结果为所述存储空间小于预设阈值,将与告警事件相关的所述蜜罐的日志数据转发至预设服务器。
进一步地,所述蜜罐通信模块具体用于:
若接收到所述蜜罐对所述蜜罐管理系统发起的请求,通过预先存储的所述蜜罐的授权码判断所述请求的合法性;
若所述请求合法,接收并处理所述请求。
进一步地,若所述请求为任务拉取请求,所述蜜罐通信模块具体用于将所述设备下发的任务返回给所述蜜罐以执行。
进一步地,若所述请求为状态上传请求,所述蜜罐通信模块具体用于在所述蜜罐管理系统中对所述蜜罐的状态进行实时更新。
本发明实施例与现有技术相比存在的有益效果是:
本发明实施例提供了一种全功能性的蜜罐管理系统,其功能不再仅仅是对攻击数据的收集与展示,而是实现了对蜜罐日志数据的全方位数据利用,并用有效地将用户设备与蜜罐系统之间进行通信隔离,有效地提升了系统功能的全面性。可以用于对蜜罐进行更科学、有效管理,对蜜罐监测的安全数据进行统一管理、数据分析、可视化展示,进而提升安全事件的分析效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的蜜罐管理系统的结构示意图;
图2是本发明实施例提供的蜜罐管理系统的系统功能架构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1示出了本发明实施例提供的蜜罐管理系统的结构示意图,为了便于说明,仅示出了与本实施例相关的部分。
参照图1,该蜜罐管理系统包括:
反向代理模块,用于分离第一交互类型和第二交互类型,所述第一交互类型为用户设备与所述蜜罐管理系统的交互,所述第二交互类型为所述蜜罐管理系统与蜜罐的交互。
通过反向代理模块将用户设备对蜜罐管理系统的访问,与蜜罐管理系统同蜜罐之间的通信进行分量,以保证蜜罐大量上传日志数据时的访问流畅度。
请求响应模块,用于接收所述用户设备的操作请求,并用于返回关于所述操作请求的操作响应。
具体地,请求响应模块包括:
中间层处理模块,用于对所述用户设备进行权限验证。
此外,中间层处理模块还可用于对用户设备进行行为记录。
请求处理模块,用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理,并用于返回关于所述操作请求的操作响应。
更进一步地,中间层处理模块具体用于:
若针对同一所述用户设备,权限验证失败的次数达到预设的次数阈值,对所述用户设备进行封禁处理。
日志优化模块,用于将所述蜜罐管理系统的日志数据进行优化处理。
具体地,日志优化模块包括:
抽离模块,用于将所述日志数据按照预设的聚合规则进行关键字段抽离;
比对模块,用于将所述抽离模块处理得到的关键字段与缓存中的关键字段进行比对,获取需要新增或修改的缓存对象;
聚合模块,用于根据所述比对模块的处理结果,对所述缓存进行增量聚合。
即,日志优化模块通过执行定时任务,自动将蜜罐新上传的日志数据按照聚合规则进行关键字段抽离,与缓存中的旧数据进行比对,获取需要新增的缓存对象或者需要更新的缓存对象,再通过对缓存对象进行增量聚合,将聚合结果与旧缓存进行合并,保证用户访问的流畅性,以及保证缓存更新的高效性。
IP核查模块,用于对所述蜜罐的攻击对象进行溯源分析。
IP核查模块实现了对蜜罐的攻击对象的溯源分析,依托灯塔实验室长期积累的IP库,获取攻击对象的网络服务商,并对攻击对象进行地理定位,利于用户进行取证与威胁溯源分析工作。
规则匹配模块,用于设定关于所述蜜罐的告警事件的告警规则。
具体地,用于通过告警白名单、告警黑名单、通信白名单等对日志数据中的告警日志进行规则匹配,并对符合相应规则的事件采取相应的告警或忽略措施。
蜜罐通信模块,用于与所述蜜罐进行通信,所述通信由所述蜜罐主动发起。
蜜罐通信模块通过远程过程调用(Remote Procedure Call,RPC)技术进行用户设备任的务派发、蜜罐状态的获取、日志数据的接收等工作。蜜罐与蜜罐管理系统之间的通信均由蜜罐主动发起,从而可以将蜜罐部署在禁止外网对内网主动发起请求的场景。
进一步地,蜜罐通信模块具体用于:
若接收到所述蜜罐对所述蜜罐管理系统发起的请求,通过预先存储的所述蜜罐的授权码判断所述请求的合法性;
若所述请求合法,接收并处理所述请求。
进一步地,若所述请求为任务拉取请求,所述蜜罐通信模块具体用于将所述设备下发的任务返回给所述蜜罐以执行。
进一步地,若所述请求为状态上传请求,所述蜜罐通信模块具体用于在所述蜜罐管理系统中对所述蜜罐的状态进行实时更新。
进一步地,蜜罐管理系统还包括:
存储空间监测模块,用于定时检查磁盘和缓存的存储空间,根据检查结果清理过期文件。
进一步地,所述存储空间监测模块还用于:
若检查结果为所述存储空间小于预设阈值,将所述蜜罐的日志数据转发至预设服务器。
具体地,可以通过系统日志(syslog)的形式将日志数据转发至预设服务器,以避免日志数据的丢失。
进一步地,对与告警事件或攻击事件相关的日志数据进行转发,以实现对重要数据的备份。
图2示出了蜜罐管理系统的系统功能架构示意图,结合图2,在系统功能上,由以下四大模块构成:
(一)告警管理模块:
系统将蜜罐上传的全部告警日志进行分析与展示,其中,告警日志即蜜罐所捕获到的所有数据包,展示内容包括互联监控、告警分析、告警日志和告警事件,具体地:
1、通过图表展示攻击者与蜜罐的互联关系与互联频次,用于展示的图表可以为拓扑图或引力图,点击图表中展示的每条互联关系时,会自动筛选出与该互联关系相关的告警日志并展示。
2、根据筛选条件对告警日志进行筛选并分析,将筛选后的日志根据告警类型、攻击者、被攻击IP以及被攻击端口的次数等维度进行数据排名,同时对告警趋势进行以天、小时以及分钟为刻度的追踪。告警分析结果支持PDF导出。
3、对每一条告警日志进行展示,支持查看告警日志对应的五元组和解析的数据包。在对告警日志进行筛选的同时会与互联监控进行联动,互联监控中的分析图表会根据筛选条件重新聚合。
4、系统会对告警日志进行规则匹配,当特定的告警符合规则时,则会产生对应的告警事件。
(二)态势监控模块:
系统将蜜罐上传的全部攻击日志进行多维度高层次分析,其中,维度包括:攻击、攻击者、组织、协议。攻击日志会根据规则进行等级划分,并根据特征进行会话归并。其中:
攻击维度,用于展示所有的攻击和攻击会话数量,并统计其中的有害次数,并针对不同等级的攻击日志、发动攻击的地区、被攻击的地区做数量统计与趋势跟踪。
攻击者维度,用于展示所有的攻击者数量,跟踪攻击者的增长趋势,并对各个区域的攻击者增长趋势做进一步跟踪,统计攻击者区域分布。
组织维度,用于展示所有的组织数量,对攻击事件及攻击者的分布情况做统计分析,对每个组织的攻击事件及攻击者做趋势跟踪。
协议维度,用于展示所有的协议数量,对各协议的攻击事件分布情况做统计分析,对每个协议受到的攻击情况做趋势跟踪。
(三)统计分析模块:
系统将蜜罐上传的全部攻击日志进行多维度低层次分析,维度包括:攻击、攻击会话、攻击者、组织、协议。其中:
攻击维度,用于对每一条攻击日志进行展示,可查看对应的五元组和请求、攻击者信息、通信解析,解析内容表现形式包括中文、字符串、16进制。可以对攻击日志进行Excel导出,方便用户通过数据进行二次分析。
攻击会话维度,用于通过源IP、源端口、目的IP、目的端口、时间范围将系列攻击日志归并为一个攻击会话,对攻击行为分布进行图表分析,并将对应的攻击日志按照时间排序,溯源此次攻击会话内的攻击轨迹。
攻击者维度,用于通过攻击日志的源IP提取出攻击者信息,对攻击者的地理位置、ISP、ASN信息进行识别;对攻击者所发动的攻击进行聚类分析,共有两个分析维度:对各工控协议的攻击情况,以及所发动的不同等级攻击情况。每个维度的聚类分析都通过数量分布和趋势分布两种形式去表现。可对攻击者进行组织标定(默认无组织)。
组织维度,用于通过对攻击者进行组织标定生成对应的组织对象,展示组织的攻击数量、攻击者数量、组织创建时间、最新人员加入时间。对组织所发动的攻击进行聚类分析,共有三个分析维度:对各工控协议的攻击情况、对各地区的攻击情况、攻击者地区分布情况及增加趋势。
协议维度,用于通过对蜜罐的规则配置生成对应的协议对象,展示协议的相关信息及部署数量、被攻击次数。对协议受到的攻击进行聚类分析,共有四个分析维度:协议受到的攻击情况、攻击此协议的攻击者分布情况、攻击此协议的地区分布情况、攻击此协议的组织情况。
(四)安全管理模块:
通过此模块对系统所提供的安全功能进行管理控制,包括:蜜罐监控,告警白名单,通信白名单,通信黑名单。其中:
蜜罐监控,用于对新部署的蜜罐进行认证,只有认证后的蜜罐上传的日志才能被平台接收。对蜜罐进行起停控制。能够修改蜜罐IP配置。对每个蜜罐的信息进行详细展示,包括蜜罐内各服务的运行状态,CPU与内存状态,蜜罐所受到的攻击、攻击者、攻击地区分析。
告警白名单,符合告警白名单的告警日志将会被忽略。
告警黑名单,符合告警黑名单的告警日志会被作为对应的告警事件。
通信白名单,不符合通信白名单的告警日志会被作为异常连接的告警事件。
此外,蜜罐管理系统还设计有系统管理模块:
通过此模块对系统配置进行管控,包括:用户管理、系统白名单、系统配置、硬件重启与关机。
用户管理,用于进行用户添加、用户删除、更改密码、更改权限。共有三种用户权限,三权分立,包括:安全管理员,用于进行系统所提供的安全功能操控,能够查看与控制上文四大模块的功能;系统管理员,用于进行系统管理,只能查看与控制系统管理模块的功能;审计管理员,用于审计用户的操作,只能查看审计管理模块的功能。
系统白名单,只有符合系统白名单的IP可以进行平台访问。
系统配置:时间服务器,被蜜罐用于进行时间校准;鉴别失败最大次数:当用户IP、账号密码、权限错误时会鉴别失败,当鉴别失败达到最大次数时会触发封禁,平台不再返回响应。
鉴别失败禁入时间:鉴别失败达到最大次数后的封禁时间。
磁盘空间报警阈值:当管理系统磁盘空间达到阈值时会进行报警。
内存空间报警阈值:当管理系统内存空间达到阈值时会进行报警。
磁盘空间报警转储Syslog服务器:当磁盘空间报警时,管理平台会将蜜罐上传数据以syslog形式转发到对应的服务器,保证数据不会丢失。
硬件关机与重启:
可以进行管理平台的硬件关机与重启操作。
审计管理模块:通过此模块记录所有与用户的操作记录,每条记录包含操作用户、操作对象、行为描述、操作IP、是否成功、操作时间信息。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种蜜罐管理系统,其特征在于,包括:
反向代理模块,用于分离第一交互类型和第二交互类型,所述第一交互类型为用户设备与所述蜜罐管理系统的交互,所述第二交互类型为所述蜜罐管理系统与蜜罐的交互;
请求响应模块,用于接收所述用户设备的操作请求,并用于返回关于所述操作请求的操作响应;
日志优化模块,用于将所述蜜罐管理系统的日志数据进行优化处理;
IP核查模块,用于对所述蜜罐的攻击对象进行溯源分析;
规则匹配模块,用于设定关于所述蜜罐的告警事件的告警规则;
蜜罐通信模块,用于与所述蜜罐进行通信,所述通信由所述蜜罐主动发起。
2.如权利要求1所述的蜜罐管理系统,其特征在于,所述请求处理模块包括:
中间层处理模块,用于对所述用户设备进行权限验证;
请求处理模块,用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理,并用于返回关于所述操作请求的操作响应。
3.如权利要求2所述的蜜罐管理系统,其特征在于,所述中间层处理模块具体用于:
若针对同一所述用户设备,权限验证失败的次数达到预设的次数阈值,对所述用户设备进行封禁处理。
4.如权利要求1所述的蜜罐管理系统,其特征在于,所述日志优化模块包括:
抽离模块,用于将所述日志数据按照预设的聚合规则进行关键字段抽离;
比对模块,用于将所述抽离模块处理得到的关键字段与缓存中的关键字段进行比对,获取需要新增或修改的缓存对象;
聚合模块,用于根据所述比对模块的处理结果,对所述缓存进行增量聚合。
5.如权利要求1所述的蜜罐管理系统,其特征在于,所述蜜罐管理系统还包括:
存储空间监测模块,用于定时检查磁盘和缓存的存储空间,根据检查结果清理过期文件。
6.如权利要求5所述的蜜罐管理系统,其特征在于,所述存储空间监测模块还用于:
若检查结果为所述存储空间小于预设阈值,将所述蜜罐的日志数据转发至预设服务器。
7.如权利要求6所述的蜜罐管理系统,其特征在于,所述存储空间监测模块具体用于:
若检查结果为所述存储空间小于预设阈值,将与告警事件相关的所述蜜罐的日志数据转发至预设服务器。
8.如权利要求1所述的蜜罐管理系统,其特征在于,所述蜜罐通信模块具体用于:
若接收到所述蜜罐对所述蜜罐管理系统发起的请求,通过预先存储的所述蜜罐的授权码判断所述请求的合法性;
若所述请求合法,接收并处理所述请求。
9.如权利要求8所述的蜜罐管理系统,其特征在于,若所述请求为任务拉取请求,所述蜜罐通信模块具体用于将所述设备下发的任务返回给所述蜜罐以执行。
10.如权利要求7所述的蜜罐管理系统,其特征在于,若所述请求为状态上传请求,所述蜜罐通信模块具体用于在所述蜜罐管理系统中对所述蜜罐的状态进行实时更新。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811525543.XA CN109462599B (zh) | 2018-12-13 | 2018-12-13 | 一种蜜罐管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811525543.XA CN109462599B (zh) | 2018-12-13 | 2018-12-13 | 一种蜜罐管理系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109462599A true CN109462599A (zh) | 2019-03-12 |
| CN109462599B CN109462599B (zh) | 2021-05-11 |
Family
ID=65613237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811525543.XA Active CN109462599B (zh) | 2018-12-13 | 2018-12-13 | 一种蜜罐管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109462599B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110650128A (zh) * | 2019-09-17 | 2020-01-03 | 西安电子科技大学 | 一种检测以太坊数字货币盗取攻击的系统及方法 |
| CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112866259A (zh) * | 2021-01-22 | 2021-05-28 | 杭州木链物联网科技有限公司 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
| CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| EP3346666A1 (en) * | 2017-01-05 | 2018-07-11 | Deutsche Telekom AG | A prediction system configured for modeling the expected number of attacks on a computer or communication network |
| CN108427720A (zh) * | 2018-02-08 | 2018-08-21 | 中国科学院计算技术研究所 | 系统日志分类方法 |
-
2018
- 2018-12-13 CN CN201811525543.XA patent/CN109462599B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| EP3346666A1 (en) * | 2017-01-05 | 2018-07-11 | Deutsche Telekom AG | A prediction system configured for modeling the expected number of attacks on a computer or communication network |
| CN107566409A (zh) * | 2017-10-20 | 2018-01-09 | 携程旅游网络技术(上海)有限公司 | 局域网扫描行为检测方法、装置、电子设备、存储介质 |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN108427720A (zh) * | 2018-02-08 | 2018-08-21 | 中国科学院计算技术研究所 | 系统日志分类方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110650128B (zh) * | 2019-09-17 | 2020-09-11 | 西安电子科技大学 | 一种检测以太坊数字货币盗取攻击的系统及方法 |
| CN110650128A (zh) * | 2019-09-17 | 2020-01-03 | 西安电子科技大学 | 一种检测以太坊数字货币盗取攻击的系统及方法 |
| CN110753038A (zh) * | 2019-09-29 | 2020-02-04 | 武汉大学 | 一种异常检测自适应权限控制系统及方法 |
| CN111147513A (zh) * | 2019-12-31 | 2020-05-12 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
| CN111726342B (zh) * | 2020-06-08 | 2022-08-02 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
| CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
| CN112039717B (zh) * | 2020-06-29 | 2022-10-28 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN112866259A (zh) * | 2021-01-22 | 2021-05-28 | 杭州木链物联网科技有限公司 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
| CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
| CN114598506A (zh) * | 2022-02-22 | 2022-06-07 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
| CN114598506B (zh) * | 2022-02-22 | 2023-06-30 | 烽台科技(北京)有限公司 | 工控网络安全风险溯源方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109462599B (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109462599A (zh) | 一种蜜罐管理系统 | |
| Gupta et al. | Taxonomy of DoS and DDoS attacks and desirable defense mechanism in a cloud computing environment | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN104063473B (zh) | 一种数据库审计监测系统及其方法 | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| CN104065644B (zh) | 基于日志分析的cc攻击识别方法和设备 | |
| US20160191352A1 (en) | Network asset information management | |
| KR101534192B1 (ko) | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 | |
| US20160036844A1 (en) | Explaining network anomalies using decision trees | |
| US20130254260A1 (en) | Network threat assessment system with servers performing message exchange accounting | |
| US20120311562A1 (en) | Extendable event processing | |
| CN106537406A (zh) | 一种网络安全系统及其方法 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN106161395A (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN107911244A (zh) | 一种云网结合的多用户蜜罐终端系统及其实现方法 | |
| US20150358292A1 (en) | Network security management | |
| CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
| CN105245336B (zh) | 一种文档加密管理系统 | |
| Bezas et al. | Comparative analysis of open source security information & event management systems (SIEMs) | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Viegas et al. | Enabling anomaly-based intrusion detection through model generalization | |
| CN110460558B (zh) | 一种基于可视化的攻击模型发现的方法及系统 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| Zaghdoud et al. | Contextual fuzzy cognitive map for intrusion response system | |
| CN113709140A (zh) | 一种基于综合审计的云大数据智能安全管控系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |