CN110324313A - 基于蜜罐系统的恶意用户的识别方法及相关设备 - Google Patents
基于蜜罐系统的恶意用户的识别方法及相关设备 Download PDFInfo
- Publication number
- CN110324313A CN110324313A CN201910432749.6A CN201910432749A CN110324313A CN 110324313 A CN110324313 A CN 110324313A CN 201910432749 A CN201910432749 A CN 201910432749A CN 110324313 A CN110324313 A CN 110324313A
- Authority
- CN
- China
- Prior art keywords
- user
- malicious user
- malicious
- access
- honey jar
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请涉及信息安全领域,本申请公开了一种基于蜜罐系统的恶意用户的识别的方法及相关设备,所述方法包括:模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与所述区块链公链保持同步;获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息;跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。本申请通过模拟以太坊服务器,在蜜罐服务器上对访问用户进行识别及安全分级,并根据访问用户的安全级别反馈信息,可以有效的识别恶意用户,保障系统安全。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种基于蜜罐系统的恶意用户的识别方法及相关设备。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐好比是情报收集系统,蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击,所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞,还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
目前市场上对于以太坊的蜜罐系统较少,而且对于模拟也是简单的记录请求的API(应用程序接口),无法获取攻击者的信息,不能达到有效防御的目的。
发明内容
本申请的目的在于针对现有技术的不足,提供一种基于蜜罐系统的恶意用户的识别方法及相关设备,通过模拟以太坊服务器,在蜜罐服务器上对访问用户进行识别及安全分级,并根据访问用户的安全级别反馈信息,可以有效的识别恶意用户,保障系统安全。
为达到上述目的,本申请的技术方案提供一种基于蜜罐系统的恶意用户的识别方法及相关设备。
本申请公开了一种基于蜜罐系统的恶意用户的识别方法,包括以下步骤:
模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;
获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;
当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
较佳地,所述将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步,包括:
建立连接端口,并通过所述连接端口将所述蜜罐服务器与所述区块链公链相连;
预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新,所述数据信息包括:区块数据信息、合约数据信息及交易数据信息。
较佳地,所述预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新之后,包括:
对从所述区块链公链上获取的数据信息进行分类,获得敏感数据信息及普通数据信息;
将所述敏感数据信息存储在所述蜜罐服务器中的敏感信息数据库中,将所述普通数据信息存储在普通信息数据库中。
较佳地,所述根据所述访问请求对所述用户进行安全分级,包括:
当获取到用户对所述蜜罐服务器的访问请求后,将所述用户设为非正常用户;
当检测到所述非正常用户请求的是与敏感数据信息相关的操作时,将所述非正常用户更新为恶意用户。
较佳地,所述根据所述用户的安全级别反馈信息,包括:
当检测到当前向所述蜜罐服务器发起访问请求的用户为非正常用户时,根据所述访问请求在所述普通信息数据库中进行查询,并将查询结果反馈给所述非正常用户;
当检测到当前向所述蜜罐服务器发起访问请求的用户为恶意用户时,对所述恶意用户的访问请求进行拦截,并反馈虚拟数据信息。
较佳地,所述当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定,包括:
当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,获取所述恶意用户的IP地址,根据所述恶意用户的IP地址获取所述恶意用户在所述蜜罐服务器中的访问轨迹,并查询所述恶意用户的历史访问记录;
预设用户的恶意访问频率阈值,根据所述恶意用户在所述蜜罐服务器中的访问轨迹获得所述恶意用户的恶意访问频率,当所述恶意用户的恶意访问频率大于所述用户的恶意访问频率阈值时,获取所述恶意用户的账号,并对所述账号进行锁定。
较佳地,所述获取所述恶意用户的账号,并对所述账号进行锁定,包括:
当获取到所述恶意用户的账号后,将所述恶意用户的账号加入黑名单,用以将所述恶意用户的访问请求进行拦截;
获取所述恶意用户请求访问的用户对象,并向所述用户对象发送安全提示信息。
本申请还公开了一种基于蜜罐系统的恶意用户的识别装置,所述装置包括:
数据同步模块:设置为模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;
用户识别模块:设置为获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;
安全预警模块:设置为当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
本申请还公开了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行上述所述恶意用户的识别方法的步骤。
本申请还公开了一种存储介质,所述存储介质可被处理器读写,所述存储介质存储有计算机指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述所述恶意用户的识别方法的步骤。
本申请的有益效果是:本申请通过模拟以太坊服务器,在蜜罐服务器上对访问用户进行识别及安全分级,并根据访问用户的安全级别反馈信息,可以有效的识别恶意用户,保障系统安全。
附图说明
图1为本申请第一个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图2为本申请第二个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图3为本申请第三个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图4为本申请第四个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图5为本申请第五个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图6为本申请第六个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图7为本申请第七个实施例的一种基于蜜罐系统的恶意用户的识别方法的流程示意图;
图8为本申请实施例的一种基于蜜罐系统的恶意用户的识别装置结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
本申请第一个实施例的一种基于蜜罐系统的恶意用户的识别方法流程如图1所示,本实施例包括以下步骤:
步骤s101,模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;
具体的,正常通过以太坊服务器可以获取到区块链公链上存储的所有信息,包括区块信息、合约信息及交易信息等;由于以太坊服务器提供的是RPC-JSON的外部接口,因此可以模拟以太坊服务器,生成蜜罐服务器,这样,蜜罐服务器可以对于提交的对于用户操作的API(应用程序接口)返回和以太坊服务器一样的结果,且所述蜜罐服务器返回的用户是区块链公链上真实存在的用户,所述用户的数据信息也是真实的数据信息,由于区块链公链的数据透明性,所述数据信息可以从区块链公链上采集获得,并可以通过区块链的公链进行数据信息的实施更新,保持所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息同步。
步骤s102,获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;
具体的,当用户想对蜜罐服务器发起访问时,可向所述蜜罐服务器发起访问请求,当所述蜜罐服务器收到用户的访问请求时,可根据所述访问请求对所述用户进行安全分级,所述用户的安全级别包括:非正常用户及恶意用户。所述非正常用户针对的访问普通信息的用户,而恶意用户针对的是访问敏感信息的用户。
具体的,如果当前用户是非正常用户,访问的是普通信息,那么蜜罐服务器在数据库中查询到所述普通信息后可将所述普通信息发送给所述非正常用户,如果当前用户是恶意用户,访问的是敏感信息那么可拦截本次访问请求。
步骤s103,当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
具体的,当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,可确定当前用户访问的是涉及敏感信息的数据,因此可对所述恶意用户的IP地址进行锁定,并根据所述恶意用户的IP地址进行跟踪,获得所述恶意用户在蜜罐服务器内的访问轨迹,并根据所述恶意用户的IP地址查询所述恶意用户的历史访问记录,最后根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定,所述对所述恶意用户进行锁定包括对所述恶意用户的账号进行锁定,例如,将所述恶意用户的账号加入黑名单,当所述恶意用户的账号发起访问请求时,进行拦截。
本实施例中,通过模拟以太坊服务器,在蜜罐服务器上对访问用户进行识别及安全分级,并根据访问用户的安全级别反馈信息,可以有效的识别恶意用户,保障系统安全。
图2为本申请第二个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s101,将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步,包括:
步骤s201,建立连接端口,并通过所述连接端口将所述蜜罐服务器与所述区块链公链相连;
具体的,当所述蜜罐服务器生成之后,可在所述蜜罐服务器和所述区块链公链之间建立连接端口,通过所述连接端口将所述蜜罐服务器与所述区块链公链相连,用以在所述蜜罐服务器与所述区块链公链之间传输数据。
步骤s202,预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新,所述数据信息包括:区块数据信息、合约数据信息及交易数据信息。
具体的,为了将所述蜜罐服务器与所述区块链公链之间的数据信息保持同步,可在所述蜜罐服务器中设置同步时间周期,例如,30秒同步一次;这样,根据所述同步时间周期所述蜜罐服务器可以周期性的从所述区块链公链上获取数据信息,并将从所述区块链公链上获取的数据信息对所述蜜罐服务器上的数据信息进行更新,保证所述蜜罐服务器上的数据信息与所述区块链公链上的数据信息同步;其中,所述数据信息包括:区块数据信息、合约数据信息及交易数据信息。
本实施例中,通过蜜罐服务器周期性的向区块链公链获取数据,可以保证蜜罐服务器与区块链公链数据同步。
图3为本申请第三个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s202,预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新之后,包括:
步骤s301,对从所述区块链公链上获取的数据信息进行分类,获得敏感数据信息及普通数据信息;
具体的,当从所述区块链公链上获取到数据信息之后,可以对所述数据信息进行识别并分类;所述识别可以通过对关键词的检索,例如,对所述数据信息中的关键词进行检索,将涉及到金融、安全的数据信息或者数据操作定义为敏感数据信息,将未涉及到金融、安全的数据信息或者数据操作定义为普通数据信息,所述涉及金融的数据信息或者操作包括交易、转账,所述涉及安全的数据信息或者操作包括解锁、账户查询。
步骤s302,将所述敏感数据信息存储在所述蜜罐服务器中的敏感信息数据库中,将所述普通数据信息存储在普通信息数据库中。
具体的,当获取到敏感数据信息和普通数据信息后,可在所述蜜罐服务器中为所述敏感数据信息和普通数据信息分别分配数据库,将所述敏感数据信息存储在所述蜜罐服务器中的敏感信息数据库中,将所述普通数据信息存储在普通信息数据库中,由于所述敏感数据信息和普通数据信息的重要程度不同,因此可对敏感信息数据库和普通信息数据库的安全设置不同的级别,例如,对所述普通信息数据库进行开放式访问,对所述敏感信息数据库进行加密,在访问之前需进行身份校验。
本实施例中,通过将数据信息进行识别并分类,可以根据用户请求的数据信息类别对用户进行识别。
图4为本申请第四个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s102,根据所述访问请求对所述用户进行安全分级,包括:
步骤s401,当获取到用户对所述蜜罐服务器的访问请求后,将所述用户设为非正常用户;
具体的,由于以太坊服务器的特性,基本都是自身使用,而对于蜜罐服务器来说,自身也不会调用,所以当有用户对蜜罐服务器进行连接发生访问请求时,可以确定当前访问的用户是非正常用户,因此可将所述用户设为非正常用户。
步骤s402,当检测到所述非正常用户请求的是与敏感数据信息相关的操作时,将所述非正常用户更新为恶意用户。
具体的,当所述非正常用户对所述蜜罐服务器发起访问请求后,由于所述非正常用户可以请求的是与敏感数据信息相关的操作,也可以请求与普通数据信息相关的操作,因此可以进一步检测所述非正常用户请求的是什么操作,当检测到所述非正常用户请求的是与敏感数据信息相关的操作时,可将所述非正常用户更新为恶意用户,而当检测到所述非正常用户请求的是与普通数据信息相关的操作时,所述非正常用户的安全级别不变,即还是非正常用户。
本实施例中,通过对发起访问请求的用户进行安全级别的划分,可以有效识别恶意用户,保障系统安全。
图5为本申请第五个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s102,根据所述用户的安全级别反馈信息,包括:
步骤s501,当检测到当前向所述蜜罐服务器发起访问请求的用户为非正常用户时,根据所述访问请求在所述普通信息数据库中进行查询,并将查询结果反馈给所述非正常用户;
具体的,当检测到当前向所述蜜罐服务器发起访问请求的用户为非正常用户时,可以根据所述非正常用户的访问请求在所述普通信息数据库中进行查询,由于所述普通信息数据库中存储的是普通数据信息,不涉及系统安全或者数据安全,因此可将查询后获得的结果发送给所述非正常用户。
步骤s502,当检测到当前向所述蜜罐服务器发起访问请求的用户为恶意用户时,对所述恶意用户的访问请求进行拦截,并反馈虚拟数据信息。
具体的,当检测到当前向所述蜜罐服务器发起访问请求的用户为恶意用户时,由于所述恶意用户的访问请求涉及系统安全及数据安全,例如:本次请求进行交易或者转账,因此可将所述恶意用户的本次访问请求进行拦截,并在对所述访问请求进行拦截后还可以生成虚拟的数据信息,例如:生成虚拟的交易成功信息,然后发送给所述恶意用户。
本实施例中,通过对不同安全级别的用户分别进行处理,可以保障系统安全。
图6为本申请第六个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s103,当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定,包括:
步骤s601,当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,获取所述恶意用户的IP地址,根据所述恶意用户的IP地址获取所述恶意用户在所述蜜罐服务器中的访问轨迹,并查询所述恶意用户的历史访问记录;
具体的,当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,可以获取所述恶意用户的IP地址,然后对所述IP地址进行锁定,并根据所述IP地址获取所述恶意用户在所述蜜罐服务器中的访问轨迹,所述访问轨迹包括访问时间、访问的用户对象及访问的数据信息。
具体的,还可以通过所述恶意用户的IP地址查询所述恶意用户的历史访问记录,所述历史访问记录可以通过多个地区部署的蜜罐服务器进行关联查询获得,所述历史访问记录包括:访问的地区、访问的时间及访问的数据信息。
步骤s602,预设用户的恶意访问频率阈值,根据所述恶意用户在所述蜜罐服务器中的访问轨迹获得所述恶意用户的恶意访问频率,当所述恶意用户的恶意访问频率大于所述用户的恶意访问频率阈值时,获取所述恶意用户的账号,并对所述账号进行锁定。
具体的,可预设用户的恶意访问频率阈值,所述用户的恶意访问频率阈值用于确定是否要对所述恶意用户的账号进行锁定,并限制所述恶意用户的账号的使用;然后根据所述恶意用户在所述蜜罐服务器中的访问轨迹获得所述恶意用户的恶意访问频率,所述恶意用户的恶意访问频率可以通过如下计算公式获得:
其中,P表示恶意访问频率,N表示恶意访问的次数,M表示普通访问的次数,所述恶意访问的次数指的是所述恶意用户访问普通信息数据库的次数,所述普通访问的次数指的是所述恶意用户访问普通信息数据库的次数,将所述恶意用户的恶意访问频率与所述用户的恶意访问频率阈值进行比较,如果所述恶意用户的恶意访问频率大于所述用户的恶意访问频率阈值,则获取所述恶意用户的账号,并对所述账号进行锁定,例如:将所述用户的恶意访问频率阈值设置为30%,当恶意用户A的恶意访问频率为35%,则获取恶意用户A的账号,制止恶意用户A的恶意攻击操作;当恶意用户B的恶意访问频率为28%,暂不获取恶意用户B的账号信息,后续持续获取其访问请求并实时计算其恶意访问频率。
本实施例中,根据用户恶意访问频率确定对所述用户的账号是否进行锁定,可以有效提高系统安全。
图7为本申请第七个实施例的一种基于蜜罐系统的恶意用户的识别方法流程示意图,如图所示,所述步骤s602,获取所述恶意用户的账号,并对所述账号进行锁定,包括:
步骤s701,当获取到所述恶意用户的账号后,将所述恶意用户的账号加入黑名单,用以将所述恶意用户的访问请求进行拦截;
具体的,当获取到所述恶意用户的账号后,可将所述恶意用户的账号加入黑名单,并可通过区块链公链上的智能合约对所述恶意用户的所有访问请求进行拦截,防止所述恶意用户的所有访问请求的执行。
步骤s702,获取所述恶意用户请求访问的用户对象,并向所述用户对象发送安全提示信息。
具体的,还可获取所述恶意用户请求访问的用户对象,并向所述用户对象发送安全提示信息,所述安全提示信息可以根据分析所述恶意用户历史访问记录所获得的可能造成的危害获得,例如,恶意用户A历史访问记录有大量的恶意交易行为记录,那么可能造成的危害是给其他用户造成财产损失,因此可对其他用户进行财产损失提醒。
本实施例中,通过对恶意用户的账号进行锁定,并对恶意用户请求访问的用户对象进行安全提醒,可以有效保障系统安全。
本申请实施例的一种基于蜜罐系统的恶意用户的识别装置结构如图8所示,包括:
数据同步模块801、用户识别模块802及安全预警模块803;其中,数据同步模块801与用户识别模块802相连,用户识别模块802与安全预警模块803相连;数据同步模块801设置为模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;用户识别模块802设置为获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;安全预警模块803设置为当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
本申请实施例还公开了一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行上述各实施例中所述恶意用户的识别方法中的步骤。
本申请实施例还公开了一种存储介质,所述存储介质可被处理器读写,所述存储器存储有计算机可读指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行上述各实施例中所述恶意用户的识别方法中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于蜜罐系统的恶意用户的识别方法,其特征在于,包括以下步骤:
模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;
获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;
当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
2.如权利要求1所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步,包括:
建立连接端口,并通过所述连接端口将所述蜜罐服务器与所述区块链公链相连;
预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新,所述数据信息包括:区块数据信息、合约数据信息及交易数据信息。
3.如权利要求2所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述预设同步时间周期,根据所述同步时间周期所述蜜罐服务器从所述区块链公链上获取数据信息,并通过获取的数据信息对所述蜜罐服务器上的数据信息进行更新之后,包括:
对从所述区块链公链上获取的数据信息进行分类,获得敏感数据信息及普通数据信息;
将所述敏感数据信息存储在所述蜜罐服务器中的敏感信息数据库中,将所述普通数据信息存储在普通信息数据库中。
4.如权利要求3所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述根据所述访问请求对所述用户进行安全分级,包括:
当获取到用户对所述蜜罐服务器的访问请求后,将所述用户设为非正常用户;
当检测到所述非正常用户请求的是与敏感数据信息相关的操作时,将所述非正常用户更新为恶意用户。
5.如权利要求4所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述根据所述用户的安全级别反馈信息,包括:
当检测到当前向所述蜜罐服务器发起访问请求的用户为非正常用户时,根据所述访问请求在所述普通信息数据库中进行查询,并将查询结果反馈给所述非正常用户;
当检测到当前向所述蜜罐服务器发起访问请求的用户为恶意用户时,对所述恶意用户的访问请求进行拦截,并反馈虚拟数据信息。
6.如权利要求4所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定,包括:
当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,获取所述恶意用户的IP地址,根据所述恶意用户的IP地址获取所述恶意用户在所述蜜罐服务器中的访问轨迹,并查询所述恶意用户的历史访问记录;
预设用户的恶意访问频率阈值,根据所述恶意用户在所述蜜罐服务器中的访问轨迹获得所述恶意用户的恶意访问频率,当所述恶意用户的恶意访问频率大于所述用户的恶意访问频率阈值时,获取所述恶意用户的账号,并对所述账号进行锁定。
7.如权利要求6所述的基于蜜罐系统的恶意用户的识别方法,其特征在于,所述获取所述恶意用户的账号,并对所述账号进行锁定,包括:
当获取到所述恶意用户的账号后,将所述恶意用户的账号加入黑名单,用以将所述恶意用户的访问请求进行拦截;
获取所述恶意用户请求访问的用户对象,并向所述用户对象发送安全提示信息。
8.一种基于蜜罐系统的恶意用户的识别装置,其特征在于,所述装置包括:
数据同步模块:设置为模拟以太坊服务器,生成蜜罐服务器,将所述蜜罐服务器与区块链公链相连,并将所述蜜罐服务器中的数据信息与所述区块链公链上的数据信息保持同步;
用户识别模块:设置为获取用户对所述蜜罐服务器的访问请求,根据所述访问请求对所述用户进行安全分级,并根据所述用户的安全级别反馈信息,所述用户的安全级别包括:非正常用户及恶意用户;
安全预警模块:设置为当检测到当前对所述蜜罐服务器发起访问请求的用户是恶意用户时,跟踪所述恶意用户在所述蜜罐服务器中的的访问轨迹,查询所述恶意用户的历史访问记录,并根据所述访问轨迹及所述历史访问记录对所述恶意用户进行锁定。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器中存储有计算机可读指令,所述计算机可读指令被一个或多个所述处理器执行时,使得一个或多个所述处理器执行如权利要求1至7中任一项所述恶意用户的识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质可被处理器读写,所述存储介质存储有计算机指令,所述计算机可读指令被一个或多个处理器执行时,使得一个或多个处理器执行如权利要求1至7中任一项所述恶意用户的识别方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910432749.6A CN110324313B (zh) | 2019-05-23 | 2019-05-23 | 基于蜜罐系统的恶意用户的识别方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910432749.6A CN110324313B (zh) | 2019-05-23 | 2019-05-23 | 基于蜜罐系统的恶意用户的识别方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110324313A true CN110324313A (zh) | 2019-10-11 |
CN110324313B CN110324313B (zh) | 2022-12-13 |
Family
ID=68113382
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910432749.6A Active CN110324313B (zh) | 2019-05-23 | 2019-05-23 | 基于蜜罐系统的恶意用户的识别方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110324313B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110865991A (zh) * | 2019-10-28 | 2020-03-06 | 武汉药联众科技有限公司 | 医药数据平台 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN111478912A (zh) * | 2020-04-10 | 2020-07-31 | 厦门慢雾科技有限公司 | 一种区块链入侵检测系统及方法 |
CN111683087A (zh) * | 2020-06-07 | 2020-09-18 | 中信银行股份有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN111859234A (zh) * | 2020-06-03 | 2020-10-30 | 北京神州泰岳智能数据技术有限公司 | 一种非法内容识别方法、装置、电子设备及存储介质 |
CN111953671A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种基于区块链的动态蜜网数据处理方法及系统 |
CN112953882A (zh) * | 2019-12-10 | 2021-06-11 | 北京网藤科技有限公司 | 一种动态蜜罐防御系统及其防御方法 |
WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
CN114117079A (zh) * | 2021-12-07 | 2022-03-01 | 宁安市伟恒互联网信息服务有限公司 | 基于大数据分析拦截的拦截反馈处理方法及信息拦截系统 |
CN114841247A (zh) * | 2022-03-31 | 2022-08-02 | 前锦网络信息技术(上海)有限公司 | 一种恶意用户识别方法和系统 |
CN115065562A (zh) * | 2022-08-17 | 2022-09-16 | 湖南红普创新科技发展有限公司 | 基于区块链的注入判定方法、装置、设备及存储介质 |
CN111191201B (zh) * | 2019-12-25 | 2024-02-09 | 中国平安财产保险股份有限公司 | 基于数据埋点的用户识别方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证系统及方法 |
CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
CN108521426A (zh) * | 2018-04-13 | 2018-09-11 | 中国石油大学(华东) | 一种基于区块链的阵列蜜罐协同控制方法 |
-
2019
- 2019-05-23 CN CN201910432749.6A patent/CN110324313B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486320A (zh) * | 2014-12-10 | 2015-04-01 | 国家电网公司 | 基于蜜网技术的内网敏感信息泄露取证系统及方法 |
CN107612924A (zh) * | 2017-09-30 | 2018-01-19 | 北京奇虎科技有限公司 | 基于无线网络入侵的攻击者定位方法及装置 |
CN108521426A (zh) * | 2018-04-13 | 2018-09-11 | 中国石油大学(华东) | 一种基于区块链的阵列蜜罐协同控制方法 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110865991A (zh) * | 2019-10-28 | 2020-03-06 | 武汉药联众科技有限公司 | 医药数据平台 |
CN110912904A (zh) * | 2019-11-27 | 2020-03-24 | 腾讯科技(深圳)有限公司 | 恶意设备识别方法、装置、存储介质和计算机设备 |
CN112953882A (zh) * | 2019-12-10 | 2021-06-11 | 北京网藤科技有限公司 | 一种动态蜜罐防御系统及其防御方法 |
CN111191201B (zh) * | 2019-12-25 | 2024-02-09 | 中国平安财产保险股份有限公司 | 基于数据埋点的用户识别方法、装置、设备及存储介质 |
CN111478912A (zh) * | 2020-04-10 | 2020-07-31 | 厦门慢雾科技有限公司 | 一种区块链入侵检测系统及方法 |
WO2021233373A1 (zh) * | 2020-05-20 | 2021-11-25 | 北京北斗弘鹏科技有限公司 | 一种网络安全防护方法、装置、储存介质及电子设备 |
CN111859234A (zh) * | 2020-06-03 | 2020-10-30 | 北京神州泰岳智能数据技术有限公司 | 一种非法内容识别方法、装置、电子设备及存储介质 |
CN111683087A (zh) * | 2020-06-07 | 2020-09-18 | 中信银行股份有限公司 | 访问控制方法、装置、电子设备及计算机可读存储介质 |
CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
CN111953671B (zh) * | 2020-07-31 | 2022-08-26 | 中国工商银行股份有限公司 | 一种基于区块链的动态蜜网数据处理方法及系统 |
CN111953671A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种基于区块链的动态蜜网数据处理方法及系统 |
CN114117079A (zh) * | 2021-12-07 | 2022-03-01 | 宁安市伟恒互联网信息服务有限公司 | 基于大数据分析拦截的拦截反馈处理方法及信息拦截系统 |
CN114117079B (zh) * | 2021-12-07 | 2022-10-11 | 中软数智信息技术(武汉)有限公司 | 基于大数据分析拦截的拦截反馈处理方法及信息拦截系统 |
CN114841247A (zh) * | 2022-03-31 | 2022-08-02 | 前锦网络信息技术(上海)有限公司 | 一种恶意用户识别方法和系统 |
CN115065562A (zh) * | 2022-08-17 | 2022-09-16 | 湖南红普创新科技发展有限公司 | 基于区块链的注入判定方法、装置、设备及存储介质 |
CN115065562B (zh) * | 2022-08-17 | 2022-11-22 | 湖南红普创新科技发展有限公司 | 基于区块链的注入判定方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110324313B (zh) | 2022-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324313A (zh) | 基于蜜罐系统的恶意用户的识别方法及相关设备 | |
Chakkaravarthy et al. | Design of intrusion detection honeypot using social leopard algorithm to detect IoT ransomware attacks | |
CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
US8516575B2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
Li et al. | A network behavior-based botnet detection mechanism using PSO and K-means | |
RU2634173C1 (ru) | Система и способ обнаружения приложения удалённого администрирования | |
CN109495443A (zh) | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 | |
EP2987090A1 (en) | Distributed event correlation system | |
US20170180402A1 (en) | Detection of Coordinated Cyber-Attacks | |
US20140130160A1 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
Zhang et al. | User intention-based traffic dependence analysis for anomaly detection | |
Al Haddad et al. | A collaborative framework for intrusion detection (C-NIDS) in Cloud computing | |
Fraunholz et al. | Defending web servers with feints, distraction and obfuscation | |
US20200267172A1 (en) | Method of processing web requests directed to a website | |
Shin et al. | EFFORT: A new host–network cooperated framework for efficient and effective bot malware detection | |
CN117650923A (zh) | 一种基于K-means的信息安全主动防御方法 | |
Sultana et al. | Detecting and preventing ip spoofing and local area network denial (land) attack for cloud computing with the modification of hop count filtering (hcf) mechanism | |
CN115549943B (zh) | 一种基于四蜜的一体化网络攻击检测方法 | |
Jethava et al. | A novel defense mechanism to protect users from profile cloning attack on online social networks (osns) | |
Bravo et al. | Distributed Denial of Service Attack Detection in Application Layer Based on User Behavior. | |
Kuo | An intelligent agent-based collaborative information security framework | |
Shandilya et al. | On a generic security game model | |
Chang et al. | Cybercrime and establishing a secure cyberworld | |
Zhang et al. | Network attack intention recognition based on signaling game model and Netlogo simulation | |
Aiken | CYBERSECURITY AND PRODUCTIVITY: HAS A CYBERSECURITY CULTURE GONE TOO FAR? |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |