CN110381045A - 攻击操作的处理方法和装置、存储介质及电子装置 - Google Patents
攻击操作的处理方法和装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN110381045A CN110381045A CN201910614852.2A CN201910614852A CN110381045A CN 110381045 A CN110381045 A CN 110381045A CN 201910614852 A CN201910614852 A CN 201910614852A CN 110381045 A CN110381045 A CN 110381045A
- Authority
- CN
- China
- Prior art keywords
- attack
- attacker
- object run
- result
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击操作的处理方法和装置、存储介质及电子装置。其中,该方法包括:获取蜜网检测到攻击方的攻击操作的攻击行为数据;根据攻击行为数据确定攻击方预期获得的目标操作结果;根据目标操作结果在蜜网中设置与目标操作结果对应的目标响应操作;在蜜网中执行目标响应操作,以使得攻击方获得与目标操作结果对应的虚拟操作结果。本发明解决了通过事先准备好的欺骗剧本诱导攻击者攻击,当不能满足攻击者意图时,攻击者可能会放弃攻击导致无法提取完整的攻击证据的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种攻击操作的处理方法和装置、存储介质及电子装置。
背景技术
随着企业信息化的比例逐年提升,企业内网安全成了企业信息安全的重要的一环。而蜜网技术作为蜜罐技术的升级解决方案,得益于其良好的低误报,易捕获,更具欺骗性等特性,成为了企业内网安全的重要解决方案之一。而蜜网的核心指标就在于对入侵者的欺骗效果。要达到良好的欺骗效果,蜜网的陷阱和模拟的环境就要足够真实,才能让入侵者进入后,以为真的进入了企业内网,从而一步步最终完成对入侵者的取证和调查工作。
现有技术主要是基于复杂化的蜜网系统,使得蜜网的系统本身更接近企业真实网络,来得到欺骗入侵者的目的。包括实现更复杂的蜜网拓扑结构,比如蜜网内也按企业一样实现办公网,数据中心,运营网络分离等部署方式。蜜网内也会尽可能部署更接近于业务的系统和服务,比如部署常见web业务,存放一些清洗过的真实后台数据库数据,模仿企业内部OA系统等等。然后蜜网内放置的陷阱也尽可能像真实的企业内部漏洞,避免简单的傻瓜式的漏洞陷阱等。
通过模拟企业环境更接近来实现,通常都是一种静态的事先准备好的欺骗剧本方案。一旦事先设计好的剧本,不满足攻击者意图,攻击者可能就会发现被欺骗或者放弃攻击意图。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种攻击操作的处理方法和装置、存储介质及电子装置,以至少解决通过事先准备好的欺骗剧本诱导攻击者攻击,当不能满足攻击者意图时,攻击者可能会放弃攻击导致无法提取完整的攻击证据的技术问题。
根据本发明实施例的一个方面,提供了一种攻击操作的处理方法,包括:
获取蜜网检测到攻击方的攻击操作的攻击行为数据;
根据上述攻击行为数据确定上述攻击方预期获得的目标操作结果;
根据上述目标操作结果在上述蜜网中设置与上述目标操作结果对应的目标响应操作;
在上述蜜网中执行上述目标响应操作,以使得上述攻击方获得与上述目标操作结果对应的虚拟操作结果。
根据本发明实施例的另一方面,还提供了一种攻击操作的处理装置,包括:
第一获取模块,用于获取蜜网检测到攻击方的攻击操作的攻击行为数据;
第一确定模块,用于根据上述攻击行为数据确定上述攻击方预期获得的目标操作结果;
设置模块,用于根据上述目标操作结果在上述蜜网中设置与上述目标操作结果对应的目标响应操作;
执行模块,用于在上述蜜网中执行上述目标响应操作,以使得上述攻击方获得与上述目标操作结果对应的虚拟操作结果。
根据本发明实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述攻击操作的处理方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的攻击操作的处理方法。
在本发明实施例中,通过对蜜网内的行为监控,结合蜜网控制中心的动态智能调度能力,做到根据入侵者意图来动态变换欺骗剧本,改变蜜网的网络拓扑和变换欺骗的陷阱等。使入侵者更难发现这不是真实网络,同时提升入侵者踩中陷阱的几率,充分暴露入侵者的意图,从而最终完成对攻击者的高效欺骗,进而解决了通过事先准备好的欺骗剧本诱导攻击者攻击,当不能满足攻击者意图时,攻击者可能会放弃攻击导致无法提取完整的攻击证据的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的蜜网系统的架构图;
图2是根据本发明实施例的动态蜜网欺骗蜜网的架构图;
图3是根据本发明实施例的攻击操作的处理方法的流程图;
图4是根据本发明实施例的获取攻击行为数据的示意图;
图5是根据本发明实施例的上传攻击行为数据的示意图;
图6是根据本发明实施例的根据攻击行为数据确定攻击意图的流程图;
图7是根据本发明实施例的蜜网动态配置的流程图;
图8是根据本发明实施例的攻击操作的处理装置的框图;
图9是根据本发明优选实施例的攻击操作的处理装置的框图一;
图10是根据本发明优选实施例的攻击操作的处理装置的框图二;
图11是根据本发明优选实施例的攻击操作的处理装置的框图三;
图12是根据本发明实施例的一种可选的电子装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
蜜罐(honeypot)就是防守方为了扭转这种不对称局面而提出的一项主动防御技术。蜜罐定义为一类安全资源,它没有任何业务上的用途,其价值就是吸引攻击方对它进行非法使用。蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,让防守方清楚的了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜网(honeynet))是在蜜罐技术上逐步发展起来的一个新的概念,有时也称作诱捕网络。当多个蜜罐被网络连接在一起,组成一个大型虚假业务系统,利用其中一部分主机吸引攻击者入侵,通过监测入侵过程,一方面收集攻击者的攻击行为,另一方面可以更新相应的安全防护策略。这种由多个蜜罐组成的模拟网络就称为蜜网。蜜网主要是一种研究型的高交互蜜罐技术,由于蜜网涉及到多个蜜罐之间的网络体系架构设计,同时为了提高高交互性,又会存在一些真实的业务逻辑,因此蜜网的设计相对蜜罐来说要复杂的多。蜜网设计有着三大核心需求:即网络控制、行为捕获和行为分析。通过网络控制能够确保攻击者不能利用蜜网危害正常业务系统的安全,以减轻架设蜜网的风险;行为捕获技术能够检测并审计攻击者的所有行为数据;而行为分析技术则帮助安全研究人员从捕获的数据中分析出攻击方的具体活动。除honey pot之外,蜜网(honeynet)还包括一些真正的应用程序和硬件设备,这样看起来honeynet更像一个一般的网络,也更容易引起入侵者的注意。由于honeynet并不会对任何授权用户进行服务,因此,任何试图联系主机的行为都被视为非法,而任何从主机对外开放的通讯都被视为合法,因此,在honeynet中进行网络可疑信息分析要比一般网络容易得多,在一般网络中,要在众多信息中仔细挑选出那些可疑信息,工作量太大了。为了能够吸引攻击,honeynet中的网络应用程序命名基本都是什么“财务”、“人力资源”之类的。虽然honeynet看起来是个网络,但是实际上honeynet在一个服务器上。
图1是根据本发明实施例的蜜网系统的架构图,如图1所示,蜜网的硬件环境,包括探针盒子,路由器,蜜网控制中心服务器,蜜网虚拟化欺骗服务的服务器等。对所有访问业务系统的流量进行检测,以发现带有安全威胁的异常流量,进而确定疑似攻击者信息。当发现异常流量之后,蜜网的管理模块会根据异常访问的信息,动态生成响应的蜜网系统,并且完成蜜网网络的配置。接下来,将异常流量调度到蜜网系统中,完成响应的攻击检测、取证、防护等工作。其中,探针盒子负责将企业内网的流量转发到蜜网内,蜜网控制中心服务器负责管理蜜网,最后蜜网虚拟化欺骗服务的服务器负责提供欺骗攻击者的虚拟化系统和系统上的虚拟服务。
当攻击者已经成功入侵了内网某台机器后,攻击者为了获取更多利益,会进一步入侵企业内网其他机器和网络。攻击者会使用各类扫描内网手段,检测内网中的薄弱环节,比如网络漏洞,业务弱密码,易攻击的开放端口,远程协议等等。攻击者会通过这些易攻击通道,完成对企业内网的横向渗透过程。而蜜网就是在横向渗透环节,实现欺骗和诱捕攻击者。
当攻击者使用扫描方式扫描内网时,会发现有可利用的攻击通道,而这个攻击通道并不是真实的企业网络问题,而是蜜网提供的虚假的网络漏洞。攻击者便会尝试攻击这些漏洞,一旦攻击者攻击成功,就会进入蜜网的虚拟网络中。蜜网的虚拟网络和企业内网是隔离开来的。这样就完成了诱捕攻击者的第一步。攻击者进入蜜网环境中后,就会进一步挖掘看是否有高价值物品可以窃取。这个时候蜜网就会事先准备好一些常见的有泄露问题的欺骗剧本。比如在蜜罐内的虚假服务器上放置伪造的业务数据库,诱骗登录的核心机器的管理员账号密码,或者是模仿的企业OA系统,存放一些敏感的人员信息,或工资账号,财务信息等。
当攻击者在蜜网内部,完成了各种攻击操作,并且最终窃取了一些陷阱数据后,蜜网就可以完成一次完整的入侵调查取证工作。将入侵者的所有行为,汇总到蜜网控制中心后台。通过各类告警手段,包括短信,邮件,IM通知等方式,通知企业安全管理员,查看入侵过程。从而帮助企业完成内容入侵的发现和修复,避免再一次被攻击。
图2是根据本发明实施例的动态蜜网欺骗蜜网的架构图,如图2所示,攻击者进入蜜网内部后,不再是固定的欺骗方式,而是采用动态调度的智能方案。监控攻击者的行为,决策该如何改变欺骗方式,完成蜜网的新的欺骗部署。在蜜网内检测攻击者的攻击行为,获取蜜网检测到攻击方的行为数据,对行为数据进行归一化处理,滤除掉非攻击行为产生的数据,得到了攻击者的攻击行为数据,根据该攻击行为数据确定该攻击者的攻击意图,根据攻击者的攻击意图在该蜜网中设置与该攻击意图对应的欺骗策略;在该蜜网中执行该欺骗策略,以使得该攻击方获得与该攻击意图对应的虚拟操作结果。攻击者的数据包流入后,通过防火墙,根据防火墙规则,将对流入的连接活动进行记录,由于无需对流入的攻击进行过滤,记录全部的网络流量,以供后继的攻击分析所使用。另外,在蜜网中的各个蜜罐上,通过安装客户端,能够对黑客在蜜罐上的活动进行记录,并通过对黑客隐蔽的通道将收集到的键击记录等信息传送到服务器。管理员可以通过隐蔽通道对收集到的数据进行分析,从而学习到黑客所发动的攻击方法。通过服务器端的用户界面,使得研究人员能够较容易地从收集到的黑客键击记录中分析出其攻击方法。极大的提高蜜网的欺骗能力,通过动态欺骗技术,能够实现更加真实和符合实际情况的蜜网环境,使得攻击者难以发现自身处在蜜网中,是蜜网技术的核心门槛的改进,对于蜜网技术有着重要的意义。通过动态欺骗,能够让攻击者完成一次全链路的入侵行为,充分的让攻击者暴露其攻击技术和最终要连接到外围哪些可疑服务器,能够提取更加完整的攻击证据。
基于上述系统架构,本发明实施例提供了一种攻击操作的处理方法,图3是根据本发明实施例的攻击操作的处理方法的流程图,如图3所示,包括:
步骤S302,获取蜜网检测到攻击方的攻击操作的攻击行为数据;
在上述步骤S302中,为了提高攻击意图预测的准确性,需要滤除掉非攻击行为产生的数据,具体地,在蜜网内监控攻击者(即攻击方)的所有攻击行为;获取该攻击者的所有行为数据,对所有行为数据进行归一化处理、结构化处理,去除非攻击行为产生的数据,得到该攻击者的攻击行为数据。
本发明实施例中攻击者攻击系统产生的行为数据是多样化的,行为数据是由攻击者在蜜网系统中的相关行为产生的数据,相关行为包括:系统行为、软件行为、流量行为等。其中,系统行为具体可以包括:添加启动项,下载文件、访问特殊域名等行为,流量行为具体可以包括SSH登录、漏洞攻击、内网扫描等行为,软件行为具体可以包括:数据库窃取、web网页篡改、软件挂马等行为。对应的,行为数据可以包括:系统行为数据、软件行为数据、流量行为数据。采集攻击者进入蜜网之后的行为数据,经过归一化等处理滤除掉非攻击行为产生的行为数据,便可得到攻击者的攻击行为数据。
步骤S304,根据该攻击行为数据确定该攻击方预期获得的目标操作结果;
上述步骤S304中,可以通过人为配置的方式获取攻击方的攻击意图(即攻击方预期获得的目标操作结果),也可以通过神经网络模型预测攻击方的攻击意图。具体地,预先在蜜网系统中保存人工配置的行为关联规则,行为关联规则中包括攻击行为与操作结果的对应关系,根据预先存储的攻击行为与操作结果的对应关系即可确定该攻击者预期获得的目标操作结果。
也可以是预先训练好目标神经网络模型,具体可以通过以下方式训练:获取第二预定数量的攻击行为数据、以及该攻击行为数据实际获得的操作结果,使用该第二预定数量的攻击行为数据、以及该攻击行为数据实际获得的操作结果对第二原始神经网络模型进行训练,得到该第二目标神经网络模型,其中,该预定数量的攻击行为数据为该第二原始神经网络模型的输入,训练好的该第二目标神经网络模型输出的攻击行为数据对应的目标操作结果与该攻击行为数据对应的实际获得的操作结果满足第二目标函数。训练好第二目标神经网络之后,将该攻击行为数据输入预先训练好的第二目标神经网络模型,得到该第二目标神经网络模型输出的该攻击行为数据对应每种操作结果的概率,其中,将概率大于第二预定阈值的操作结果确定为该攻击方预期获取的目标操作结果。
需要说明的是上述的第二预定数量可以进行设置,例如,可以设置为10000,或20000等。上述的第二预定阈值可以根据实际情况设置,例如,可以设为80%,如果概率大于80%的操作结果不唯一,若为两个,可以选择其中一个缺点为攻击方的攻击意图,也可以选择概率最高的操作结果确定为攻击方的攻击意图,还可以同时将概率大于80%的两个操作结果均确定为攻击方的攻击意图,同时为两个攻击意图设置欺骗策略即可。
步骤S306,根据该目标操作结果在该蜜网中设置与该目标操作结果对应的目标响应操作;
在一可选的实施例中,可以将上述的目标操作结果分为两大类,包括获取数据(或窃取数据)和破坏系统(或恶意破坏等),对于不同的目标操作结果,为攻击方设置不同的欺骗策略,即设置不同的目标响应操作,在该目标操作结果为获取数据的情况下,在该蜜网中设置与该目标操作结果对应的第一目标响应操作;和/或在该目标操作结果为破坏系统的情况下,在该蜜网中设置与该目标操作结果对应的第二目标响应操作。即在攻击方的攻击意图为窃取数据时,为攻击方设置与窃取数据对应的蜜网部署,在攻击方的攻击意图为恶意破坏时,为攻击方设置与恶意破坏对应的蜜网部署。
对应的,对于不同的目标操作响应,对应设置蜜网的部署,在该蜜网中设置与窃取数据或获取数据对应的第一目标响应操作的情况下,在该目标操作结果对应的路径下放置与该目标操作结果相关的数据文件,即不断地引诱攻击方按照蜜网的部署获取相应的数据,如引导攻击方获取财务相关数据,通过引导攻击方到指定的文件夹下获取财务相关数据;在该蜜网中设置与破坏系统对应的第二目标响应操作的情况下,增加与该目标操作结果对应的虚拟对象,供该攻击者攻击与破坏,即攻击方根据蜜网的引诱,会去攻击为攻击方设置的虚拟对象,使得攻击方认为已经实现了攻击目的,也可以是攻击方的攻击意图为恶意破坏,引导攻击方到指定的路径下,并在该路径下放置攻击方响应破坏的文件或数据,攻击方发现了专门放置的文件或数据之后,开始破坏,例如,删除该文件等,在检测到攻击方的破坏操作之后,响应该破坏操作,即可让攻击方认为已实现了破坏的目的。
在另一可选的实施例中,可以通过人为配置的方式确定为攻击方的攻击意图(即攻击方预期获得的目标操作结果)设置目标响应操作(即欺骗策略),也可以通过神经网络模型设置欺骗策略。具体的,根据人工配置的攻击意图与欺骗策略的对应关系确定,预先在蜜网系统中存储人工配置的对应关系,根据预先配置的目标操作结果与响应操作的对应关系为该目标操作结果设置目标响应操作。
也可以是预先训练好目标神经网络模型,具体可以通过以下方式训练:获取第一预定数量的操作结果、以及该操作结果实际设置的响应操作,使用该第一预定数量的操作结果、以及该操作结果实际设置的响应操作对第一原始神经网络模型进行训练,得到该第一目标神经网络模型,其中,该第一预定数量的操作结果为该第一原始神经网络模型的输入,训练好的该第一目标神经网络模型输出的该目标操作结果对应的目标响应操作与该目标操作结果对应的实际设置的响应操作满足第一目标函数。第一目标神经网络模型训练好之后,将该目标操作结果输入预先训练好的第一目标神经网络模型,得到该第一目标神经网络模型输出的该目标操作结果对应每种响应操作的概率,其中,该概率大于第一预定阈值的响应操作确定为该目标响应操作。
需要说明的是上述的第一预定数量可以进行设置,例如,可以设置为10000,或20000等。上述的第一预定阈值可以根据实际情况设置,例如,可以设为70%,如果概率大于70%的操作结果不唯一,若为两个,可以选择其中一个缺点为攻击方的攻击意图,也可以选择概率最高的操作结果确定为攻击方的攻击意图,还可以同时将概率大于70%的两个操作结果均确定为攻击方的攻击意图,同时为两个攻击意图设置欺骗策略即可。另外,上述的第一预定数量可以与上述第二预定数量相同,也可以不同;上述的第一预定阈值可以与上述第二预定阈值相同,也可以不同。
步骤S308,在该蜜网中执行该目标响应操作,以使得该攻击方获得与该目标操作结果对应的虚拟操作结果。
可选地,在该蜜网中执行该目标响应操作包括:
上述步骤S308中,在蜜网中执行目标响应操作,即执行动态设置的欺骗策略,具体是根据该目标响应操作调整该蜜网的至少以下之一部署:蜜网拓扑结构、蜜网内入侵设备上的软件和文件信息、蜜网机器的硬件配置信息。
在一可选的实施例中,在该密网中执行该目标响应操作之后,攻击方继续对蜜网进行攻击,在该蜜网中检测到该攻击方的持续攻击操作,在该持续攻击操作与该目标操作结果匹配的情况下,在该蜜网中确定出该攻击方已获得该目标操作结果,其中,该持续攻击操作可以是一个攻击操作,也可以是多个攻击操作的组合。
通过上述步骤S302至S308,通过对蜜网内的行为监控,结合蜜网控制中心的动态智能调度能力,做到根据入侵者意图来动态变换欺骗剧本,改变蜜网的网络拓扑和变换欺骗的陷阱等。使入侵者更难发现这不是真实网络,同时提升入侵者踩中陷阱的几率,充分暴露入侵者的意图,从而最终完成对攻击者的高效欺骗,进而解决了通过事先准备好的欺骗剧本诱导攻击者攻击,当不能满足攻击者意图时,攻击者可能会放弃攻击导致无法提取完整的攻击证据的技术问题。
下面以攻击方预期获得的目标操作结果为攻击意图,目标响应操作为欺骗策略为例,对本发明实施例进行详细说明。
在于攻击者进入蜜网内部后,不再是固定的欺骗方式,而是采用动态调度的智能方案。在蜜网内监控攻击者的行为,决策改如何改变欺骗方式,接受动态欺骗调度模块的指令,完成蜜网的新的欺骗部署。
有别于主流蜜网的行为监控方式,只关注攻击者登录机器和访问数据库之类的关键节点,本发明实施例会更加细粒度和新增多点关联的方式,来监控行为。包括攻击者进入蜜网后,运行的各种shell指令,执行的恶意程序的行为,例如文件,注册表,网络等等,以及横向移动的信息等等。并且该模块还会关联分析这些行为,不单单是单一行为的判定,会组合不同行为进行多点判定,比如,ssh登录了蜜网,然后扫描内网的MySQL端口,然后尝试登录MySQL,将这一系列行为汇总成想窃取数据库意图,汇总上传到后台,判定攻击者的攻击意图,为后续实现动态欺骗提供意图数据。
图4是根据本发明实施例的获取攻击行为数据的示意图,如图4所示,攻击行为数据包括:系统行为数据、流量行为数据和软件行为数据,对于系统行为数据是由攻击者在蜜网系统中实施的系统行为产生的数据,采用系统底层监控方式获取,系统行为具体可以包括:添加启动项,下载文件、访问特殊域名等行为。对于流量行为数据,是由攻击者在蜜网系统中实施的流量行为产生的数据,采用流量抓包的方式获取,获取之后进行流量分析得到流量行为数据,流量行为具体可以包括SSH登录、漏洞攻击、内网扫描等行为。对于软件行为数据,是攻击者在蜜网系统中实施的软件行为产生的数据,通过提取日志方式获取,获取之后进行日志分析得到软件行为数据,软件行为具体可以包括:数据库窃取、web网页篡改、软件挂马等行为。在获取到攻击行为数据之间,上传到云端后台,并存储到数据库中。
在一个可选的实施例中,在获取蜜网检测到攻击方的攻击操作的攻击行为数据之后,将所述攻击行为数据保存到区块链节点中。图5是根据本发明实施例的上传攻击行为数据的示意图,如5所示,将获取到的攻击行为数据上传到区块链网络中,具体地,将获取到的攻击行为数据上传到区块链网络中的节点1上进行保存,便于其他区块链节点访问和获取。
第一步通过对攻击行为监控模块上传的数据,做处理加工。包括对攻击行为做数据归一化,结构化处理,存入数据库中待后续分析使用。对数据做实体关联,去掉非攻击者产生行为等。
第二步对攻击者的攻击序列实时分析,给出攻击意图类别。该模块会对攻击每进行一步就分析判断当前攻击意图是什么。分析方式有两种,一种是根据已配置的人工规则来决策。人工可以在后台数据库配置行为关联规则,比如行为a(ssh登录蜜网)+行为b(扫描内网MySQL端口)+行为c(尝试弱密码登录MySQL),将这三种行为关联后分类到窃取数据库的意图。第二种是基于大数据机器学习和人工智能AI技术来自动化分类意图。通过将多点数据做特征工程处理,转化成可输入机器学习模型的特征向量,结合人工标注的标签数据,训练机器学习分类模型(比如SVM,GBDT,逻辑回归等等)或者是训练深度学习模型包括(CNN(卷积神经网络,Convolutional Neural Network),RNN(递归神经网络,Recurrent NeuralNetwork),LSTM(长短期记忆,Long Short-Term Memory),LSTM+CNN等)。
第三步对当前攻击者的意图给出最佳欺骗策略,这一步实现,分两种方式,一种是人工配置的欺骗策略,也是基于多点关联方式,配置当攻击者产生了意图a+意图b+意图c后,再欺骗库(欺骗a-z)中选择欺骗e策略,来调整蜜网环境,诱导攻击者按我们的策略来继续攻击。还可以采取人工智能的方式实现更高效精准的自动化欺骗。这里主要是采取强化学习思路,利用历时的攻击数据,进行处理,转成当前攻击序列,以及下一步攻击的数据形式。利用强化学习的优势,学习下一步采取何种攻击得到的奖励最大化的思路。训练一个智能的欺骗模型,能够根据当前攻击者的N步意图,准确的选择最高成功率的第N+1步欺骗策略。从而最终完成对攻击者的高效欺骗。
图6是根据本发明实施例的根据攻击行为数据确定攻击意图的流程图,如6所示,包括:
步骤S601,读取存储行为数据的数据库,获取行为数据;
步骤S602,对获取的行为数据进行机构化处理、进行攻击行为关联,滤除掉非攻击行为产生的行为数据,得到攻击行为数据,并存储到攻击行为数据库中;
步骤S603,读取攻击行为序列;
步骤S604,通过多步行为关联规则分析,预测攻击者的攻击意图;
步骤S605,通过特征工程,预先训练好的AI模型(上述第二目标神经网络模型的一种)预测攻击者的攻击意图;
步骤S606,确定攻击者的攻击意图为窃取数据库;
步骤S607,根据攻击意图动态调整欺骗策略;
步骤S608,根据人工配置的欺骗策略规则树确定欺骗策略;
步骤S609,根据强化学习模型(上述第一目标神经网络模型的一种)确定欺骗策略;
步骤S610,根据确定的欺骗策略确定下一步的欺骗方式;
步骤S611,下发动态部署蜜网的部署指令(或调整指令);
步骤S612,根据部署指令或调整指令执行欺骗策略,具体可以包括网络变化、机器配置变化、陷阱部署等。
图7是根据本发明实施例的蜜网动态配置的流程图,如图7所示,包括:
步骤S701,接收到蜜网后台发送的动态部署指令;
步骤S702,蜜网拓扑结构调整;
步骤S703,调整蜜网内入侵机器上的软件配置;
步骤S704,调整蜜网机器的硬件配置。
根据动态部署指令完成最终的调整欺骗策略的部署,调整主要包括以下几方面:蜜网拓扑结构调整、调整蜜网内入侵机器上的软件配置以及调整蜜网机器的硬件配置。其中,蜜网拓扑结构调整,比如新增攻击者想要窃取的数据中心子网,比如不断新增循环子网,来拖延攻击者时间;调整蜜网内入侵机器上的软件和文件信息等,如放置存有账号密码的文本文件,登录的邮箱,存放财务信息的数据库等等;调整蜜网机器的硬件配置信息,比如机器的内存,CPU,硬盘的大小,个数等。
通过本发明实施例,提升了蜜网溯源攻击者的能力,通过尽可能让攻击者完成所有攻击意图展示,能够收集更多的有价值的数据,然后结合大数据和威胁情报,能够进一步挖掘到攻击者的真实来源地址和真实身份信息。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述攻击操作的处理方法的攻击操作的处理装置。图8是根据本发明实施例的攻击操作的处理装置的框图,如图8所示,该装置包括:
第一获取模块82,用于获取蜜网检测到攻击方的攻击操作的攻击行为数据;
第一确定模块84,用于根据该攻击行为数据确定该攻击方预期获得的目标操作结果;
设置模块86,用于根据该目标操作结果在该蜜网中设置与该目标操作结果对应的目标响应操作;
执行模块88,用于在该蜜网中执行该目标响应操作,以使得该攻击方获得与该目标操作结果对应的虚拟操作结果。
图9是根据本发明优选实施例的攻击操作的处理装置的框图一,如图9所示,该装置包括:
检测模块92,用于在该蜜网中检测到该攻击方的持续攻击操作;
第二确定模块94,用于在该持续攻击操作与该目标操作结果匹配的情况下,在该蜜网中确定出该攻击方已获得该目标操作结果。
可选地,该设置模块86,还用于
在该目标操作结果为获取数据的情况下,在该蜜网中设置与该目标操作结果对应的第一目标响应操作;和/或
在该目标操作结果为破坏系统的情况下,在该蜜网中设置与该目标操作结果对应的第二目标响应操作。
可选地,该执行模块88,还用于
在该蜜网中设置与该目标操作结果对应的第一目标响应操作的情况下,在该目标操作结果对应的路径下放置与该目标操作结果相关的数据文件;
在该蜜网中设置与该目标操作结果对应的第二目标响应操作的情况下,增加与该目标操作结果对应的虚拟对象,供该攻击者攻击与破坏。
图10是根据本发明优选实施例的攻击操作的处理装置的框图二,如图10所示,该设置模块86包括:
设置子模块102,用于根据预先配置的目标操作结果与响应操作的对应关系为该目标操作结果设置响应操作;或者
第一输入子模块104,用于将该目标操作结果输入预先训练好的第一目标神经网络模型,得到该第一目标神经网络模型输出的该目标操作结果对应每种响应操作的概率,其中,该概率大于第一预定阈值的响应操作确定为该目标响应操作。
可选的,该装置还包括:
第二获取模块,用于获取第一预定数量的操作结果、以及该操作结果实际设置的响应操作;
第一训练模块,用于使用该第一预定数量的操作结果、以及该操作结果实际设置的响应操作对第一原始神经网络模型进行训练,得到该第一目标神经网络模型,其中,该第一预定数量的操作结果为该第一原始神经网络模型的输入,训练好的该第一目标神经网络模型输出的该目标操作结果对应的目标响应操作与该目标操作结果对应的实际设置的响应操作满足第一目标函数。
图11是根据本发明优选实施例的攻击操作的处理装置的框图三,如图11所示,该第一确定模块84包括:
确定子模块112,用于根据预先存储的攻击行为与操作结果的对应关系确定该攻击者预期获得的目标操作结果;或者
第二输入子模块114,用于将该攻击行为数据输入预先训练好的第二目标神经网络模型,得到该第二目标神经网络模型输出的该攻击行为数据对应每种操作结果的概率,其中,该概率大于第二预定阈值的操作结果确定为该攻击方预期获取的目标操作结果。
可选地,该装置还包括:
第三获取模块,用于获取第二预定数量的攻击行为数据、以及该攻击行为数据实际获得的操作结果;
第二训练模块,用于使用该第二预定数量的攻击行为数据、以及该攻击行为数据实际获得的操作结果对第二原始神经网络模型进行训练,得到该第二目标神经网络模型,其中,该预定数量的攻击行为数据为该第二原始神经网络模型的输入,训练好的该第二目标神经网络模型输出的攻击行为数据对应的目标操作结果与该攻击行为数据对应的实际获得的操作结果满足第二目标函数。
可选地,该执行模块88,还用于
根据该目标响应操作调整该蜜网的至少以下之一部署:蜜网拓扑结构、蜜网内入侵设备上的软件和文件信息、蜜网机器的硬件配置信息。
可选地,该第一获取模块82包括:
监控子模块,用于监控该攻击者的攻击行为;
获取子模块,用于获取该攻击者的行为数据;
处理子模块,用于对该行为数据进行归一化处理;
得到子模块,用于去除非攻击行为产生的数据,得到该攻击者的攻击行为数据。
根据本发明实施例的又一个方面,还提供了一种用于实施上述攻击操作的处理方法的电子装置,如图12所示,该电子装置包括存储器1202和处理器1204,该存储器1202中存储有计算机程序,该处理器1204被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S11,获取蜜网检测到攻击方的攻击操作的攻击行为数据;
S12,根据该攻击行为数据确定该攻击方预期获得的目标操作结果;
S13,根据该目标操作结果在该蜜网中设置与该目标操作结果对应的目标响应操作;
S14,在该蜜网中执行该目标响应操作,以使得该攻击方获得与该目标操作结果对应的虚拟操作结果。
可选地,本领域普通技术人员可以理解,图12所示的结构仅为示意,电子装置也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图12其并不对上述电子装置的结构造成限定。例如,电子装置还可包括比图12中所示更多或者更少的组件(如网络接口等),或者具有与图12所示不同的配置。
其中,存储器1202可用于存储软件程序以及模块,如本发明实施例中的媒体资源的获取方法和装置对应的程序指令/模块,处理器1204通过运行存储在存储器1202内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的媒体资源的获取方法。存储器1202可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器1202可进一步包括相对于处理器1204远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。其中,存储器1202具体可以但不限于用于加密密钥(包括第一加密密钥、第二加密密钥等)与解密密钥(包括第一解密密钥、第二解密密钥等)等信息。作为一种示例,如图12所示,上述存储器1202中可以但不限于包括上述媒体资源的获取装置中的第一获取模块82、第一确定模块84、设置模块86及执行模块88。此外,还可以包括但不限于上述媒体资源获取装置一中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置1206用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置1206包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置1206为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子装置还包括:显示器1208,用于显示上述媒体资源;和连接总线1210,用于连接上述电子装置中的各个模块部件。
根据本发明的实施例的又一方面,还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S11,获取蜜网检测到攻击方的攻击操作的攻击行为数据;
S12,根据该攻击行为数据确定该攻击方预期获得的目标操作结果;
S13,根据该目标操作结果在该蜜网中设置与该目标操作结果对应的目标响应操作;
S14,在该蜜网中执行该目标响应操作,以使得该攻击方获得与该目标操作结果对应的虚拟操作结果。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种攻击操作的处理方法,其特征在于,包括:
获取蜜网检测到攻击方的攻击操作的攻击行为数据;
根据所述攻击行为数据确定所述攻击方预期获得的目标操作结果;
根据所述目标操作结果在所述蜜网中设置与所述目标操作结果对应的目标响应操作;
在所述蜜网中执行所述目标响应操作,以使得所述攻击方获得与所述目标操作结果对应的虚拟操作结果。
2.根据权利要求1所述的方法,其特征在于,在所述密网中执行所述目标响应操作之后,所述方法包括:
在所述蜜网中检测到所述攻击方的持续攻击操作;
在所述持续攻击操作与所述目标操作结果匹配的情况下,在所述蜜网中确定出所述攻击方已获得所述目标操作结果对应的虚拟操作结果。
3.根据权利要求1所述的方法,其特征在于,根据所述目标操作结果在所述蜜网中设置与所述目标操作结果对应的目标响应操作包括:
在所述目标操作结果为获取数据的情况下,在所述蜜网中设置与所述目标操作结果对应的第一目标响应操作;和/或
在所述目标操作结果为破坏系统的情况下,在所述蜜网中设置与所述目标操作结果对应的第二目标响应操作。
4.根据权利要求3所述的方法,其特征在于,在所述蜜网中执行所述目标响应操作包括:
在所述蜜网中设置与所述目标操作结果对应的第一目标响应操作的情况下,在所述目标操作结果对应的路径下放置与所述目标操作结果相关的数据文件;
在所述蜜网中设置与所述目标操作结果对应的第二目标响应操作的情况下,增加与所述目标操作结果对应的虚拟对象,供所述攻击者攻击与破坏。
5.根据权利要求1所述的方法,其特征在于,根据所述目标操作结果在所述蜜网中设置与所述目标操作结果对应的目标响应操作包括:
根据预先配置的目标操作结果与响应操作的对应关系为所述目标操作结果设置目标响应操作;或者
将所述目标操作结果输入预先训练好的第一目标神经网络模型,得到所述第一目标神经网络模型输出的所述目标操作结果对应每种响应操作的概率,其中,所述概率大于第一预定阈值的响应操作确定为所述目标响应操作。
6.根据权利要求5所述的方法,其特征在于,在根据所述目标操作结果在所述蜜网中设置与所述目标操作结果对应的目标响应操作之前,所述方法还包括:
获取第一预定数量的操作结果、以及所述操作结果实际设置的响应操作;
使用所述第一预定数量的操作结果、以及所述操作结果实际设置的响应操作对第一原始神经网络模型进行训练,得到所述第一目标神经网络模型,其中,所述第一预定数量的操作结果为所述第一原始神经网络模型的输入,训练好的所述第一目标神经网络模型输出的所述目标操作结果对应的目标响应操作与所述目标操作结果对应的实际设置的响应操作满足第一目标函数。
7.根据权利要求1所述的方法,其特征在于,根据所述攻击行为数据确定所述攻击方预期获得的目标操作结果包括:
根据预先存储的攻击行为与操作结果的对应关系确定所述攻击者预期获得的目标操作结果;或者
将所述攻击行为数据输入预先训练好的第二目标神经网络模型,得到所述第二目标神经网络模型输出的所述攻击行为数据对应每种操作结果的概率,其中,所述概率大于第二预定阈值的操作结果确定为所述攻击方预期获取的目标操作结果。
8.根据权利要求7所述的方法,其特征在于,在根据所述攻击行为数据确定所述攻击方预期获得的目标操作结果之前,所述方法还包括:
获取第二预定数量的攻击行为数据、以及所述攻击行为数据实际获得的操作结果;
使用所述第二预定数量的攻击行为数据、以及所述攻击行为数据实际获得的操作结果对第二原始神经网络模型进行训练,得到所述第二目标神经网络模型,其中,所述预定数量的攻击行为数据为所述第二原始神经网络模型的输入,训练好的所述第二目标神经网络模型输出的攻击行为数据对应的目标操作结果与所述攻击行为数据对应的实际获得的操作结果满足第二目标函数。
9.根据权利要求1所述的方法,其特征在于,在所述蜜网中执行所述目标响应操作包括:
根据所述目标响应操作调整所述蜜网的至少以下之一部署:蜜网拓扑结构、蜜网内入侵设备上的软件和文件信息、蜜网机器的硬件配置信息。
10.根据权利要求1至9中任一项所述的方法,其特征在于,获取蜜网检测到攻击方的攻击操作的攻击行为数据包括:
监控所述攻击者的攻击行为;
获取所述攻击者的行为数据;
对所述行为数据进行归一化处理;
去除非攻击行为产生的数据,得到所述攻击者的攻击行为数据。
11.根据权利要求1至9中任一项所述的方法,其特征在于,在获取蜜网检测到攻击方的攻击操作的攻击行为数据之后,所示方法还包括:
将所述攻击行为数据保存到区块链节点中。
12.一种攻击操作的处理装置,其特征在于,包括:
第一获取模块,用于获取蜜网检测到攻击方的攻击操作的攻击行为数据;
第一确定模块,用于根据所述攻击行为数据确定所述攻击方预期获得的目标操作结果;
设置模块,用于根据所述目标操作结果在所述蜜网中设置与所述目标操作结果对应的目标响应操作;
执行模块,用于在所述蜜网中执行所述目标响应操作,以使得所述攻击方获得与所述目标操作结果对应的虚拟操作结果。
13.根据权利要求12所述的装置,其特征在于,该装置包括:
检测模块,用于在该蜜网中检测到该攻击方的持续攻击操作;
第二确定模块,用于在该持续攻击操作与该目标操作结果匹配的情况下,在该蜜网中确定出该攻击方已获得该目标操作结果。
14.一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至11任一项中所述的方法。
15.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至11任一项中所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614852.2A CN110381045B (zh) | 2019-07-09 | 2019-07-09 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN201910920234.0A CN110677408B (zh) | 2019-07-09 | 2019-07-09 | 攻击信息的处理方法和装置、存储介质及电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910614852.2A CN110381045B (zh) | 2019-07-09 | 2019-07-09 | 攻击操作的处理方法和装置、存储介质及电子装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910920234.0A Division CN110677408B (zh) | 2019-07-09 | 2019-07-09 | 攻击信息的处理方法和装置、存储介质及电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110381045A true CN110381045A (zh) | 2019-10-25 |
| CN110381045B CN110381045B (zh) | 2021-06-15 |
Family
ID=68252527
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910920234.0A Active CN110677408B (zh) | 2019-07-09 | 2019-07-09 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN201910614852.2A Active CN110381045B (zh) | 2019-07-09 | 2019-07-09 | 攻击操作的处理方法和装置、存储介质及电子装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910920234.0A Active CN110677408B (zh) | 2019-07-09 | 2019-07-09 | 攻击信息的处理方法和装置、存储介质及电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN110677408B (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111683055A (zh) * | 2020-05-14 | 2020-09-18 | 北京邮电大学 | 一种工控蜜罐方法及装置 |
| CN111787021A (zh) * | 2020-07-06 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 基于攻击行为的蜜饵生成方法、装置、设备和介质 |
| CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN111949980A (zh) * | 2020-08-24 | 2020-11-17 | 上海明略人工智能(集团)有限公司 | 目标客户端监控方法和装置、存储介质及电子装置 |
| CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
| CN113407885A (zh) * | 2021-06-23 | 2021-09-17 | 中移(杭州)信息技术有限公司 | XPath数据篡改告警方法、装置、设备及可读存储介质 |
| CN114143096A (zh) * | 2021-12-02 | 2022-03-04 | 北京神州新桥科技有限公司 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114499929A (zh) * | 2021-12-13 | 2022-05-13 | 奇安信科技集团股份有限公司 | 计划任务内网远程横向渗透监测方法及装置 |
| CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114531261A (zh) * | 2020-11-09 | 2022-05-24 | 奇安信科技集团股份有限公司 | 应对网络攻击的信息处理方法、装置、系统、介质及程序 |
| CN113794699B (zh) * | 2021-08-30 | 2022-06-07 | 西安交通大学 | 一种网络分析处理方法 |
| CN114679291A (zh) * | 2021-05-31 | 2022-06-28 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN114844666A (zh) * | 2022-03-16 | 2022-08-02 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux系统的摄像头蜜罐构建方法 |
| CN115136080A (zh) * | 2020-02-28 | 2022-09-30 | 纳米电子成像有限公司 | 用于智能地仿真工厂控制系统和模拟响应数据的方法、系统和装置 |
| CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN116032596A (zh) * | 2022-12-25 | 2023-04-28 | 哈尔滨工程大学 | 一种工业互联网设备虚拟化诱骗平台 |
| WO2023155575A1 (zh) * | 2022-02-15 | 2023-08-24 | 华为技术有限公司 | 测量方法和测量装置 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112235550A (zh) * | 2020-05-14 | 2021-01-15 | 陈洋洋 | 基于物联网和人工智能的安防监控方法、系统及服务器 |
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN112822163B (zh) * | 2020-12-29 | 2023-06-09 | 山石网科通信技术股份有限公司 | 数据流量的生成方法及装置、系统 |
| CN113542262A (zh) * | 2021-07-13 | 2021-10-22 | 北京华圣龙源科技有限公司 | 用于信息系统的信息安全威胁智能预警方法和装置 |
| CN114978609A (zh) * | 2022-04-28 | 2022-08-30 | 杭州默安科技有限公司 | 一种干扰web攻击的方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582907A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
| US10333977B1 (en) * | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US9596266B1 (en) * | 2014-07-23 | 2017-03-14 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism |
| CN109361670B (zh) * | 2018-10-21 | 2021-05-28 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
-
2019
- 2019-07-09 CN CN201910920234.0A patent/CN110677408B/zh active Active
- 2019-07-09 CN CN201910614852.2A patent/CN110381045B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582907A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| US10333977B1 (en) * | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
Non-Patent Citations (1)
| Title |
|---|
| 司杨涛: ""面向主动防御的变色蜜网技术研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115136080A (zh) * | 2020-02-28 | 2022-09-30 | 纳米电子成像有限公司 | 用于智能地仿真工厂控制系统和模拟响应数据的方法、系统和装置 |
| CN111683055A (zh) * | 2020-05-14 | 2020-09-18 | 北京邮电大学 | 一种工控蜜罐方法及装置 |
| CN111800407A (zh) * | 2020-06-30 | 2020-10-20 | 北京海益同展信息科技有限公司 | 网络攻击的防御方法、装置、电子设备及存储介质 |
| CN111787021A (zh) * | 2020-07-06 | 2020-10-16 | 杭州安恒信息技术股份有限公司 | 基于攻击行为的蜜饵生成方法、装置、设备和介质 |
| CN111953697A (zh) * | 2020-08-14 | 2020-11-17 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN111953697B (zh) * | 2020-08-14 | 2023-08-18 | 上海境领信息科技有限公司 | 一种apt攻击识别及防御方法 |
| CN111949980A (zh) * | 2020-08-24 | 2020-11-17 | 上海明略人工智能(集团)有限公司 | 目标客户端监控方法和装置、存储介质及电子装置 |
| CN114531258A (zh) * | 2020-11-05 | 2022-05-24 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114531261A (zh) * | 2020-11-09 | 2022-05-24 | 奇安信科技集团股份有限公司 | 应对网络攻击的信息处理方法、装置、系统、介质及程序 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
| CN112748987A (zh) * | 2021-01-19 | 2021-05-04 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
| CN112748987B (zh) * | 2021-01-19 | 2021-08-06 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
| CN114679291B (zh) * | 2021-05-31 | 2024-04-09 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN114679291A (zh) * | 2021-05-31 | 2022-06-28 | 北京网藤科技有限公司 | 一种用于工业网络入侵监测的系统 |
| CN113407885A (zh) * | 2021-06-23 | 2021-09-17 | 中移(杭州)信息技术有限公司 | XPath数据篡改告警方法、装置、设备及可读存储介质 |
| CN113407885B (zh) * | 2021-06-23 | 2024-04-12 | 中移(杭州)信息技术有限公司 | XPath数据篡改告警方法、装置、设备及可读存储介质 |
| CN113794699B (zh) * | 2021-08-30 | 2022-06-07 | 西安交通大学 | 一种网络分析处理方法 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114143096A (zh) * | 2021-12-02 | 2022-03-04 | 北京神州新桥科技有限公司 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
| CN114499929A (zh) * | 2021-12-13 | 2022-05-13 | 奇安信科技集团股份有限公司 | 计划任务内网远程横向渗透监测方法及装置 |
| WO2023155575A1 (zh) * | 2022-02-15 | 2023-08-24 | 华为技术有限公司 | 测量方法和测量装置 |
| CN114844666A (zh) * | 2022-03-16 | 2022-08-02 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN114866326A (zh) * | 2022-05-16 | 2022-08-05 | 上海磐御网络科技有限公司 | 基于linux系统的摄像头蜜罐构建方法 |
| CN115766258B (zh) * | 2022-11-23 | 2024-02-09 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN115766258A (zh) * | 2022-11-23 | 2023-03-07 | 西安电子科技大学 | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 |
| CN116032596A (zh) * | 2022-12-25 | 2023-04-28 | 哈尔滨工程大学 | 一种工业互联网设备虚拟化诱骗平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110677408B (zh) | 2021-07-09 |
| CN110381045B (zh) | 2021-06-15 |
| CN110677408A (zh) | 2020-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110381045A (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
| Chaabouni et al. | Network intrusion detection for IoT security based on learning techniques | |
| Moustafa et al. | A holistic review of network anomaly detection systems: A comprehensive survey | |
| CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| Moustafa et al. | An ensemble intrusion detection technique based on proposed statistical flow features for protecting network traffic of internet of things | |
| Haddadi et al. | Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification | |
| US20160352759A1 (en) | Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls | |
| Tsogbaatar et al. | DeL-IoT: A deep ensemble learning approach to uncover anomalies in IoT | |
| Hassan | Network intrusion detection system using genetic algorithm and fuzzy logic | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| Abraham et al. | Distributed intrusion detection systems: a computational intelligence approach | |
| KS et al. | An artificial neural network based intrusion detection system and classification of attacks | |
| CN115150124A (zh) | 欺骗防御系统 | |
| Sagu et al. | Artificial neural network for the internet of Things security | |
| Bolzoni | Revisiting anomaly-based network intrusion detection systems | |
| El-Alfy et al. | Detecting cyber-attacks on wireless mobile networks using multicriterion fuzzy classifier with genetic attribute selection | |
| Manandhar | A practical approach to anomaly-based intrusion detection system by outlier mining in network traffic | |
| Haseeb | Deception-Based Security Framework for IoT: An Empirical Study | |
| Kirubakaran et al. | An Effective Study on Different Levels of Honeypot with Applications and Design of Real Time Honeypot | |
| Sabata et al. | Multisource evidence fusion for cyber-situation assessment | |
| Mathur et al. | Security Model and Access Control Mechanisms for Attack Mitigation in IoE | |
| CN114915493B (zh) | 一种基于电力监控系统网络攻击的诱捕部署方法 | |
| Zafar et al. | Botnet detection and prevention in software defined networks (sdn) using dns protocol | |
| Ahmed | Data-driven framework and experimental validation for security monitoring of networked systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |