CN110417710A - 攻击数据捕获方法、装置及存储介质 - Google Patents
攻击数据捕获方法、装置及存储介质 Download PDFInfo
- Publication number
- CN110417710A CN110417710A CN201810394862.5A CN201810394862A CN110417710A CN 110417710 A CN110417710 A CN 110417710A CN 201810394862 A CN201810394862 A CN 201810394862A CN 110417710 A CN110417710 A CN 110417710A
- Authority
- CN
- China
- Prior art keywords
- login password
- target
- login
- target device
- storage position
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Abstract
本申请公开了一种攻击数据捕获方法、装置及存储介质,属于计算机技术领域。所述方法包括:接收目标设备发送的登录请求,登录请求携带登录密码;将登录密码存储至目标存储位置,目标存储位置用于存储目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码;当目标存储位置存储的登录密码不满足判定条件时,拒绝目标设备登录蜜罐系统,判定条件为目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。本申请实施例提供的技术方案能够保证蜜罐系统捕获到的登录凭据能够为攻击行为的识别以及安全防御措施提供有效的依据。
Description
技术领域
本申请涉及信息安全领域,特别涉及一种攻击数据捕获方法、装置及存储介质。
背景技术
蜜罐技术是一种对攻击者(也可称为黑客)进行欺骗的主动安全技术。在蜜罐技术中,技术人员可以部署一个模拟真实工作系统的虚假系统作为诱饵,并引诱攻击者对该虚假系统进行攻击,其中,该虚假系统通常可以被称为蜜罐系统。在攻击者被引诱而对蜜罐系统展开攻击时,该蜜罐系统可以捕获攻击者的攻击数据。通过对捕获的攻击数据进行分析,可以给实际生产工作中对攻击行为进行识别以及后续的安全防御措施提供依据。通产情况下,攻击者在对蜜罐系统进行攻击时,第一步往往需要尝试登录该蜜罐系统,攻击者在尝试登录蜜罐系统时所使用的登录凭据(也即是登录账号和登录密码)是一种重要的攻击数据,对其进行分析有助于为攻击行为的识别以及安全防御措施提供依据。
相关技术中,为了模拟真实的工作系统,蜜罐系统往往会预先设置一个合法的登录凭据,当攻击者在尝试登录蜜罐系统时所使用的登录凭据与该合法的登录凭据一致时,蜜罐系统即可允许攻击者登录,同时蜜罐系统还会捕获攻击者在尝试登录蜜罐系统的过程中所使用的所有登录凭据,以供后续分析使用。
通常情况下,为了避免出现攻击者无法成功登录蜜罐系统展开后续攻击的情况,蜜罐系统预先设置的合法登录凭据往往较为简单常见,例如,该合法登录凭据的登录账号可以为root,登录密码可以为123456等。由于蜜罐系统预先设置的合法登录凭据较为简单常见,因此,攻击者通常经过简单尝试后即可成功登录该蜜罐系统,这导致蜜罐系统捕获到的登录凭据难以为攻击行为的识别以及安全防御措施提供有效的依据。
申请内容
本申请实施例提供了一种攻击数据捕获方法、装置及存储介质,可以保证蜜罐系统捕获到的登录凭据能够为攻击行为的识别以及安全防御措施提供有效的依据。所述技术方案如下:
一方面,提供了一种攻击数据捕获方法,所述方法包括:
接收目标设备发送的登录请求,所述登录请求携带登录密码;
将所述登录密码存储至目标存储位置,所述目标存储位置用于存储所述目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码;
当所述目标存储位置存储的登录密码不满足判定条件时,拒绝所述目标设备登录蜜罐系统,所述判定条件为所述目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。
一方面,提供了一种攻击数据捕获装置,所述装置包括:
接收模块,用于接收目标设备发送的登录请求,所述登录请求携带登录密码;
存储模块,用于将所述登录密码存储至目标存储位置,所述目标存储位置用于存储所述目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码;
拒绝登录模块,用于在所述目标存储位置存储的登录密码不满足判定条件时,拒绝所述目标设备登录蜜罐系统,所述判定条件为所述目标存储位置存储的登录密码的攻击分析价值大于预设价值阈值的条件。
一方面,提供了一种攻击数据捕获装置,所述装置包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如本申请实施例提供的攻击数据捕获方法。
一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现本申请实施例提供的攻击数据捕获方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
通过在接收到目标设备发送的登录请求后,将该登录请求携带的登录密码存储至目标存储位置,并在该目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,拒绝目标设备登录蜜罐系统,其中,该目标存储位置用于存储目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码,使得目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值较低时,被拒绝登录蜜罐系统,这样就可以引诱目标设备使用更多的登录密码尝试登录蜜罐系统,从而可以保证蜜罐系统捕获到的登录密码的分析价值较高,能够为攻击行为的识别以及安全防御措施提供有效的依据。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种实施环境的示意图。
图2是本申请实施例提供的一种攻击数据捕获方法的流程图。
图3是本申请实施例提供的一种攻击数据捕获方法的流程图。
图4是本申请实施例提供的一种登录界面的示意图。
图5是本申请实施例提供的一种拒绝登录界面的示意图。
图6是本申请实施例提供的一种允许登录界面的示意图。
图7是本申请实施例提供的一种攻击数据捕获方法的流程图。
图8是本申请实施例提供的一种攻击数据捕获装置的框图。
图9是本申请实施例提供的一种攻击数据捕获装置的框图。
图10是本申请实施例提供的一种服务器的框图。
图11是本申请实施例提供的一种终端的框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
蜜罐系统是一种用于模拟真实工作系统的虚假系统,技术人员通常可以在蜜罐系统中设置一些易于被攻击的漏洞,以引诱攻击者对蜜罐系统展开攻击,蜜罐系统能够捕获攻击者的攻击数据,从而给攻击行为的识别以及安全防御措施提供依据。通产情况下,该攻击数据可以包括攻击者所使用的攻击设备的IP(Internet Protocol,网际互联协议)地址或者蜜罐系统的日志文件等。
通常情况下,攻击者对蜜罐系统展开攻击的第一步往往是利用暴力破解法登录蜜罐系统,所谓“暴力破解法”指的是攻击者依次使用自己的密码字典中记录的登录凭据(也即是登录账户和登录密码)尝试登录蜜罐系统,直至成功登录该蜜罐系统为止。理论上讲,只要攻击者的密码字典中记录的登录凭据的数量足够多,攻击者就一定能够成功登录蜜罐系统。
其中,攻击者的密码字典所记录的登录凭据(尤其是登录密码)是一种重要的攻击数据,对其进行收集和分析有助于给攻击行为的识别以及安全防御措施提供依据。例如,当检测到有设备使用蜜罐系统捕获到的攻击者的密码字典中的登录密码登录真实工作系统时,即可认为该真实工作系统遭受到了攻击,又例如,当蜜罐系统捕获到的攻击者的密码字典中记录的登录密码包括真实工作系统的合法登录密码时,即可认为真实工作系统的合法登录密码出现了泄露,此时,可以及时修改真实工作系统的合法登录密码,以避免真实工作系统受到攻击。
相关技术中,技术人员可以预先为蜜罐系统设置一个合法的登录凭据,当攻击者利用暴力破解法登录蜜罐系统时,该蜜罐系统可以捕获攻击者在尝试登录蜜罐系统的过程中所使用的登录凭据,并在攻击者使用的登录凭据与该预先设置的合法登录凭据一致时允许攻击者登录该蜜罐系统。
然而,相关技术中,为了引诱攻击者对蜜罐系统展开攻击,防止攻击者因蜜罐系统难以成功登录而放弃后续的攻击尝试,技术人员预先设置的合法登录凭据一般都较为简单常见,例如,该合法登录凭据的登录账号可以为root或admin,该合法登录凭据的登录密码可以为123456或admin等。由于蜜罐系统预先设置的合法登录凭据较为简单常见,因此,攻击者往往经过简单尝试后即可成功登录该蜜罐系统,这导致蜜罐系统捕获到的登录凭据难以为攻击行为的识别以及安全防御措施提供有效的依据。例如,当蜜罐系统设置的合法登录凭据的登录账号为root、登录密码为123456时,攻击者很可能经过一次尝试就能成功登录该蜜罐系统,此时蜜罐系统捕获到的攻击者所使用的登录凭据为root和123456,其基本上无法为攻击行为的识别以及安全防御措施提供依据。
本申请实施例提供了一种攻击数据捕获方法,该攻击数据捕获方法可以保证蜜罐系统捕获到的登录凭据能够为攻击行为的识别以及安全防御措施提供有效的依据。该攻击数据捕获方法可以在接收到目标设备发送的登录请求后,将该登录请求携带的登录密码存储至目标存储位置,并在该目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,拒绝目标设备登录蜜罐系统,在该目标存储位置存储的登录密码的分析价值大于预设价值阈值时,允许目标设备登录蜜罐系统,使得只有在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值较高时,目标设备才能成功登录该蜜罐系统,这样就可以保证蜜罐系统捕获到的登录密码的分析价值较高,从而能够为攻击行为的识别以及安全防御措施提供有效的依据。
下面,将对本申请实施例提供的攻击数据捕获方法所涉及到的实施环境进行说明。
图1为本申请实施例提供的攻击数据捕获方法所涉及到的实施环境的示意图,如图1所示,该实施环境可以包括第一设备101和至少一个第二设备102(图1中仅示出了一个第二设备102)。其中,该第一设备101可以为服务器或终端等电子设备,或者,该第一设备101可以为由多个服务器或多个终端组成的设备集群,该第一设备101中可以部署有蜜罐系统。该第二设备102可以为攻击者所使用的电子设备,也即是对该第一设备101展开攻击的电子设备,该第二设备102可以为服务器或终端等电子设备,或者,该第二设备102可以为由多个服务器或多个终端组成的设备集群。
请参考图2,其示出了本申请实施例提供的一种攻击数据捕获方法的流程图,该攻击数据捕获方法可以应用于图1中的第一设备101中。如图2所示,该攻击数据捕获方法可以包括以下步骤:
步骤201、第一设备接收目标设备发送的登录请求。
该目标设备可以为图1所示实施环境的至少一个第二设备中的任一第二设备。该登录请求可以为目标设备在使用暴力破解法尝试登录第一设备中部署的蜜罐系统时发送的请求,该登录请求中可以携带登录密码,在本申请的一个实施例中,该登录请求中还可以携带登录账号。
可选的,第一设备中部署的蜜罐系统可以为基于SSH(Secure Shell,安全外壳)登录协议的系统。
步骤202、第一设备将登录密码存储至目标存储位置。
该目标存储位置用于存储目标设备在尝试登录第一设备中部署的蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码。在本申请的一个实施例中,该目标存储位置与目标设备的标识信息相对应。
例如,该目标存储位置可以为以目标设备的标识信息命名的文件夹等。
步骤203、当目标存储位置存储的登录密码不满足判定条件时,第一设备拒绝目标设备登录蜜罐系统。
该判定条件为目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。
其中,目标存储位置存储的登录密码的分析价值可以由多种指标进行表征,例如,在本申请的一个实施例中,目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码的数量进行表征;又例如,在本申请的另一个实施例中,目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码的复杂度进行表征;又例如,在本申请的又一个实施例中,目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码是否为真实工作系统的合法登录密码来进行表征。
综上所述,本申请实施例提供的攻击数据捕获方法,通过在接收到目标设备发送的登录请求后,将该登录请求携带的登录密码存储至目标存储位置,并在该目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,拒绝目标设备登录蜜罐系统,其中,该目标存储位置用于存储目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码,使得目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值较低时,被拒绝登录蜜罐系统,这样就可以引诱目标设备使用更多的登录密码尝试登录蜜罐系统,从而可以保证蜜罐系统捕获到的登录密码的分析价值较高,能够为攻击行为的识别以及安全防御措施提供有效的依据。
请参考图3,其示出了本申请实施例提供的一种攻击数据捕获方法的流程图,该攻击数据捕获方法可以应用于图1中的第一设备101中。如图3所示,该攻击数据捕获方法可以包括以下步骤:
步骤301、目标设备向第一设备发送第一连接请求。
在尝试登录第一设备中部署的蜜罐系统之前,目标设备需要建立与第一设备之间的通信连接(也即是建立与第一设备中部署的蜜罐系统之间的通信连接)。在建立通信连接后,目标设备可以通过该通信连接向第一设备中部署的蜜罐系统发送登录请求,以通过该登录请求尝试登录第一设备中部署的蜜罐系统。
为了建立通信连接,目标设备可以向第一设备发送第一连接请求,该第一连接请求用于指示建立第一设备中部署的蜜罐系统与目标设备之间的通信连接。
需要指出的是,该第一连接请求可以携带目标设备尝试登录蜜罐系统所使用的登录账号,例如,在第一设备中部署的蜜罐系统的登录协议为SSH协议时,根据SSH登录协议的规定,该第一连接请求中需要携带目标设备尝试登录蜜罐系统所使用的登录账号。
步骤302、第一设备根据第一连接请求建立蜜罐系统与目标设备之间的通信连接。
第一设备接收到该第一连接请求后,可以根据该第一连接请求建立第一设备中部署的蜜罐系统与目标设备之间的通信连接。
步骤303、第一设备根据目标设备发送的第一连接请求确定目标设备的标识信息,并根据目标设备的标识信息确定目标存储位置。
其中,该目标存储位置用于存储目标设备在尝试登录第一设备中部署的蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码。换句话说,该目标存储位置用于存储目标设备在使用暴力破解法登录第一设备中部署的蜜罐系统的过程中所使用的记录于攻击者的密码字典中的登录密码。可选的,在本申请的一个实施例中,该目标存储位置还可以存储目标设备在尝试登录第一设备中部署的蜜罐系统的过程中所使用的登录账号。如上所述,该登录账号可以携带于第一连接请求中;在本申请的一个实施例中,该登录账号还可以携带于目标设备发送的登录请求中,本申请实施例对此不作具体限定。
通常情况下,在一次连接过程中,蜜罐系统的登录协议通常只允许设备发送有限次数的登录请求,例如,在一次连接过程中,SSH登录协议通常只允许设备发送3次登录请求,如果无法通过该有限次数的登录请求成功登录蜜罐系统,那么在该次连接过程中,设备就不被允许登录蜜罐系统。
因此,在一次连接过程中,目标设备很可能无法成功登录第一设备中部署的蜜罐系统,在这种情况下,该目标设备需要断开与第一设备中部署的蜜罐系统之间的通信连接,并再次向第一设备发送连接请求,以在下一次连接过程中尝试登录第一设备中部署的蜜罐系统。通常情况下,目标设备在尝试登录蜜罐系统的过程中很可能需要与该蜜罐系统建立多次通信连接,也即是,目标设备在尝试登录蜜罐系统的过程中很可能需要向第一设备发送多次连接请求。
由于目标设备在尝试登录蜜罐系统的过程中很可能需要向第一设备发送多次连接请求,因此,第一设备在接收到目标设备发送的第一连接请求后,需要确定目标设备的标识信息,并根据该标识信息确定目标存储位置,以将目标设备在本次连接中发送的登录请求携带的登录密码存储至该目标存储位置中。这样,就可以保证目标存储位置能够存储目标设备在不同次连接的过程中发送的登录请求所携带的登录密码,从而可以在后续步骤中根据该目标存储位置中存储的登录密码判断该目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值是否大于预设价值阈值。
例如,第一设备接收到3次连接请求,其中,发送第1次和第2次连接请求的设备为设备A,该设备A的标识信息为A11,发送第3次连接请求的设备为设备B,该设备B的标识信息为B11,第一设备在接收到第1次连接请求后,可以确定发送该连接请求的设备的标识信息为A11,并根据该标识信息A11确定存储位置,该确定的存储位置为存储位置a;第一设备在接收到第2次连接请求后,可以确定发送该连接请求的设备的标识信息也为A11,同样地,第一设备可以根据该标识信息A11确定存储位置,该确定的存储位置也为存储位置a;第一设备在接收到第3次连接请求后,可以确定发送该连接请求的设备的标识信息为B11,并根据该标识信息B11确定存储位置,该确定的存储位置为存储位置b,这样,就可以保证设备A在不同次连接过程(根据第1次连接请求建立的通信连接和根据第2次连接请求建立的通信连接)中发送的登录请求所携带的登录密码能够存储于同一存储位置(也即是存储位置a),从而可以在后续步骤中根据该存储位置a中存储的登录密码判断该设备A在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值是否大于预设价值阈值。
本申请实施例提供了两种根据目标设备发送的第一连接请求确定目标设备的标识信息的实现方式,其中:
在第一种实现方式中,目标设备向第一设备发送的第一连接请求中可以携带目标设备的IP地址,第一设备在接收到目标设备发送的第一连接请求后,可以从该第一连接请求中提取出目标设备的IP地址,并将该IP地址确定为目标设备的标识信息。
在第二种实现方式中,第一设备在接收到目标设备发送的第一连接请求后,可以确定目标时刻,其中,该目标时刻是第一设备接收目标设备发送的第一连接请求的时刻,而后,第一设备可以确定第二连接请求,其中,该第二连接请求是第一设备在目标时刻之前的预设时长内接收到的连接请求,第一设备可以将发送第二连接请求的设备的标识信息获取为目标设备的标识信息。需要指出的是,上述预设时长可以由技术人员预先进行设定,本申请实施例对其不做具体限定,可选的,该预设时长可以小于或等于对蜜罐系统展开攻击的设备尝试登录蜜罐系统所用的平均时长。
例如,第一设备在接收到设备A发送的第一连接请求后,可以确定接收该第一连接请求的时刻,该时刻可以为12:00,而后,第一设备可以将12:00之前1分钟内(该1分钟即为预设时长)接收到的连接请求确定为第二连接请求,第一设备可以确定发送该第二连接请求的设备的标识信息,该标识信息可以为A11,则第一设备可以将标识信息A11确定为设备A的标识信息。
通常情况下,对蜜罐系统展开攻击的设备在尝试登录蜜罐系统的过程中,会在短时间内向部署蜜罐系统的设备发送大量的连接请求。因此,在发生对蜜罐系统的攻击时,第一设备在短时间内接收到的连接请求通常是同一设备发送的,基于此,本申请实施例可以采用上述第二种实现方式确定目标设备的标识信息。
在确定了目标设备的标识信息后,第一设备可以根据该标识信息确定目标存储位置,可选的:
第一设备可以根据目标设备的标识信息查询第一设备中部署的蜜罐系统,当该蜜罐系统中存在与目标设备的标识信息对应的存储位置时,例如,该蜜罐系统中存在以目标设备的标识信息命名的文件夹时,第一设备可以将与该目标设备的标识信息对应的存储位置获取为目标存储位置,当该蜜罐系统中不存在与目标设备的标识信息对应的存储位置时,第一设备可以在蜜罐系统中设置与目标设备的标识信息对应的存储位置(例如,新建以目标设备的标识信息命名的文件夹),并将设置的存储位置获取为目标存储位置。
步骤304、目标设备通过建立的通信连接向第一设备发送登录请求。
在建立了通信连接后,第一设备中部署的蜜罐系统可以通过该通信连接向目标设备提供登录界面,该登录界面可以包括登录密码输入区域,该登录密码输入区域用于供目标设备输入登录密码。图4为一种示例性的登录界面的示意图,如图4所示,该登录界面可以包括目标设备的IP地址a1、目标设备登录蜜罐系统所使用的登录账号a2、蜜罐系统的登录协议a3、第一设备的IP地址a4、密码输入提示信息a5和登录密码输入区域a6,其中,目标设备可以在登录密码输入区域a6中输入登录密码。
在登录界面中输入登录密码后,目标设备可以向第一设备发送登录请求,该登录请求可以携带目标设备输入的登录密码,在本申请的一些实施例中,该登录请求还可以携带登录账号。
步骤305、第一设备将登录请求携带的登录密码存储至目标存储位置。
第一设备在接收到该登录请求后,可以提取登录请求中携带的登录密码,并将该登录密码存储至该目标存储位置。通常情况下,在尝试登录蜜罐系统的过程中,目标设备很可能需要向第一设备发送至少一次登录请求,第一设备可以将该至少一次登录请求携带的登录密码均存储于该目标存储位置中。
步骤306、第一设备判断目标存储位置存储的登录密码是否满足判定条件。
第一设备可以在每次接收到目标设备发送的登录请求,并将该登录请求携带的登录密码存储至目标存储位置后,执行判断目标存储位置存储的登录密码是否满足判定条件的技术过程。其中,该判定条件为目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。
通常情况下,目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的数量越多,目标设备所使用的登录密码中存在能够为攻击行为的识别以及安全防御措施提供有效依据的登录密码的可能性就越高,相应地,目标设备所使用的登录密码的分析价值就越高。因此,在本申请的一个实施例中,该目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码的数量进行表征,在这种情况下,该判定条件可以为目标存储位置存储的登录密码的数量大于预设数量阈值的条件,其中,该预设数量阈值可以由技术人员预先进行设定,本申请实施例对其不做具体限定。
此外,较为简单常见的登录密码通常难以为攻击行为的识别以及安全防御措施提供有效的依据,因此,较为简单常见的登录密码的分析价值一般较低,而较为复杂不常见的登录密码的分析价值一般较高。故而,在本申请的一个实施例中,目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码的复杂度进行表征,在这种情况下,该判定条件可以为目标存储位置存储的登录密码中存在第一目标登录密码的条件,其中,该第一目标登录密码的复杂度大于预设复杂度阈值。需要指出的是,登录密码的复杂度可以由预设算法进行计算得到,例如,该预设算法可以为熵随机性算法等,本申请实施例不对该预设算法进行限定,该预设复杂度阈值可以由技术人员根据预设算法的种类预先进行设定,本申请实施例对其也不做具体限定。
另外,如果蜜罐系统模拟的真实工作系统中的合法登录密码出现了泄露,目标设备很可能会使用该合法登录密码尝试登录蜜罐系统,在这种情况下,对目标设备在尝试登录蜜罐系统的过程中所使用的该合法登录密码进行分析,一方面可以及时修改真实工作系统的合法登录密码,避免真实工作系统被其他设备基于该合法登录密码进行攻击,另一方面也可以追溯该合法登录密码的泄露途径,从而追查泄密责任人或真实工作系统存在的泄密漏洞。因此,在本申请的一个实施例中,目标存储位置存储的登录密码的分析价值可以由目标存储位置存储的登录密码是否为真实工作系统的合法登录密码来进行表征,在这种情况下,该判定条件可以为目标存储位置存储的登录密码中存在第二目标登录密码的条件,其中,该第二目标登录密码存储于密码数据库中,该密码数据库存储有蜜罐系统模拟的真实工作系统中的用户的登录密码。
当然,在本申请的一些可选实施例中,该判定条件也可以为上述三种判定条件的组合,例如,该判定条件可以为目标存储位置存储的登录密码的数量大于预设数量阈值,且,目标存储位置存储的登录密码中存在第一目标登录密码的条件,或者,该判定条件可以为目标存储位置存储的登录密码的数量大于预设数量阈值,且,目标存储位置存储的登录密码中存在第二目标登录密码的条件,或者,该判定条件可以为目标存储位置存储的登录密码中同时存在第一目标登录密码和第二目标登录密码的条件,或者,该判定条件可以为目标存储位置存储的登录密码的数量大于预设数量阈值,且,目标存储位置存储的登录密码中存在第一目标登录密码和第二目标登录密码的条件。
在判定条件是上述三种判定条件的组合的情况下,可以进一步保证蜜罐系统捕获到的登录密码的分析价值,从而可以提高蜜罐系统捕获到的登录密码能够为攻击行为的识别以及安全防御措施提供有效依据的可能性。
本申请实施例中,在目标存储位置存储的登录密码不满足判定条件时,第一设备可以执行下述步骤307,在目标存储位置存储的登录密码满足判定条件时,第一设备可以执行下述步骤308。
步骤307、第一设备拒绝目标设备登录蜜罐系统。
在目标存储位置存储的登录密码不满足判定条件时,也即是,在目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,第一设备可以拒绝目标设备登录第一设备中部署的蜜罐系统。此时,蜜罐系统可以向目标设备提供拒绝登录界面,该拒绝登录界面可以包括登录密码输入区域,该登录密码输入区域用于供目标设备继续输入登录密码,以使目标设备能够继续尝试登录蜜罐系统。图5为一种示例性的拒绝登录界面的示意图,如图5所示,该拒绝登录界面包括拒绝登录提示信息b1、密码输入提示信息b2和登录密码输入区域b3,其中,目标设备可以在该登录密码输入区域b3中继续输入登录密码。
由于在目标存储位置存储的登录密码不满足判定条件时,第一设备会拒绝目标设备登录蜜罐系统,因此,为了成功登录蜜罐系统,目标设备就需要继续进行登录蜜罐系统的尝试,从而可以引诱目标设备使用更多的登录密码尝试登录蜜罐系统,直至该目标设备使用的登录密码满足判定条件为止。这样就可以保证蜜罐系统捕获到的登录密码的分析价值较高,能够为攻击行为的识别以及安全防御措施提供有效的依据。
此外,目标设备对蜜罐系统进行多次登录尝试也有助于确定该目标设备的恶意企图。
步骤308、第一设备允许目标设备登录蜜罐系统。
在目标存储位置存储的登录密码满足判定条件时,也即是,在目标存储位置存储的登录密码的分析价值大于预设价值阈值时,第一设备可以允许目标设备登录第一设备中部署的蜜罐系统。此时,蜜罐系统可以向目标设备提供允许登录界面,以提示目标设备登录蜜罐系统的尝试成功。图6为一种示例性的允许登录界面的示意图,如图6所示,该允许登录界面包括允许登录提示信息c1。
在目标存储位置存储的登录密码满足判定条件时,第一设备会允许目标设备登录蜜罐系统,这样就可以避免目标设备因为难以成功登录蜜罐系统而放弃对蜜罐系统展开进一步攻击,使得第一设备能够引诱目标设备对蜜罐系统展开进一步的攻击,从而使蜜罐系统能够收集更多的攻击数据,以供后续分析使用。
其中,目标设备的进一步攻击可以包括目标设备执行命令、目标设备访问网络、目标设备下载恶意程序,或者,目标设备通过蜜罐系统对其他的设备展开攻击等。
蜜罐系统在遭受目标设备的进一步攻击时,可以根据该目标设备的攻击进行相应地响应,从而对目标设备进行欺骗,使目标设备确定第一设备中部署的蜜罐系统为真实工作系统,以引诱目标设备继续进行攻击。同时,蜜罐系统还可以收集目标设备进行攻击的攻击数据,并将其记录至日志文件中,其中,目标设备进行攻击的攻击数据可以包括目标设备所执行的命令、目标设备访问的网络的网址、目标设备下载恶意程序的地址、目标设备下载的恶意程序的哈希值以及目标设备攻击的其他设备的标识等。
在蜜罐系统将目标设备进行攻击的攻击数据记录于日志文件后,该蜜罐系统可以将该日志文件存储于本地存储空间中,也可以将该日志文件存储至外接存储设备中,还可以通过网络将该日志文件传输至远程服务器上。通过对日志文件的分析,可以对目标设备所处的位置以及使用该目标设备的攻击者的身份进行溯源,也可以对目标设备的攻击方式、手段和目的等进行研判,以对攻击行为的识别以及安全防御措施提供的依据。
为了使读者易于理解本申请实施例提供的技术方案,本申请实施例将以基于SSH登录协议的蜜罐系统为例,对本申请实施例提供的攻击数据捕获方法的技术过程进行示意性的说明:
如图7所示,该技术过程可以包括以下步骤:
步骤A1、被攻击设备监听22模拟端口。
其中,被攻击设备可以为部署有蜜罐系统的设备,被攻击设备可以为上文中的第一设备,22模拟端口是SSH登录协议默认的连接端口。
步骤A2、攻击设备向22模拟端口发送第一连接请求。
攻击设备可以为攻击者所使用的对被攻击设备中部署的蜜罐系统展开攻击的设备,攻击设备可以基于SSH登录协议向被攻击设备发送第一连接请求,其中,根据SSH登录协议的规定,该第一连接请求携带有攻击设备的IP地址和攻击设备尝试登录蜜罐系统所使用的登录账号。
步骤A3、被攻击设备建立蜜罐系统与攻击设备的通信连接,并通过该通信连接向攻击设备请求登录密码。
步骤A4、攻击设备根据被攻击设备的请求向被攻击设备发送登录密码。
步骤A5、被攻击设备接收到攻击设备发送的登录密码后,判断攻击设备发送的登录密码的数量是否大于预设数量阈值。
被攻击设备可以将攻击设备发送的登录密码存储至目标存储位置,并在存储完成后判断该目标存储位置存储的登录密码的数量是否大于预设数量阈值。
当攻击设备发送的登录密码的数量不大于预设数量阈值时,被攻击设备返回执行步骤A3,当攻击设备发送的登录密码的数量大于预设数量阈值时,被攻击设备执行步骤A6。
步骤A6、被攻击设备向攻击设备提示蜜罐系统登录成功,并利用蜜罐系统模拟真实工作系统。
步骤A7、攻击设备对被攻击设备中部署的蜜罐系统展开攻击。
步骤A8、被攻击设备记录攻击设备进行攻击的攻击数据。
步骤A9、攻击设备完成对蜜罐系统的攻击,断开与蜜罐系统的通信连接。
综上所述,本申请实施例提供的攻击数据捕获方法,通过在接收到目标设备发送的登录请求后,将该登录请求携带的登录密码存储至目标存储位置,并在该目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,拒绝目标设备登录蜜罐系统,其中,该目标存储位置用于存储目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码,使得目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值较低时,被拒绝登录蜜罐系统,这样就可以引诱目标设备使用更多的登录密码尝试登录蜜罐系统,从而可以保证蜜罐系统捕获到的登录密码的分析价值较高,能够为攻击行为的识别以及安全防御措施提供有效的依据。
请参考图8,其示出了本申请实施例提供的一种攻击数据捕获装置400的框图,该攻击数据捕获装置400可以配置于图1所示的第一设备101中。如图8所示,该攻击数据捕获装置400可以包括:接收模块401、存储模块402和拒绝登录模块403。
该接收模块401,用于接收目标设备发送的登录请求,该登录请求携带登录密码。
该存储模块402,用于将该登录密码存储至目标存储位置,该目标存储位置用于存储该目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码。
该拒绝登录模块403,用于在该目标存储位置存储的登录密码不满足判定条件时,拒绝该目标设备登录蜜罐系统,该判定条件为该目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。
在本申请的一个实施例中,该判定条件包括:目标存储位置存储的登录密码的数量大于预设数量阈值。
在本申请的一个实施例中,该判定条件包括:目标存储位置存储的登录密码中存在第一目标登录密码,该第一目标登录密码的复杂度大于预设复杂度阈值。
在本申请的一个实施例中,该判定条件包括:目标存储位置存储的登录密码中存在第二目标登录密码,该第二目标登录密码存储于密码数据库中,该密码数据库存储有该蜜罐系统模拟的真实工作系统中的用户的登录密码。
在本申请的一个实施例中,该蜜罐系统为基于SSH登录协议的系统。
图9示出了本申请实施例提供的另一种攻击数据捕获装置500的框图,如图9所示,该种攻击数据捕获装置500除了可以包括种攻击数据捕获装置400包括的各个模块外,还可以包括允许登录模块404、确定模块405和第一获取模块406。
其中,该允许登录模块404,用于在该目标存储位置存储的登录密码满足判定条件时,允许该目标设备登录该蜜罐系统。
该确定模块405,用于在接收到目标设备发送的第一连接请求后,根据该第一连接请求确定目标设备的标识信息,该第一连接请求用于指示该蜜罐系统建立与该目标设备之间的通信连接,该通信连接用于供该目标设备向该蜜罐系统发送登录请求。
该第一获取模块406,用于在该蜜罐系统中存在与该标识信息对应的存储位置时,将与该标识信息对应的存储位置获取为该目标存储位置。
在本申请的一个实施例中,该第一连接请求携带有该目标设备的IP地址,该确定模块405,具体用于将该IP地址确定为该目标设备的标识信息。
在本申请的一个实施例中,该确定模块405,具体用于确定目标时刻,该目标时刻是接收该第一连接请求的时刻;确定第二连接请求,该第二连接请求是在该目标时刻之前的预设时长内接收到的连接请求;将发送该第二连接请求的设备的标识信息获取为该目标设备的标识信息。
综上所述,本申请实施例提供的攻击数据捕获装置,通过在接收到目标设备发送的登录请求后,将该登录请求携带的登录密码存储至目标存储位置,并在该目标存储位置存储的登录密码的分析价值不大于预设价值阈值时,拒绝目标设备登录蜜罐系统,其中,该目标存储位置用于存储目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码,使得目标设备在尝试登录蜜罐系统的过程中所使用的登录密码的分析价值较低时,被拒绝登录蜜罐系统,这样就可以引诱目标设备使用更多的登录密码尝试登录蜜罐系统,从而可以保证蜜罐系统捕获到的登录密码的分析价值较高,能够为攻击行为的识别以及安全防御措施提供有效的依据。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图10示出了本申请一个示例性实施例提供的一种服务器600的结构框图。该服务器600包括中央处理单元(CPU)601、包括随机存取存储器(RAM)602和只读存储器(ROM)603的系统存储器604,以及连接系统存储器604和中央处理单元601的系统总线605。该服务器600还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)606,和用于存储操作系统613、应用程序614和其他程序模块615的大容量存储设备607。
该基本输入/输出系统606包括有用于显示信息的显示器608和用于用户输入信息的诸如鼠标、键盘之类的输入设备609。其中该显示器608和输入设备609都通过连接到系统总线605的输入输出控制器610连接到中央处理单元601。该基本输入/输出系统606还可以包括输入输出控制器610以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器610还提供输出到显示屏、打印机或其他类型的输出设备。
该大容量存储设备607通过连接到系统总线605的大容量存储控制器(未示出)连接到中央处理单元601。该大容量存储设备607及其相关联的计算机可读介质为服务器600提供非易失性存储。也就是说,该大容量存储设备607可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,该计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知该计算机存储介质不局限于上述几种。上述的系统存储器604和大容量存储设备607可以统称为存储器。
根据本申请的各种实施例,该服务器600还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器600可以通过连接在该系统总线605上的网络接口单元611连接到网络612,或者说,也可以使用网络接口单元611来连接到其他类型的网络或远程计算机系统(未示出)。
该存储器还包括一个或者一个以上的程序,该一个或者一个以上程序存储于存储器中,中央处理器601通过执行该一个或一个以上程序来实现图2或图3所示的攻击数据捕获方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由服务器的处理器执行以实现图2或图3所示的攻击数据捕获方法。例如,该非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
图11示出了本申请一个示例性实施例提供的终端700的结构框图。该终端700可以是:智能手机、平板电脑、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio LayerIV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端700还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
通常,终端700包括有:处理器701和存储器702。
处理器701可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器701可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器701也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器701可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器701还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器702可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器702还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器702中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器701所执行以实现本申请中方法实施例提供的攻击数据捕获方法。
在一些实施例中,终端700还可选包括有:外围设备接口703和至少一个外围设备。处理器701、存储器702和外围设备接口703之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口703相连。具体地,外围设备包括:射频电路704、触摸显示屏705、摄像头706、音频电路707、定位组件708和电源709中的至少一种。
外围设备接口703可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器701和存储器702。在一些实施例中,处理器701、存储器702和外围设备接口703被集成在同一芯片或电路板上;在一些其他实施例中,处理器701、存储器702和外围设备接口703中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路704用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路704通过电磁信号与通信网络以及其他通信设备进行通信。射频电路704将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路704包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路704可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路704还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏705用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏705是触摸显示屏时,显示屏705还具有采集在显示屏705的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器701进行处理。此时,显示屏705还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏705可以为一个,设置终端700的前面板;在另一些实施例中,显示屏705可以为至少两个,分别设置在终端700的不同表面或呈折叠设计;在再一些实施例中,显示屏705可以是柔性显示屏,设置在终端700的弯曲表面上或折叠面上。甚至,显示屏705还可以设置成非矩形的不规则图形,也即异形屏。显示屏705可以采用LCD(LiquidCrystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
摄像头组件706用于采集图像或视频。可选地,摄像头组件706包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件706还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路707可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器701进行处理,或者输入至射频电路704以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端700的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器701或射频电路704的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路707还可以包括耳机插孔。
定位组件708用于定位终端700的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件708可以是基于美国的GPS(GlobalPositioning System,全球定位系统)、中国的北斗系统、俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。
电源709用于为终端700中的各个组件进行供电。电源709可以是交流电、直流电、一次性电池或可充电电池。当电源709包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端700还包括有一个或多个传感器710。该一个或多个传感器710包括但不限于:加速度传感器711、陀螺仪传感器712、压力传感器713、指纹传感器714、光学传感器715以及接近传感器716。
加速度传感器711可以检测以终端700建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器711可以用于检测重力加速度在三个坐标轴上的分量。处理器701可以根据加速度传感器711采集的重力加速度信号,控制触摸显示屏705以横向视图或纵向视图进行用户界面的显示。加速度传感器711还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器712可以检测终端700的机体方向及转动角度,陀螺仪传感器712可以与加速度传感器711协同采集用户对终端700的3D动作。处理器701根据陀螺仪传感器712采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器713可以设置在终端700的侧边框和/或触摸显示屏705的下层。当压力传感器713设置在终端700的侧边框时,可以检测用户对终端700的握持信号,由处理器701根据压力传感器713采集的握持信号进行左右手识别或快捷操作。当压力传感器713设置在触摸显示屏705的下层时,由处理器701根据用户对触摸显示屏705的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器714用于采集用户的指纹,由处理器701根据指纹传感器714采集到的指纹识别用户的身份,或者,由指纹传感器714根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器701授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器714可以被设置终端700的正面、背面或侧面。当终端700上设置有物理按键或厂商Logo时,指纹传感器714可以与物理按键或厂商Logo集成在一起。
光学传感器715用于采集环境光强度。在一个实施例中,处理器701可以根据光学传感器715采集的环境光强度,控制触摸显示屏705的显示亮度。具体地,当环境光强度较高时,调高触摸显示屏705的显示亮度;当环境光强度较低时,调低触摸显示屏705的显示亮度。在另一个实施例中,处理器701还可以根据光学传感器715采集的环境光强度,动态调整摄像头组件706的拍摄参数。
接近传感器716,也称距离传感器,通常设置在终端700的前面板。接近传感器716用于采集用户与终端700的正面之间的距离。在一个实施例中,当接近传感器716检测到用户与终端700的正面之间的距离逐渐变小时,由处理器701控制触摸显示屏705从亮屏状态切换为息屏状态;当接近传感器716检测到用户与终端700的正面之间的距离逐渐变大时,由处理器701控制触摸显示屏705从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图11中示出的结构并不构成对终端700的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
本申请实施例还提供了一种计算机可读存储介质,该存储介质为非易失性存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,该至少一条指令、该至少一段程序、该代码集或指令集由处理器加载并执行以实现如本申请上述实施例提供的攻击数据捕获方法。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品中存储有指令,当其在计算机上运行时,使得计算机能够执行本申请实施例提供的攻击数据捕获方法。
本申请实施例还提供了一种芯片,该芯片包括可编程逻辑电路和/或程序指令,当该芯片运行时能够执行本申请实施例提供的攻击数据捕获方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的较佳实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种攻击数据捕获方法,其特征在于,所述方法包括:
接收目标设备发送的登录请求,所述登录请求携带登录密码;
将所述登录密码存储至目标存储位置,所述目标存储位置用于存储所述目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码;
当所述目标存储位置存储的登录密码不满足判定条件时,拒绝所述目标设备登录所述蜜罐系统,所述判定条件为所述目标存储位置存储的登录密码的分析价值大于预设价值阈值的条件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标存储位置存储的登录密码满足所述判定条件时,允许所述目标设备登录所述蜜罐系统。
3.根据权利要求1所述的方法,其特征在于,所述判定条件包括:
所述目标存储位置存储的登录密码的数量大于预设数量阈值。
4.根据权利要求1所述的方法,其特征在于,所述判定条件包括:
所述目标存储位置存储的登录密码中存在第一目标登录密码,所述第一目标登录密码的复杂度大于预设复杂度阈值。
5.根据权利要求1所述的方法,其特征在于,所述判定条件包括:
所述目标存储位置存储的登录密码中存在第二目标登录密码,所述第二目标登录密码存储于密码数据库中,所述密码数据库存储有所述蜜罐系统模拟的真实工作系统中的用户的登录密码。
6.根据权利要求1所述的方法,其特征在于,所述将所述登录密码存储至目标存储位置之前,所述方法还包括:
在接收到所述目标设备发送的第一连接请求后,根据所述第一连接请求确定所述目标设备的标识信息,所述第一连接请求用于指示所述蜜罐系统建立与所述目标设备之间的通信连接,所述通信连接用于供所述目标设备向所述蜜罐系统发送所述登录请求;
当所述蜜罐系统中存在与所述标识信息对应的存储位置时,将与所述标识信息对应的存储位置获取为所述目标存储位置。
7.根据权利要求6所述的方法,其特征在于,所述第一连接请求携带有所述目标设备的网际互联协议IP地址;
所述根据所述第一连接请求确定所述目标设备的标识信息,包括:
将所述IP地址确定为所述目标设备的标识信息。
8.根据权利要求6所述的方法,其特征在于,所述根据所述第一连接请求确定所述目标设备的标识信息,包括:
确定目标时刻,所述目标时刻是接收所述第一连接请求的时刻;
确定第二连接请求,所述第二连接请求是在所述目标时刻之前的预设时长内接收到的连接请求;
将发送所述第二连接请求的设备的标识信息获取为所述目标设备的标识信息。
9.根据权利要求1至8任一所述的方法,其特征在于,所述蜜罐系统为基于安全外壳SSH登录协议的系统。
10.一种攻击数据捕获装置,其特征在于,所述装置包括:
接收模块,用于接收目标设备发送的登录请求,所述登录请求携带登录密码;
存储模块,用于将所述登录密码存储至目标存储位置,所述目标存储位置用于存储所述目标设备在尝试登录蜜罐系统的过程中所发送的至少一个登录请求携带的登录密码;
拒绝登录模块,用于在所述目标存储位置存储的登录密码不满足判定条件时,拒绝所述目标设备登录所述蜜罐系统,所述判定条件为所述目标存储位置存储的登录密码的攻击分析价值大于预设价值阈值的条件。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括允许登录模块;
所述允许登录模块,用于在所述目标存储位置存储的登录密码满足所述判定条件时,允许所述目标设备登录所述蜜罐系统。
12.根据权利要求10所述的装置,其特征在于,所述判定条件包括:
所述目标存储位置存储的登录密码的数量大于预设数量阈值。
13.根据权利要求10所述的装置,其特征在于,所述判定条件包括:
所述目标存储位置存储的登录密码中存在第一目标登录密码,所述第一目标登录密码的复杂度大于预设复杂度阈值。
14.一种攻击数据捕获装置,其特征在于,所述装置包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如权利要求1至9任一所述的攻击数据捕获方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令,所述指令由处理器加载并执行以实现如权利要求1至9任一所述的攻击数据捕获方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810394862.5A CN110417710B (zh) | 2018-04-27 | 2018-04-27 | 攻击数据捕获方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810394862.5A CN110417710B (zh) | 2018-04-27 | 2018-04-27 | 攻击数据捕获方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110417710A true CN110417710A (zh) | 2019-11-05 |
CN110417710B CN110417710B (zh) | 2022-05-17 |
Family
ID=68346779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810394862.5A Active CN110417710B (zh) | 2018-04-27 | 2018-04-27 | 攻击数据捕获方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110417710B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
CN111797384A (zh) * | 2020-05-14 | 2020-10-20 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统 |
CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
CN114143103A (zh) * | 2021-12-06 | 2022-03-04 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN116781396A (zh) * | 2023-07-20 | 2023-09-19 | 北京火山引擎科技有限公司 | 用于攻击行为检测的方法、装置、设备和存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1480251A (en) * | 1973-06-26 | 1977-07-20 | Addressograph Multigraph | Data capture terminal |
CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
US20120192277A1 (en) * | 2011-01-21 | 2012-07-26 | Bjorn Markus Jakobsson | System and methods for protecting users from malicious content |
CN104954234A (zh) * | 2015-05-19 | 2015-09-30 | 中国地质大学(北京) | 一种微博数据获取方法、装置及舆情分析方法 |
CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
CN107493315A (zh) * | 2017-06-28 | 2017-12-19 | 武汉斗鱼网络科技有限公司 | 一种行为数据的收集方法、资源服务器及存储介质 |
CN107509200A (zh) * | 2017-09-30 | 2017-12-22 | 北京奇虎科技有限公司 | 基于无线网络入侵的设备定位方法及装置 |
CN206908680U (zh) * | 2017-05-27 | 2018-01-19 | 上海爱优威软件开发有限公司 | 具有安全登录功能的智能终端 |
-
2018
- 2018-04-27 CN CN201810394862.5A patent/CN110417710B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1480251A (en) * | 1973-06-26 | 1977-07-20 | Addressograph Multigraph | Data capture terminal |
CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
US20120192277A1 (en) * | 2011-01-21 | 2012-07-26 | Bjorn Markus Jakobsson | System and methods for protecting users from malicious content |
CN104954234A (zh) * | 2015-05-19 | 2015-09-30 | 中国地质大学(北京) | 一种微博数据获取方法、装置及舆情分析方法 |
CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
CN206908680U (zh) * | 2017-05-27 | 2018-01-19 | 上海爱优威软件开发有限公司 | 具有安全登录功能的智能终端 |
CN107493315A (zh) * | 2017-06-28 | 2017-12-19 | 武汉斗鱼网络科技有限公司 | 一种行为数据的收集方法、资源服务器及存储介质 |
CN107509200A (zh) * | 2017-09-30 | 2017-12-22 | 北京奇虎科技有限公司 | 基于无线网络入侵的设备定位方法及装置 |
Non-Patent Citations (2)
Title |
---|
SIAN HARRIS: "The honey trap", 《ENGINEERING & TECHNOLOGY》 * |
宋程昱等: "基于蜜网技术的攻击场景捕获和重构方法", 《信息网络安全》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
CN111404935B (zh) * | 2020-03-16 | 2020-12-04 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
CN111797384A (zh) * | 2020-05-14 | 2020-10-20 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统 |
CN111797384B (zh) * | 2020-05-14 | 2021-04-16 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统 |
CN113691527A (zh) * | 2021-08-23 | 2021-11-23 | 海尔数字科技(青岛)有限公司 | 安全处理方法、装置、电子设备、及存储介质 |
CN114143103A (zh) * | 2021-12-06 | 2022-03-04 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN114143103B (zh) * | 2021-12-06 | 2023-11-21 | 北京中安网星科技有限责任公司 | Ad域威胁检测方法、装置及电子设备 |
CN116781396A (zh) * | 2023-07-20 | 2023-09-19 | 北京火山引擎科技有限公司 | 用于攻击行为检测的方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110417710B (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110417710A (zh) | 攻击数据捕获方法、装置及存储介质 | |
JP7338044B2 (ja) | 顔画像送信方法、値転送方法、装置および電子機器 | |
CN111490996B (zh) | 网络攻击处理方法、装置、计算机设备及存储介质 | |
CN108306771A (zh) | 日志上报方法、装置及系统 | |
CN111064795A (zh) | 网页访问加速方法、系统、计算机设备、服务器及介质 | |
CN109905318A (zh) | 设备控制方法、装置及存储介质 | |
CN109547495B (zh) | 敏感操作处理方法、装置、服务器、终端及存储介质 | |
CN107968783B (zh) | 流量管理方法、装置、终端及计算机可读存储介质 | |
CN110689460A (zh) | 基于区块链的交通事故数据处理方法、装置、设备及介质 | |
CN108710496A (zh) | 应用程序的配置更新方法、装置、设备及存储介质 | |
JP2023506406A (ja) | ユーザ招待方法、装置、コンピュータ装置及びプログラム | |
CN108810019A (zh) | 拒绝服务攻击防御方法、装置、设备和存储介质 | |
CN113542290B (zh) | 数据访问请求的处理方法、装置、设备及可读存储介质 | |
CN108833607A (zh) | 物理地址获取方法、装置及可读介质 | |
CN109711832A (zh) | 进行支付的方法、装置和系统 | |
US20220075998A1 (en) | Secure face image transmission method, apparatuses, and electronic device | |
CN108769992A (zh) | 用户认证方法、装置、终端及存储介质 | |
CN110533585A (zh) | 一种图像换脸的方法、装置、系统、设备和存储介质 | |
CN108537040B (zh) | 电信诈骗木马程序拦截方法、装置、终端及存储介质 | |
CN110224870A (zh) | 接口监控方法、装置、计算设备及存储介质 | |
CN107959727A (zh) | 网页与客户端之间进行通讯的方法及装置 | |
CN107896337A (zh) | 信息推广方法、装置及存储介质 | |
CN109995789B (zh) | Rpc接口的风险检测方法、装置、设备及介质 | |
CN109726064A (zh) | 模拟客户端异常运行的方法、装置、系统及存储介质 | |
CN108616835A (zh) | 基于浏览器的网络资源获取方法、装置、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |