CN110719299A - 防御网络攻击的蜜罐构建方法、装置、设备及介质 - Google Patents
防御网络攻击的蜜罐构建方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN110719299A CN110719299A CN201911124693.4A CN201911124693A CN110719299A CN 110719299 A CN110719299 A CN 110719299A CN 201911124693 A CN201911124693 A CN 201911124693A CN 110719299 A CN110719299 A CN 110719299A
- Authority
- CN
- China
- Prior art keywords
- attack
- day
- network
- file
- honeypot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种防御网络攻击的蜜罐构建方法、装置、设备及介质。该方法包括:检测网络流量;当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;根据攻击类型确定与攻击类型对应的检测函数的容器镜像;对容器镜像实例化,构建运行检测函数的容器用作蜜罐。通过本发明的构建方法、装置、设备及介质,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质。
背景技术
随着互联网的发展,网络安全已经受到了广泛的重视,目前的网络安全技术主要分为被动防御技术和主动防御技术。
其中,被动防御技术对外防止黑客入侵,对内进行访问控制,主要是通过防火墙等设备进行安全策略配置,力求在攻击发生前进行防御策略的制定,从而进行阻断。
主动防御技术主要包括入侵检测、蜜罐等技术,力求在攻击行为发生时进行感知,从而进行防御部署。
但是现有的蜜罐系统仅能够应对的攻击种类单一,极其容易被攻陷;与此同时,由于蜜罐系统部署于真实系统环境中,一旦其被攻击者发现并攻陷,可以被当作跳板机从而威胁所在的整个网络环境。
发明内容
本发明实施例提供了一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定网络受到攻击的攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
第一方面,本发明提供一种防御网络攻击的蜜罐构建方法,该方法包括:检测网络流量;当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;根据攻击类型确定与攻击类型对应的检测函数的容器镜像;对容器镜像实例化,构建运行检测函数的容器用作蜜罐。
在第一方面的一些可实现方式中,网络流量包括文件访问流量和/或暴力破解流量。
在第一方面的一些可实现方式中,网络流量异常包括:文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。
在第一方面的一些可实现方式中,在检测网络流量之前,该方法还包括:获取文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数;统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定预设访问阈值。
在第一方面的一些可实现方式中,攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
第二方面,本发明提供一种防御网络攻击的蜜罐构建装置,该装置包括:检测模块,用于检测网络流量;第一确定模块,用于当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;第二确定模块,用于根据攻击类型确定与攻击类型对应的检测函数的容器镜像;构建模块,用于对容器镜像实例化,构建运行检测函数的容器用作蜜罐。
在第二方面的一些可实现方式中,网络流量包括文件访问流量和/或暴力破解流量。
在第二方面的一些可实现方式中,网络流量异常包括:文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。
在第二方面的一些可实现方式中,该装置还包括:第三确定模块,用于在检测网络流量之前,获取文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数;统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定所述预设访问阈值。
在第二方面的一些可实现方式中,攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
第三方面,本发明提供一种防御网络攻击的蜜罐构建设备,该设备包括:处理器以及存储有计算机程序指令的存储器;处理器执行计算机程序指令时实现如上所述的防御网络攻击的蜜罐构建方法。
第四方面,本发明提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上所述的防御网络攻击的蜜罐构建方法。
本发明涉及网络安全技术领域,尤其涉及一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质。能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定网络受到攻击的攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种防御网络攻击的蜜罐构建方法的流程示意图;
图2是本发明实施例提供的一种防御网络攻击的蜜罐构建装置的结构示意图;
图3是本发明实施例提供的一种防御网络攻击的蜜罐构建设备的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
蜜罐技术主要是通过在网络中部署一台或多台具有弱点的主机,吸引攻击者的注意力,并捕获攻击者的具体攻击行为,从而针对这些攻击行为进行相应的防御部署,进一步对网络的安全进行加固,其中攻击者的攻击行为通常由对应的攻击设备实现。
其中,攻击者的攻击可以被划分为多种攻击类型,目前现有的蜜罐系统能够应对的攻击类型单一,容易被攻陷,并以此为跳板威胁整个网络环境。
为了更好的应对多种攻击类型的攻击,本发明实施例提供了一种防御网络攻击的蜜罐构建方法、装置、设备和计算机可读存储介质,可以根据异常时的网络流量特征确定攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
下面结合附图对本发明实施例所提供的防御网络攻击的蜜罐构建方法进行介绍。
图1是本发明实施例提供的一种防御网络攻击的蜜罐构建方法的流程示意图。如图1所示,该防御网络攻击的蜜罐构建方法可以包括S110至S140。
S110,检测网络流量。
网络流量可以为文件访问流量和/或暴力破解流量。可以对文件访问流量进行检测,确定文件访问流量是否异常,和/或,对暴力破解流量进行检测,确定暴力破解流量是否异常。若文件访问流量和暴力破解流量任意一个或两个异常,则可以确定网络中的网络流量发生了异常,网络受到了攻击。
具体地,在检测文件访问流量时,可以对文件的访问频率进行检测,若文件的访问频率超过预设访问阈值,则确定文件访问流量异常,进而确定网络流量异常。其中,文件的访问频率可以基于访问者IP地址出现次数统计,与IP地址相对应。
可选地,在一个实例中,受检测的文件通常为网络中的重点文件,例如与网络安全密切相关的文件。文件的访问频率可以是该文件的上传频率、下载频率中的一项或两项。
具体地,在检测暴力破解流量时,可以对服务的解析频率进行检测,若解析频率超过预设解析阈值,则确定暴力破解流量异常,进而确定网络流量异常。其中,该服务可以是安全外壳协议(Secure Shell,SSH)服务、汤姆猫(Tomcat)服务、MySQL服务等服务中的一种或多种。其中,预设解析阈值可以是预先设置的解析频率的上限。
S120,当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型。
在本发明实施例中,网络遭受的攻击者的攻击可以被划分为多种攻击类型。可选地,攻击类型可以是端口探测攻击、结构化查询语言(Structured Query Language,SQL)注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
因为每种攻击类型的网络流量特征都不一样,所以可以根据异常时的网络流量特征确定受到攻击的攻击类型。
作为一个具体的示例,拒绝服务攻击是通过一个同步序列编号(SynchronizeSequence Numbers,SYN)包,SYN包的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,其中ACK(Acknowledgecharacter)为确认字符,以至于服务器持续地进行自我应答,消耗系统资源直至崩溃。当网络流量异常时,检测网络流量中的SYN包,即可确定攻击是否为拒绝服务攻击。
S130,根据攻击类型确定与攻击类型对应的检测函数的容器镜像。
具体地,可以从镜像仓库获取与攻击类型对应的检测函数的容器镜像。其中,镜像仓库中预先储存了针对不同攻击类型的检测函数,即与攻击类型对应的检测函数。例如,若攻击类型为端口探测攻击,则检测函数为端口探测检测函数。若攻击类型为SQL注入攻击,则检测函数为数据库请求检测函数。若攻击类型为溢出攻击,则检测函数为溢出攻击检测函数。若攻击类型为拒绝服务攻击,则检测函数为拒绝服务攻击检测函数。若攻击类型为加密攻击,则检测函数为加密攻击检测函数。若攻击类型为口令探测攻击,则检测函数为口令探测检测函数。若攻击类型为泛洪攻击,则检测函数为泛洪攻击检测函数。若攻击类型为未知攻击,则检测函数为未知攻击检测函数。
S140,对容器镜像实例化,构建运行检测函数的容器用作蜜罐。
具体地,可以在云服务集群中随机选取一个空闲节点,对与攻击类型对应的检测函数的容器镜像进行实例化,以创建出一个能够运行该检测函数的容器用作蜜罐。其中,空闲节点可以是空闲服务器。
然后,该蜜罐可以基于检测函数来对攻击者发送的攻击信息进行处理,生成回应信息,并将该回应信息发送至攻击者对应的攻击设备,以营造出真实操作系统/网络服务被攻击的假象,从而达到欺骗攻击者的目的。
也就是说,检测函数的本质是对攻击者的攻击信息进行相应运算时所使用的函数。例如,端口探测检测函数是指在模拟操作系统或网络服务受到端口探测攻击时对攻击信息进行运算时所使用的函数;数据库请求检测函数是指在模拟操作系统或网络服务受到数据库请求攻击时,对攻击信息进行运算时所使用的函数;溢出攻击检测函数是指在模拟操作系统或网络服务受到溢出攻击时对攻击信息进行运算时所使用的函数;拒绝服务攻击检测函数是指在模拟操作系统或网络服务受到拒绝服务攻击时对攻击信息进行运算时所使用的函数;加密攻击检测函数是指在模拟操作系统或网络服务受到加密攻击时对攻击信息进行运算时所使用的函数;口令探测检测函数是指在模拟操作系统或网络服务受到口令探测攻击时对攻击信息进行运算时所使用的函数;泛洪攻击检测函数是指在模拟操作系统或网络服务受到泛洪攻击时对攻击信息进行运算时所使用的函数。
本发明实施例的防御网络攻击的蜜罐构建方法,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定受到攻击的攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
在一些实施例中,可以在检测网络流量之前预先设置访问阈值。
具体地,预先设置访问阈值可以包括以下步骤:
步骤1,获取文件在历史时间段中每次被访问的时间和访问者的互联网协议(Internet Protocol,IP)地址。其中,文件为受检测文件。
步骤2,历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数。
步骤3,统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布。
对于上述步骤1-3,结合一个具体的示例进行说明,文件A,在2019年6月1日被访问4次,分别为IP地址1下午2点访问,IP地址2晚上10点访问,IP地址2晚上10点5分访问,IP地址2晚上10点半访问。则文件A在该日的被访问总次数NTA=4,2-3点访问次数NH2-3=1,10-11点访问次数NH10-11=3,IP地址1在该日访问文件A的次数NIP1=1,IP地址2在该日访问文件A的次数NIP2=3,IP地址1在该日的访问时间分布于2-3点,IP地址2在该日的访问时间分布于10-11点。
步骤4,根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定预设访问阈值。其中,预设访问阈值与文件及检测时间段对应,不同文件具有各自对应的预设访问阈值,且同一文件在不同检测时间段具有与各自检测时间段对应的预设访问阈值,检测时间段可以为一日中任意时间段。
其中,步骤4可以包括步骤41-46,具体如下:
步骤41,获取平均日被访问次数,其中,平均日被访问次数为每日文件的被访问总次数之和与总天数的平均值,总天数为历史时间段中文件被访问的总天数。其中,历史时间段通常为最近的一段时间,比如说一个月。
也就是说,将文件在总天数中每日被访问的总次数全部累加,然后与总天数做平均,得到平均日被访问次数。
步骤42,根据每日每小时文件的被访问次数获取每日第一时间段的被访问总次数,其中,第一时间段为一日中任意两个小时之间的时间段。
可以理解,第一时间段为一日24时中任意两个小时之间。可以根据每日每小时文件的被访问次数得到每日任意两个小时之间的时间段的文件被访问总次数。例如,想要得到每日8点到10点文件被访问总次数,可以将每日8点至9点,9点至10点的文件被访问次数累加,即可得到。其中,两个小时之间间隔可以为1小时。比如10点到11点。
步骤43,获取第一时间段平均被访问次数,其中,第一时间段平均被访问次数为每日第一时间段的被访问总次数之和与总天数的平均值。
也就是说将文件在总天数中每日任意两个小时之间的时间段的被访问总次数全部累加,然后与总天数做平均,得到一日24时中任意两个小时之间的时间段平均被访问次数。
步骤44,获取每个IP地址平均日访问次数,其中,每个IP地址平均日访问次数为每个IP地址每日访问文件次数之和与总天数的平均值。
也就是说,将每个IP地址所有日访问文件次数累加,然后与总天数做平均,得到每个IP地址平均日访问次数。
步骤45,根据每个IP地址每日访问时间分布确定一日中最常被访问时间段。
具体地,在所有日内所有IP地址访问时间分布中,确定最常访问的时间段,最常访问的时间段就是文件访问最集中的时间段。
步骤46,根据平均日被访问次数、第一时间段平均被访问次数、每个IP地址平均日访问次数、一日中最常被访问时间段、一日中非最常被访问时间段确定文件一日中最常被访问时间段对应的预设访问阈值以及非最常被访问时间段对应的预设访问阈值,即一日中任意时间段对应的预设访问阈值。
作为一个具体的示例,可以根据公式1:
确定任意一个非最常被访问时间段对应的预设访问阈值,根据公式2:
确定最常被访问时间段对应的预设访问阈值。
其中,NT1为非最常被访问时间段对应的预设访问阈值,NT2为最常被访问时间段对应的预设访问阈值,X为平均日被访问次数,XT1为非最常被访问时间段平均被访问次数,XT2为最常被访问时间段平均被访问次数,XIP为每个IP地址平均日访问次数。可以理解,由于每个IP地址每日访问时间分布按照小时分布,所以,确定的一日中最常被访问时间段可以为间隔为1小时的任意两个小时之间的时间段。例如一日中的13点至14点。相应地,一日中非最常被访问时间段为一日中最常被访问时间段之外的时间段,一日中24时可以有多个非最常被访问时间段,非最常被访问时间段的时间段间隔可以为1小时,例如,1点-2点,11点-12点等。
具体地,非最常被访问时间段平均被访问次数和最常被访问时间段平均被访问次数可以通过第一时间段平均被访问次数获得。例如,最常被访问时间段为一日中13点至14点,非最常被访问时间段为其他23个小时,则可以直接通过第一时间段平均被访问次数获得,因为第一时间段平均被访问次数为一日24时中任意两个小时之间的时间段平均被访问次数。也就是说,非最常被访问时间段对应的预设访问阈值和最常被访问时间段对应的预设访问阈值是文件在一日中各小时对应的预设访问阈值。
根据公式1得到的非最常被访问时间段对应的预设访问阈值,与每个IP地址平均日访问次数关系密切,可以理解,非最常被访问时间段对应的预设访问阈值可以是每个IP地址在非最常被访问时间段访问文件频率的正常上限。例如,IP地址1在14点至15点对应的预设访问阈值为10,其中,14点至15点为非最常被访问时间段,若IP地址1在14点至15点访问文件次数为12,该小时文件访问频率就为12,则超过预设访问阈值,文件访问流量异常。
根据公式2得到的最常被访问时间段对应的预设访问阈值,则与每个IP地址平均日访问次数无关,其适用于每个IP地址。
本发明实施例中预设访问阈值的确定,不仅考虑了历史访问数量,而且从时间维度上考虑了各时间段的历史访问情况,以及访问者的访问规律,使得预设访问阈值更加准确。
图2是本发明实施例提供的一种防御网络攻击的蜜罐构建装置的结构示意图,如图2所示,该防御网络攻击的蜜罐构建装置200可以包括:检测模块210、第一确定模块220、第二确定模块230、构建模块240。
其中,检测模块210用于检测网络流量。第一确定模块220,用于当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型。第二确定模块230,用于根据攻击类型确定与攻击类型对应的检测函数的容器镜像。构建模块240,用于对容器镜像实例化,构建运行检测函数的容器用作蜜罐。
在一些实施例中,网络流量包括文件访问流量和/或暴力破解流量。
在一些实施例中,网络流量异常包括:文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,服务包括SSH服务、Tomcat服务、MySQL服务中的至少一种。
在一些实施例中,装置200还包括:第三确定模块250,用于在检测网络流量之前,获取文件在历史时间段中每次被访问的时间和访问者的IP地址。历史时间段以日为单位,包括一日或多日,统计历史时间段中每日文件的被访问总次数,每日以小时为单位,统计每日每小时文件的被访问次数。统计每个IP地址每日访问文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布。根据每日文件的被访问总次数,每日每小时文件的被访问次数,每个IP地址每日访问文件次数和每个IP地址每日访问时间分布确定预设访问阈值。
在一些实施例中,攻击类型包括:端口探测攻击、SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
本发明实施例的防御网络攻击的蜜罐构建装置,能够根据网络流量确定网络是否异常,并根据异常时的网络流量特征确定攻击类型,针对攻击类型构建对应的蜜罐,不仅能够提升蜜罐的灵活性,还可以避免蜜罐被攻陷后的网络威胁。
可以理解的是,本发明实施例的防御网络攻击的蜜罐构建装置200,可以对应于本发明实施例图1中的防御网络攻击的蜜罐构建方法的执行主体,防御网络攻击的蜜罐构建装置200的各个模块/单元的操作和/或功能的具体细节可以参见上述本发明实施例图1的防御网络攻击的蜜罐构建方法中的相应部分的描述,为了简洁,在此不再赘述。
图3是本发明实施例提供的一种防御网络攻击的蜜罐构建设备的硬件结构示意图。
如图3所示,本实施例中的防御网络攻击的蜜罐构建设备300包括输入设备301、输入接口302、中央处理器303、存储器304、输出接口305、以及输出设备306。其中,输入接口302、中央处理器303、存储器304、以及输出接口305通过总线310相互连接,输入设备301和输出设备306分别通过输入接口302和输出接口305与总线310连接,进而与防御网络攻击的蜜罐构建设备300的其他组件连接。
具体地,输入设备301接收来自外部的输入信息,并通过输入接口302将输入信息传送到中央处理器303;中央处理器303基于存储器304中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器304中,然后通过输出接口305将输出信息传送到输出设备306;输出设备306将输出信息输出到防御网络攻击的蜜罐构建设备300的外部供用户使用。
也就是说,图3所示的防御网络攻击的蜜罐构建设备也可以被实现为包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1和图2描述的防御网络攻击的蜜罐构建方法和装置。
在一个实施例中,图3所示的防御网络攻击的蜜罐构建设备300包括:存储器304,用于存储程序;处理器303,用于运行存储器中存储的程序,以执行本发明实施例提供的防御网络攻击的蜜罐构建方法。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的防御网络攻击的蜜罐构建方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,做出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、只读存储器(Read-Only Memory,ROM)、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(Radio Frequency,RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (12)
1.一种防御网络攻击的蜜罐构建方法,其特征在于,所述方法包括:
检测网络流量;
当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;
根据所述攻击类型确定与所述攻击类型对应的检测函数的容器镜像;
对所述容器镜像实例化,构建运行所述检测函数的容器用作蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述网络流量包括文件访问流量和/或暴力破解流量。
3.根据权利要求2所述的方法,其特征在于,所述网络流量异常包括:
文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,所述服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。
4.根据权利要求3所述的方法,其特征在于,在所述检测网络流量之前,所述方法还包括:
获取所述文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;
所述历史时间段以日为单位,包括一日或多日,统计所述历史时间段中每日所述文件的被访问总次数,每日以小时为单位,统计每日每小时所述文件的被访问次数;
统计每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;
根据每日所述文件的被访问总次数,每日每小时所述文件的被访问次数,每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布确定所述预设访问阈值。
5.根据权利要求1所述的方法,其特征在于,所述攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
6.一种防御网络攻击的蜜罐构建装置,其特征在于,所述装置包括:
检测模块,用于检测网络流量;
第一确定模块,用于当网络流量异常时,根据网络流量异常时的网络流量特征确定网络遭受攻击的攻击类型;
第二确定模块,用于根据所述攻击类型确定与所述攻击类型对应的检测函数的容器镜像;
构建模块,用于对所述容器镜像实例化,构建运行所述检测函数的容器用作蜜罐。
7.根据权利要求6所述的装置,其特征在于,所述网络流量包括文件访问流量和/或暴力破解流量。
8.根据权利要求7所述的装置,其特征在于,所述网络流量异常包括:
文件的访问频率超过预设访问阈值和/或服务的解析频率超过预设解析阈值,其中,所述服务包括安全外壳协议SSH服务、汤姆猫Tomcat服务、MySQL服务中的至少一种。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第三确定模块,用于在所述检测网络流量之前,获取所述文件在历史时间段中每次被访问的时间和访问者的互联网协议IP地址;
所述历史时间段以日为单位,包括一日或多日,统计所述历史时间段中每日所述文件的被访问总次数,每日以小时为单位,统计每日每小时所述文件的被访问次数;
统计每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布,其中,每个IP地址每日访问时间分布按照小时分布;
根据每日所述文件的被访问总次数,每日每小时所述文件的被访问次数,每个IP地址每日访问所述文件次数和每个IP地址每日访问时间分布确定所述预设访问阈值。
10.根据权利要求6所述的装置,其特征在于,所述攻击类型包括:端口探测攻击、结构化查询语言SQL注入攻击、溢出攻击、拒绝服务攻击、加密攻击、口令探测攻击、泛洪攻击、未知类型攻击中的至少一种。
11.一种防御网络攻击的蜜罐构建设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-5任意一项所述的防御网络攻击的蜜罐构建方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-5任意一项所述的防御网络攻击的蜜罐构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911124693.4A CN110719299A (zh) | 2019-11-18 | 2019-11-18 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911124693.4A CN110719299A (zh) | 2019-11-18 | 2019-11-18 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110719299A true CN110719299A (zh) | 2020-01-21 |
Family
ID=69215192
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911124693.4A Pending CN110719299A (zh) | 2019-11-18 | 2019-11-18 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719299A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
| CN112202771A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 网络流量检测方法、系统、电子设备和存储介质 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
| CN114726610A (zh) * | 2022-03-31 | 2022-07-08 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
| CN115529145A (zh) * | 2021-06-25 | 2022-12-27 | 中国移动通信集团广东有限公司 | 网络安全入侵检测与防护系统及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| CN108897808A (zh) * | 2018-06-16 | 2018-11-27 | 王梅 | 一种在云存储系统中进行数据存储的方法及系统 |
| CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
| WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
-
2019
- 2019-11-18 CN CN201911124693.4A patent/CN110719299A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN107426242A (zh) * | 2017-08-25 | 2017-12-01 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
| CN108897808A (zh) * | 2018-06-16 | 2018-11-27 | 王梅 | 一种在云存储系统中进行数据存储的方法及系统 |
| CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111556068A (zh) * | 2020-05-12 | 2020-08-18 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111556068B (zh) * | 2020-05-12 | 2020-12-22 | 上海有孚智数云创数字科技有限公司 | 基于流量特征识别的分布式拒绝服务的监控和防控方法 |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN112202771A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 网络流量检测方法、系统、电子设备和存储介质 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN112995151B (zh) * | 2021-02-08 | 2023-11-14 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN115529145A (zh) * | 2021-06-25 | 2022-12-27 | 中国移动通信集团广东有限公司 | 网络安全入侵检测与防护系统及方法 |
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
| CN114726610A (zh) * | 2022-03-31 | 2022-07-08 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
| CN114726610B (zh) * | 2022-03-31 | 2024-01-19 | 拉扎斯网络科技(上海)有限公司 | 一种网络数据自动获取器攻击的检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719299A (zh) | 防御网络攻击的蜜罐构建方法、装置、设备及介质 | |
| US11736499B2 (en) | Systems and methods for detecting injection exploits | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| US7941853B2 (en) | Distributed system and method for the detection of eThreats | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| Wu et al. | Collaborative intrusion detection system (CIDS): a framework for accurate and efficient IDS | |
| AU2019216687A1 (en) | Path scanning for the detection of anomalous subgraphs and use of DNS requests and host agents for anomaly/change detection and network situational awareness | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US11349866B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
| US10721148B2 (en) | System and method for botnet identification | |
| RU2769075C1 (ru) | Система и способ активного обнаружения вредоносных сетевых ресурсов | |
| Irum et al. | DDoS detection and prevention in internet of things | |
| Zhao et al. | Measurement integrity attacks against network tomography: Feasibility and defense | |
| Al-Mafrachi | Detection of DDoS attacks against the SDN controller using statistical approaches | |
| US11184369B2 (en) | Malicious relay and jump-system detection using behavioral indicators of actors | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| CN112532617A (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 | |
| Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
| Anbar et al. | NADTW: new approach for detecting TCP worm | |
| CN115622754B (zh) | 一种检测并防止mqtt漏洞的方法、系统和装置 | |
| US20230208857A1 (en) | Techniques for detecting cyber-attack scanners | |
| US11611580B1 (en) | Malware infection detection service for IoT devices | |
| Nagaonkar et al. | Detecting stealthy scans and scanning patterns using threshold random walk |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200121 |