CN111181998A - 面向物联网终端设备的蜜罐捕获系统的设计方法 - Google Patents

面向物联网终端设备的蜜罐捕获系统的设计方法 Download PDF

Info

Publication number
CN111181998A
CN111181998A CN202010020946.XA CN202010020946A CN111181998A CN 111181998 A CN111181998 A CN 111181998A CN 202010020946 A CN202010020946 A CN 202010020946A CN 111181998 A CN111181998 A CN 111181998A
Authority
CN
China
Prior art keywords
attacker
honeypot
password
user name
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010020946.XA
Other languages
English (en)
Other versions
CN111181998B (zh
Inventor
肖甫
陈玉
沙乐天
黄海平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN202010020946.XA priority Critical patent/CN111181998B/zh
Publication of CN111181998A publication Critical patent/CN111181998A/zh
Application granted granted Critical
Publication of CN111181998B publication Critical patent/CN111181998B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提出了一种面向物联网终端设备的蜜罐捕获系统的设计方法,蜜罐通过开放常用端口及服务,管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序,本发明可起到捕获大量攻击样本的效果,分析攻击者的入侵手段和攻击方法,可用于提高物联网终端设备的安全性。

Description

面向物联网终端设备的蜜罐捕获系统的设计方法
技术领域
本发明涉及一种物联网终端设备,具体的说是一种蜜罐捕获系统,属于物联网终端设备安全保护技术领域。
背景技术
随着网络科技时代的来临,新兴的物联网产业的发展势不可挡,迅速融入日常生活的方方面面,在国民产业中占据着重要的地位。在物联网体系结构中,物联网终端设备作为该体系的重要组成部分,受到越来越多的关注。现如今物联网设备已经随处可见,和人们日常生活联系越来越紧密,很大程度上方便了大众生活,常见的物联网设备包括摄像头、路由器、树莓派、智能家居等。同时,物联网设备的数量也越来越多,根据Statista门户网站最新统计发布的数据显示,到2020年物联网设备数量估计将会突破300亿。
科技是一把双刃剑,发展的同时不可避免地会带来各种需要解决的问题。物联网行业迅速兴起的同时,物联网安全问题也日益突出,尤其是物联网终端设备存在的一系列安全隐患,成为物联网行业继续发展的一大阻碍。由于很多物联网设备在出厂时制造商忽略了产品的安全防护设置问题,攻击者趁虚而入利用设备自身存在的漏洞对物联网设备发起大规模网络攻击,造成的危害性极大。2016年美国发生的大规模Mirai僵尸网络事件,几乎使大半个美国的网络系统瘫痪。此次攻击的主要目标是物联网设备智能摄像头和路由器,黑客利用这些设备中存在的漏洞发起大规模僵尸网络攻击。近年来物联网设备中存在的漏洞类型主要为拒绝服务、权限绕过、信息泄露、跨站等,其中权限绕过类型漏洞占比例最大。
物联网终端设备存在的各种安全问题严重阻碍了物联网产业的发展,同时威胁着广大用户的生命财产安全。所以,目前急需进一步在构建物联网终端设备安全防护体系领域有所突破,提高物联网终端设备的安全性。从构建安全防御体系的角度出发,可通过在物联网终端设备中部署蜜罐的方式,迷惑攻击者,引诱攻击者对其发动攻击。通过部署物联网终端蜜罐,一方面可以减慢攻击者对物联网终端设备发起攻击的速度,为安全研究人员赢得足够的应对时间,制定有效措施保护真正的物联网终端设备;另一方面可利用攻击者留下的痕迹捕获攻击者的有用数据信息,例如IP地址,MAC地址,登录使用的用户名和密码等等,分析攻击者的入侵手段和具体流程,从而改进自身的安全防护配置,构建更为有效的物联网终端设备安全防御体系。
发明内容
本发明的目的是提供一种面向物联网终端设备的蜜罐捕获系统的设计方法,可以加强物联网终端设备的防护能力,有效提高物联网终端设备的安全性。
本发明的目的是这样实现的:一种面向物联网终端设备的蜜罐捕获系统的设计方法,用于设计基于Telnet、SSH、HTTP协议的物联网终端蜜罐,
所述Telnet和SSH协议物联网终端蜜罐系统设计方法如下:Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序;
所述HTTP协议物联网终端蜜罐系统设计方法如下:HTTP蜜罐通过开放80号端口,实现HTTP协议;攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐,登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录;攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作,同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。
作为本发明的进一步限定,所述Telnet和SSH协议物联网终端蜜罐系统设计方法具体包括:
a1. 攻击者和Telnet、SSH协议蜜罐的21或22端口建立连接;
a2. 攻击者使用Ubuntu自带的ssh,尝试连接蜜罐;
a3. 蜜罐系统使用系统自带的Nmap对攻击者进行反向扫描,获取攻击者开放的端口信息及运行的服务;
a4. 蜜罐系统结合自身的字典文件进行反复尝试登录,使用弱口令登录攻击者主机;
a5. 蜜罐成功登录攻击者主机的Telnet服务后,开始在攻击者主机上执行相关命令,通过执行命令蜜罐在攻击者主机上下载一些后门程序,下载完成后蜜罐在攻击者主机上执行这些后门程序,成功执行完后门程序后关闭对攻击者主机Telnet服务的连接;
a6. 蜜罐完成反向渗透后,攻击者在登录界面输入和配置文件相匹配的用户名和密码,通过弱口令方式登录蜜罐,攻击者成功登录后可接收到蜜罐系统显示的设备信息;
a7. 攻击者对蜜罐执行事先配置过和未配置的命令,蜜罐对攻击者的命令做出回应,命令已配置则向攻击者返回命令文件中的内容,命令未配置则向攻击者返回此命令无法使用;
a8. 攻击者退出对方的ssh连接。
作为本发明的进一步限定,所述HTTP协议物联网终端蜜罐系统设计方法具体包括:
b1. 攻击者使用浏览器访问HTTP协议蜜罐的80端口,向蜜罐系统发出http请求;
b2. HTTP蜜罐接受攻击者的http请求,同时使用UTF-8格式对请求头和内容字符、响应头和内容字符进行编码;随即返回需要输入用户名和密码的登录界面给攻击者;
b3. 攻击者在登录界面尝试输入用户名和密码,弱口令登录HTTP蜜罐。蜜罐获取攻击者提交的包含用户名和密码的表单;
b4. HTTP蜜罐获取攻击者主机上的session数据,如果session数据为空值,则跳转到b6,如果session数据不为空,则跳转到b5;
b5. 将攻击者提交的用户名和密码表单和b4中获取的session数据进行比较,判断攻击者输入的用户名和密码是否和第一次输入的用户名密码相同;如果本次登录输入的用户名和密码与第一次成功登录输入的完全一致,则可实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果本次登录输入的用户名和密码与第一次成功登录输入的用户名和密码不一致,则提示用户名和密码输入错误的信息,并返回给攻击者;
b6. 在session数据为空的情况下,可判断出此次为攻击者第一次登录该HTTP蜜罐,将攻击者此次提交的用户名和密码与预先配置好的蜜罐的用户名密码库进行匹配,如果攻击者此次输入的用户名和密码在配置好的蜜罐的用户名密码库中,则实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果攻击者输入的用户名和密码不在蜜罐的用户名和密码库中,则提示用户名和密码输入错误的信息,并返回给攻击者;
b7. 攻击者成功登录进入到预先设置好的模拟场景中后,开始在此场景中执行相关操作。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:
(1)目前针对物联网终端的蜜罐技术很是缺乏,本发明从物联网终端设备的特征出发,专门面向物联网终端设备设计了一种物联网终端蜜罐,可用于实现物联网终端设备从被动防御到主动防御的突破;
(2)该方法基于不同的网络协议分别设计了面向物联网终端设备的Telnet协议蜜罐、SSH协议蜜罐和HTTP协议蜜罐,具备足够的迷惑性和引诱力,并且此蜜罐系统能够更加及时准确地记录攻击者的行为;
(3)该蜜罐系统在捕获攻击样本的同时可反向扫描并反向渗透攻击者主机,在攻击者主机上下载并执行后门程序。此蜜罐的设计为物联网终端设备提供了一种更加有效的安全防御手段,可用于提高物联网终端设备的入侵防御能力。
附图说明
图1 蜜罐系统的网络结构图。
图2 蜜罐系统设计的总概要图。
图3 基于Telnet、SSH协议的蜜罐系统设计流程图。
图4 基于HTTP协议的蜜罐系统设计流程图。
具体实施方式
下面结合附图对本发明的技术方案做进一步的详细说明:
本发明基于Telnet、SSH协议和HTTP协议,分别设计了面向物联网终端设备的Telnet、SSH蜜罐和HTTP蜜罐。通过开放不同端口和配置相关文件,设计了一种专门面向物联网终端设备的蜜罐捕获系统。
如图1所示的面向物联网终端设备的蜜罐捕获系统网络结构图中,该蜜罐的设置可及时发现攻击者的行踪,准确记录攻击者的行为,收集攻击者的入侵模式信息,用于进一步研究应对威胁的有效保护措施。
该蜜罐系统设计了基于三种不同协议的物联网终端蜜罐,分别是(一)Telnet协议蜜罐;(二)SSH协议蜜罐;(三)HTTP协议蜜罐,如图2所示。
下面就这三种协议蜜罐设计进行详细的阐述。
(一)Telnet和SSH协议物联网终端蜜罐
Telnet协议是TCP/IP协议中的一种,主要可实现Internet的远程登录服务。SSH协议目前更为可靠,为远程登录会话和其他网络服务提供安全性保障。两种蜜罐虽然针对的是不同的协议,但是实现相同的功能。
Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐。此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应。然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务。蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序。如图3所示,Telnet和SSH协议蜜罐系统设计主要步骤如下:
(1)攻击者和Telnet、SSH协议蜜罐的21或22端口建立连接;
(2)攻击者使用Ubuntu自带的ssh,尝试连接蜜罐;
(3)蜜罐系统使用系统自带的Nmap对攻击者进行反向扫描,获取攻击者开放的端口信息及运行的服务;
(4)蜜罐系统结合自身的字典文件进行反复尝试登录,使用弱口令登录攻击者主机;
(5)蜜罐成功登录攻击者主机的Telnet服务后,开始在攻击者主机上执行相关命令;通过执行命令蜜罐在攻击者主机上下载一些后门程序,下载完成后蜜罐在攻击者主机上执行这些后门程序,成功执行完后门程序后关闭对攻击者主机Telnet服务的连接;
(6)蜜罐完成反向渗透后,攻击者在登录界面输入和配置文件相匹配的用户名和密码,通过弱口令方式登录蜜罐,攻击者成功登录后可接收到蜜罐系统显示的设备信息;
(7)攻击者对蜜罐执行事先配置过和未配置的命令,蜜罐对攻击者的命令做出回应,命令已配置则向攻击者返回命令文件中的内容,命令未配置则向攻击者返回此命令无法使用;
(8)攻击者退出对方的ssh连接。
(二)HTTP协议物联网终端蜜罐
HTTP蜜罐通过开放80号端口,实现HTTP协议。攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐。登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录,这一唯一性设计使得HTTP蜜罐系统的伪装效果更具真实性和吸引力。
攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作。同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。如图4所示,HTTP协议蜜罐系统设计的具体步骤如下:
(1)攻击者使用浏览器访问HTTP协议蜜罐的80端口,向蜜罐系统发出http请求;
(2)HTTP蜜罐接受攻击者的http请求,同时使用UTF-8格式对请求头和内容字符、响应头和内容字符进行编码。随即返回需要输入用户名和密码的登录界面给攻击者;
(3)攻击者在登录界面尝试输入用户名和密码,弱口令登录HTTP蜜罐。蜜罐获取攻击者提交的包含用户名和密码的表单;
(4)HTTP蜜罐获取攻击者主机上的session数据,如果session数据为空值,则跳转到(6),如果session数据不为空,则跳转到(5);
(5)将攻击者提交的用户名和密码表单和(4)中获取的session数据进行比较,判断攻击者输入的用户名和密码是否和第一次输入的用户名密码相同。如果本次登录输入的用户名和密码与第一次成功登录输入的完全一致,则可实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果本次登录输入的用户名和密码与第一次成功登录输入的用户名和密码不一致,则提示用户名和密码输入错误的信息,并返回给攻击者;
(6)在session数据为空的情况下,可判断出此次为攻击者第一次登录该HTTP蜜罐,将攻击者此次提交的用户名和密码与预先配置好的蜜罐的用户名密码库进行匹配,如果攻击者此次输入的用户名和密码在配置好的蜜罐的用户名密码库中,则实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果攻击者输入的用户名和密码不在蜜罐的用户名和密码库中,则提示用户名和密码输入错误的信息,并返回给攻击者;
(7)攻击者成功登录进入到预先设置好的模拟场景中后,开始在此场景环境中执行相关操作。
本发明提出的面向物联网终端设备的蜜罐捕获系统的设计方法,设计了三种针对不同网络协议的物联网终端蜜罐,分别是Telnet协议蜜罐、SSH协议蜜罐、HTTP协议蜜罐。Telnet协议蜜罐和SSH协议蜜罐基于不同的协议,但是实现的功能相同。分别通过开放21号、22号端口,攻击者在登录界面输入正确的用户名和密码后成功登录蜜罐,此时蜜罐将返回协议及相关设备信息给攻击者,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应。并且蜜罐将使用Nmap对攻击者主机进行反向扫描,获得攻击者开放的端口和运行的服务等信息,通过弱口令成功登录攻击者主机后再进行反向渗透,在攻击者主机上下载并执行后门程序。HTTP协议蜜罐通过开放80端口,攻击者通过浏览器访问80端口后,进入登录界面,当攻击者输入和配置文件匹配的用户名和密码后即可成功实现弱口令登录,让攻击者进入事先模拟好的场景中,蜜罐能及时准确地记录攻击者的各种行为,包括攻击者的IP地址、使用的用户名和密码、执行的操作等等。此蜜罐的设计专门面向物联网终端设备,针对提高物联网终端设备安全性而提出,实现的主要功能如下:
充分迷惑引诱攻击者:Telnet和SSH协议蜜罐中攻击者可通过弱口令登录蜜罐系统,同时蜜罐会对攻击者发出的命令做出回应;HTTP协议蜜罐中攻击者成功登录后让攻击者进入到事先模拟好的场景中,达到迷惑攻击者的效果。
准确记录攻击者行为:攻击者用弱口令成功登录后,物联网终端蜜罐可及时准确地记录攻击者的行为,包括攻击者的IP地址、MAC地址、执行的操作等等。
反向扫描攻击者:物联网终端蜜罐使用自带的Nmap反向扫描攻击者主机,获取攻击者主机上开放的端口和运行的服务等信息。
反向渗透攻击者:使用弱口令成功登录攻击者主机,并在攻击者主机上运行命令下载并执行后门程序。
以上所述,仅为本发明中的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可理解想到的变换或替换,都应涵盖在本发明的包含范围之内,因此,本发明的保护范围应该以权利要求书的保护范围为准。

Claims (3)

1.一种面向物联网终端设备的蜜罐捕获系统的设计方法,用于设计基于Telnet、SSH、HTTP协议的物联网终端蜜罐,其特征在于:
所述Telnet和SSH协议物联网终端蜜罐系统设计方法如下:Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序;
所述HTTP协议物联网终端蜜罐系统设计方法如下:HTTP蜜罐通过开放80号端口,实现HTTP协议;攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐,登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录;攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作,同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。
2.根据权利要求1所述的面向物联网终端设备的蜜罐捕获系统的设计方法,其特征在于,所述Telnet和SSH协议物联网终端蜜罐系统设计方法具体包括:
a1. 攻击者和Telnet、SSH协议蜜罐的21或22端口建立连接;
a2. 攻击者使用Ubuntu自带的ssh,尝试连接蜜罐;
a3. 蜜罐系统使用系统自带的Nmap对攻击者进行反向扫描,获取攻击者开放的端口信息及运行的服务;
a4. 蜜罐系统结合自身的字典文件进行反复尝试登录,使用弱口令登录攻击者主机;
a5. 蜜罐成功登录攻击者主机的Telnet服务后,开始在攻击者主机上执行相关命令,通过执行命令蜜罐在攻击者主机上下载一些后门程序,下载完成后蜜罐在攻击者主机上执行这些后门程序,成功执行完后门程序后关闭对攻击者主机Telnet服务的连接;
a6. 蜜罐完成反向渗透后,攻击者在登录界面输入和配置文件相匹配的用户名和密码,通过弱口令方式登录蜜罐,攻击者成功登录后可接收到蜜罐系统显示的设备信息;
a7. 攻击者对蜜罐执行事先配置过和未配置的命令,蜜罐对攻击者的命令做出回应,命令已配置则向攻击者返回命令文件中的内容,命令未配置则向攻击者返回此命令无法使用;
a8. 攻击者退出对方的ssh连接。
3.根据权利要求1所述的面向物联网终端设备的蜜罐捕获系统的设计方法,其特征在于,所述HTTP协议物联网终端蜜罐系统设计方法具体包括:
b1. 攻击者使用浏览器访问HTTP协议蜜罐的80端口,向蜜罐系统发出http请求;
b2. HTTP蜜罐接受攻击者的http请求,同时使用UTF-8格式对请求头和内容字符、响应头和内容字符进行编码;随即返回需要输入用户名和密码的登录界面给攻击者;
b3. 攻击者在登录界面尝试输入用户名和密码,弱口令登录HTTP蜜罐;蜜罐获取攻击者提交的包含用户名和密码的表单;
b4. HTTP蜜罐获取攻击者主机上的session数据,如果session数据为空值,则跳转到b6,如果session数据不为空,则跳转到b5;
b5. 将攻击者提交的用户名和密码表单和b4中获取的session数据进行比较,判断攻击者输入的用户名和密码是否和第一次输入的用户名密码相同;如果本次登录输入的用户名和密码与第一次成功登录输入的完全一致,则可实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果本次登录输入的用户名和密码与第一次成功登录输入的用户名和密码不一致,则提示用户名和密码输入错误的信息,并返回给攻击者;
b6. 在session数据为空的情况下,可判断出此次为攻击者第一次登录该HTTP蜜罐,将攻击者此次提交的用户名和密码与预先配置好的蜜罐的用户名密码库进行匹配,如果攻击者此次输入的用户名和密码在配置好的蜜罐的用户名密码库中,则实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果攻击者输入的用户名和密码不在蜜罐的用户名和密码库中,则提示用户名和密码输入错误的信息,并返回给攻击者;
b7. 攻击者成功登录进入到预先设置好的模拟场景中后,开始在此场景中执行相关操作。
CN202010020946.XA 2020-01-09 2020-01-09 面向物联网终端设备的蜜罐捕获系统的设计方法 Active CN111181998B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010020946.XA CN111181998B (zh) 2020-01-09 2020-01-09 面向物联网终端设备的蜜罐捕获系统的设计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010020946.XA CN111181998B (zh) 2020-01-09 2020-01-09 面向物联网终端设备的蜜罐捕获系统的设计方法

Publications (2)

Publication Number Publication Date
CN111181998A true CN111181998A (zh) 2020-05-19
CN111181998B CN111181998B (zh) 2022-07-26

Family

ID=70649386

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010020946.XA Active CN111181998B (zh) 2020-01-09 2020-01-09 面向物联网终端设备的蜜罐捕获系统的设计方法

Country Status (1)

Country Link
CN (1) CN111181998B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112422541A (zh) * 2020-11-09 2021-02-26 广州锦行网络科技有限公司 一种基于蜜罐系统的信息采集辅助方法
CN113411339A (zh) * 2021-06-22 2021-09-17 北京邮电大学 基于零因子图序列的密码文件泄露的检测方法
CN113810423A (zh) * 2021-09-22 2021-12-17 中能融合智慧科技有限公司 一种工控蜜罐
CN114025357A (zh) * 2021-11-04 2022-02-08 中国工商银行股份有限公司 Wi-Fi近源攻击捕获方法及装置、设备、介质和程序产品
CN114205097A (zh) * 2020-08-28 2022-03-18 奇安信科技集团股份有限公司 基于蜜罐系统的下载处理方法、装置和电子设备
CN114285626A (zh) * 2021-12-21 2022-04-05 北京知道创宇信息技术股份有限公司 一种蜜罐攻击链构建方法及蜜罐系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471783A (zh) * 2007-12-28 2009-07-01 航天信息股份有限公司 主动网络防御方法和系统
CN101567887A (zh) * 2008-12-25 2009-10-28 中国人民解放军总参谋部第五十四研究所 一种漏洞拟真超载蜜罐方法
CN104978520A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种基于实际业务系统的蜜罐数据构造方法及系统
US20190068640A1 (en) * 2017-08-31 2019-02-28 International Business Machines Corporation On-demand injection of software booby traps in live processes
US20190081980A1 (en) * 2017-07-25 2019-03-14 Palo Alto Networks, Inc. Intelligent-interaction honeypot for iot devices
CN109495472A (zh) * 2018-11-19 2019-03-19 南京邮电大学 一种针对内外网摄像头配置弱口令漏洞的防御方法
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101471783A (zh) * 2007-12-28 2009-07-01 航天信息股份有限公司 主动网络防御方法和系统
CN101567887A (zh) * 2008-12-25 2009-10-28 中国人民解放军总参谋部第五十四研究所 一种漏洞拟真超载蜜罐方法
CN104978520A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种基于实际业务系统的蜜罐数据构造方法及系统
US20190081980A1 (en) * 2017-07-25 2019-03-14 Palo Alto Networks, Inc. Intelligent-interaction honeypot for iot devices
US20190068640A1 (en) * 2017-08-31 2019-02-28 International Business Machines Corporation On-demand injection of software booby traps in live processes
CN109495472A (zh) * 2018-11-19 2019-03-19 南京邮电大学 一种针对内外网摄像头配置弱口令漏洞的防御方法
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
程序园: "《http://www.voidcn.com/article/p-kqrrqtwt-qo.html》", 13 September 2014 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205097A (zh) * 2020-08-28 2022-03-18 奇安信科技集团股份有限公司 基于蜜罐系统的下载处理方法、装置和电子设备
CN112422541A (zh) * 2020-11-09 2021-02-26 广州锦行网络科技有限公司 一种基于蜜罐系统的信息采集辅助方法
CN113411339A (zh) * 2021-06-22 2021-09-17 北京邮电大学 基于零因子图序列的密码文件泄露的检测方法
CN113810423A (zh) * 2021-09-22 2021-12-17 中能融合智慧科技有限公司 一种工控蜜罐
CN114025357A (zh) * 2021-11-04 2022-02-08 中国工商银行股份有限公司 Wi-Fi近源攻击捕获方法及装置、设备、介质和程序产品
CN114025357B (zh) * 2021-11-04 2024-02-02 中国工商银行股份有限公司 Wi-Fi近源攻击捕获方法及装置、设备、介质和程序产品
CN114285626A (zh) * 2021-12-21 2022-04-05 北京知道创宇信息技术股份有限公司 一种蜜罐攻击链构建方法及蜜罐系统
CN114285626B (zh) * 2021-12-21 2023-10-13 北京知道创宇信息技术股份有限公司 一种蜜罐攻击链构建方法及蜜罐系统

Also Published As

Publication number Publication date
CN111181998B (zh) 2022-07-26

Similar Documents

Publication Publication Date Title
CN111181998B (zh) 面向物联网终端设备的蜜罐捕获系统的设计方法
Siboni et al. Security testbed for Internet-of-Things devices
US8490190B1 (en) Use of interactive messaging channels to verify endpoints
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
WO2017131963A1 (en) Using high-interaction networks for targeted threat intelligence
Tripathi et al. Raspberry pi as an intrusion detection system, a honeypot and a packet analyzer
US10630708B2 (en) Embedded device and method of processing network communication data
US10243983B2 (en) System and method for using simulators in network security and useful in IoT security
Shobana et al. Iot malware: An analysis of iot device hijacking
Ajmal et al. Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks
Ramakrishnan et al. Pandora: An IOT Based Intrusion Detection Honeypot with Real-time Monitoring
Nagy et al. Router-based IoT Security using Raspberry Pi
Diebold et al. A honeypot architecture for detecting and analyzing unknown network attacks
Louis Detection of session hijacking
Balogh et al. LAN security analysis and design
Aguirre-Anaya et al. A new procedure to detect low interaction honeypots
Hoffstadt et al. Improved detection and correlation of multi-stage VoIP attack patterns by using a Dynamic Honeynet System
Mukhopadhyay et al. A Prototype of IoT based Remote Controlled Car for Pentesting Wireless Networks
Berner Where’s My Car? Ethical Hacking of a Smart Garage
Mayorga et al. Honeypot network configuration through cyberattack patterns
Safarik et al. Malicious traffic monitoring and its evaluation in VoIP infrastructure
Zhai et al. Research on applications of honeypot in Campus Network security
Vadaviya et al. Malware detection using honeypot and malware prevention
CN114567479B (zh) 一种智能设备安全管控加固及监测预警方法
Oliva et al. Smart firewall for IoT and Smart Home applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant