CN111404934B - 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 - Google Patents
基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 Download PDFInfo
- Publication number
- CN111404934B CN111404934B CN202010179905.5A CN202010179905A CN111404934B CN 111404934 B CN111404934 B CN 111404934B CN 202010179905 A CN202010179905 A CN 202010179905A CN 111404934 B CN111404934 B CN 111404934B
- Authority
- CN
- China
- Prior art keywords
- honey
- data
- attacker
- host
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统,本方法包括步骤如下:S01.初始化系统;S02.设置蜜罐主机;S03.模拟主机传输过程,生成蜜标数据;S04.攻击者扫描或截取蜜标数据后传送至攻击者主机;S05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;S06.自动将攻击者的溯源信息回传至数据库服务器;S07.安全管理员依据传回的溯源信息制定安全防范策略,其中S03生成的蜜标数据包括静态蜜标数据和动态蜜标数据,通过采用静态蜜标和动态蜜标模拟系统之间的数据流通,解决了现有技术中蜜标数据真实度低,无法有效诱骗攻击者的问题,增强了蜜罐的真实度,提高了网络溯源追踪的成功率。
Description
技术领域
本发明涉及网络安全技术领域,具体的说是一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统。
背景技术
随着互联网和工控网络的不断发展和应用,政府和企业更加重视信息安全的建设。传统的网络安全防御技术是被动防御,无法对未知的网络攻击提取有效的攻击数据,以此分析和识别攻击来源。
目前业界主要是通过蜜罐技术对网络攻击进行捕获和分析,并结合单一、静态的蜜标数据,通过回传的主机信息和蜜罐捕获的行为数据作关联分析等方式追踪和溯源攻击者。但由于现有蜜罐环境比较纯净、单一,往往是一些初始化版本的操作系统或软件应用系统,容易被攻击者识破导致捕获到的攻击行为数据有限,同时现有的蜜标技术利用的敏感数据颗粒度较粗,诱惑性差,无法有效精准溯源攻击者身份信息。
现有蜜罐、蜜标技术在网络攻击溯源上存在以下缺点:蜜罐环境较纯净、单一,基本没有利用蜜标技术仿真的敏感数据,易被攻击者识别,导致捕获的攻击行为数据有限;蜜标数据仅限静态数据/文件,缺乏动态蜜标流量数据,无法形成动静结合的欺骗机制,吸引攻击者注意并成功获取和利用蜜标数据;蜜标数据颗粒度较粗,仅限文件、程序等,无法覆盖IP、MAC地址、域名或者蜜罐系统的正常业务操作产生的数据、操作日志等等,欺骗性和诱惑性较差,无法有效被攻击者利用;。
中国专利文献CN108156163A公开了一种基于蜜罐技术的多维欺骗诱饵实现系统及方法,包括蜜罐主机、以及蜜罐环境部署模块、攻击行为处理分析模块及诱饵部署模块,在蜜罐主机中设置有攻击行为获取模块及蜜罐,所述蜜罐包括服务诱饵、文件诱饵、网络诱饵及痕迹诱饵,该基于蜜罐技术的多维欺骗诱饵实现方法简单,可长时间拖住攻击者,且不影响原有的客户环境,但该技术中蜜标数据为静态数据/文件,缺乏动态流量数据,无法吸引攻击者注意,欺骗性和诱惑性较差,无法有效被攻击者利用,因此成功率较低。
发明内容
针对上述现有技术中存在的问题,本发明公布了一种基于动静结合方式和蜜标技术的网络攻击溯源方法及系统,本发明利用静态蜜标和动态蜜标模拟系统之间的数据流通,解决了现有技术中蜜标数据真实度低,无法有效诱骗攻击者的问题。
本发明所公开的具体的技术方案如下:一种基于动静结合方式和蜜标技术的网络攻击溯源方法,包括如下步骤:
S01.初始化系统;
S02.设置蜜罐主机;
S03.模拟蜜罐主机传输过程,生成蜜标数据;
S04.攻击者扫描或截取蜜标数据后传送至攻击者主机;
S05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;
S06.自动将攻击者的溯源信息回传至数据库服务器;
S07.安全管理员依据传回的溯源信息制定安全防范策略;
所述步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据,所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本组成。
进一步的,所述脚本的作用在于获取攻击者的特征信息或者可以使脚本自动打开摄像头拍照,获取真人头像,将这些溯源信息回传到我们的数据库服务器上。
进一步的,所述特征信息包括ip和mac地址。
进一步的,所述敏感文件包括在蜜罐主机上保存的静态敏感数据和蜜罐主机间产生的动态数据流。
进一步的,所述静态敏感数据包括账号、密码和文件。
进一步的,所述动态数据流通过蜜罐主机间定时备份、定时传输或定时访问的手段产生。
进一步的,所述定时备份的具体操作为在蜜罐主机上执行定时备份脚本,将伪装的蜜标数据备份到其它蜜罐主机上。
进一步的,所述定时传输的具体操作为使用NetCat创建虚假服务器,传输伪装的蜜标数据。
进一步的,所述定时访问的具体操作为通过shell软件定时登录蜜罐主机,执行数据操作,产生操作日志。
基于上述方法,本发明还提供了一种基于动静结合方式和蜜标技术的网络攻击溯源系统,包括:
蜜罐主机单元,用于提供数据存储及传输环境;
蜜标数据部署单元,用于在蜜罐主机上部署静态蜜标数据以及在蜜罐主机之间产生动态蜜标数据;
溯源信息回传模块,用于收集攻击者的溯源信息并将信息回传;
数据库服务器模块,用于接收溯源信息回传模块传输的溯源信息;
多组蜜罐主机模块互相连接,所述蜜标数据部署模块内嵌在所述蜜罐主机模块中,所述溯源信息回传模块设置于蜜标数据部署模块产生的蜜标数据中,当攻击者扫描或截取到蜜标数据部署模块产生的蜜标数据并打开后,所述溯源信息回传模块将攻击者的溯源信息传回至所述数据库服务器模块,安全人员可从数据库服务器模块中获取溯源信息,进行安全防范。
本发明同现有技术相比,具有如下优点:
1)本发明采用动态蜜标和静态蜜标结合的蜜标技术,应用于蜜罐系统敏感数据构建,增强蜜罐的真实度,更加能够诱骗攻击者,提高诱骗成功率。
2)本发明采用动静结合的蜜标技术,能够仿真各种的业务系统间静态数据和动态流量,诱骗攻击者获取蜜标后被顺利利用,实现精准的网络溯源追踪。
附图说明
图1是本发明实施例中一种基于动静结合方式和蜜标技术的网络攻击溯源方法的流程图;
图2是本发明实施例中一种基于动静结合方式和蜜标技术的网络攻击溯源系统的结构图;
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
实施例:
本发明提供了一种基于动静结合方式和蜜标技术的网络攻击溯源方法,包括如下步骤:
S01.初始化系统;
S02.设置蜜罐主机;
S03.模拟蜜罐主机传输过程,生成蜜标数据;
S04.攻击者扫描或截取蜜标数据后传送至攻击者主机;
S05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;
S06.自动将攻击者的溯源信息回传至数据库服务器;
S07.安全管理员依据传回的溯源信息制定安全防范策略;
所述步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据,所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本。
进一步的,所述脚本的作用在于获取攻击者的特征信息或者可以使脚本自动打开摄像头拍照,获取真人头像,将这些溯源信息回传到我们的数据库服务器上。
进一步的,所述特征信息包括ip和mac地址。
进一步的,所述敏感文件包括在蜜罐主机上保存的静态敏感数据和蜜罐主机间产生的动态数据流。
进一步的,所述静态敏感数据包括账号、密码和文件。
进一步的,所述动态数据流通过蜜罐主机间定时备份、定时传输或定时访问的手段产生。
进一步的,所述定时备份的具体操作为在蜜罐主机上执行定时备份脚本,将伪装的蜜标数据备份到其它蜜罐主机上。
进一步的,所述定时传输的具体操作为使用NetCat创建虚假服务器,传输伪装的蜜标数据。
进一步的,所述定时访问的具体操作为通过shell软件定时登录蜜罐主机,执行数据操作,产生操作日志。
结合图1所示,本发明实施例中完整的运行流程,该运行流程分为两个阶段:蜜标获取阶段和蜜标触发阶段。
在蜜标获取阶段,对于静态蜜标,攻击者攻击并潜伏在蜜罐主机之后,能够扫描并获取到蜜罐主机上的敏感数据,并将这些数据回传至攻击者主机,这些敏感数据中包含了我们的静态蜜标。对于动态蜜标,蜜罐主机之间会定时产生动态流量,攻击者可能会截取这些数据流,并回传至攻击者主机,而这些数据流已包含了动态蜜标。至此,蜜标被传送到攻击者主机上了。
进入蜜标触发阶段,攻击者会打开或执行获取到的文件,蜜标会被触发,将攻击者的溯源信息回传到数据库服务器,安全管理员即可根据这些溯源信息做出一定的安全防范策略。
基于上述方法,并结合图2所示,本发明还提供了一种基于动静结合方式和蜜标技术的网络攻击溯源系统,包括:
蜜罐主机单元,用于提供数据存储及传输环境。
蜜标数据部署单元,用于在蜜罐主机上部署静态蜜标数据以及在蜜罐主机之间产生动态蜜标数据。
溯源信息回传模块,用于收集攻击者的溯源信息并将信息回传。
数据库服务器模块,用于接收溯源信息回传模块传输的溯源信息。
多组蜜罐主机模块互相连接,所述蜜标数据部署模块内嵌在所述蜜罐主机模块中,所述溯源信息回传模块设置于蜜标数据部署模块产生的蜜标数据中,当攻击者扫描或截取到蜜标数据部署模块产生的蜜标数据并打开后,所述溯源信息回传模块将攻击者的溯源信息传回至所述数据库服务器模块,安全人员可从数据库服务器模块中获取溯源信息,进行安全防范。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (2)
1.一种基于动静结合方式和蜜标技术的网络攻击溯源方法,包括如下步骤:
S01.初始化系统;
S02.设置蜜罐主机;
S03.模拟蜜罐主机传输过程,生成蜜标数据;
S04.攻击者扫描或截取蜜标数据后传送至攻击者主机;
S05.攻击者打开蜜标数据后,蜜标被触发,收集溯源信息;
S06.自动将攻击者的溯源信息回传至数据库服务器;
S07.安全管理员依据传回的溯源信息制定安全防范策略;
其特征为:步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据,所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本,所述敏感文件包括在蜜罐主机上保存的静态敏感数据和蜜罐主机间产生的动态数据流;所述静态敏感数据包括账号、密码和文件,所述动态数据流通过蜜罐主机间定时备份、定时传输或定时访问的手段产生;所述脚本的作用在于获取攻击者的特征信息或者可以使脚本自动打开摄像头拍照,获取真人头像,将这些溯源信息回传到我们的数据库服务器上;所述特征信息包括ip和mac地址;
所述定时备份的具体操作为在蜜罐主机上执行定时备份脚本,将伪装的蜜标数据备份到其它蜜罐主机上;所述定时传输的具体操作为使用NetCat创建虚假服务器,传输伪装的蜜标数据;所述定时访问的具体操作为通过shell软件定时登录蜜罐主机,执行数据操作,产生操作日志。
2.一种基于动静结合方式和蜜标技术的网络攻击溯源系统,用于实现如权利要求1所述的网络攻击溯源方法,其特征在于,包括:
蜜罐主机单元,用于提供数据存储及传输环境;
蜜标数据部署单元,用于在蜜罐主机上部署静态蜜标数据以及在蜜罐主机之间产生动态蜜标数据;
溯源信息回传模块,用于收集攻击者的溯源信息并将信息回传;
数据库服务器模块,用于接收溯源信息回传模块传输的溯源信息;
多组蜜罐主机模块互相连接,所述蜜标数据部署模块内嵌在所述蜜罐主机模块中,所述溯源信息回传模块设置于蜜标数据部署模块产生的蜜标数据中,当攻击者扫描或截取到蜜标数据部署模块产生的蜜标数据并打开后,所述溯源信息回传模块将攻击者的溯源信息传回至所述数据库服务器模块,安全人员可从数据库服务器模块中获取溯源信息,进行安全防范。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010179905.5A CN111404934B (zh) | 2020-03-16 | 2020-03-16 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010179905.5A CN111404934B (zh) | 2020-03-16 | 2020-03-16 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404934A CN111404934A (zh) | 2020-07-10 |
| CN111404934B true CN111404934B (zh) | 2021-01-29 |
Family
ID=71413547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010179905.5A Active CN111404934B (zh) | 2020-03-16 | 2020-03-16 | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404934B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和系统 |
| CN114205097B (zh) * | 2020-08-28 | 2024-06-21 | 奇安信科技集团股份有限公司 | 基于蜜罐系统的下载处理方法、装置和电子设备 |
| CN112070161B (zh) * | 2020-09-08 | 2024-04-16 | 南方电网科学研究院有限责任公司 | 一种网络攻击事件分类方法、装置、终端及存储介质 |
| CN113645242B (zh) * | 2021-08-11 | 2022-11-22 | 杭州安恒信息技术股份有限公司 | 一种蜜罐溯源方法、装置及相关设备 |
| CN113676472B (zh) * | 2021-08-18 | 2023-05-02 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
| CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制系统 |
| CN114567472B (zh) * | 2022-02-22 | 2024-07-09 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN115022077B (zh) * | 2022-06-30 | 2023-05-16 | 绿盟科技集团股份有限公司 | 网络威胁防护方法、系统及计算机可读存储介质 |
| CN115134166B (zh) * | 2022-08-02 | 2024-01-26 | 软极网络技术(北京)有限公司 | 一种基于蜜洞的攻击溯源方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN107046535A (zh) * | 2017-03-24 | 2017-08-15 | 中国科学院信息工程研究所 | 一种异常感知和追踪方法及系统 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
| US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
-
2020
- 2020-03-16 CN CN202010179905.5A patent/CN111404934B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| CN107046535A (zh) * | 2017-03-24 | 2017-08-15 | 中国科学院信息工程研究所 | 一种异常感知和追踪方法及系统 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404934A (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111404934B (zh) | 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统 | |
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| US9356957B2 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
| US20180375897A1 (en) | Automated network device cloner and decoy generator | |
| US10567432B2 (en) | Systems and methods for incubating malware in a virtual organization | |
| Valeur et al. | Comprehensive approach to intrusion detection alert correlation | |
| US20180183749A1 (en) | Automated message security scanner detection system | |
| US8528091B2 (en) | Methods, systems, and media for detecting covert malware | |
| Torabi et al. | Inferring and investigating IoT-generated scanning campaigns targeting a large network telescope | |
| US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
| US20140101724A1 (en) | Network attack detection and prevention based on emulation of server response and virtual server cloning | |
| US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
| CN111818062A (zh) | 基于Docker的CentOS高交互蜜罐系统及其实现方法 | |
| Rauti et al. | A survey on fake entities as a method to detect and monitor malicious activity | |
| Singh et al. | A honeypot system for efficient capture and analysis of network attack traffic | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
| CN114095264A (zh) | 一种蜜罐系统的高交互溯源方法、装备及硬件 | |
| Mai et al. | J-Honeypot: a Java-based network deception tool with monitoring and intrusion detection | |
| CN113515750B (zh) | 一种高速流量下的攻击检测方法及装置 | |
| Simms et al. | Keylogger detection using a decoy keyboard | |
| Fraunholz et al. | Introducing FALCOM: A multifunctional high-interaction honeypot framework for industrial and embedded applications | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 | |
| Kumawat et al. | Intrusion detection and prevention system using K-learning classification in cloud | |
| CN109274676B (zh) | 基于自学习方式获取木马控制端ip地址的方法、系统和存储设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |