CN111404935B - 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 - Google Patents
基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 Download PDFInfo
- Publication number
- CN111404935B CN111404935B CN202010179931.8A CN202010179931A CN111404935B CN 111404935 B CN111404935 B CN 111404935B CN 202010179931 A CN202010179931 A CN 202010179931A CN 111404935 B CN111404935 B CN 111404935B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- service port
- service
- honeypot system
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及网络安全技术领域,具体的说是一种基于攻击行为分析的蜜罐服务端口自适应应用方法及系统,本发明依据攻击者的行为数据分析,针对特定业务区域蜜罐系统的应用服务端口进行自动化改变,能够自适应某特定业务区域的攻击态势和攻击类型,提升应用服务端口的部署效率,精准捕获符合该业务区域的攻击类型,结合攻击者的攻击行为特征和特点进行实时、高效的变换诱捕服务端口,大大降低了系统运行时耗,提升蜜罐系统的诱捕率和真实性。
Description
技术领域
本发明涉及网络安全技术领域,具体的说是一种基于攻击行为分析的蜜罐服务端口自适应应用方法及系统。
背景技术
蜜罐技术一般伪装成留有漏洞的网络服务和业务应用,并对外开设应用服务端口,以便诱捕攻击者主动攻击,并对其进行监控,记录其攻击行为和数据。
自适应就是在数据处理和分析过程中,根据数据特征自动调整处理方法和约束条件,使其与所处理数据的统计分布特征、结构特征相适应,以取得最佳的处理效果的过程。
现有蜜罐技术在诱捕攻击者的时候,会在特定业务区域部署蜜罐系统,并开设与蜜罐应用服务相关的服务端口,来引诱该区域的攻击者进行访问和连接,从而将攻击者的行为数据进行记录。由于不同的蜜罐系统在面对不同业务区域都会开放不同的应用服务端口,而应用服务端口应当不断具备符合业务应用场景和攻击者可利用场景的漏洞,以此来增加蜜罐系统的真实性和诱捕性。目前技术通过人工的方法,仅依据业务应用,手动添加、删除、开启、关闭蜜罐的应用服务端口,来适应该业务区域蜜罐伪装的业务应用。
中国专利文献CN109361670A公开了一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法,装置包括虚拟蜜罐、中央控制系统和云部署平台;本发明利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击特征上传到中央控制系统;中央控制系统对上传的攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。本发明采用低交互性蜜罐与基于漏洞服务或系统的高交互性蜜罐配合,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或系统的高交互蜜罐,与基于漏洞服务或系统的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获,但该发明针对大量不同类型的业务区域时,需对应设置多个相应业务区域的高交互蜜罐,当大量不同类型的攻击者进行攻击时,低交互性蜜罐须同时处理大量数据,并转移流量,增加了系统运行时耗,增加了被攻击者识破的几率,同时攻击者的攻击行为发生变化时无法及时变更高交互蜜罐系统,进一步增加了被识破几率。
发明内容
针对上述现有技术中存在的问题,本发明公布了一种基于攻击行为分析的蜜罐服务端口自适应应用方法及系统,本发明依据攻击者的行为数据分析,针对特定业务区域蜜罐系统的应用服务端口进行自动化改变,能够自适应某特定业务区域的攻击态势和攻击类型,提升应用服务端口的部署效率,精准捕获符合该业务区域的攻击类型,大大降低了系统运行时耗,提升蜜罐系统的诱捕率和真实性。
本发明所公开的具体的技术方案如下:一种基于攻击行为分析的蜜罐服务端口自适应应用方法,包括如下步骤:
S01.蜜罐系统诱捕攻击者进行持续攻击,不同的攻击者具有不同的攻击目的和目标应用端口;
S02.蜜罐系统收集并传输攻击者行为数据,至蜜罐系统数据分析端;
S03.蜜罐系统数据分析端根据判定条件对采集到的攻击者行为数据进行判定;
S04.蜜罐系统数据分析端将分析判定结果输出至蜜罐系统控制端,蜜罐系统控制端根据分析判定结果下发对应的服务端口应用策略脚本,实现特定蜜罐系统服务端口的开启和关闭;
S05.蜜罐系统自动运行策略脚本,实现特定服务端口的持续开启或立即关闭;
S06.蜜罐系统持续采集攻击者行为数据进行分析,并进行循环判定,实现服务端口的自适应性应用。
进一步的,所述步骤S03中判定方法为将每个服务端口中设定的判定项1、判定项2、判定项3、判定项4与攻击行为数据进行比对,依次根据判断条件进行判定,基于攻击者的攻击行为变化,操作人员可增加或删减判定项,使判定结果更精确。
进一步的,所述判定项1为攻击行为数据中服务端口被利用的时间段是否在规定时间内,满足则进入判定项2。
进一步的,所述判定项2为攻击行为数据中服务端口被利用的时间段数量是否满足规定的数量,满足则进入判定项3。
进一步的,所述判定项3为攻击行为数据中服务端口是否满足规定的利用次数,满足则进入判定项4。
可选的,当所述判定项依次满足条件后,将判定结果输出给蜜罐系统控制端,控制端下发持续开放的策略脚本。
可选的,当所述判定项中一项或多项条件不满足,则将判定结果输出控制端,控制端下发关闭该端口的策略脚本。
基于上述方法,本发明还提供了一种基于攻击行为分析的蜜罐服务端口自适应应用系统,包括:
蜜罐系统单元,具备可被利用的漏洞和服务端口的仿真业务应用主机系统,具备多个常见主流应用服务端口;
攻击者单元,作为特定业务区域的攻击者,会被蜜罐系统诱捕,主动发动持续攻击行为;
蜜罐系统数据分析端,对蜜罐系统采集的行为数据进行分析和判定评估,并输出结果;
蜜罐系统控制端,根据输出结果,下发对应的策略脚本给蜜罐系统,实现特定端口的自动化开启和关闭。
优选的,所述常见主流应用服务端口包括端口号范围为0-65535内的TCP或UDP端口。
本发明同现有技术相比,具有如下优点:
1)本发明中依据攻击者的攻击行为分析结果,决定蜜罐系统服务端口的应用情况,更加符合特定业务区域或环境下的仿真业务应用的实际情况,并符合该区域攻击者的行为特征、目的,提升诱捕几率。
2)本发明中多条件、持续性的循环蜜罐系统服务端口应用判定方式,能够更加针对性、自适应性的开启和关闭蜜罐系统的服务端口。
3)本发明中通过自动化脚本运行的方式来控制蜜罐系统的服务端口,比人工手动更加具备高效和可持续性。
4)本发明中能够将蜜罐应用服务端口从多变少,根据攻击行为特征进行不断筛选并最终实现最合理的端口开放策略。
附图说明
图1是本发明实施例中一种基于攻击行为分析的蜜罐服务端口自适应应用方法的流程图;
图2是本发明实施例中一种基于攻击行为分析的蜜罐服务端口自适应应用系统的结构图;
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
结合图1所示,本发明提供了一种基于攻击行为分析的蜜罐服务端口自适应应用方法,包括如下步骤:
S01.蜜罐系统诱捕攻击者进行持续攻击,不同的攻击者具有不同的攻击目的和目标应用端口;
S02.蜜罐系统收集并传输攻击者行为数据,至蜜罐系统数据分析端;
S03.蜜罐系统数据分析端根据判定条件对采集到的攻击者行为数据进行判定;
S04.蜜罐系统数据分析端将分析判定结果输出至蜜罐系统控制端,蜜罐系统控制端根据分析判定结果下发对应的服务端口应用策略脚本,实现特定蜜罐系统服务端口的开启和关闭;
S05.蜜罐系统自动运行策略脚本,实现特定服务端口的持续开启或立即关闭;
S06.蜜罐系统持续采集攻击者行为数据进行分析,并进行循环判定,实现服务端口的自适应性应用。
所述步骤S03中判定方法为将每个服务端口中设定的判定项1、判定项2、判定项3、判定项4与攻击行为数据进行比对,依次根据判断条件进行判定,基于攻击者的攻击行为变化,操作人员可增加或删减判定项,使判定结果更精确。
所述判定项1为攻击行为数据中服务端口被利用的时间段是否在规定时间内,满足则进入判定项2。
所述判定项2为攻击行为数据中服务端口被利用的时间段数量是否满足规定的数量,满足则进入判定项3。
所述判定项3为攻击行为数据中服务端口是否满足规定的利用次数,满足则进入判定项4。
当所述判定项依次满足条件后,将判定结果输出给蜜罐系统控制端,控制端下发持续开放的策略脚本。
当所述判定项中一项或多项条件不满足,则将判定结果输出控制端,控制端下发关闭该端口的策略脚本。
基于上述方法,并结合图2所示,本发明还提供了一种基于攻击行为分析的蜜罐服务端口自适应应用系统,包括:
蜜罐系统单元,具备可被利用的漏洞和服务端口的仿真业务应用主机系统,具备多个常见主流应用服务端口;
攻击者单元,作为特定业务区域的攻击者,会被蜜罐系统诱捕,主动发动持续攻击行为;
蜜罐系统数据分析端,对蜜罐系统采集的行为数据进行分析和判定评估,并输出结果;
蜜罐系统控制端,根据输出结果,下发对应的策略脚本给蜜罐系统,实现特定端口的自动化开启和关闭。
所述常见主流应用服务端口包括端口号范围为0-65535内的TCP或UDP端口。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (3)
1.一种基于攻击行为分析的蜜罐服务端口自适应应用方法,其特征在于,包括如下步骤:
S01.蜜罐系统诱捕攻击者进行持续攻击,不同的攻击者具有不同的攻击目的和目标应用端口;
S02.蜜罐系统收集并传输攻击者行为数据,至蜜罐系统数据分析端;
S03.蜜罐系统数据分析端根据判定条件对采集到的攻击者行为数据进行判定,
步骤S03中判定方法为将每个服务端口中设定的判定项1、判定项2、判定项3、判定项4与攻击行为数据进行比对,依次根据判断条件进行判定:
所述判定项1为攻击行为数据中服务端口被利用的时间段是否在规定时间内,满足则进入判定项2;
所述判定项2为攻击行为数据中服务端口被利用的时间段数量是否满足规定的数量,满足则进入判定项3;
所述判定项3为攻击行为数据中服务端口是否满足规定的利用次数,满足则进入判定项4;
所述判定项4为攻击行为数据中利用该端口的攻击源数量是否满足规定的数量,满足则进入步骤S04,
S04.蜜罐系统数据分析端将分析判定结果输出至蜜罐系统控制端,蜜罐系统控制端根据分析判定结果下发对应的服务端口应用策略脚本,实现特定蜜罐系统服务端口的开启和关闭,
其中,蜜罐系统控制端下发服务端口应用策略脚本的具体方法为:所述判定项依次满足条件后,将判定结果输出给蜜罐系统控制端,控制端下发持续开放的策略脚本;所述判定项中一项或多项条件不满足,则将判定结果输出控制端,控制端下发关闭该端口的策略脚本;
S05.蜜罐系统自动运行策略脚本,实现特定服务端口的持续开启或立即关闭;
S06.蜜罐系统持续采集攻击者行为数据进行分析,并进行循环判定,实现服务端口的自适应性应用。
2.一种基于攻击行为分析的蜜罐服务端口自适应应用系统,其特征在于,所述系统采用上述权利要求1所述的蜜罐服务端口自适应应用方法,所述系统包括:
蜜罐系统单元,具备可被利用的漏洞和服务端口的仿真业务应用主机系统,具备多个常见主流应用服务端口;
攻击者单元,作为特定业务区域的攻击者,会被蜜罐系统诱捕,主动发动持续攻击行为;
蜜罐系统数据分析端,对蜜罐系统采集的行为数据进行分析和判定评估,并输出结果;
蜜罐系统控制端,根据输出结果,下发对应的策略脚本给蜜罐系统,实现特定端口的自动化开启和关闭。
3.根据权利要求2所述的基于攻击行为分析的蜜罐服务端口自适应应用系统,其特征为:所述常见主流应用服务端口包括端口号范围为0-65535内的TCP或UDP端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010179931.8A CN111404935B (zh) | 2020-03-16 | 2020-03-16 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010179931.8A CN111404935B (zh) | 2020-03-16 | 2020-03-16 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111404935A CN111404935A (zh) | 2020-07-10 |
CN111404935B true CN111404935B (zh) | 2020-12-04 |
Family
ID=71413368
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010179931.8A Active CN111404935B (zh) | 2020-03-16 | 2020-03-16 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111404935B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112152994B (zh) * | 2020-08-19 | 2021-06-25 | 广州锦行网络科技有限公司 | 一种蜜网动态扩缩容的实现方法 |
CN112788043B (zh) * | 2021-01-18 | 2022-06-14 | 广州锦行网络科技有限公司 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
CN114448731B (zh) * | 2022-04-07 | 2022-08-05 | 广州锦行网络科技有限公司 | 蜜罐部署方法、装置、设备及计算机可读介质 |
CN115242452B (zh) * | 2022-06-27 | 2023-07-04 | 上海磐御网络科技有限公司 | 一种批量生成高交互蜜罐靶标的策略方法 |
CN114866353B (zh) * | 2022-07-06 | 2022-09-30 | 广州锦行网络科技有限公司 | 高速公路网络的攻击者诱捕方法、装置以及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
CN110417710A (zh) * | 2018-04-27 | 2019-11-05 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180248896A1 (en) * | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
CN107343011A (zh) * | 2017-09-04 | 2017-11-10 | 北京经纬信安科技有限公司 | 一种基于动态目标防御的内源威胁防御设备 |
CN110753014B (zh) * | 2018-07-23 | 2022-01-11 | 安天科技集团股份有限公司 | 基于流量转发的威胁感知方法、设备、装置及存储介质 |
-
2020
- 2020-03-16 CN CN202010179931.8A patent/CN111404935B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN101119369A (zh) * | 2007-08-14 | 2008-02-06 | 北京大学 | 一种网络数据流的安全检测方法及其系统 |
CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
CN110417710A (zh) * | 2018-04-27 | 2019-11-05 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111404935A (zh) | 2020-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111404935B (zh) | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 | |
CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
CN109361670B (zh) | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 | |
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
US9262635B2 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
JP6450845B2 (ja) | ファイルベースコンテンツが持つリスク判定のための統計分析手法 | |
Shibahara et al. | Efficient dynamic malware analysis based on network behavior using deep learning | |
CN109391602B (zh) | 一种僵尸主机检测方法 | |
US8079083B1 (en) | Method and system for recording network traffic and predicting potential security events | |
Kuppa et al. | Black box attacks on deep anomaly detectors | |
US8775333B1 (en) | Systems and methods for generating a threat classifier to determine a malicious process | |
CN103905373B (zh) | 一种基于云端的拦截网络攻击的方法及其装置 | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
CN107592312A (zh) | 一种基于网络流量的恶意软件检测方法 | |
Singla et al. | How deep learning is making information security more intelligent | |
Qassim et al. | Anomalies Classification Approach for Network-based Intrusion Detection System. | |
CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
Watson | A comparison of header and deep packet features when detecting network intrusions | |
CN112788043B (zh) | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 | |
CN113904795A (zh) | 一种基于网络安全探针的流量快速精确检测方法 | |
Demertzis et al. | Computational intelligence anti-malware framework for android OS | |
Uyyala | DETECTION OF CYBER ATTACK IN NETWORK USING MACHINE LEARNING TECHNIQUES | |
CN113221113B (zh) | 基于分布式机器学习和区块链的物联网DDoS检测、防御方法、检测装置及存储介质 | |
CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
CN109951484B (zh) | 针对机器学习产品进行攻击的测试方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |