CN111431891A - 一种蜜罐部署方法 - Google Patents
一种蜜罐部署方法 Download PDFInfo
- Publication number
- CN111431891A CN111431891A CN202010199841.5A CN202010199841A CN111431891A CN 111431891 A CN111431891 A CN 111431891A CN 202010199841 A CN202010199841 A CN 202010199841A CN 111431891 A CN111431891 A CN 111431891A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- management system
- attacker
- service
- deployment method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种蜜罐部署方法,涉及数字信息的传输技术领域。包括以下步骤:S1.配置文档配置多个指定业务区域的参数;S2.蜜罐管理系统与多个指定业务区域建立连接;S3.通过蜜罐管理系统将诱捕节点程序批量下发到各个指定业务区域,诱捕节点程序自动安装;S4.诱捕节点程序与蜜罐管理系统建立连接。本发明在指定业务区域部署“诱捕节点程序”,可以快速实现“诱捕节点程序”和蜜罐系统连接起来,快速自动化部署好蜜罐,减少人工部署节点环节和蜜罐部署环节。
Description
技术领域
本发明涉及数字信息的传输技术领域,尤其涉及一种蜜罐部署方法。
背景技术
蜜罐技术通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,对攻击行为进行捕获和分析,来了解攻击方攻击意图和动机。
现有蜜罐的部署是由先技术人员下载诱捕节点程序,然后在多个指定的业务区域如Windows、Linux、OS系统等部署诱捕节点程序,部署完成后再在蜜罐系统种增加指定业务区域、调整应用服务,整个部署过程极其繁琐。
公开号为CN107222515A的中国发明“蜜罐部署方法、装置及云端服务器”提供了一种蜜罐部署方法、装置及云端服务器,该方法包括:确定需要安装模拟仿真器的至少一台蜜罐设备;控制建立与所述至少一台蜜罐设备建立通信连接;将所述模拟仿真器的镜像文件发送至所述至少一台蜜罐设备,以供所述至少一台蜜罐设备运行所述模拟仿真器的镜像文件,将所述模拟仿真器安装在所述至少一台蜜罐设备上。此发明提高批量部署蜜罐设备的效率,实现了以自动化的方式部署蜜罐设备,避免在蜜罐设备上通过手动方式登录蜜罐设备,降低蜜罐设备的部署成本。
公开号为CN107809425A的中国发明“一种蜜罐部署系统”提供了一种蜜罐部署系统,包括蜜罐代理客户端、蜜罐代理服务端、内核网络模块和真实蜜罐;蜜罐代理客户端用于和客户端建立连接,将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端;蜜罐代理服务端接收所述客户协议包后,申请代理端口号、注册一条改写记录传递给内核网络模块,内核网络模块根据改写记录将代理IP地址和端口号改写成客户IP地址和端口号,并利用代理IP地址和端口号与真实蜜罐建立连接,传达所述客户协议包。此发明通过蜜罐代理服务端将客户访问引进到真实蜜罐,通过内核网络模块进行代理IP地址和端口号与客户IP地址和端口号改写,部署成本低,并能跟踪到攻击者的IP地址和端口号。
上述两件专利均未解决蜜罐部署繁琐的问题。
现有的蜜罐部署还存在以下两个问题:
第一,蜜罐管理系统通过蜜罐绑定指定业务区域,然后监控指定业务区域蜜罐被攻击者攻击的行为轨迹,并记录攻击数据。蜜罐管理系统自身缺少监控系统运维基础模块,用于管理和记录蜜罐管理系统运行情况。
第二,蜜罐管理系统通过在指定业务区域部署蜜罐和诱饵,蜜罐和诱饵开放服务器端口是根据用户需求配置来开放,由少到多的开放服务端口。因此,蜜罐和诱饵无法实现根据被攻击者攻击行为实现端口自动开放。
发明内容
本发明要解决的技术问题是提供一种快速部署蜜罐的蜜罐部署方法。
为解决上述问题,本发明的技术方案为:
一种蜜罐部署方法,包括以下步骤:
S1.配置文档配置多个指定业务区域的参数;
S2.蜜罐管理系统与多个指定业务区域建立连接;
S3.通过蜜罐管理系统将诱捕节点程序批量下发到各个指定业务区域,诱捕节点程序自动安装;
S4.诱捕节点程序与蜜罐管理系统建立连接。
进一步地,所述步骤S1中,配置文档配置多个指定业务区域的连接账号、密码、IP地址和端口号。
进一步地,所述步骤S1中还包括在配置文档中对指定业务区域进行分类。
进一步地,还包括步骤S5:
开启但不运行多个指定业务区域全部的服务应用端口;
根据攻击者的行为运行相应的服务应用,并关闭其他服务应用端口;
攻击者退出攻击后,开启关闭的服务应用端口。
进一步地,所述步骤S5中,根据攻击者的行为运行攻击者需要的服务应用和诱饵服务应用。
进一步地,还包括步骤S6:监控诱捕节点程序自身运行状态,记录蜜罐管理系统运行日志。
与现有技术相比,本发明具有如下有益效果:
1.本发明在指定业务区域部署“诱捕节点程序”,可以快速实现“诱捕节点程序”和蜜罐系统连接起来,快速自动化部署好蜜罐,减少人工部署节点环节和蜜罐部署环节;
2.本发明根据攻击者的行为数据进行分析,让指定业务区域蜜罐系统的应用服务可以自动化调整,能够适应攻击状态和攻击环境,提升蜜罐系统诱捕效率和真实性;
3.本发明部署运维管理平台功能,监控蜜罐自身运行状态和记录蜜罐系统运行日志,提升运维管理人员日志追踪;
4.本发明使得非技术人员也能够部署蜜罐,部署过程更加简洁,操作更加简单,让运维人员更加快速部署完蜜罐;
5.本发明单点在指定业务区域安装蜜罐,蜜罐管理系统下载“诱捕节点程序”在指定业务区域安装完成,然后蜜罐管理系统根据指定业务区域返回来的信息,在蜜罐绑定节点自动绑定蜜罐,在服务管理模块节点给绑定蜜罐自动开启相对应的服务应用端口;
6.本发明在安装多台蜜罐或者几十台,几百台蜜罐时,在蜜罐管理系统的蜜罐配置管理中配置好指定业务区域的hosts、IP地址、用户和密码,并把指定业务区域进行分类,然后蜜罐管理系统和配置中的指定业务区域进行通讯,完成“诱捕节点程序”下载和安装;
7.本发明蜜罐管理系统的服务管理模块通过开启指定业务区域蜜罐服务应用提供给攻击者攻击,根据攻击者的攻击行为轨迹和需求,指定业务区域蜜罐关闭一些不需要的应用服务端口,按照攻击者的要求独立开启服务端口,从而诱惑攻击者进行攻击,系统可以采集攻击者的信息记录。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
图1为本发明流程示意图;
具体实施方式
为了对本发明的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
实施例:
如图1所示为一种蜜罐部署方法,包括以下步骤:
S1.配置文档配置多个指定业务区域的连接账号、密码、IP地址和端口号等参数,在配置文档中对指定业务区域进行分类;
S2.蜜罐管理系统与多个指定业务区域建立连接;
S3.通过蜜罐管理系统将诱捕节点程序批量下发到各个指定业务区域,诱捕节点程序自动安装;
S4.诱捕节点程序与蜜罐管理系统建立连接;
S5.开启但不运行多个指定业务区域全部的服务应用端口;
根据攻击者的行为运行相应的服务应用,并关闭其他服务应用端口;
攻击者退出攻击后,开启关闭的服务应用端口。
进一步地,根据攻击者的行为运行攻击者需要的服务应用和诱饵服务应用。
S6.监控诱捕节点程序自身运行状态,记录蜜罐管理系统运行日志。
蜜罐管理系统包括web蜜罐管理界面,界面中包含蜜罐详细信息,蜜罐配置管理,蜜罐模板管理,蜜罐“诱捕节点程序”下载,蜜罐批量配置,蜜罐日志管理。
指定业务区域属于Linux系统、Windows系统或OS系统等。
开发程序员在蜜罐管理系统开发“诱捕节点程序”。诱捕节点程序用于安装部署在指定业务区域,然后直接和蜜罐系统通讯,并绑定到蜜罐系统中,无须手工配置绑定操作。通过取消绑定指定业务区域的蜜罐,可以断开诱捕节点程序和蜜罐管理系统的连接。
蜜罐管理系统中设置蜜罐配置文档模块,蜜罐配置文档模块用于部署蜜罐和诱饵。
蜜罐配置文档模块通过配置文档配置多个指定业务区域的hosts、连接账号、密码、IP地址和端口号,使蜜罐管理系统得到指定业务控制区域的访问和控制授权,通过免密码允许访问指定业务区域,与指定业务区域建立通讯连接。
蜜罐管理系统将诱捕节点程序批量下发到各个指定业务区域中,诱捕节点程序自动部署安装。
通过上述过程,可以快速部署几十台或者几百台蜜罐,而不是通过一台台安装“诱捕节点程序”来完成部署,简化了繁琐的安装部署过程,节约了时间。
蜜罐管理系统还包括服务管理模块和服务管理模块节点。
服务管理模块将绑定好的指定业务区域蜜罐全部服务应用端口自动开启,但是不运行起来,全部运行会导致后台占用的资源太多。
当指定业务区域蜜罐被攻击时,蜜罐可以根据攻击者行为需要的服务应用就蜜罐管理系统自动为指定业务区域蜜罐开启运行服务,并可以提供一些充当诱饵的服务应用给攻击者进行攻击,引入攻击者进一步的攻击欲望,从而可以跟踪攻击者最多的信息轨迹。
服务管理模块节点用于识别指定业务区域需要开启哪些端口。
节点可以分类为如Windows、Linux、OS系统等,绑定好已经安装好“诱捕节点程序”的蜜罐,并且把指定业务区域蜜罐服务应用全部绑定。服务管理模块节点通过攻击者的行为来选择性自动开启服务应用给攻击者攻击,诱导攻击者来进行攻击,采集攻击者的信息和轨迹行为。当攻击者退出攻击时,蜜罐自动开启所有服务应用端口,因此可以完成自动化服务应用配置管理。
蜜罐管理系统还包括运维管理模块,监控蜜罐自身运行状态和记录蜜罐系统运行日志,便于运维管理人员进行日志追踪,管理和记录蜜罐管理系统运行情况。
为保证安全,蜜罐管理系统和蜜罐之间的通讯传输需要加密处理,不能产生痕迹被攻击者追踪到,蜜罐配置文档模块配置内容也应加密处理,保证安全性。
本行业的技术人员应该了解,本发明不受上述实施例的限制,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种蜜罐部署方法,其特征在于:包括以下步骤:
S1.配置文档配置多个指定业务区域的参数;
S2.蜜罐管理系统与多个指定业务区域建立连接;
S3.通过蜜罐管理系统将诱捕节点程序批量下发到各个指定业务区域,诱捕节点程序自动安装;
S4.诱捕节点程序与蜜罐管理系统建立连接。
2.根据权利要求1所述的一种蜜罐部署方法,其特征在于:所述步骤S1中,配置文档配置多个指定业务区域的连接账号、密码、IP地址和端口号。
3.根据权利要求2所述的一种蜜罐部署方法,其特征在于:所述步骤S1中还包括在配置文档中对指定业务区域进行分类。
4.根据权利要求3所述的一种蜜罐部署方法,其特征在于:还包括步骤S5:
开启但不运行多个指定业务区域全部的服务应用端口;
根据攻击者的行为运行相应的服务应用,并关闭其他服务应用端口;
攻击者退出攻击后,开启关闭的服务应用端口。
5.根据权利要求4所述的一种蜜罐部署方法,其特征在于:所述步骤S5中,根据攻击者的行为运行攻击者需要的服务应用和诱饵服务应用。
6.根据权利要求5所述的一种蜜罐部署方法,其特征在于:还包括步骤S6:监控诱捕节点程序自身运行状态,记录蜜罐管理系统运行日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010199841.5A CN111431891A (zh) | 2020-03-20 | 2020-03-20 | 一种蜜罐部署方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010199841.5A CN111431891A (zh) | 2020-03-20 | 2020-03-20 | 一种蜜罐部署方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111431891A true CN111431891A (zh) | 2020-07-17 |
Family
ID=71549852
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010199841.5A Pending CN111431891A (zh) | 2020-03-20 | 2020-03-20 | 一种蜜罐部署方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111431891A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885046A (zh) * | 2020-07-21 | 2020-11-03 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
| CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
| CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113535195A (zh) * | 2021-09-14 | 2021-10-22 | 广州锦行网络科技有限公司 | 诱捕节点部署方法、电子装置、管理主机及可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746956A (zh) * | 2012-09-28 | 2014-04-23 | 瞻博网络公司 | 虚拟蜜罐 |
| US20160323315A1 (en) * | 2015-04-29 | 2016-11-03 | Rapid7, Inc. | Preconfigured honey net |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
-
2020
- 2020-03-20 CN CN202010199841.5A patent/CN111431891A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746956A (zh) * | 2012-09-28 | 2014-04-23 | 瞻博网络公司 | 虚拟蜜罐 |
| US20160323315A1 (en) * | 2015-04-29 | 2016-11-03 | Rapid7, Inc. | Preconfigured honey net |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
| CN111885046A (zh) * | 2020-07-21 | 2020-11-03 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
| CN111885046B (zh) * | 2020-07-21 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种基于Linux的透明内网访问方法及装置 |
| CN112272177A (zh) * | 2020-10-23 | 2021-01-26 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
| CN112272177B (zh) * | 2020-10-23 | 2021-08-24 | 广州锦行网络科技有限公司 | 一种批量部署蜜网诱捕节点的方法 |
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113535195A (zh) * | 2021-09-14 | 2021-10-22 | 广州锦行网络科技有限公司 | 诱捕节点部署方法、电子装置、管理主机及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111431891A (zh) | 一种蜜罐部署方法 | |
| US11632388B1 (en) | Real-time vulnerability monitoring | |
| US10609063B1 (en) | Computer program product and apparatus for multi-path remediation | |
| US11757836B2 (en) | Management of internet of things (IoT) by security fabric | |
| CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐系统 | |
| US10104110B2 (en) | Anti-vulnerability system, method, and computer program product | |
| US20160094576A1 (en) | Anti-vulnerability system, method, and computer program product | |
| US9118708B2 (en) | Multi-path remediation | |
| US20150033350A1 (en) | System, method, and computer program product with vulnerability and intrusion detection components | |
| US20060242271A1 (en) | System and method for accessing devices with a console server | |
| KR102017038B1 (ko) | 패스워드 변경 기능이 구비된 웹 어플리케이션의 접근통제 시스템 | |
| US20150033352A1 (en) | System, method, and computer program product for reporting an occurrence in different manners | |
| CN106713420A (zh) | 监控的部署方法及装置 | |
| CN110166547A (zh) | 终端远程访问控制方法 | |
| US20150033353A1 (en) | Operating system anti-vulnerability system, method, and computer program product | |
| US9350752B2 (en) | Anti-vulnerability system, method, and computer program product | |
| CN115150199B (zh) | 一种数据库运维客户端账户管控方法、系统、设备及介质 | |
| KR100674327B1 (ko) | Snmp 프로토콜을 이용한 ip-a/vdsl 장비에대한 자동제어시스템 | |
| Kloiber et al. | Test-beds and guidelines for securing IoT products and for | |
| CN113922984A (zh) | 一种客户端应用的网络访问识别和管控方法 | |
| CN115469883A (zh) | 办公终端管理系统 | |
| CN116055537A (zh) | 一种云端操控物联网设备的方法、装置、设备及介质 | |
| CN115486031A (zh) | 威胁传感器部署和管理 | |
| Linder | Network monitoring of automated harbor terminals: Nätverksövervakning av automatiserade hamnterminaler |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200717 |
|
| RJ01 | Rejection of invention patent application after publication |