CN111526132A - 攻击转移方法、装置、设备及计算机可读存储介质 - Google Patents
攻击转移方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111526132A CN111526132A CN202010271709.0A CN202010271709A CN111526132A CN 111526132 A CN111526132 A CN 111526132A CN 202010271709 A CN202010271709 A CN 202010271709A CN 111526132 A CN111526132 A CN 111526132A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attack
- address
- packet
- attack packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种攻击转移方法、装置、设备及计算机可读存储介质,该攻击转移方法包括以下步骤:若接收到攻击者发送的攻击包,则检测所述攻击包;若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。本发明有效解决了现有蜜网数据控制易被攻击者察觉的难题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种攻击转移方法、装置、设备及计算机可读存储介质。
背景技术
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可称为诱捕网络,由蜜墙和若干个蜜罐组成。蜜网技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于蜜网构成了一个黑客诱捕网络体系架构。
蜜网有着三大核心需求,即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险,其中,数据控制由蜜墙完成。蜜墙对流入的网络包不做任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网向外发起的攻击进行严格控制。数据控制的方法包括攻击包抑制和对外连接数限制两种手段,攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等),检测出从蜜网向外发送的含有攻击特征的攻击数据包,发出报警信息并对攻击数据包加以抛弃或修改,使其不能对第三方网络构成危害,对外连接数限制则主要针对网络探测和拒绝服务攻击。当蜜罐被攻破后,攻击者接着会利用蜜罐作为跳板对外发起嗅探、扫描或攻击,采用现有的数据控制手段,蜜罐向外发起的攻击会被阻止或限制,但容易让攻击者察觉到掉入了蜜罐,从而销毁在蜜罐中记录的数据,并远离这个蜜罐。因此,采用现有的数据控制手段存在容易让攻击者察觉到掉进蜜罐的问题,从而销毁在蜜罐中记录的数据,并远离这个蜜罐。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种攻击转移方法、装置、设备及计算机可读存储介质,旨在解决现有的数据控制手段存在容易让攻击者察觉到掉进蜜罐的技术问题。
为实现上述目的,本发明提供一种攻击转移方法,所述攻击转移方法应用于蜜墙,所述攻击转移方法包括以下步骤:
若接收到攻击者发送的攻击包,则检测所述攻击包;
若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
可选地,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则建立第二会话表,所述第二会话表用于检测与所述攻击包相匹配的所述第一响应包;
若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
可选地,所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤之后,还包括:
获取所述第一蜜罐攻击所述第二蜜罐对应的第二攻击信息,其中,所述第二攻击信息为所述第一蜜罐基于所述攻击包攻击所述第二蜜罐获得的,并将所述第二攻击信息发送至所述蜜墙;
将所述第二攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第二攻击信息,并对所述攻击信息进行分析。
可选地,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
可选地,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则建立第一会话表,所述第一会话表用于检测与所述攻击包相匹配的所述第一响应包;
通过所述第一会话表,检测所述第一响应包是否与所述攻击包相匹配;
若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
可选地,所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤之后,还包括:
获取所述第一蜜罐发送的第一攻击信息,其中,所述第一蜜罐基于所述攻击包确定攻击所述第一蜜罐对应的第一攻击信息,并将所述第一攻击信息发送至所述蜜墙;
将所述第一攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第一攻击信息,并对所述第一攻击信息进行分析。
可选地,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之前,还包括:
配置所述攻击包对应的伪装策略表,其中,所述伪装策略表用于检测所述攻击包,所述伪装策略表包括第一伪装策略表和第二伪装策略表;
所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤包括:
若检测到所述攻击包与所述第一伪装策略表相匹配,则所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤包括:
若检测到所述攻击包与所述第二伪装策略表相匹配,则所述攻击包来源于所述第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐。
此外,为实现上述目的,本发明还提供一种攻击转移装置,所述攻击转移装置包括:
检测模块,用于若接收到攻击者发送的攻击包,则检测所述攻击包;
第一转换模块,用于若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
第二转换模块,用于若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
此外,为实现上述目的,本发明还提供一种攻击转移设备,所述攻击转移设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击转移程序,所述攻击转移程序被所述处理器执行时实现如上述的攻击转移方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击转移程序,所述攻击转移程序被处理器执行时实现如上述的攻击转移方法的步骤。
本发明通过若接收到攻击者发送的攻击包,则检测所述攻击包;若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。在本实施例中,在攻击者以第一蜜罐为跳板攻击第二蜜罐时,将第一蜜罐对应的攻击包中的目的地址转换成第二蜜罐的真实地址,以直接将攻击重定向到第二蜜罐,从而避免攻击者以第一蜜罐为跳板攻击其他终端,即当第一蜜罐被攻占后,主动向外发送的攻击包被重定向到第二蜜罐,由第二蜜罐做攻击响应,让第一蜜罐中的攻击者意识不到攻击被限制或阻挡,并且修改第二蜜罐发送的第二响应包中的源地址,将第二响应包中的源地址修改成攻击包原本的伪装地址,使得第二蜜罐可以准确对攻击做出响应,并且不会被攻击者发现,有效解决了现有蜜网数据控制易被攻击者察觉的难题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的攻击转移设备结构示意图;
图2为本发明攻击转移方法第一实施例的流程示意图;
图3为本发明攻击转移方法对应的一种系统架构示意图;
图4为本发明攻击转移方法中蜜墙结构示意图;
图5为本发明攻击转移方法的一具体应用场景流程图;
图6为本发明攻击转移方法的一具体应用场景示意图;
图7为本发明攻击转移方法的又一具体应用场景示意图;
图8为本发明攻击转移方法的又一具体应用场景示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的攻击转移设备结构示意图。
本发明实施例终端可以是PC,也可以是智能手机、平板电脑、电子书阅读器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该攻击转移设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,攻击转移设备还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。
本领域技术人员可以理解,图1中示出的攻击转移设备结构并不构成对攻击转移设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及攻击转移程序。
在图1所示的攻击转移设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的攻击转移程序。
在本实施例中,攻击转移设备包括:存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的攻击转移程序,其中,处理器1001调用存储器1005中存储的攻击转移程序时,实现上述任一项所述的攻击转移方法的步骤。
本发明还提供一种攻击转移方法,参照图2,图2为本发明攻击转移方法第一实施例的流程示意图。
在本实施例中,该攻击转移方法包括以下步骤:
本实施例应用于一种系统架构,参照图3,如图3所示的一种攻击转移方法对应的一种系统架构示意图,该系统架构由蜜墙200、第一蜜罐201、第二蜜罐202和威胁分析服务器203四部分组成。蜜罐用于引诱攻击者入侵以及攻击,并对其中的攻击行为进行记录;蜜墙用于将匹配伪装策略的攻击包转换目的网络地址后,重定向到蜜罐,并建立反方向的蜜罐应答包会话表,将蜜罐应答包转换源网络地址后,重定向回攻击者。进一步地,第一蜜罐用于给局域网中的攻击者提供伪装服务和网络访问响应。第二蜜罐用于给第一蜜罐提供伪装服务和网络访问响应。其中,如图4所示的攻击转移方法中蜜墙结构示意图,蜜墙200包括解析模块300、会话管理模块301、伪装策略模块302、地址转换模块303。
解析模块300负责解析攻击包,提取攻击包中的头信息,并将这些攻击包的头信息传递给会话管理模块和伪装策略模块,以供会话管理模块查找会话表以及伪装策略模块查找伪装策略表。会话管理模块301负责攻击响应包对应的会话表的建立和查找,根据查找结果,指示地址转换模块转换源地址,如将蜜罐真实地址转换为蜜罐伪装地址,会话表的优先级高于伪装策略表,当会话表匹配后,将不再查找伪装策略表。其中,头信息包括目的MAC地址、源MAC地址、源IP地址、目的IP地址、TCP或UDP的源端口号、目的端口号和IP协议号等。
伪装策略模块302负责伪装策略表查找,当来自局域网或者第一蜜罐的攻击包到达蜜墙后,通过查找伪装策略表来决定将攻击包重定向到哪个蜜罐,并指示地址转换模块对攻击包进行地址的转换,将攻击包访问的蜜罐伪装地址转换为蜜罐真实地址,以便转移攻击蜜罐。
地址转换模块303负责接收会话管理模块和伪装策略模块的动作指示,分别做源地址或目的地址的转换。
步骤S10,若接收到攻击者发送的攻击包,则检测所述攻击包;
一实施例中,局域网任一终端上的攻击者在掉进蜜网中时向蜜网中的蜜墙发送攻击包以对蜜网中的终端基于攻击包进行网络攻击,或者,蜜网中任一终端上的攻击者对内部终端进行网络攻击时向蜜墙发送攻击包,以对蜜网内部其他终端基于攻击包进行网络攻击。在蜜墙接收到攻击者发送的攻击包时,蜜墙中的解析模块对攻击包进行解析,以检测该攻击包。具体地,解析并提取该攻击包中的头信息,对头信息进行检测,包括对头信息中的源地址、目的地址、端口号以及协议号进行检测,其中,源地址包括源MAC地址和源IP地址,目的地址包括目的MAC地址和目的IP地址,端口号包括TCP或UDP的源端口号和目的端口号,协议号包括IP协议号。检测攻击包中的头信息,以检测攻击包来源于局域网或者蜜网中的蜜罐,并且以检测攻击包所要攻击的终端。具体地,检测攻击包头信息中的源地址,以检测攻击包的来源,可以检测攻击包来源于局域网或者蜜网中的蜜罐;检测攻击包头信息中的目的地址,以检测攻击者所要攻击的目的终端。
步骤S20,若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
一实施例中,若蜜墙检测到攻击包头信息中的源地址来源于第一蜜罐,则攻击包来源于第一蜜罐,说明此时攻击者已攻陷第一蜜罐,并以第一蜜罐作为跳板攻击其他的终端。若蜜墙检测到攻击包头信息中的目的地址对应的地址属于第二蜜罐的多个伪装地址中的一个,则蜜墙得知第一蜜罐的攻击目标为第二蜜罐。若蜜墙检测到攻击包头信息中的源地址来源于第一蜜罐以及攻击包头信息中的目的地址对应的地址属于第二蜜罐的第二伪装地址,那么蜜墙中的地址转换模块修改攻击包中的目的地址,将攻击包的目的地址中的第二伪装地址转换成第二蜜罐的第二真实地址,从而蜜墙将攻击包重定向至第二蜜罐,将攻击包发送至目的地址对应的终端,即把攻击包发送至第二蜜罐,从而转移攻击第二蜜罐,避免基于第一蜜罐进行攻击局域网或者蜜网中的其他设备或者主机。
步骤S30,若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
一实施例中,第一蜜罐通过蜜墙将攻击包发送至第二蜜罐,攻击第二蜜罐。在第二蜜罐中,通过蜜罐的伪装服务,回复攻击包对应的第二响应包,向蜜墙发送第二响应包,以供第二蜜罐响应第一蜜罐。蜜墙接收第二蜜罐发送的第二响应包,并对第二响应包进行检测,检测第二响应包头信息中的目的地址与第一蜜罐发送的攻击包中的源地址是否相同,以检测第二响应包是否与攻击包相匹配。若蜜墙检测到第二响应包头信息中的目的地址与攻击包中的源地址相同,则第二响应包与攻击包相匹配,那么蜜墙修改第二响应包中的源地址,将第二响应包的源地址中的第二真实地址转换成第二伪装地址,以供第二蜜罐准确响应攻击者,具体地,蜜墙中的地址转换模块将第二响应包的源地址中的第二真实地址转换成第二伪装地址。由于第二蜜罐向蜜墙发送的第二响应包中的源地址为第二真实地址,因此,为了防止攻击者发现响应包实际上来源于蜜罐,因此需要蜜墙修改第二蜜罐发送的响应包中的源地址,即将第二响应包的源地址中的第二真实地址转换成第二伪装地址。
本实施例提出的攻击转移方法,通过若接收到攻击者发送的攻击包,则检测所述攻击包;若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。在本实施例中,在攻击者以第一蜜罐为跳板攻击第二蜜罐时,将第一蜜罐对应的攻击包中的目的地址转换成第二蜜罐的真实地址,以直接将攻击重定向到第二蜜罐,从而避免攻击者以第一蜜罐为跳板攻击其他终端,即当第一蜜罐被攻占后,主动向外发送的攻击包被重定向到第二蜜罐,由第二蜜罐做攻击响应,让第一蜜罐中的攻击者意识不到攻击被限制或阻挡,并且修改第二蜜罐发送的第二响应包中的源地址,将第二响应包中的源地址修改成攻击包原本的伪装地址,使得第二蜜罐可以准确对攻击做出响应,并且不会被攻击者发现,有效解决了现有蜜网数据控制易被攻击者察觉的难题。
基于第一实施例,提出本发明攻击转移方法的第二实施例,在本实施例中,步骤S10之后,还包括:
步骤a,若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则建立第二会话表,所述第二会话表用于检测与所述攻击包相匹配的所述第一响应包;
步骤b,若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
一实施例中,若蜜墙检测到攻击包头信息中的源地址来源于第一蜜罐以及攻击包头信息中的目的地址对应的地址属于第二蜜罐的第二伪装地址,那么蜜墙中的地址转换模块修改攻击包中的目的地址,将攻击包的目的地址中的第二伪装地址转换成第二蜜罐的第二真实地址,以使从第一蜜罐转移攻击第二蜜罐。同时,蜜墙中的会话管理模块建立第二会话表,该第二会话表用于匹配第二蜜罐发送的响应包,即用于检测蜜墙接收到的响应包是否来源于第二蜜罐。匹配条件是,源IP地址是第二蜜罐的真实IP地址,目的IP地址是攻击包的源IP地址,IP协议号是攻击包的协议号,UDP或TCP源端口号是攻击包的目的端口号,UDP或TCP目的端口号是攻击包的源端口号,匹配动作是,将第二响应包的源MAC地址和源IP地址转换为攻击包的目的MAC地址和目的IP地址,并重定向到第一蜜罐。也就是说,通过第二会话表,检测蜜墙所接收到的响应包是否来源于第二蜜罐,且与攻击包是否相匹配,若检测到第二响应包中的目的地址与攻击包中的源地址一致,则第二响应包用于响应此攻击包;若检测到第二响应包中的源地址为第二蜜罐的真实地址,则说明第二响应包来源于第二蜜罐。若同时满足第二响应包中的目的地址与攻击包中的源地址一致,以及第二响应包中的源地址为第二蜜罐的真实地址,则第二响应包与攻击包相匹配,那么将第二响应包的源地址中的第二真实地址转换成第二伪装地址,并将第二响应包发送至第一蜜罐,以供第二蜜罐准确响应第一蜜罐,令第一蜜罐认为正确收到了被攻击端的响应包,而不会察觉到已落入伪装陷阱。
进一步地,一实施例中,所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤之后,还包括:
步骤c,获取所述第一蜜罐攻击所述第二蜜罐对应的第二攻击信息,其中,所述第二攻击信息为所述第一蜜罐基于所述攻击包攻击所述第二蜜罐获得的,并将所述第二攻击信息发送至所述蜜墙;
步骤d,将所述第二攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第二攻击信息,并对所述攻击信息进行分析。
一实施例中,第一蜜罐中运行内核进程监控,以记录第一蜜罐攻击第二蜜罐的整个过程,以记录第二蜜罐被攻击时对应的攻击信息,且内核进程监控是运行在第一蜜罐的一个隐藏进程。在第一蜜罐基于攻击包攻击第二蜜罐时,内核进程监控时刻记录攻击第二蜜罐对应的第二攻击信息,并将第二攻击信息打包发送至蜜墙。蜜墙接收该第二攻击信息,提取其中的头信息,并将头信息与单向会话表进行匹配,在与单向会话表匹配时,将第二攻击信息发送至与蜜墙关联的威胁分析服务器,以供威胁分析服务器接收第二攻击信息,并对第二攻击信息进行分析,以获得攻击特征。
可以理解的是,第一蜜罐定时将内核进程监控数据通过蜜墙发送给威胁分析服务器,当第一蜜罐通过攻击包攻击第二蜜罐时,第一蜜罐通过蜜墙把相关的第二攻击信息发送至威胁分析服务器。
可以理解的是,在蜜墙中预先配置第一蜜罐到威胁分析服务器的单向会话表。第一蜜罐到威胁分析服务器的单向会话表匹配条件是,源IP地址是第一蜜罐的IP地址,目的IP地址是威胁分析服务器的IP地址,IP协议号是UDP,UDP源端口号和目的端口号是固定值,匹配动作是,将第二攻击信息包转发到威胁分析服务器。那么,在第一蜜罐基于攻击包攻击第二蜜罐时,通过匹配单向会话表,将第二攻击信息发送至与蜜墙关联的威胁分析服务器,以供威胁分析服务器接收第二攻击信息,并对第二攻击信息进行分析,以获得攻击特征。
本实施例提出的攻击转移方法,通过在攻击者以第一蜜罐为跳板攻击第二蜜罐时,将第一蜜罐对应的攻击包中的目的地址转换成第二蜜罐的真实地址,以直接将攻击重定向到第二蜜罐,从而避免攻击者以第一蜜罐为跳板攻击其他终端,即当第一蜜罐被攻占后,主动向外发送的攻击包被重定向到第二蜜罐,由第二蜜罐做攻击响应,让第一蜜罐中的攻击者意识不到攻击被限制或阻挡,并且修改第二蜜罐发送的第二响应包中的源地址,将第二响应包中的源地址修改成攻击包原本的伪装地址,使得第二蜜罐可以准确对攻击做出响应,并且不会被攻击者发现,有效解决了现有蜜网数据控制易被攻击者察觉的难题。
基于第一实施例,提出本发明攻击转移方法的第三实施例,在本实施例中,步骤S10之后,还包括:
步骤e,若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
一实施例中,若蜜墙检测到攻击包头信息中的源地址来源于局域网,则攻击包来源于局域网,若蜜墙检测到攻击包头信息中的目的地址对应的地址属于第一蜜罐的多个伪装地址中的一个,则蜜墙得知攻击者的攻击目标为第一蜜罐。若蜜墙检测到攻击包头信息中的源地址来源于局域网以及攻击包头信息中的目的地址对应的地址属于第一蜜罐的第一伪装地址,那么蜜墙中的地址转换模块修改攻击包中的目的地址,将攻击包的目的地址中的第一伪装地址转换成第一蜜罐的第一真实地址,从而蜜墙将攻击包重定向至第一蜜罐,将攻击包发送至目的地址对应的终端,即把攻击包发送至第一蜜罐,从而攻击者转移攻击第一蜜罐,使攻击者落入第一蜜罐中。
步骤f,若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
一实施例中,攻击者通过蜜墙将攻击包发送至第一蜜罐,第一蜜罐收到蜜墙重定向过来的攻击包。在第一蜜罐中,通过蜜罐的伪装服务,回复攻击包对应的第一响应包,向蜜墙发送第一响应包,以供蜜罐响应攻击者。蜜墙接收第一响应包,并对第一响应包进行检测,检测第一响应包头信息中的目的地址与攻击包中的源地址是否相同,以检测第一响应包是否与攻击包相匹配。若检测到第一响应包头信息中的目的地址与攻击包中的源地址相同,则第一响应包与攻击包相匹配,则修改第一响应包中的源地址,蜜墙中的地址转换模块将第一响应包的源地址中的第一真实地址转换成第一伪装地址,以供第一蜜罐准确响应攻击者。由于第一蜜罐向蜜墙发送的第一响应包中的源地址为第一真实地址,因此,为了防止攻击者发现响应包实际上来源于蜜罐,因此需要蜜墙修改第一蜜罐发送的响应包中的源地址,即将第一响应包的源地址中的第一真实地址转换成第一伪装地址。
进一步地,一实施例中,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
步骤g,若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则建立第一会话表,所述第一会话表用于检测与所述攻击包相匹配的所述第一响应包;
步骤h,通过所述第一会话表,检测所述第一响应包是否与所述攻击包相匹配;
步骤i,若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
一实施例中,若蜜墙检测到攻击包头信息中的源地址来源于局域网以及攻击包头信息中的目的地址对应的地址属于第一蜜罐的第一伪装地址,那么蜜墙中的地址转换模块修改攻击包中的目的地址,将攻击包的目的地址中的第一伪装地址转换成第一蜜罐的第一真实地址。同时,蜜墙中的会话管理模块建立第一会话表,该第一会话表用于匹配第一蜜罐发送的响应包,即用于检测蜜墙接收到的响应包是否来源于第一蜜罐。匹配条件是,源IP地址是第一蜜罐的真实IP地址,目的IP地址是攻击包的源IP地址,IP协议号是攻击包的协议号,UDP或TCP源端口号是攻击包的目的端口号,UDP或TCP目的端口号是攻击包的源端口号,匹配动作是,将第一响应包的源MAC地址和源IP地址转换为攻击包的目的MAC地址和目的IP地址,并重定向到局域网中的攻击者。也就是说,通过第一会话表,检测蜜墙所接收到的响应包是否来源于第一蜜罐,且与攻击包是否相匹配,若检测到第一响应包中的目的地址与攻击包中的源地址一致,则第一响应包用于响应该攻击包;若检测到第一响应包中的源地址为第一蜜罐的真实地址,则说明第一响应包来源于第一蜜罐。若同时满足第一响应包中的目的地址与攻击包中的源地址一致,以及第一响应包中的源地址为第一蜜罐的真实地址,则第一响应包与攻击包相匹配,那么将第一响应包的源地址中的第一真实地址转换成第一伪装地址,并将第一响应包发送至所述攻击者,以供第一蜜罐准确响应攻击者,令攻击者认为正确收到了被攻击端的响应包,而不会察觉到已落入伪装陷阱。
进一步地,一实施例中,所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤之后,还包括:
步骤j,获取所述第一蜜罐发送的第一攻击信息,其中,所述第一蜜罐基于所述攻击包确定攻击所述第一蜜罐对应的第一攻击信息,并将所述第一攻击信息发送至所述蜜墙;
步骤k,将所述第一攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第一攻击信息,并对所述第一攻击信息进行分析。
一实施例中,第一蜜罐中运行内核进程监控,以记录第一蜜罐被攻陷的整个过程,以记录第一蜜罐被攻击时对应的攻击信息,且内核进程监控是运行在第一蜜罐的一个隐藏进程,也可记录以第一蜜罐作为跳板对第二蜜罐发起攻击的整个过程。在攻击者基于攻击包攻击第一蜜罐时,内核进程监控时刻记录攻击第一蜜罐对应的第一攻击信息,并将第一攻击信息打包发送至蜜墙。蜜墙接收该第一攻击信息,提取其中的头信息,并将头信息与单向会话表进行匹配,在与单向会话表匹配时,将第一攻击信息发送至与蜜墙关联的威胁分析服务器,以供威胁分析服务器接收第一攻击信息,并对第一攻击信息进行分析。
可以理解的是,第一蜜罐定时将内核进程监控数据通过蜜墙发送给威胁分析服务器,当攻击者通过攻击包攻击第一蜜罐时,第一蜜罐通过蜜墙把相关的攻击信息发送至威胁分析服务器。
可以理解的是,在蜜墙中预先配置第一蜜罐到威胁分析服务器的单向会话表。第一蜜罐到威胁分析服务器的单向会话表匹配条件是,源IP地址是第一蜜罐的IP地址,目的IP地址是威胁分析服务器的IP地址,IP协议号是UDP,UDP源端口号和目的端口号是固定值,匹配动作是,将攻击信息包转发到威胁分析服务器。那么,在攻击者基于攻击包攻击第一蜜罐时,通过匹配单向会话表,将第一攻击信息发送至与蜜墙关联的威胁分析服务器,以供威胁分析服务器接收第一攻击信息,并对第一攻击信息进行分析,以获得攻击特征。
进一步地,一实施例中,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之前,还包括:
步骤l,配置所述攻击包对应的伪装策略表,其中,所述伪装策略表用于检测所述攻击包,所述伪装策略表包括第一伪装策略表和第二伪装策略表;
步骤m,所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤包括:
若检测到所述攻击包与所述第一伪装策略表相匹配,则所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
步骤n,所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤包括:
若检测到所述攻击包与所述第二伪装策略表相匹配,则所述攻击包来源于所述第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐。
一实施例中,预先在蜜墙配置第一蜜罐和第二蜜罐的伪装策略表,分别为第一伪装策略表和第二伪装策略表。第一蜜罐的伪装策略表即第一伪装策略表的匹配条件是,来自局域网的攻击包,其目的IP地址是第一蜜罐的伪装IP地址,其匹配动作是,将攻击包的目的MAC地址转换为第一蜜罐的真实MAC地址,目的IP地址转换为第一蜜罐的真实IP地址,并重定向到第一蜜罐。第二蜜罐的伪装策略表即第二伪装策略表的匹配条件是,来自第一蜜罐的攻击包,其目的IP地址是第二蜜罐的伪装IP地址,其匹配动作是,将攻击包的目的MAC地址转换为第二蜜罐的真实MAC地址,目的IP地址转换为第二蜜罐的真实IP地址,并重定向到第二蜜罐。
若检测到攻击包与第一伪装策略表相匹配,则第一响应包头信息中的目的地址与攻击包中的源地址相同,则第一响应包与攻击包相匹配,则修改第一响应包中的源地址,蜜墙中的地址转换模块将第一响应包的源地址中的第一真实地址转换成第一伪装地址,以供第一蜜罐准确响应攻击者。由于第一蜜罐向蜜墙发送的第一响应包中的源地址为第一真实地址,因此,为了防止攻击者发现响应包实际上来源于蜜罐,因此需要蜜墙修改第一蜜罐发送的响应包中的源地址,即将第一响应包的源地址中的第一真实地址转换成第一伪装地址。
若在蜜墙检测到攻击包与第二伪装策略表相匹配,则攻击包头信息中的源地址来源于第一蜜罐以及攻击包头信息中的目的地址对应的地址属于第二蜜罐的第二伪装地址,那么蜜墙中的地址转换模块修改攻击包中的目的地址,将攻击包的目的地址中的第二伪装地址转换成第二蜜罐的第二真实地址,从而蜜墙将攻击包重定向至第二蜜罐,将攻击包发送至目的地址对应的终端,即把攻击包发送至第二蜜罐,从而转移攻击第二蜜罐,避免基于第一蜜罐进行攻击局域网或者蜜网中的其他设备或者主机。
本实施例提出的攻击转移方法,通过若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者,在攻击者掉入蜜网中时,将攻击者对应的攻击包中的目的地址转换成第一蜜罐的真实地址,以直接将攻击重定向到第一蜜罐,并且修改第一蜜罐发送的第一响应包中的源地址,将响应包中的源地址修改成攻击包原本的伪装地址,从而使得第一蜜罐可以准确对攻击做出响应,不会被攻击者发现。
基于第一实施例、第二实施例以及第三实施例,提出本发明攻击转移方法的第三实施例,第一蜜罐以蜜罐1为参考进行说明,第二蜜罐以蜜罐2为参考进行说明,参照图5的一种具体应用场景流程图,在本实施例中,包括:
步骤100:配置蜜罐1和蜜罐2的伪装策略表,配置蜜罐1到威胁分析服务器的单向会话表。
蜜罐1的伪装策略表的匹配条件是,来自用户局域网的攻击包,其目的IP地址是蜜罐1的伪装IP地址,其匹配动作是,将攻击包的目的MAC地址转换为蜜罐1的MAC地址,目的IP地址转换为蜜罐1的的IP地址,并重定向到蜜罐1。蜜罐2的伪装策略表的匹配条件是,来自蜜罐1的攻击包,其目的IP地址是蜜罐2的伪装IP地址,其匹配动作是,将攻击包的目的MAC地址转换为蜜罐2的MAC地址,目的IP地址转换为蜜罐2的的IP地址,并重定向到蜜罐2。蜜罐1到威胁分析服务器的单向会话表匹配条件是,源IP地址是蜜罐1的IP地址,目的IP地址是威胁分析服务器的IP地址,IP协议号是UDP,UDP源端口号和目的端口号是固定值,匹配动作是,将包转发到威胁分析服务器。
步骤101:来自局域网的包匹配蜜罐1的伪装策略表。
来自局域网的包,其目的IP地址属于蜜罐1的伪装IP地址时,则匹配蜜罐1的伪装策略表,工作流程将跳入步骤102。来自局域网的包,其目的IP地址不属于蜜罐1的伪装IP地址时,则未匹配蜜罐1的伪装策略表,工作流程将跳入步骤110。
步骤102:建立蜜罐1响应包的会话表,转换目的MAC地址和目的IP地址为蜜罐1的MAC地址和IP地址。
为了通过蜜罐1给局域网的攻击者提供服务,因此将来自局域网攻击包的目的MAC地址转换为蜜罐1的MAC地址,目的IP地址转换为蜜罐1的IP地址,这样蜜罐1就能够正确回复响应包,这个响应包的源MAC地址和源IP地址是蜜罐1的MAC地址和IP地址,同样地,为了攻击者能够正确收到这个响应包,需要在蜜墙建立响应包的会话表,会话表的动作就是将响应包的源MAC地址和源IP地址转换为攻击包的目的MAC地址和目的IP地址,也就是攻击者发起攻击的伪装目标的MAC地址和IP地址。
步骤103:来自蜜罐1的包匹配蜜罐1到威胁分析服务器的单向会话表。
内核进程监控是运行在蜜罐1中的一个隐藏进程,可记录蜜罐1被攻陷的整个过程,也可记录蜜罐1作为跳板对蜜罐2发起攻击的整个过程,蜜罐1会定时地将内核进程监控数据发送给威胁分析服务器,利用在蜜墙配置的蜜罐1到威胁分析服务器的单向会话表,可正确地将监控数据包发送到威胁分析服务器。来自蜜罐1的包匹配这条单向会话表时,工作流程将跳入步骤104,未匹配会话表时,工作流程将跳入步骤105。
步骤104:将包转发到威胁分析服务器。
按照蜜罐1到威胁分析服务器的单向会话表的匹配动作,来自蜜罐1的监控数据包被转发到威胁分析服务器,由于没有配置威胁分析服务器向外发包的会话表和伪装策略表,所有威胁分析服务器向外发送的包都会被丢弃,因此,即使蜜罐1被攻陷后,攻击者也无法利用蜜罐1到威胁分析服务器的单向会话来攻占威胁分析服务器,威胁分析服务器上的数据不存在被窃取和改写的可能。
步骤105:来自蜜罐1的包匹配蜜罐1响应包会话表。
当来自蜜罐1的包匹配步骤102建立的蜜罐1响应包会话表时,表示这个包是蜜罐1对局域网攻击包的响应包,工作流程将跳入步骤106。当来自蜜罐1的包未匹配会话表时,工作流程将跳入步骤107。
步骤106:转换源MAC地址和源IP地址为局域网攻击包的目的MAC地址和目的IP地址,并重定向到局域网。在步骤105匹配蜜罐1响应包会话表的包,按照会话表动作,将包的源MAC地址转换为局域网攻击包的目的MAC地址,源IP地址转换为局域网攻击包的目的IP地址,并将包重定向到局域网,这样局域网中的攻击者就可以正确收到其攻击目标的响应包。
步骤107:来自蜜罐1的包匹配蜜罐2的伪装策略表。
来自蜜罐1的包,其目的IP地址属于蜜罐2的伪装IP地址时,则匹配蜜罐2的伪装策略表,工作流程将跳入步骤108。来自蜜罐1的包,未匹配蜜罐2的伪装策略表,工作流程将跳入步骤110。
步骤108:建立蜜罐2响应包的会话表,转换目的MAC地址和目的IP地址为蜜罐2的MAC地址和IP地址。
为了通过蜜罐2给蜜罐1中的攻击者提供服务,因此将来自蜜罐1的攻击包的目的MAC地址转换为蜜罐2的MAC地址,目的IP地址转换为蜜罐2的IP地址,这样蜜罐2就能够正确回复响应包,这个响应包的源MAC地址和源IP地址是蜜罐2的MAC地址和IP地址,同样地,为了攻击者能够正确收到这个响应包,需要在蜜墙建立蜜罐2响应包的会话表,会话表的动作就是将响应包的源MAC地址和源IP地址转换为攻击包的目的MAC地址和目的IP地址,也就是攻击者发起攻击的伪装目标的MAC地址和IP地址。
步骤109:来自蜜罐2的包匹配蜜罐2响应包会话表。
当来自蜜罐2的包匹配步骤108建立的蜜罐2响应包会话表时,表示这个包是蜜罐2对蜜罐1攻击包的响应包,工作流程将跳入步骤111。当来自蜜罐2的包未匹配会话表时,工作流程将跳入步骤110。
步骤110:丢弃包。对于步骤101判定的来自局域网且未匹配伪装策略的包,步骤107判定的来自蜜罐1且未匹配会话表和伪装策略表的包,以及步骤109判定的来自蜜罐2且未匹配会话表的包,均跳入步骤110,丢弃包。
步骤111:转换源MAC地址和源IP地址为蜜罐1攻击包的目的MAC地址和目的IP地址,并重定向到蜜罐1。在步骤109匹配蜜罐2响应包会话表的包,按照会话表动作,将包的源MAC地址转换为蜜罐1攻击包的目的MAC地址,源IP地址转换为蜜罐1攻击包的目的IP地址,并将包重定向到蜜罐1,这样蜜罐1中的攻击者就可以正确收到其攻击目标的响应包。
下面采用一个具体的应用场景对上述实施例作出进一步的详细说明。
参照图6所示的一种具体应用场景示意图,图6为局域网中的攻击者攻击第一蜜罐(表示为蜜罐1)的过程:
1)局域网中IP地址为192.168.1.12的攻击者,向蜜罐1的一个伪装IP地址192.168.1.118发出一个攻击包:src MAC:01:23:45:67:89:AB,src IP:192.168.1.12,dstMAC:11:22:33:44:AA:BB,dst IP:192.168.1.118,protocol:TCP,src port:2000,dstport:80。
2)该攻击包到达蜜墙后,匹配了预先配置的伪装策略表1:inport:1,dst IP:
192.168.1.100~192.168.1.199,action:DMAC=11:22:33:44:55:66,DIP=10.80.1.1,output=2。按照匹配的动作,蜜墙将攻击包的DMAC地址修改为蜜罐1的MAC地址11:22:33:44:55:66,DIP地址修改为蜜罐1的IP地址10.80.1.1,并将包从物理端口2重定向到蜜罐1。同时,蜜墙建立一条蜜罐1的响应包会话表,也就是会话表2:src IP:10.80.1.1,dst IP:192.168.1.12,protocol:TCP,src port:80,dst port:2000,action:SMAC=11:22:33:44:AA:BB,SIP=192.168.1.118,output=1。
3)蜜罐1收到经过地址转换后的攻击包:src MAC:01:23:45:67:89:AB,src IP:192.168.1.12,dst MAC:11:22:33:44:55:66,dst IP:10.80.1.1,protocol:TCP,srcport:2000,dst port:80。蜜罐1回应攻击者的响应包是:src MAC:11:22:33:44:55:66,srcIP:10.80.1.1,dst MAC:01:23:45:67:89:AB,dst IP:192.168.1.12,protocol:TCP,srcport:80,dst port:2000。
4)蜜罐1的响应包到达蜜墙后,匹配了会话表2,按照会话表2的动作,蜜墙将响应包的SMAC地址修改为蜜罐1的伪装MAC地址11:22:33:44:AA:BB,SIP地址修改为蜜罐1的伪装IP地址192.168.1.118,并将包从物理端口1重定向回攻击者。
5)局域网攻击者收到经过地址转换后的响应包:src MAC:11:22:33:44:AA:BB,src IP:192.168.1.118,dst MAC:01:23:45:67:89:AB,dst IP:192.168.1.12,protocol:TCP,src port:80,dst port:2000。至此,局域网攻击者和蜜罐1之间建立通信,局域网攻击者落入了蜜罐1的伪装陷阱。
参阅图7所示的攻击转移方法的又一具体应用场景示意图,图7为第一蜜罐(以蜜罐1表示)中的攻击者攻击第二蜜罐(以蜜罐2表示)的过程:
1)蜜罐1被攻陷后,向蜜罐2的一个伪装IP地址192.168.1.60发出一个攻击包:srcMAC:11:22:33:44:55:66,src IP:10.80.1.1,dst MAC:88:99:AA:BB:12:34,dst IP:192.168.1.60,protocol:TCP,src port:5000,dst port:22。
2)该攻击包到达蜜墙后,匹配了预先配置的伪装策略表2:inport:2,dst IP:192.168.1.50~192.168.1.99,action:DMAC=88:99:AA:BB:CC:DD,DIP=10.80.2.1,output=3。按照匹配的动作,蜜墙将攻击包的DMAC地址修改为蜜罐2的MAC地址88:99:AA:BB:CC:DD,DIP地址修改为蜜罐2的IP地址10.80.2.1,并将包从物理端口3重定向到蜜罐2。同时,蜜墙建立一条蜜罐2的响应包会话表,也就是会话表3:src IP:10.80.2.1,dst IP:10.80.1.1,protocol:TCP,src port:22,dst port:5000,action:SMAC=88:99:AA:BB:12:34,SIP=192.168.1.60,output=2。
3)蜜罐2收到经过地址转换后的攻击包:src MAC:11:22:33:44:55:66,src IP:10.80.1.1,dst MAC:88:99:AA:BB:CC:DD,dst IP:10.80.2.1,protocol:TCP,src port:5000,dst port:22。蜜罐2回应攻击者的响应包是:src MAC:88:99:AA:BB:CC:DD,src IP:10.80.2.1,dst MAC:11:22:33:44:55:66,dst IP:10.80.1.1,protocol:TCP,src port:22,dst port:5000。
4)蜜罐2的响应包到达蜜墙后,匹配了会话表3,按照会话表3的动作,蜜墙将响应包的SMAC地址修改为蜜罐2的伪装MAC地址88:99:AA:BB:12:34,SIP地址修改为蜜罐2的伪装IP地址192.168.1.60,并将包从物理端口2重定向回蜜罐1。
5)蜜罐1收到经过地址转换后的响应包:src MAC:88:99:AA:BB:12:34,src IP:192.168.1.60,dst MAC:11:22:33:44:55:66,dst IP:10.80.1.1,protocol:TCP,srcport:22,dst port:5000。至此,蜜罐1攻击者和蜜罐2之间建立通信,蜜罐1攻击者再次落入了蜜罐2的伪装陷阱。
参阅图8所示的攻击转移方法的又一具体应用场景示意图,图8为第一蜜罐(以蜜罐1表示)向威胁分析服务器发送内核进程监控数据的过程:
1)蜜罐1定时向威胁分析服务器发送内核进程监控数据包:src MAC:11:22:33:44:55:66,src IP:10.80.1.1,dst MAC:01:02:03:04:05:06,dst IP:10.80.3.1,protocol:UDP,src port:1234,dst port:5678。
2)该监控数据包到达蜜墙后,匹配了预先配置的会话表1:src IP:10.80.1.1,dstIP:10.80.3.1,protocol:UDP,src port:1234,dst port:5678,action:output=4。按照会话表1的动作,蜜墙将监控数据包通过物理端口4转发到威胁分析服务器。
3)威胁分析服务器收到监控数据包。
综上所述,采用蜜墙、蜜罐1、蜜罐2和威胁分析服务器的伪装系统,在蜜墙配置蜜罐1的伪装策略,可实现对局域网攻击者的攻击响应;在蜜墙配置蜜罐2的伪装策略,可实现蜜罐1对外发起攻击的响应;在蜜墙配置蜜罐1到威胁分析服务器的单向会话表,可实现蜜罐1内核进程监控数据的安全传递。应用本系统,有效解决了蜜罐被攻破后,被作为跳板向外发起攻击被阻挡或限制,从而易被攻击者察觉的难题,进一步提高了蜜罐的仿真度;同时通过观测蜜罐1作为跳板向外发起嗅探、扫描和攻击的全过程,可以捕获完整的攻击数据,以利于攻击行为和特征的分析、研究。
此外,本发明实施例还提出一种攻击转移装置,所述攻击转移装置包括:
检测模块,用于若接收到攻击者发送的攻击包,则检测所述攻击包;
第一转换模块,用于若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
第二转换模块,用于若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有攻击转移程序,所述攻击转移程序被处理器执行时实现如上述中任一项所述的攻击转移方法的步骤。
本发明计算机可读存储介质具体实施例与上述攻击转移方法的各实施例基本相同,在此不再详细赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种攻击转移方法,其特征在于,所述攻击转移方法应用于蜜墙,所述攻击转移方法包括以下步骤:
若接收到攻击者发送的攻击包,则检测所述攻击包;
若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
2.如权利要求1所述的攻击转移方法,其特征在于,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则建立第二会话表,所述第二会话表用于检测与所述攻击包相匹配的所述第一响应包;
若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
3.如权利要求1所述的攻击转移方法,其特征在于,所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤之后,还包括:
获取所述第一蜜罐攻击所述第二蜜罐对应的第二攻击信息,其中,所述第二攻击信息为所述第一蜜罐基于所述攻击包攻击所述第二蜜罐获得的,并将所述第二攻击信息发送至所述蜜墙;
将所述第二攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第二攻击信息,并对所述攻击信息进行分析。
4.如权利要求1所述的攻击转移方法,其特征在于,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
5.如权利要求4所述的攻击转移方法,其特征在于,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之后,还包括:
若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则建立第一会话表,所述第一会话表用于检测与所述攻击包相匹配的所述第一响应包;
通过所述第一会话表,检测所述第一响应包是否与所述攻击包相匹配;
若接收到与所述攻击包相匹配的第一响应包,则将所述第一响应包的源地址中的第一真实地址转换成所述第一伪装地址,并将所述第一响应包发送至所述攻击者,以供所述第一蜜罐响应所述攻击者。
6.如权利要求4所述的攻击转移方法,其特征在于,所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤之后,还包括:
获取所述第一蜜罐发送的第一攻击信息,其中,所述第一蜜罐基于所述攻击包确定攻击所述第一蜜罐对应的第一攻击信息,并将所述第一攻击信息发送至所述蜜墙;
将所述第一攻击信息发送至与所述蜜墙关联的威胁分析服务器,以供所述威胁分析服务器接收所述第一攻击信息,并对所述第一攻击信息进行分析。
7.如权利要求1至6任一项所述的攻击转移方法,其特征在于,所述若接收到攻击者发送的攻击包,则检测所述攻击包的步骤之前,还包括:
配置所述攻击包对应的伪装策略表,其中,所述伪装策略表用于检测所述攻击包,所述伪装策略表包括第一伪装策略表和第二伪装策略表;
所述若检测到所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,则将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐的步骤包括:
若检测到所述攻击包与所述第一伪装策略表相匹配,则所述攻击包来源于局域网且所述攻击包中的目的地址属于第一蜜罐对应的第一伪装地址,将所述攻击包的目的地址中的第一伪装地址转换成所述第一蜜罐的第一真实地址,并将所述攻击包发送至所述第一蜜罐,以供所述攻击者转移攻击所述第一蜜罐;
所述若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐的步骤包括:
若检测到所述攻击包与所述第二伪装策略表相匹配,则所述攻击包来源于所述第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐。
8.一种攻击转移装置,其特征在于,所述攻击转移装置包括:
检测模块,用于若接收到攻击者发送的攻击包,则检测所述攻击包;
第一转换模块,用于若检测到所述攻击包来源于第一蜜罐且所述攻击包中的目的地址属于第二蜜罐对应的第二伪装地址,则将所述攻击包的目的地址中的第二伪装地址转换成所述第二蜜罐的第二真实地址,并将所述攻击包发送至所述第二蜜罐,以供转移攻击所述第二蜜罐;
第二转换模块,用于若接收到与所述攻击包相匹配的第二响应包,则将所述第二响应包的源地址中的第二真实地址转换成所述第二伪装地址,并将所述第二响应包发送至所述第一蜜罐,以供所述第二蜜罐响应所述第一蜜罐。
9.一种攻击转移设备,其特征在于,所述攻击转移设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击转移程序,所述攻击转移程序被所述处理器执行时实现如权利要求1至7中任一项所述的攻击转移方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有攻击转移程序,所述攻击转移程序被处理器执行时实现如权利要求1至7中任一项所述的攻击转移方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010271709.0A CN111526132B (zh) | 2020-04-08 | 2020-04-08 | 攻击转移方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010271709.0A CN111526132B (zh) | 2020-04-08 | 2020-04-08 | 攻击转移方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111526132A true CN111526132A (zh) | 2020-08-11 |
| CN111526132B CN111526132B (zh) | 2022-04-29 |
Family
ID=71902082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010271709.0A Active CN111526132B (zh) | 2020-04-08 | 2020-04-08 | 攻击转移方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111526132B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637175A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
| CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114285589A (zh) * | 2021-01-05 | 2022-04-05 | 广州非凡信息安全技术有限公司 | 主动引流攻击流量、伪装响应的方法、终端及系统 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
| WO2022206251A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 拒绝服务攻击的解决方法、装置、设备、介质和计算机程序产品 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103327134A (zh) * | 2013-06-13 | 2013-09-25 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| EP2713581A1 (en) * | 2012-09-28 | 2014-04-02 | Juniper Networks, Inc. | Virtual honeypot |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
-
2020
- 2020-04-08 CN CN202010271709.0A patent/CN111526132B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2713581A1 (en) * | 2012-09-28 | 2014-04-02 | Juniper Networks, Inc. | Virtual honeypot |
| CN103327134A (zh) * | 2013-06-13 | 2013-09-25 | 国家电网公司 | 一种基于dhcp服务的网络数据重定向方法及装置 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637175A (zh) * | 2020-12-17 | 2021-04-09 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
| CN112637175B (zh) * | 2020-12-17 | 2021-08-20 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
| CN114285589A (zh) * | 2021-01-05 | 2022-04-05 | 广州非凡信息安全技术有限公司 | 主动引流攻击流量、伪装响应的方法、终端及系统 |
| WO2022206251A1 (zh) * | 2021-04-02 | 2022-10-06 | 腾讯科技(深圳)有限公司 | 拒绝服务攻击的解决方法、装置、设备、介质和计算机程序产品 |
| CN114006772A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114006772B (zh) * | 2021-12-30 | 2022-04-12 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
| CN114726602A (zh) * | 2022-03-29 | 2022-07-08 | 中国工程物理研究院计算机应用研究所 | 一种网络零变更条件下的企业内网自适应威胁阻断方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111526132B (zh) | 2022-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111526132B (zh) | 攻击转移方法、装置、设备及计算机可读存储介质 | |
| CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
| US11489858B2 (en) | Malware detection for proxy server networks | |
| US10805325B2 (en) | Techniques for detecting enterprise intrusions utilizing active tokens | |
| US10375110B2 (en) | Luring attackers towards deception servers | |
| CN112995151B (zh) | 访问行为处理方法和装置、存储介质及电子设备 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| US20150326599A1 (en) | Evaluating URLS For Malicious Content | |
| Dietz et al. | IoT-botnet detection and isolation by access routers | |
| US11689502B2 (en) | Securing control and user plane separation in mobile networks | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN116760607A (zh) | 蜜罐诱捕节点的建立方法及装置、介质、设备 | |
| CN110830419B (zh) | 一种网际协议摄像机的访问控制方法及装置 | |
| US11799914B2 (en) | Cellular internet of things battery drain prevention in mobile networks | |
| CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets | |
| Sedlar et al. | An iteratively-improving internet-of-things honeypot experiment | |
| EP3253004B1 (en) | Communication control device, communication control method, and communication control program | |
| CN114363083B (zh) | 智能网关的安全防范方法、装置、设备 | |
| KR20060131470A (ko) | 유효 패킷 선별 기능을 가지는 외부 에이전트 장치 및 그방법 | |
| US20220337488A1 (en) | Network device type classification | |
| Liu et al. | Consistency is All I Ask: Attacks and Countermeasures on the Network Context of Distributed Honeypots |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |