CN111541670A - 一种新型动态蜜罐系统 - Google Patents
一种新型动态蜜罐系统 Download PDFInfo
- Publication number
- CN111541670A CN111541670A CN202010303225.XA CN202010303225A CN111541670A CN 111541670 A CN111541670 A CN 111541670A CN 202010303225 A CN202010303225 A CN 202010303225A CN 111541670 A CN111541670 A CN 111541670A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- operating system
- virtual
- host
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种新型动态蜜罐系统,属于蜜罐领域,包括:网络信息处理模块、决策分析模块、操作系统指纹数据库、操作系统指纹识别模块、虚拟蜜罐处理模板和蜜罐模板;该系统将被动指纹识别技术和虚拟蜜罐技术有机地结合。
Description
技术领域
本发明涉及蜜罐技术领域,尤其涉及一种新型动态蜜罐系统。
背景技术
蜜罐作为一种全新的网络安全技术,面临着来自多方面的挑战,其中最大的挑战之一就是它的配置和维护问题。为了解决这一问题,于是有了动态蜜罐的思想最后设计成模型。
现有动态蜜罐是一个即插即用的蜜罐系统,它通过监控和自学习实时的网络环境、搜集网络计算机的信息能够自动地确定应用配置多少蜜罐以及怎样对他们进行配置。该蜜罐系统主要使用了被动指纹识别技术和虚拟蜜罐技术。被动指纹识别技术基于每种操作系统的IP协议且都有其自身的原理,通过捕捉和分析网络中的数据包从而确定周围计算机操作系统的类型,利用虚拟蜜罐技术的思想,能够在单一的物理设备上配置多个虚拟的蜜罐系统,结合这两种技术,能够从根本上解决蜜罐在配置和维护上存在的问题。
如在现有内网中生产主机数量较多,或则要为每个生产主机配置多个蜜罐,那么配置蜜罐的工作会大大增加。此外在蜜罐配置完成以后,还要对它进行维护,因为生产环境会经常发生变化,如有时可能加入新的机器,移除或升级老的机器,也有可能某些系统下班后关闭,第二天上班时再重新开启。对于生产环境的一切改变,蜜罐系统都应作出相应得调整,以适应新的环境。传统的方法用手工方式来升级或修改这些蜜罐系统,这就意味着要消耗时间和费用,而且还有可能会产生一些错误。
专利申请文献CN108429762A提供了一种基于服务角色变换的动态蜜罐防御方法,该方法通过竞选机制使蜜罐服务器机群的变换控制伪随机化,生成多种服务角色数量与位置的随机变换信息,形成一种亦真亦假的动态蜜罐陷阱,迷惑攻击者。内部变换种类数量随主机数增加而呈现类似指数函数的趋势,该数量空间保证了攻击者无法获取具体的变换信息,服务器将通过加密的方式传输真实服务信息至合法客户端,从而使其建立与真实服务端口的有效连接,同时,利用sniffer监听端口访问流量,任何对蜜罐服务端口的访问都将被标记为非法访问,实现攻击流量迅速识别;
专利申请文献CN108353078A提供了一种由计算设备的处理器执行的方法(该计算设备可以是移动计算设备)可以包括至少部分地基于分析确定当前运行在该计算设备上的目标应用是否是潜在地具有恶意的,预测该目标应用的触发条件作为对确定该目标应用潜在地具有恶意的响应,至少部分地基于所述预测的触发条件提供一个或多个资源,监听该目标应用对应于所提供的一个或多个资源的活动,并且至少部分地基于所述监听的活动确定该目标应用是否为恶意软件。所述资源可以是设备部件(例如,网络接口、传感器等等)和/或数据(例如,文件等)。
上述专利申请文献中均未使用被动识别技术,因此不能克服现有蜜罐技术为交接网络环境的变化情况,需持续的对网络进行扫描,导致系统中的某些服务设置整个系统出现异常情况,如关闭等。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种新型动态蜜罐系统,该系统将被动指纹识别技术和虚拟蜜罐技术有机地结合。
本发明提供了一种新型动态蜜罐系统,包括:
网络信息处理模块,用于采集本局域网内的蜜罐主机发出的数据包、外部网络发往蜜罐的数据包以及外部网络进行交互;
决策分析模块,用于通过分析现有的网络状况,决定配置蜜罐的数量,以及蜜罐配置的相应IP地址,以及每个蜜罐配置的操作系统;并将配置结果分别通知网络信息处理模板和虚拟蜜罐处理模板;
操作系统指纹数据库,用于记录各种不同操作系统数据包的特点,在捕捉到网络中的数据包后将它与操作系统指纹数据库内的记录进行比较从而判断出操作系统的类别;
操作系统指纹识别模块,用于通过查询操作系统指纹数据库分析网络中存在的主机的操作系统类型,并将分析的结果定期发送给决策分析模块;
蜜罐模板,用于收到发给蜜罐主机的数据包后创建欺骗包;
虚拟蜜罐处理模板,用于在收到发给蜜罐主机的数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
优选地,所述虚拟蜜罐处理模板包括路由器和蜜罐主机,所述蜜罐主机设有多个虚拟蜜罐,每个虚拟蜜罐均设有合法的IP地址;所述路由器与蜜罐主机连接。
优选地,所述蜜罐主机设有4个虚拟蜜罐,蜜罐主机:虚拟蜜罐=1:4;
优选地,虚拟蜜罐处理模板处理方法为:攻击者首次发送数据包到任意一个虚拟蜜罐时,路由器接收到发送的数据包,通过网络上广播ARP查询,蜜罐主机收到ARP查询信息后,就将对应的虚拟蜜罐对应的MAC地址发给路由器,路由器将该MAC地址的信息加入ARP表,以后每次收到发往该虚拟蜜罐的数据包都会自动发往蜜罐主机,蜜罐主机收到该数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
优选地,所述操作系统指纹数据库通过TCP/IP数据包头部的4个域来确定操作系统的类型;4个域分别包括数据包的生存期TTL、窗口大小Window Size、不允许分片DF、服务类型TOS。
优选地,捕捉一个局域网内数据包,若数据包的4个特点分别为:TTL为64;WindowSize为0*7D78;DF为The Don’t Fragment bit is set;TOS为0*0,根据以上数据包的特点可获知一个操作系统的类型。
优选地,根据数据包的4个特点确定操作系统的类型的方法,包括以下几个步骤:
S1:先确定初始的TTL值为64;基于整个TTL值,查看数据库,若发现只有一种操作系统的TTL的值为64,即可确定该操作系统的类型,若发现不只一种操作系统的TTL的值为64,则不能确定具体操作系统,进入步骤S2;
S2:比较窗口大小这个域,获得的数据为0*7D78,其十进制为32120;而在数据库中发现这一窗口大小正是Linux系统所使用的,此时即可确定收到的数据包是从一个内核版本为2.2.x的Linux系统中发出的;若在数据库中发现这一窗口大小不仅一个操作系统,则进入步骤S3:
S3:比较DF,若发现只有一种操作系统的DF为The Don’t Fragment bit is set;则可确定该操作系统的类型,若发现不只一种操作系统的DF为The Don’t Fragment bitis set,则进入步骤S4;
S4:比较TOS,即可确定只有一种操作类型的TTL为64;Window Size为0*7D78;DF为The Don’t Fragment bit is set;TOS为0*0。
与现有技术相对比,本发明的有益效果如下:
(1)动态蜜罐是一个即插即用的蜜罐系统,通过监控和自学习实时的网络环境、根据网络环境中真实的PC数量按照1:4(蜜罐:主机)的比例配置相应的蜜罐数量,根据网络环境中的主机的操作系统来配置相应操作系统的蜜罐。从根本上解决了蜜罐在配置和维护上存在的问题。
(2)本发明提供的新型动态蜜罐系统可以被动的捕局域网内主机发出的数据通过一定时间的数据采集后,判断周围的网络环境,配置出相应的的虚拟蜜罐。并且各虚拟蜜罐与外部攻击进行交互,继续学习周围的网络环境,根据自身的网络环境变化,规定一个周期(一个月)做巡检,根据真实的网络变化情况做相应的调整和部署。
(3)本发明提供的新型动态蜜罐系统可以学习周围的网络环境,通过积极主动进行探测,从而确定周围存在操作系统的类型。为交接网络环境的变化情况,需持续的对网络进行扫描,为了避免使系统中的某些服务甚至整个系统关闭,因此采用被动采集的方法来获取周围的网络环境更为合适,而本发明提供的操作系统指纹识别模块可以解决上述问题。通过被动指纹识别技术来学习周围的网络环境。
(4)本发明提供操作系统指纹数据库里面记录有各种不同操作系统数据包的特点,在捕捉到网络中的数据包后将它与数据库内的记录进行比较从而判断出操作系统的类别;如本发明可以通过TCP/IP数据包头部的4个域来确定操作系统的类型:TTL(数据包的生存期);Window Size(窗口大小);DF(不允许分片);TOS(服务类型)。通过综合上述4个因素的分析,就能确定一个系统的的类型。
(5)每个操作系统的IP协议栈都有自身的特点(目前所有主流的操作系统),本发明利用本系统中自带的一种入侵检测工具,将收集到的数据包导入本地的MYsql数据库中(如图1),与其进行比对,从而判断操作系统的类别。通过重复这样的操作来学习周围网络环境,进而了解环境中所有系统的类别,依据环境现状来配置相应系统的蜜罐。
附图说明
图1是本发明提供的操作系统指纹数据库示意图;
图2是本发明提供的虚拟蜜罐示意图;
图3是本发明提供的动态蜜罐系统关系调用图;
附图标记如下:
1、蜜罐主机;2、虚拟蜜罐;3、路由器。
具体实施方式
下面结合附图,对本发明的具体实施方式作详细的说明。
如图1所示,本发明提供了一种新型动态蜜罐系统,包括:
网络信息处理模块,用于采集本局域网内的蜜罐主机发出的数据包、外部网络发往蜜罐的数据包以及外部网络进行交互;
决策分析模块,用于通过分析现有的网络状况,决定配置蜜罐的数量,以及蜜罐配置的相应IP地址,以及每个蜜罐配置的操作系统;并将配置结果分别通知网络信息处理模板和虚拟蜜罐处理模板;
操作系统指纹数据库,用于记录各种不同操作系统数据包的特点,在捕捉到网络中的数据包后将它与操作系统指纹数据库内的记录进行比较从而判断出操作系统的类别;
操作系统指纹识别模块,用于通过查询操作系统指纹数据库分析网络中存在的主机的操作系统类型,并将分析的结果定期发送给决策分析模块;
蜜罐模板,用于收到发给蜜罐主机的数据包后创建欺骗包;
虚拟蜜罐处理模板,用于在收到发给蜜罐主机的数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
作为优选实施方式,本发明提供的虚拟蜜罐处理模板包括路由器3和蜜罐主机1,所述蜜罐主机设有多个虚拟蜜罐2,每个虚拟蜜罐2均设有合法的IP地址;所述路由器3与蜜罐主机1连接。
作为优选实施方式,本发明提供的虚拟蜜罐处理模板处理方法为:攻击者首次发送数据包到任意一个虚拟蜜罐时,路由器接收到发送的数据包,通过网络上广播ARP查询,蜜罐主机收到ARP查询信息后,就将对应的虚拟蜜罐对应的MAC地址发给路由器,路由器将该MAC地址的信息加入ARP表,以后每次收到发往该虚拟蜜罐的数据包都会自动发往蜜罐主机,蜜罐主机收到该数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
作为优选实施方式,本发明提供的所述操作系统指纹数据库通过TCP/IP数据包头部的4个域来确定操作系统的类型;4个域分别包括数据包的生存期TTL、窗口大小WindowSize、不允许分片DF、服务类型TOS。
作为优选实施方式,本发明捕捉一个局域网内数据包,若数据包的4个特点分别为:TTL为64;Window Size为0*7D78;DF为The Don’t Fragment bit is set;TOS为0*0,根据以上数据包的特点可获知一个操作系统的类型。
作为优选实施方式,本发明提供的根据数据包的4个特点确定操作系统的类型的方法,包括以下几个步骤:
S1:先确定初始的TTL值为64;基于整个TTL值,查看数据库,若发现只有一种操作系统的TTL的值为64,即可确定该操作系统的类型,若发现不只一种操作系统的TTL的值为64,则不能确定具体操作系统,进入步骤S2;
S2:比较窗口大小这个域,获得的数据为0*7D78,其十进制为32120;而在数据库中发现这一窗口大小正是Linux系统所使用的,此时即可确定收到的数据包是从一个内核版本为2.2.x的Linux系统中发出的;若在数据库中发现这一窗口大小不仅一个操作系统,则进入步骤S3:
S3:比较DF,若发现只有一种操作系统的DF为The Don’t Fragment bit is set;则可确定该操作系统的类型,若发现不只一种操作系统的DF为The Don’t Fragment bitis set,则进入步骤S4;
S4:比较TOS,即可确定只有一种操作类型的TTL为64;Window Size为0*7D78;DF为The Don’t Fragment bit is set;TOS为0*0。
实施例1:
被动指纹技识别术是基于每种操作系统的IP协议都有其自身特点的原理,维护了一个操作系统指纹数据库(如图1所示),操作系统指纹数据库里面记录有各种不同操作系统数据包的特点,在捕捉到网络中的数据包后将它与数据库内的记录进行比较从而判断出操作系统的类别。
本实施例可以通过TCP/IP数据包头部的4个域来确定操作系统的类型:TTL(数据包的生存期);Window Size(窗口大小);DF(不允许分片);TOS(服务类型)。
在捕捉到一个数据包,通过综合上述4个因素的分析,就能基本确定一个系统的的类型,例如获得了一个局域网内数据包,它具有如下几点特征,即TTL为64;Window Size为0*7D78;DF为The Don’t Fragment bit is set;TOS为0*0。
将以上数据进行分析时,首先,发现TTL的值为64,因为它是局域网内蜜罐主机发过来的数据包,所以它是经过了0跳(0个路由器)到达的当前蜜罐主机,初始的TTL值应为64。基于整个TTL值,查看数据库,发现有3种操作系统的TTL的值为64,因为暂时还无法确定是哪一种操作系统。
然后比较窗口大小这个域,获得的数据为0*7D78(十进制为32120),而在数据库中发现这一窗口大小正式以个Linux系统所使用的,这时即可确定收到的包是从一个内核版本为2.2.x的Linux系统中发出的。
由于大多数的电脑都设置了DF位,因此这个域提供的信息非常有限,然而它也能够使我们很容易地鉴别少数没有使用DF标识的系统,如SOC或OpenBSD与DF类似,TOS提供的信息也同样有限,通常是与上面几项结合使用。
因此通过分析数据包头部几个域,能够确定操作系统的类型。
蜜罐自动配置的实现,虚拟蜜罐技术是在一台计算上安装多个蜜罐来模仿多种操作系统,虚拟蜜罐并不需要模拟整个操作系统,而只模仿操作系统的一部分如TCP/IP协议等,通过指纹识别技术的分析,可以根据不同操作系统的特点,分别构造出不同的TCP/IP数据包即能模仿出各种不同的操作系统,达到欺骗攻击者的目的,可以预先为每种不同的操作系统创建一个蜜罐模板,当需要配置一个虚拟蜜罐时,蜜罐主机启动相应的模板即可。
将被动指纹识别技术和虚拟蜜罐技术有机地结合,即能设计出一个动态蜜罐系统,图3是动态蜜罐系统关系调用图。其中,网络信息处理模块负责采集本局域网内其他主机发出的数据包、外部网络发往蜜罐的数据包以及外部网络进行交互,操作系统指纹识别模块通过查询指纹数据库分析网络中存在的主机的操作系统类型,并将这些分析的结果定期发送给决策分析模块。决策分析模块通过分析现有的网络状况,决定要配置蜜罐的数量,分别在哪些IP地址上配置,以及每个蜜罐配置操作系统的类型等等。并将配置结果分别通知网络消息处理模板和虚拟蜜罐处理模板。虚拟蜜罐处理模板在收到发给蜜罐的包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
如图2所示,图2是本发明提供的虚拟蜜罐示意图,在IP为10.0.0.2的蜜罐主机上配有4个虚拟蜜罐,每个蜜罐都有一个合法的的IP地址,在外部看起来为4个独立的系统。当攻击者首次发送数据到IP为10.0.0.101的Windows NT蜜罐时,路由器会收到该虚拟蜜罐的数据包,路由器通过查询路由表发现是发往本地局域网的包,会将它直接交付。因为路由器是第一次收到发往这个虚拟蜜罐的数据包,所以路由器并不知道这个IP地址对应的MAC地址,此时路由器会在网络上广播一个ARP查询。蜜罐主机收到这个查询信息后,就将该虚拟蜜罐的MAC地址发给路由器,路由器将这个MAC地址的信息加入ARP表,以后每次收到发往Windows NT蜜罐的数据包都会自动将其发往蜜罐主机。蜜罐主机收到发往Windows NT蜜罐的数据包后,会回复一个伪造的Windows NT包来欺骗攻击者。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (7)
1.一种新型动态蜜罐系统,其特征在于,包括:
网络信息处理模块,用于采集本局域网内的蜜罐主机发出的数据包、外部网络发往蜜罐的数据包以及外部网络进行交互;
决策分析模块,用于通过分析现有的网络状况,决定配置蜜罐的数量,以及蜜罐配置的相应IP地址,以及每个蜜罐配置的操作系统;并将配置结果分别通知网络信息处理模板和虚拟蜜罐处理模板;
操作系统指纹数据库,用于记录各种不同操作系统数据包的特点,在捕捉到网络中的数据包后将其与操作系统指纹数据库内的记录进行比较从而判断出操作系统的类别;
操作系统指纹识别模块,用于通过查询操作系统指纹数据库分析网络中存在的主机的操作系统类型,并将分析的结果定期发送给决策分析模块;
蜜罐模板,用于收到发给蜜罐主机的数据包后创建欺骗包;
虚拟蜜罐处理模板,用于在收到发给蜜罐主机的数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
2.如权利要求1所述的一种新型动态蜜罐系统,其特征在于,所述虚拟蜜罐处理模板包括路由器和蜜罐主机,所述蜜罐主机设有多个虚拟蜜罐,每个虚拟蜜罐均设有合法的IP地址;所述路由器与蜜罐主机连接。
3.如权利要求2所述的一种新型动态蜜罐系统,其特征在于,所述蜜罐主机设有4个虚拟蜜罐,蜜罐主机:虚拟蜜罐=1:4。
4.如权利要求2所述的一种新型动态蜜罐系统,其特征在于,虚拟蜜罐处理模板处理方法为:攻击者首次发送数据包到任意一个虚拟蜜罐时,路由器接收到发送的数据包,通过网络上广播ARP查询,蜜罐主机收到ARP查询信息后,就将对应的虚拟蜜罐对应的MAC地址发给路由器,路由器将该MAC地址的信息加入ARP表,以后每次收到发往该虚拟蜜罐的数据包都会自动发往蜜罐主机,蜜罐主机收到该数据包后调用蜜罐模板创建相应的的欺骗包回复给攻击者。
5.如权利要求1所述的一种新型动态蜜罐系统,其特征在于,所述操作系统指纹数据库通过TCP/IP数据包头部的4个域来确定操作系统的类型;4个域分别包括数据包的生存期TTL、窗口大小Window Size、不允许分片DF、服务类型TOS。
6.如权利要求5所述的一种新型动态蜜罐系统,其特征在于,捕捉一个局域网内数据包,若数据包的4个特点分别为:TTL为64;Window Size为0*7D78;DF为The Don’t Fragmentbit is set;TOS为0*0,根据以上数据包的特点可获知一个操作系统的类型。
7.如权利要求6所述的一种新型动态蜜罐系统,其特征在于,根据数据包的4个特点确定操作系统的类型的方法,包括以下几个步骤:
S1:先确定初始的TTL值为64;基于整个TTL值,查看数据库,若发现只有一种操作系统的TTL的值为64,即可确定该操作系统的类型,若发现不只一种操作系统的TTL的值为64,则不能确定具体操作系统,进入步骤S2;
S2:比较窗口大小这个域,获得的数据为0*7D78,其十进制为32120;而在数据库中发现这一窗口大小正是Linux系统所使用的,此时即可确定收到的数据包是从一个内核版本为2.2.x的Linux系统中发出的;若在数据库中发现这一窗口大小不仅一个操作系统,则进入步骤S3:
S3:比较DF,若发现只有一种操作系统的DF为The Don’t Fragment bit is set;则可确定该操作系统的类型,若发现不只一种操作系统的DF为The Don’t Fragment bit isset,则进入步骤S4;
S4:比较TOS,即可确定只有一种操作类型的TTL为64;Window Size为0*7D78;DF为TheDon’t Fragment bit is set;TOS为0*0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010303225.XA CN111541670A (zh) | 2020-04-17 | 2020-04-17 | 一种新型动态蜜罐系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010303225.XA CN111541670A (zh) | 2020-04-17 | 2020-04-17 | 一种新型动态蜜罐系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111541670A true CN111541670A (zh) | 2020-08-14 |
Family
ID=71979964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010303225.XA Withdrawn CN111541670A (zh) | 2020-04-17 | 2020-04-17 | 一种新型动态蜜罐系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111541670A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112333156A (zh) * | 2020-10-20 | 2021-02-05 | 陈赛花 | 基于大数据的网络安全保护方法和网络安全保护平台 |
| CN114679292A (zh) * | 2021-06-10 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN114826996A (zh) * | 2022-05-10 | 2022-07-29 | 上海磐御网络科技有限公司 | 基于busybox文件系统的路由器蜜罐测试方法及装置 |
| CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
| US11947694B2 (en) | 2021-06-29 | 2024-04-02 | International Business Machines Corporation | Dynamic virtual honeypot utilizing honey tokens and data masking |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
| CN109314698A (zh) * | 2016-02-23 | 2019-02-05 | 区块链控股有限公司 | 保护计算机网络与系统的抢占式响应安全系统 |
-
2020
- 2020-04-17 CN CN202010303225.XA patent/CN111541670A/zh not_active Withdrawn
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| CN102882884A (zh) * | 2012-10-13 | 2013-01-16 | 山东电力集团公司电力科学研究院 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
| CN109314698A (zh) * | 2016-02-23 | 2019-02-05 | 区块链控股有限公司 | 保护计算机网络与系统的抢占式响应安全系统 |
| CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐系统及其数据分析方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李之棠等: ""动态蜜罐技术分析与设计"", 《华中科技大学学报》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134891A (zh) * | 2020-09-24 | 2020-12-25 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112134891B (zh) * | 2020-09-24 | 2022-11-04 | 上海观安信息技术股份有限公司 | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 |
| CN112333156A (zh) * | 2020-10-20 | 2021-02-05 | 陈赛花 | 基于大数据的网络安全保护方法和网络安全保护平台 |
| CN114679292A (zh) * | 2021-06-10 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN114679292B (zh) * | 2021-06-10 | 2023-03-21 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| US11947694B2 (en) | 2021-06-29 | 2024-04-02 | International Business Machines Corporation | Dynamic virtual honeypot utilizing honey tokens and data masking |
| CN114826996A (zh) * | 2022-05-10 | 2022-07-29 | 上海磐御网络科技有限公司 | 基于busybox文件系统的路由器蜜罐测试方法及装置 |
| CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541670A (zh) | 一种新型动态蜜罐系统 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| Jung et al. | Fast portscan detection using sequential hypothesis testing | |
| CN109587179B (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| US9413616B2 (en) | Detection of network address spoofing and false positive avoidance | |
| WO2021139643A1 (zh) | 加密攻击网络流量检测方法,其装置及电子设备 | |
| CN110493195B (zh) | 一种网络准入控制方法及系统 | |
| AU2019399138A1 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
| US20090265785A1 (en) | System and method for arp anti-spoofing security | |
| CN1656731A (zh) | 基于多方法网关的网络安全系统和方法 | |
| CN113422774B (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN111083117A (zh) | 一种基于蜜罐的僵尸网络的追踪溯源系统 | |
| CN106357660A (zh) | 一种ddos防御系统中检测伪造源ip的方法和装置 | |
| CN118337540B (zh) | 一种基于物联网的网络入侵攻击识别系统及方法 | |
| CN110113290B (zh) | 网络攻击的检测方法、装置、主机及存储介质 | |
| US20220263846A1 (en) | METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF | |
| Asha et al. | Analysis on botnet detection techniques | |
| CN117319063A (zh) | 多物联网设备联合入侵防御方法 | |
| RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
| Chai et al. | A study of security threat for Internet of Things in smart factory | |
| WO2020158896A1 (ja) | 通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200814 |