CN111680294A - 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 - Google Patents
一种基于高交互蜜罐技术的数据库监控方法、装置、设备 Download PDFInfo
- Publication number
- CN111680294A CN111680294A CN202010543069.4A CN202010543069A CN111680294A CN 111680294 A CN111680294 A CN 111680294A CN 202010543069 A CN202010543069 A CN 202010543069A CN 111680294 A CN111680294 A CN 111680294A
- Authority
- CN
- China
- Prior art keywords
- data
- database
- hacker
- interaction honeypot
- intercepted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 238000012544 monitoring process Methods 0.000 title claims abstract description 66
- 238000005516 engineering process Methods 0.000 title claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 13
- 238000013499 data model Methods 0.000 claims description 8
- 238000012806 monitoring device Methods 0.000 claims description 8
- 238000013075 data extraction Methods 0.000 claims description 7
- 239000000126 substance Substances 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/302—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于高交互蜜罐技术的数据库监控方法、装置、设备,包括:通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。也即,申请基于高交互蜜罐技术拦截连接器传递到分析器中的数据,以及提取出拦截数据中的流量数据和进程数据,最后从中得到黑客信息,这样,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种基于高交互蜜罐技术的数据库监控方法、装置、设备。
背景技术
随着互联网技术的快速发展,越来越多的网络攻击工具和网络攻击技术被发明出来,针对信息安全问题的研究也得到广泛关注。
由于数据库是按照数据结构来组织、存储和管理数据的仓库,具有一些重要的商业信息,因此是攻击者进行攻击的主要目标之一。如何有效的监控数据库,防止攻击者进行攻击是目前需要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种基于高交互蜜罐技术的数据库监控方法、装置、设备,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。其具体方案如下:
第一方面,本申请公开了一种基于高交互蜜罐技术的数据库监控方法,包括:
通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;
通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;
通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
可选的,所述通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息之后,还包括:
利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录。
可选的,所述利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录之后,还包括:
利用所述黑客信息记录创建或更新对应的黑客画像;其中,所述黑客画像对应于黑客标识,所述黑客标识为利用IP地址创建的标识信息。
可选的,所述通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,包括:
通过Linux监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
可选的,所述通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,包括:
通过Windows监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
可选的,所述数据库监控方法,还包括:
在所述连接器和分析器之间增加所述hook钩子。
可选的,所述数据库监控方法,还包括:
在所述hook钩子将所述拦截数据传输至所述监控进程后,对所述拦截数据放行。
第二方面,本申请公开了一种基于高交互蜜罐技术的数据库监控装置,包括:
高交互蜜罐节点,所述高交互蜜罐节点包括拦截数据获取模块和目标数据提取模块,其中,
所述拦截数据获取模块,用于通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;
所述目标数据提取模块,用于通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;
分析中心,用于分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
第三方面,本申请公开了一种数据库监控设备,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现前述的基于高交互蜜罐技术的数据库监控方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述的基于高交互蜜罐技术的数据库监控方法。
可见,本申请通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库,然后通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,最后通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。也即,申请基于高交互蜜罐技术拦截连接器传递到分析器中的数据,以及提取出拦截数据中的流量数据和进程数据,最后从中得到黑客信息,这样,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种基于高交互蜜罐技术的数据库监控方法流程图;
图2为现有技术中数据库客户端的处理流程图;
图3为本申请公开的一种数据库客户端的处理流程图;
图4为本申请公开的一种具体的基于高交互蜜罐技术的数据库监控方法流程图;
图5为本申请公开的一种基于高交互蜜罐技术的数据库监控方法子流程图;
图6为本申请公开的一种具体的基于高交互蜜罐技术的数据库监控方法流程图;
图7为本申请公开的一种具体的基于高交互蜜罐技术的数据库监控方法流程图;
图8为本申请公开的一种基于高交互蜜罐技术的数据库监控装置结构示意图;
图9为本申请公开的一种数据库监控设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
由于数据库是按照数据结构来组织、存储和管理数据的仓库,具有一些重要的商业信息,因此是攻击者进行攻击的主要目标之一。如何有效的监控数据库,防止攻击者进行攻击是目前需要解决的问题。为此,本申请提供了一种基于高交互蜜罐技术的数据库监控方法,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。
参见图1所示,本申请实施例公开了一种基于高交互蜜罐技术的数据库监控方法,包括:
步骤S11:通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库。
在具体的实施方式中,本申请实施例可以在所述连接器和分析器之间增加所述hook钩子。
也即,本申请实施例改造高交互蜜罐中的数据库,在数据库客户端的连接器和分析器中间增加hook钩子,利用hook技术运行时动态的将钩子函数依附在数据库正常的进程中,从而实现替换现有处理逻辑功能。因为数据库系统的网络连接采用了多线程模型,维护一个线程池,每当有一个新的连接请求时,就从一个空闲的线程池选择一个线程进行处理,运行的进程空间都是独立的,程序的运行彼此间都不受干扰。查询的过程也是按照后台设定好的逻辑处理,也是根据时间流程一步步地向下执行,因此本实施例在数据库客户端的连接器和分析器中间增加hook钩子,在事件传送到终点前截获并监控事件的传输。数据库客户端为用于与数据库连接的计算机程序,例如,参见图2所示,图2为现有技术中数据库客户端的处理流程图;参见图3所示,图3为本申请实施例公开的一种数据库客户端的处理流程图。
其中,高交互蜜罐为一个攻击者可以进行自由操作的真实环境。蜜罐是一种诱饵系统,用于检测和警告攻击者的恶意活动。智能蜜罐解决方案可以将黑客从用户真实数据中心转移出去,还可以让用户更详细地了解黑客的行为,而不会对数据中心或云性能造成任何干扰。蜜罐思想的核心即欺骗伪装技术,通过伪装真实业务或模拟周知漏洞,诱导黑客攻击,通过部署大量蜜罐服务,混淆黑客视线,将攻击者的活力诱导到蜜罐上,从而在一定程度上保护真实服务,黑客被诱导进入蜜罐后,对黑客的行为进性跟踪、记录、取证、溯源,在与黑客的攻防战中占据主动权。高交互蜜罐是欺骗技术中规模的另一端。攻击者不是简单地模拟某些协议或服务,而是提供真实的攻击环境,使得他们猜测被转移或观察的可能性大大降低。
步骤S12:通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
在具体的实施方式中,本申请实施例可以通过Linux监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,或通过Windows监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
也即,Hook钩子程序在数据拦截成功以后先会将拦截数据传递到高交互蜜罐本身的监控进程中,高交互蜜罐的操作系统分成linux操作系统和windows操作系统。其中,Linux系统高交互蜜罐通过inotify监控linux系统事件,Windows系统高交互蜜罐通过预设windows底层驱动程序来监测系统的事件。高交互蜜罐的监控程序能实时监控高交互蜜罐的网络连接和程序进程,会在数据库连接进来以后进行进一步监控。在数据库完成每一步操作后,把hook传递过来的数据分析处理后,传递给分析中心。
例如,参见图4所示,图4为本申请实施例公开的一种具体的基于高交互蜜罐技术的数据库监控方法流程图。
步骤S13:通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
在具体的实施方式中,分析中心将监控进程上传的数据进行分析处理,对于进程数据,分析中心会把监控进程上传上来的拦截的数据进行重新处理,SQL查询语句解析器会分析SQL语句中每个用空格或者逗号分割的字符串,把SELECT等关键词提取出来,把语句里的标识为表名的字符串对应到MySQL的表,把每一个column对应到表里的字段。然后填写为攻击行为的数据内容。对于流量数据,把pcap流量包即针对网络接口、端口和协议的数据包截取的数据,重新进行解析,获取到攻击者的连接事件的开始时间、连接事件的结束时间、攻击源IP、受攻击目标IP,攻击端口和受攻击端口等数据,得到对应的黑客信息。
并且,本实施例可以利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录。利用所述黑客信息记录创建或更新对应的黑客画像;其中,所述黑客画像对应于黑客标识,所述黑客标识为利用IP地址创建的标识信息。
也即,本实施例可以根据IP地址唯一性的特点创建对应的黑客ID,从而实现创建黑客名单。利用得到的黑客信息,根据内置设定好的数据模型来添加黑客名单的具体数据,通过黑客名单能具体获悉该黑客具体进行了哪些操作。黑客名单中包括全部的黑客画像。
例如,参见图5所示,图5为本申请实施例公开的一种基于高交互蜜罐技术的数据库监控方法子流程图。本实施例利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录。然后判断所述黑客信息记录中的IP地址是否为分析中心本地存在的IP地址,如果为本地已存在的IP地址,则判断本地是否存在对应的黑客标识,如果存在对应的黑客标识,则更新对应的黑客画像,也即,更新黑客名单信息,如果不存在对应的黑客标识,则创建黑客标识,并创建对应的黑客画像。如果分析中心,本地不存在所对应IP地址,则创建对应的黑客标识以及对应的黑客画像。
例如,参见图6所示,图6为本申请实施例公开的一种具体的基于高交互蜜罐技术的数据库监控方法流程图。也即,本实施例改造数据库,在数据库客户端的连接器和分析器中间增加hook钩子,利用hook技术将数据库连接器中传递到分析器中的语句和流量包转发给指定的分析中心。最后,分析中心根据转发过来的语句和流量包实现对攻击者的信息综合分析处理,根据IP的唯一性实现黑客统计。
可见,本申请实施例通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库,然后通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,最后通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。也即,申请基于高交互蜜罐技术拦截连接器传递到分析器中的数据,以及提取出拦截数据中的流量数据和进程数据,最后从中得到黑客信息,这样,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。
参见图7所示,本申请实施例公开了一种具体的基于高交互蜜罐技术的数据库监控方法,包括:
步骤S21:通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库。
步骤S22:在所述hook钩子将所述拦截数据传输至监控进程后,对所述拦截数据放行。
也即,本申请实施例可以在在所述hook钩子将所述拦截数据传输至高交互蜜罐的监控进程后,对所述拦截数据放行,让数据能够传递到分析器中进一步完成语句的分析,以完成正常的流程。这样,可以提高数据库蜜罐的欺骗性,防止攻击者发现蜜罐,然后放弃攻击。
步骤S23:通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
步骤S24:通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
其中,关于上述步骤S23和S24的具体过程可以参考前述实施例以及后续实施例公开的相应内容,在此不进行具体阐述。
参见图8所示,本申请实施例公开了一种基于高交互蜜罐技术的数据库监控装置,包括:
高交互蜜罐节点11,所述高交互蜜罐节点11包括拦截数据获取模块111和目标数据提取模块112,其中,
所述拦截数据获取模块,用于通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;
所述目标数据提取模块,用于通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;
分析中心12,用于分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
可见,本申请实施例通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库,然后通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,最后通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。也即,申请基于高交互蜜罐技术拦截连接器传递到分析器中的数据,以及提取出拦截数据中的流量数据和进程数据,最后从中得到黑客信息,这样,能够有效的监控数据库,及时发现黑客攻击,从而有效的保障数据库的安全性。
其中,所述分析中心12,还用于利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录,以及利用所述黑客信息记录创建或更新对应的黑客画像;其中,所述黑客画像对应于黑客标识,所述黑客标识为利用IP地址创建的标识信息。
目标数据提取模块112,具体用于通过Linux监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,或通过Windows监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
所述高交互蜜罐节点11,还用于在所述连接器和分析器之间增加所述hook钩子。
所述高交互蜜罐节点11,还用于在所述hook钩子将所述拦截数据传输至所述监控进程后,对所述拦截数据放行。
参见图9所示,本申请实施例公开了一种数据库监控设备,包括处理器21和存储器22;其中,所述存储器22,用于保存计算机程序;所述处理器21,用于执行所述计算机程序,以实现前述实施例公开的基于高交互蜜罐技术的数据库监控方法。
关于上述基于高交互蜜罐技术的数据库监控方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述实施例公开的基于高交互蜜罐技术的数据库监控方法。
关于上述基于高交互蜜罐技术的数据库监控方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种基于高交互蜜罐技术的数据库监控方法、装置、设备进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种基于高交互蜜罐技术的数据库监控方法,其特征在于,包括:
通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;
通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;
通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
2.根据权利要求1所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,所述通过分析中心分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息之后,还包括:
利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录。
3.根据权利要求2所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,所述利用预设数据模型记录所述黑客信息,以得到对应的黑客信息记录之后,还包括:
利用所述黑客信息记录创建或更新对应的黑客画像;其中,所述黑客画像对应于黑客标识,所述黑客标识为利用IP地址创建的标识信息。
4.根据权利要求1所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,所述通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,包括:
通过Linux监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
5.根据权利要求1所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,所述通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据,包括:
通过Windows监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据。
6.根据权利要求1所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,还包括:
在所述连接器和分析器之间增加所述hook钩子。
7.根据权利要求1至6任一项所述的基于高交互蜜罐技术的数据库监控方法,其特征在于,还包括:
在所述hook钩子将所述拦截数据传输至所述监控进程后,对所述拦截数据放行。
8.一种基于高交互蜜罐技术的数据库监控装置,其特征在于,包括:
高交互蜜罐节点,所述高交互蜜罐节点包括拦截数据获取模块和目标数据提取模块,其中,
所述拦截数据获取模块,用于通过hook钩子拦截连接器传递到分析器的数据,得到拦截数据;所述连接器和所述分析器对应于待监控数据库;
所述目标数据提取模块,用于通过高交互蜜罐的监控进程对所述拦截数据进行分析处理,提取出对应的流量数据和进程数据;
分析中心,用于分别提取所述流量数据和进程数据中的目标关键信息,以得到对应的黑客信息。
9.一种数据库监控设备,其特征在于,包括处理器和存储器;其中,
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的基于高交互蜜罐技术的数据库监控方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的基于高交互蜜罐技术的数据库监控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010543069.4A CN111680294A (zh) | 2020-06-15 | 2020-06-15 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010543069.4A CN111680294A (zh) | 2020-06-15 | 2020-06-15 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111680294A true CN111680294A (zh) | 2020-09-18 |
Family
ID=72435857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010543069.4A Pending CN111680294A (zh) | 2020-06-15 | 2020-06-15 | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111680294A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935193A (zh) * | 2020-10-13 | 2020-11-13 | 江苏开博科技有限公司 | 基于伪装代理与动态技术相关联的自动化安全防护方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| US20170149787A1 (en) * | 2015-11-19 | 2017-05-25 | F-Secure Corporation | Security of Computer Resources |
| CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN110677438A (zh) * | 2019-11-15 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 一种攻击链构建方法、装置、设备、介质 |
| CN110750788A (zh) * | 2019-10-16 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的病毒文件检测方法 |
-
2020
- 2020-06-15 CN CN202010543069.4A patent/CN111680294A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101692267A (zh) * | 2009-09-15 | 2010-04-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
| CN102291397A (zh) * | 2011-08-04 | 2011-12-21 | 中国科学院计算技术研究所 | 一种僵尸网络追踪方法 |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN103051615A (zh) * | 2012-12-14 | 2013-04-17 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
| CN103150509A (zh) * | 2013-03-15 | 2013-06-12 | 长沙文盾信息技术有限公司 | 一种基于虚拟执行的病毒检测系统 |
| US20170149787A1 (en) * | 2015-11-19 | 2017-05-25 | F-Secure Corporation | Security of Computer Resources |
| CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
| CN109088901A (zh) * | 2018-10-31 | 2018-12-25 | 杭州默安科技有限公司 | 基于sdn构建动态网络的欺骗防御方法和系统 |
| CN109873811A (zh) * | 2019-01-16 | 2019-06-11 | 光通天下网络科技股份有限公司 | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 |
| CN109831447A (zh) * | 2019-03-05 | 2019-05-31 | 浙江大学 | 一种基于nfv的智能蜜网系统 |
| CN110750788A (zh) * | 2019-10-16 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的病毒文件检测方法 |
| CN110677438A (zh) * | 2019-11-15 | 2020-01-10 | 杭州安恒信息技术股份有限公司 | 一种攻击链构建方法、装置、设备、介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935193A (zh) * | 2020-10-13 | 2020-11-13 | 江苏开博科技有限公司 | 基于伪装代理与动态技术相关联的自动化安全防护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| EP3295359B1 (en) | Detection of sql injection attacks | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| CN109495443B (zh) | 一种基于主机蜜罐对抗勒索软件攻击的方法和系统 | |
| CN111756759B (zh) | 一种网络攻击溯源方法、装置及设备 | |
| CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
| Wang et al. | Automatically Traceback RDP‐Based Targeted Ransomware Attacks | |
| CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
| CN111651757A (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN113422771A (zh) | 威胁预警方法和系统 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN107566401B (zh) | 虚拟化环境的防护方法及装置 | |
| CN113992444A (zh) | 一种基于主机防御的网络攻击溯源与反制系统 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
| Wang et al. | RansomTracer: exploiting cyber deception for ransomware tracing | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200918 |
|
| RJ01 | Rejection of invention patent application after publication |