CN111756742A - 一种蜜罐欺骗防御系统及其欺骗防御方法 - Google Patents

一种蜜罐欺骗防御系统及其欺骗防御方法 Download PDF

Info

Publication number
CN111756742A
CN111756742A CN202010589236.9A CN202010589236A CN111756742A CN 111756742 A CN111756742 A CN 111756742A CN 202010589236 A CN202010589236 A CN 202010589236A CN 111756742 A CN111756742 A CN 111756742A
Authority
CN
China
Prior art keywords
honeypot
service module
request
service
return value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010589236.9A
Other languages
English (en)
Other versions
CN111756742B (zh
Inventor
吴建亮
胡鹏
刘琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Jeeseen Network Technologies Co Ltd
Original Assignee
Guangzhou Jeeseen Network Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jeeseen Network Technologies Co Ltd filed Critical Guangzhou Jeeseen Network Technologies Co Ltd
Priority to CN202010589236.9A priority Critical patent/CN111756742B/zh
Publication of CN111756742A publication Critical patent/CN111756742A/zh
Application granted granted Critical
Publication of CN111756742B publication Critical patent/CN111756742B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

一种蜜罐欺骗防御系统及其欺骗防御方法,设置有蜜罐和服务模块;所述蜜罐输入查看网络配置指令,并向服务模块发送服务请求,接收服务模块返回的返回值并进行显示;所述服务模块,接收蜜罐发送的服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐。本发明在没有真实改变蜜罐的网络属性情况下,给攻击者营造一种蜜罐可连通外网的错觉,从而减少了攻击者对蜜罐真实性的怀疑,也可吸引攻击者更深入地在内渗透。丰富了整个欺骗防御系统的网络配置。

Description

一种蜜罐欺骗防御系统及其欺骗防御方法
技术领域
本发明涉及蜜罐技术领域,特别涉及一种蜜罐欺骗防御系统及其欺骗防御方法。
背景技术
欺骗防御系统的一大价值在于溯源取证,利用仿真的系统环境,吸引攻击者在仿真的虚拟环境中不断渗透,以此捕获更多的攻击数据,便于防御方了解攻击者来源的同时,也可了解自身内网环境的安全态势和存在的不足。
因此,要想吸引攻击者在虚假的网络环境中不断渗透,为应急响应争取更多的时间,延缓网络攻击,就必须提高欺骗防御系统的真实性,而提高欺骗防御系统的真实性,最主要的是提高蜜罐的真实性,让进入到蜜罐的攻击者,无法察觉系统的真实性。
在现有技术中,为了防止蜜罐成为攻击者的跳板,蜜罐往往被设计成无网络的状态,即无法通过蜜罐访问互联网,但是在真实的网络环境中,往往有的区域设备是允许访问互联网的,例如办公区的员工办公电脑。因此攻击者能够通过输入系统命令或通信协议查看返回的数据信息,通过设备接口配置情况判断是否为蜜罐。
因此,针对现有技术不足,提供一种蜜罐欺骗防御系统及其欺骗防御方法以解决现有技术不足甚为必要。
发明内容
本发明的其中一个目的在于避免现有技术的不足之处而提供一种蜜罐欺骗防御系统。该蜜罐欺骗防御系统能贴合真实的网络环境,具有更高的诱导性的优点。
本发明的上述目的通过以下技术措施实现:
提供一种蜜罐欺骗防御系统,设置有服务模块和处于非联网状态蜜罐;
当在蜜罐输入查看网络配置指令时,所述蜜罐向服务模块发送服务请求,接收服务模块返回的返回值并进行显示以形成蜜罐处于在网状态的假象;
所述服务模块,接收蜜罐发送的服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐。
优选的,上述配置指令为ifconfig、ping、netstat、yast或者service networkstatu。
优选的,上述服务模块存储有与查看网络配置指令对应的预设数据关系信息。
优选的,上述返回值为与查看网络配置指令对应的预设数据,返回值为体现蜜罐处于在网状态的虚假数据。
优选的,上述蜜罐设置有请求输出端和数据输入端。通过所述请求输出端向服务模块发送服务请求,通过所述数据输入端接收服务模块返回的预设数据。
优选的,上述服务模块设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐的服务请求,通过所述数据输出端向蜜罐发送预设数据。
本发明的另一个目的在于避免现有技术的不足之处而提供一种欺骗防御方法。该欺骗防御方法能贴合真实的网络环境,具有更高的诱导性的优点。
本发明的上述目的通过以下技术措施实现:
提供一种欺骗防御方法,采用上述的蜜罐欺骗防御系统,实现对非在网状态的蜜罐进行网络配置指令查询时的蜜罐在网状态的反馈欺骗防御。
在蜜罐内输入查看网络配置指令,蜜罐向服务模块发出服务请求;服务模块接收服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐;蜜罐接收并显示服务模块返回的返回值。
蜜罐设置有请求输出端和数据输入端,通过所述请求输出端向服务模块发送服务请求,通过所述数据输入端接收服务模块返回的预设数据。
服务模块设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐的服务请求,通过所述数据输出端向蜜罐发送预设数据。
本发明的一种蜜罐欺骗防御系统及其欺骗防御方法,设置有蜜罐和服务模块;所述蜜罐输入查看网络配置指令,并向服务模块发送服务请求,接收服务模块返回的返回值并进行显示;所述服务模块,接收蜜罐发送的服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐。本发明具有的有益效果如下:1、在没有真实改变蜜罐的网络属性情况下,给攻击者营造一种蜜罐可连通外网的错觉,从而减少了攻击者对蜜罐真实性的怀疑,也可吸引攻击者更深入地在内渗透。2、丰富了整个欺骗防御系统的网络配置。
附图说明
利用附图对本发明作进一步的说明,但附图中的内容不构成对本发明的任何限制。
图1为本发明的一种蜜罐欺骗防御系统的示意图。
在图1中,包括有:
蜜罐100和服务模块200。
具体实施方式
结合以下实施例对本发明的技术方案作进一步说明。
实施例1。
一种蜜罐欺骗防御系统,如图1所示,设置有蜜罐100和服务模块200,蜜罐处于非联网状态。
当在蜜罐100输入查看网络配置指令时,蜜罐向向服务模块200发送服务请求,接收服务模块返回的返回值并进行显示以形成蜜罐处于在网状态的假象。
服务模块200,接收蜜罐100发送的服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐100。
本发明的配置指令为ifconfig、ping、netstat、yast或者service networkstatu。
其中服务模块200存储有与查看网络配置指令对应的预设数据关系信息。返回值为体现蜜罐处于在网状态的虚假数据。
蜜罐100设置有请求输出端和数据输入端,通过所述请求输出端向服务模块200发送服务请求,通过所述数据输入端接收服务模块200返回的预设数据。
本发明的服务模块200设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐100的服务请求,通过所述数据输出端向蜜罐100发送预设数据。
现有技术为了防止蜜罐100成为攻击者的跳板,蜜罐100往往被设计成无网络的状态,即无法通过蜜罐100访问互联网,故攻击可以在攻击蜜罐100后,输入查看查看网络配置指令,因蜜罐100没有连接网络,所以蜜罐100并没有返回值显示。
而本发明的蜜罐欺骗防御系统,通过设置服务模块200,当攻击者在蜜罐100输入查看网络配置指令时,蜜罐100发送服务请求给服务模块200,服务模块200根据预先设置有查看网络配置指令对应的预设数据,服务模块200并根据这次收接的网络配置指令得到对应的预设数据,服务模块200再将该预设数据返回至蜜罐100,蜜罐100并将这些数据显示出来,从而造成蜜罐100可访问外网的假象。实际中蜜罐并没有与联网,只是通过服务模块实现了对蜜罐网络配置指令查询时的反馈,形成蜜罐联网的假象。
本发明以本实施例为进行说明,在蜜罐100输入查看网络配置指令pingwww.baidu.com,服务模块200根据查看网络配置指令在数据库中匹配与查看网络配置指令对应的预设数据得到返回值,并将返回值返回至蜜罐100,蜜罐100显示网络连通时的预设数据,给攻击者营造一种网络连通的错觉。
该蜜罐欺骗防御系统,能在没有真实改变蜜罐100的网络属性情况下,通过服务模块200给攻击者营造一种蜜罐100可连通外网的错觉,从而减少了攻击者对蜜罐100真实性的怀疑,从而可以吸引攻击者更深入地在内渗透。本发明的蜜罐欺骗防御系统还能丰富整个欺骗防御系统的网络配置。
实施例2。
一种欺骗防御方法,采用实施例1的蜜罐欺骗防御系统,实现对非在网状态的蜜罐进行网络配置指令查询时的蜜罐在网状态的反馈欺骗防御。
在蜜罐100内输入查看网络配置指令,蜜罐100向服务模块200发出服务请求;服务模块200接收服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐100;蜜罐100接收并显示服务模块200返回的返回值。
该欺骗防御方法,能在没有真实改变蜜罐100的网络属性情况下,通过服务模块200给攻击者营造一种蜜罐100可连通外网的错觉,从而减少了攻击者对蜜罐100真实性的怀疑,从而可以吸引攻击者更深入地在内渗透。本发明的蜜罐欺骗防御系统还能丰富整个欺骗防御系统的网络配置。
实施例3。
一种欺骗防御方法,采用实施例1的蜜罐欺骗防御系统。
蜜罐100设置有请求输出端和数据输入端,通过所述请求输出端向服务模块200发送服务请求,通过所述数据输入端接收服务模块200返回的预设数据。
服务模块200设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐100的服务请求,通过所述数据输出端向蜜罐100发送预设数据。
该欺骗防御方法,能在没有真实改变蜜罐100的网络属性情况下,通过服务模块200给攻击者营造一种蜜罐100可连通外网的错觉,从而减少了攻击者对蜜罐100真实性的怀疑,从而可以吸引攻击者更深入地在内渗透。本发明的蜜罐欺骗防御系统还能丰富整个欺骗防御系统的网络配置。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细说明,本领域的普通技术人员应当理解,可以对本发明技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (9)

1.一种蜜罐欺骗防御系统,其特征在于:设置有服务模块和处于非联网状态蜜罐;
当在蜜罐输入查看网络配置指令时,所述蜜罐向服务模块发送服务请求,接收服务模块返回的返回值并进行显示以形成蜜罐处于在网状态的假象;
所述服务模块,接收蜜罐发送的服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐。
2.根据权利要求1所述的蜜罐欺骗防御系统,其特征在于:所述查看网络配置指令为ifconfig、ping、netstat、yast或者service network statu。
3.根据权利要求2所述的蜜罐欺骗防御系统,其特征在于:所述服务模块存储有与查看网络配置指令对应的预设数据关系信息。
4.根据权利要求3所述的蜜罐欺骗防御系统,其特征在于:所述返回值为与查看网络配置指令对应的预设数据,所述返回值为体现蜜罐处于在网状态的虚假数据。
5.根据权利要求1至4任意一项所述的蜜罐欺骗防御系统,其特征在于:所述蜜罐设置有请求输出端和数据输入端,通过所述请求输出端向服务模块发送服务请求,通过所述数据输入端接收服务模块返回的预设数据。
6.根据权利要求1至4任意一项所述的蜜罐欺骗防御系统,其特征在于:所述服务模块设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐的服务请求,通过所述数据输出端向蜜罐发送预设数据。
7.一种欺骗防御方法,其特征在于:通过如权利要求1至6任意一项所述的蜜罐欺骗防御系统,实现对非在网状态的蜜罐进行网络配置指令查询时的蜜罐在网状态的反馈欺骗防御。
8.根据权利要求7所述的欺骗防御方法,其特征在于:在蜜罐内输入查看网络配置指令,蜜罐向服务模块发出服务请求;服务模块接收服务请求,根据服务请求中的查看网络配置指令匹配对应的预设数据得到返回值,再将返回值返回至所述蜜罐;蜜罐接收并显示服务模块返回的返回值。
9.根据权利要求8所述的欺骗防御方法,其特征在于:
蜜罐设置有请求输出端和数据输入端,通过所述请求输出端向服务模块发送服务请求,通过所述数据输入端接收服务模块返回的预设数据;
服务模块设置有请求输入端和数据输出端,通过所述请求输入端接收蜜罐的服务请求,通过所述数据输出端向蜜罐发送预设数据。
CN202010589236.9A 2020-06-24 2020-06-24 一种蜜罐欺骗防御系统及其欺骗防御方法 Active CN111756742B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010589236.9A CN111756742B (zh) 2020-06-24 2020-06-24 一种蜜罐欺骗防御系统及其欺骗防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010589236.9A CN111756742B (zh) 2020-06-24 2020-06-24 一种蜜罐欺骗防御系统及其欺骗防御方法

Publications (2)

Publication Number Publication Date
CN111756742A true CN111756742A (zh) 2020-10-09
CN111756742B CN111756742B (zh) 2021-07-13

Family

ID=72677115

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010589236.9A Active CN111756742B (zh) 2020-06-24 2020-06-24 一种蜜罐欺骗防御系统及其欺骗防御方法

Country Status (1)

Country Link
CN (1) CN111756742B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179280A (zh) * 2021-05-21 2021-07-27 深圳市安之天信息技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8413241B2 (en) * 2009-09-17 2013-04-02 Oracle America, Inc. Integrated intrusion deflection, detection and introspection
CN103368979A (zh) * 2013-08-08 2013-10-23 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
CN103561004A (zh) * 2013-10-22 2014-02-05 西安交通大学 基于蜜网的协同式主动防御系统
CN103746956A (zh) * 2012-09-28 2014-04-23 瞻博网络公司 虚拟蜜罐
CN104978519A (zh) * 2014-10-31 2015-10-14 哈尔滨安天科技股份有限公司 一种应用型蜜罐的实现方法及装置
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法
CN110719253A (zh) * 2019-08-29 2020-01-21 四川大学 一种基于智能问答的Web蜜罐系统
CN111126440A (zh) * 2019-11-25 2020-05-08 广州大学 一种基于深度学习的一体化工控蜜罐识别系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8413241B2 (en) * 2009-09-17 2013-04-02 Oracle America, Inc. Integrated intrusion deflection, detection and introspection
CN103746956A (zh) * 2012-09-28 2014-04-23 瞻博网络公司 虚拟蜜罐
CN103368979A (zh) * 2013-08-08 2013-10-23 电子科技大学 一种基于改进K-means算法的网络安全性验证装置
CN103561004A (zh) * 2013-10-22 2014-02-05 西安交通大学 基于蜜网的协同式主动防御系统
CN104978519A (zh) * 2014-10-31 2015-10-14 哈尔滨安天科技股份有限公司 一种应用型蜜罐的实现方法及装置
CN110719253A (zh) * 2019-08-29 2020-01-21 四川大学 一种基于智能问答的Web蜜罐系统
CN110557405A (zh) * 2019-09-30 2019-12-10 河海大学 一种高交互ssh蜜罐实现方法
CN111126440A (zh) * 2019-11-25 2020-05-08 广州大学 一种基于深度学习的一体化工控蜜罐识别系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郭建伟: "巧设陷阱,使用蜜罐诱捕黑客", 《网络安全和信息化》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113179280A (zh) * 2021-05-21 2021-07-27 深圳市安之天信息技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备
CN113179280B (zh) * 2021-05-21 2022-11-22 深圳安天网络安全技术有限公司 基于恶意代码外联行为的欺骗防御方法及装置、电子设备

Also Published As

Publication number Publication date
CN111756742B (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
US11271879B2 (en) Information transmission control method, apparatus, and system
CN101180826B (zh) 较高级协议认证
CN109347881B (zh) 基于网络欺骗的网络防护方法、装置、设备及存储介质
CN111404934B (zh) 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统
CN112383538B (zh) 一种混合式高交互工业蜜罐系统及方法
CN104980920A (zh) 智能终端建立通信连接的方法及装置
CN113179280B (zh) 基于恶意代码外联行为的欺骗防御方法及装置、电子设备
US20180159897A1 (en) Security system, security method, and recording medium for storing program
CN110351238A (zh) 工控蜜罐系统
WO2015014215A1 (en) Domain name resolution method, system and device
JPWO2016189843A1 (ja) セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
CN111756742B (zh) 一种蜜罐欺骗防御系统及其欺骗防御方法
CN110266650A (zh) Conpot工控蜜罐的识别方法
CN102655509A (zh) 一种网络攻击识别方法及装置
CN102231748A (zh) 一种客户端验证方法及装置
CN101626375A (zh) 域名防护系统及方法
CN114584359B (zh) 安全诱捕方法、装置和计算机设备
CN109981603A (zh) Arp攻击监测系统及方法
Goutam The problem of attribution in cyber security
CN108718320B (zh) 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
CN109474567A (zh) Ddos攻击溯源方法、装置、存储介质及电子设备
Kang et al. CAPTCHA phishing: A practical attack on human interaction proofing
CN107466040A (zh) 一种路由器蹭网提醒用户的方法及系统
CN114567458A (zh) 一种快速识别监控设备的系统和方法
CN105208139B (zh) 一种终端建立连接的方法、终端和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant