CN111787021A - 基于攻击行为的蜜饵生成方法、装置、设备和介质 - Google Patents
基于攻击行为的蜜饵生成方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN111787021A CN111787021A CN202010639466.1A CN202010639466A CN111787021A CN 111787021 A CN111787021 A CN 111787021A CN 202010639466 A CN202010639466 A CN 202010639466A CN 111787021 A CN111787021 A CN 111787021A
- Authority
- CN
- China
- Prior art keywords
- honey
- attack
- honey bait
- bait
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 312
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000006399 behavior Effects 0.000 claims description 59
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 206010001488 Aggression Diseases 0.000 claims description 10
- 230000016571 aggressive behavior Effects 0.000 claims description 10
- 208000012761 aggressive behavior Diseases 0.000 claims description 10
- 241000256844 Apis mellifera Species 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 6
- 230000001939 inductive effect Effects 0.000 claims description 5
- 238000005422 blasting Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 2
- 230000035515 penetration Effects 0.000 claims description 2
- 230000007123 defense Effects 0.000 abstract description 10
- 238000005516 engineering process Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及一种基于攻击行为的蜜饵生成方法、装置、系统、计算机设备和存储介质,其中,该基于攻击行为的蜜饵生成方法包括捕获攻击行为的攻击信息;提取攻击信息的多个攻击特征的特征值;根据多个攻击特征的特征值生成蜜饵文件,并将蜜饵文件投放至预设目标位置。通过本申请解决了相关技术中蜜饵易被攻击者识破而不能诱导攻击者进一步攻击,造成网络入侵防御能力低的问题,实现了依据攻击行为自动生成并释放蜜饵文件,提高网络入侵的防御能力。
Description
技术领域
本申请涉及网络信息安全计算领域,特别是涉及基于攻击行为的蜜饵生成方法、装置、系统、计算机设备和存储介质。
背景技术
随着互联网技术的高速发展,网络攻击成为互联网中的重大安全问题。蜜罐作为一种主动防护的主要技术,在互联网技术的攻防场景中得到广泛应用。
蜜罐(honeypot)是一种用于诱捕入侵者的安全资源,它不需要提供实际的应用,其存在的目的是为了诱导和记录攻击者的攻击行为,延缓其攻击进程,使得防御方可以了解攻击者的入侵方法和手段,并根据捕获的攻击行为数据,针对性地增强系统的安全防护能力,以达到保护真实主机目标。
蜜饵作为蜜罐的重要组成部分,其决定了蜜罐的欺骗诱捕能力,通过蜜饵,能很好的掌握及获取攻击者的手段和方法。
但现有蜜饵生成方式包括通过预置蜜饵下放和通过蜜饵服务器将预先设置的蜜饵下发;其中,采用预置蜜饵方式不能够根据实时的网络攻击变更蜜饵,预置蜜饵易被攻击者识破而放弃进一步攻击;采用服务器的方式下发蜜饵,下发的蜜饵缺少必要的依据,容易造成被攻击者识破而放弃进一步攻击。
目前针对相关技术中蜜饵易被攻击者识破而不能诱导攻击者进一步攻击,造成网络入侵防御能力低的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于攻击行为的蜜饵生成方法、装置、系统、计算机设备和存储介质,以至少解决相关技术中蜜饵易被攻击者识破而不能诱导攻击者进一步攻击,造成网络入侵防御能力低的问题。
第一方面,本申请实施例提供了一种基于攻击行为的蜜饵生成方法,包括:
捕获攻击行为的攻击信息;
提取所述攻击信息的多个攻击特征的特征值;
根据所述多个攻击特征的特征值生成蜜饵文件,并将所述蜜饵文件投放至预设目标位置。
在其中一些实施例中,根据所述多个攻击特征的特征值生成蜜饵文件包括:
对所述多个攻击特征的特征值进行加权运算,得到信息熵,其中,所述多个攻击特征的特征值包括:攻击工具、渗透行为、扫描行为、爆破行为和木马投放;
根据所述信息熵生成所述蜜饵文件。
在其中一些实施例中,所述信息熵包括蜜饵生成标记,根据所述信息熵生成所述蜜饵文件包括:
根据所述蜜饵生成标记判断是否允许生成所述蜜饵文件,并在判断到允许生成所述蜜饵文件的情况下,从预设数据库中摘取第一蜜饵数据;
将所述第一蜜饵数据和第一预设投放区域标记加密生成所述蜜饵文件。
在其中一些实施例中,所述信息熵还包括蜜饵类型标记,所述方法还包括:
在根据所述蜜饵生成标记判断到允许生成所述蜜饵文件的情况下,从预设数据库中摘取与所述蜜饵类型标记对应的第二蜜饵数据,其中,所述蜜饵类型标记根据所述攻击信息确定,所述蜜饵类型标记至少包括以下之一:文件、文件夹、数据库表、用户名、密码、证书信息、虚假流量;
将所述第二蜜饵数据和第二预设投放区域标记加密生成所述蜜饵文件,其中,所述第二预设投放区域标记根据所述蜜饵类型标记确定。
在其中一些实施例中,所述方法还包括:在根据所述蜜饵生成标记确定不允许生成所述蜜饵文件的情况下,重新捕获攻击行为的攻击特征。
在其中一些实施例中,将所述蜜饵文件投放至预设目标位置包括:
根据所述第一预设投放区域标记将所述蜜饵文件投放至预设目标位置,其中,所述预设目标位置包括蜜罐内部和蜜网内部。
第二方面,本申请实施例提供了一种基于攻击行为的蜜饵生成装置,包括:
捕获模块,用于捕获攻击行为的攻击信息;
统计模块,用于提取所述攻击信息的多个攻击特征的特征值;
处理模块,用于根据所述多个攻击特征的特征值生成蜜饵文件,并将所述蜜饵文件投放至预设目标位置。
第三方面,本申请实施例提供了一种蜜网系统,包括蜜网、蜜罐及蜜饵生成器;所述蜜网内部署有多个所述蜜罐,每一所述蜜罐中至少部署一个所述蜜饵生成器,所述蜜饵生成器包括特征提取模块、特征识别模块及蜜饵生成投放模块;
所述蜜网用于形成构建诱捕蜜罐环境;
所述蜜罐用于诱导攻击者进行攻击和/或监听攻击者的攻击行为;
所述特征提取模块用于提取攻击者发起攻击行为的攻击特征;
所述特征识别模块用于识别所述攻击特征的特征值;
所述蜜饵生成投放模块用于根据所述特征识别模块识别的特征值生成蜜饵文件,并将所述蜜饵文件投放至所述蜜罐内部和/或所述蜜网内部。
第四方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的基于攻击行为的蜜饵生成方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的基于攻击行为的蜜饵生成方法。
相比于相关技术,本申请实施例提供的基于攻击行为的蜜饵生成方法、装置、系统、计算机设备和存储介质,通过捕获攻击行为的攻击信息;提取攻击信息的多个攻击特征的特征值,根据多个攻击特征的特征值生成蜜饵文件,并将蜜饵文件投放至预设目标位置,解决了相关技术中蜜饵易被攻击者识破而不能诱导攻击者进一步攻击,造成网络入侵防御能力低的问题,实现了依据攻击行为自动生成并释放蜜饵文件,提高网络入侵的防御能力。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于攻击行为的蜜饵生成方法的流程图;
图2是根据本申请优选实施例的蜜饵文件生成方法的流程图;
图3是根据本申请实施例的基于攻击行为的蜜饵生成装置的结构框图;
图4是根据本申请实施例的蜜网系统的结构示意图;
图5是根据本申请实施例的蜜饵生成器的结构图;
图6是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本申请中描述的各种技术可用于网络安全领域的网络入侵的防御。在本申请涉及的技术领域中,尤其是主动防御网络入侵的技术中,主要涉及有蜜网、蜜罐以及蜜饵文件。其中,
蜜网(honeynet)是一个网络安全防御的网络系统,其并非某台单独的主机,由蜜网构建的网络系统是隐藏在防火墙后面,所有进出的资料都受到监控、捕获及控制,通过蜜网捕获的资料可以用于防御者对入侵者所使用的工具、方法及动机进行分析,进而针对性的增强真实网络系统的安全防护能力。
蜜罐(honeypot)是一种用于诱捕入侵者的安全资源,它不需要提供实际的应用,其存在的目的是为了诱导和记录攻击者的攻击行为,延缓其攻击进程,使得防御方可以了解攻击者的入侵方法和手段,并根据捕获的攻击行为数据,针对性地增强系统的安全防护能力,以达到保护真实主机目标。
蜜饵文件作为蜜罐欺骗诱捕的网络入侵攻击者的非用户创建的数据。蜜饵文件的数据需要与蜜罐场景或蜜罐仿真业务匹配才能起到诱捕的效果。
作为蜜罐技术的最终目的就是能够吸引攻击者对齐进行攻击,从而可以使防御者捕获攻击者的恶意攻击行为,方便防御者捕获恶意样本、获取攻击手段及定位攻击者。
为欺骗诱捕网络入侵攻击者在发现蜜饵文件后会依据蜜饵文件的数据采取下一步攻击行为,本实施例提供了一种基于攻击行为的蜜饵生成方法。图1是根据本申请实施例的基于攻击行为的蜜饵生成方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,捕获攻击行为的攻击信息。
在本实施例中,当网络入侵攻击者发起对蜜罐网络发起攻击时,蜜罐网络会实时捕捉网络入侵者的攻击行为,进而获取攻击行为所包含的攻击信息。当然,对于执行捕获攻击行为的计算机设备而言,其并不能对网络入侵者发起的攻击行为本身进行捕获,其仅能捕获的必然是攻击行为对应的攻击信息、数据。
步骤S102,提取攻击信息的多个攻击特征的特征值。
在本实施例中,蜜罐网络在获取到攻击信息后,会根据攻击信息分析网络入侵者的攻击意图,也就是通过提取攻击信息的多个攻击特征的特征值,其中,特征值是与网络入侵者的攻击意图相对应的。
步骤S103,根据多个攻击特征的特征值生成蜜饵文件,并将蜜饵文件投放至预设目标位置。
在本实施例中,在根据当前攻击行为的攻击特征预估网络入侵者的攻击意图之后,蜜罐网络会自动化生产蜜饵文件,也就是通过提取出的特征生成蜜饵文件,然后根据预设投放规则将蜜饵文件投放至预设目标位置,完成蜜饵文件分发,当蜜饵文件分发后,籍由蜜饵文件诱骗网络入侵者执行下一步的攻击手段、攻击路径和攻击目标。
通过上述步骤S101至步骤S103,通过捕获攻击行为的攻击信息;提取攻击信息的多个攻击特征的特征值;根据多个攻击特征的特征值生成蜜饵文件,并将蜜饵文件投放至预设目标位置,解决了相关技术中蜜饵易被攻击者识破而不能诱导攻击者进一步攻击,造成网络入侵防御能力低的问题。通过本申请,实现依据攻击行为的攻击信息自动化生成释放蜜饵文件至目标位置,有效的提高蜜罐网络及蜜网欺骗诱捕能力;同时,依据当前攻击特征的攻击信息生成蜜饵文件,能更加合理、准确的投放至目标位置,通过有效的诱导网络入侵者进行攻击而获取网络入侵者的入侵方法和手段,从而增强系统的安全防护能力。
在其中一些实施例中,蜜饵文件的生成是基于多个攻击特征的特征值的信息熵确定,根据多个攻击特征的特征值生成蜜饵文件包括如下步骤:
步骤S21,对多个攻击特征的特征值进行加权运算,得到信息熵,其中,多个攻击特征的特征值包括:攻击工具、渗透行为、扫描行为、爆破行为和木马投放。
在本实施例中,在获取到多个攻击特征的特征值(特征数据)之后,会通过特征值计算出本次攻击的信息熵,为后续生成蜜饵文件提供数据支撑。
步骤S22,根据信息熵生成蜜饵文件。
在本实施例中,在根据信息熵生成蜜饵文件的过程中,是根据信息熵中对应的标记与对应的蜜饵数据生成蜜饵文件,对应的蜜饵数据是预存储在数据库中的,信息熵本身不包含有蜜饵数据,信息熵决定了生成何种蜜饵文件以及投放位置。
通过步骤S21至步骤S22,采用对多个攻击特征的特征值进行加权运算,得到信息熵;根据信息熵生成蜜饵文件。解决了相关技术中采用预置蜜饵易被攻击者识破而不能诱导攻击者进一步攻击的问题,实现了基于当前攻击特征的攻击信息生成蜜饵文件。
在其中一些实施例中,信息熵包括蜜饵生成标记,根据信息熵生成蜜饵文件包括如下步骤:
步骤S31,根据蜜饵生成标记判断是否允许生成蜜饵文件,并在判断到允许生成蜜饵文件的情况下,从预设数据库中摘取第一蜜饵数据。
在本实施例中,蜜饵生成标记是用于判断是否生成蜜饵文件的,蜜饵生成标记包括允许生成和不生成,具体地,用0和1表示;例如:当计算的信息熵中的蜜饵生成标记为1时,则表示允许生成蜜饵文件。第一蜜饵数据是指生成的蜜饵文件中需要包括的数据,生成的蜜饵文件可以是以下其中一种:文件、文件夹、数据库表、用户名、用户密码、证书信息、虚假流量;故,第一蜜饵数据也可以是以下其中一种:文件、文件夹、数据库表、用户名、用户密码、证书信息、虚假流量。
步骤S32,将第一蜜饵数据和第一预设投放区域标记加密生成蜜饵文件。
在本实施例中,第一预设投放区域标记可以是基于蜜饵文件的生成属性和/或第一蜜饵数据的类型决定,第一预设投放区域标记包括1和0,其中,标记为1对应的蜜饵文件投放位置为自身蜜罐内部,标记为0对应的蜜饵文件投放位置为蜜网内(蜜罐外)。在将第一蜜饵数据和第一预设投放区域标记加密生成蜜饵文件后,该蜜饵文件中包含有将其投放到指定位置的标记,或者关联有将其投放到指定位置的标记。例如:可以将由第一蜜饵数据为文件或文件夹或数据库表生成的蜜饵文件的第一预设投放区域标记设置为1,将由第一蜜饵数据为用户名、用户密码、证书信息、虚假流量生成的蜜饵文件的第一预设投放区域标记设置为0,在生成蜜饵文件后,会根据第一预设投放区域标记的数字确定投放位置,也就是确定将蜜饵文件投放至蜜罐内还是蜜网内。
通过步骤S31至步骤S32,采用根据蜜饵生成标记判断是否允许生成蜜饵文件,并在判断到允许生成蜜饵文件的情况下,从预设数据库中摘取第一蜜饵数据;将第一蜜饵数据和第一预设投放区域标记加密生成蜜饵文件;实现了根据信息熵生成合理的蜜饵文件,并能使蜜饵文件能准确的释放至目标位置。
在其中一些实施例中,信息熵还包括蜜饵类型标记,根据信息熵生成蜜饵文件包括如下步骤:
步骤S41,根据蜜饵生成标记判断是否允许生成蜜饵文件,并在判断到允许生成蜜饵文件的情况下,从预设数据库中摘取与蜜饵类型标记对应的第二蜜饵数据,其中,蜜饵类型标记根据攻击信息确定,蜜饵类型标记至少包括以下之一:文件、文件夹、数据库表、用户名、密码、证书信息、虚假流量。
在本实施例中,蜜饵生成标记是用于判断是否生成蜜饵文件的,蜜饵生成标记包括允许生成和不生成,具体地,用0和1表示;例如:当计算的信息熵中的蜜饵生成标记为1时,则表示允许生成蜜饵文件;第二蜜饵数据为生成的蜜饵文件中需要包括的数据,生成的蜜饵文件可以是以下其中一种:文件、文件夹、数据库表、用户名、用户密码、证书信息、虚假流量,对应的第二蜜饵数据也可以是以下其中一种:文件、文件夹、数据库表、用户名、用户密码、证书信息、虚假流量;第二蜜饵数据可以用相应的标记进行表示,例如:使用标记N表示文件、文件夹、数据库表、用户名、用户密码、证书信息和虚假流量其中一种;蜜饵类型则对应文件、文件夹、数据库表、用户名、用户密码、证书信息和虚假流量的属性,蜜饵文件中包括的第二蜜饵数据是根据蜜饵类型选取的,也就是蜜饵类型决定了生成的蜜饵文件的类型。
步骤S42,将第二蜜饵数据和第二预设投放区域标记加密生成蜜饵文件,其中,第二预设投放区域标记根据蜜饵类型标记确定。
在本实施例中,第二预设投放区域标记是基于蜜饵类型决定,第二预设投放区域标记包括1和0,其中,标记为1对应的蜜饵文件投放位置为自身蜜罐内部,标记为0对应的蜜饵文件投放位置为蜜网内(蜜罐外)。在将第二蜜饵数据和第二预设投放区域标记加密生成蜜饵文件后,该蜜饵文件中包含有将其投放到指定位置的标记,或者关联有将其投放到指定位置的标记。例如:可以将由蜜饵类型对应为文件或文件夹或数据库表的第二预设投放区域标记设置为1,将蜜饵类型对应为用户名、用户密码、证书信息、虚假流量的第二预设投放区域标记设置为0,在生成蜜饵文件后,会根据第二预设投放区域标记的数字确定投放位置,也就是确定将蜜饵文件投放至蜜罐内还是蜜网内。
需要说明的是,本实施例中,将第二蜜饵数据和第二预设投放区域标记加密,是通过加密协议将蜜饵文件投放至指定区域,加密是为了更高的安全性。
通过步骤S41至步骤S42,采用根据蜜饵生成标记判断是否允许生成蜜饵文件,并在判断到允许生成蜜饵文件的情况下,从预设数据库中摘取与蜜饵类型标记对应的第二蜜饵数据;将第二蜜饵数据和第二预设投放区域标记加密生成蜜饵文件,实现了通过信息熵生成对应类型的蜜饵文件并能投放到准确的目标位置。
本实施例中的蜜饵文件的如下表格所示:
其中,标记1至标记5表示某一蜜饵文件中的第二蜜饵数据。
根据上述表格举例如下:当计算的信息熵中存在表示蜜饵文件的蜜饵数据的标记N,且对应的蜜饵生成标记的数字为1,即表示生成蜜饵文件N,而蜜饵文件N的投放位置则由标记N关联的第二投放区域标记所确定,且第二投放区域标记会存在生成的蜜饵文件中。
图2是根据本申请优选实施例的蜜饵文件生成的流程图。如图2所示,它包括如下步骤:
步骤S51,获取信息熵。
步骤S52,根据信息熵从预设数据库中摘取对应的第三蜜饵数据。
步骤S53,添加第三预设投放区域标记,并生成蜜饵文件。
在其中一些实施例中,该方法还包括如下步骤:
步骤S61,根据蜜饵生成标记判断是否允许生成蜜饵文件。
步骤S62,在确定不允许生成所述蜜饵文件的情况下,重新捕获攻击行为的攻击特征。
在其中一些实施例中,将蜜饵文件投放至预设目标位置包括如下步骤:根据第一预设投放区域标记将蜜饵文件投放至预设目标位置,其中,预设目标位置包括蜜罐内部和蜜网内部。
需要说明的是,将蜜饵文件投放至预设目标位置还可以执行如下步骤:
根据第二预设投放区域标记将蜜饵文件投放至预设目标位置,预设目标位置包括蜜罐内部和蜜网内部。
本实施例还提供了一种基于攻击行为的蜜饵生成装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请实施例的基于攻击行为的蜜饵生成装置的结构框图,如图3所示,该装置包括:
捕获模块31,用于捕获攻击行为的攻击信息;
统计模块32,与捕获模块31耦合连接,用于提取攻击信息的多个攻击特征的特征值;
处理模块33,与统计模块32耦合连接,用于根据多个攻击特征的特征值生成蜜饵文件,并将蜜饵文件投放至预设目标位置。
在其中一些实施例中,处理模块33还用于对多个攻击特征的特征值进行加权运算,得到信息熵;根据信息熵生成蜜饵文件。
在其中一些实施例中,信息熵包括蜜饵生成标记,处理模块33还用于根据蜜饵生成标记判断是否允许生成所述蜜饵文件,并在判断到允许生成蜜饵文件的情况下,从预设数据库中摘取第一蜜饵数据;将第一蜜饵数据和第一预设投放区域标记加密生成蜜饵文件。
在其中一些实施例中,信息熵还包括蜜饵类型标记,处理模块33还用于在根据蜜饵生成标记判断到允许生成蜜饵文件的情况下,从预设数据库中摘取与蜜饵类型标记对应的第二蜜饵数据,其中,蜜饵类型标记根据攻击信息确定,蜜饵类型标记至少包括以下之一:文件、文件夹、数据库表、用户名、密码、证书信息、虚假流量;将第二蜜饵数据和第二预设投放区域标记加密生成蜜饵文件,其中,第二预设投放区域标记根据蜜饵类型标记确定。
在其中一些实施例中,处理模块33还用于在根据蜜饵生成标记确定不允许生成蜜饵文件的情况下,重新捕获攻击行为的攻击特征。
在其中一些实施例中,处理模块33还用于根据第一预设投放区域标记将蜜饵文件投放至预设目标位置,其中,预设目标位置包括蜜罐内部和蜜网内部。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例提供了一种蜜网系统。图4是根据本申请实施例的蜜网系统的结构示意图。图5是根据本申请实施例的蜜饵生成器的结构图。如图4至图5所示,该蜜网系统包括:
蜜网41、蜜罐42及蜜饵生成器43;蜜网41内部署有多个蜜罐42,每一蜜罐42中至少部署一个蜜饵生成器43,蜜饵生成器43包括特征提取模块431、特征识别模块432及蜜饵生成投放模块433。
其中,蜜网41用于形成构建诱捕蜜罐环境。
其中,蜜罐42用于诱导攻击者进行攻击和/或监听攻击者的攻击行为。
其中,特征提取模块431用于提取攻击者发起攻击行为的攻击特征。
其中,特征识别模块432用于识别攻击特征的特征值。
其中,蜜饵生成投放模块433用于根据特征识别模块识别的特征值生成蜜饵文件,并将蜜饵文件投放至蜜罐内部和/或蜜网内部。
另外,结合图1描述的本申请实施例基于攻击行为的蜜饵生成方法可以由计算机设备来实现。图6为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器61以及存储有计算机程序指令的存储器62。
具体地,上述处理器61可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器62可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器62可在数据处理装置的内部或外部。在特定实施例中,存储器62是非易失性(Non-Volatile)存储器。在特定实施例中,存储器62包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器61所执行的可能的计算机程序指令。
处理器61通过读取并执行存储器62中存储的计算机程序指令,以实现上述实施例中的任意一种基于攻击行为的蜜饵生成方法。
在其中一些实施例中,计算机设备还可包括通信接口63和总线60。其中,如图6所示,处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。
通信接口63用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口63还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线60包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线60可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的网络入侵者的攻击行为的攻击信息,执行本申请实施例中的基于攻击行为的蜜饵生成方法,从而实现结合图1描述的基于攻击行为的蜜饵生成方法。
另外,结合上述实施例中的基于攻击行为的蜜饵生成方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于攻击行为的蜜饵生成方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于攻击行为的蜜饵生成方法,其特征在于,包括:
捕获攻击行为的攻击信息;
提取所述攻击信息的多个攻击特征的特征值;
根据所述多个攻击特征的特征值生成蜜饵文件,并将所述蜜饵文件投放至预设目标位置。
2.根据权利要求1所述的基于攻击行为的蜜饵生成方法,其特征在于,根据所述多个攻击特征的特征值生成蜜饵文件包括:
对所述多个攻击特征的特征值进行加权运算,得到信息熵,其中,所述多个攻击特征的特征值包括:攻击工具、渗透行为、扫描行为、爆破行为和木马投放;
根据所述信息熵生成所述蜜饵文件。
3.根据权利要求2所述的基于攻击行为的蜜饵生成方法,其特征在于,所述信息熵包括蜜饵生成标记,根据所述信息熵生成所述蜜饵文件包括:
根据所述蜜饵生成标记判断是否允许生成所述蜜饵文件,并在判断到允许生成所述蜜饵文件的情况下,从预设数据库中摘取第一蜜饵数据;
将所述第一蜜饵数据和第一预设投放区域标记加密生成所述蜜饵文件。
4.根据权利要求3所述的基于攻击行为的蜜饵生成方法,其特征在于,所述信息熵还包括蜜饵类型标记,所述方法还包括:
在根据所述蜜饵生成标记判断到允许生成所述蜜饵文件的情况下,从预设数据库中摘取与所述蜜饵类型标记对应的第二蜜饵数据,其中,所述蜜饵类型标记根据所述攻击信息确定,所述蜜饵类型标记至少包括以下之一:文件、文件夹、数据库表、用户名、密码、证书信息、虚假流量;
将所述第二蜜饵数据和第二预设投放区域标记加密生成所述蜜饵文件,其中,所述第二预设投放区域标记根据所述蜜饵类型标记确定。
5.根据权利要求3所述的基于攻击行为的蜜饵生成方法,其特征在于,所述方法还包括:在根据所述蜜饵生成标记确定不允许生成所述蜜饵文件的情况下,重新捕获攻击行为的攻击特征。
6.根据权利要求3所述的基于攻击行为的蜜饵生成方法,其特征在于,将所述蜜饵文件投放至预设目标位置包括:
根据所述第一预设投放区域标记将所述蜜饵文件投放至预设目标位置,其中,所述预设目标位置包括蜜罐内部和蜜网内部。
7.一种基于攻击行为的蜜饵生成装置,其特征在于,包括:
捕获模块,用于捕获攻击行为的攻击信息;
统计模块,用于提取所述攻击信息的多个攻击特征的特征值;
处理模块,用于根据所述多个攻击特征的特征值生成蜜饵文件,并将所述蜜饵文件投放至预设目标位置。
8.一种蜜网系统,其特征在于,包括蜜网、蜜罐及蜜饵生成器;所述蜜网内部署有多个所述蜜罐,每一所述蜜罐中至少部署一个所述蜜饵生成器,所述蜜饵生成器包括特征提取模块、特征识别模块及蜜饵生成投放模块;
所述蜜网用于形成构建诱捕蜜罐环境;
所述蜜罐用于诱导攻击者进行攻击和/或监听攻击者的攻击行为;
所述特征提取模块用于提取攻击者发起攻击行为的攻击特征;
所述特征识别模块用于识别所述攻击特征的特征值;
所述蜜饵生成投放模块用于根据所述特征识别模块识别的特征值生成蜜饵文件,并将所述蜜饵文件投放至所述蜜罐内部和/或所述蜜网内部。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的基于攻击行为的蜜饵生成方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一项所述的基于攻击行为的蜜饵生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010639466.1A CN111787021A (zh) | 2020-07-06 | 2020-07-06 | 基于攻击行为的蜜饵生成方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010639466.1A CN111787021A (zh) | 2020-07-06 | 2020-07-06 | 基于攻击行为的蜜饵生成方法、装置、设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111787021A true CN111787021A (zh) | 2020-10-16 |
Family
ID=72758775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010639466.1A Pending CN111787021A (zh) | 2020-07-06 | 2020-07-06 | 基于攻击行为的蜜饵生成方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111787021A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| CN113645237A (zh) * | 2021-08-10 | 2021-11-12 | 东方财富信息股份有限公司 | 终端设备的信息获取方法、系统、介质及装置 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN111125702A (zh) * | 2019-12-25 | 2020-05-08 | 成都知道创宇信息技术有限公司 | 一种病毒识别方法及装置 |
-
2020
- 2020-07-06 CN CN202010639466.1A patent/CN111787021A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
| CN110677408A (zh) * | 2019-07-09 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 攻击信息的处理方法和装置、存储介质及电子装置 |
| CN111125702A (zh) * | 2019-12-25 | 2020-05-08 | 成都知道创宇信息技术有限公司 | 一种病毒识别方法及装置 |
Non-Patent Citations (6)
| Title |
|---|
| 吴军等: "一种基于xenVMI机制下的蜜网流量异常检测方法", 《电子技术应用》 * |
| 夏秦等: "入侵检测系统利用信息熵检测网络攻击的方法", 《西安交通大学学报》 * |
| 张胜等: "基于多元异构网络安全数据可视化融合分析方法", 《计算机应用》 * |
| 温海波: "改进聚类算法在DRDoS攻击检测中的应用研究", 《安徽建筑大学学报》 * |
| 赵慧明等: "基于信息熵聚类的DDoS检测算法", 《计算机系统应用》 * |
| 郑明辉等: "相同敏感值数据表泛化算法的安全性度量研究", 《网络空间安全》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| CN113645237A (zh) * | 2021-08-10 | 2021-11-12 | 东方财富信息股份有限公司 | 终端设备的信息获取方法、系统、介质及装置 |
| CN114157450A (zh) * | 2021-11-04 | 2022-03-08 | 南方电网深圳数字电网研究院有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
| CN114157450B (zh) * | 2021-11-04 | 2024-03-15 | 南方电网数字平台科技(广东)有限公司 | 基于物联网蜜罐的网络攻击诱导方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111787021A (zh) | 基于攻击行为的蜜饵生成方法、装置、设备和介质 | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| CN112751815B (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN114826663B (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
| Razali et al. | IoT honeypot: A review from researcher's perspective | |
| CN113660246B (zh) | 蜜罐切换方法、系统、计算机及可读存储介质 | |
| CN113810423A (zh) | 一种工控蜜罐 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| CN114448731B (zh) | 蜜罐部署方法、装置、设备及计算机可读介质 | |
| US20230156037A1 (en) | Methods and system for providing security to critical systems connected to a computer network | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| CN112383517A (zh) | 网络连接信息的隐藏方法、装置、设备和可读存储介质 | |
| CN109257389B (zh) | 一种攻击处理方法、装置及电子设备 | |
| CN113765914A (zh) | Cc攻击防护方法、系统、计算机设备及可读存储介质 | |
| Van Heerden et al. | Mapping the most significant computer hacking events to a temporal computer attack model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201016 |