CN111901325A - 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 - Google Patents
蜜罐节点的服务扩展方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN111901325A CN111901325A CN202010697254.9A CN202010697254A CN111901325A CN 111901325 A CN111901325 A CN 111901325A CN 202010697254 A CN202010697254 A CN 202010697254A CN 111901325 A CN111901325 A CN 111901325A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- file
- node
- service
- honeypot node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请涉及一种蜜罐节点的服务扩展方法、蜜罐节点的服务扩展装置、电子装置和存储介质,其中,该蜜罐节点的服务扩展方法包括:获取与待扩展服务的蜜罐节点对应的配置信息,其中,蜜罐节点通过虚拟化技术创建在磁盘映像文件中,配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入磁盘映像文件的目的路径的信息;从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径。通过本申请,解决了相关技术中的蜜罐节点捕获能力的扩展方法存在维护成本高的问题,降低了蜜罐节点在扩展捕获能力时的维护成本。
Description
技术领域
本申请涉及信息安全领域,特别是涉及蜜罐节点的服务扩展方法、蜜罐节点的服务扩展装置、电子装置和存储介质。
背景技术
内核虚拟机(Kernel-based Virtual Machine,简称为KVM):其为开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中。
蜜罐技术(Honeypot Technology):本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐节点一般由对应的蜜罐镜像实例化而来,而蜜罐镜像一般都由基本的系统环境和对应的蜜罐程序组成,在运行时直接将蜜罐镜像实例化成蜜罐节点。例如基于KVM的高交互蜜罐节点,通过可扩展标记语言(Extensible Markup Language,简称为XML)文件在QCOW2格式的磁盘映像文件中创建而成,其中,QCOW2格式的磁盘映像文件支持在KVM开机前读写文件。
蜜罐系统通常由多个蜜罐节点组成,其提供的服务主要用于捕获攻击者执行的命令信息、创建的文件信息以及基本的网络请求信息。蜜罐节点的捕获攻击者数据的能力往往由蜜罐程序的分析能力和当前系统环境所决定。在需要增强蜜罐节点的捕获能力的情况下相关技术通常采用蜜罐程序迭代方式。但是,当蜜罐程序发生变更时,要想使后续部署的蜜罐节点也具备新的捕获能力,则还需要先更新相应的蜜罐镜像,即用于创建出此蜜罐节点的蜜罐镜像也需要重新打包,再经实例化而来的蜜罐节点才具有新的捕获能力,这无疑增加额外的维护成本。
目前,针对相关技术中的蜜罐节点捕获能力的扩展方法存在维护成本高的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种蜜罐节点的服务扩展方法、蜜罐节点的服务扩展装置、电子装置和存储介质,以至少解决相关技术中的蜜罐节点捕获能力的扩展方法存在维护成本高的问题。
第一方面,本申请实施例提供了一种蜜罐节点的服务扩展方法,包括:
获取与待扩展服务的蜜罐节点对应的配置信息,其中,所述蜜罐节点通过虚拟化技术创建在磁盘映像文件中,所述配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入所述磁盘映像文件的目的路径的信息;
从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径。
在其中一些实施例中,获取与待扩展服务的蜜罐节点对应的配置信息包括:
获取配置文件,其中,所述配置文件包括蜜罐节点类型以及与蜜罐节点类型对应的配置信息;
根据所述待扩展服务的蜜罐节点的蜜罐节点类型,从所述配置文件中查询所述配置信息。
在其中一些实施例中,从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径包括:
使用虚拟镜像管理工具将所述预设文件写入所述磁盘映像文件的目的路径。
在其中一些实施例中,在获取与待扩展服务的蜜罐节点对应的配置信息之前,所述方法还包括:
获取用于创建所述蜜罐节点的蜜罐创建请求;
根据所述蜜罐创建请求在所述磁盘映像文件中创建所述蜜罐节点。
在其中一些实施例中,在将所述预设文件写入所述磁盘映像文件的目的路径时,所述蜜罐节点处于关闭状态;在从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径之后,所述方法还包括:
启动所述蜜罐节点;
通过所述蜜罐节点获取攻击数据。
在其中一些实施例中,所述预设文件包括:扩展服务所需的组件文件和/或蜜罐程序文件。
在其中一些实施例中,所述虚拟化技术包括KVM技术,所述磁盘映像文件的格式包括QCOW2格式。
第二方面,本申请实施例提供了一种蜜罐节点的服务扩展装置,包括:
获取模块,用于获取与待扩展服务的蜜罐节点对应的配置信息,其中,所述蜜罐节点通过虚拟化技术创建在磁盘映像文件中,所述配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入所述磁盘映像文件的目的路径的信息;
写入模块,用于从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径。
第三方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的蜜罐节点的服务扩展方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的蜜罐节点的服务扩展方法。
相比于相关技术,本申请实施例提供的蜜罐节点的服务扩展方法、蜜罐节点的服务扩展装置、电子装置和存储介质,通过获取与待扩展服务的蜜罐节点对应的配置信息,其中,蜜罐节点通过虚拟化技术创建在磁盘映像文件中,配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入磁盘映像文件的目的路径的信息;从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径,解决了相关技术中的蜜罐节点捕获能力的扩展方法存在维护成本高的问题,降低了蜜罐节点在扩展捕获能力时的维护成本。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于KVM的高交互蜜罐的结构框图;
图2是根据本申请实施例的蜜罐节点的服务扩展方法的终端的硬件结构框图;
图3是根据本申请优选实施例的蜜罐节点的服务扩展方法应用于蜜罐节点创建之初阶段的流程图;
图4是根据本申请实施例的蜜罐节点的服务扩展装置的结构框图;
图5是根据本申请实施例的蜜罐节点的服务扩展方法的终端的硬件结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指大于或者等于两个。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供的蜜罐节点的服务扩展方法可用于基于KVM技术的高交互蜜罐,图1是根据本申请实施例的基于KVM的高交互蜜罐的结构框图,如图1所示,这是一个经由蜜罐镜像实例化后得到的蜜罐节点1,其由蜜罐主程序11、日志层12、系统组件层13以及操作系统层14组成。
蜜罐主程序11,用于实现捕获不同的攻击数据,比如捕获普通的命令执行信息、文件创建信息以及系统网络请求信息。蜜罐主程序11包括日志解析模块15,该日志解析模块15是一个预先设置的、通用的日志解析模块,负责解析指定路径下、满足格式要求的日志。其可按照组件名称实时解析指定路径下按指定规则生成的所有日志文件,并将解析得到的攻击数据发送到万维网(World WideWeb,简称为WEB)端,供用户查看。
日志层12,包含Linux操作系统的所有系统组件产生的日志,例如sshd日志、scp日志、nginx日志、redis日志。其中,其中,sshd组件用于记录安全外壳协议(Secure Shell,简称为SSH)远程登录信息,scp组件用于记录远程文件上传信息,nginx组件用于记录传输控制协议/超文本传输协议(Transmission Control Protocol/(Hyper Text TransferProtocol,简称为TCP/HTTP)请求信息,redis组件用于记录数据库操作信息。
系统组件层13,包含组成Linux操作系统的各个系统组件,例如sshd组件、scp组件、nginx组件、redis组件。
操作系统层14,包括基于KVM技术的Linu操作系统。
本实施例提供了一种蜜罐节点的服务扩展方法,图2是根据本申请实施例的蜜罐节点的服务扩展方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取与待扩展服务的蜜罐节点对应的配置信息,其中,蜜罐节点通过虚拟化技术创建在磁盘映像文件中,配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入磁盘映像文件的目的路径的信息。
服务对应着捕获能力,蜜罐节点根据预设文件提供的服务,可以获取攻击者攻击蜜罐的攻击数据。预设文件可以是扩展服务所需的组件,当攻击者对蜜罐发起攻击时,组件可以记录攻击者的攻击数据,生成包括攻击数据的日志。
相关技术中的组件通常由蜜罐程序编译得到,比如蜜罐监控程序,即捕获攻击数据的组件,其通常采用内置或者挂载的方式安置于蜜罐节点中,当想要增强蜜罐的捕获能力时,都要去更新蜜罐程序。对于蜜罐监控程序内置于蜜罐镜像中的方式,在更新蜜罐监控程序之后,还需要单独更新蜜罐镜像,才能使后续部署的蜜罐节点能具备新的捕获能力。
而本实施例可以选取系统组件作为改编对象,系统组件由系统程序编译得到,在需要扩展服务时,可以根据待扩展的服务,对系统组件进行改编,得到新编译的系统组件。例如,原生的sshd组件产生的日志,只能记录远程登录的账户名称,而经过改编后的sshd组件则能够记录攻击者的明文登录账号、密码以及ip地址,如此设置,可以无需更改蜜罐程序。
本实施例所改编的系统组件包括但不限于sshd组件、scp组件、nginx组件、redis组件,捕获的攻击数据包括但不限于sshd组件记录的ssh远程登录信息,scp组件记录的远程文件上传信息,nginx组件记录的tcp/http请求信息、redis组件记录的数据库操作信息等。
步骤S202,从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径。
磁盘映像文件即蜜罐镜像,通过配置信息,可以从相应的位置获取新编译的系统组件,再将新编译的系统组件写入对应于蜜罐节点的蜜罐镜像中,完成服务的扩展。在一些实施例中,虚拟化技术包括KVM技术,磁盘映像文件的格式包括QCOW2格式,由于QCOW2格式的磁盘映像文件支持在KVM开机前读写文件,如此设置,能够实现在KVM开机前即可在蜜罐镜像中读写文件的效果。
相关技术中,蜜罐节点的捕获能力受到蜜罐程序的分析能力和当前系统环境的限制,当需要扩展蜜罐捕获能力时,需要频繁更新对应的蜜罐程序和蜜罐镜像,操作繁琐,导致维护成本高。相比于相关技术,本实施例提供的蜜罐节点的服务扩展方法,在需要扩展蜜罐的捕获能力时,无需更新蜜罐程序,无需更新蜜罐镜像,仅需通过配置信息,将新编译的系统组件加入到蜜罐中即可实现捕获能力的扩展,解决了相关技术中的蜜罐节点捕获能力的扩展方法存在维护成本高的问题,降低了蜜罐节点扩展捕获能力的维护成本。
此外,本实施例提供的蜜罐节点的服务扩展方法,解决了相关技术中蜜罐捕获能力和蜜罐程序强耦合的问题,实现了蜜罐捕获能力和蜜罐程序解耦。
本实施例将以系统组件为例,介绍组件的改编方式。系统组件负责处理和当前系统的交互信息,内部函数调用记录着关键的流程信息。对于攻击者通过客户端登录的账号密码信息,往往诸如密码等敏感信息不会以明文进行存储,如果要获取明文,只能对组件进行改编。
在一些实施例中,可以将关键信息记录到按照日志解析模块要求的标准格式中,当蜜罐节点应用这些改编的组件后,便能获取相应的攻击数据。改编系统组件需要明确想要获得的关键信息。例如,如果想要获取登录密码的明文,改编过程一般寻找关键函数;如果系统组件在某个函数中校验客户端传输的登录密码,假如校验时用的是密文,则按对应算法进行解密,并将解密后的数据记录到标准日志中。在实际应用时则使用改编的系统组件替换掉蜜罐节点中系统原生的系统组件,这些系统组件使用开源的源码,在特殊位置改编,能够记录一些关键的信息。
在一些实施例中,蜜罐节点的系统环境不仅可以采用Linux操作系统,还可以采用Windows操作系统。
在其中一些实施例中,配置信息可以存储在预设的配置文件中,通过获取配置文件,可以得到对应于蜜罐节点类型的信息,蜜罐节点类型指操作系统类型,蜜罐节点类型的信息也将作为配置信息存储于配置文件中;可以根据待扩展服务的蜜罐节点的蜜罐节点类型,从配置文件中查询对应于蜜罐节点类型的存储路径的信息和目的路径的信息。
在本实施例中,当蜜罐需要进行版本迭代时,即在重新编译系统组件的情况下,无需更新原始的蜜罐程序和蜜罐镜像,而是在配置文件中更新对应于新编译的系统组件的配置信息,根据更新的配置信息,将新编译的系统组件写入磁盘映像文件的目的路径,再经实例化而来的蜜罐节点便实现服务的扩展,具备了扩展的捕获能力。
在其中一些实施例中,可以使用虚拟机镜像管理工具将预设文件写入磁盘映像文件的目的路径。例如,可以使用Libguestfs技术,通过文件注入的方式,将预设文件注入到磁盘映像文件中。
Libguestfs是一组基于Linux操作系统的、经由C语言程序编译得到的应用程序接口(Application Programming Interface,简称为API),可用于访问KVM中的磁盘映像文件。Libguestfs的工具包内包含的命令有virt-cat、virt-df、virt-ls、virt-copy-in、virt-copy-out、virt-edit、guestfs、guestmount、virt-list-filesystems、virt-list-partitions,在一些实施例中,可以通过virt-copy-in命令将文件注入到KVM的磁盘映像文件中。
在其中一些实施例中,预设文件包括:扩展服务所需的组件文件和/或蜜罐程序文件;其中,组件文件正如上述实施例所介绍的组件,用于生成包括攻击数据的日志;蜜罐程序文件包括解析程序,解析程序用于解析日志。
本申请所提供的蜜罐节点的服务扩展方法可以应用于蜜罐节点创建之初阶段,也可以应用于蜜罐节点创建之后阶段。对于蜜罐节点创建之初阶段,获取用于创建蜜罐节点的蜜罐创建请求,其中,蜜罐创建请求携带有预设蜜罐节点类型的信息;根据预设蜜罐节点类型的信息,确定用于创建蜜罐节点的磁盘映像文件。对于蜜罐节点创建之后阶段,可以在待扩展服务的蜜罐节点已启动的情况下,先确定蜜罐节点的磁盘映像文件,再关闭蜜罐节点。
蜜罐节点的服务扩展方法无论是应用于蜜罐节点创建之初阶段,还是应用于蜜罐节点创建之后阶段,在将预设文件写入磁盘映像文件的目的路径时,蜜罐节点处于关闭状态;在从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径之后,启动蜜罐节点;根据预设文件提供的服务,获取攻击者攻击蜜罐的攻击数据。
以下将通过优选实施例对蜜罐节点的服务扩展方法的应用进行介绍。
图3是根据本申请优选实施例的蜜罐节点的服务扩展方法应用于蜜罐节点创建之初阶段的流程图,如图3所示,该流程包括如下步骤:
步骤S301,创建请求。该请求用于创建一个新的蜜罐节点,其中,请求中携带有对应于预设蜜罐镜像的类型信息,用于指明要用预设蜜罐镜像的类型作为待扩展服务的蜜罐节点的蜜罐节点类型。
步骤S302,准备蜜罐镜像。按蜜罐镜像类型准备蜜罐镜像,如基于Linux操作系统的KVM蜜罐镜像,或者基于Windows操作系统的KVM蜜罐镜像。在本实施例中,蜜罐镜像为KVM技术可用的、QCOW2格式的磁盘映像文件,以便于在KVM开机之前读写磁盘映像文件。在一些实施例中,可以通过拷贝原始蜜罐镜像的方式,获取蜜罐节点的基本系统环境。
步骤S303,读取配置文件。预先设置一个名为inject.json的配置文件,该配置文件以JSON(JavaScript Object Notation,JavaScript对象简谱)格式存储,其描述了一系列待注入磁盘映像文件的配置信息。其中,包括操作系统版本、被注入系统组件的存放路径、将要注入到磁盘映像文件的目的路径这三个要素。例如,当前准备的蜜罐镜像的类型为CentOS7(社区企业操作系统),被注入的经重新编译的组件为sshd组件,将要注入到蜜罐节点的/usr/bin目录下,以替换原生的sshd组件。该配置文件描述的待注入的预设文件可以存在多个,在一些实施例中,待预设文件还可以是用于捕获攻击数据的蜜罐主程序,当注入的预设文件是蜜罐主程序时,则实现了蜜罐主程序的替换。
步骤S304,注入组件。根据步骤读取到的注入信息,到对应系统目录下找到指定的文件,通过Libguestfs的virt-copy-in命令将组件注入到蜜罐镜像的指定路径下。
步骤S305,启动蜜罐节点。蜜罐节点在启动后,相应的系统服务使用新注入的组件运行,如ssh服务使用新的sshd服务运行。
步骤S306,捕获攻击数据。以sshd为例,当攻击者使用ssh命令远程登录到当前蜜罐节点时,sshd组件就能够捕获到包括攻击者的明文用户名、密码、ip信息,蜜罐程序可实时读取sshd的日志,并上报攻击数据。
当需要在蜜罐节点创建之后阶段扩展服务的情况下,可先关闭蜜罐节点,通过执行步骤S303和步骤S304,即可实现蜜罐节点的服务扩展方法应用于蜜罐节点创建之后阶段。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。
本申请实施例提供了一种蜜罐节点的服务扩展装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是根据本申请实施例的蜜罐节点的服务扩展装置的结构框图,如图4所示,该装置包括:获取模块41和写入模块42。
获取模块41,用于获取与待扩展服务的蜜罐节点对应的配置信息,其中,蜜罐节点通过虚拟化技术创建在磁盘映像文件中,配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入磁盘映像文件的目的路径的信息。
写入模块42,耦合至获取模块41,用于从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径。
在其中一些实施例中,获取模块41包括:第一获取模块,用于获取配置文件,其中,配置文件包括蜜罐节点类型以及与蜜罐节点类型对应的配置信息;查询模块,用于根据蜜罐节点的蜜罐节点类型,从配置文件中查询配置信息。
在其中一些实施例中,写入模块42包括:写入子模块,用于使用虚拟机镜像管理工具将预设文件写入磁盘映像文件的目的路径。
在其中一些实施例中,装置还包括:第二获取模块,用于获取用于创建蜜罐节点的蜜罐创建请求;创建模块,用于根据蜜罐创建请求在磁盘映像文件中创建蜜罐节点。
在其中一些实施例中,装置还包括:启动模块,用于启动蜜罐节点;第三获取模块,用于根据预设文件提供的服务,获取攻击者攻击蜜罐的攻击数据。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
本实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。以运行在终端上为例,图5是根据本申请实施例的蜜罐节点的服务扩展方法的终端的硬件结构框图。如图5所示,终端50可以包括一个或多个(图5中仅示出一个)处理器502(处理器502可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器504,可选地,上述终端还可以包括用于通信功能的传输设备506以及输入输出设备508。本领域普通技术人员可以理解,图5所示的结构仅为示意,其并不对上述终端的结构造成限定。例如,终端50还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。
存储器504可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的蜜罐节点的服务扩展方法对应的计算机程序,处理器502通过运行存储在存储器504内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器504可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器504可进一步包括相对于处理器502远程设置的存储器,这些远程存储器可以通过网络连接至终端50。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备506用于经由一个网络接收或者发送数据。上述的网络具体实例可包括终端50的通信供应商提供的无线网络。在一个实例中,传输设备506包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备506可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
步骤S201,获取与待扩展服务的蜜罐节点对应的配置信息,其中,蜜罐节点通过虚拟化技术创建在磁盘映像文件中,配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入磁盘映像文件的目的路径的信息。
步骤S202,从存储路径获取预设文件,并将预设文件写入磁盘映像文件的目的路径。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
另外,结合上述实施例中的蜜罐节点的服务扩展方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种蜜罐节点的服务扩展方法。
本领域的技术人员应该明白,以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种蜜罐节点的服务扩展方法,其特征在于,包括:
获取与待扩展服务的蜜罐节点对应的配置信息,其中,所述蜜罐节点通过虚拟化技术创建在磁盘映像文件中,所述配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入所述磁盘映像文件的目的路径的信息;
从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径。
2.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,获取与待扩展服务的蜜罐节点对应的配置信息包括:
获取配置文件,其中,所述配置文件包括蜜罐节点类型以及与蜜罐节点类型对应的配置信息;
根据所述蜜罐节点的蜜罐节点类型,从所述配置文件中查询所述配置信息。
3.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,将所述预设文件写入所述磁盘映像文件的目的路径包括:
使用虚拟机镜像管理工具将所述预设文件写入所述磁盘映像文件的目的路径。
4.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,在获取与待扩展服务的蜜罐节点对应的配置信息之前,所述方法还包括:
获取用于创建所述蜜罐节点的蜜罐创建请求;
根据所述蜜罐创建请求在所述磁盘映像文件中创建所述蜜罐节点。
5.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,在将所述预设文件写入所述磁盘映像文件的目的路径时,所述蜜罐节点处于关闭状态;在从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径之后,所述方法还包括:
启动所述蜜罐节点;
通过所述蜜罐节点获取攻击数据。
6.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,所述预设文件包括:扩展服务所需的组件文件和/或蜜罐程序文件。
7.根据权利要求1所述的蜜罐节点的服务扩展方法,其特征在于,所述虚拟化技术包括KVM技术,所述磁盘映像文件的格式包括QCOW2格式。
8.一种蜜罐节点的服务扩展装置,其特征在于,包括:
获取模块,用于获取与待扩展服务的蜜罐节点对应的配置信息,其中,所述蜜罐节点通过虚拟化技术创建在磁盘映像文件中,所述配置信息包括:扩展服务所需的预设文件的存储路径的信息和待写入所述磁盘映像文件的目的路径的信息;
写入模块,用于从所述存储路径获取所述预设文件,并将所述预设文件写入所述磁盘映像文件的目的路径。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的蜜罐节点的服务扩展方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项所述的蜜罐节点的服务扩展方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010697254.9A CN111901325B (zh) | 2020-07-20 | 2020-07-20 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010697254.9A CN111901325B (zh) | 2020-07-20 | 2020-07-20 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111901325A true CN111901325A (zh) | 2020-11-06 |
| CN111901325B CN111901325B (zh) | 2022-11-15 |
Family
ID=73191088
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010697254.9A Active CN111901325B (zh) | 2020-07-20 | 2020-07-20 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111901325B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992441A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种蜜饵生成方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应系统 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
| CN110851827A (zh) * | 2019-10-14 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于容器技术实现的服务可定制化高交互蜜罐及使用方法 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
-
2020
- 2020-07-20 CN CN202010697254.9A patent/CN111901325B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| CN108701066A (zh) * | 2016-02-10 | 2018-10-23 | 第三雷沃通讯有限责任公司 | 自动蜜罐供应系统 |
| CN108769071A (zh) * | 2018-07-02 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
| CN110336811A (zh) * | 2019-06-29 | 2019-10-15 | 上海淇馥信息技术有限公司 | 一种基于蜜罐系统的网络威胁分析方法、装置和电子设备 |
| CN110851827A (zh) * | 2019-10-14 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | 基于容器技术实现的服务可定制化高交互蜜罐及使用方法 |
| CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
| CN111431891A (zh) * | 2020-03-20 | 2020-07-17 | 广州锦行网络科技有限公司 | 一种蜜罐部署方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992441A (zh) * | 2021-12-28 | 2022-01-28 | 北京微步在线科技有限公司 | 一种蜜饵生成方法及装置 |
| CN113992441B (zh) * | 2021-12-28 | 2022-03-01 | 北京微步在线科技有限公司 | 一种蜜饵生成方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111901325B (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230140329A1 (en) | Wireless router remote firmware upgrade | |
| KR102419574B1 (ko) | 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법 | |
| US11494484B2 (en) | Leveraging instrumentation capabilities to enable monitoring services | |
| US10289837B2 (en) | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium | |
| Parampalli et al. | A practical mimicry attack against powerful system-call monitors | |
| US8997092B2 (en) | Method, system, and computer readable medium for provisioning and remote distribution | |
| US8782800B2 (en) | Parametric content control in a network security system | |
| US11943238B1 (en) | Process tree and tags | |
| US8272058B2 (en) | Centralized timed analysis in a network security system | |
| US20070028302A1 (en) | Distributed meta-information query in a network | |
| US20110289556A1 (en) | Method and Apparatus for Serving Content Elements of a Markup Language Document Protected Against Cross-Site Scripting Attack | |
| CN111030963B (zh) | 文档追踪方法、网关设备及服务器 | |
| US20110289546A1 (en) | Method and apparatus for protecting markup language document against cross-site scripting attack | |
| Grokhotkov | ESP8266 arduino core documentation | |
| CN111182060A (zh) | 报文的检测方法及装置 | |
| CN115914369A (zh) | 网络靶场日志文件采集代理网关、采集系统及方法 | |
| CN111585956A (zh) | 一种网址防刷验证方法与装置 | |
| Barnum et al. | The cybox language specification | |
| CN111901325B (zh) | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 | |
| US11227032B1 (en) | Dynamic posture assessment to mitigate reverse engineering | |
| Kazanciyan et al. | Investigating powershell attacks | |
| CN112637244A (zh) | 一种针对常见与工控协议及端口的威胁检测方法 | |
| Atighetchi et al. | A framework for resilient remote monitoring | |
| Hosmer et al. | Defending IoT Infrastructures with the Raspberry Pi | |
| KR100379915B1 (ko) | 클라이언트 컴퓨터 분석 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |