CN112039717B - 一种基于蜜罐的实时监控方法及系统 - Google Patents
一种基于蜜罐的实时监控方法及系统 Download PDFInfo
- Publication number
- CN112039717B CN112039717B CN202010606476.5A CN202010606476A CN112039717B CN 112039717 B CN112039717 B CN 112039717B CN 202010606476 A CN202010606476 A CN 202010606476A CN 112039717 B CN112039717 B CN 112039717B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- machine
- state data
- probe
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
- H04L69/162—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例提供一种基于蜜罐的实时监控方法及系统,包括:为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台;监控后台保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示。不需要占用大量的物理资源,就能够完成对目标系统状态或资产状态的实时掌控。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种基于蜜罐的实时监控方法及系统。
背景技术
烽台科技工控安全与事件报警管理系统是一款面向工业控制系统设备状态与信息安全的综合监控系统,主要集成安全信息采集、设备状态监控、威胁分析和展现以及探针管理等功能。该系统主要针对工控系统进行状态数据采集、处理、分析、规则验证、安全审计以及可视化。可以直观的展示网络安全、主机安全、设备安全态势及系统风险趋势。也可以通过曲线图的方式展示一段时间内系统的CPU、存储等状态信息(附图13)。在实现本发明过程中,申请人发现现有技术中至少部署过程复杂,需要占用大量的物理资源。
发明内容
本发明实施例提供一种基于蜜罐的实时监控方法及系统,不需要占用大量的物理资源,就能够完成对目标系统状态或资产状态的实时掌控。
为达上述目的,一方面,本发明实施例提供一种基于蜜罐的实时监控方法,包括:
为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台;
监控后台保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示。
另一方面,本发明实施例提供一种基于蜜罐的实时监控系统,包括:
设置单元,用于为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
监听单元,用于将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台;
监控后台,用于保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示。
上述技术方案具有如下有益效果:部署过程简单:不需要占用大量的物理资源,只需要将蜜罐探针部署到被监控蜜罐机器中即可;降低人工参与成本。实时性强:蜜罐探针实时采集和推送蜜罐机器的状态数据,监控后台完成对数据的实时展示,可以完成对目标系统状态或资产状态的实时掌控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的基于蜜罐的实时监控方法的流程图;
图2是本发明实施例的基于蜜罐的实时监控系统的结构图;
图3是本发明实施例的内网蜜罐实时监控系统网络框架图;
图4是本发明实施例的用户发起请求后的状态数据获取图;
图5是本发明的用户身份验证界面;
图6是本发明的某天当天对各蜜罐的访问情况界面;
图7是本发明的蜜罐状态数据告警汇总图;
图8是本发明的各蜜罐访问来源可视化界面;
图9是本发明的各蜜罐的CUP使用情况展示界面;
图10是本发明的各蜜罐的内存使用情况展示界面;
图11是本发明的各蜜罐的实时访问量展示界面;
图12是本发明的内网蜜罐实时监控系统总界面;
图13是现有技术的网络框架图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,结合本发明的实施例,提供一种基于蜜罐的实时监控方法,包括:
S101:为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
S102:将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台23;
S103:监控后台23保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示。
优选地,步骤102具体包括:
S1021:通过设置蜜罐探针内插件所指定监听的状态数据类型,实现其监听蜜罐机器的状态数据;以及,
S1022:通过更改蜜罐探针内插件所指定监听的状态数据类型,和/或,通过增加或者删除蜜罐探针内的插件,实现更新蜜罐探针所监听的蜜罐机器的状态数据。
优选地,步骤102具体包括:
通过蜜罐探针具有的套接字socket接口,将监听到的蜜罐机器的状态数据实时传输至监控后台23具有的套接字socket接口。
优选地,还包括:
S104:在蜜罐探针监听蜜罐机器的状态数据之前,为蜜罐探针设置网络通信配置,以及,在监控后台23启动后,将为蜜罐探针设置的网络通信配置传输到运行的监控后台23;
S105:监控后台23将接收到的为蜜罐探针设置的网络通信配置自动添加到其网络配置文件中。
优选地,步骤103具体包括:
S1031:在接收到与监控后台23位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台23自蜜罐探针实时获取蜜罐机器的状态数据并进行整合,将状态数据整合结果推送给用户终端;以及,在接收到与监控后台23不属于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台23不响应该用户终端的请求;或者,
S1032:监控后台23采用双通信协议周期性定时获取蜜罐机器的状态数据进行整合,并将状态数据整合结果推送给用户终端。
优选地,所述步骤1031具体包括:
在接收到与监控后台23位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台23自蜜罐探针实时获取蜜罐机器的状态数据之前,监控后台23对所述用户终端进行身份验证,并确认所述用户终端通过身份验证。
如图2所示,结合本发明的实施例,提供一种基于蜜罐的实时监控系统,包括:
设置单元21,用于为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
监听单元22,用于将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台23;
监控后台23,用于保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示。
优选地,所述监听单元22,具体用于:
设置子单元221,用于通过设置蜜罐探针内插件所指定监听的状态数据类型,实现其监听蜜罐机器的状态数据;以及,
更新子单元222,用于通过更改蜜罐探针内插件所指定监听的状态数据类型,和/或,通过增加或者删除蜜罐探针内的插件,实现更新蜜罐探针所监听的蜜罐机器的状态数据。
优选地,所述监听单元22,具体用于:
通过蜜罐探针具有的套接字socket接口,将监听到的蜜罐机器的状态数据实时传输至监控后台23具有的套接字socket接口。
优选地,还包括:
监听单元22,还用于在蜜罐探针监听蜜罐机器的状态数据之前,为蜜罐探针设置网络通信配置,以及,在监控后台23启动后,将为蜜罐探针设置的网络通信配置传输到运行的监控后台23;
监控后台23,还用于将接收到的为蜜罐探针设置的网络通信配置自动添加到其网络配置文件中。
优选地,所述监控后台23包括:
实时反馈子单元231,用于在接收到与监控后台23位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,自蜜罐探针实时获取蜜罐机器的状态数据并进行整合,将状态数据整合结果推送给用户终端;以及,在接收到与监控后台23不属于同一内网的用户终端查看蜜罐机器的状态数据的请求后,不响应该用户端终端的请求;或者,
周期反馈子单元232,用于采用双通信协议周期性定时获取蜜罐机器的状态数据进行整合,并将状态数据整合结果推送给用户终端。
优选地,所述监控后台23,包括:
实时反馈子单元231,还用于在接收到与监控后台23位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,自蜜罐探针实时获取蜜罐机器的状态数据之前,对所述用户终端进行身份验证,并确认所述用户终端通过身份验证。
本发明取得的有益效果为:
1.部署过程简单:不需要占用大量的物理资源,只需要将蜜罐探针部署到被监控蜜罐机器中即可;降低人工参与成本。
2.应用场景面广:蜜罐探针可以部署在多个场景中进行数据的实时采集,包括但不限于工控场景下。
3.实时性强:蜜罐探针使用Socket进行数据的实时采集和推送,蜜罐服务监控后台使用WebSocket完成对数据的实时可视化展示,可以完成对目标系统状态或资产状态的实时掌控。
4.多终端、多用户访问展示方式:具有权限的用户可随时在任何显示设备上对监控系统进行访问;且支持多用户实时同时访问,方便用户在不同终端下对蜜罐系统状态的把控。
5.丰富应用场景:当有新的监控任务时,可直接编写监控任务部分的插件,实现对已有监控系统的功能更新。
下面结合具体的应用实例对本发明实施例上述技术方案进行详细说明,实施过程中没有介绍到的技术细节,可以参考前文的相关描述。
本发明所涉及的缩略词和关键术语:
1.蜜罐:蜜罐是一种计算机安全机制,旨在检测,转移或以某种方式抵消对未经授权使用信息系统的尝试。
2.Socket:socket也称套接字,是一个抽象层,以实现应用程序之间的通讯。可用来发送、接收数据,允许将应用程序插入到网络中,成为网络套接字,并与网络中的其他应用程序进行通信。本方法中的socket特指网络套接字,即IP地址与端口的组合。
3.实时监控:一种对某项服务或服务器资源、状态进行实时掌握的实现方法。本方法中的实时监控指对服务器资源、状态的实时掌控。
4.Django:一个基于Python开发的Web框架,采用MVC(M:Model-模型、V:View-视图、C:Controller-控制器)的软件设计模式。可用来构建网站、APP。本方法使用Django来构建网站。
5.Django Channels:一种更改Django底层同步核心,使得Django支持HTTP协议的同时,也支持WebSocket、MQTT等需要长时间链接协议的技术。本方法使用此技术实现Django对WebSocket协议的支持。
6.WebSocket:一种网络传输协议,可以在单个TCP连接上进行全双工通信。该协议只需要客户端、服务器之间建立一次连接之后,就可以实现长时间的双向数据传输,具有很强的实时性能。
7.蜜罐探针:用于检测蜜罐服务器运行状态的程序。
本发明为一种基于Socket和WebSocket的内网蜜网实时监控方法,主要分为三个部分(如附图3所示):蜜罐探针、监控系统后台和监控系统前端。
蜜罐探针主要用于对被监控蜜罐机器进行系统状态的实时检测,如实时获取被监控蜜罐机器的状态数据,状态数据包括:CPU使用情况、内存使用情况、受攻击的类型及访问IP地址等信息,并将获取到的数据通过Socket实时传输至监控系统后台。监控系统后台在接收到探针发来的实时数据后,对数据进行整合以及格式处理,并将处理结果通过WebSocket实时发送至前端页面,进行展示。具体流程如下:
1.将蜜罐探针部署到被监控的蜜罐机器中,蜜罐探针是一个起到监听作用的程序,和直接在蜜罐服务器运行。蜜罐机器运行蜜罐服务的同时,也运行着蜜罐探针程序,每个蜜罐探针监听的是当前蜜罐机器的状态。如,探针在A机器中运行,就只监听A机器的状态,不会监听B机器的状态。同时为蜜罐探针配置好探针的IP地址、端口(网络通信配置)等,以便于进行Socket通讯Socket是已有的进程间的通信协议,蜜罐探针是基于这个协议进行数据传输。也可就是说蜜罐探针在采集到当前蜜罐机器的数据时,会采用Socket进行数据传输,将数据传输到监控后台。
2.在蜜罐探针启动之后,运行蜜罐监控后台,并将1中为蜜罐探针配置好的IP、运行蜜罐探针端口等信息自动传递添加到该蜜罐监控后台的配置文件中。
3.用户使用任何web终端对蜜罐监控后台发起访问(如附图4所示),监控后台在完成身份认证之后,将用户的请求资源返回给用户,WebSocket成功建立。监控系统开始使用Socket向蜜罐探针请求蜜罐的数据,获取到数据之后,将其整合并通过WebSocket进行实时数据推送。因为双通信协议WebSocket自身特性之后不需要轮询监控系统后台,监控系统后台就会主动、自动地周期性(本发明中周期为1秒)的向蜜罐探针请求最新的蜜罐数据,直至用户关闭前端页面。用户只需要请求一次,就可以实时的获取被监控蜜罐机器的状态信息。使用websocket网络成本更低,也不用考虑轮询的时间间隔。
综上,用户使用终端访问内网蜜罐实时监控系统的地址,此时需要进行身份验证(如附图5所示),完成身份认证之后,即可获取到内网蜜罐实时监控系统的总界面(如附图12所示,图a为PC端的访问界面;图b为移动端的访问界面)。其中,界面内的各个子模块(如附图6至11所示)的实时数据展示均基于WebSocket。至此,本发明就完成了基于Socket的蜜罐探针将数据实时推送给蜜罐监控系统后台,后台将数据实时整合并推送给用户进行可视化展示的过程。
本发明取得的有益效果为:
1.部署过程简单:不需要占用大量的物理资源,只需要将蜜罐探针部署到被监控蜜罐机器中即可;降低人工参与成本。
2.应用场景面广:蜜罐探针可以部署在多个场景中进行数据的实时采集,包括但不限于工控场景下。
3.实时性强:蜜罐探针使用Socket进行数据的实时采集和推送,蜜罐服务监控后台使用WebSocket完成对数据的实时可视化展示,可以完成对目标系统状态或资产状态的实时掌控。
4.多终端、多用户访问展示方式:具有权限的用户可随时在任何显示设备上对监控系统进行访问;且支持多用户实时同时访问,方便用户在不同终端下对蜜罐系统状态的把控。
5.丰富应用场景:当有新的监控任务时,可直接编写蜜罐探针里的监控任务部分的插件或通过增加、删除插件,实现对已有监控系统的功能更新。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于蜜罐的实时监控方法,其特征在于,包括:
为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台;所述将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,具体包括:
通过设置蜜罐探针内插件所指定监听的状态数据类型,实现其监听蜜罐机器的状态数据;以及,通过更改蜜罐探针内插件所指定监听的状态数据类型,和/或,通过增加或者删除蜜罐探针内的插件,实现更新蜜罐探针所监听的蜜罐机器的状态数据;
监控后台保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示;所述监控后台将蜜罐机器的状态数据整合结果推送给用户终端进行展示,具体包括:监控后台采用双通信协议周期性定时获取蜜罐机器的状态数据进行整合,并将状态数据整合结果推送给与监控后台位于同一内网的用户终端;
其中,所述监控后台采用双通信协议周期性定时获取蜜罐机器的状态数据,具体包括:
当用户使用终端对监控后台发起一次查看蜜罐机器的状态数据的请求后,监控后台则主动、自动周期性向蜜罐探针请求最新的蜜罐机器的状态数据,直至用户关闭前端页面。
2.根据权利要求1所述的基于蜜罐的实时监控方法,其特征在于,所述将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台,具体包括:
通过蜜罐探针具有的套接字socket接口,将监听到的蜜罐机器的状态数据实时传输至监控后台具有的套接字socket接口。
3.根据权利要求1所述的基于蜜罐的实时监控方法,其特征在于,还包括:
在蜜罐探针监听蜜罐机器的状态数据之前,为蜜罐探针设置网络通信配置,以及,在监控后台启动后,将为蜜罐探针设置的网络通信配置传输到运行的监控后台;
监控后台将接收到的为蜜罐探针设置的网络通信配置自动添加到其网络配置文件中。
4.根据权利要求1所述的基于蜜罐的实时监控方法,其特征在于,所述监控后台将蜜罐机器的状态数据整合结果推送给用户终端进行展示,还包括:
在接收到与监控后台位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台自蜜罐探针实时获取蜜罐机器的状态数据并进行整合,将状态数据整合结果推送给用户终端;以及,在接收到与监控后台不属于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台不响应该用户终端的请求。
5.根据权利要求4所述的基于蜜罐的实时监控方法,其特征在于,所述在接收到与监控后台位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,监控后台自蜜罐探针实时获取蜜罐机器的状态数据之前,还包括:
监控后台对所述用户终端进行身份验证,并确认所述用户终端通过身份验证。
6.一种基于蜜罐的实时监控系统,其特征在于,包括:
设置单元,用于为被监控机器配置蜜罐服务,将所述被监控机器配置成蜜罐机器;
监听单元,用于将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据,将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台;
监控后台,用于保存来自蜜罐探针的蜜罐机器的状态数据并进行整合,将蜜罐机器的状态数据整合结果推送给用户终端进行展示;
所述监控后台包括:
周期反馈子单元,用于采用双通信协议周期性定时获取蜜罐机器的状态数据进行整合,并将状态数据整合结果推送给与监控后台位于同一内网的用户终端;
所述周期反馈子单元,具体用于当用户使用终端对监控后台发起一次查看蜜罐机器的状态数据的请求后,监控后台则主动、自动周期性向蜜罐探针请求最新的蜜罐机器的状态数据,直至用户关闭前端页面;
所述监听单元包括:
设置子单元,用于通过设置蜜罐探针内插件所指定监听的状态数据类型,实现其监听蜜罐机器的状态数据;以及,
更新子单元,用于通过更改蜜罐探针内插件所指定监听的状态数据类型,和/或,通过增加或者删除蜜罐探针内的插件,实现更新蜜罐探针所监听的蜜罐机器的状态数据。
7.根据权利要求6所述的基于蜜罐的实时监控系统,其特征在于,所述监听单元,具体用于:
通过蜜罐探针具有的套接字socket接口,将监听到的蜜罐机器的状态数据实时传输至监控后台具有的套接字socket接口。
8.根据权利要求6所述的基于蜜罐的实时监控系统,其特征在于,还包括:
监听单元,还用于在蜜罐探针监听蜜罐机器的状态数据之前,为蜜罐探针设置网络通信配置,以及,在监控后台启动后,将为蜜罐探针设置的网络通信配置传输到运行的监控后台;
监控后台,还用于将接收到的为蜜罐探针设置的网络通信配置自动添加到其网络配置文件中。
9.根据权利要求6所述的基于蜜罐的实时监控系统,其特征在于,所述监控后台还包括:
实时反馈子单元,用于在接收到与监控后台位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,自蜜罐探针实时获取蜜罐机器的状态数据并进行整合,将状态数据整合结果推送给用户终端;以及,在接收到与监控后台不属于同一内网的用户终端查看蜜罐机器的状态数据的请求后,不响应该用户端终端的请求。
10.根据权利要求9所述的基于蜜罐的实时监控系统,其特征在于,
所述实时反馈子单元,还用于在接收到与监控后台位于同一内网的用户终端查看蜜罐机器的状态数据的请求后,自蜜罐探针实时获取蜜罐机器的状态数据之前,对所述用户终端进行身份验证,并确认所述用户终端通过身份验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010606476.5A CN112039717B (zh) | 2020-06-29 | 2020-06-29 | 一种基于蜜罐的实时监控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010606476.5A CN112039717B (zh) | 2020-06-29 | 2020-06-29 | 一种基于蜜罐的实时监控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112039717A CN112039717A (zh) | 2020-12-04 |
CN112039717B true CN112039717B (zh) | 2022-10-28 |
Family
ID=73579757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010606476.5A Active CN112039717B (zh) | 2020-06-29 | 2020-06-29 | 一种基于蜜罐的实时监控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112039717B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800417B (zh) * | 2021-04-15 | 2021-07-06 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于服务状态机的反馈式蜜罐系统的识别方法及系统 |
CN113162948B (zh) * | 2021-05-12 | 2022-07-26 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐系统 |
CN113852785B (zh) * | 2021-07-29 | 2024-02-02 | 浪潮软件科技有限公司 | 一种基于5g的智能监控调度方法、装置及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10554755B2 (en) * | 2016-05-13 | 2020-02-04 | Honeywell International Inc. | Aircraft data interface function implementation using aircraft condition monitoring function and data gathering application architecture |
CN108769071B (zh) * | 2018-07-02 | 2021-02-09 | 腾讯科技(深圳)有限公司 | 攻击信息处理方法、装置和物联网蜜罐系统 |
US10958685B2 (en) * | 2018-12-06 | 2021-03-23 | Sap Se | Generation of honeypot data |
CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护系统 |
CN109831442A (zh) * | 2019-02-25 | 2019-05-31 | 中云信安(深圳)科技有限公司 | 一种安全电子公文包系统 |
CN110990115A (zh) * | 2019-11-21 | 2020-04-10 | 博智安全科技股份有限公司 | 针对蜜罐的容器化部署管理系统及其方法 |
CN110958250B (zh) * | 2019-12-04 | 2022-06-10 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
-
2020
- 2020-06-29 CN CN202010606476.5A patent/CN112039717B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
CN107911244A (zh) * | 2017-11-17 | 2018-04-13 | 华南理工大学 | 一种云网结合的多用户蜜罐终端系统及其实现方法 |
CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理系统 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN112039717A (zh) | 2020-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112039717B (zh) | 一种基于蜜罐的实时监控方法及系统 | |
CN102843442B (zh) | 用于配置联网的照相机的方法 | |
KR101822221B1 (ko) | 하나 이상의 전기 디바이스에 대한 정보를 배포하는 방법 및 시스템 | |
EP3485622B1 (en) | Method and system for node discovery and self-healing of blockchain networks | |
CN108366051B (zh) | 一种物联网感知数据共享系统 | |
CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
EP2933724B1 (en) | Method and apparatus for account intercommunication among APPs | |
US10313210B2 (en) | Method for acquiring monitoring data and system thereof, task distribution server and agent | |
CN110278568B (zh) | 基于网络设备构建组网的方法、网络系统 | |
CN110572229B (zh) | 校准时间的方法、装置、终端及存储介质 | |
CN1617515A (zh) | 网络设备的简易动态配置 | |
EP2823578A1 (en) | Systems and methods for implementing peer-to-peer wireless connections | |
CN109068326B (zh) | 一种认证方法、装置、终端、存储介质以及系统 | |
CN113055225A (zh) | 网络故障分析数据的获取方法、终端及服务器 | |
CN110661673A (zh) | 一种心跳检测的方法及装置 | |
CN101867583A (zh) | 网络视频发布方法及系统 | |
CN103369537B (zh) | 用于利用空白区的方法、设备和系统 | |
CN103533069B (zh) | 一种网络设备启动自动配置的方法及网络设备 | |
CN110505075B (zh) | 设备管理方法及相关设备 | |
WO2018211180A1 (fr) | Procede pour connecter des equipements au reseau internet | |
EP3149920B1 (fr) | Technique de médiation dans un réseau résidentiel | |
CN110659299B (zh) | 数据更新的方法及装置、前端开发客户端 | |
CN107102874B (zh) | 一种应用程序并发安装方法及系统 | |
CN109067836B (zh) | 一种配电信息远程交互通信系统 | |
CN115348309B (zh) | 通讯管理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |