CN112165459A - 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 - Google Patents
基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 Download PDFInfo
- Publication number
- CN112165459A CN112165459A CN202010934414.7A CN202010934414A CN112165459A CN 112165459 A CN112165459 A CN 112165459A CN 202010934414 A CN202010934414 A CN 202010934414A CN 112165459 A CN112165459 A CN 112165459A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- alarm
- host
- honeypots
- switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及蜜罐技术领域,提供了一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,蜜网系统:收到报警蜜罐的信息,分析攻击者特征,根据设置好的判断条件来判断是否需要启动切换主机蜜罐,如果需要切换,选择功能相应的同时处于备用状态的主机蜜罐,触发将报警蜜罐自动切换为相应的主机蜜罐;监听一段时间后,如果攻击者没有后续动作,蜜网系统控制将主机蜜罐自动切换回到相应的报警蜜罐,主机蜜罐回到备用状态。输出相应的告警和日志。
Description
技术领域
本发明涉及蜜罐技术领域,具体涉及一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法。
背景技术
在蜜网系统中,主要包括高交互蜜罐(主机蜜罐),中交付蜜罐和低交付蜜罐(报警蜜罐);高交付蜜罐的功能强大,可以捕获攻击是行为:攻击分析、攻击溯源、攻击回放、攻击反制等,但是交付蜜罐的成本较高。低交付蜜罐(报警蜜罐),使用进程的方式模仿,使用的资源较少,主要功能是当攻击进行攻击的时候进行报警,没有攻击分析、攻击溯源、攻击回放、攻击反制的功能。
在现网的环境中,一般的蜜网系统配置3个高交付的主机蜜罐,和17个低交付的告警蜜罐,节点配置20个到37个不等;高配置蜜网系统配置的10个高交付的主机蜜罐,和40个低交付的告警蜜罐,节点配置50个到90个不等;目前针对高交互蜜罐,为了体现真实性,蜜网支持一个诱捕节点绑定一个高交互主机蜜罐;针对低交互蜜罐,目前蜜网支持两个诱捕节点绑定一个低交互报警蜜罐。
在现网实际应用场景中,攻击者踩中报警蜜罐的概率大,而踩中主机蜜罐的概率小,所以主机蜜罐的利用效率较低;攻击者的特征是一个VPN的攻击,但是配置的主机蜜罐功能不是VPN功能的蜜罐,这样蜜罐的功能也会大打折扣。
因此,现有技术蜜网系统存在以下缺点:
1.节点和告警蜜罐提前绑定,节点和主机蜜罐提前绑定,无法在告警蜜罐发现攻击者后,按照攻击者特征,进行节点自动切换为相应功能的主机蜜罐。
2.攻击者踩中主机蜜罐的几率较低,踩中到相应功能的几率就更低。
发明内容
为了解决以上技术问题,本发明提供了一种基于报警蜜罐信息分析,自动切换至主机蜜罐的应用方法,通过告警蜜罐初步分析攻击者的攻击行为和特征来自动切换至主机蜜罐,除告警外,更加具备攻击分析、攻击溯源、攻击回放、攻击反制等功能。
具体地,本发明提供了一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,包括:蜜网系统配置若干个不同功能的主机蜜罐,配置若干个报警蜜罐和配置若干个诱捕节点;
诱捕节点绑定蜜罐:每一个诱捕节点绑定其中一个报警蜜罐,状态为主用Primary,再绑定所有不同功能的主机蜜罐,状态全部为备用Standby;
蜜网系统配置并切换出触发规则,攻击者攻击,报警蜜罐进行报警;
根据报警蜜罐的报警信息查寻报警库判断是否满足触发切换主机蜜罐条件,若满足,则根据报警信息切换至相应的主机蜜罐功能进行选择主机蜜罐类型;
蜜网系统控制切换:蜜网系统控制诱捕节点,将报警蜜罐状态从主用Primary设置为备用Standby;将选择好的相应的主机蜜罐的状态从备用Standby设置为主用Primary;建立诱捕节点和主机蜜罐的映射关系,在蜜网系统将相应的主机蜜罐设置忙busy;
蜜网系统控制切换倒回:在预设时间段内,攻击者无任何操作,视为达到倒回条件;控制诱捕节点,主机蜜罐的状态从主用Primary设置为备用Standby;将报警蜜罐状态从备用Standby设置为主用Primary;建立诱捕节点和报警蜜罐的映射关系,在蜜网系统将该主机蜜罐设置空闲free。
优选地,报警信息包括报警蜜罐有FTP访问,报警蜜罐有telnet访问,报警蜜罐有mysql访问,报警蜜罐有https、http访问,尝试登录SSH服务。
优选地,所述报警库包括一般报警信息和紧急报警信息,若为一般报警信息,则不满足触发切换主机蜜罐条件,若为紧急报警信息,则满足触发切换主机蜜罐条件。
优选地,若任何一条紧急报警信息,且源地址为3天内未触发过切换的报警的IP,就满足触发切换主机蜜罐条件。
优选地,在两个小时内,攻击者无任何操作,视为达到倒回条件。
优选地,所述报警信息包括报警区域和报警名称,蜜网系统选择主机蜜罐类型是根据报警区域和报警名称决定的。
优选地,主机蜜罐分为VPN功能主机蜜罐,WEB功能主机蜜罐和HTTPS功能主机蜜罐,若报警区域为客户的维护区域,报警名称为“RDP”、“菜刀攻击”或“访问HTTP页面高危行为”,则触发VPN功能主机蜜罐;若报警区域为客户的网站保护区域,报警名称为“webshell攻击”、“WEBSPHERE攻击事件”或“尝试登陆POSTGRESQL”,则触发WEB功能主机蜜罐;若报警区域为客户的服务器数据库区域,报警名称为“SQLServer操作”、“DB2操作”或“MYSQL操作”,则触发HTTPS功能主机蜜罐。
优选地,建立诱捕节点和主机蜜罐的映射关系具体包括以下步骤:
S1:安装虚拟机;
S2:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S3:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S4:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S5:创建蜜罐:通过虚拟化软件,创建高交互主机蜜罐,IP地址为:192.168.77.0/24;每个主机蜜罐均有一个IP;
S6:诱捕节点绑定主机蜜罐:通过专用加密方式将诱捕节点的IP映射到一个主机蜜罐的IP上。
优选地,假设诱捕节点的IP为172.19.1.1;需要绑定一个主机蜜罐,IP为192.168.77.25;诱捕节点绑定主机蜜罐的操作,就是将访问诱捕节点的IP为172.19.1.1的流量,通过专用加密方式,映射到IP为192.168.77.25的流量上。
优选地,建立诱捕节点和报警蜜罐的映射关系具体包括以下步骤:
S01:安装虚拟机;
S02:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S03:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S04:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S05:创建蜜罐:通过虚拟化软件,创建低交互报警蜜罐,IP地址为:192.168.77.0/24;每个报警蜜罐均有一个IP;
S06:诱捕节点绑定报警蜜罐:通过专用加密方式将诱捕节点的IP映射到一个报警蜜罐的IP上。
与现有技术相比,本发明所产生的有益效果是:
(1)利用攻击者的大概率踩中报警蜜罐,再通过攻击行为分析,自动将告警蜜罐切换为主机蜜罐,提供攻击分析、攻击溯源、攻击回放、攻击反制等功能;提高主机蜜罐利用效率;
(2)通过告警蜜罐的分析,选择主机蜜罐的功能类型(比如VPN功能,WEB功能,HTTPS功能等),可以更加准确的收集到攻击信息;
(3)依据告警蜜罐的信息进行判断是否将告警蜜罐自动切换至主机蜜罐,提供攻击分析、攻击溯源、攻击回放、攻击反制等功能从而提高主机蜜罐利用效率。
附图说明
图1为本发明提供的基于报警蜜罐信息分析自动切换至主机蜜罐的方法实现原理图。
具体实施方式
下面结合附图对本发明做进一步的详细说明。
如图1所示,本发明提供的本方法主要分为以下步骤实现:
1.蜜网系统配置若干个不同功能的主机蜜罐;
2.蜜网系统配置若干个告警蜜罐;
3.蜜网系统配置若干个诱捕节点;
4.诱捕节点绑定蜜罐:诱捕节点绑定一个报警蜜罐,状态为主用Primary,再绑定其他几个不同功能的主机蜜罐,状态全部为备用Standby。主机蜜罐可以被所有的节点同时绑定,状态都为备用Standby。
5.蜜网系统配置切换出触发规则:攻击者攻击,导致报警蜜罐报警如下:
报警蜜罐有FTP访问
报警蜜罐有telnet访问
报警蜜罐有mysql访问
报警蜜罐有https、http访问
尝试登录SSH服务;
触发条件:如有上面任何一条报警,而且源地址为3天内未触发过切换的告警的IP,就满足触发切换主机蜜罐条件。
6.蜜网系统分析选择主机蜜罐类型:
7.蜜网系统控制切换:控制诱捕节点,将告警蜜罐状态从主用Primary设置为备用Standby;将选择好的主机蜜罐的状态从备用Standby设置为主用Primary;建立节点和主机蜜罐的映射关系。在蜜网系统将该主机蜜罐设置忙busy。
8.蜜网系统控制切换倒回:在两个小时内,攻击者无任何操作,视为达到倒回条件。控制诱捕节点,主机蜜罐的状态从主用Primary设置为备用Standby;将告警蜜罐状态从备用Standby设置为主用Primary;建立节点和告警蜜罐的映射关系。在蜜网系统将该主机蜜罐设置空闲free。
9.蜜网系统输出系统日志和告警等信息:
如图1所示,本发明提供的应用方法原理图主要分为以下模块:
攻击者:在攻击的过程中,有很大概率踩中报警蜜罐,踩中主机蜜罐的概率交小;
报警蜜罐:告警蜜罐处于工作状态,将攻击者信息发送蜜网系统进行分析;
蜜网系统:收到告警蜜罐的信息,分析攻击者特征,根据设置好的判断条件来判断是否需要启动切换主机蜜罐,如果需要切换,选择功能相应的同时处于备用状态的主机蜜罐,触发将告警蜜罐自动切换为相应的主机蜜罐;监听一段时间(如2小时)后,如果攻击者没有后续动作,蜜网系统控制将主机蜜罐自动切换回到相应的告警蜜罐,主机蜜罐回到备用状态。输出相应的告警和日志。
其中,主机蜜罐大约有100多种,客户可以根据自己的业务需要选择主机蜜罐的种类和数量,下面有典型的10种蜜罐;如表1:
表1
假设客户有三个服务器区,一个选择了10种典型主机蜜罐(如表1),那么报警对于主机蜜罐的关系,如表2所示
实施例1:
一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,包括:蜜网系统配置若干个不同功能的主机蜜罐,配置若干个报警蜜罐和配置若干个诱捕节点;
诱捕节点绑定蜜罐:每一个诱捕节点绑定其中一个报警蜜罐,状态为主用Primary,再绑定所有不同功能的主机蜜罐,状态全部为备用Standby;
蜜网系统配置并切换出触发规则,攻击者攻击,报警蜜罐进行报警;
根据报警蜜罐的报警信息查寻报警库判断是否满足触发切换主机蜜罐条件,若满足,则根据报警信息切换至相应的主机蜜罐功能进行选择主机蜜罐类型;
蜜网系统控制切换:蜜网系统控制诱捕节点,将报警蜜罐状态从主用Primary设置为备用Standby;将选择好的相应的主机蜜罐的状态从备用Standby设置为主用Primary;建立诱捕节点和主机蜜罐的映射关系,在蜜网系统将相应的主机蜜罐设置忙busy;
蜜网系统控制切换倒回:在两个小时内,攻击者无任何操作,视为达到倒回条件。控制诱捕节点,主机蜜罐的状态从主用Primary设置为备用Standby;将报警蜜罐状态从备用Standby设置为主用Primary;建立诱捕节点和报警蜜罐的映射关系,在蜜网系统将该主机蜜罐设置空闲free。
其中,本发明提供的报警库包括一般报警信息和紧急报警信息,若为一般报警信息,则不满足触发切换主机蜜罐条件,若为紧急报警信息,则满足触发切换主机蜜罐条件,若任何一条紧急报警信息,且源地址为3天内未触发过切换的报警的IP,就满足触发切换主机蜜罐条件。
其中,本发明提供的报警信息包括报警区域和报警名称,蜜网系统选择主机蜜罐类型是根据报警区域和报警名称决定的。
如,本发明提供的主机蜜罐分为VPN功能主机蜜罐,WEB功能主机蜜罐和HTTPS功能主机蜜罐,若报警区域为客户的维护区域,报警名称为“RDP”、“菜刀攻击”或“访问HTTP页面高危行为”,则触发VPN功能主机蜜罐;若报警区域为客户的网站保护区域,报警名称为“webshell攻击”、“WEBSPHERE攻击事件”或“尝试登陆POSTGRESQL”,则触发WEB功能主机蜜罐;若报警区域为客户的服务器数据库区域,报警名称为“SQLServer操作”、“DB2操作”或“MYSQL操作”,则触发HTTPS功能主机蜜罐。
其中,本实施例中建立诱捕节点和主机蜜罐的映射关系具体包括以下步骤:
S1:安装虚拟机;
S2:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S3:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S4:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S5:创建蜜罐:通过虚拟化软件,创建高交互主机蜜罐,IP地址为:192.168.77.0/24;每个主机蜜罐均有一个IP;
S6:诱捕节点绑定主机蜜罐:通过专用加密方式将诱捕节点的IP映射到一个主机蜜罐的IP上。
本实施例中诱捕节点的IP为172.19.1.1;需要绑定一个主机蜜罐的IP为192.168.77.25;诱捕节点绑定主机蜜罐的操作,就是将访问诱捕节点的IP为172.19.1.1的流量,通过专用加密方式,映射到IP为192.168.77.25的流量上。
本实施例中建立诱捕节点和报警蜜罐的映射关系具体包括以下步骤:
S01:安装虚拟机;
S02:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S03:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S04:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S05:创建蜜罐:通过虚拟化软件,创建低交互报警蜜罐,IP地址为:192.168.77.0/24;每个报警蜜罐均有一个IP;
S06:诱捕节点绑定报警蜜罐:通过专用加密方式将诱捕节点的IP映射到一个报警蜜罐的IP上。
所属领域的普通技术人员应当理解:以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,包括
蜜网系统配置若干个不同功能的主机蜜罐,配置若干个报警蜜罐和配置若干个诱捕节点;
诱捕节点绑定蜜罐:每一个诱捕节点绑定其中一个报警蜜罐,状态为主用Primary,再绑定所有不同功能的主机蜜罐,状态全部为备用Standby;
蜜网系统配置并切换出触发规则,攻击者攻击,报警蜜罐进行报警;
根据报警蜜罐的报警信息查寻报警库判断是否满足触发切换主机蜜罐条件,若满足,则根据报警信息切换至相应的主机蜜罐功能进行选择主机蜜罐类型;
蜜网系统控制切换:蜜网系统控制诱捕节点,将报警蜜罐状态从主用Primary设置为备用Standby;将选择好的相应的主机蜜罐的状态从备用Standby设置为主用Primary;建立诱捕节点和主机蜜罐的映射关系,在蜜网系统将相应的主机蜜罐设置忙busy;
蜜网系统控制切换倒回:在预设时间段内,攻击者无任何操作,视为达到倒回条件;控制诱捕节点,主机蜜罐的状态从主用Primary设置为备用Standby;将报警蜜罐状态从备用Standby设置为主用Primary;建立诱捕节点和报警蜜罐的映射关系,在蜜网系统将该主机蜜罐设置空闲free。
2.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,报警信息包括报警蜜罐有FTP访问,报警蜜罐有telnet访问,报警蜜罐有mysql访问,报警蜜罐有https、http访问,尝试登录SSH服务。
3.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,所述报警库包括一般报警信息和紧急报警信息,若为一般报警信息,则不满足触发切换主机蜜罐条件,若为紧急报警信息,则满足触发切换主机蜜罐条件。
4.如权利要求3所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,若任何一条紧急报警信息,且源地址为3天内未触发过切换的报警的IP,就满足触发切换主机蜜罐条件。
5.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,在两个小时内,攻击者无任何操作,视为达到倒回条件。
6.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,所述报警信息包括报警区域和报警名称,蜜网系统选择主机蜜罐类型是根据报警区域和报警名称决定的。
7.如权利要求6所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,主机蜜罐分为VPN功能主机蜜罐,WEB功能主机蜜罐和HTTPS功能主机蜜罐,若报警区域为客户的维护区域,报警名称为“RDP”、“菜刀攻击”或“访问HTTP页面高危行为”,则触发VPN功能主机蜜罐;若报警区域为客户的网站保护区域,报警名称为“webshell攻击”、“WEBSPHERE攻击事件”或“尝试登陆POSTGRESQL”,则触发WEB功能主机蜜罐;若报警区域为客户的服务器数据库区域,报警名称为“SQLServer操作”、“DB2操作”或“MYSQL操作”,则触发HTTPS功能主机蜜罐。
8.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,建立诱捕节点和主机蜜罐的映射关系具体包括以下步骤:
S1:安装虚拟机;
S2:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S3:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S4:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S5:创建蜜罐:通过虚拟化软件,创建高交互主机蜜罐,IP地址为:192.168.77.0/24;每个主机蜜罐均有一个IP;
S6:诱捕节点绑定主机蜜罐:通过专用加密方式将诱捕节点的IP映射到一个主机蜜罐的IP上。
9.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,假设诱捕节点的IP为172.19.1.1;需要绑定一个主机蜜罐,IP为192.168.77.25;诱捕节点绑定主机蜜罐的操作,就是将访问诱捕节点的IP为172.19.1.1的流量,通过专用加密方式,映射到IP为192.168.77.25的流量上。
10.如权利要求1所述的基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法,其特征在于,建立诱捕节点和报警蜜罐的映射关系具体包括以下步骤:
S01:安装虚拟机;
S02:安装完成操作系统的诱捕节点,使所有端口为开放状态;
S03:在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64;
S04:安装完成诱捕节点专用软件trapnode-x86_64后,除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外,关闭其余所有的端口;
S05:创建蜜罐:通过虚拟化软件,创建低交互报警蜜罐,IP地址为:192.168.77.0/24;每个报警蜜罐均有一个IP;
S06:诱捕节点绑定报警蜜罐:通过专用加密方式将诱捕节点的IP映射到一个报警蜜罐的IP上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010934414.7A CN112165459B (zh) | 2020-09-08 | 2020-09-08 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010934414.7A CN112165459B (zh) | 2020-09-08 | 2020-09-08 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112165459A true CN112165459A (zh) | 2021-01-01 |
| CN112165459B CN112165459B (zh) | 2021-06-11 |
Family
ID=73859210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010934414.7A Active CN112165459B (zh) | 2020-09-08 | 2020-09-08 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112165459B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN113660246A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、系统、计算机及可读存储介质 |
| CN113904852A (zh) * | 2021-10-11 | 2022-01-07 | 北京知道创宇信息技术股份有限公司 | 蜜罐动态部署方法、装置、电子设备和可读存储介质 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN114866353A (zh) * | 2022-07-06 | 2022-08-05 | 广州锦行网络科技有限公司 | 高速公路网络的攻击者诱捕方法、装置以及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| US9462013B1 (en) * | 2015-04-29 | 2016-10-04 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN110750788A (zh) * | 2019-10-16 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的病毒文件检测方法 |
-
2020
- 2020-09-08 CN CN202010934414.7A patent/CN112165459B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| US9462013B1 (en) * | 2015-04-29 | 2016-10-04 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN106603541A (zh) * | 2016-12-21 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种基于差异化流量处理机制的蜜网系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN110750788A (zh) * | 2019-10-16 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 一种基于高交互蜜罐技术的病毒文件检测方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
| CN113098906B (zh) * | 2021-05-08 | 2022-08-30 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113660246A (zh) * | 2021-08-11 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、系统、计算机及可读存储介质 |
| CN113660246B (zh) * | 2021-08-11 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、系统、计算机及可读存储介质 |
| CN113904852A (zh) * | 2021-10-11 | 2022-01-07 | 北京知道创宇信息技术股份有限公司 | 蜜罐动态部署方法、装置、电子设备和可读存储介质 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN113992368B (zh) * | 2021-10-18 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN114866353A (zh) * | 2022-07-06 | 2022-08-05 | 广州锦行网络科技有限公司 | 高速公路网络的攻击者诱捕方法、装置以及电子设备 |
| CN114866353B (zh) * | 2022-07-06 | 2022-09-30 | 广州锦行网络科技有限公司 | 高速公路网络的攻击者诱捕方法、装置以及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112165459B (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112165459B (zh) | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 | |
| CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
| EP2715975B1 (en) | Network asset information management | |
| US6907533B2 (en) | System and method for computer security using multiple cages | |
| US9516054B2 (en) | System and method for cyber threats detection | |
| US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
| CN107347047B (zh) | 攻击防护方法和装置 | |
| US10250627B2 (en) | Remediating a security threat to a network | |
| US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| US20020162017A1 (en) | System and method for analyzing logfiles | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| EP3304813A1 (en) | Network behavior data collection and analytics for anomaly detection | |
| CN101465770A (zh) | 入侵检测系统部署方法 | |
| CN107612890B (zh) | 一种网络监测方法及系统 | |
| RU2679219C1 (ru) | СПОСОБ ЗАЩИТЫ СЕРВЕРА УСЛУГ ОТ DDoS АТАК | |
| Seeber et al. | Improving network security through SDN in cloud scenarios | |
| CN114268505B (zh) | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 | |
| Rao et al. | SEDoS-7: a proactive mitigation approach against EDoS attacks in cloud computing | |
| CN110868393A (zh) | 一种基于电网信息系统异常流量的防护方法 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Patil et al. | Analysis of distributed intrusion detection systems using mobile agents | |
| CN108933707B (zh) | 一种工业网络的安全监控系统及方法 | |
| CN112003862B (zh) | 终端安全防护方法、装置、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |