CN112491817A - 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 - Google Patents

一种基于蜜罐技术的溯源方法、装置及蜜罐设备 Download PDF

Info

Publication number
CN112491817A
CN112491817A CN202011260279.9A CN202011260279A CN112491817A CN 112491817 A CN112491817 A CN 112491817A CN 202011260279 A CN202011260279 A CN 202011260279A CN 112491817 A CN112491817 A CN 112491817A
Authority
CN
China
Prior art keywords
malicious
information
attack behavior
tracing
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011260279.9A
Other languages
English (en)
Other versions
CN112491817B (zh
Inventor
于城
陶冶
刘伟
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202011260279.9A priority Critical patent/CN112491817B/zh
Publication of CN112491817A publication Critical patent/CN112491817A/zh
Application granted granted Critical
Publication of CN112491817B publication Critical patent/CN112491817B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于蜜罐技术的溯源方法、装置及蜜罐设备,所述方法包括:获取疑似恶意攻击行为的相关信息;根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;若存在,则向所述恶意主机进行主动探测,并获得探测结果;根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。该方法、装置及蜜罐设备能够解决现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。

Description

一种基于蜜罐技术的溯源方法、装置及蜜罐设备
技术领域
本发明涉及网络技术领域,尤其涉及一种基于蜜罐技术的溯源方法、装置及蜜罐设备。
背景技术
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
然而,现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种基于蜜罐技术的溯源方法、装置及蜜罐设备,用以解决现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
第一方面,本发明实施例提供一种基于蜜罐技术的溯源方法,应用于蜜罐设备,包括:
获取疑似恶意攻击行为的相关信息;
根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
若存在,则向所述恶意主机进行主动探测,并获得探测结果;
根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,所述获取疑似恶意攻击行为的相关信息的步骤之前,所述方法还包括:
当探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
所述获取疑似恶意攻击行为的相关信息,包括:
从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
优选地,所述向所述恶意主机进行主动探测,并获得探测结果,包括:
获取被攻击信息库中所述恶意主机对应的IP地址和端口;
根据所述IP地址和端口对所述恶意主机进行WEB漏洞扫描,并判断所述持续恶意攻击行为是否由WEB应用发起;
若所述持续恶意攻击行为由WEB应用发起,则所述根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,包括:
判断所述WEB应用是否存在高危漏洞;
若存在所述高危漏洞,则利用所述高危漏洞向所述恶意主机上传远程执行脚本,获取关键溯源信息。
优选地,所述判断所述持续恶意攻击行为是否由WEB应用发起,包括:
根据所述IP地址和端口向所述恶意主机请求尝试WEB连接;
若WEB连接成功,则判断所述持续恶意攻击行为由WEB应用发起。
优选地,所述获取关键溯源信息,包括:
获取所述恶意主机的系统日志和WEB应用日志;
所述获取关键溯源信息的步骤之后,所述方法还包括:
根据所述系统日志和WEB应用日志判断所述恶意主机是否存在上一级攻击源;
若存在,则对所述上一级攻击源进行二级溯源。
第二方面,本发明实施例提供一种基于蜜罐技术的溯源装置,包括事件触发器和主动溯源模块,所述事件触发器包括:
获取单元,用于获取疑似恶意攻击行为的相关信息;
判断单元,与所述获取单元连接,用于根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元,与所述判断单元连接,用于在所述判断单元判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
所述主动溯源模块包括:
主动探测单元,与所述发送单元连接,用于根据所述发送单元发送的主动溯源请求向所述恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元,与所述主动探测单元连接,用于根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,还包括被攻击信息库,所述事件触发器还包括:
保存单元,与所述被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至所述被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
所述获取单元,与所述被攻击信息库连接,用于从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
优选地,所述主动探测单元包括:
地址获取单元,用于获取被攻击信息库中所述恶意主机对应的IP地址和端口;
漏洞扫描单元,用于根据所述IP地址和端口对所述恶意主机进行WEB漏洞扫描,并判断所述持续恶意攻击行为是否由WEB应用发起;若所述持续恶意攻击行为由WEB应用发起,则进一步判断所述WEB应用是否存在高危漏洞;
所述溯源信息获取单元,用于在存在所述高危漏洞时,利用所述高危漏洞向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,所述主动探测单元还包括:
连接单元,用于根据所述IP地址和端口向所述恶意主机请求尝试WEB连接,并在WEB连接成功时,判断所述持续恶意攻击行为由WEB应用发起。
第三方面,本发明实施例提供一种蜜罐设备,包括第二方面所述的基于蜜罐技术的溯源装置。
本发明实施例提供的基于蜜罐技术的溯源方法、装置及蜜罐设备,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的WEB防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
附图说明
图1:为本发明实施例1的一种基于蜜罐技术的溯源方法的流程图;
图2:为本发明实施例2的一种基于蜜罐技术的溯源装置的结构示意图;
图3:为本发明实施例2的一种基于蜜罐技术的溯源装置的溯源交互示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
实施例1:
本实施例提供一种基于蜜罐技术的溯源方法,如图1所示,该方法包括:
步骤S102:获取疑似恶意攻击行为的相关信息。
在本实施例中,疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口、事件、访问次数、攻击者主机信息等。
可选地,获取疑似恶意攻击行为的相关信息的步骤之前,方法还可以包括:
当探测到疑似恶意攻击行为时,将疑似恶意攻击行为的相关信息保存至被攻击信息库,疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
获取疑似恶意攻击行为的相关信息,可以包括:
从被攻击信息库中获取疑似恶意攻击行为的相关信息。
步骤S104:根据疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机。
在本实施例中,通过记录的持续恶意攻击报文的攻击信息,进行分析后可以明确确定某主机的恶意攻击行为,其中,恶意攻击行为可以是SQL注入,XSS,高危漏洞利用等等,例如,请求中携带a'or'1=1—或者admin–等即为典型sql注入。
步骤S106:若存在,则向恶意主机进行主动探测,并获得探测结果。
可选地,向恶意主机进行主动探测,并获得探测结果,可以包括:
获取被攻击信息库中恶意主机对应的IP地址和端口;
根据IP地址和端口对恶意主机进行WEB漏洞扫描,并判断持续恶意攻击行为是否由WEB应用发起。
在本实施例中,主动探测是根据记录的访问的源IP加源端口,然后对对方的服务器进行端口WEB侧漏洞扫描,以确定恶意攻击主机上的攻击请求是由WEB应用发起。
若持续恶意攻击行为由WEB应用发起,则根据探测结果向恶意主机上传远程执行脚本,获取关键溯源信息,可以包括:
判断WEB应用是否存在高危漏洞;
若存在高危漏洞,则利用高危漏洞向恶意主机上传远程执行脚本,获取关键溯源信息。
在本实施例中,根据恶意主机的IP地址和端口(即被攻击信息库中的源IP和源端口)请求尝试WEB连接,如果WEB连接成功则判断持续恶意攻击行为由WEB应用发起。
在本实施例中,高危漏洞可以是针对WEB文件上传等高危漏洞,比如sql注入文件上传、jsp、php等前端语言文件上传漏洞、tomcat、weblogic、apache等中间件的文件上传漏洞。
步骤S108:根据探测结果向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,获取关键溯源信息,可以包括:
获取恶意主机的系统日志和WEB应用日志;
在本实施例中,关键溯源信息可以包括系统日志和WEB应用日志,当确定WEB应用存在可以直接利用的高危漏洞时,上传远程执行脚本,将对方系统日志、WEB应用日志等信息爬取回来,根据系统日志、WEB应用日志能够获取到用户登录信息列表,WEB应用操作日志,主机操作日志等等。从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的WEB防护以及主动恶意攻击的溯源需要。
获取关键溯源信息的步骤之后,方法还可以包括:
根据系统日志和WEB应用日志判断恶意主机是否存在上一级攻击源;
若存在,则对上一级攻击源进行二级溯源。
在本实施例中,通过对恶意主机的系统日志和WEB应用日志进行分析,能够找出入侵当前WEB应用的恶意攻击信息,比如攻击IP、端口(源IP和源端口),即恶意主机的上一级攻击源的相关信息,即可以执行类似上述流程的二次溯源操作。
本发明实施例提供的基于蜜罐技术的溯源方法,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的WEB防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
实施例2:
如图2所示,本实施例提供一种基于蜜罐技术的溯源装置,用于执行上述基于蜜罐技术的溯源方法,包括事件触发器30和主动溯源模块31,其中,事件触发器30包括:
获取单元301,用于获取疑似恶意攻击行为的相关信息;
判断单元302,与获取单元301连接,用于根据疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元303,与判断单元302连接,用于在判断单元302判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
主动溯源模块31包括:
主动探测单元311,与发送单元303连接,用于根据发送单元303发送的主动溯源请求向恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元312,与主动探测单元311连接,用于根据探测结果向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,还可以包括被攻击信息库,事件触发器30还可以包括:
保存单元,与被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将疑似恶意攻击行为的相关信息保存至被攻击信息库,疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
获取单元301,与被攻击信息库连接,用于从被攻击信息库中获取疑似恶意攻击行为的相关信息。
可选地,主动探测单元311可以包括:
地址获取单元,用于获取被攻击信息库中恶意主机对应的IP地址和端口;
漏洞扫描单元,用于根据IP地址和端口对恶意主机进行WEB漏洞扫描,并判断持续恶意攻击行为是否由WEB应用发起;若持续恶意攻击行为由WEB应用发起,则进一步判断WEB应用是否存在高危漏洞;
溯源信息获取单元312,用于在存在高危漏洞时,利用高危漏洞向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,主动探测单元311还包括:
连接单元,用于根据IP地址和端口向恶意主机请求尝试WEB连接,并在WEB连接成功时,判断持续恶意攻击行为由WEB应用发起。
在本实施例中,被攻击信息库用于将疑似攻击行为的相关信息保存起来,包括攻击IP、端口、事件、访问次数、攻击者主机信息等;事件触发器用于当疑似恶意攻击发生时,根据情形判断是进行记录还是在记录的同时进行主动溯源操作;主动溯源模块用于进行溯源操作。
具体地,参考图2,示出了本发明实施例提供的一种基于蜜罐技术的溯源装置的溯源交互示意图,在本实施例中,该溯源方法包括如下步骤:
步骤S201:事件触发器向被攻击信息库发送获取疑似恶意攻击信息请求;
步骤S202:被攻击信息库向事件触发器批量返回疑似恶意攻击信息;
步骤S203:事件触发器判断是否存在持续恶意攻击行为的恶意主机;
步骤S204:在判断存在持续恶意攻击行为的恶意主机时,事件触发器向主动溯源模块发送主动溯源请求;
步骤S205:主动溯源模块向恶意主机发起主动探测;
在本实施例中,主动探测是根据记录的访问的源IP加源端口,然后对对方的服务器进行端口WEB侧漏洞扫描,以确定恶意攻击主机上的攻击请求是由WEB应用发起。
步骤S206:主动溯源模块接收恶意主机反馈的探测结果;
步骤S207:主动溯源模块根据探测结果上传远程执行脚本;
步骤S208:主动溯源模块获取关键溯源信息,完成溯源取证。
在本实施例中,若确定恶意攻击行为由WEB应用发起,则进一步判断该WEB应用是否存在高危漏洞,若存在高危漏洞,则利用高危漏洞向该恶意主机上传远程执行脚本,获取关键溯源信息。
实施例3:
本实施例提供一种蜜罐设备,包括实施例2所述的基于蜜罐技术的溯源装置。
在本实施例中,蜜罐设备可以是主机或服务器,包括了实施例2所述的基于蜜罐技术的溯源装置。
实施例2至实施例3提供的基于蜜罐技术的溯源装置及蜜罐设备,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的WEB防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种基于蜜罐技术的溯源方法,应用于蜜罐设备,其特征在于,包括:
获取疑似恶意攻击行为的相关信息;
根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
若存在,则向所述恶意主机进行主动探测,并获得探测结果;
根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
2.根据权利要求1所述的基于蜜罐技术的溯源方法,其特征在于,所述获取疑似恶意攻击行为的相关信息的步骤之前,所述方法还包括:
当探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
所述获取疑似恶意攻击行为的相关信息,包括:
从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
3.根据权利要求2所述的基于蜜罐技术的溯源方法,其特征在于,所述向所述恶意主机进行主动探测,并获得探测结果,包括:
获取被攻击信息库中所述恶意主机对应的IP地址和端口;
根据所述IP地址和端口对所述恶意主机进行WEB漏洞扫描,并判断所述持续恶意攻击行为是否由WEB应用发起;
若所述持续恶意攻击行为由WEB应用发起,则所述根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,包括:
判断所述WEB应用是否存在高危漏洞;
若存在所述高危漏洞,则利用所述高危漏洞向所述恶意主机上传远程执行脚本,获取关键溯源信息。
4.根据权利要求3所述的基于蜜罐技术的溯源方法,其特征在于,所述判断所述持续恶意攻击行为是否由WEB应用发起,包括:
根据所述IP地址和端口向所述恶意主机请求尝试WEB连接;
若WEB连接成功,则判断所述持续恶意攻击行为由WEB应用发起。
5.根据权利要求4所述的基于蜜罐技术的溯源方法,其特征在于,所述获取关键溯源信息,包括:
获取所述恶意主机的系统日志和WEB应用日志;
所述获取关键溯源信息的步骤之后,所述方法还包括:
根据所述系统日志和WEB应用日志判断所述恶意主机是否存在上一级攻击源;
若存在,则对所述上一级攻击源进行二级溯源。
6.一种基于蜜罐技术的溯源装置,其特征在于,包括事件触发器和主动溯源模块,所述事件触发器包括:
获取单元,用于获取疑似恶意攻击行为的相关信息;
判断单元,与所述获取单元连接,用于根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元,与所述判断单元连接,用于在所述判断单元判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
所述主动溯源模块包括:
主动探测单元,与所述发送单元连接,用于根据所述发送单元发送的主动溯源请求向所述恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元,与所述主动探测单元连接,用于根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
7.根据权利要求6所述的基于蜜罐技术的溯源装置,其特征在于,还包括被攻击信息库,所述事件触发器还包括:
保存单元,与所述被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至所述被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的IP地址、端口及事件;
所述获取单元,与所述被攻击信息库连接,用于从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
8.根据权利要求7所述的基于蜜罐技术的溯源装置,其特征在于,所述主动探测单元包括:
地址获取单元,用于获取被攻击信息库中所述恶意主机对应的IP地址和端口;
漏洞扫描单元,用于根据所述IP地址和端口对所述恶意主机进行WEB漏洞扫描,并判断所述持续恶意攻击行为是否由WEB应用发起;若所述持续恶意攻击行为由WEB应用发起,则进一步判断所述WEB应用是否存在高危漏洞;
所述溯源信息获取单元,用于在存在所述高危漏洞时,利用所述高危漏洞向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
9.根据权利要求8所述的基于蜜罐技术的溯源装置,其特征在于,所述主动探测单元还包括:
连接单元,用于根据所述IP地址和端口向所述恶意主机请求尝试WEB连接,并在WEB连接成功时,判断所述持续恶意攻击行为由WEB应用发起。
10.一种蜜罐设备,包括如权利要求6-9中任一项所述的基于蜜罐技术的溯源装置。
CN202011260279.9A 2020-11-12 2020-11-12 一种基于蜜罐技术的溯源方法、装置及蜜罐设备 Active CN112491817B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011260279.9A CN112491817B (zh) 2020-11-12 2020-11-12 一种基于蜜罐技术的溯源方法、装置及蜜罐设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011260279.9A CN112491817B (zh) 2020-11-12 2020-11-12 一种基于蜜罐技术的溯源方法、装置及蜜罐设备

Publications (2)

Publication Number Publication Date
CN112491817A true CN112491817A (zh) 2021-03-12
CN112491817B CN112491817B (zh) 2023-04-18

Family

ID=74929964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011260279.9A Active CN112491817B (zh) 2020-11-12 2020-11-12 一种基于蜜罐技术的溯源方法、装置及蜜罐设备

Country Status (1)

Country Link
CN (1) CN112491817B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113014597A (zh) * 2021-03-17 2021-06-22 恒安嘉新(北京)科技股份公司 蜜罐防御系统
CN113572730A (zh) * 2021-06-15 2021-10-29 郑州云智信安安全技术有限公司 一种基于web的主动自动诱捕蜜罐的实现方法

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2500847A1 (en) * 2004-03-16 2005-09-16 At&T Corp. Method and apparatus for providing mobile honeypots
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN104363236A (zh) * 2014-11-21 2015-02-18 西安邮电大学 一种自动化漏洞验证的方法
CN105138907A (zh) * 2015-07-22 2015-12-09 国家计算机网络与信息安全管理中心 一种主动探测被攻击网站的方法和系统
CN107872467A (zh) * 2017-12-26 2018-04-03 中国联合网络通信集团有限公司 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN108810028A (zh) * 2018-07-20 2018-11-13 杭州安恒信息技术股份有限公司 一种全网木马控制端的探测方法与系统
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的攻击链检测方法及装置
WO2019220480A1 (ja) * 2018-05-14 2019-11-21 日本電気株式会社 監視装置、監視方法及びプログラム
CN110674496A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 程序对入侵终端进行反制的方法、系统以及计算机设备
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN111835758A (zh) * 2020-07-10 2020-10-27 四川长虹电器股份有限公司 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2500847A1 (en) * 2004-03-16 2005-09-16 At&T Corp. Method and apparatus for providing mobile honeypots
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN104363236A (zh) * 2014-11-21 2015-02-18 西安邮电大学 一种自动化漏洞验证的方法
CN105138907A (zh) * 2015-07-22 2015-12-09 国家计算机网络与信息安全管理中心 一种主动探测被攻击网站的方法和系统
CN107872467A (zh) * 2017-12-26 2018-04-03 中国联合网络通信集团有限公司 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的攻击链检测方法及装置
WO2019220480A1 (ja) * 2018-05-14 2019-11-21 日本電気株式会社 監視装置、監視方法及びプログラム
CN108810028A (zh) * 2018-07-20 2018-11-13 杭州安恒信息技术股份有限公司 一种全网木马控制端的探测方法与系统
CN110674496A (zh) * 2019-09-24 2020-01-10 杭州安恒信息技术股份有限公司 程序对入侵终端进行反制的方法、系统以及计算机设备
CN111490970A (zh) * 2020-02-19 2020-08-04 西安交大捷普网络科技有限公司 一种网络攻击的溯源分析方法
CN111835758A (zh) * 2020-07-10 2020-10-27 四川长虹电器股份有限公司 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113014597A (zh) * 2021-03-17 2021-06-22 恒安嘉新(北京)科技股份公司 蜜罐防御系统
CN113014597B (zh) * 2021-03-17 2023-09-08 恒安嘉新(北京)科技股份公司 蜜罐防御系统
CN113572730A (zh) * 2021-06-15 2021-10-29 郑州云智信安安全技术有限公司 一种基于web的主动自动诱捕蜜罐的实现方法

Also Published As

Publication number Publication date
CN112491817B (zh) 2023-04-18

Similar Documents

Publication Publication Date Title
CN107888607B (zh) 一种网络威胁检测方法、装置及网络管理设备
US9628508B2 (en) Discovery of suspect IP addresses
US8561177B1 (en) Systems and methods for detecting communication channels of bots
CN105939326B (zh) 处理报文的方法及装置
EP2156361B1 (en) Reduction of false positive reputations through collection of overrides from customer deployments
Osanaiye Short Paper: IP spoofing detection for preventing DDoS attack in Cloud Computing
CN111245787A (zh) 一种失陷设备识别与设备失陷度评估的方法、装置
CN108134761B (zh) 一种apt检测系统及装置
US11888882B2 (en) Network traffic correlation engine
CN110602032A (zh) 攻击识别方法及设备
CN112910907A (zh) 一种防御方法、装置、客户机、服务器、存储介质及系统
CN112491817B (zh) 一种基于蜜罐技术的溯源方法、装置及蜜罐设备
Fraunholz et al. Defending web servers with feints, distraction and obfuscation
CN106209907B (zh) 一种检测恶意攻击的方法及装置
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
CN117544335A (zh) 诱饵激活方法、装置、设备及存储介质
Mendes et al. Analysis of iot botnet architectures and recent defense proposals
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
CN111147491B (zh) 一种漏洞修复方法、装置、设备及存储介质
CN114024740A (zh) 一种基于密签诱饵的威胁诱捕方法
KR20090113745A (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
von Eye et al. Detecting stealthy backdoors and port knocking sequences through flow analysis
Yousaf et al. Intruders and intrusion detection systems—an overview
KR20170079528A (ko) 공격 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant