CN112738128A - 一种新型蜜罐组网方法及蜜罐系统 - Google Patents
一种新型蜜罐组网方法及蜜罐系统 Download PDFInfo
- Publication number
- CN112738128A CN112738128A CN202110023951.0A CN202110023951A CN112738128A CN 112738128 A CN112738128 A CN 112738128A CN 202110023951 A CN202110023951 A CN 202110023951A CN 112738128 A CN112738128 A CN 112738128A
- Authority
- CN
- China
- Prior art keywords
- service
- attacker
- honeypot
- idle
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种新型蜜罐组网方法及蜜罐系统,属于网络安全技术领域。本发明提供了一种蜜罐组网方法,列出真实业务主机的闲置服务,再列出攻击者常用服务,根据攻击者常用服务,从真实业务主机闲置的服务中选择一些闲置服务部署为诱捕节点,被选择的闲置服务每个部署一个诱捕节点,再将诱捕节点与蜜罐进行绑定,当攻击者访问闲置服务时,将攻击者访问流量引入蜜罐,蜜罐系统分析攻击者访问流量,并自动下载反制程序,对攻击者进行反制。本发明将诱捕节点部署在真实业务主机的闲置服务上,节省了大量的专用服务器或在闲置服务器上创建的专用虚拟机用于部署诱捕节点,捕获效率高,闲置业务得到了利用。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种新型蜜罐组网方法及蜜罐系统。
背景技术
蜜罐是网络安全领域已为人熟知的技术,蜜罐主要用于诱导攻击者攻击,进而进行攻击行为分析的技术。诱导攻击者攻击时,传统蜜罐通常需要部署诱捕节点,将诱捕节点与蜜罐进行绑定,将攻击者的流量转发到蜜罐,而传统蜜罐中,该诱捕节点都是部署在虚拟机上的,该虚拟机是没有任何业务往来的,所以只要有对该诱捕节点的访问,就表示有攻击。
中国专利申请文献CN111756761A中,公开了一种基于流量转发的网络防御系统、方法和计算机设备,其中,该系统包括:代理模块、蜜罐服务模块以及控制模块,其中,代理模块配置于业务主机中,与业务主机、控制模块以及蜜罐服务模块均通信连接,控制模块与业务主机通信连接;控制模块用于发送代理规则给代理模块;代理模块用于根据代理规则,在业务主机接收到攻击端发送的流量数据的情况下,将攻击端发送的流量数据转发给述蜜罐服务模块;蜜罐服务模块至少包括一个蜜罐,用于接收并响应代理模块转发的流量数据,以及发送反馈报文给代理模块,代理模块可以配置于业务主机中,与业务主机的至少一个允许转发的端口连接,并根据对应的端口号以及转发协议,获取该端口上的所有TCP流量,并将其转发至蜜罐服务模块。代理模块内还可设置阈值,在业务主机处理器使用率高于阈值的情况下,关闭代理模块。通过在代理模块中设置阈值,避免业务主机的处理器超负荷使用。在该系统中,代理模块配置于业务主机中,与业务主机的至少一个允许转发的端口连接,用于在业务主机上接收攻击者的流量,并将流量转发至蜜罐。但是该系统虽然是在真实主机上部署代理模块,但是该系统是一个代理模块与业务主机的多个端口连接,基于流量转发,识别流量来源和配置相应规则来进行判断,在攻击流量到达代理模块后,代理客户端先要进行代理服务端的身份验证,验证通过后才会发蜜罐的IP和端口号给代理服务端,代理服务端再建立与蜜罐的连接,当攻击量大时,全部转发均需要由代理模块进行上述一系列处理,处理量大,实现耗时,容易导致系统卡死,易被攻击者发现,且如果与蜜罐的连接建立失败,就会导致对攻击捕获的失败,攻击捕获率低。
现有技术至少存在以下不足:
1.蜜罐的特点比较明显,有经验的攻击者,很容易识别蜜罐。
2.蜜罐的捕获概率低,一般真实业务主机和诱捕节点的比例较大,所以捕获概率较低。
3.诱捕节点的网络一般和真实业务主机的网络不在同一网络交换机下,如果攻击者是基于网络设备的横向扫描,而不是基于IP的横向扫描,传统的蜜网系统就无法发挥作用。
4.在布署过程中,传统蜜罐需要增加诱捕节点的资源,成本高。
5.真实业务主机闲置业务端口无法利用,造成资源浪费
6.上述将代理模块部署在真实主机的防御系统,基于流量进行转发,在攻击流量到达代理模块后,代理模块进行一系列操作判断后才建立与蜜罐的连接进行流量转发,当攻击量大时,全部转发均需要由代理模块进行,处理量大,实现耗时,容易导致系统卡死,易被攻击者
发现,且如果与蜜罐的连接建立失败,就会导致对攻击捕获的失败,攻击捕获率低。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种蜜罐组网方法,列出真实业务主机的闲置服务,再列出攻击者常用服务,根据攻击者常用服务以及筛选规则,从真实业务主机闲置的服务中选择一些闲置服务部署为诱捕节点,被选择的闲置服务每个部署一个诱捕节点,再将诱捕节点与蜜罐进行绑定,当攻击者访问闲置服务端口时,将攻击者访问流量引入蜜罐,蜜罐系统分析攻击者访问流量,并自动下载反制程序,对攻击者进行反制。本发明将诱捕节点部署在真实业务主机的闲置服务上,节省了大量的专用服务器或在闲置服务器上创建的专用虚拟机用于部署诱捕节点,捕获效率高,闲置业务端口得到了利用。
本发明提供了一种新型蜜罐组网方法,应用于包括至少一台真实业务主机和蜜罐的蜜网系统,包括以下步骤:
S100:分析真实业务主机的业务使用情况,列出所述真实业务主机的闲置服务,得到闲置服务列表;
S200:分析以往攻击者的行为,列出攻击者常用的服务,得到攻击服务列表;
S300:根据攻击服务列表中的服务,从闲置服务列表中选择多个闲置服务;
S400:将每个被选择的闲置服务配置为一个诱捕节点;
S500:在所述真实业务主机上,基于诱捕节点对应的闲置服务,安装诱捕节点程序,在所述诱捕节点程序上设置对应的闲置服务的触发点;
S600:根据所述诱捕节点对应的所述闲置服务,将所述诱捕节点与所述蜜网系统中提供对应服务的蜜罐进行绑定;
S700:当攻击者对配置为诱捕节点的闲置服务进行使用,触发通过专用隧道将攻击者对诱捕节点的访问流量转发至绑定的蜜罐,并进行告警;
S800:对攻击者的访问流量进行分析,诱导攻击者下载相应的反制程序到攻击者主机,对攻击者进行反制,具体包括以下步骤:
获取攻击者的攻击行为记录;
根据攻击者的攻击行为记录,确定攻击者意图;
根据攻击者意图诱导攻击者下载相应的反制程序到攻击者主机,进行反制。
优选地,步骤S400中,将被选择的闲置服务配置为诱捕节点通过如下方式实现:
将被选择的闲置服务映射为所述真实业务主机IP地址与被选择的闲置服务的端口组合的诱捕节点。
优选地,步骤S100列出所述真实业务主机的闲置服务包括如下步骤:
S101:通过脚本读取真实主机的各服务开启状态,针对已开启服务,执行S102;针对
未开启的服务,则认为该服务为闲置服务;
S102:通过脚本读取已开启服务的日志,并进行分析,如果日志中无该服务的使用记录,则认为该服务为闲置服务;如果日志中有该服务的使用记录,则表示该服务为在用服务。
优选地,步骤S300中,根据如下规则从闲置服务列表中选择闲置服务:
根据攻击服务列表中的服务,确定攻击者用于获取数据的服务;
根据确定的攻击者常用于获取数据的服务,在闲置服务列表中,选择攻击服务列表中的一个服务或多个服务作为闲置服务。
优选地,步骤S600中将所述真实业务主机上配置的诱捕节点与所述蜜网系统中的蜜罐进行绑定具体包括如下步骤:
步骤S601:在中央蜜罐系统中选择需要绑定的诱捕节点;
步骤S602:选择与需要绑定的诱捕节点对应的闲置服务提供相同服务的功能蜜罐;
步骤S603:将需要绑定的诱捕节点与被选择的提供相同服务的所述功能蜜罐进行绑定
操作;
步骤S604:进入诱捕节点进行测试,中央管理系统根据显示的访问告警信息,确定诱捕节点绑定状态是否正常。
优选地,所述反制程序用于收集攻击者社工信息和身份信息,并对攻击者主机进行木马植入。
优选地,步骤S700中所述的专用隧道为TCP/UDP协议的专用VPN隧道。
本发明提供了一种蜜罐系统,包括至少一台真实业务主机和一个蜜罐,所述真实业务主机与蜜罐可以通信,还包括还包括中央蜜罐系统、诱捕节点模块和攻击分析模块:
所述诱捕节点模块执行的操作包括:
分析真实业务主机的服务情况和攻击者行为,选择所述真实业务主机上的多个闲置服务;
将每个被选择的所述真实业务主机的闲置服务配置为一个诱捕节点;
基于诱捕节点对应的闲置服务,在所述真实业务主机上安装诱捕节点程序,所述诱捕节点程序将攻击者对所述诱捕节点的访问流量通过TCP/UDP协议的专用VPN隧道转发至
绑定的蜜罐;
所述中央蜜罐系统执行的操作包括:
将所述真实业务主机的闲置服务上配置的诱捕节点与提供相同功能的蜜罐进行绑定;
当攻击者访问流量被转发至蜜罐后,记录攻击者的主机信息、身份信息及社工信息;
记录攻击者的攻击行为;
所述攻击分析模块执行如下操作:
对攻击者的访问流量进行分析,所述分析包括如下步骤:
根据记录的攻击者行为动作及动作之间的关联性,确定攻击者意图;
根据攻击者意图,诱导攻击者下载相应的反制程序。
优选地,蜜罐系统还包括告警模块和反制模块,
所述告警模块执行如下操作:
当攻击者的访问流量被诱导进蜜罐时,在中央蜜罐系统的维护界面弹出告警窗口;
所述反制模块执行如下操作:
根据不同的攻击意图,提供不同的反制程序;
所述反制程序用于收集攻击者社工信息、身份信息、和对攻击者主机进行木马植入。
优选地,所述攻击者行为动作包括:读文件、创建文件目录、删除文件目录、修改文件目录、创建文件、上传文件、下载文件、修改文件、删除文件、渗透操作、命令行输入输出、系统登录、网络连接、网络断开、进程创建、进程禁止、注册表创建、注册表修改、注册表删除、会话创建、会话断开、会话删除、日志创建、日志删除和日志修改。
与现有技术相对比,本发明的有益效果如下:
1.本发明巧妙的利用真实主机的闲置服务设置为诱捕节点,而这些闲置服务包括攻击者常用
服务以及攻击者向攻击者主机回传数据等的关键服务,具有隐蔽性,不易被攻击者发现。
2.本发明事先将闲置服务配置为诱捕节点,事先将诱捕节点与蜜罐进行一对一绑定,在诱捕节点程序设置对应的闲置服务的触发点,当攻击者一旦使用配置为诱捕节点的闲置服务,即立即触发攻击者对设置为诱捕节点的闲置服务的访问流量到绑定蜜罐的映射,将各个闲置服务的映射分开处理,耗时短,避免流量大时系统卡死被攻击者发现,具有隐蔽性。
3.本发明通过TCP/UDP协议的VPN专用隧道将攻击者对设置为诱捕节点的闲置服务的流量
映射到蜜罐,实现了攻击流量的单向传输,同时避免了对业务主机的已开放服务的影响。
4.本发明将攻击常用服务和向攻击者主机回传数据等攻击的关键服务,映射到蜜罐,使得攻击者即使成功登录真实主机,也无法获取相应的信息到攻击者主机,实现了对真实主机的
保护。
附图说明
图1是本发明的一个实施例的蜜罐组网流程图;
图2是本发明的一个实施例的攻击者对部署了诱捕节点的闲置服务端口访问的处理流程图;
图3是本发明的一个实施例的蜜罐网络的框图。
具体实施方式
下面结合附图1-3,对本发明的具体实施方式作详细的说明。
本发明提供了一种新型蜜罐组网方法,应用于包括至少一台真实业务主机和蜜罐的蜜网系统,包括以下步骤:
S100:分析真实业务主机的业务使用情况,列出所述真实业务主机的闲置服务,得到闲置服务列表;
常见闲置服务有:FTP服务、RDP服务、SSH服务、SMTP服务、HTTP服务和SMB服务;
S200:分析以往攻击者的行为,列出攻击者常用的服务,得到攻击服务列表;
S300:根据攻击服务列表中的服务,从闲置服务列表中选择多个闲置服务;
选择的闲置服务在真实业务主机上本应该是不被使用,所以只要这个闲置服务被使用,就表示该真实业务主机上有攻击。比如真实业务主机的FTP服务和打印机服务等,在正常的情况下,这些真实业务主机不会使用到这两个服务,那就可以利用这两个闲置服务,如果攻击者成功登录了这台真实业务主机,在获取到真实业务主机上的数据后,需要使用FTP服务下载这些数据,只要攻击者使用FTP服务,就说明有攻击存在。
S400:将每个被选择的闲置服务配置为一个诱捕节点;
S500:在所述真实业务主机上,基于诱捕节点对应的闲置服务,安装诱捕节点程序,在所述诱捕节点程序上设置对应的闲置服务的触发点;诱捕节点程序上设置触发点;假设使用FTP服务为触发点,当攻击者使用到FTP服务,就触发启动蜜罐。
S600:根据所述诱捕节点对应的所述闲置服务,将所述诱捕节点与所述蜜网系统中提供对应服务的蜜罐进行绑定;
一个闲置服务可以配置一个诱捕节点,一个诱捕节点就只安装一个诱捕节点程序,一个诱捕节点绑定一个相应功能的功能蜜罐,而各诱捕节点安装的诱捕节点程序是通用的,只负责诱捕节点带蜜罐的转发,而具体的服务由绑定的蜜罐提供,比如闲置的FTP服务,需要绑定FTP蜜罐;一台真实业务主机,根据重要性,可以利用多个闲置服务,绑定多个功能蜜罐。
S700:当攻击者对配置为诱捕节点的闲置服务进行使用,触发通过专用隧道将攻击者对诱捕节点的访问流量转发至绑定的蜜罐,并进行告警;
如上所述,如果选择真实业务主机的FTP服务和打印机服务作为闲置服务,并将其设置为诱捕节点,在步骤S600中,将这两个闲置服务与蜜网中提供这两个服务的蜜罐分别进行绑定,那么当攻击者在真实业务主机上使用这两个闲置服务时,立即触发通过专用隧道将攻击者对诱捕节点的访问流量转发至绑定的蜜罐,将攻击者诱导进入蜜罐,从而实现了对真实业务主机的保护。
S800:对攻击者的访问流量进行分析,诱导攻击者下载相应的反制程序到攻击者主机,对攻击者进行反制,具体包括以下步骤:
获取攻击者的攻击行为记录;
根据攻击者的攻击行为记录,确定攻击者意图;
根据攻击者意图诱导攻击者下载相应的反制程序到攻击者主机,进行反制。
作为优选实施方式,步骤S400中,将被选择的闲置服务配置为诱捕节点通过如下方式实现:
将被选择的闲置服务映射为所述真实业务主机IP地址与被选择的闲置服务的端口组合的诱捕节点。
在同一真实业务主机上,可以利用不同的闲置服务,为了区分不同的闲置服务,我们使用了真实业务主机IP地址与端口结合的方式来配置诱捕节点,诱捕节点安装了诱捕程序后再绑定相应蜜罐;比如:FTP服务,可以使用IP地址+21端口,将FTP服务设置为一个诱捕节点;RDP服务可以使用真实业务主机IP地址+3389,将RDP服务设置为一个诱捕节点;对于SSH服务,可以使用真实业务主机IP地址+221端口,将SSH服务设置为一个诱捕节点;如果有攻击者利用到其中一个服务,将会被蜜罐记录所有行为,如果下载蜜罐中的反制程序,将会被社工等。
还以闲置服务FTP服务为例,选择闲置服务FTP服务配置为该真实业务主机的一个诱捕节点,真实业务主机IP地址为10.10.9.8;则将FTP.exe映射为10.10.9.8:21的诱捕节点,映射完成后,再安装诱捕节点程序,将该诱捕节点绑定到蜜网中提供FTP功能的功能蜜罐;只要攻击者在该真实业务主机上执行FTP.exe,其访问就被诱导到绑定的蜜罐中。
作为优选实施方式,步骤S100列出所述真实业务主机的闲置服务包括如下步骤:
S101:通过脚本读取真实主机的各服务开启状态,针对已开启服务,执行S102;针对
未开启的服务,则认为该服务为闲置服务;
S102:通过脚本读取已开启服务的日志,并进行分析,如果日志中无该服务的使用记录,则认为该服务为闲置服务;如果日志中有该服务的使用记录,则表示该服务为在用服务。
作为优选实施方式,步骤S300中,根据如下规则从闲置服务列表中选择闲置服务:
根据攻击服务列表中的服务,确定攻击者用于获取数据的服务;
根据确定的攻击者常用于获取数据的服务,在闲置服务列表中,选择攻击服务列表中的一个服务或多个服务作为闲置服务。
作为优选实施方式,步骤S600中将所述真实业务主机上配置的诱捕节点与所述蜜网系统中的蜜罐进行绑定具体包括如下步骤:
步骤S601:在中央蜜罐系统中选择需要绑定的诱捕节点;
步骤S602:选择与需要绑定的诱捕节点对应的闲置服务提供相同服务的功能蜜罐;
步骤S603:将需要绑定的诱捕节点与被选择的提供相同服务的所述功能蜜罐进行绑定
操作;
步骤S604:进入诱捕节点进行测试,中央管理系统根据显示的访问告警信息,确定诱
捕节点绑定状态是否正常;
通过中央管理诱捕节点状态,可以看到诱捕节点是否绑定蜜罐,绑定的蜜罐是否正常运行,绑定蜜罐的业务是什么样;设置绑定后可以进入诱捕节点测试,这个时候中央管理将显示访问告警等详细信息,表示绑定状态是否正常。
作为优选实施方式,所述反制程序用于收集攻击者社工信息和身份信息,并对攻击者主机进行木马植入。
虽然现在网络科技和黑客技术都已经非常发达,但是非技术的欺骗和仿冒依然是最有效、最迅速的攻击方法,这就是网络安全里面的社会工程学。在网络安全中,其实人为因素才是安全的软肋。而一种无需通过攻击电脑网络,更注重研究人性弱点的黑客攻击手法正在兴起,这就是社会工程学,也就是这里所说的社工。而在网络防御方面,如果可以拿到攻击者的社工信息,则可以对攻击者进行更全面的分析,从而可以制定更全面有效的防御措施。
反制程序提前放在与闲置服务绑定的蜜罐上,目的是诱导攻击者将反制程序下载到攻击者主机上;一般可以将反制程序命名为:《表扬信》、《奖金发放名单》、《**会议纪要》《**合同》等,攻击者为了获取有价值的信息,就会将这些文件下载到攻击者主机上,只要点击打开反制程序,反制程序就可以在后台运行了。
反制程序有多种功能,主要功能是收集攻击者的社工信息,反制程序主要包括:
1、控制攻击者主机摄像头,进行拍照、录像;
2、收集攻击者主机安装使用过的微信、QQ等账号;
3、收集攻击者主机安装使用过的网银、支付宝等账号;
4、收集攻击者主机上浏览器信息,目的是收集攻击者的百度账号、Sina账号等信息;
当反制程序收集到这些信息后,将在攻击者主机上通过公网,自动将以上信息反馈到预先布置的虚拟专用服务器VPS上。
作为优选实施方式,步骤S700中所述的专用隧道为TCP/UDP协议的专用VPN隧道。使用TCP/UDP协议的专用VPN隧道,数据可以通过诱捕节点到蜜罐进行单向传输,不能通过蜜罐传输到诱捕节点。
本发明提供了一种蜜罐系统,包括至少一台真实业务主机和一个蜜罐,所述真实业务主机与蜜罐可以通信,还包括还包括中央蜜罐系统、诱捕节点模块和攻击分析模块:
所述诱捕节点模块执行的操作包括:
分析真实业务主机的服务情况和攻击者行为,选择所述真实业务主机上的多个闲置服务;
将每个被选择的所述真实业务主机的闲置服务配置为一个诱捕节点;
基于诱捕节点对应的闲置服务,在所述真实业务主机上安装诱捕节点程序,所述诱捕节点程序将攻击者对所述诱捕节点的访问流量通过TCP/UDP协议的专用VPN隧道转发至绑定的蜜罐;
所述中央蜜罐系统执行的操作包括:
将所述真实业务主机的闲置服务上配置的诱捕节点与提供相同功能的蜜罐进行绑定;
当攻击者访问流量被转发至蜜罐后,记录攻击者的主机信息、身份信息及社工信息;
记录攻击者的攻击行为;
从攻击者进入绑定的蜜罐开始,中央蜜罐系统将收到告警,并记录攻击者IP地址、设备指纹信息、身份指纹信息等基础信息,有可能还有社交ID信息(百度账号,sina账号等);所有的行为,包括下载了那些文件,浏览了那些文件,创建删除了什么等等
所述攻击分析模块执行如下操作:
对攻击者的访问流量进行分析,所述分析包括如下步骤:
根据记录的攻击者行为动作及动作之间的关联性,确定攻击者意图;
根据攻击者意图,诱导攻击者下载相应的反制程序。
作为优选实施方式,蜜罐系统还包括告警模块和反制模块,
所述告警模块执行如下操作:
当攻击者的访问流量被诱导进蜜罐时,在中央蜜罐系统的维护界面弹出告警窗口;
所述反制模块执行如下操作:
根据不同的攻击意图,提供不同的反制程序;
所述反制程序用于收集攻击者社工信息、身份信息、和对攻击者主机进行木马植入。
作为优选实施方式,所述攻击者行为动作包括:读文件、创建文件目录、删除文件目录、修改文件目录、创建文件、上传文件、下载文件、修改文件、删除文件、渗透操作、命令行输入输出、系统登录、网络连接、网络断开、进程创建、进程禁止、注册表创建、注册表修改、注册表删除、会话创建、会话断开、会话删除、日志创建、日志删除和日志修改。
实施例1
参照附图1、2和3,根据本发明的一个具体实施方案,对本发明提供的蜜罐组网方法进行详细说明。
例如:
真实业务主机的IP地址为:10.1.2.3;
闲置服务列表为:ftp服务,SSH服务,smb服务等;
攻击者常用服务列表为:ftp服务,SSH服务,远程桌面服务等;
从闲置服务列表中选择的闲置服务为:ftp服务和SSH服务,分别对应的端口号为21和22;
与闲置服务端口绑定的诱捕节点分别配置为:10.1.2.3:21和10.1.2.3:22;
与诱捕节点分别绑定的蜜罐配置为:ftp服务蜜罐和SSH服务蜜罐;
诱捕节点1:IP地址为10.1.2.3,端口号为21;
诱捕节点2:IP地址为10.1.2.3,端口号为22;
本发明提供了一种新型蜜罐组网方法,应用于包括至少一台真实业务主机和蜜罐的蜜网系统,包括以下步骤:
S100:分析真实业务主机的业务使用情况,列出所述真实业务主机的闲置服务,得到闲置服务列表;
步骤S100列出所述真实业务主机的闲置服务包括如下步骤:
S101:通过脚本读取真实主机的各服务开启状态,针对已开启服务,执行S102;针对未开启的服务,则认为该服务为闲置服务;
S102:通过脚本读取已开启服务的日志,并进行分析,如果日志中无该服务的使用记录,则认为该服务为闲置服务;如果日志中有该服务的使用记录,则表示该服务为在用服务。
闲置服务列表为:ftp服务,SSH服务,smb服务等;
S200:分析以往攻击者的行为,列出攻击者常用的服务,得到攻击服务列表;
攻击者常用服务列表为:ftp服务,SSH服务,远程桌面服务等;
S300:根据攻击服务列表中的服务,从闲置服务列表中选择多个闲置服务;
步骤S300中,根据如下规则从闲置服务列表中选择闲置服务:
根据攻击服务列表中的服务,确定攻击者用于获取数据的服务;
根据确定的攻击者常用于获取数据的服务,在闲置服务列表中,选择攻击服务列表中的一个服务或多个服务作为闲置服务;
本实施例从闲置服务列表中选择的闲置服务为:ftp服务和SSH服务,分别对应的端口号为21和22;
S400:将每个被选择的闲置服务配置为一个诱捕节点;
步骤S400中,将被选择的闲置服务配置为诱捕节点通过如下方式实现:
将被选择的闲置服务映射为所述真实业务主机IP地址与被选择的闲置服务的端口组合的诱捕节点。
与闲置服务端口绑定的诱捕节点分别配置为:10.1.2.3:21和10.1.2.3:22;;
S500:在所述真实业务主机上,基于诱捕节点对应的闲置服务,安装诱捕节点程序,在所述诱捕节点程序上设置对应的闲置服务的触发点;设置一个闲置服务如FTP服务为触发点,当攻击者使用到该FTP服务时,就触发流量到蜜罐的映射。
S600:根据所述诱捕节点对应的所述闲置服务,将所述诱捕节点与所述蜜网系统中提供对应服务的蜜罐进行绑定;
步骤S600中将所述真实业务主机上配置的诱捕节点与所述蜜网系统中的蜜罐进行绑定具体包括如下步骤:
步骤S601:在中央蜜罐系统中选择需要绑定的诱捕节点;
步骤S602:选择与需要绑定的诱捕节点对应的闲置服务提供相同服务的功能蜜罐;
步骤S603:将需要绑定的诱捕节点与被选择的提供相同服务的所述功能蜜罐进行绑定操作;
步骤S604:进入诱捕节点进行测试,中央管理系统根据显示的访问告警信息,确定诱捕节点绑定状态是否正常;
通过中央管理诱捕节点状态,可以看到诱捕节点是否绑定蜜罐,绑定的蜜罐是否正常运行,绑定蜜罐的业务是什么样;绑定后可以进入诱捕节点测试,这个时候中央管理将有访问告警等详细信息输出,表示绑定状态是否正常;
与诱捕节点分别绑定的蜜罐配置为:
诱捕节点1:IP地址为10.1.2.3,端口号为21;
诱捕节点2:IP地址为10.1.2.3,端口号为22;
S700:当攻击者对配置为诱捕节点的闲置服务进行使用,触发通过专用隧道将攻击者对诱捕节点的访问流量转发至绑定的蜜罐,并进行告警;
步骤S700中所述的专用隧道为TCP/UDP协议的专用VPN隧道
S800:对攻击者的访问流量进行分析,诱导攻击者下载相应的反制程序到攻击者主机,对攻击者进行反制,具体包括以下步骤:
获取攻击者的攻击行为记录;
根据攻击者的攻击行为记录,确定攻击者意图;
根据攻击者意图诱导攻击者下载相应的反制程序到攻击者主机,进行反制。
所述反制程序用于收集攻击者社工信息和身份信息,并对攻击者主机进行木马植入。
实施例2
参照附图2,根据本发明的又一个具体实施方案,对采用本发明,攻击者对部署了诱捕节点的闲置服务端口访问时,本发明的处理流程进行详细说明。
例如:
真实业务主机的IP地址为:192.168.1.5;
闲置服务列表为:远程桌面服务等;
攻击者常用服务列表为:远程桌面服务等
从闲置服务列表中选择的闲置服务为:远程桌面服务,对应的端口号为3389;
与闲置服务端口绑定的诱捕节点配置为:192.168.1.5:3389;
与诱捕节点分别绑定的蜜罐配置为:
诱捕节点1:IP地址为192.168.1.5,端口号为3389;
攻击者进入了真实主机192.168.1.5,当攻击在真实主机上启动远程桌面服务业务,这个时候,攻击者所有行为将会被绑定的远程桌面蜜罐记录,并且获取到攻击者的基础信息,包括IP、系统信息、浏览器信息等:
1.攻击者登录真实业务主机;
2.攻击者获取到真实业务主机的一些有价值信息;
3.攻击者通过远程桌面进入另外一台设备,这个时候远程桌面蜜罐启用;
4.攻击者对远程桌面服务服务的使用,使得其访问通过TCP/UDP协议的专用VPN隧道映射到与远程桌面服务绑定的蜜罐;
5.在攻击者的访问进入蜜罐时,进行告警;
6.反制模块根据攻击者在蜜罐中的行为,确定攻击者意图,根据攻击者意图,诱导攻击者下载相应的反制程序;
7.在后台运行反制程序,对攻击者进行反制,收集攻击者身份信息、社工信息,并在攻击者主机上植入木马病毒。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种新型蜜罐组网方法,应用于包括至少一台真实业务主机和蜜罐的蜜网系统,其特征在于,包括以下步骤:
S100:分析真实业务主机的业务使用情况,列出所述真实业务主机的闲置服务,得到闲置服务列表;
S200:分析以往攻击者的行为,列出攻击者常用的服务,得到攻击服务列表;
S300:根据攻击服务列表中的服务,从闲置服务列表中选择一个闲置服务或者多个闲置服务;
S400:将每个被选择的闲置服务配置为一个诱捕节点;
S500:在所述真实业务主机上,基于诱捕节点对应的闲置服务,安装诱捕节点程序,在所述诱捕节点程序上设置对应的闲置服务的触发点;
S600:根据所述诱捕节点对应的所述闲置服务,将所述诱捕节点与所述蜜网系统中提供对应服务的蜜罐进行绑定;
S700:当攻击者对配置为诱捕节点的闲置服务进行使用,触发通过专用隧道将攻击者对诱捕节点的访问流量转发至绑定的蜜罐,并进行告警;
S800:对攻击者的访问流量进行分析,诱导攻击者下载相应的反制程序到攻击者主机,对攻击者进行反制,具体包括以下步骤:
获取攻击者的攻击行为记录;
根据攻击者的攻击行为记录,确定攻击者意图;
根据攻击者意图诱导攻击者下载相应的反制程序到攻击者主机,进行反制。
2.根据权利要求1所述的蜜罐组网方法,其特征在于,步骤S400中,将被选择的闲置服务配置为诱捕节点通过如下方式实现:
将被选择的闲置服务映射为所述真实业务主机IP地址与被选择的闲置服务的端口组合的诱捕节点。
3.根据权利要求1所述的蜜罐组网方法,其特征在于,步骤S100列出所述真实业务主机的闲置服务包括如下步骤:
S101:通过脚本读取真实主机的各服务开启状态,针对已开启服务,执行S102;针对未开启的服务,则认为该服务为闲置服务;
S102:通过脚本读取已开启服务的日志,并进行分析,如果日志中无该服务的使用记录,则认为该服务为闲置服务;如果日志中有该服务的使用记录,则表示该服务为在用服务。
4.根据权利要求1所述的蜜罐组网方法,其特征在于,步骤S300中,根据如下规则从闲置服务列表中选择闲置服务:
根据攻击服务列表中的服务,确定攻击者常用于获取数据的服务;
根据确定的攻击者常用于获取数据的服务,在闲置服务列表中,选择攻击服务列表中的一个服务或多个服务作为闲置服务。
5.根据权利要求1所述的蜜罐组网方法,其特征在于,步骤S600中将所述真实业务主机上配置的诱捕节点与所述蜜网系统中的蜜罐进行绑定具体包括如下步骤:
步骤S601:在中央蜜罐系统中选择需要绑定的诱捕节点;
步骤S602:选择与需要绑定的诱捕节点对应的闲置服务提供相同服务的功能蜜罐;
步骤S603:将需要绑定的诱捕节点与被选择的提供相同服务的所述功能蜜罐进行绑定操作;
步骤S604:进入诱捕节点进行测试,中央管理系统根据显示的访问告警信息,确定诱捕节点绑定状态是否正常。
6.根据权利要求1所述的蜜罐组网方法,其特征在于,所述反制程序用于收集攻击者社工信息和身份信息,并对攻击者主机进行木马植入。
7.根据权利要求1所述的蜜罐组网方法,其特征在于,步骤S700中所述的专用隧道为TCP/UDP协议的专用VPN隧道。
8.一种蜜罐系统,包括至少一台真实业务主机和一个蜜罐,所述真实业务主机与蜜罐可以通信,其特征在于,还包括中央蜜罐系统、诱捕节点模块和攻击分析模块:
所述诱捕节点模块执行的操作包括:
分析真实业务主机的服务情况和攻击者行为,选择所述真实业务主机上的多个闲置服务;
将每个被选择的所述真实业务主机的闲置服务配置为一个诱捕节点;
基于诱捕节点对应的闲置服务,在所述真实业务主机上安装诱捕节点程序,所述诱捕节点程序将攻击者对所述诱捕节点的访问流量通过TCP/UDP协议的专用VPN隧道转发至绑定的蜜罐;
所述中央蜜罐系统执行的操作包括:
将所述真实业务主机的闲置服务上配置的诱捕节点与提供相同功能的蜜罐进行绑定;
当攻击者访问流量被转发至蜜罐后,记录攻击者的主机信息、身份信息及社工信息;记录攻击者的攻击行为;
所述攻击分析模块执行如下操作:
对攻击者的访问流量进行分析,所述分析包括如下步骤:
根据记录的攻击者行为动作及动作之间的关联性确定攻击者意图;
根据攻击者意图,诱导攻击者下载相应的反制程序。
9.根据权利要求8所述的蜜罐系统,其特征在于,还包括告警模块和反制模块,
所述告警模块执行如下操作:
当攻击者的访问流量被诱导进蜜罐时,在中央蜜罐系统的维护界面弹出告警窗口;
所述反制模块执行如下操作:
根据不同的攻击意图,提供不同的反制程序;
所述反制程序用于收集攻击者社工信息、身份信息、和对攻击者主机进行木马植入。
10.根据权利要求8所述的蜜罐系统,其特征在于,所述攻击者行为动作包括:读文件、创建文件目录、删除文件目录、修改文件目录、创建文件、上传文件、下载文件、修改文件、删除文件、渗透操作、命令行输入输出、系统登录、网络连接、网络断开、进程创建、进程禁止、注册表创建、注册表修改、注册表删除、会话创建、会话断开、会话删除、日志创建、日志删除和日志修改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110023951.0A CN112738128B (zh) | 2021-01-08 | 2021-01-08 | 一种新型蜜罐组网方法及蜜罐系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110023951.0A CN112738128B (zh) | 2021-01-08 | 2021-01-08 | 一种新型蜜罐组网方法及蜜罐系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112738128A true CN112738128A (zh) | 2021-04-30 |
CN112738128B CN112738128B (zh) | 2022-02-08 |
Family
ID=75589725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110023951.0A Active CN112738128B (zh) | 2021-01-08 | 2021-01-08 | 一种新型蜜罐组网方法及蜜罐系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738128B (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制系统 |
CN114465748A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 基于多诱饵动态协同的攻击诱捕方法及系统 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及系统 |
CN115150140A (zh) * | 2022-06-23 | 2022-10-04 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统及方法 |
CN115189951A (zh) * | 2022-07-13 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 伪服务仿真检测攻击渗透方法、装置和计算机设备 |
CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
CN115277068A (zh) * | 2022-06-15 | 2022-11-01 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐系统及方法 |
CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190230124A1 (en) * | 2018-01-19 | 2019-07-25 | Rapid7, Inc. | Blended honeypot |
CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
-
2021
- 2021-01-08 CN CN202110023951.0A patent/CN112738128B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190230124A1 (en) * | 2018-01-19 | 2019-07-25 | Rapid7, Inc. | Blended honeypot |
CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
CN110958250A (zh) * | 2019-12-04 | 2020-04-03 | 百度在线网络技术(北京)有限公司 | 一种端口监控方法、装置和电子设备 |
CN111490996A (zh) * | 2020-06-24 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
CN113098905A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及系统 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN113612783B (zh) * | 2021-08-09 | 2023-05-19 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
CN113553590B (zh) * | 2021-08-12 | 2022-03-29 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
CN114499915A (zh) * | 2021-09-28 | 2022-05-13 | 北京卫达信息技术有限公司 | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 |
CN114465748A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 基于多诱饵动态协同的攻击诱捕方法及系统 |
CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
CN113992368B (zh) * | 2021-10-18 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
CN113992444A (zh) * | 2021-12-28 | 2022-01-28 | 中孚安全技术有限公司 | 一种基于主机防御的网络攻击溯源与反制系统 |
CN115277068A (zh) * | 2022-06-15 | 2022-11-01 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐系统及方法 |
CN115277068B (zh) * | 2022-06-15 | 2024-02-23 | 广州理工学院 | 一种基于欺骗防御的新型蜜罐系统及方法 |
CN115150140A (zh) * | 2022-06-23 | 2022-10-04 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统及方法 |
CN115150140B (zh) * | 2022-06-23 | 2024-04-09 | 云南电网有限责任公司 | 一种基于集中统一布防的分布式攻击诱捕系统 |
CN115225349A (zh) * | 2022-06-29 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
CN115225349B (zh) * | 2022-06-29 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及系统 |
CN115189951A (zh) * | 2022-07-13 | 2022-10-14 | 杭州安恒信息技术股份有限公司 | 伪服务仿真检测攻击渗透方法、装置和计算机设备 |
CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112738128B (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐系统 | |
CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US10467411B1 (en) | System and method for generating a malware identifier | |
Ndatinya et al. | Network forensics analysis using Wireshark | |
Alata et al. | Lessons learned from the deployment of a high-interaction honeypot | |
US8286249B2 (en) | Attack correlation using marked information | |
US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
US8656493B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
EP1382154B1 (en) | System and method for computer security using multiple cages | |
Nicomette et al. | Set-up and deployment of a high-interaction honeypot: experiment and lessons learned | |
US20020162017A1 (en) | System and method for analyzing logfiles | |
Wang et al. | IoTCMal: Towards a hybrid IoT honeypot for capturing and analyzing malware | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
CN112602301A (zh) | 用于高效网络保护的方法和系统 | |
Karthikeyan et al. | Honeypots for network security | |
Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
CN115150124A (zh) | 欺骗防御系统 | |
Das | Attack development for intrusion detector evaluation | |
Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
Govil | Examining the criminology of bot zoo | |
CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
Felix et al. | Framework for Analyzing Intruder Behavior of IoT Cyber Attacks Based on Network Forensics by Deploying Honeypot Technology | |
Middelweerd et al. | Defining Who Is Attacking by How They Are Hacking | |
Hecker | A methodology for intelligent honeypot deployment and active engagement of attackers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |