CN112788023B - 基于安全网络的蜜罐管理方法及相关装置 - Google Patents
基于安全网络的蜜罐管理方法及相关装置 Download PDFInfo
- Publication number
- CN112788023B CN112788023B CN202011643753.6A CN202011643753A CN112788023B CN 112788023 B CN112788023 B CN 112788023B CN 202011643753 A CN202011643753 A CN 202011643753A CN 112788023 B CN112788023 B CN 112788023B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- target
- outgoing data
- attack
- secure network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明实施例提出一种基于安全网络的蜜罐管理方法及相关装置,涉及计算机技术领域。其中,上述基于安全网络的蜜罐管理方法在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。防止蜜罐被攻破后横向渗透其他网络资产,切实保护系统和业务。
Description
技术领域
本发明涉及计算机技术领域,具体而言,涉及一种基于安全网络的蜜罐管理方法及相关装置。
背景技术
随着蜜罐技术的发展和普及,越来越多的企业尝试使用蜜罐技术来保护自己的业务系统,但这也让攻击者对于蜜罐站点的设别越来越有经验,来利用蜜罐站点来做出其他的攻击行为。一旦任意一个蜜罐站点被攻破,将直接威胁着整个业务系统的安全。
发明内容
有鉴于此,本发明的目的在于提供一种基于安全网络的蜜罐管理方法及相关装置。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明提供一种基于安全网络的蜜罐管理方法,应用于电子设备,所述电子设备内部署有多个蜜罐及与每个所述蜜罐通信的虚拟交换机;所述蜜罐管理方法包括:
在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;
若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;
若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。
在可选的实施方式中,所述蜜罐管理方法包括:
检验每个所述蜜罐的行为信息;
若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐;
利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐。
在可选的实施方式中,所述蜜罐管理方法包括:将所述目标蜜罐销毁。
在可选的实施方式中,所述若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃的步骤包括:
检验所述外发数据是否通过特定通道发送至所述虚拟交换机;
若所述外发数据不是通过所述特定通道发送至所述虚拟交换机,则丢弃所述外发数据;
若所述外发数据是通过所述特定通道发送至所述虚拟交换机且所述目的端为蜜场管理后台,则将所述外发数据发送至所述蜜场管理后台;
若所述外发数据是通过所述特定通道发送至所述虚拟交换机且所述目的端不是所述蜜场管理后台,则丢弃所述外发数据。
在可选的实施方式中,所述基于安全网络的蜜罐管理方法还包括:
接收到攻击端发送的攻击流量数据;
根据所述攻击流量数据中携带的业务信息,通过所述虚拟交换机将所述攻击流量数据转发至负责对应的业务的蜜罐。
第二方面,本发明提供一种基于安全网络的蜜罐管理装置,应用于电子设备,所述电子设备内部署有多个蜜罐及与每个所述蜜罐通信的虚拟交换机;所述蜜罐管理装置包括:
检验模块,用于在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;
发送模块,用于若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;
判定模块,用于若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。
在可选的实施方式中,所述蜜罐管理装置包括:
所述检验模块,用于检验每个所述蜜罐的行为信息;
创造模块,用于若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐;
替换模块,用于利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐。
在可选的实施方式中,所述蜜罐管理装置包括:
销毁模块,用于将所述目标蜜罐销毁。
第三方面,本发明提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现前述实施方式任一所述的基于安全网络的蜜罐管理方法。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述实施方式中任一项所述的基于安全网络的蜜罐管理方法。
与现有技术相比,本发明实施例提供的基于安全网络的蜜罐管理方法通过在虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。保障蜜罐能够通过与攻击侧进行数据交互而起到迷惑攻击侧的效果,同时限制蜜罐所发出数据横向流动,进而避免蜜罐被攻破的情况下威胁到整个业务系统的安全。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的电子设备的示意图之一。
图2示出了本发明实施例提供的电子设备的示意图之二。
图3示出了本发明实施例提供的基于安全网络的蜜罐管理方法的步骤流程图。
图4示出了本发明实施例提供的步骤S103的子步骤流程图。
图5示出了本发明实施例提供的基于安全网络的蜜罐管理方法的步骤流程图的另一部分。
图6示出了本发明实施例提供的基于安全网络的蜜罐管理装置的示意图。
图标:100-电子设备;110-存储器;120-处理器;130-通信模块;400-基于安全网络的蜜罐管理装置;401-检验模块;402-发送模块;403-判定模块。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
随着蜜罐技术的发展和普及,越来越多的企业尝试使用蜜罐技术来保护自己的业务系统,但这也让攻击者对于蜜罐站点的设别越来越有经验,来利用蜜罐站点来做出其他的攻击行为。传统的蜜罐产品对于东西向流量一般不受限制,且被攻破后的蜜罐系统(又名蜜场)一般没有及时的补救策略,从而使攻击者进一步渗透攻击导致更大的危害状况。
为了解决上述问题,本发明实施例提供了一种基于安全网络的蜜罐管理方法及相关装置。下面对本发明实施例中涉及到的技术名称进行解释:
Docker(容器):Docker是一个开源的应用容器引擎,让开发者可以打包相应的应用以及依赖包到一个可移植的Docker镜像中,然后发布到任何支持的Linux或Windows操作系统上,可以实现虚拟化的众多性质。
蜜罐:蜜罐是一种防御机制,本质上是一种对攻击方进行迷惑的技术,通过布置一些虚假资源来引诱攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐好比是情报收集系统。蜜罐站点是故意让人攻击的目标,引诱不法分子前来攻击。所以攻击者入侵后,部署者就可以知道攻击者是如何入侵的,随时了解针对服务器发动的最新的攻击和漏洞。
通常上述蜜罐是基于Docker容器技术,根据业务需求,在蜜场中创建针对不同业务的蜜罐容器。该蜜罐通过威胁流量检测,端口转发等技术,将攻击行为转入后端蜜场构建的蜜罐环境,从而发现攻击与收集攻击信息。
请参照图1,图1是电子设备100硬件层面的方框示意图。上述电子设备100可以是个人电脑(personal computer,PC)、服务器、分布式部署的计算机。可以理解的是,电子设备100也不限于物理设备,还可以是物理设备上布局的虚拟机、基于云平台上构建的虚拟机等能提供与所述服务器或者虚拟机有相同功能的计算机。
如图1所示,上述电子设备100包括存储器110、处理器120及通信模块130。所述存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器110(Random Access Memory,RAM),只读存储器110(Read Only Memory,ROM),可编程只读存储器110(Programmable Read-Only Memory,PROM),可擦除只读存储器110(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器110(ElectricErasable Programmable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。
通信模块130用于通过所述网络建立所述服务器与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图1所示的结构仅为电子设备100的结构示意图,所述电子设备100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2是电子设备100功能层面的方框示意图。上述电子设备100内设有虚拟交换机及多个蜜罐。
如前所述,每个蜜罐都是基于Docker技术创建的蜜罐容器,每个蜜罐可以模拟对应的一项业务功能的运作。多个蜜罐构成蜜场,以实现针对业务系统的安全防御。
上述虚拟交换机用于数据流量管控的虚拟网络设备,具有网络设备的特性,如可以配置IP、MAC地址和安全组策列等;和物理交换机设备功能类似。是一种在链路层实现中继和对帧进行转发的技术,根据MAC分区块,可隔离碰撞,将网络的多个网段在数据链路层连接起来的网络设备。
所有蜜罐都与虚拟交换机之间通过通信端口通信连接。每一个蜜罐对应一个虚拟子网。
上述电子设备100通过虚拟交换机与前端站点进行数据交互。上述前端站点内安装有蜜罐代理,用于识别到攻击流量时,将其转发给电子设备100进行处理。
请参考图3,图3示出了本发明实施例提供的一种基于安全网络的蜜罐管理方法。如图3所示,上述基于安全网络的蜜罐管理方法可以包括以下步骤:
步骤S101,在虚拟交换机接收到蜜罐发送的外发数据的情况下,检验外发数据的目的端。
在一些实施例中,根据外发数据中携带的目的地址,确定外发数据所需送达的目的端。上述目的端可能是其他蜜罐、蜜场管理后台、真实业务系统、第三方设备等中的一个或多个。上述第三方设备又分为访问状态下的第三方设备和未处于访问状态下的第三方设备。
上述蜜场管理后台为管理蜜罐系统的后台,上述蜜场管理后台可以设置在电子设备100内。上述蜜场管理后台也可以独立于电子设备100之外运行,通过与电子设备100之间的通信管理蜜罐系统。上述蜜场管理后台具有较高权限级别,其他端只能从蜜场管理后台获取信息,而不能向其发送控制指令。
一方面,电子设备100内预先存储有各个蜜罐、蜜场管理后台、真实业务系统的通信地址。另一方面,向电子设备100发送了访问请求的第三方设备,在其访问期间电子设备100均会留存该第三方设备的通信地址。也即,处于访问状态下的第三方设备的通信地址也会在电子设备100中存留。
如此,通过外发数据的目的地址与电子设备100内存储的通信地址进行比对,即可确定出外发数据所对应的目的端。
可选地,在电子设备100中查询到与目的地址匹配的通信地址的情况下,根据电子设备100中所记录的通信地址与主体标识(例如,主体标识可以是蜜罐、蜜场管理后台、真实业务系统、第三方设备的标识)之间的对应关系,确定对应的目的端。比如,在通信地址1对应着蜜罐1的标识、通信地址2对应着蜜场管理后台的标识、通信地址3对应着第三方设备1的标识的情况下,若匹配出的通信地址为通信地址3,那么目的端为访问状态下的第三方设备1。
可选地,在电子设备100中未查询到与目的地址匹配的通信地址的情况下,判定目的端为未处于访问状态下的第三方设备。
步骤S102,若目的端为目标攻击端,则将外发数据发送给目标攻击端。
上述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备。可以理解地,通常蜜罐均用于部署保护客户的高密级业务,通常该高密级业务是第三方设备不能访问的,因此,所有访问到该电子设备100的第三方设备(也即,处于访问状态的第三方设备)便会被判定为攻击端。上述目标攻击端为外发数据的目的地址所指向的处于访问状态下的第三方设备。
可以理解地,蜜罐为了迷惑攻击端,需要模拟正常业务逻辑与攻击端进行数据交互,以便捕获攻击端的恶意行为。因此,当外发数据所对应的目的端为目标攻击端时,需要将外发数据正常的发送给目标攻击端。
步骤S103,若目的端不是目标攻击端,则判定是否将外发数据丢弃。
蜜罐的主要功能在于迷惑攻击端,通常不会轻易向其他主体(其他蜜罐、真实业务系统等)发送数据,故,在目的端不是目标攻击端的情况下,存在蜜罐已被攻破的风险。在此时,便需要甄别是否将该外发数据发出。假设蜜罐被攻破,攻击端利用蜜罐向其他主体发送数据,将威胁到其他主体的安全,也即出现横向渗透其他网络资产。
如前所述,每个蜜罐所处的网络环境,都是由虚拟交换机分配的独立子网,每个子网间都有基于网络层的ACL限制,蜜罐默认为不出网模式,严格限制自身网络,只允许该子网中的蜜罐与蜜场管理后台以及攻击端进行数据交互,且数据交互通过特定通道实现,比如hunter.proxyy,一种自研的proxy代理程序进行交互,只开放对应的端口。
利用上述原理,在一些实施例中,如图4所示,上述步骤S103可以包括以下子步骤:
子步骤S103-1,检验外发数据是否通过特定通道发送至虚拟交换机。
在一些实施例中,由于蜜罐所属的独立子网的网络层的ACL限制,蜜罐与外界通信需要从特定通道发出,然,攻击端不一定能确定蜜罐与虚拟交换机之间的哪个通道为特定通道,故利用此,可以屏蔽部分攻击端控制蜜罐外发数据。
子步骤S103-2,若外发数据不是通过特定通道发送至虚拟交换机,则丢弃外发数据。
子步骤S103-3,若外发数据是通过特定通道发送至虚拟交换机且目的端为蜜场管理后台,则将外发数据发送至蜜场管理后台。
子步骤S103-4,若外发数据是通过特定通道发送至虚拟交换机且目的端不是蜜场管理后台,则丢弃外发数据。
除了通过限制蜜罐横向发送的数据的方式保障整个业务系统的安全,还需要及时发现蜜罐的异常,以便蜜罐系统可以正常运行。
在一些实施例中,如图5所示,上述基于安全网络的蜜罐管理方法还可以包括以下步骤:
步骤S201,检验每个蜜罐的行为信息。
在一些实施例中,可以记录每个蜜罐的向外界发送外发数据的行为。记录信息包括外发目的端、外发时间、外发通信通道等。如此,便可以通过遍历每个蜜罐的记录信息,识别蜜罐的行为,从而得到对应的行为信息。
上述行为信息包括高风险行为信息和正常行为信息。不同的行为信息可以对应着不同记录信息和记录信息之间的组合。
可选地,高风险行为可以对应着多条通过不同外发通道尝试向外界发送外发数据的记录信息。高风险行为还可以对应着向其他蜜罐发送数据的记录信息。高风险行为还可以对应着指定时长能存在超过阈值的记录信息表征蜜罐访问其他主体等。比如,一个蜜罐的记录信息中出现多条通过不同的通信通道向外界发送数据的记录,那么表面该蜜罐的行为信息为高风险行为信息。
可选地,正常行为信息对应着表征与攻击端进行数据交互的记录信息,比如,一个蜜罐的记录信息中只存在与攻击端进行数据交互的记录,那么表面该蜜罐的行为信息为正常行为信息。
在另一些实施例中,检验蜜罐的行为信息处理对蜜罐外发数据进行监控之外,还可以对蜜罐执行的敏感操作进行监控,从而分析蜜罐的行为。比如,蜜罐出现提权操作、上载文件操作等,可以判定蜜罐的行为信息为高风险行为。
步骤S202,若存在行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据目标蜜罐对应的配置信息创建新蜜罐。
在一些实施例中,如果出现具有高风险行为的目标蜜罐,可以启用蜜罐自恢复功能,确保蜜罐系统的正常运行。
可选地,上述步骤S202可以是先向管理者进行危险预警,以便管理者了解当前蜜罐的情况,便于决策是否人工介入。然后,目标蜜罐对应的配置信息创建新蜜罐。
上述新蜜罐与目标蜜罐具有相同的功能,可以模拟相同的业务逻辑。
步骤S203,利用新蜜罐顶替目标蜜罐,以便将对应于目标蜜罐的攻击流量转发至所述新蜜罐。
在一些实施例中,暂停目标蜜罐与外界的一切数据交互,利用新蜜罐顶替目标蜜罐在蜜罐系统中角色。此后,若有企图使用目标蜜罐所对应的业务的攻击端,便将该攻击端所发出的攻击流量转发至新蜜罐。
在一些实施例中,新蜜罐产生后,上述基于安全网络的蜜罐管理方法还包括:将上述目标蜜罐销毁,保障被攻破的蜜罐不被利用。
在一些实施例中,上述基于安全网络的蜜罐管理方法还包括:
(1)接收到攻击端发送的攻击流量数据。
通常攻击端会通过向前端站点发送请求的方式,企图使用蜜罐系统所保护的业务系统。设置在前端站点的蜜罐代理会将攻击端发出的攻击流量数据发送给电子设备100。
(2)根据攻击流量数据中携带的业务信息,通过虚拟交换机将攻击流量数据转发至负责对应的业务的蜜罐。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种基于安全网络的蜜罐管理装置400的实现方式,可选地,该基于安全网络的蜜罐管理装置400可以采用上述图1所示的电子设备100的器件结构。进一步地,请参阅图6,图6为本发明实施例提供的一种基于安全网络的蜜罐管理装置400的功能模块图。需要说明的是,本实施例所提供的基于安全网络的蜜罐管理装置400,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。该基于安全网络的蜜罐管理装置400包括:检验模块401、发送模块402及判定模块403。
检验模块401,用于在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端。
发送模块402,用于若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备。
判定模块403,用于若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。
在一些实施例中,所述蜜罐管理装置包括:
所述检验模块401,用于检验每个所述蜜罐的行为信息;
创造模块,用于若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐;
替换模块,用于利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐。
在一些实施例中,所述蜜罐管理装置还包括:销毁模块,用于将所述目标蜜罐销毁。
可选地,上述模块可以软件或固件(Firmware)的形式存储于图1所示的存储器110中或固化于该电子设备100的操作系统(Operating System,OS)中,并可由图1中的处理器120执行。同时,执行上述模块所需的数据、程序的代码等可以存储在存储器110中。
综上所述,本发明实施例提供了一种基于安全网络的蜜罐管理方法及相关装置。其中,上述基于安全网络的蜜罐管理方法在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。默认情况下隔离蜜场中的每个蜜罐,限制其通信和交互,防止横向渗透其他网络资产,可根据需要配置蜜罐受到攻击后自动销毁和替换功能,掐断蜜罐被利用的可能性,保护系统和业务。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于安全网络的蜜罐管理方法,其特征在于,应用于电子设备,所述电子设备内部署有多个蜜罐及与每个所述蜜罐通信的虚拟交换机;所述蜜罐管理方法包括:
检验每个所述蜜罐的行为信息;
若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐,所述高风险行为包括提权操作以及上载文件操作;
利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐;
在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;
若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;
若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。
2.根据权利要求1所述的基于安全网络的蜜罐管理方法,其特征在于,所述基于安全网络的蜜罐管理方法包括:将所述目标蜜罐销毁。
3.根据权利要求1所述的基于安全网络的蜜罐管理方法,其特征在于,所述若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃的步骤包括:
检验所述外发数据是否通过特定通道发送至所述虚拟交换机;
若所述外发数据不是通过所述特定通道发送至所述虚拟交换机,则丢弃所述外发数据;
若所述外发数据是通过所述特定通道发送至所述虚拟交换机且所述目的端为蜜场管理后台,则将所述外发数据发送至所述蜜场管理后台;
若所述外发数据是通过所述特定通道发送至所述虚拟交换机且所述目的端不是所述蜜场管理后台,则丢弃所述外发数据。
4.根据权利要求1所述的基于安全网络的蜜罐管理方法,其特征在于,所述基于安全网络的蜜罐管理方法还包括:
接收到攻击端发送的攻击流量数据;
根据所述攻击流量数据中携带的业务信息,通过所述虚拟交换机将所述攻击流量数据转发至负责对应的业务的蜜罐。
5.一种基于安全网络的蜜罐管理装置,其特征在于,应用于电子设备,所述电子设备内部署有多个蜜罐及与每个所述蜜罐通信的虚拟交换机;所述蜜罐管理装置包括:
检验模块,用于检验每个所述蜜罐的行为信息;若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐,所述高风险行为包括提权操作以及上载文件操作;利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐;
所述检验模块,还用于在所述虚拟交换机接收到所述蜜罐发送的外发数据的情况下,检验所述外发数据的目的端;
发送模块,用于若所述目的端为目标攻击端,则将所述外发数据发送给所述目标攻击端;其中,所述目标攻击端为已向所述蜜罐发送了攻击流量的第三方设备;
判定模块,用于若所述目的端不是目标攻击端,则判定是否将所述外发数据丢弃。
6.根据权利要求5所述的基于安全网络的蜜罐管理装置,其特征在于,所述蜜罐管理装置包括:
所述检验模块,用于检验每个所述蜜罐的行为信息;
创造模块,用于若存在所述行为信息包括高风险行为的目标蜜罐,则进行危险预警并根据所述目标蜜罐对应的配置信息创建新蜜罐;
替换模块,用于利用所述新蜜罐顶替所述目标蜜罐,以便将对应于所述目标蜜罐的攻击流量转发至所述新蜜罐。
7.根据权利要求6所述的基于安全网络的蜜罐管理装置,其特征在于,所述蜜罐管理装置包括:
销毁模块,用于将所述目标蜜罐销毁。
8.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器可执行所述机器可执行指令以实现权利要求1-4任一所述的基于安全网络的蜜罐管理方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-4中任一项所述的基于安全网络的蜜罐管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643753.6A CN112788023B (zh) | 2020-12-30 | 2020-12-30 | 基于安全网络的蜜罐管理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011643753.6A CN112788023B (zh) | 2020-12-30 | 2020-12-30 | 基于安全网络的蜜罐管理方法及相关装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112788023A CN112788023A (zh) | 2021-05-11 |
| CN112788023B true CN112788023B (zh) | 2023-02-24 |
Family
ID=75753633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011643753.6A Active CN112788023B (zh) | 2020-12-30 | 2020-12-30 | 基于安全网络的蜜罐管理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112788023B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660282A (zh) * | 2021-08-23 | 2021-11-16 | 公安部第三研究所 | 一种基于可信计算的勒索病毒防御方法、系统及相关设备 |
| CN115802356B (zh) * | 2023-02-07 | 2023-04-11 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060075099A1 (en) * | 2004-09-16 | 2006-04-06 | Pearson Malcolm E | Automatic elimination of viruses and spam |
| CN101087196B (zh) * | 2006-12-27 | 2011-01-26 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN102882884B (zh) * | 2012-10-13 | 2014-12-24 | 国家电网公司 | 信息化生产环境下基于蜜网的风险预警系统及方法 |
| CN105447385B (zh) * | 2014-12-08 | 2018-04-24 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
| US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
-
2020
- 2020-12-30 CN CN202011643753.6A patent/CN112788023B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112788023A (zh) | 2021-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9800547B2 (en) | Preventing network attacks on baseboard management controllers | |
| CN108881211B (zh) | 一种违规外联检测方法及装置 | |
| US8499348B1 (en) | Detection of and responses to network attacks | |
| US8539570B2 (en) | Method for managing a virtual machine | |
| US9203802B2 (en) | Secure layered iterative gateway | |
| CN111385376B (zh) | 一种终端的非法外联监测方法、装置、系统及设备 | |
| CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
| CN110495138A (zh) | 工业控制系统及其网络安全的监视方法 | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| CN112788023B (zh) | 基于安全网络的蜜罐管理方法及相关装置 | |
| US10673878B2 (en) | Computer security apparatus | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| US10839703B2 (en) | Proactive network security assessment based on benign variants of known threats | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN110855698B (zh) | 一种终端信息获得方法、装置、服务器及存储介质 | |
| CN112583845A (zh) | 一种访问检测方法、装置、电子设备和计算机存储介质 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Le et al. | A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security | |
| KR20070008804A (ko) | 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 | |
| US10757078B2 (en) | Systems and methods for providing multi-level network security | |
| Damiris | Router forensics | |
| CN116566747B (zh) | 基于工业互联网的安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 9/F, Block C, No. 28 Tianfu Avenue North Section, Chengdu High tech Zone, China (Sichuan) Pilot Free Trade Zone, Chengdu City, Sichuan Province, 610000 Patentee after: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. Address before: 610000, 11th floor, building 2, no.219, Tianfu Third Street, Chengdu pilot Free Trade Zone, hi tech Zone, Chengdu, Sichuan Province 610000 Patentee before: CHENGDU KNOWNSEC INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder |