CN112788043B - 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 - Google Patents
一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 Download PDFInfo
- Publication number
- CN112788043B CN112788043B CN202110063074.XA CN202110063074A CN112788043B CN 112788043 B CN112788043 B CN 112788043B CN 202110063074 A CN202110063074 A CN 202110063074A CN 112788043 B CN112788043 B CN 112788043B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- service
- attack
- address
- attack source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统,属于网络安全技术领域。本发明提供了一种蜜罐系统服务自适应的方法,通过主动探测攻击者主机环境,匹配其攻击工具,针对真人攻击且不是傀儡机的有价值攻击,通过主动式蜜罐部署执行系统根据攻击者主机开放的服务和端口,自适应提供伪装应用服务和操作系统,提升蜜罐系统可被利用率、攻破率。本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务,能够提升蜜罐系统的安全性,不会让攻击者对探测行为怀疑,快速变换伪装服务,提升蜜罐系统的仿真性;设置了多重判定条件,可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱捕其进入蜜罐系统,大大提升蜜罐系统的价值。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种蜜罐系统自适应服务伪装方法及蜜罐系统。
背景技术
蜜罐技术通过虚拟和伪装带有漏洞的虚假操作系统、应用服务,来诱捕攻击者主动攻击,并对其进行监控,收集并分析其攻击数据。
主动探测技术是通过多种主动探测手法,对目标主机进行应用服务、端口开放情况进行扫描和探测,并记录其开启服务类型、端口开放情况。
自适应是在数据处理和分析过程中,根据数据特征自动调整处理方法和约束条件,使其与所处理数据的统计分布特征、结构特征相适应,以取得最佳的处理效果的过程。
当蜜罐系统面对互联网开放web应用、系统服务时,可吸引和诱捕攻击者对蜜罐系统进行攻击,从而蜜罐可对其攻击行为进行完整记录。但面对高交互类型的蜜罐系统,大多数攻击者都是通过扫描工具进行广泛扫描和探测,而其攻击主机也部署了一定的应用服务并开启对应的服务端口,以便进行攻击操作,而一旦蜜罐系统部署在互联网的应用服务、系统服务以及开启的服务端口等无法匹配其攻击主机开放的应用服务和攻击工具利用的端口,则诱捕率大大降低,攻击者无法针对性利用蜜罐系统进行进一步的攻击操作,从而蜜罐系统无法记录更多攻击者的行为和特征。
现有技术至少存在以下不足:
1.现有方法都是通过被动式部署蜜罐系统伪装的应用服务和操作系统,被动式即根据自身的网络环境情况、以往获取的攻击行为数据进行分析而部署,无法实时针对现有攻击者的攻击主机环境、攻击工具情况进行主动针对性部署,提升蜜罐系统可被利用率、诱捕率,从而取证信息更丰富。
2.现有方法针对攻击者的探测行为,主要是展示攻击者的主机环境和服务开启情况,而无法
将该数据利用到蜜罐系统的应用服务伪装方法中,从而无法实现该数据信息的最大价值;3.现有方法利用人工分析、判断主动探测攻击者的主机情况,从而实现对蜜罐系统伪装的应
用服务、操作系统的部署更换和服务端口的开启、关闭,效率低下,费时费力。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种蜜罐系统服务自适应的方法,通过主动探测攻击者主机环境,匹配其攻击工具,从而主动式部署蜜罐系统伪装的应用服务和操作系统,提升蜜罐系统可被利用率、攻破率,从而取证信息更丰富。本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务,比人工手动更加具备高效和可持续性;通过前端探测节点、后端蜜罐系统的部署形式,能够提升蜜罐系统的安全性和仿真性,不会让攻击者对探测行为怀疑,从而快速变换伪装服务,也进一步提升蜜罐系统的仿真性;设置了多重判定条件,可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱捕其进入蜜罐系统,大大提升蜜罐系统的价值。
本发明提供了一种蜜罐系统服务自适应的方法,包括以下步骤:
S100:监测攻击者对伪装服务的攻击扫描,判断监测到的攻击是否为真人攻击:
如果是真人攻击,再判断是否为基站IP地址或移动数据网公共出口IP地址:
如果不是基站IP地址或移动数据网公共出口IP地址,则发送攻击源IP地址到前端探测节点,同时激活前端探测节点执行步骤S200;
如果是基站IP地址或移动数据网公共出口IP地址,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
如果不是真人攻击,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
S200:前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息;
S300:前端探测节点将获取的攻击源主机信息发送至蜜罐数据分析系统;
S400:蜜罐数据分析系统判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则跳转至步骤S100,继续监控攻击;
如果不匹配,则发送判断结果给蜜罐部署执行系统,执行步骤S500;
S500:蜜罐部署执行系统判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则下发伪装服务模块和执行脚本至蜜罐服务系统,执行步骤S600;
如果不存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则前端探测节点恢复静默状态,并跳转至步骤S100,继续监控攻击;
S600:蜜罐服务系统运行接收到的脚本,安装伪装服务,并更改第二蜜罐的伪装服务和端口,将攻击源诱导到与其匹配的第二蜜罐中,并跳转至步骤S100,继续监控攻击。
优选地,步骤S100中,判断是否为真人攻击包括:
判断攻击源IP地址对蜜罐服务系统扫描频率:
如果扫描频率小于预设的扫描频率阈值,则认为是真人攻击;
如果扫描频率大于等于预设的扫描频率阈值,则认为是机器自动化程序扫描。
优选地,步骤S200中,所述前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息包括如下步骤:
S201:前端探测节点将接收到的攻击源IP地址输入到预设脚本并自动执行脚本,通过nmap、nc和socket中任一工具对攻击源进行0-65535全端口扫描;
S202:前端探测节点将获取到的攻击源主机信息通过加密传输隧道回传到蜜罐数据分析系统;
S203:完成扫描后,前端探测节点恢复静默状态。
优选地,步骤S201中将预设脚本的IP地址字段修改为输入的攻击源IP地址,所述预设脚本设定为全端口扫描探测。
优选地,攻击源主机信息包括IP地址、开放的服务、开放的端口、攻击源主机的操作系统环境及操作系统版本。
优选地,步骤S100中判断是否为基站IP地址或移动数据网公共出口IP地址包括:将攻击源IP地址输入到全球IP地址数据库中判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址。
优选地,步骤S600具体包括:
蜜罐服务系统运行接收到的脚本,安装伪装服务模块提供的伪装服务;
将蜜罐服务系统内的第二蜜罐内开启的服务及端口修改为与攻击源主机匹配的服务及
端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击者诱导到第二蜜罐。
本发明提供了一种自适应服务蜜罐系统,包括前端探测节点、蜜罐服务系统、蜜罐数据分析系统和蜜罐部署执行系统;
所述前端探测节点,在未收到攻击源IP地址时,不进行主动探测,处于静默状态;在收到攻击源IP地址时被激活;
所述前端探测节点在激活状态执行如下操作:
基于主动探测技术,根据接收到的来自蜜罐服务系统的攻击源IP地址,进行攻击源主机信息探测;
将获取的攻击源主机信息传输到所述蜜罐数据分析系统;
所述蜜罐数据分析系统执行如下操作:
根据前端探测节点发送的攻击源主机信息,判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则通知蜜罐服务系统继续进行监控;
如果不匹配,则发送判断结果给蜜罐部署执行系统;
所述蜜罐部署执行系统执行如下操作:
根据接收到的所述蜜罐数据分析系统的判断结果,判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在,则下发伪装服务模块和执行脚本至蜜罐服务系统;
如果不存在,则通知蜜罐服务系统继续进行监控;
所述蜜罐服务系统执行如下操作:
接收所述蜜罐部署执行系统发送的执行脚本,运行执行脚本安装伪装服务,并更改第二蜜罐的伪装服务和端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击源诱导到与其匹配的第二蜜罐中。
优选地,在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索具体包括:
蜜罐服务系统下发诱饵至第一蜜罐,诱饵形式为可执行脚本;
第一蜜罐运行所述可执行脚本,在所述第一蜜罐内生成带有第二蜜罐相关信息的线索;
所述生成带有第二蜜罐相关信息的线索包括:在用于记录主机信息的文件里面新增第二蜜罐的IP地址、在系统文件夹下生成文件名包括password或密码的文件,所述文件内容至少包括第二蜜罐的弱口令和RDP远程登录记录之一。
优选地,所述运行执行脚本安装伪装服务中,所述伪装服务为下发的所述伪装服务模块提供的服务,所述更改第二蜜罐的伪装服务和端口中,所述伪装服务和端口为与攻击源主机开放的服务及端口对应的服务和端口。
与现有技术相对比,本发明的有益效果如下:
1.本发明通过主动探测攻击者主机环境,匹配其攻击工具,从而主动式部署蜜罐系统伪装的应用服务和操作系统,提升蜜罐系统可被利用率、攻破率,从而取证信息更丰富。
2.本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务,比人工手动更加具备高效和可持续性。
3.本发明通过前端探测节点、后端蜜罐系统的部署形式,能够提升蜜罐系统的安全性和仿真性,不会让攻击者对探测行为怀疑,从而快速变换伪装服务,也进一步提升蜜罐系统的仿真性。
4.本发明设置了多重判定条件,可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱
捕其进入蜜罐系统,大大提升蜜罐系统的价值。
附图说明
图1是本发明的一个实施例的蜜罐系统服务自适应的方法流程图;
图2是本发明的一个实施例的蜜罐系统服务自适应的方法中获取攻击源主机信息的流程图;
图3是本发明的一个实施例的自适应服务蜜罐系统工作原理示意图;
图4是本发明的一个实施例的自适应服务蜜罐系统模块间数据交互示意图。
具体实施方式
下面结合附图1-3,对本发明的具体实施方式作详细的说明。
本发明提供了一种蜜罐系统服务自适应的方法,包括以下步骤:
S100:监测攻击者对伪装服务的攻击扫描,判断监测到的攻击是否为真人攻击:
如果是真人攻击,再判断是否为基站IP地址或移动数据网公共出口IP地址:
如果不是基站IP地址或移动数据网公共出口IP地址,则发送攻击源IP地址到前端探测节点,同时激活前端探测节点执行步骤S200;
如果是基站IP地址或移动数据网公共出口IP地址,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
如果不是真人攻击,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
S200:前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息;
S300:前端探测节点将获取的攻击源主机信息发送至蜜罐数据分析系统;
S400:蜜罐数据分析系统判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则跳转至步骤S100,继续监控攻击;
如果不匹配,则发送判断结果给蜜罐部署执行系统,执行步骤S500;
S500:蜜罐部署执行系统判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则下发伪装服务模块和执行脚本至蜜罐服务系统,执行步骤S600;
如果不存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则前端探测节点恢复静默状态,并跳转至步骤S100,继续监控攻击;
S600:蜜罐服务系统运行接收到的脚本,安装伪装服务,并更改第二蜜罐的伪装服务和端口,将攻击源诱导到与其匹配的第二蜜罐中,并跳转至步骤S100,继续监控攻击。
伪装服务模板库内的伪装服务模块为该蜜罐系统的蜜罐可开启的伪装服务的安装包,由于蜜罐不能联网(出于安全性考虑,蜜罐不能对外访问),只能由蜜罐部署执行系统内自带的伪装服务库下发伪装服务模块至蜜罐内,来获取到伪装服务安装包。
脚本为执行安装伪装服务的命令以及控制修改蜜罐开放对应端口的命令。蜜罐接收到蜜罐部署执行系统下发的伪装服务模块以及脚本后,会进行伪装服务模块的安装以及修改开启对应的服务及端口;
作为优选实施方式,步骤S100中,判断是否为真人攻击包括:
判断攻击源IP地址对蜜罐服务系统扫描频率:
如果扫描频率小于预设的扫描频率阈值,则认为是真人攻击;
如果扫描频率大于等于预设的扫描频率阈值,则认为是机器自动化程序扫描。
作为优选实施方式,步骤S200中,所述前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息包括如下步骤:
S201:前端探测节点将接收到的攻击源IP地址输入到预设脚本并自动执行脚本,通过nmap、nc和socket中任一工具对攻击源进行0-65535全端口扫描;
S202:前端探测节点将获取到的攻击源主机信息通过加密传输隧道回传到蜜罐数据分析系统;
S203:完成扫描后,前端探测节点恢复静默状态。
作为优选实施方式,步骤S201中将预设脚本的IP地址字段修改为输入的攻击源IP地址,所述预设脚本设定为全端口扫描探测。
前端探测节点的预设脚本为全端口扫描探测,脚本内的IP地址字段为变量参数可修改,前端探测节点接收到蜜罐系统传来的攻击源IP地址后,会将脚本内的IP地址字段改为当前蜜罐系统传来的攻击源IP地址,每次传入攻击源IP地址,脚本的IP地址字段就会对应更新。
作为优选实施方式,攻击源主机信息包括IP地址、开放的服务、开放的端口、攻击源主机的操作系统环境及操作系统版本。
作为优选实施方式,步骤S100中判断是否为基站IP地址或移动数据网公共出口IP地址包括:将攻击源IP地址输入到全球IP地址数据库中判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址。
作为优选实施方式,步骤S600具体包括:
蜜罐服务系统运行接收到的脚本,安装伪装服务模块提供的伪装服务;
将蜜罐服务系统内的第二蜜罐内开启的服务及端口修改为与攻击源主机匹配的服务及
端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击者诱导到第二蜜罐。
本发明提供了一种自适应服务蜜罐系统,包括前端探测节点、蜜罐服务系统、蜜罐数据分析系统和蜜罐部署执行系统;
所述前端探测节点,在未收到攻击源IP地址时,不进行主动探测,处于静默状态;在收到攻击源IP地址时被激活;
所述前端探测节点在激活状态执行如下操作:
基于主动探测技术,根据接收到的来自蜜罐服务系统的攻击源IP地址,进行攻击源主
机信息探测;
将获取的攻击源主机信息传输到所述蜜罐数据分析系统;
所述蜜罐数据分析系统执行如下操作:
根据前端探测节点发送的攻击源主机信息,判断攻击源主机开放的服务及端口与攻击
源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则通知蜜罐服务系统继续进行监控;
如果不匹配,则发送判断结果给蜜罐部署执行系统;
所述蜜罐部署执行系统执行如下操作:
根据接收到的所述蜜罐数据分析系统的判断结果,判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在,则下发伪装服务模块和执行脚本至蜜罐服务系统;
如果不存在,则通知蜜罐服务系统继续进行监控;
所述蜜罐服务系统执行如下操作:
接收所述蜜罐部署执行系统发送的执行脚本,运行执行脚本安装伪装服务,并更改第
二蜜罐的伪装服务和端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击源诱导到与其匹配的第二蜜罐中。
作为优选实施方式,在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索具体包括:
蜜罐服务系统下发诱饵至第一蜜罐,诱饵形式为可执行脚本;
第一蜜罐运行所述可执行脚本,在所述第一蜜罐内生成带有第二蜜罐相关信息的线索;
所述生成带有第二蜜罐相关信息的线索包括:在用于记录主机信息的文件里面新增第二蜜罐的IP地址、在系统文件夹下生成文件名包括password或密码的文件,所述文件内容至少包括第二蜜罐的弱口令和RDP远程登录记录之一。
作为优选实施方式,所述运行执行脚本安装伪装服务中,所述伪装服务为下发的所述伪装服务模块提供的服务,所述更改第二蜜罐的伪装服务和端口中,所述伪装服务和端口为与攻击源主机开放的服务及端口对应的服务和端口。
实施例1
参照附图1和2,根据本发明的一个具体实施方案,对本发明提供的蜜罐系统服务自适应的方法进行详细说明。
例如:
预设扫描频率阈值为:100次/小时;
第一蜜罐IP地址为:192.168.75.9;
第一蜜罐开放的服务为:ssh
第一蜜罐开放的端口为:22;
伪装服务模版库中的服务包括:ssh、rdp、ftp、redis、sql等;
第二蜜罐IP地址为:192.168.75.10;
第二蜜罐开放的服务为:rdp、ftp
第二蜜罐开放的端口为:3389、20、21;
攻击源主机IP地址为:40.10.59.62;
攻击源主机开放的服务为:rdp、ftp;
攻击源主机开放的端口为:3389、20、21;
扫描频率为:20次/小时;
本发明提供了一种蜜罐系统服务自适应的方法,包括以下步骤:
S100:监测攻击者对伪装服务的攻击扫描,判断监测到的攻击是否为真人攻击:
判断是否为真人攻击包括:
判断攻击源IP地址对蜜罐服务系统扫描频率:
如果扫描频率小于预设的扫描频率阈值,则认为是真人攻击;
如果扫描频率大于等于预设的扫描频率阈值,则认为是机器自动化程序扫描。
此处扫描频率20次/小时小于预设的扫描频率阈值100次/小时,为真人攻击。
如果是真人攻击,再判断是否为基站IP地址或移动数据网公共出口IP地址:
如果不是基站IP地址或移动数据网公共出口IP地址,则发送攻击源IP地址到前端探测节点,同时激活前端探测节点执行步骤S200;
步骤S100中判断是否为基站IP地址或移动数据网公共出口IP地址包括:将攻击源IP地址输入到全球IP地址数据库中判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址。
攻击源主机IP地址为:40.10.59.62,不是基站IP地址或移动数据网公共出口IP地址。
S200:前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息;攻击源主机信息包括IP地址、开放的服务、开放的端口、攻击源主机的操作系统环境及操作系统版本。
步骤S200中,所述前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息包括如下步骤:
S201:前端探测节点将接收到的攻击源IP地址输入到预设脚本并自动执行脚本,通过nmap、nc和socket中任一工具对攻击源进行0-65535全端口扫描;
S202:前端探测节点将获取到的攻击源主机信息通过加密传输隧道回传到蜜罐数据分析系统;
S203:完成扫描后,前端探测节点恢复静默状态。
步骤S201中将预设脚本的IP地址字段修改为输入的攻击源IP地址40.10.59.62,所述预设脚本设定为全端口扫描探测。
S300:前端探测节点将获取的攻击源主机信息发送至蜜罐数据分析系统;
S400:蜜罐数据分析系统判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果不匹配,则发送判断结果给蜜罐部署执行系统,执行步骤S500;
攻击源主机开放的服务为:rdp、ftp,第一蜜罐开放的服务为ssh,第一蜜罐开放的端口为22;攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口不匹配,则执行步骤S500。
S500:蜜罐部署执行系统判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则下发伪装服务模块和执行脚本至蜜罐服务系统,执行步骤S600;
伪装服务模版库中的服务包括:ssh、rdp、ftp、redis、sql,包括攻击源主机开放的服务为:rdp和ftp,因此执行步骤600;
S600:蜜罐服务系统运行接收到的脚本,安装伪装服务,并更改第二蜜罐的伪装服务和端口,将攻击源诱导到与其匹配的第二蜜罐中,并跳转至步骤S100,继续监控攻击。
步骤S600具体包括:
蜜罐服务系统运行接收到的脚本,安装伪装服务模块提供的伪装服务rdp和ftp;
将蜜罐服务系统内的第二蜜罐内开启的服务及端口修改为与攻击源主机匹配的服务及
端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击者诱导到第二蜜罐。
为了第一蜜罐里面留下指向第二蜜罐的线索,可以在用于记录主机信息的文件里面新增第二蜜罐的IP地址192.168.75.10、在系统文件夹下生成文件名包括password或密码的文件,如,password_设备管理.txt,文件内容包括第二蜜罐的弱口令和RDP远程登录记录。
实施例2
参照附图2,根据本发明的又一个具体实施方案,对本发明的一种自适应服务蜜罐系统进行详细说明。
本发明提供了一种自适应服务蜜罐系统,包括前端探测节点、蜜罐服务系统、蜜罐数据分析系统和蜜罐部署执行系统;
所述前端探测节点,在未收到攻击源IP地址时,不进行主动探测,处于静默状态;在收到攻击源IP地址时被激活;
所述前端探测节点在激活状态执行如下操作:
基于主动探测技术,根据接收到的来自蜜罐服务系统的攻击源IP地址,进行攻击源主
机信息探测;
将获取的攻击源主机信息传输到所述蜜罐数据分析系统;
所述蜜罐数据分析系统执行如下操作:
根据前端探测节点发送的攻击源主机信息,判断攻击源主机开放的服务及端口与攻击
源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则通知蜜罐服务系统继续进行监控;
如果不匹配,则发送判断结果给蜜罐部署执行系统;
所述蜜罐部署执行系统执行如下操作:
根据接收到的所述蜜罐数据分析系统的判断结果,判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在,则下发伪装服务模块和执行脚本至蜜罐服务系统;
如果不存在,则通知蜜罐服务系统继续进行监控;
所述蜜罐服务系统执行如下操作:
接收所述蜜罐部署执行系统发送的执行脚本,运行执行脚本安装伪装服务,并更改第
二蜜罐的伪装服务和端口;
所述运行执行脚本安装伪装服务中,所述伪装服务为下发的所述伪装服务模块提供的服务,所述更改第二蜜罐的伪装服务和端口中,所述伪装服务和端口为与攻击源主机开放的服务及端口对应的服务和端口;
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击源诱导到与其匹配的第二蜜罐中。
在攻击者当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索具体包括:
蜜罐服务系统下发诱饵至第一蜜罐,诱饵形式为可执行脚本;
第一蜜罐运行所述可执行脚本,在所述第一蜜罐内生成带有第二蜜罐相关信息的线索;
所述生成带有第二蜜罐相关信息的线索包括:在用于记录主机信息的文件里面新增第二蜜罐的IP地址、在系统文件夹下生成文件名包括password或密码的文件,如,password_设备管理.txt,所述文件内容至少包括第二蜜罐的弱口令和RDP远程登录记录之一。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (9)
1.一种蜜罐系统服务自适应的方法,其特征在于,包括以下步骤:
S100:监测攻击源对伪装服务的攻击扫描,判断监测到的攻击是否为真人攻击:
如果是真人攻击,再判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址:
如果不是基站IP地址或移动数据网公共出口IP地址,则发送攻击源IP地址到前端探测节点,同时激活前端探测节点执行步骤S200;
如果是基站IP地址或移动数据网公共出口IP地址,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
如果不是真人攻击,则将攻击诱导至蜜罐服务系统,并跳转至步骤S100,继续监控攻击;
S200:前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息;
S300:前端探测节点将获取的攻击源主机信息发送至蜜罐数据分析系统;
S400:蜜罐数据分析系统判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则跳转至步骤S100,继续监控攻击;
如果不匹配,则发送判断结果给蜜罐部署执行系统,执行步骤S500;
S500:蜜罐部署执行系统判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则下发伪装服务模块及执行脚本至蜜罐服务系统,执行步骤S600;
如果不存在与攻击源主机开放的服务及端口匹配的伪装服务模块,则前端探测节点恢复静默状态,并跳转至步骤S100, 继续监控攻击;
S600:蜜罐服务系统运行接收到的脚本,安装伪装服务,并更改第二蜜罐的伪装服务和端口,将攻击源诱导到与其匹配的第二蜜罐中,并跳转至步骤S100,继续监控攻击;
步骤S600具体包括:
蜜罐服务系统运行接收到的脚本,安装伪装服务模块提供的伪装服务;
将蜜罐服务系统内的第二蜜罐内开启的服务及端口修改为与攻击源主机匹配的服务及端口;
在攻击源当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击源诱导到第二蜜罐。
2.根据权利要求1所述的蜜罐系统服务自适应的方法,其特征在于,步骤S100中,判断是否为真人攻击包括:
判断攻击源IP地址对蜜罐服务系统扫描频率:
如果扫描频率小于预设的扫描频率阈值,则认为是真人攻击;
如果扫描频率大于等于预设的扫描频率阈值,则认为是机器自动化程序扫描。
3.根据权利要求1所述的蜜罐系统服务自适应的方法,其特征在于,步骤S200中,所述前端探测节点对攻击源主机进行主动探测,获取攻击源主机信息包括如下步骤:
S201:前端探测节点将接收到的攻击源IP地址输入到预设脚本并自动执行脚本,通过nmap、nc和socket中任一工具对攻击源进行0-65535全端口扫描;
S202:前端探测节点将获取到的攻击源主机信息通过加密传输隧道回传到蜜罐数据分析系统;
S203:完成扫描后,前端探测节点恢复静默状态。
4.根据权利要求3所述的蜜罐系统服务自适应的方法,其特征在于,步骤S201中将预设脚本的IP地址字段修改为输入的攻击源IP地址,所述预设脚本设定为全端口扫描探测。
5.根据权利要求1所述的蜜罐系统服务自适应的方法,其特征在于,攻击源主机信息包括IP地址、开放的服务、开放的端口、攻击源主机的操作系统环境及操作系统版本。
6.根据权利要求1所述的蜜罐系统服务自适应的方法,其特征在于,步骤S100中判断是否为基站IP地址或移动数据网公共出口IP地址包括:将攻击源IP地址地址输入到全球IP地址数据库中判断攻击源IP地址是否为基站IP地址或移动数据网公共出口IP地址。
7.一种自适应服务蜜罐系统,其特征在于,包括前端探测节点、蜜罐服务系统、蜜罐数据分析系统和蜜罐部署执行系统;
所述前端探测节点,在未收到攻击源IP地址时,不进行主动探测,处于静默状态;在收到攻击源IP地址时被激活;
所述前端探测节点在激活状态执行如下操作:
基于主动探测技术,根据接收到的来自蜜罐服务系统的攻击源IP地址,进行攻击源主机信息探测;
将获取的攻击源主机信息传输到所述蜜罐数据分析系统;
所述蜜罐数据分析系统执行如下操作:
根据前端探测节点发送的攻击源主机信息,判断攻击源主机开放的服务及端口与攻击源当前正在扫描的第一蜜罐开启的服务及端口是否匹配:
如果匹配,则通知蜜罐服务系统继续进行监控;
如果不匹配,则发送判断结果给蜜罐部署执行系统;
所述蜜罐部署执行系统执行如下操作:
根据接收到的所述蜜罐数据分析系统的判断结果,判断蜜罐服务系统自身的伪装服务模版库是否存在符合有与攻击源主机开放的服务及端口匹配的伪装服务模块:
如果存在,则下发伪装服务模块和执行脚本至蜜罐服务系统;
如果不存在,则通知蜜罐服务系统继续进行监控;
所述蜜罐服务系统执行如下操作:
接收所述蜜罐部署执行系统发送的执行脚本,运行执行脚本安装伪装服务,并更改第二蜜罐的伪装服务和端口;
在攻击源当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索,将攻击源诱导到与其匹配的第二蜜罐中。
8.根据权利要求7所述的自适应服务蜜罐系统,其特征在于,在攻击源当前扫描到的第一蜜罐里面留下指向第二蜜罐的线索具体包括:
蜜罐服务系统下发诱饵至第一蜜罐,诱饵形式为可执行脚本;
第一蜜罐运行所述可执行脚本,在所述第一蜜罐内生成带有第二蜜罐相关信息的线索;
所述生成带有第二蜜罐相关信息的线索包括:在用于记录主机信息的文件里面新增第二蜜罐的IP地址,并在系统文件夹下生成文件名包括password或密码的文件,生成的所述文件内容至少包括第二蜜罐的弱口令和RDP远程登录记录二者之一。
9.根据权利要求7所述的自适应服务蜜罐系统,其特征在于,所述运行执行脚本安装伪装服务中,所述伪装服务为下发的所述伪装服务模块提供的服务,所述更改第二蜜罐的伪装服务和端口中,所述伪装服务和端口为与攻击源主机开放的服务及端口对应的服务和端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110063074.XA CN112788043B (zh) | 2021-01-18 | 2021-01-18 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110063074.XA CN112788043B (zh) | 2021-01-18 | 2021-01-18 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112788043A CN112788043A (zh) | 2021-05-11 |
CN112788043B true CN112788043B (zh) | 2022-06-14 |
Family
ID=75757146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110063074.XA Active CN112788043B (zh) | 2021-01-18 | 2021-01-18 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112788043B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113132293B (zh) * | 2019-12-30 | 2022-10-04 | 中国移动通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐系统 |
CN114465747B (zh) * | 2021-09-28 | 2022-10-11 | 北京卫达信息技术有限公司 | 基于动态端口伪装的主动欺骗防御方法及系统 |
CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
US8561177B1 (en) * | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
CN106850690B (zh) * | 2017-03-30 | 2020-07-24 | 国家电网有限公司 | 一种蜜罐构造方法及系统 |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
CN108156163A (zh) * | 2017-12-28 | 2018-06-12 | 广州锦行网络科技有限公司 | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 |
CN111404935B (zh) * | 2020-03-16 | 2020-12-04 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
-
2021
- 2021-01-18 CN CN202110063074.XA patent/CN112788043B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112788043A (zh) | 2021-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112788043B (zh) | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 | |
CN107370755B (zh) | 一种多维度深层次检测apt攻击的方法 | |
Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
US8656493B2 (en) | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems | |
CN101350745B (zh) | 一种入侵检测方法及装置 | |
CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
US7509675B2 (en) | Non-invasive monitoring of the effectiveness of electronic security services | |
CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
US20110154492A1 (en) | Malicious traffic isolation system and method using botnet information | |
CN101714931A (zh) | 一种未知恶意代码的预警方法、设备和系统 | |
CN101572711B (zh) | 一种基于网络的反弹端口型木马的检测方法 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN111541705B (zh) | 一种ttp自动化提取与攻击团队聚类的方法 | |
CN102045220A (zh) | 木马监控审计方法及系统 | |
CN108830084A (zh) | 实现计算机信息安全防护漏洞扫描与防护加固的手持式终端及防护方法 | |
Grill et al. | Malware detection using http user-agent discrepancy identification | |
CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
CN101621428A (zh) | 一种僵尸网络检测方法及系统以及相关设备 | |
CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
CN115277068B (zh) | 一种基于欺骗防御的新型蜜罐系统及方法 | |
Lanoe et al. | A scalable and efficient correlation engine to detect multi-step attacks in distributed systems | |
US20040193923A1 (en) | Systems and methods for enterprise security with collaborative peer to peer architecture | |
CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
Park et al. | Identification of bot commands by run-time execution monitoring | |
Zaki et al. | Constructing iot botnets attack pattern for host-based and network-based platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |