CN112788065B - 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 - Google Patents

一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 Download PDF

Info

Publication number
CN112788065B
CN112788065B CN202110191832.6A CN202110191832A CN112788065B CN 112788065 B CN112788065 B CN 112788065B CN 202110191832 A CN202110191832 A CN 202110191832A CN 112788065 B CN112788065 B CN 112788065B
Authority
CN
China
Prior art keywords
malicious
iot
mozi
data
botnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110191832.6A
Other languages
English (en)
Other versions
CN112788065A (zh
Inventor
王大浩
姜栋
杜雄杰
王炳来
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dunhe Everything Information Technology Suzhou Co ltd
Original Assignee
Suzhou Zhiwei Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Zhiwei Security Technology Co ltd filed Critical Suzhou Zhiwei Security Technology Co ltd
Priority to CN202110191832.6A priority Critical patent/CN112788065B/zh
Publication of CN112788065A publication Critical patent/CN112788065A/zh
Application granted granted Critical
Publication of CN112788065B publication Critical patent/CN112788065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

本发明提供的本申请提出一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。

Description

一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置。
背景技术
物联网(InternetofThings,简称IoT)是一个基于互联网、传统电信网等信息承载体,让所有能够被独立寻址的普通物理对象实现互联互通的网络。随着5G时代的到来,越来越多的设备会连接网络,物联网设备数量将迎来井喷式增长,物联网设备的网络安全问题成为一个亟待解决的重大问题。
当前,IoT蜜罐的研究主要集中于捕获IoT恶意样本;由于越来越多的IoT恶意样本将漏洞利用到样本传播过程中,因此安全研究者也着手将模拟漏洞服务集成到IoT蜜罐中,用于吸引骇客的攻击。据数据统计,目前针对IoT设备可利用的RCE型漏洞已达100多个,在可预见的未来,将会有越来越多的漏洞被披露.因此,仅靠模拟漏洞的方法是无法捕获到使用0-day进行攻击的高级IoT恶意样本。
IoT沙箱主要应用于动态运行所捕获到恶意IoT恶意样本;当前,学术界的研究点主要在于如何将IoT沙箱适配具有多种CPU架构的IoT恶意样本,其中的一种解决方法是使用qemu虚拟化技术来模拟运行IoT恶意样本所需要的硬件环境,然后在该沙箱中运行所对应架构的IoT恶意样本,但该方法最大的缺点是消耗了较多的硬件资源,获得的收益相对较少;此外,这些IoT沙箱并未重点关注IoT恶意样本的网络行为。
现有针对P2P网络的主动扫描方法主要是通过向周围P2P节点发送查询infohash来展开;首先,安全研究者需要掌握待查询的infohash信息,然后通过使用getpeers通信操作,不停地向周围节点发送待查询的infohash,并等待周围节点返回相应的节点结果信息,若返回的节点信息没有infohash所对应的节点信息,则会继续对返回的节点使用getpeers通信操作,直到获取相应的节点信息;该方法存在如下几个问题:(1)仅考虑到了节点ip所对应的infohash值,但该方法并未考虑到节点的有效性,即节点可能已经不在线;(2)获取infohash存在难度,尤其是针对IoTP2P型的恶意样本,攻击者一般不会提供相应的infohash;(3)该方法无法做到实时监控P2P僵尸网络的网络状况。
发明内容
本发明的主要目的在于提出一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置,旨在解决如何提高物联网设备管理的安全性,实现对物联网僵尸网络的准确追踪。
为实现上述目的,本发明提供的一种基于蜜罐和沙箱的物联网僵尸网络追踪方法,该方法主要步骤包括:
步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱。
步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类。
步骤3,根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。
其中,所述步骤2具体包括:步骤2.1,收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;步骤2.2,提取所述流量数据的数据特征;步骤2.3,基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;步骤2.4,利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;步骤2.5,对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。
其中,所述步骤3具体包括:创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。
其中,步骤3还包括:从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。
其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致; 若一致,则该节点的即为mozi节点。
本发明提供的一种基于蜜罐和沙箱的物联网僵尸网络追踪装置,该装置主要包括:
IoT蜜罐模块,用于捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱模块。
IoT沙箱模块,用于接收IoT蜜罐模块捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类。
P2P扫描模块,用于根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取并存储所述P2P僵尸网络的属性信息。
其中,所述IoT沙箱模块具体包括:用于收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;提取所述流量数据的数据特征;基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。
其中,所述P2P扫描模块具体包括:用于创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。
其中,所述IoT沙箱模块还包括:用于从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。
其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致; 若一致,则该节点的即为mozi节点。
本发明的有益效果包括:(1)提出一种基于IoT设备漏洞利用的IoT恶意样本捕获方法,通过实时收集与整理最新IoT恶意样本所利用的IoT漏洞,能对IoT设备未知漏洞的利用进行更深一步的检测;(2)将机器学习技术应用到与IoT恶意样本相关的恶意流量分类过程中,使得分类检测的效率和正确率得到较大的提升;(3)针对P2P型IoT僵尸网络的主动探测方法,可模拟P2P型僵尸网络之间的通信,并尽可能还原整个P2P型僵尸网络的影响范围,提高僵尸网络的追踪效果。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明提供的本发明提供的基于蜜罐和沙箱的物联网僵尸网络追踪方法,主要步骤包括:
步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;
步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;
步骤3,根据恶意流量数据分类结果,对P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据。
其中,所述步骤2具体包括:步骤2.1,收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族,例如Mirai/Gafgyt/Hajime/Mozi等的恶意样本,以获取流量数据,并对所述流量数据进行标记;步骤2.2,提取所述流量数据的数据特征;步骤2.3,基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;步骤2.4,利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;步骤2.5,对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。
特征提取时可以使用到一些专业工具, 诸如Argus,Bro-IDS等;同时, 还需要根据需求进行相应的特征提取。
对于IoT沙箱, 本方案提出了一种基于机器学习的方法来识别分类IoT恶意样本流量,主要将IoT恶意流量划分成C&C,DoS攻击,Scan扫描以及其他类型的流量。如果发现C&C,DoS攻击,Scan扫描类型的流量,则启动对僵尸网络的追踪,创建被动扫描任务和主动扫描任务,对P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息,例如节点类型,节点IP、端口号等信息,并获取其网络行为数据,例如扫描信息、行为时间、指令信息等。
其中,所述步骤3具体包括:创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击,例如,利用Netgear漏洞来进行Mozi样本植入的payload。主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。
其中,步骤3还包括:从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。
其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致; 若一致,则该节点的即为mozi节点。
整个Mozi扫描框架分为被动扫描和主动扫描,被动扫描将会收集Mozi节点主动发来的扫描漏洞利用信息,例如,Mozi网络中的Mozi2节点向蜜罐发送漏洞利用信息,该信息包括从Mozi4节点中下载Mozi样本并运行;而主动扫描则是向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点。
基于Mozi标识检测算法, 我们设计了一套用于Mozi节点扫描的主动扫描系统,该系统可模拟Mozi节点的通信, 并向周围节点不断发送find_node信息以获得相应的节点信息, 然后通过识别所返回的节点信息来鉴别该数据是否来源于Mozi僵尸网络节点. 该系统工作流程如下所示:(1)扫描节点首先与服务器通信,读取相应待扫描的P2P节点信息,主要包括IP和端口信息;(2)如果接受并鉴别到相应的Mozi节点发送过来的网络数据包,扫描节点将会存储相应的节点数据信息;(3)反回到第一步继续扫描。
本发明提供的一种基于蜜罐和沙箱的物联网僵尸网络追踪装置,该装置主要包括:
IoT蜜罐模块,用于捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱模块;
IoT沙箱模块,用于接收IoT蜜罐模块捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;
P2P扫描模块,用于根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取并存储所述P2P僵尸网络的属性信息。
其中,所述IoT沙箱模块具体包括:用于收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;提取所述流量数据的数据特征;基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;对于在沙箱中动态运行的恶意流量样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别。
其中,所述P2P扫描模块具体包括:用于创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向众多Mozi节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息。
其中,所述IoT沙箱模块还包括:用于从主动扫描的通信数据和关键节点所捕获到的流量数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果。
其中,所述Mozi标识检测算法具体为:接受到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致; 若一致,则该节点的即为mozi节点。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (2)

1.一种基于蜜罐和沙箱的物联网僵尸网络追踪方法,其特征在于:该方法步骤包括:
步骤1,IoT蜜罐捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱;
步骤2,IoT沙箱接收IoT蜜罐捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;
步骤3,根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取所述P2P僵尸网络的属性信息以及网络行为数据;
所述步骤2具体包括:步骤2.1,收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;步骤2.2,提取所述流量数据的数据特征;步骤2.3,基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;步骤2.4,利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;步骤2.5,对于在沙箱中动态运行的恶意样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别;
所述步骤3具体包括:创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向周围节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息;
从主动扫描的通信数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果;
所述Mozi标识检测算法具体为:接收到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致;若一致,则该节点即为mozi节点。
2.一种基于蜜罐和沙箱的物联网僵尸网络追踪装置,其特征在于:该装置包括:
IoT蜜罐模块,用于捕获IoT僵尸网络发动的扫描漏洞攻击,同时捕获到相应的恶意样本,并将该恶意样本发送至IoT沙箱模块;
IoT沙箱模块,用于接收IoT蜜罐模块捕获的恶意样本,动态运行所述恶意样本,并监视其网络行为,生成恶意流量数据,使用预先构建的IoT恶意流量分类模型对恶意样本产生的所述恶意流量数据进行分类;
P2P扫描模块,用于根据恶意流量数据分类结果,对发现的P2P僵尸网络进行扫描,监控获取并存储所述P2P僵尸网络的属性信息;
所述IoT沙箱模块具体包括:用于收集和整理恶意样本,在可控沙箱中运行多种不同IoT家族的恶意样本,以获取流量数据,并对所述流量数据进行标记;提取所述流量数据的数据特征;基于随机森林算法构建IoT沙箱中的IoT恶意流量分类模型;利用DoS攻击追踪算法, 将DoS攻击与其所对应的C&C指令进行关联;对于在沙箱中动态运行的恶意样本,提取其对应的数据特征,输入IoT恶意流量分类模型对流量类型进行识别;
所述P2P扫描模块具体包括:用于创建被动扫描任务和主动扫描任务,其中,被动扫描任务用于收集Mozi节点主动发来的扫描漏洞利用信息,被动扫描是基于蜜罐来实现的, 它通过模拟Mozi僵尸网络中常用到的漏洞来吸引Mozi僵尸网络的攻击;主动扫描任务通过向周围节点发送FindNode信息,同时接收从其他节点传输过来的信息,并利用Mozi标识检测算法来确定该P2P节点是否为Mozi节点,若是Mozi节点,则存储该节点的属性信息;从主动扫描的通信数据中提取Mozi标识数据,将该标识数据输入到Mozi标识检测算法中,由检测算法输出检测结果;
所述Mozi标识检测算法具体为:接收到Mozi关键四字节输入后,将每个字节均添加至数组中;循环遍历数组中的每一个byte数据,每一个byte数据将会执行8轮的异或运算;取得最终第8轮运算结果,将该结果与关键四字节的最后两个字节进行对比,查看是否一致;若一致,则该节点即为mozi节点。
CN202110191832.6A 2021-02-20 2021-02-20 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 Active CN112788065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110191832.6A CN112788065B (zh) 2021-02-20 2021-02-20 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110191832.6A CN112788065B (zh) 2021-02-20 2021-02-20 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置

Publications (2)

Publication Number Publication Date
CN112788065A CN112788065A (zh) 2021-05-11
CN112788065B true CN112788065B (zh) 2022-09-06

Family

ID=75761609

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110191832.6A Active CN112788065B (zh) 2021-02-20 2021-02-20 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置

Country Status (1)

Country Link
CN (1) CN112788065B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI799070B (zh) * 2022-01-10 2023-04-11 碩壹資訊股份有限公司 用以保護受保護的主機之系統及方法
CN114844683A (zh) * 2022-04-09 2022-08-02 国网山东省电力公司信息通信公司 一种基于授权机制的物联网扫描控制方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833240B (zh) * 2012-08-17 2016-02-03 中国科学院信息工程研究所 一种恶意代码捕获方法及系统
CN108965248B (zh) * 2018-06-04 2021-08-20 上海交通大学 一种基于流量分析的p2p僵尸网络检测系统及方法
US11755726B2 (en) * 2019-04-05 2023-09-12 Zscaler, Inc. Utilizing machine learning for smart quarantining of potentially malicious files
CN110225064A (zh) * 2019-07-02 2019-09-10 恒安嘉新(北京)科技股份公司 监测僵尸网络攻击行为的方法、装置、设备和存储介质
CN111083117A (zh) * 2019-11-22 2020-04-28 上海交通大学 一种基于蜜罐的僵尸网络的追踪溯源系统

Also Published As

Publication number Publication date
CN112788065A (zh) 2021-05-11

Similar Documents

Publication Publication Date Title
Vishwakarma et al. A honeypot with machine learning based detection framework for defending IoT based botnet DDoS attacks
US11038906B1 (en) Network threat validation and monitoring
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
Haddadi et al. Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification
US8065722B2 (en) Semantically-aware network intrusion signature generator
US20210258791A1 (en) Method for http-based access point fingerprint and classification using machine learning
US11095670B2 (en) Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane
Fraunholz et al. Investigation of cyber crime conducted by abusing weak or default passwords with a medium interaction honeypot
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
Bhatt et al. HADS: Hybrid anomaly detection system for IoT environments
CN112788065B (zh) 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置
Kumar et al. Multi platform honeypot for generation of cyber threat intelligence
Pellegrino et al. Learning behavioral fingerprints from netflows using timed automata
Haltaş et al. An automated bot detection system through honeypots for large-scale
Xiao et al. Discovery method for distributed denial-of-service attack behavior in SDNs using a feature-pattern graph model
Kozik et al. Pattern extraction algorithm for netflow-based botnet activities detection
Khosroshahi et al. Detection of sources being used in ddos attacks
Zurutuza et al. A data mining approach for analysis of worm activity through automatic signature generation
CN114363059A (zh) 一种攻击识别方法、装置及相关设备
Pan Iot network behavioral fingerprint inference with limited network traces for cyber investigation
Mahfouz et al. Toward A Holistic, Efficient, Stacking Ensemble Intrusion Detection System using a Real Cloud-based Dataset
Elsherif et al. DDOS Botnets Attacks Detection in Anomaly Traffic: A Comparative Study.
Kheir et al. Peerviewer: Behavioral tracking and classification of P2P malware
Feizi et al. Detecting botnet using traffic behaviour analysis and extraction of effective flow features

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: Room 907-1, dantaihu building (Wuluo Science Park), No.9, Taihu East Road, Wuzhong District, Suzhou City, Jiangsu Province, 215000

Patentee after: Dunhe Everything Information Technology (Suzhou) Co.,Ltd.

Address before: Room 907-1, dantaihu building (Wuluo Science Park), No.9, Taihu East Road, Wuzhong District, Suzhou City, Jiangsu Province, 215000

Patentee before: Suzhou Zhiwei Security Technology Co.,Ltd.