CN112800417B - 基于服务状态机的反馈式蜜罐系统的识别方法及系统 - Google Patents

基于服务状态机的反馈式蜜罐系统的识别方法及系统 Download PDF

Info

Publication number
CN112800417B
CN112800417B CN202110403628.6A CN202110403628A CN112800417B CN 112800417 B CN112800417 B CN 112800417B CN 202110403628 A CN202110403628 A CN 202110403628A CN 112800417 B CN112800417 B CN 112800417B
Authority
CN
China
Prior art keywords
node
service
detected
honeypot
state machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110403628.6A
Other languages
English (en)
Other versions
CN112800417A (zh
Inventor
权晓文
韩卫东
王忠新
聂晓磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Webray Beijing Network Safety Technology Co ltd
Original Assignee
Webray Beijing Network Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Webray Beijing Network Safety Technology Co ltd filed Critical Webray Beijing Network Safety Technology Co ltd
Priority to CN202110403628.6A priority Critical patent/CN112800417B/zh
Publication of CN112800417A publication Critical patent/CN112800417A/zh
Application granted granted Critical
Publication of CN112800417B publication Critical patent/CN112800417B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于服务状态机的反馈式蜜罐系统的识别方法及系统,其中识别方法包括:利用待检测节点的多个属性的信息构造服务状态机;通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性。其通过对待检测节点的服务状态机的构造,使得通过分析该待检测节点的服务状态机的运行合理性,即能够评估待检测节点为蜜罐节点的可能性,有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。

Description

基于服务状态机的反馈式蜜罐系统的识别方法及系统
技术领域
本发明涉及网络空间内的设备安全技术领域,特别涉及一种基于服务状态机的反馈式蜜罐系统的识别方法及系统。
背景技术
攻防对抗是网络安全领域的常态,蜜罐作为一种主动诱捕技术,受到产业界的广泛使用。在蜜罐系统设计原理中,是通过逼近真实的仿真环境、交互过程、交互结果,迷惑攻击者,然后通过隔离或混淆的方式隐藏各阶段对数据流的处理痕迹,在此过程中获得攻击者信息并且诱导攻击者到错误的环境,从而达到保护真实目标的目的。
从网络探测角度,准确有效识别蜜罐系统,有利于掌握网络空间态势,同时能有效规避网络空间的陷阱。
通常基于交互仿真差异的识别是攻击者与蜜罐设计者针对目标系统研究的正面对抗, 攻击者可以通过多种方式来识别蜜罐,主要包括协议交互、系统交互、业务交互和时序状态响应方面的特征。
传统的蜜罐识别技术包含以下几种:
1、协议指纹特征:因为,蜜罐系统作为网络节点,自带相关特征信息,所以协议指纹特征主要是针对通信协议的识别,通过协议泄露的信息鉴别设备是否为蜜罐设备,一般低交互蜜罐大多采用此类技术。
2、主机交互特征:该特征一般用于识别主机系统执行环境,如通过虚拟机环境搭建的各种操作环境,因此通过环境识别、后台进程、性能、行为等方法检测是否为蜜罐。
3、时序状态特征:蜜罐系统大多实现静态的交互仿真,并不真实地执行业务请求,因而缺乏对目标系统执行状态变化的模拟,如协议状态机、业务模型的状态转移等,所以该特征由交互状态的识别、业务请求是否执行的检测等方法检测是否为蜜罐。
分析以上识别方法,只能识别低级的蜜罐系统,对高交互的蜜罐仍然无法识别。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于服务状态机的反馈式蜜罐系统的识别方法,通过对待检测节点的服务状态机的构造,使得通过分析该待检测节点的服务状态机的运行合理性,即能够评估待检测节点为蜜罐节点的可能性,有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。
为了实现这些目的和其它优点,本发明提供了一种基于服务状态机的反馈式蜜罐系统的识别方法,包括:
利用待检测节点的多个属性的信息构造服务状态机,即以IP为维度,端口数量、端口类别和服务类型为约束条件,结合现有的知识库构造服务状态机;
通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
优选的是,所述的基于服务状态机的反馈式蜜罐系统的识别方法中,所述知识库由对已知的网络资产的分析数据组合构成。
优选的是,所述的基于服务状态机的反馈式蜜罐系统的识别方法中,评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
优选的是,所述的基于服务状态机的反馈式蜜罐系统的识别方法中,通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
一种基于服务状态机的反馈式蜜罐系统的识别系统,包括:
构建模块,其利用待检测节点的多个属性的信息构造服务状态机,即以IP为维度,端口数量、端口类别和服务类型为约束条件,结合已有的知识库构造服务状态机;
检测评估模块,其通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,检测评估模块判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
优选的是,所述的基于服务状态机的反馈式蜜罐系统的识别系统中,所述检测评估模块评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
优选的是,所述的基于服务状态机的反馈式蜜罐系统的识别系统中,所述检测评估模块通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
当所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,所述检测评估模块直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
一种基于服务状态机的反馈式蜜罐系统的识别设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前所述的基于服务状态机的反馈式蜜罐系统的识别方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如前所述的基于服务状态机的反馈式蜜罐系统的识别方法的步骤。
本发明至少包括以下有益效果:
本发明的基于服务状态机的反馈式蜜罐系统的识别方法中,通过对待检测节点的服务状态机的构造,使得通过分析该待检测节点的服务状态机的运行合理性,即能够评估待检测节点为蜜罐节点的可能性,有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为基于暴露面信息构造的网络空间设备的状态树图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加,且各种近似、非理想修改、或非关键元件的构型改变均在本申请保护范围之内。
本发明提供一种基于服务状态机的反馈式蜜罐系统的识别方法,包括:
利用待检测节点的多个属性的信息构造服务状态机,即以IP为维度,端口数量、端口类别和服务类型为约束条件,结合现有的知识库构造服务状态机;
通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,检测评估模块判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
在上述方案中,从暴露面角度分析,蜜罐和其他网络设备相同,都属于网络节点,其特征也与通用网络节点相同,包括网络节点的 IP地址、端口列表、端口指纹信息、设备信息、操作系统信息、ISP信息、地理位置信息、漏洞等信息。IP 信息方面,可以衍生出地理位置、ISP (Internet Service Provider,互联网服务提供商)信息和其他威胁情报信息。而ISP信息通常能够反映出特定的组织集团,如云服务器提供商、数据中心、网络公司等。
正常的网络节点的操作系统、服务以及端口数具有合理的对应关系,因而,当待检测节点的操作系统、服务或端口数呈现不合理时,则可以根据不合理的程度评估其为蜜罐节点的可能性。例如:参照图1,如果待检测节点信息显示操作系统为Linux,而开了SQLServer(1433/tcp)服务,则判别此节点为疑似蜜罐节点;服务如3389端口远程桌面服务,所属服务安装在Windows系统上,当所属目标服务安装在Linux系统上时,则可判定该目标地址为服务蜜罐;工控设备如PLC、DCS、RTU很少暴露在互联网,当所述目标地址属于云服务器,并且开放了PLC的工控协议服务如modbus、s7、ethernetip等,则可判定目标地址为工控蜜罐;服务如mysql、oracle、mongo同时存在于同一目标,则可判定该目标地址为数据库蜜罐,即存在RDP服务,又存在SSH服务,则为蜜罐。同时,基于暴露面信息,根据逻辑可以构造如图1所示的一个状态树,该状态树也可以称为暴露面树,叶子节点即为网络空间节点的信息。所以,通过待检测节点的多个属性的信息构造服务状态机,然后通过该服务状态机的运行合理性,就能评估待检测节点为蜜罐节点的可能性,该方法对于具备一定特性的高交互蜜罐节点具有检测效果,有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。
一个优选方案中,所述知识库由对已知的网络资产的分析数据组合构成。
在上述方案中,知识库由对已知的网络资产的分析数据组合构成,即由公开的数据以及调研报告等组成。
一个优选方案中,评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
一个优选方案中,通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
在上述方案中,通过反复实验验证发现,当网络节点开放的服务端口数大于平均端口数量,且所有服务端口的提示信息相同时,该待检测节点必然为蜜罐节点,因而在待检测节点开放的服务端口数大于平均端口数量,且所有服务端口的提示信息相同时,可以直接判定所述待检测节点为蜜罐节点,所以为了保证蜜罐识别的准确性,可以将上述约束条件在现实中使用;同时,可以采用上述A-J中任一种方式进行待检测节点是否为蜜罐节点的判定,当采用A-J中的多种方式进行共同判定时,可以依据结果进行加权分析,从而进一步提高蜜罐识别的准确性。
一种基于服务状态机的反馈式蜜罐系统的识别系统,包括:
构建模块,其利用待检测节点的多个属性的信息构造服务状态机,即以IP为维度,端口数量、端口类别和服务类型为约束条件,结合已有的知识库构造服务状态机;
检测评估模块,其通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,检测评估模块判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
在上述方案中,构建模块利用待检测节点的多个属性的信息构造服务状态机,然后检测模块将待检测节点通过判断所述服务状态机的运行合理性,就能够评估待检测节点为蜜罐节点的可能性,该系统结构简单,且对于具备一定特性的高交互蜜罐节点也具有检测效果,有效解决了高交互、高仿真、多端口情况下的蜜罐识别的难题。正常的网络节点的操作系统、服务以及端口数具有合理的对应关系,因而,当待检测节点的操作系统、服务或端口数呈现不合理时,则可以根据不合理的程度评估其为蜜罐节点的可能性,例如:服务如3389端口远程桌面服务,所属服务安装在Windows系统上,当所属目标服务安装在Linux系统上时,则可判定该目标地址为服务蜜罐;工控设备如PLC、DCS、RTU很少暴露在互联网,当所述目标地址属于云服务器,并且开放了PLC的工控协议服务如modbus、s7、ethernetip等,则可判定目标地址为工控蜜罐;服务如mysql、oracle、mongo同时存在于同一目标,则可判定该目标地址为数据库蜜罐,即存在RDP服务,又存在SSH服务,则为蜜罐。
一个优选方案中,所述检测评估模块评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
一个优选方案中,所述检测评估模块通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
当所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,所述检测评估模块直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
在上述方案中,通过反复实验验证发现,当网络节点开放的服务端口数大于平均端口数量,且所有服务端口的提示信息相同时,该待检测节点必然为蜜罐节点,因而在待检测节点的应用场景为服务端口开放数大于平均端口数量,且所有服务端口的提示信息相同时,检测评估模块就可以直接判定所述待检测节点为蜜罐节点,所以为了保证蜜罐识别的准确性,可以将上述约束条件在现实中使用;同时,可以采用上述A-J中任一种方式进行待检测节点是否为蜜罐节点的判定,当采用A-J中的多种方式进行共同判定时,可以依据结果进行加权分析,从而进一步提高蜜罐识别的准确性。
一种基于服务状态机的反馈式蜜罐系统的识别设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如前所述的基于服务状态机的反馈式蜜罐系统的识别方法的步骤。
在上述方案中,所述基于服务状态机的反馈式蜜罐系统的识别设备可以是机器人。所述基于服务状态机的反馈式蜜罐系统的识别设备可包括,但不仅限于,处理器、存储器,例如所述基于服务状态机的反馈式蜜罐系统的识别设备还可以包括输入输出设备、网络接入设备、总线等。所称处理器可以是中央处理单元,以及其他通用处理器等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。所述存储器可以是基于服务状态机的反馈式蜜罐系统的识别设备的内部存储单元,例如基于服务状态机的反馈式蜜罐系统的识别设备的硬盘或内存。所述存储器也可以是所述基于服务状态机的反馈式蜜罐系统的识别设备的外部存储设备,例如所述基于服务状态机的反馈式蜜罐系统的识别设备上配备的插接式硬盘,智能存储卡,安全数字卡,闪存卡等。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如前所述的基于服务状态机的反馈式蜜罐系统的识别方法的步骤。
在上述方案中,所述存储器还可以既包括所述基于服务状态机的反馈式蜜罐系统的识别设备的内部存储单元也包括外部存储设备,所述存储器用于存储所述计算机程序以及所述基于服务状态机的反馈式蜜罐系统的识别设备所需的其他程序和数据。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。

Claims (9)

1.一种基于服务状态机的反馈式蜜罐系统的识别方法,其特征在于,包括:
利用待检测节点的多个属性的信息构造服务状态机,即以IP为维度,端口数量、端口类别和服务类型为约束条件,结合现有的知识库构造服务状态机;
通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
2.如权利要求1所述的基于服务状态机的反馈式蜜罐系统的识别方法,其特征在于,
所述知识库由对已知的网络资产的分析数据组合构成。
3.如权利要求1所述的基于服务状态机的反馈式蜜罐系统的识别方法,其特征在于,评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
4.如权利要求3所述的基于服务状态机的反馈式蜜罐系统的识别方法,其特征在于,通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
5.一种基于服务状态机的反馈式蜜罐系统的识别系统,其特征在于,包括:
构建模块,其利用待检测节点的多个属性的信息构造服务状态机,即 以IP为维度,端口数量、端口类别和服务类型为约束条件,结合已有的知识库构造服务状态机;
检测评估模块,其通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性;
其中,检测评估模块判断所述服务状态机的运行合理性具体包括:
A、待检测节点的服务类型与操作系统是否对应;
B、待检测节点的服务类型与ISP提供商是否对应;
C、待检测节点的服务响应内容大小与实际真实服务响应大小是否存在差异;
D、待检测节点的服务响应编码与实际真实服务响应编码是否存在差异;
E、待检测节点的服务应用场景与实际应用场景是否符合;
F、待检测节点的服务指纹与实际指纹是否存在差异;
G、待检测节点的服务编程语言与实际服务编程语言是否符合;
H、待检测节点的单机多服务服务类别是否存在反差;
I、待检测节点的单机同类型是否存在多种服务;以及
J、待检测节点的服务功能较真实功能是否存在功能缺陷。
6.如权利要求5所述的基于服务状态机的反馈式蜜罐系统的识别系统,其特征在于,所述检测评估模块评估待检测节点是否为蜜罐节点的触发条件为:网络节点开放的服务端口数量超出预设的平均端口数量。
7.如权利要求6所述的基于服务状态机的反馈式蜜罐系统的识别系统,其特征在于,所述检测评估模块通过判断所述服务状态机的运行合理性,评估所述待检测节点为蜜罐节点的可能性,包括:
当所述待检测节点开放的服务端口数量大于平均端口数量,且所有服务端口的提示信息相同时,所述检测评估模块直接判定所述待检测节点为蜜罐节点;
采用A-J中任一种或多种方式判定所述待检测节点为蜜罐节点的可能性。
8.一种基于服务状态机的反馈式蜜罐系统的识别设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述方法的步骤。
CN202110403628.6A 2021-04-15 2021-04-15 基于服务状态机的反馈式蜜罐系统的识别方法及系统 Active CN112800417B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110403628.6A CN112800417B (zh) 2021-04-15 2021-04-15 基于服务状态机的反馈式蜜罐系统的识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110403628.6A CN112800417B (zh) 2021-04-15 2021-04-15 基于服务状态机的反馈式蜜罐系统的识别方法及系统

Publications (2)

Publication Number Publication Date
CN112800417A CN112800417A (zh) 2021-05-14
CN112800417B true CN112800417B (zh) 2021-07-06

Family

ID=75811390

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110403628.6A Active CN112800417B (zh) 2021-04-15 2021-04-15 基于服务状态机的反馈式蜜罐系统的识别方法及系统

Country Status (1)

Country Link
CN (1) CN112800417B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114679292B (zh) * 2021-06-10 2023-03-21 腾讯云计算(北京)有限责任公司 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
CN113472819B (zh) * 2021-09-03 2021-11-30 国际关系学院 基于指纹特征的蜜罐探测识别方法及装置
CN117220900A (zh) * 2023-07-14 2023-12-12 博智安全科技股份有限公司 一种自动检测蜜罐系统的方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661102B1 (en) * 2005-11-28 2014-02-25 Mcafee, Inc. System, method and computer program product for detecting patterns among information from a distributed honey pot system
CN108353078A (zh) * 2015-11-09 2018-07-31 高通股份有限公司 动态蜜罐系统
CN112039717A (zh) * 2020-06-29 2020-12-04 微梦创科网络科技(中国)有限公司 一种基于蜜罐的实时监控方法及系统
CN112261046A (zh) * 2020-10-22 2021-01-22 胡付博 一种基于机器学习的工控蜜罐识别方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10574697B1 (en) * 2015-02-16 2020-02-25 Amazon Technologies, Inc. Providing a honeypot environment in response to incorrect credentials
CN109413109B (zh) * 2018-12-18 2021-03-05 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法
CN112637250A (zh) * 2021-03-10 2021-04-09 江苏天翼安全技术有限公司 一种动态智能自适应蜜网的实现方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661102B1 (en) * 2005-11-28 2014-02-25 Mcafee, Inc. System, method and computer program product for detecting patterns among information from a distributed honey pot system
CN108353078A (zh) * 2015-11-09 2018-07-31 高通股份有限公司 动态蜜罐系统
CN112039717A (zh) * 2020-06-29 2020-12-04 微梦创科网络科技(中国)有限公司 一种基于蜜罐的实时监控方法及系统
CN112261046A (zh) * 2020-10-22 2021-01-22 胡付博 一种基于机器学习的工控蜜罐识别方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Anti-Honeypot Enabled Optimal Attack Strategy for Industrial Cyber-Physical Systems;Beibei Li et al.;《IEEE Open Journal of the Computer Society》;20201013;第1卷;全文 *
一种工控蜜罐识别与反识别的技术研究与应用实践;佚名;《https://www.freebuf.com/company-information/233072.html》;20200409;全文 *
基于数据包分片的工控蜜罐识别方法;游建舟等;《信息安全学报》;20190531;第4卷(第3期);全文 *

Also Published As

Publication number Publication date
CN112800417A (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN112800417B (zh) 基于服务状态机的反馈式蜜罐系统的识别方法及系统
US11405419B2 (en) Preventing advanced persistent threat attack
US10516698B2 (en) Honeypot computing services that include simulated computing resources
US7260844B1 (en) Threat detection in a network security system
Linde Operating system penetration
Dacier et al. Models and tools for quantitative assessment of operational security
US10320841B1 (en) Fraud score heuristic for identifying fradulent requests or sets of requests
CN109194684B (zh) 一种模拟拒绝服务攻击的方法、装置及计算设备
CN107612924A (zh) 基于无线网络入侵的攻击者定位方法及装置
CN110493238A (zh) 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器
CN107579997A (zh) 无线网络入侵检测系统
CN114679292B (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
Zonouz et al. Seclius: An information flow-based, consequence-centric security metric
El Kamel et al. A smart agent design for cyber security based on honeypot and machine learning
US11750634B1 (en) Threat detection model development for network-based systems
Grusho et al. On some artificial intelligence methods and technologies for cloud-computing protection
Ariffin et al. API vulnerabilities in cloud computing platform: attack and detection
Zamiri-Gourabi et al. Gas what? I can see your GasPots. Studying the fingerprintability of ICS honeypots in the wild
Majumdar et al. ProSAS: Proactive security auditing system for clouds
CN117235600A (zh) 一种用户异常行为检测方法及系统
Yu et al. Towards Automated Detection of Higher-Order Memory Corruption Vulnerabilities in Embedded Devices
JP7424395B2 (ja) 分析システム、方法およびプログラム
CN107517226A (zh) 基于无线网络入侵的报警方法及装置
Yassine et al. Security Risk Assessment Methodologies in The Internet of Things: Survey and Taxonomy
Kim The impact of platform vulnerabilities in AI systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant