CN113098835A - 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 - Google Patents
基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 Download PDFInfo
- Publication number
- CN113098835A CN113098835A CN202010018913.1A CN202010018913A CN113098835A CN 113098835 A CN113098835 A CN 113098835A CN 202010018913 A CN202010018913 A CN 202010018913A CN 113098835 A CN113098835 A CN 113098835A
- Authority
- CN
- China
- Prior art keywords
- rpc
- request
- response
- honeypot
- requester
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统。所述方法包括:接收请求者发送的远程过程调用RPC请求;查找与所述RPC请求匹配的响应规则;根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容;向请求者返回生成的模拟响应内容。该技术方案的有益效果在于,能够针对向区块链发起的RPC类型的请求,并根据响应模板进行有效的响应,使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口,从而实现了有效获取攻击信息,便于后续进行分析和防御。
Description
技术领域
本发明涉及区块链技术领域,具体涉及基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统。
背景技术
区块链是一个分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点,目前已有比特币、以太坊等利用区块链技术实现的产品。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
由于区块链技术正处于飞速发展的阶段,对区块链的攻击理论上可以采用蜜罐技术进行信息收集,但目前还没有切实可行的方案。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统。
依据本发明的一个方面,提供了一种基于区块链的蜜罐实现方法,包括:
接收请求者发送的远程过程调用RPC请求;
查找与所述RPC请求匹配的响应规则;
根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容;
向请求者返回生成的模拟响应内容。
可选地,所述接收请求者发送的RPC请求包括:
模拟区块链的全节点客户端;
对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
可选地,所述查找与所述RPC请求匹配的响应规则包括:
从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
可选地,所述方法还包括:
若不能查找到与所述RPC请求匹配的响应规则,则依据所述RPC请求的请求内容,构造新RPC请求;
将所述新RPC请求发送至区块链主网的RPC端口,接收所述区块链主网的RPC端口返回的真实响应内容;
向请求者返回所述真实响应内容。
可选地,所述为所述RPC请求生成模拟响应内容包括:
在生成模拟响应内容后,为所述RPC请求生成已模拟标识;
该方法还包括:
根据是否存在与所述RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
可选地,该方法还包括:
将所述RPC的请求内容和请求者的IP对应保存为蜜罐日志。
可选地,该方法还包括:
在符合上报条件时,将所述蜜罐日志上报至蜜罐服务器。
依据本发明的另一方面,提供了一种蜜罐客户端,包括:
请求单元,适于接收请求者发送的远程过程调用RPC请求;
查找单元,适于查找与所述RPC请求匹配的响应规则;
响应单元,适于根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。
可选地,所述请求单元,适于模拟区块链的全节点客户端,对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
可选地,所述查找单元,适于从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
可选地,所述响应单元,还适于若不能查找到与所述RPC请求匹配的响应规则,则依据所述RPC请求的请求内容,构造新RPC请求;将所述新RPC请求发送至区块链主网的RPC端口,接收所述区块链主网的RPC端口返回的真实响应内容;向请求者返回所述真实响应内容。
可选地,所述响应单元,适于在生成模拟响应内容后,为所述RPC请求生成已模拟标识;根据是否存在与所述RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
可选地,所述蜜罐客户端还包括:
日志单元,适于将所述RPC的请求内容和请求者的IP对应保存为蜜罐日志。
可选地,所述日志单元,适于在符合上报条件时,将所述蜜罐日志上报至蜜罐服务器。
依据本发明的又一方面,提供了一种蜜罐系统,包括:蜜罐服务器,以及如上述任一项所述的蜜罐客户端;
所述蜜罐服务器,适于将蜜罐客户端上报的蜜罐日志在蜜罐日志数据库中进行存储。
可选地,所述蜜罐服务器,还适于对所述蜜罐日志进行解析,得到如下的至少一类信息:攻击者钱包地址,IP数据,RPC攻击方法。
可选地,所述蜜罐服务器,还适于根据解析得到的信息进行数据统计,确定攻击者和/或漏洞。
依据本发明的再一方面,提供了一种电子设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行如上述任一所述的方法。
依据本发明的再一方面,提供了一种计算机可读存储介质,其中,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被处理器执行时,实现如上述任一所述的方法。
由上述可知,本发明的技术方案,通过接收请求者发送的远程过程调用RPC请求,查找出与RPC请求匹配的响应规则,根据与匹配的响应规则对应的响应模板,为RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。该技术方案的有益效果在于,能够针对向区块链发起的RPC类型的请求,并根据响应模板进行有效的响应,使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口,从而实现了有效获取攻击信息,便于后续进行分析和防御。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种基于区块链的蜜罐实现方法的流程示意图;
图2示出了根据本发明一个实施例的蜜罐客户端的结构示意图;
图3示出了根据本发明一个实施例的蜜罐系统的结构示意图;
图4示出了根据本发明一个实施例的电子设备的结构示意图;
图5示出了根据本发明一个实施例的计算机可读存储介质的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种基于区块链的蜜罐实现方法的流程示意图。如图1所示,该方法包括:
步骤S110,接收请求者发送的远程过程调用RPC请求。
RPC(Remote Procedure Call,远程过程调用)是一种通过网络向远程计算机请求服务的技术。下面以知名公共区块链平台——以太坊为例,介绍RPC在区块链中的使用。
以太坊节点的RPC接口以JSON-RPC的形式对外提供调用,其底层为HTTP协议。一般情况下,节点维护者可以利用节点的RPC接口控制节点的行为,如签署和发布交易信息,但是这也为攻击者提供了便利。
例如,已发生过的攻击方式为,攻击者通过调用eth_account等RPC接口获知节点维护钱包中的账户信息,进一步在账户被解锁的状态下触发转账。要想实现转账,需用户使用正确密码解锁相应账户。账户解锁后,账户默认有300秒的时间窗口处于解锁状态,攻击者可以利用该时间窗抢先进行数字资产的窃取。
可见,RPC攻击在区块链场景下是需要重点防范的攻击方式,针对这一点,本发明的实施例对RPC请求进行了蜜罐设计。然而,由于一次RPC攻击并非是基于一个请求实现的,需要先向请求者返回正确的响应内容,才能够“协助”请求者完成RPC攻击,这样才能利用蜜罐获取攻击信息,因此如何进行响应是问题的关键。
步骤S120,查找与RPC请求匹配的响应规则。
步骤S130,根据与匹配的响应规则对应的响应模板,为RPC请求生成模拟响应内容。
在本发明的实施例中,为RPC请求预先配置了响应规则,通过查找匹配的响应规则——选择相应的响应模板——生成模拟响应内容的方式,能够为大部分RPC请求直接生成响应内容,不需要对区块链产生实际的操作,即可通过蜜罐进行反馈。响应规则即是指对于某种类型的RPC请求,应该进行何种响应,而响应模板则是为了生成响应内容而使用的,只需在响应模板中补充与RPC请求相适应的信息即可。
步骤S140,向请求者返回生成的模拟响应内容。
可见,图1所示的方法,能够针对向区块链发起的RPC类型的请求,并根据响应模板进行有效的响应,使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口,从而实现了有效获取攻击信息,便于后续进行分析和防御。
在本发明的一个实施例中,上述方法中,接收请求者发送的RPC请求包括:模拟区块链的全节点客户端;对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
全节点可以理解为同步所有区块链数据的节点,与之对应地,只同步部分区块链数据的节点为轻节点。因而对区块链的RPC攻击主要是针对全节点客户端产生的。
基于此,蜜罐模拟了区块链的全节点客户端,通过对模拟的全节点客户端中实现RPC功能的指定端口进行监听(例如,模拟以太坊区块链的全节点客户端,则监听端口8545),以获取RPC请求。
在本发明的一个实施例中,上述方法中,查找与RPC请求匹配的响应规则包括:从RPC请求的请求体中解析出特征码,依据特征码从预加载的配置文件中检索出匹配的响应规则。
RPC请求包括头部(header)和请求体(body),其中请求的内容主要包含在body中。由于RPC端口可接收的请求类型是有限的,因此可以预先确定每种请求的特征码,并且构造相应的响应规则,并保存在配置文件中,例如由模拟的全节点客户端在启动时加载该配置文件。
由此,在接收到RPC请求后,就可以根据从RPC请求的请求体中解析出的特征码,在配置文件中进行检索,找到相匹配的响应规则。
在本发明的一个实施例中,上述方法还包括:若不能查找到与RPC请求匹配的响应规则,则依据RPC请求的请求内容,构造新RPC请求;将新RPC请求发送至区块链主网的RPC端口,接收区块链主网的RPC端口返回的真实响应内容;向请求者返回真实响应内容。
虽然在很多情况下,通过蜜罐即可模拟生成响应内容,但是在另一部分情况下,RPC请求可能希望获取的是真实数据,并且这些数据可以通过其他方式加以验证,例如查询区块链钱包余额等。在这些情况下,仅凭借响应模板无法生成能够欺骗请求者的响应内容,此时,就表现为查找不到与RPC请求匹配的响应规则。
对于这类情形,则通过根据原始RPC请求的请求内容,构造新RPC请求的方式,获取区块链主网的RPC端口返回的真实响应内容,转发给请求者,以期待请求者基于此进行后续请求,从而把握整个攻击的全貌。
在本发明的一个实施例中,上述方法中,为RPC请求生成模拟响应内容包括:在生成模拟响应内容后,为RPC请求生成已模拟标识;该方法还包括:根据是否存在与RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
具体来说,可以通过设置一个已模拟标识来确定向请求方发送的是真实响应内容还是模拟响应内容。这样可以并发处理多个RPC请求,判断哪些RPC请求是需要获取真实响应内容的。
在本发明的一个实施例中,上述方法还包括:将RPC的请求内容和请求者的IP对应保存为蜜罐日志。在本发明的一个实施例中,上述方法还包括:在符合上报条件时,将蜜罐日志上报至蜜罐服务器。这样可以便于后续将相应IP加入黑名单、进行RPC攻击方法的分析等。具体的上报方式可以是定时汇总上报或者随时上报,也可以对蜜罐日志进行简单分析,将较为严重的RPC请求对应的蜜罐日志进行优先上传等。
图2示出了根据本发明一个实施例的蜜罐客户端的结构示意图。如图2所示,蜜罐客户端200包括:
请求单元210,适于接收请求者发送的远程过程调用RPC请求。
RPC(Remote Procedure Call,远程过程调用)是一种通过网络向远程计算机请求服务的技术。下面以知名公共区块链平台——以太坊为例,介绍RPC在区块链中的使用。
以太坊节点的RPC接口以JSON-RPC的形式对外提供调用,其底层为HTTP协议。一般情况下,节点维护者可以利用节点的RPC接口控制节点的行为,如签署和发布交易信息,但是这也为攻击者提供了便利。
例如,已发生过的攻击方式为,攻击者通过调用eth_account等RPC接口获知节点维护钱包中的账户信息,进一步在账户被解锁的状态下触发转账。要想实现转账,需用户使用正确密码解锁相应账户。账户解锁后,账户默认有300秒的时间窗口处于解锁状态,攻击者可以利用该时间窗抢先进行数字资产的窃取。
可见,RPC攻击在区块链场景下是需要重点防范的攻击方式,针对这一点,本发明的实施例对RPC请求进行了蜜罐设计。然而,由于一次RPC攻击并非是基于一个请求实现的,需要先向请求者返回正确的响应内容,才能够“协助”请求者完成RPC攻击,这样才能利用蜜罐获取攻击信息,因此如何进行响应是问题的关键。
查找单元220,适于查找与RPC请求匹配的响应规则。
响应单元230,适于根据与匹配的响应规则对应的响应模板,为RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。
在本发明的实施例中,为RPC请求预先配置了响应规则,通过查找匹配的响应规则——选择相应的响应模板——生成模拟响应内容的方式,能够为大部分RPC请求直接生成响应内容,不需要对区块链产生实际的操作,即可通过蜜罐进行反馈。响应规则即是指对于某种类型的RPC请求,应该进行何种响应,而响应模板则是为了生成响应内容而使用的,只需在响应模板中补充与RPC请求相适应的信息即可。
可见,图2所示的装置,能够针对向区块链发起的RPC类型的请求,并根据响应模板进行有效的响应,使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口,从而实现了有效获取攻击信息,便于后续进行分析和防御。
在本发明的一个实施例中,上述客户端中,请求单元210,适于模拟区块链的全节点客户端,对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
全节点可以理解为同步所有区块链数据的节点,与之对应地,只同步部分区块链数据的节点为轻节点。因而对区块链的RPC攻击主要是针对全节点客户端产生的。
基于此,蜜罐模拟了区块链的全节点客户端,通过对模拟的全节点客户端中实现RPC功能的指定端口进行监听(例如,模拟以太坊区块链的全节点客户端,则监听端口8545),以获取RPC请求。
在本发明的一个实施例中,上述客户端中,查找单元220,适于从RPC请求的请求体中解析出特征码,依据特征码从预加载的配置文件中检索出匹配的响应规则。
RPC请求包括头部(header)和请求体(body),其中请求的内容主要包含在body中。由于RPC端口可接收的请求类型是有限的,因此可以预先确定每种请求的特征码,并且构造相应的响应规则,并保存在配置文件中,例如由模拟的全节点客户端在启动时加载该配置文件。
由此,在接收到RPC请求后,就可以根据从RPC请求的请求体中解析出的特征码,在配置文件中进行检索,找到相匹配的响应规则。
在本发明的一个实施例中,上述客户端中,响应单元230,还适于若不能查找到与RPC请求匹配的响应规则,则依据RPC请求的请求内容,构造新RPC请求;将新RPC请求发送至区块链主网的RPC端口,接收区块链主网的RPC端口返回的真实响应内容;向请求者返回真实响应内容。
虽然在很多情况下,通过蜜罐即可模拟生成响应内容,但是在另一部分情况下,RPC请求可能希望获取的是真实数据,并且这些数据可以通过其他方式加以验证,例如查询区块链钱包余额等。在这些情况下,仅凭借响应模板无法生成能够欺骗请求者的响应内容,此时,就表现为查找不到与RPC请求匹配的响应规则。
对于这类情形,则通过根据原始RPC请求的请求内容,构造新RPC请求的方式,获取区块链主网的RPC端口返回的真实响应内容,转发给请求者,以期待请求者基于此进行后续请求,从而把握整个攻击的全貌。
在本发明的一个实施例中,上述客户端中,响应单元230,适于在生成模拟响应内容后,为RPC请求生成已模拟标识;根据是否存在与RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
具体来说,可以通过设置一个已模拟标识来确定向请求方发送的是真实响应内容还是模拟响应内容。这样可以并发处理多个RPC请求,判断哪些RPC请求是需要获取真实响应内容的。
在本发明的一个实施例中,上述客户端还包括:日志单元,适于将RPC的请求内容和请求者的IP对应保存为蜜罐日志。在本发明的一个实施例中,上述客户端中,日志单元,适于在符合上报条件时,将蜜罐日志上报至蜜罐服务器。这样可以便于后续将相应IP加入黑名单、进行RPC攻击方法的分析等。具体的上报方式可以是定时汇总上报或者随时上报,也可以对蜜罐日志进行简单分析,将较为严重的RPC请求对应的蜜罐日志进行优先上传等。
图3示出了根据本发明一个实施例的蜜罐系统的结构示意图。如图3所示,蜜罐系统300包括:蜜罐服务器310,以及如上述任一实施例的蜜罐客户端200;
蜜罐服务器310,适于将蜜罐客户端200上报的蜜罐日志在蜜罐日志数据库中进行存储。
其中,蜜罐客户端200可以有一个或多个。蜜罐客户端200负责收集攻击数据,蜜罐服务器310负责分析并存储数据。
在本发明的一个实施例中,上述系统中,蜜罐服务器310,还适于对蜜罐日志进行解析,得到如下的至少一类信息:攻击者钱包地址,IP数据,RPC攻击方法。例如在得到攻击者钱包地址后,可以对其进行封禁或者溯源等。
在本发明的一个实施例中,上述系统中,蜜罐服务器310,还适于根据解析得到的信息进行数据统计,确定攻击者和/或漏洞。例如可以发现目前还没有掌握的新漏洞,完善攻击者黑名单等。
综上所述,本发明的技术方案,通过接收请求者发送的远程过程调用RPC请求,查找出与RPC请求匹配的响应规则,根据与匹配的响应规则对应的响应模板,为RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。该技术方案的有益效果在于,能够针对向区块链发起的RPC类型的请求,并根据响应模板进行有效的响应,使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口,从而实现了有效获取攻击信息,便于后续进行分析和防御。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的蜜罐客户端和蜜罐系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
例如,图4示出了根据本发明一个实施例的电子设备的结构示意图。该电子设备400包括处理器410和被安排成存储计算机可执行指令(计算机可读程序代码)的存储器420。存储器420可以是诸如闪存、EEPROM(电可擦除可编程只读存储器)、EPROM、硬盘或者ROM之类的电子存储器。存储器420具有存储用于执行上述方法中的任何方法步骤的计算机可读程序代码431的存储空间430。例如,用于存储计算机可读程序代码的存储空间430可以包括分别用于实现上面的方法中的各种步骤的各个计算机可读程序代码431。计算机可读程序代码431可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘,紧致盘(CD)、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为例如图5所述的计算机可读存储介质。图5示出了根据本发明一个实施例的一种计算机可读存储介质的结构示意图。该计算机可读存储介质500存储有用于执行根据本发明的方法步骤的计算机可读程序代码431,可以被电子设备400的处理器410读取,当计算机可读程序代码431由电子设备400运行时,导致该电子设备400执行上面所描述的方法中的各个步骤,具体来说,该计算机可读存储介质存储的计算机可读程序代码431可以执行上述任一实施例中示出的方法。计算机可读程序代码431可以以适当形式进行压缩。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明的实施例公开了A1、一种基于区块链的蜜罐实现方法,包括:
接收请求者发送的远程过程调用RPC请求;
查找与所述RPC请求匹配的响应规则;
根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容;
向请求者返回生成的模拟响应内容。
A2、如A1所述的方法,其中,所述接收请求者发送的RPC请求包括:
模拟区块链的全节点客户端;
对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
A3、如A1所述的方法,其中,所述查找与所述RPC请求匹配的响应规则包括:
从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
A4、如A1所述的方法,其中,所述方法还包括:
若不能查找到与所述RPC请求匹配的响应规则,则依据所述RPC请求的请求内容,构造新RPC请求;
将所述新RPC请求发送至区块链主网的RPC端口,接收所述区块链主网的RPC端口返回的真实响应内容;
向请求者返回所述真实响应内容。
A5、如A4所述的方法,其中,所述为所述RPC请求生成模拟响应内容包括:
在生成模拟响应内容后,为所述RPC请求生成已模拟标识;
该方法还包括:
根据是否存在与所述RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
A6、如A1所述的方法,其中,该方法还包括:
将所述RPC的请求内容和请求者的IP对应保存为蜜罐日志。
A7、如A6所述的方法,其中,该方法还包括:
在符合上报条件时,将所述蜜罐日志上报至蜜罐服务器。
本发明的实施例还公开了B8、一种蜜罐客户端,包括:
请求单元,适于接收请求者发送的远程过程调用RPC请求;
查找单元,适于查找与所述RPC请求匹配的响应规则;
响应单元,适于根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。
B9、如B8所述的蜜罐客户端,其中,
所述请求单元,适于模拟区块链的全节点客户端,对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
B10、如B8所述的蜜罐客户端,其中,
所述查找单元,适于从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
B11、如B8所述的蜜罐客户端,其中,
所述响应单元,还适于若不能查找到与所述RPC请求匹配的响应规则,则依据所述RPC请求的请求内容,构造新RPC请求;将所述新RPC请求发送至区块链主网的RPC端口,接收所述区块链主网的RPC端口返回的真实响应内容;向请求者返回所述真实响应内容。
B12、如B11所述的蜜罐客户端,其中,
所述响应单元,适于在生成模拟响应内容后,为所述RPC请求生成已模拟标识;根据是否存在与所述RPC请求对应的已模拟标识,确定向请求者返回的响应内容的类别。
B13、如B8所述的蜜罐客户端,其中,所述蜜罐客户端还包括:
日志单元,适于将所述RPC的请求内容和请求者的IP对应保存为蜜罐日志。
B14、如B13所述的蜜罐客户端,其中,
所述日志单元,适于在符合上报条件时,将所述蜜罐日志上报至蜜罐服务器。
本发明的实施例还公开了C15、一种蜜罐系统,包括:蜜罐服务器,以及如B8-B14中任一项所述的蜜罐客户端;
所述蜜罐服务器,适于将蜜罐客户端上报的蜜罐日志在蜜罐日志数据库中进行存储。
C16、如C15所述的蜜罐系统,其中,
所述蜜罐服务器,还适于对所述蜜罐日志进行解析,得到如下的至少一类信息:攻击者钱包地址,IP数据,RPC攻击方法。
C17、如C16所述的蜜罐系统,其中,
所述蜜罐服务器,还适于根据解析得到的信息进行数据统计,确定攻击者和/或漏洞。
本发明的实施例还公开了D18、一种电子设备,其中,该电子设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行如A1-A7中任一项所述的方法。
本发明的实施例还公开了E19、一种计算机可读存储介质,其中,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被处理器执行时,实现如A1-A7中任一项所述的方法。
Claims (10)
1.一种基于区块链的蜜罐实现方法,包括:
接收请求者发送的远程过程调用RPC请求;
查找与所述RPC请求匹配的响应规则;
根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容;
向请求者返回生成的模拟响应内容。
2.如权利要求1所述的方法,其中,所述接收请求者发送的RPC请求包括:
模拟区块链的全节点客户端;
对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
3.如权利要求1所述的方法,其中,所述查找与所述RPC请求匹配的响应规则包括:
从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
4.如权利要求1所述的方法,其中,所述方法还包括:
若不能查找到与所述RPC请求匹配的响应规则,则依据所述RPC请求的请求内容,构造新RPC请求;
将所述新RPC请求发送至区块链主网的RPC端口,接收所述区块链主网的RPC端口返回的真实响应内容;
向请求者返回所述真实响应内容。
5.一种蜜罐客户端,包括:
请求单元,适于接收请求者发送的远程过程调用RPC请求;
查找单元,适于查找与所述RPC请求匹配的响应规则;
响应单元,适于根据与所述匹配的响应规则对应的响应模板,为所述RPC请求生成模拟响应内容,向请求者返回生成的模拟响应内容。
6.如权利要求5所述的蜜罐客户端,其中,
所述请求单元,适于模拟区块链的全节点客户端,对模拟的全节点客户端中实现RPC功能的指定端口进行监听,以获取RPC请求。
7.如权利要求5所述的蜜罐客户端,其中,
所述查找单元,适于从所述RPC请求的请求体中解析出特征码,依据所述特征码从预加载的配置文件中检索出匹配的响应规则。
8.一种蜜罐系统,包括:蜜罐服务器,以及如权利要求5-7中任一项所述的蜜罐客户端;
所述蜜罐服务器,适于将蜜罐客户端上报的蜜罐日志在蜜罐日志数据库中进行存储。
9.一种电子设备,其中,该电子设备包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行如权利要求1-4中任一项所述的方法。
10.一种计算机可读存储介质,其中,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被处理器执行时,实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010018913.1A CN113098835A (zh) | 2020-01-08 | 2020-01-08 | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010018913.1A CN113098835A (zh) | 2020-01-08 | 2020-01-08 | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113098835A true CN113098835A (zh) | 2021-07-09 |
Family
ID=76664039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010018913.1A Pending CN113098835A (zh) | 2020-01-08 | 2020-01-08 | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113098835A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
CN114143042A (zh) * | 2021-11-09 | 2022-03-04 | 奇安信科技集团股份有限公司 | 漏洞模拟方法、装置、计算机设备和存储介质 |
CN114553529A (zh) * | 2022-02-22 | 2022-05-27 | 深信服科技股份有限公司 | 一种数据处理方法、装置、网络设备及存储介质 |
CN115632885A (zh) * | 2022-12-21 | 2023-01-20 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
CN116931844A (zh) * | 2023-09-18 | 2023-10-24 | 北京云尚汇信息技术有限责任公司 | 一种基于区块链中多区块子链的数据存储方法和装置 |
-
2020
- 2020-01-08 CN CN202010018913.1A patent/CN113098835A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
CN114143042A (zh) * | 2021-11-09 | 2022-03-04 | 奇安信科技集团股份有限公司 | 漏洞模拟方法、装置、计算机设备和存储介质 |
CN114553529A (zh) * | 2022-02-22 | 2022-05-27 | 深信服科技股份有限公司 | 一种数据处理方法、装置、网络设备及存储介质 |
CN115632885A (zh) * | 2022-12-21 | 2023-01-20 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
CN115632885B (zh) * | 2022-12-21 | 2023-04-21 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
CN116931844A (zh) * | 2023-09-18 | 2023-10-24 | 北京云尚汇信息技术有限责任公司 | 一种基于区块链中多区块子链的数据存储方法和装置 |
CN116931844B (zh) * | 2023-09-18 | 2024-02-23 | 北京云尚汇信息技术有限责任公司 | 一种基于区块链中多区块子链的数据存储方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
CN106992981B (zh) | 一种网站后门检测方法、装置和计算设备 | |
CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的系统和方法 | |
CN105939326A (zh) | 处理报文的方法及装置 | |
US20180124103A1 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
CN107612924A (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
CN114826663B (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
CN115361235B (zh) | 一种网络安全检测的方法、设备、装置、电子设备及介质 | |
CN110879891A (zh) | 基于web指纹信息的漏洞探测方法及装置 | |
CN112242974A (zh) | 基于行为的攻击检测方法、装置、计算设备及存储介质 | |
CN112532605A (zh) | 一种网络攻击溯源方法及系统、存储介质、电子设备 | |
CN113949520A (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
CN112637235A (zh) | 一种通信方法、装置、设备及介质 | |
CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
CN114095264A (zh) | 一种蜜罐系统的高交互溯源方法、装备及硬件 | |
CN110768950A (zh) | 渗透指令的发送方法及装置、存储介质、电子装置 | |
CN113079157A (zh) | 获取网络攻击者位置的方法、装置、电子设备 | |
CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
CN115102785B (zh) | 一种针对网络攻击的自动溯源系统及方法 | |
CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |