CN113132293A - 攻击检测方法、设备及公共蜜罐系统 - Google Patents
攻击检测方法、设备及公共蜜罐系统 Download PDFInfo
- Publication number
- CN113132293A CN113132293A CN201911391396.6A CN201911391396A CN113132293A CN 113132293 A CN113132293 A CN 113132293A CN 201911391396 A CN201911391396 A CN 201911391396A CN 113132293 A CN113132293 A CN 113132293A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attack
- address information
- target
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种攻击检测方法、设备及公共蜜罐系统,该方法包括:接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测。本实施例采用蜜罐集群的方式对蜜罐进行集中部署,实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
Description
技术领域
本发明涉及通信领域,尤其涉及一种攻击检测方法、设备及公共蜜罐系统。
背景技术
随着网络环境的逐渐复杂,网络安全问题日益突出。为了保护用户的数据、信息安全开发了多种防御工具,蜜罐系统即其中比较成熟的诱捕式防御措施之一。蜜罐系统可以通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方实施攻击,从而可以对攻击行为进行捕获和分析。对于移动通信系统来说也可以部署蜜罐系统,从而分析、诱捕攻击行为,并通过技术手段对攻击地址加以控制,以保护内部系统安全。
移动通信系统现有的蜜罐设置方式,各业务分别独立部署蜜罐系统,同时各业务的维护人员安全技术能力参差不齐,部署成本高且维护工作量大,蜜罐系统的使用效果不理想。
发明内容
本发明实施例提供一种攻击检测方法、设备及公共蜜罐系统,以解决现有蜜罐设置方式存在的成本高、维护工作量大以及使用效果不理想的问题。
为解决上述技术问题,本发明实施例是这样实现的:
第一方面,本发明实施例提供了一种攻击检测方法,该方法包括:接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测。
第二方面,本发明实施例还提供了一种公共蜜罐系统,包括:管理平台,用于接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐;蜜罐平台,用于对所述访问请求对应的访问日志进行攻击检测。
第三方面,本发明实施例还提供了一种攻击检测设备,包括:存储器,存储有计算机程序指令;处理器,当所述计算机程序指令被所述处理器执行时实现如上述任一项所述的攻击检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得所述计算机执行如上述任一项所述的攻击检测方法。
在本发明实施例中,可以接收业务端发送的蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息,通过该蜜罐服务类型信息确定蜜罐集群中匹配的目标蜜罐,当接收到访问目的地址信息与所述第一地址信息匹配的访问请求时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。可见,本实施例采用蜜罐集群的方式对蜜罐进行集中部署,使得业务端可以发送蜜罐使用请求调用蜜罐集群中对应的目标蜜罐进行攻击检测,从而实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的一个实施例中一种公共蜜罐系统的网络结构示意图。
图2是本发明的一个实施例中一种攻击检测方法的示意性流程图。
图3是本发明的一个实施例中一种攻击检测的方法的交互流程图。
图4是本发明的一个实施例中一种公共蜜罐系统的结构示意图。
图5为本发明的一个实施例中一种无线网络的干扰确定设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种公共蜜罐系统,可以通过蜜罐平台进行攻击检测,该蜜罐平台集中部署于网络骨干设备上,供全网的各业务端使用。参见图1所示的公共蜜罐系统的网络结构示意图,示出了网络骨干设备101,与网络骨干设备101连接的网络接入设备102,网络接入设备与多个业务系统103分别连接。
在网络骨干设备101上部署有蜜罐平台104和管理平台105。蜜罐平台104包括边界防火墙和蜜罐集群,蜜罐集群通过该边界防火墙与外界连接,在蜜罐集群中包括多个预先制作的蜜罐。管理平台105可以接收并分析攻击日志、与业务端交互获取控制指令以及向蜜罐平台发布数据制作命令。
图2是本发明的一个实施例中一种攻击检测方法的示意性流程图,该方法可以应用于上述网络骨干设备或管理平台。图2的方法可包括:
S202,接收业务端发送的蜜罐使用请求。该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息。
在蜜罐平台上集中部署蜜罐集群,业务端不再需要单独购买及维护模拟业务。当业务端需要使用蜜罐检测网络攻击行为时,可以向网络骨干设备或管理平台发送蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息。
其中,上述第一地址信息为业务端提供的用于分配给蜜罐的地址,一般可以在业务端被分配的网段中选择一个未使用的地址,该地址可以包括网络协议地址(IP地址,Internet Protocol Address)和端口号;上述蜜罐服务类型信息表示蜜罐的服务类型。可选地,业务端可以登录到管理平台提交该蜜罐使用请求。在提交蜜罐使用请求时,业务端可以根据需要选择欲使用蜜罐的服务类型。可以理解的是,具有多种类型的蜜罐供业务端选择,业务端可以根据自身业务种类和检测需求选择对应的蜜罐。
S204,确定蜜罐集群中与蜜罐服务类型信息匹配的目标蜜罐。
在蜜罐集群中包括多个蜜罐,管理平台可以根据业务端选择的蜜罐服务类型信息确定与该服务类型信息匹配的目标蜜罐。
S206,当接收到访问请求、且访问请求对应的访问目的地址信息与第一地址信息匹配时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。
当接收到访问请求时,获取该访问请求的访问目的地址信息,如果该访问目的地址信息与上述第一地址信息匹配,则将该访问请求导引至该目标蜜罐。在管理平台确定用户选择的蜜罐后,将访问该第一地址信息对应地址的流量导引至蜜罐,调用蜜罐对访问请求对应的访问日志进行攻击检测。
本发明实施例提供了一种攻击检测方法,可以接收业务端发送的蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息,通过该蜜罐服务类型信息确定蜜罐集群中匹配的目标蜜罐,当接收到访问目的地址信息与所述第一地址信息匹配的访问请求时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。可见,本实施例采用蜜罐集群的方式对蜜罐进行集中部署,使得业务端可以发送蜜罐使用请求调用蜜罐集群中对应的目标蜜罐进行攻击检测,从而实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
考虑到根据业务端的选择分配蜜罐集群中目标蜜罐的需要,可以将业务端提供的地址分配到蜜罐平台,在S204之后,上述方法还可包括:首先,根据预先部署的各蜜罐分别对应的蜜罐信息,获取目标蜜罐的第二地址信息,该蜜罐信息包括蜜罐地址信息;然后,建立第一地址信息与第二地址信息的映射关系,以生成目标蜜罐的路由信息。该第二地址信息可以包括网络协议地址和端口号。可以理解的是,蜜罐集群中的蜜罐也分别具有不同的地址信息,基于该地址信息,外界设备可以访问该蜜罐。例如,管理平台确定目标蜜罐后可以进一步获取该目标蜜罐的第二地址信息,通过在网络骨干设备上制作静态路由的方式,建立第一地址信息与第二地址信息的映射关系,将用户提供的第一地址信息包括的网络协议地址和端口号指向该目标蜜罐。
当接收到访问请求时,S206可包括:根据路由信息将与第一地址信息相匹配的访问请求发送至目标蜜罐,以使目标蜜罐执行访问请求,以及对访问请求对应的访问日志进行攻击检测。对目标蜜罐进行路由配置后,当外部访问者发送目的地址信息与该第一地址信息匹配的访问请求时,根据该路由信息可以将访问请求路由至第二地址处的目标蜜罐,以进行对访问请求的执行及攻击检测。
在路由配置完成后,上述方法还可以包括:发布上述第一地址信息。管理平台可以向全网发布第一地址信息,外部访问者可以向第一地址信息对应地址发送访问请求,从而正常访问业务系统。当访问该地址时,访问流量导引向对应的目标蜜罐。可以理解的是,在发布上述第一地址信息时,还可以同时发布业务端的真实业务的标识,例如可以是真实业务的名称或者服务类型等。
在默认情况下,各业务系统的对应网段的路由,分别指向各业务系统的接入点方向,如业务系统A采用地址a1.b1.c1.0/24,则路由a1.b1.c1.0/24指向业务系统A的接入点。如业务系统B采用地址a2.b2.c2.0/24,则路由a2.b2.c2.0/24指向业务系统B的接入点。在本实施例中,可以通过制作静态路由的方式,将业务端提供的地址映射到蜜罐的地址上,从而将业务端提供的地址的路由指向该蜜罐。基于此,上述方法还包括:
(1)接收目标蜜罐反馈的访问请求执行结果。访问请求执行结果携带有第二地址信息。该访问请求执行结果由目标蜜罐模拟真实网络服务执行访问请求得到。
(2)将访问请求执行结果中携带的第二地址信息转换为第一地址信息。
管理平台选择蜜罐集群的某一台蜜罐为业务端服务,根据业务端要求开启对外服务,并在边界防火墙上做好NAT(Network Address Translation,网络地址转换)规则,将内部蜜罐的IP、服务端口转换为业务端预先提供的IP、用户指定的端口。
(3)将转换后的访问请求执行结果发送至访问请求的请求端。
在蜜罐集群中的目标蜜罐进行攻击检测后,可以将攻击日志发送至管理平台,由管理平台进行统一分析和呈现服务,基于此上述方法还可包括:接收并存储目标蜜罐发送的攻击日志。该攻击日志由目标蜜罐根据对访问日志的攻击检测结果生成。
上述攻击日志可包括攻击时间信息、攻击源地址信息、攻击目的地址信息、攻击内容信息中的至少一项。攻击目的地址信息包括第一地址信息,该攻击目的地址信息可以通过防火墙进行NAT转换,将攻击日志中的蜜罐IP转换为遭受攻击的实际目的IP,该攻击目的地址信息也可以通过管理平台根据上述路由信息进行地址转换,得到遭受攻击的实际目的IP。
管理平台对攻击日志进行分析后进行存储,并向业务端提供检索服务,根据攻击目的IP进行管理,确保业务端只能看到与其提供的IP匹配的日志信息。基于此,上述方法还可包括:接收业务端发送的攻击日志查询请求;攻击日志查询请求携带有第一地址信息;根据第一地址信息查询对应的攻击日志,并将查询得到的攻击日志发送至业务端。
考虑到业务端使用蜜罐集群中的蜜罐,需要进行使用情况的统计,上述方法还可包括:根据第一地址信息、蜜罐服务类型信息及蜜罐使用时长中的至少一项,确定在业务端使用目标蜜罐的过程中所生成的资源值。管理平台可以根据第一地址信息包括的IP地址、端口数量确定使用蜜罐的数量,根据蜜罐服务类型信息确定目标蜜罐的类型。管理平台可以根据上述数量、类型及蜜罐使用时长中的至少一项,确定在业务端使用目标蜜罐的过程中所生成的资源值。其中,蜜罐使用时长可以是业务端选择的使用时长、蜜罐集群统计的蜜罐使用时长或管理平台统计的蜜罐使用时长。业务端在登录到管理平台提交蜜罐使用请求时,可以同时提交蜜罐使用时长,管理平台基于该蜜罐使用时长对业务端使用蜜罐的时间进行管理。蜜罐集群和管理平台也可以统计蜜罐使用时长,例如蜜罐集群通过各蜜罐的使用情况确定对应的业务端使用蜜罐的时长,管理平台通过为蜜罐设置路由信息的时间与该路由信息失效的时间确定业务端实际使用蜜罐的时长。可选的,资源值可以是资金值。基于此,管理平台可确定出在业务端使用目标蜜罐的过程中所产生的资金值,从而基于业务端使用蜜罐情况进行计费。
管理平台对攻击日志进行分析后,还可以向业务端提供通知服务,上述方法还可包括:对攻击日志进行日志分析,根据分析结果确定攻击行为的紧急程度信息;根据紧急程度信息向业务端发送攻击提示通知。管理平台可根据攻击紧急程度,将攻击信息通过邮件、短信、电子流程、语音呼叫等方式向业务端发送实时通知。
下面,将结合具体的实施例,对本发明实施例的方法作进一步的描述。图3是本发明的一个实施例中一种攻击检测的方法的交互流程图,示出了业务端、管理平台和蜜罐平台之间的交互流程,图3的方法可包括:
S301,业务端登录管理平台,并发送蜜罐使用请求。业务端可以在自身对应的网段内挑选1个未使用的地址,要求管理平台将该地址应用到蜜罐,并选择对外开放的服务类型、端口号等参数。管理平台可以对业务端的身份、资格进行审核,审核通过后,允许该业务端使用蜜罐。
S302,管理平台确定蜜罐集群中与服务类型匹配的目标蜜罐。管理平台可以根据蜜罐使用请求确定对应的目标蜜罐。管理平台选择蜜罐集群的某一台蜜罐为该用户服务,根据用户要求开启对外服务,并在边界防火墙上做好NAT规则,可以将内部蜜罐的IP、服务端口,转换为用户提供的IP、用户指定的端口。
S303,管理平台生成目标蜜罐的路由信息。在网络骨干设备上制作静态路由,将用户提供的地址的主机路由单独指向目标蜜罐,并将该路由发布到全网。此时外部用户仍可正常访问业务系统,而当访问该地址时,流量指向目标蜜罐。
S304,蜜罐平台将外部设备的访问日志实时发给管理平台。蜜罐平台的防火墙将外部设备访问的访问日志实时发给管理平台。
S305,蜜罐平台对访问请求对应的访问日志进行攻击检测。蜜罐平台进行攻击检测,检测到外部攻击后,将攻击时间、攻击源IP、攻击目的IP(可以通过防火墙NAT将攻击日志中的蜜罐IP转换为遭受攻击的实际目的IP)、攻击行为等数据组成攻击日志,发送给管理平台。
S306,管理平台接收并存储目标蜜罐发送的攻击日志。管理平台可以对攻击日志进行分析后存储起来,并向业务端提供检索服务。
S307,业务端向管理平台发送攻击日志查询请求。
S308,管理平台向业务端发送攻击日志。管理平台根据业务端提供的IP地址进行攻击日志管理,仅向业务端发送与其提供的IP地址匹配的攻击日志。
S309,管理平台向业务端发送攻击通知。管理平台可根据攻击紧急程度以及用户的要求,将攻击信息通过邮件、短信、电子流程、语音呼叫等手段对业务端进行实时通知。业务端接收到攻击信息后可采取必要的手段确保自身安全,如持续检测蜜罐日志以分析攻击行为,或在业务侧防火墙拦截攻击源地址等。
S310,管理平台根据蜜罐使用情况进行计费。管理平台可针对业务端提供的IP、端口数量、使用蜜罐时长进行计费。
本发明实施例提供了一种攻击检测方法,可以采用少量蜜罐集中部署,为全网用户进行攻击检测服务,在不改变用户业务网段路由的情况下,将用户提供的地址分配到蜜罐集群,蜜罐集群可以为全网用户提供的租用服务,根据用户需求将蜜罐服务映射到上述地址上,并可根据用户后续需求持续变更,还可以根据蜜罐使用情况进行计费,可减少用户直接购买蜜罐带来的成本及蜜罐运行维护成本,并为用户提供蜜罐日志统一分析、呈现服务,减轻用户工作量,提高蜜罐的使用效果。
图4是本发明的一个实施例中一种公共蜜罐系统的结构示意图,请参考图4,该公共蜜罐系统可包括:
管理平台401,用于接收业务端发送的蜜罐使用请求;蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与蜜罐服务类型信息匹配的目标蜜罐;蜜罐集群中包括多个蜜罐;当接收到访问请求、且访问请求对应的访问目的地址信息与第一地址信息匹配时,调用目标蜜罐;
蜜罐平台402,用于通过目标蜜罐对访问请求对应的访问日志进行攻击检测。
本发明实施例提供了一种公共蜜罐系统,可以接收业务端发送的蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息,通过该蜜罐服务类型信息确定蜜罐集群中匹配的目标蜜罐,当接收到访问目的地址信息与所述第一地址信息匹配的访问请求时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。可见,本实施例采用蜜罐集群的方式对蜜罐进行集中部署,使得业务端可以发送蜜罐使用请求调用蜜罐集群中对应的目标蜜罐进行攻击检测,从而实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
可选地,作为一个实施例,所述管理平台401还用于:根据预先部署的各所述蜜罐分别对应的蜜罐信息,获取所述目标蜜罐的第二地址信息;所述蜜罐信息包括蜜罐地址信息;建立所述第一地址信息与所述第二地址信息的映射关系,以生成所述目标蜜罐的路由信息;根据所述路由信息,将与所述第一地址信息相匹配的所述访问请求发送至所述第二地址信息对应的所述目标蜜罐,以使所述目标蜜罐执行所述访问请求,以及对所述访问请求对应的访问日志进行攻击检测。
可选地,作为另一个实施例,所述管理平台401还用于:接收并存储所述目标蜜罐发送的攻击日志;所述攻击日志由所述目标蜜罐根据对所述访问日志的攻击检测结果生成;所述攻击日志包括攻击时间信息、攻击源地址信息、攻击目的地址信息、攻击内容信息中的至少一项;所述攻击目的地址信息包括所述第一地址信息。
可选地,作为另一个实施例,所述管理平台401还用于:接收所述业务端发送的攻击日志查询请求;所述攻击日志查询请求携带有所述第一地址信息;根据所述第一地址信息查询对应的攻击日志,并将查询得到的攻击日志发送至所述业务端。
可选地,作为另一个实施例,所述管理平台401还用于:根据所述第一地址信息、所述蜜罐服务类型信息及蜜罐使用时长中的至少一项,确定在所述业务端使用所述目标蜜罐的过程中所生成的资源值。
可选地,作为另一个实施例,所述管理平台401还用于:接收所述目标蜜罐反馈的访问请求执行结果;所述访问请求执行结果携带有所述第二地址信息;所述访问请求执行结果由所述目标蜜罐模拟真实网络服务执行所述访问请求得到;将所述访问请求执行结果中携带的所述第二地址信息转换为所述第一地址信息;将转换后的所述访问请求执行结果发送至所述访问请求的请求端。
可选地,作为另一个实施例,所述管理平台401还用于:对所述攻击日志进行日志分析,根据分析结果确定攻击行为的紧急程度信息;根据所述紧急程度信息向所述业务端发送攻击提示通知。
本发明实施例提供的攻击检测装置能够实现上述方法实施例中的各个过程,为避免重复,这里不再赘述。
请参阅图5,图5是本发明实施例应用的攻击检测设备的结构示意图,能够实现上述实施例中攻击检测方法的细节,并达到相同的效果。如图5所示,攻击检测设备500包括:处理器501、收发机502、存储器503、用户接口504和总线接口,其中:
在本发明实施例中,攻击检测设备500还包括:存储在存储器上503并可在处理器501上运行的计算机程序,计算机程序被处理器501执行时实现如下步骤:
接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测。
在图5中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器501代表的一个或多个处理器和存储器503代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机502可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口504还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器501负责管理总线架构和通常的处理,存储器503可以存储处理器501在执行操作时所使用的数据。
可选的,计算机程序被处理器501执行时还可实现如下步骤:根据预先部署的各所述蜜罐分别对应的蜜罐信息,获取所述目标蜜罐的第二地址信息;所述蜜罐信息包括蜜罐地址信息;建立所述第一地址信息与所述第二地址信息的映射关系,以生成所述目标蜜罐的路由信息;根据所述路由信息,将与所述第一地址信息相匹配的所述访问请求发送至所述第二地址信息对应的所述目标蜜罐,以使所述目标蜜罐执行所述访问请求,以及对所述访问请求对应的访问日志进行攻击检测。
可选的,计算机程序被处理器501执行时还可实现如下步骤:接收并存储所述目标蜜罐发送的攻击日志;所述攻击日志由所述目标蜜罐根据对所述访问日志的攻击检测结果生成;所述攻击日志包括攻击时间信息、攻击源地址信息、攻击目的地址信息、攻击内容信息中的至少一项;所述攻击目的地址信息包括所述第一地址信息。
可选的,计算机程序被处理器501执行时还可实现如下步骤:接收所述业务端发送的攻击日志查询请求;所述攻击日志查询请求携带有所述第一地址信息;根据所述第一地址信息查询对应的攻击日志,并将查询得到的攻击日志发送至所述业务端。
可选的,计算机程序被处理器501执行时还可实现如下步骤:根据所述第一地址信息、所述蜜罐服务类型信息及蜜罐使用时长中的至少一项,确定在所述业务端使用所述目标蜜罐的过程中所生成的资源值。
可选的,计算机程序被处理器501执行时还可实现如下步骤:接收所述目标蜜罐反馈的访问请求执行结果;所述访问请求执行结果携带有所述第二地址信息;所述访问请求执行结果由所述目标蜜罐模拟真实网络服务执行所述访问请求得到;将所述访问请求执行结果中携带的所述第二地址信息转换为所述第一地址信息;将转换后的所述访问请求执行结果发送至所述访问请求的请求端。
可选的,计算机程序被处理器501执行时还可实现如下步骤:对所述攻击日志进行日志分析,根据分析结果确定攻击行为的紧急程度信息;根据所述紧急程度信息向所述业务端发送攻击提示通知。
本发明实施例提供一种攻击检测设备,可以接收业务端发送的蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息,通过该蜜罐服务类型信息确定蜜罐集群中匹配的目标蜜罐,当接收到访问目的地址信息与所述第一地址信息匹配的访问请求时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。可见,本实施例采用蜜罐集群的方式对蜜罐进行集中部署,使得业务端可以发送蜜罐使用请求调用蜜罐集群中对应的目标蜜罐进行攻击检测,从而实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
优选的,本发明实施例还提供一种攻击检测设备,包括处理器501,存储器503,存储在存储器503上并可在所述处理器501上运行的计算机程序,该计算机程序被处理器501执行时实现上述攻击检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述攻击检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本发明实施例提供一种计算机可读存储介质,可以接收业务端发送的蜜罐使用请求,该蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息,通过该蜜罐服务类型信息确定蜜罐集群中匹配的目标蜜罐,当接收到访问目的地址信息与所述第一地址信息匹配的访问请求时,调用目标蜜罐对访问请求对应的访问日志进行攻击检测。可见,本实施例采用蜜罐集群的方式对蜜罐进行集中部署,使得业务端可以发送蜜罐使用请求调用蜜罐集群中对应的目标蜜罐进行攻击检测,从而实现了以少量蜜罐为全网业务端提供攻击检测服务的效果,可减少业务端分别部署蜜罐及维护蜜罐运行的成本,提高了蜜罐的使用效果。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (10)
1.一种攻击检测方法,其特征在于,包括:
接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;
确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;
当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测。
2.根据权利要求1所述的方法,其特征在于,在所述确定蜜罐集群中与所述蜜罐服务信息匹配的目标蜜罐之后,还包括:
根据预先部署的各所述蜜罐分别对应的蜜罐信息,获取所述目标蜜罐的第二地址信息;所述蜜罐信息包括蜜罐地址信息;
建立所述第一地址信息与所述第二地址信息的映射关系,以生成所述目标蜜罐的路由信息;
所述调用所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测,包括:
根据所述路由信息,将与所述第一地址信息相匹配的所述访问请求发送至所述第二地址信息对应的所述目标蜜罐,以使所述目标蜜罐执行所述访问请求,以及对所述访问请求对应的访问日志进行攻击检测。
3.根据权利要求1所述的方法,其特征在于,还包括:
接收并存储所述目标蜜罐发送的攻击日志;所述攻击日志由所述目标蜜罐根据对所述访问日志的攻击检测结果生成;所述攻击日志包括攻击时间信息、攻击源地址信息、攻击目的地址信息、攻击内容信息中的至少一项;所述攻击目的地址信息包括所述第一地址信息。
4.根据权利要求3所述的方法,其特征在于,还包括:
接收所述业务端发送的攻击日志查询请求;所述攻击日志查询请求携带有所述第一地址信息;
根据所述第一地址信息查询对应的攻击日志,并将查询得到的攻击日志发送至所述业务端。
5.根据权利要求1所述的方法,其特征在于,还包括:
根据所述第一地址信息、所述蜜罐服务类型信息及蜜罐使用时长中的至少一项,确定在所述业务端使用所述目标蜜罐的过程中所生成的资源值。
6.根据权利要求2所述的方法,其特征在于,还包括:
接收所述目标蜜罐反馈的访问请求执行结果;所述访问请求执行结果携带有所述第二地址信息;所述访问请求执行结果由所述目标蜜罐模拟真实网络服务执行所述访问请求得到;
将所述访问请求执行结果中携带的所述第二地址信息转换为所述第一地址信息;
将转换后的所述访问请求执行结果发送至所述访问请求的请求端。
7.根据权利要求3所述的方法,其特征在于,还包括:
对所述攻击日志进行日志分析,根据分析结果确定攻击行为的紧急程度信息;
根据所述紧急程度信息向所述业务端发送攻击提示通知。
8.一种公共蜜罐系统,其特征在于,包括:
管理平台,用于接收业务端发送的蜜罐使用请求;所述蜜罐使用请求至少携带有第一地址信息和蜜罐服务类型信息;确定蜜罐集群中与所述蜜罐服务类型信息匹配的目标蜜罐;所述蜜罐集群中包括多个蜜罐;当接收到访问请求、且所述访问请求对应的访问目的地址信息与所述第一地址信息匹配时,调用所述目标蜜罐;
蜜罐平台,用于通过所述目标蜜罐对所述访问请求对应的访问日志进行攻击检测。
9.一种攻击检测设备,其特征在于,包括:
存储器,存储有计算机程序指令;
处理器,当所述计算机程序指令被所述处理器执行时实现如权利要求1至7中任一项所述的攻击检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至7中任一项所述的攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911391396.6A CN113132293B (zh) | 2019-12-30 | 2019-12-30 | 攻击检测方法、设备及公共蜜罐系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911391396.6A CN113132293B (zh) | 2019-12-30 | 2019-12-30 | 攻击检测方法、设备及公共蜜罐系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113132293A true CN113132293A (zh) | 2021-07-16 |
| CN113132293B CN113132293B (zh) | 2022-10-04 |
Family
ID=76767744
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911391396.6A Active CN113132293B (zh) | 2019-12-30 | 2019-12-30 | 攻击检测方法、设备及公共蜜罐系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113132293B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114168947A (zh) * | 2021-12-14 | 2022-03-11 | Tcl通讯科技(成都)有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114296820A (zh) * | 2021-12-23 | 2022-04-08 | 北京知道创宇信息技术股份有限公司 | 插件地址的添加方法、装置、服务器及存储介质 |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN117220900A (zh) * | 2023-07-14 | 2023-12-12 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| CN101690101A (zh) * | 2007-06-29 | 2010-03-31 | 极进网络有限公司 | 将分组重定向至网络交换机中的入侵防卸服务的方法和系统 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| CN105447385A (zh) * | 2014-12-08 | 2016-03-30 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
| US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
| CN109150848A (zh) * | 2018-07-27 | 2019-01-04 | 众安信息技术服务有限公司 | 一种基于Nginx的蜜罐的实现方法及系统 |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN111600953A (zh) * | 2020-05-18 | 2020-08-28 | 广州锦行网络科技有限公司 | 基于蜜罐系统实现分布式部署的方法 |
| CN112788043A (zh) * | 2021-01-18 | 2021-05-11 | 广州锦行网络科技有限公司 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
-
2019
- 2019-12-30 CN CN201911391396.6A patent/CN113132293B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| CN101690101A (zh) * | 2007-06-29 | 2010-03-31 | 极进网络有限公司 | 将分组重定向至网络交换机中的入侵防卸服务的方法和系统 |
| CN105447385A (zh) * | 2014-12-08 | 2016-03-30 | 哈尔滨安天科技股份有限公司 | 一种多层次检测的应用型数据库蜜罐实现系统及方法 |
| CN105245549A (zh) * | 2015-10-30 | 2016-01-13 | 上海红神信息技术有限公司 | 一种抵抗DDoS攻击的主动防御方法 |
| US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
| CN109150848A (zh) * | 2018-07-27 | 2019-01-04 | 众安信息技术服务有限公司 | 一种基于Nginx的蜜罐的实现方法及系统 |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN111600953A (zh) * | 2020-05-18 | 2020-08-28 | 广州锦行网络科技有限公司 | 基于蜜罐系统实现分布式部署的方法 |
| CN112788043A (zh) * | 2021-01-18 | 2021-05-11 | 广州锦行网络科技有限公司 | 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统 |
Non-Patent Citations (2)
| Title |
|---|
| HAIFENG WANG ETAL: "《Design of Cooperative Deployment in Distributed Honeynet System》", 《PROCEEDINGS OF THE 2010 14TH INTERNATIONAL CONFERENCE ON COMPUTER SUPPORTED COOPERATIVE WORK IN DESIGN》 * |
| 武斌等: "Honeynet中的告警日志分析", 《北京邮电大学学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114168947A (zh) * | 2021-12-14 | 2022-03-11 | Tcl通讯科技(成都)有限公司 | 一种攻击检测方法、装置、电子设备及存储介质 |
| CN114296820A (zh) * | 2021-12-23 | 2022-04-08 | 北京知道创宇信息技术股份有限公司 | 插件地址的添加方法、装置、服务器及存储介质 |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN117220900A (zh) * | 2023-07-14 | 2023-12-12 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113132293B (zh) | 2022-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113132293B (zh) | 攻击检测方法、设备及公共蜜罐系统 | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| EP3684010B1 (en) | Network slice management method, and device for same | |
| KR101298062B1 (ko) | 인터랙션 라우팅 수행을 개선하기 위한 시스템 및 방법들 | |
| CN112104754B (zh) | 网络代理方法、系统、装置、设备及存储介质 | |
| CN108173938A (zh) | 服务器负载分流方法及装置 | |
| CN102231686A (zh) | 一种实现网络安全设备自动化测试的系统和方法 | |
| CN107979520B (zh) | 消息处理方法及消息处理装置 | |
| CN111935276B (zh) | 远程主机访问方法、装置及设备 | |
| US20200274897A1 (en) | Method and apparatus for processing data | |
| CN104253820A (zh) | 软件定义网安全控制系统和控制方法 | |
| CN108256118A (zh) | 数据处理方法、装置、系统、计算设备以及存储介质 | |
| CN105939267B (zh) | 带外管理方法及装置 | |
| CN110493337A (zh) | 数据访问方法、网关设备、系统、存储介质及装置 | |
| US11457046B2 (en) | Distributed network resource security access management system and user portal | |
| CN106992893A (zh) | 路由器的管理方法及装置 | |
| CN102917027A (zh) | 网页聊天室的访问方法、装置及系统 | |
| CN113852697B (zh) | 一种sdp终端流量代理方法、装置、设备及存储介质 | |
| CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| US11422845B2 (en) | Native cloud live traffic migration to counter suspected harmful traffic | |
| CN110830513A (zh) | 云引擎、远程访问应用的方法及其系统和存储介质 | |
| CN110519729A (zh) | 一种网络权限的控制方法、系统、计算机设备和存储介质 | |
| CN202841204U (zh) | 网站服务器集群架构 | |
| CN109150725A (zh) | 流量疏导方法及服务器 | |
| CN109542646A (zh) | 用于调用应用程序编程接口的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |