CN113179280B - 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 - Google Patents
基于恶意代码外联行为的欺骗防御方法及装置、电子设备 Download PDFInfo
- Publication number
- CN113179280B CN113179280B CN202110556307.XA CN202110556307A CN113179280B CN 113179280 B CN113179280 B CN 113179280B CN 202110556307 A CN202110556307 A CN 202110556307A CN 113179280 B CN113179280 B CN 113179280B
- Authority
- CN
- China
- Prior art keywords
- external connection
- honeypot
- malicious code
- gateway
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Abstract
本发明涉及一种基于恶意代码外联行为的欺骗防御方法及装置,该方法包括:将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址;令蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作。本发明的方案能够同时保证网络安全装置的安全性与检测深度。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种基于恶意代码外联行为的欺骗防御方法及装置、电子设备、计算机可读介质。
背景技术
恶意代码普遍具有对外发起网络连接的特点,对外发起网络连接是其向外传播或受控的前提,正因为该特点,在恶意代码分析、检测、欺骗防御类产品的使用中,必然会出现检测深度与产品安全性之间的取舍。欺骗防御技术,指安全防御人员在己方信息通信布设骗局,干扰、误导攻击者对己方信息系统的认知,使攻击者采取对防御方有利的动作(或不行动),从而有助于发现、延迟或阻断攻击者的活动,达到增加信息通信系统安全的目的。
以现有技术中的蜜罐产品为例,蜜罐因其吸引攻击者、欺骗防御的功能而深受使用者的青睐。也正因为该功能,给使用者带来蜜罐成为跳板机攻击其它资产主机的担忧。恶意代码攻入蜜罐后,蜜罐出于安全性考虑,必然需要阻止恶意代码从蜜罐内主动向外连接。但阻止外联的同时,也无法激发恶意代码的进一步恶意行为。这一问题同样存在于恶意代码分析沙箱产品中。根据现有的技术,在隔离网环境流量检测产品使用场景中,因隔离网环境无法连接互联网,故缺少网络通信数据包,进而导致流量检测产品无法检测失陷主机的后续的通信行为。
因此,针对以上不足,需要提供一种基于恶意代码外联行为的欺骗防御方法。
发明内容
本发明要解决的技术问题在于现有技术中为了保证网络安全产品的安全性而舍弃检测深度的问题,针对现有技术中的缺陷,提供一种基于恶意代码外联行为的欺骗防御方法。
为了解决上述技术问题,本发明提供了一种基于恶意代码外联行为的欺骗防御方法,包括如下步骤:
将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址;
令所述蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作。
在一种可能的实现方式中,所述模拟联网环境响应恶意代码的主动外联行为,进一步包括:
当恶意代码主动发起TCP外联请求时,所述蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手;
当恶意代码主动发起DNS解析外联请求时,所述蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址;
当恶意代码主动发起PING外联请求时,所述蜜罐网关外联欺骗模块返回PING成功响应包;
当恶意代码主动发起HTTP URL外联请求时,所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码。
在一种可能的实现方式中,当恶意代码主动发起TCP外联请求时,所述蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手,进一步包括:
恶意代码发送真实SYN包至所述蜜罐网关外联欺骗模块,进行第一次握手;
所述蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包,进行第二次握手;
恶意代码发送SYN包至所述蜜罐网关外联欺骗模块,进行第三次握手。
在一种可能的实现方式中,当恶意代码主动发起DNS解析外联请求时,所述蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址,进一步包括:
恶意代码请求DNS解析,发送DNS查询请求至所述蜜罐网关外联欺骗模块,请求解析域名;
所述蜜罐网关外联欺骗模块在本地库中查询域名;若本地库中已存储被查询域名与解析后的IP地址对应关系,则返回本地库中的解析IP地址至该恶意代码;若本地库无结果且所述蜜罐网关外联欺骗模块可访问外网,则将本地库无查询结果的域名发送至外网的真实DNS服务器,请求真实DNS服务器解析,并返回查询后的解析IP地址至该恶意代码;若本地库无结果且所述蜜罐网关外联欺骗模块无法访问外网,则返回虚假的解析IP地址。
在一种可能的实现方式中,当恶意代码主动发起PING外联请求时,所述蜜罐网关外联欺骗模块返回PING成功响应包,进一步包括:
恶意代码主动向外网IP或域名发送PING命令,发送ICMP请求包至所述蜜罐网关外联欺骗模块;
所述蜜罐网关外联欺骗模块返回PING成功响应包,发送ICMP响应包至该恶意代码。
在一种可能的实现方式中,当恶意代码主动发起HTTP URL外联请求时,所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码,进一步包括:
恶意代码主动外联,发送HTTP URL请求至所述蜜罐网关外联欺骗模块;
所述蜜罐网关外联欺骗模块判断URL外联请求是否包含文件名后缀,若无文件名后缀,则返回200状态码至该恶意代码,若有文件名后缀,则返回与该文件名后缀相同的虚假文件,进行HTTP URL欺骗应答。
本发明还提供了一种基于恶意代码外联行为的欺骗防御装置,包括:
转发模块和蜜罐网关外联欺骗模块;其中,
所述转发模块用于将网络安全装置的外联网络流量转发至所述蜜罐网关外联欺骗模块的IP地址;
所述蜜罐网关外联欺骗模块用于接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作。
在一种可能的实现方式中,当恶意代码主动发起TCP外联请求时,所述蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手;
当恶意代码主动发起DNS解析外联请求时,所述蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址;
当恶意代码主动发起PING外联请求时,所述蜜罐网关外联欺骗模块返回PING成功响应包;
当恶意代码主动发起HTTP URL外联请求时,所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码。
本发明还提供了一种电子设备,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行如上述所述的方法。
本发明还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行如上述所述的方法。
实施本发明的基于恶意代码外联行为的欺骗防御方法及装置,具有以下有益效果:
将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址;令蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的外联行为,欺骗该恶意代码继续执行下一步动作,从而激发恶意代码的进一步攻击数据包,进而提升网络安全装置的检测效果与安全性,并为自动化方式从恶意代码首包中提取恶意代码网络特征提供技术支持。
附图说明
图1是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御方法的流程图;
图2是本发明一个实施例提供的蜜罐网关外联欺骗模块核心功能流程图;
图3是本发明一个实施例提供的蜜罐网关外联欺骗模块TCP连接欺骗步骤图解;
图4是本发明一个实施例提供的蜜罐网关外联欺骗模块DNS连接欺骗步骤图解;
图5是本发明一个实施例提供的蜜罐网关外联欺骗模块PING连接欺骗步骤图解;
图6是本发明一个实施例提供的蜜罐网关外联欺骗模块HTTP URL连接欺骗步骤图解;
图7是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御装置所在设备的示意图;
图8是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御装置的示意图;
图9是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御装置应用于蜜罐产品的示意图;
图10是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御装置应用于沙箱产品的示意图;
图11是本发明一个实施例提供的基于恶意代码外联行为的欺骗防御装置应用于隔离网场景的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如背景技术所述,在现有技术中,恶意代码攻入蜜罐后,蜜罐产品出于安全性考虑,会阻止恶意代码从蜜罐内主动向外连接,但阻止外联的同时,也无法激发恶意代码的进一步恶意行为,这一问题同样存在于恶意代码分析沙箱产品中。在隔离网环境流量检测产品使用场景中,因隔离网环境无法连接互联网,故缺少网络通信数据包,进而导致流量检测产品无法检测失陷主机的后续的通信行为。此外,目前恶意代码网络特征基本依赖人工分析并提取,提取效率较低。无法进行恶意代码网络特征批量自动化提取的原因主要为恶意代码网络特征首包获取的不确定性。
因此,可以考虑欺骗防御方法,即通过仿真恶意代码外联的网络连接应答来欺骗恶意代码的外联请求,从而激发恶意代码网络特征数据首包、漏洞攻击数据包、C&C外联行为等进一步的恶意攻击流量数据包来达到更好捕获和检测威胁的目的,同时保证网络安全装置的安全性与检测深度。
以上就是本发明所提供的构思,下面描述本发明所提供构思的具体实现方式。
图1示出根据一个实施例的基于恶意代码外联行为的欺骗防御方法的流程图。可以理解,该方法可以通过任何具有计算和处理能力的装置、设备、平台、设备集群来执行。在本发明实施例中,该方法通过安装有操作系统的设备来执行。
参见图1,该基于恶意代码外联行为的欺骗防御方法包括:
步骤101:将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址。
在步骤101中,通过将根据不同应用场景配置的网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址,可以利用蜜罐网关外联欺骗模块欺骗恶意代码的外联行为,避免恶意代码直接对外发起网络连接,造成网络安全装置作为攻击者跳板的风险。网络安全装置包括网络设备类的防火墙、路由,也包括产品类的蜜罐、沙箱,比如蜜罐网关外联欺骗模块应用于蜜罐或沙箱(等网络安全产品)中,在步骤101中,将网络安全产品中运行恶意代码的外联流量转发至蜜罐网关外联欺骗模块的IP地址;蜜罐网关外联欺骗模块应用于隔离网场景中,在步骤101中,将网络出口外联流量转发至蜜罐网关外联欺骗模块的IP地址。
步骤102:令蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作。
在步骤102中,蜜罐网关外联欺骗模块通过仿真恶意代码外联的网络连接应答来欺骗恶意代码的主动外联请求,从而激发恶意代码进一步的恶意行为。本发明能够同时兼顾检测深度与产品安全性,在隔离网环境威胁检测中能够获取恶意代码发出的网络通信数据包。并且,在欺骗恶意代码发送携带真实攻击目的的首包后,能够基于获取的首包实现恶意代码网络特征提取,为人工提取分析恶意代码网络特征至自动化提取分析恶意代码网络特征的转变提供技术支持。
优选地,步骤101之前还包括:设置蜜罐网关外联欺骗模块并配置相应的IP地址。
通过部署蜜罐网关外联欺骗模块并配置IP地址,可以供其它联动产品(如沙箱、蜜罐、防火墙、路由器等)配置。
在一些实施方式中,蜜罐网关外联欺骗模块的核心功能如图2所示,蜜罐网关外联欺骗模块模拟联网环境响应恶意代码的主动外联行为,进一步包括执行如下情况中的一种或几种:
当恶意代码主动发起TCP(传输控制协议)外联请求时,蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手,欺骗该恶意代码发送携带真实攻击目的的首包。
TCP是恶意代码发起网络连接较常用的协议。此情况下,当蜜罐网关外联欺骗模块接收到恶意代码主动发起TCP外联请求,即主动外联的流量数据包提出TCP连接请求时,根据TCP连接三次握手的特点,对TCP连接进行ACK(确认字符)欺骗应答,使TCP连接发起者(即恶意代码)认为TCP连接成功,欺骗TCP连接发起者发送出具有真实攻击意图的数据包。
当恶意代码主动发起DNS(域名系统)解析外联请求时,蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址。
恶意代码反弹连接的C&C大部分情况为域名形式,域名解析需要请求DNS服务器解析域名。此情况下,当蜜罐网关外联欺骗模块接收到恶意代码主动发起DNS解析外联请求,即主动外联的流量数据包提出DNS连接请求时,模拟DNS服务器,对DNS请求优先进行本地域名解析库(简称本地库)查询,有结果优先返回,若无结果则再根据联接外网的情况返回真实DNS服务器查询的解析IP地址或虚假的解析IP地址。
当恶意代码主动发起PING外联请求时,蜜罐网关外联欺骗模块返回PING成功响应包。
判断外网IP或域名存活性也是恶意代码的常见行为,PING命令是其探测资源存活性的主要手段。此情况下,当蜜罐网关外联欺骗模块接收到恶意代码主动发起PING外联请求,即主动外联的流量数据包提出PING连接请求时,进行ICMP(Internet控制报文协议)的欺骗方式是根据其协议的标准,返回连接成功的探测结果。
当恶意代码主动发起HTTP(超文本传输协议)URL(统一资源定位器)外联请求时,蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码。
恶意代码的常见外联行为也包括外联URL,以判断能否连接外网或下载恶意代码相关文档。此情况下,当蜜罐网关外联欺骗模块接收到恶意代码主动发起HTTP URL外联请求,即主动外联的流量数据包提出HTTP URL连接请求时,判断URL请求是否包含文件名后缀,若不包含则返回200状态码,欺骗请求者(即恶意代码)HTTP连接成功;请求中若包含文件名后缀,则返回以URL请求中包含的文件名后缀结尾的虚假文件,以激发恶意代码的进一步恶意行为。
在一些实施方式中,如图3所示,当恶意代码主动发起TCP外联请求时,蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手,欺骗该恶意代码发送携带真实攻击目的的首包,进一步包括:
步骤301:恶意代码发送真实SYN包至蜜罐网关外联欺骗模块,进行第一次握手;
步骤302:蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包,进行第二次握手;
步骤303:恶意代码发送SYN包至蜜罐网关外联欺骗模块,进行第三次握手。
优选地,还包括:
步骤304:相关联动的网络安全装置对该恶意代码在三次握手成功后发送的、携带真实攻击目的的首包进行检测。
在一些实施方式中,如图4所示,当恶意代码主动发起DNS解析外联请求时,蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址,进一步包括:
步骤401:恶意代码请求DNS解析,发送DNS查询请求至蜜罐网关外联欺骗模块,请求解析域名x;
步骤402:蜜罐网关外联欺骗模块进行本地域名解析库(简称本地库)查询,在本地库中查询域名x;
若本地库有结果,即本地库中已存储被查询域名x与其解析后的IP地址对应关系,则返回本地库中的解析IP地址至该恶意代码;
若本地库无结果且蜜罐网关外联欺骗模块可访问外网,则将本地库无查询结果的域名x发送至外网的真实DNS服务器,请求真实DNS服务器解析,并返回查询后的解析IP地址至该恶意代码;
若本地库无结果且蜜罐网关外联欺骗模块无法访问外网,则返回虚假的解析IP地址至该恶意代码。
优选地,还包括:
步骤403(为简洁图4中未示出):相关联动的网络安全装置监测该恶意代码在获取域名对应的解析IP地址后,对该解析IP地址进行的下一步连接行为。
在一些实施方式中,如图5所示,当恶意代码主动发起PING外联请求时,蜜罐网关外联欺骗模块返回PING成功响应包,进一步包括:
步骤501:恶意代码主动向外网IP或域名发送PING命令,发送ICMP请求包至蜜罐网关外联欺骗模块;
步骤502:蜜罐网关外联欺骗模块返回PING成功响应包,发送ICMP响应包至该恶意代码。
优选地,还包括:
步骤503(图5中未示出):相关联动的网络安全装置监测该恶意代码下一步攻击行为。
在一些实施方式中,如图6所示,当恶意代码主动发起HTTP URL外联请求时,蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码,进一步包括:
步骤601:恶意代码主动外联,发送HTTP URL请求至蜜罐网关外联欺骗模块;
步骤602:蜜罐网关外联欺骗模块判断URL外联请求是否包含文件名后缀,若无文件名后缀,则返回200状态码至该恶意代码,若有文件名后缀,则返回与该文件名后缀相同的虚假文件,进行HTTP URL欺骗应答。
优选地,还包括:
步骤603(图6中未示出):相关联动的网络安全装置监测该恶意代码下一步攻击行为。
综上,针对现有技术中为了保证网络安全装置的安全性而舍弃检测深度的问题,本发明解决了这一现状,达到了二者兼得的效果。针对现有技术中隔离网环境威胁检测因无法连接互联网而缺少网络通信数据包而影响检测效果的问题,本发明进行了解决,丰富了网络通信数据包。针对现有技术中,依赖人工进行恶意代码网络特征提取的问题,本发明进行了解决,为自动提取恶意代码网络通信解决了技术难题。
如图7和图8所示,本发明实施例还提供了一种基于恶意代码外联行为的欺骗防御装置所在设备和基于恶意代码外联行为的欺骗防御装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图7所示,为本发明实施例提供的基于恶意代码外联行为的欺骗防御装置所在设备的一种硬件结构图,除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图8所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。
如图8所示,本实施例提供的基于恶意代码外联行为的欺骗防御装置,包括:转发模块801和蜜罐网关外联欺骗模块802;其中,转发模块801用于将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块802的IP地址;蜜罐网关外联欺骗模块802用于接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作。优选地,欺骗防御装置还包括配置模块,配置模块用于对蜜罐网关外联欺骗模块802配置相应的IP地址。
在一些实施方式中,该装置用于实现如下操作中的一种或几种:
当恶意代码主动发起TCP外联请求时,蜜罐网关外联欺骗模块802应答TCP响应包,完成三次握手,欺骗该恶意代码发送携带真实攻击目的的首包;
当恶意代码主动发起DNS解析外联请求时,蜜罐网关外联欺骗模块802模拟DNS服务器,应答域名对应的解析IP地址;
当恶意代码主动发起PING外联请求时,蜜罐网关外联欺骗模块802返回PING成功响应包;
当恶意代码主动发起HTTP URL外联请求时,蜜罐网关外联欺骗模块802根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码。
在一些实施方式中,当恶意代码主动发起TCP外联请求时,蜜罐网关外联欺骗模块802应答TCP响应包,完成三次握手,进一步执行如下操作:
恶意代码发送真实SYN包至蜜罐网关外联欺骗模块802,进行第一次握手;
蜜罐网关外联欺骗模块802对恶意代码欺骗应答ACK包,进行第二次握手;
恶意代码发送SYN包至蜜罐网关外联欺骗模块802,进行第三次握手。
优选地,还包括执行如下操作:
相关联动的网络安全装置对该恶意代码在三次握手成功后发送的、携带真实攻击目的的首包进行检测。
在一些实施方式中,当恶意代码主动发起DNS解析外联请求时,蜜罐网关外联欺骗模块802模拟DNS服务器,应答域名对应的解析IP地址,进一步执行如此操作:
恶意代码请求DNS解析,发送DNS查询请求至蜜罐网关外联欺骗模块802,请求解析域名x;
蜜罐网关外联欺骗模块802进行本地域名解析库(简称本地库)查询,在本地库中查询域名x;若本地库有结果,即本地库中已存储被查询域名x与解析后的IP地址对应关系,则返回本地库中的解析IP地址至该恶意代码;若本地库无结果且蜜罐网关外联欺骗模块802可访问外网,则将本地库无查询结果的域名x发送至外网的真实DNS服务器,请求真实DNS服务器解析,并返回查询后的解析IP地址至该恶意代码;若本地库无结果且蜜罐网关外联欺骗模块802无法访问外网,则返回虚假的解析IP地址至该恶意代码。
优选地,还包括执行如下操作:
相关联动的网络安全装置监测该恶意代码在获取域名对应的解析IP地址后,对该解析IP地址进行的下一步连接行为。
在一些实施方式中,当恶意代码主动发起PING外联请求时,蜜罐网关外联欺骗模块802返回PING成功响应包,进一步执行如下操作:
恶意代码主动向外网IP或域名发送PING命令,发送ICMP请求包至蜜罐网关外联欺骗模块802;
蜜罐网关外联欺骗模块802返回PING成功响应包,发送ICMP响应包至该恶意代码。
优选地,还包括执行如下操作:
相关联动的网络安全装置监测该恶意代码下一步攻击行为。
在一些实施方式中,当恶意代码主动发起HTTP URL外联请求时,蜜罐网关外联欺骗模块802根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码,进一步执行如下操作:
恶意代码主动外联,发送HTTP URL请求至蜜罐网关外联欺骗模块802;
蜜罐网关外联欺骗模块802判断URL外联请求是否包含文件名后缀,若无文件名后缀,则返回200状态码至该恶意代码,若有文件名后缀,则返回与该文件名后缀相同的虚假文件,进行HTTP URL欺骗应答。
优选地,还包括执行如下操作:
相关联动的网络安全装置监测该恶意代码下一步攻击行为。
可以理解的是,本发明实施例示意的结构并不构成对基于恶意代码外联行为的欺骗防御装置的具体限定。在本发明的另一些实施例中,基于恶意代码外联行为的欺骗防御装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
图9至图11示出了本发明的几种典型应用场景。如图9所示,将本发明提供的欺骗防御装置应用于蜜罐产品时,该欺骗防御装置可设置在蜜罐产品内,在攻击蜜罐资产时,将蜜罐服务外联流量和请求指向欺骗防御装置,由欺骗防御装置提供交互进行欺骗应答,能够增强蜜罐的真实度,激发攻击者(即恶意代码)对其进行深度的攻击,获取更多威胁行为。
如图10所示,将本发明提供的欺骗防御装置应用于沙箱产品时,对沙箱产品输入样本和恶意样本(包含恶意代码),阻断沙箱产品与互联网连接,将样本运行外联请求定向到欺骗防御装置。欺骗防御装置具备智能交互能力,能够提供DNS、TCP、URL响应和交互能力等,能够响应恶意样本(中的恶意代码)运行后发起的请求,并进行相应的响应。沙箱产品输出样本运行产出PCAP,上线包、指令包,指令特征、家族特征、恶意域名和恶意IP等。针对用户网络为隔离网或者非隔离网场景,使用沙箱产品与欺骗防御装置结合,均能够激发更多的通信数据包,通过对通信数据包进行处理,提取出网络特征、指令特征、恶意ip域名等信息,该情报可提供其他网络安全设备,以供威胁检测。
如图11所示,将本发明提供的欺骗防御装置应用于隔离网流量检测场景时,流量检测产品部署在隔离网络出口处,接入的是隔离网所有资产对内及对外的镜像流量,包括隔离网外发流量与欺骗防御装置进行交互的流量,流量检测产品能够对接入的所有流量进行检测,及时发现网络威胁。在隔离网场景中,由于外联被切断导致恶意代码行为无法正常激发进而影响恶意代码检测。通过欺骗防御装置构造相关服务和c2服务对内部主机外联进行欺骗响应,激发通信数据从而进行检测,此方式可以更多更准地发现网络中的失陷主机,输出威胁事件、类型。
综上,蜜罐产品应用本发明后,既可以保证蜜罐产品的安全性也可以捕获与传统技术方法相比更多的威胁事件。沙箱产品应用本发明后,既可以保证沙箱产品的安全性也可以激发恶意代码更丰富的网络行为,为恶意代码分析输出更深入的分析报告。隔离网场景下的流量检测应用本发明后,可以有效的提升检测效率,检出更多传统方式下无法检出的网络威胁事件。恶意代码提取网络特征的场景应用本发明后,可以有效的提升网络特征的提取效率,实现由人工提取过渡至自动化提取的高效提取能力。本发明能够有效提升蜜罐产品、沙箱检测产品的分析能力与安全性,有效提升隔离网环境下威胁检测能力,有效激发恶意样本网络数据包,大幅提高了家族自动化网络特征提取效率,为网络威胁pcap包的持续供给提供大量的测试用例,形成网络核心对抗能力技术壁垒。
本发明实施例还提供了一种电子设备,包括:至少一个存储器和至少一个处理器;
至少一个存储器,用于存储机器可读程序;
至少一个处理器,用于调用机器可读程序,执行本发明任一实施例中的基于恶意代码外联行为的欺骗防御方法。
本发明实施例还提供了一种计算机可读介质,存储用于使任一计算机执行如本文的基于恶意代码外联行为的欺骗防御方法的指令。具体地,可以提供配有存储介质的方法或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该方法或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作方法等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展单元中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展单元上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修复,或者对其中部分技术特征进行等同替换;而这些修复或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (4)
1.一种基于恶意代码外联行为的欺骗防御方法,其特征在于,包括如下步骤:
将网络安全装置的外联网络流量转发至蜜罐网关外联欺骗模块的IP地址;
令所述蜜罐网关外联欺骗模块接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作;
其中,所述模拟联网环境响应恶意代码的主动外联行为,包括:
当恶意代码主动发起TCP外联请求时,所述蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手,包括:
恶意代码发送真实SYN包至所述蜜罐网关外联欺骗模块,进行第一次握手;
所述蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包,进行第二次握手;
恶意代码发送SYN包至所述蜜罐网关外联欺骗模块,进行第三次握手;
相关联动的网络安全装置对该恶意代码在三次握手成功后发送的、携带真实攻击目的的首包进行检测;
当恶意代码主动发起DNS解析外联请求时,所述蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址,包括:
恶意代码请求DNS解析,发送DNS查询请求至所述蜜罐网关外联欺骗模块,请求解析域名;
所述蜜罐网关外联欺骗模块在本地库中查询域名;若本地库中已存储被查询域名与解析后的IP地址对应关系,则返回本地库中的解析IP地址至该恶意代码;若本地库无结果且所述蜜罐网关外联欺骗模块可访问外网,则将本地库无查询结果的域名发送至外网的真实DNS服务器,请求真实DNS服务器解析,并返回查询后的解析IP地址至该恶意代码;若本地库无结果且所述蜜罐网关外联欺骗模块无法访问外网,则返回虚假的解析IP地址;
相关联动的网络安全装置监测该恶意代码在获取域名对应的解析IP地址后,对该解析IP地址进行的下一步连接行为;
当恶意代码主动发起PING外联请求时,所述蜜罐网关外联欺骗模块返回PING成功响应包,包括:
恶意代码主动向外网IP或域名发送PING命令,发送ICMP请求包至所述蜜罐网关外联欺骗模块;
所述蜜罐网关外联欺骗模块返回PING成功响应包,发送ICMP响应包至该恶意代码;
相关联动的网络安全装置监测该恶意代码下一步攻击行为;
当恶意代码主动发起HTTP URL外联请求时,所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码,包括:
恶意代码主动外联,发送HTTP URL请求至所述蜜罐网关外联欺骗模块;
所述蜜罐网关外联欺骗模块判断URL外联请求是否包含文件名后缀,若无文件名后缀,则返回200状态码至该恶意代码,若有文件名后缀,则返回与该文件名后缀相同的虚假文件,进行HTTP URL欺骗应答;
相关联动的网络安全装置监测该恶意代码下一步攻击行为。
2.一种基于恶意代码外联行为的欺骗防御装置,其特征在于,包括:
转发模块和蜜罐网关外联欺骗模块;其中,
所述转发模块用于将网络安全装置的外联网络流量转发至所述蜜罐网关外联欺骗模块的IP地址;
所述蜜罐网关外联欺骗模块用于接收恶意代码主动发起的外联请求,模拟联网环境响应恶意代码的主动外联行为,欺骗该恶意代码执行下一步动作;
当恶意代码主动发起TCP外联请求时,所述蜜罐网关外联欺骗模块应答TCP响应包,完成三次握手,包括执行如下操作:
恶意代码发送真实SYN包至蜜罐网关外联欺骗模块,进行第一次握手;
蜜罐网关外联欺骗模块对恶意代码欺骗应答ACK包,进行第二次握手;
恶意代码发送SYN包至蜜罐网关外联欺骗模块,进行第三次握手;
相关联动的网络安全装置对该恶意代码在三次握手成功后发送的、携带真实攻击目的的首包进行检测;
当恶意代码主动发起DNS解析外联请求时,所述蜜罐网关外联欺骗模块模拟DNS服务器,应答域名对应的解析IP地址,包括执行如下操作:
恶意代码请求DNS解析,发送DNS查询请求至蜜罐网关外联欺骗模块,请求解析域名x;
蜜罐网关外联欺骗模块进行本地域名解析库查询,在本地库中查询域名x;若本地库有结果,即本地库中已存储被查询域名x与解析后的IP地址对应关系,则返回本地库中的解析IP地址至该恶意代码;若本地库无结果且蜜罐网关外联欺骗模块可访问外网,则将本地库无查询结果的域名x发送至外网的真实DNS服务器,请求真实DNS服务器解析,并返回查询后的解析IP地址至该恶意代码;若本地库无结果且蜜罐网关外联欺骗模块无法访问外网,则返回虚假的解析IP地址至该恶意代码;
相关联动的网络安全装置监测该恶意代码在获取域名对应的解析IP地址后,对该解析IP地址进行的下一步连接行为;
当恶意代码主动发起PING外联请求时,所述蜜罐网关外联欺骗模块返回PING成功响应包,包括执行如下操作:
恶意代码主动向外网IP或域名发送PING命令,发送ICMP请求包至蜜罐网关外联欺骗模块;
蜜罐网关外联欺骗模块返回PING成功响应包,发送ICMP响应包至该恶意代码;
相关联动的网络安全装置监测该恶意代码下一步攻击行为;
当恶意代码主动发起HTTP URL外联请求时,所述蜜罐网关外联欺骗模块根据URL外联请求是否包含文件名后缀返回后缀相同的虚假文件或200状态码,包括执行如下操作:
恶意代码主动外联,发送HTTP URL请求至蜜罐网关外联欺骗模块;
蜜罐网关外联欺骗模块判断URL外联请求是否包含文件名后缀,若无文件名后缀,则返回200状态码至该恶意代码,若有文件名后缀,则返回与该文件名后缀相同的虚假文件,进行HTTP URL欺骗应答;
相关联动的网络安全装置监测该恶意代码下一步攻击行为。
3.一种电子设备,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1所述的方法。
4.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110556307.XA CN113179280B (zh) | 2021-05-21 | 2021-05-21 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110556307.XA CN113179280B (zh) | 2021-05-21 | 2021-05-21 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113179280A CN113179280A (zh) | 2021-07-27 |
| CN113179280B true CN113179280B (zh) | 2022-11-22 |
Family
ID=76929772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110556307.XA Active CN113179280B (zh) | 2021-05-21 | 2021-05-21 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113179280B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115913597A (zh) * | 2021-09-30 | 2023-04-04 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
| CN113938305B (zh) * | 2021-10-18 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种非法外联的判定方法、系统及装置 |
| CN114629714B (zh) * | 2022-03-29 | 2023-08-04 | 济南大学 | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 |
| CN116155549B (zh) * | 2022-12-23 | 2023-12-29 | 武汉雨滴科技有限公司 | 终端外联检测方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN111756742A (zh) * | 2020-06-24 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种蜜罐欺骗防御系统及其欺骗防御方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106685953A (zh) * | 2016-12-27 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于安全基线样本机的未知文件检测系统及方法 |
| CN109327451B (zh) * | 2018-10-30 | 2021-07-06 | 深信服科技股份有限公司 | 一种防御文件上传验证绕过的方法、系统、装置及介质 |
| US11831420B2 (en) * | 2019-11-18 | 2023-11-28 | F5, Inc. | Network application firewall |
-
2021
- 2021-05-21 CN CN202110556307.XA patent/CN113179280B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961414A (zh) * | 2016-01-12 | 2017-07-18 | 阿里巴巴集团控股有限公司 | 一种基于蜜罐的数据处理方法、装置及系统 |
| CN111756742A (zh) * | 2020-06-24 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种蜜罐欺骗防御系统及其欺骗防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113179280A (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| Lam et al. | Puppetnets: Misusing web browsers as a distributed attack infrastructure | |
| CN111756712A (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN113422774B (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
| CN111526132B (zh) | 攻击转移方法、装置、设备及计算机可读存储介质 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN114826663B (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| WO2014048746A1 (en) | Device, system and method for reducing attacks on dns | |
| CN113422779A (zh) | 一种基于集中管控的积极的安全防御的系统 | |
| CN114244801A (zh) | 一种基于政企网关的防arp欺骗方法及系统 | |
| CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| US8001243B2 (en) | Distributed denial of service deterrence using outbound packet rewriting | |
| CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| CN114629714B (zh) | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No. B726, 7th Floor, Block B, Famous Industrial Products Exhibition and Purchasing Center, Baoyuan Road, Xixiang Street, Shenzhen City, Guangdong Province, 518102 Applicant after: Shenzhen Antan Network Security Technology Co.,Ltd. Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No. Applicant before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |