CN113411314B - 引诱攻击者访问蜜罐系统的方法、装置和电子装置 - Google Patents
引诱攻击者访问蜜罐系统的方法、装置和电子装置 Download PDFInfo
- Publication number
- CN113411314B CN113411314B CN202110576717.0A CN202110576717A CN113411314B CN 113411314 B CN113411314 B CN 113411314B CN 202110576717 A CN202110576717 A CN 202110576717A CN 113411314 B CN113411314 B CN 113411314B
- Authority
- CN
- China
- Prior art keywords
- file
- attacker
- honeypot
- access
- credential
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种引诱攻击者访问蜜罐系统的方法、装置、电子装置和存储介质,其中,该引诱攻击者访问蜜罐系统的方法包括:拦截用于扫描文件的系统API的调用事件;在确定调用所述系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的所述系统API;其中,所述诱饵文件中包含访问所述蜜罐系统的凭据。通过本申请,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题,并且可以利用蜜罐系统进一步收集攻击者的情报。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种引诱攻击者访问蜜罐系统的方法、装置、电子装置和存储介质。
背景技术
凭据包括系统或服务的登陆账号密码、特定服务访问的key码和用于数据加密解密的密钥等。很多系统会将一些访问凭据存储在文件中,甚至明文存储。这些文件可以是用户创建的用于存储自己的凭据的文件、一组用户的共享凭据文件、包含系统或服务密码的配置文件,或包含嵌入密码的源代码文件等。文件中的凭据可能被攻击者扫描出并恶意使用,例如,攻击者可以根据扫描出的合法凭据访问用户系统或服务,危害极大。
针对攻击者扫描凭据文件的行为导致的系统安全问题,目前还没有提出有效的防御手段。
发明内容
在本实施例中提供了一种引诱攻击者访问蜜罐的方法、装置、系统、电子装置和存储介质,以解决攻击者扫描凭据文件的行为导致的系统安全问题。
第一个方面,在本实施例中提供了一种引诱攻击者访问蜜罐系统的方法,该方法包括:
拦截用于扫描文件的系统API的调用事件;
在确定调用所述系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的所述系统API;其中,所述诱饵文件中包含访问所述蜜罐系统的凭据。
在其中的一些实施例中,所述将诱饵文件的文件地址返回给被调用的所述系统API,包括:
提取所述进程的命令行参数;
判断所述命令行参数中是否包含预设的凭据关键词;
若是,将第一诱饵文件的文件地址返回给被调用的所述系统API,所述第一诱饵文件是根据所述命令行参数包含的所述凭据关键词生成的所述诱饵文件;
若否,将第二诱饵文件的文件地址返回给被调用的所述系统API,所述第二诱饵文件是根据预设的默认凭据关键词生成的所述诱饵文件。
在其中的一些实施例中,,在所述拦截用于扫描文件的系统API的调用事件后,所述方法还包括:
提取所述进程的进程路径;
判断所述进程路径是否在预设的合法进程集合中;
若是,则确定所述进程为合法进程,若否,则确定所述进程为非法进程。
在其中的一些实施例中,通过对用于扫描文件的所述系统API进行全局挂接来拦截用于扫描文件的所述系统API的所述调用事件。
在其中的一些实施例中,在确定所述进程为非法进程的情况下,所述方法还包括:
将所述凭据发送给所述蜜罐系统,并将所述凭据作为所述蜜罐系统的合法凭据。
在其中的一些实施例中,所述诱饵文件还包括所述蜜罐系统的地址和端口号。
在其中的一些实施例中,在确定所述进程为非法进程的情况下,所述方法还包括:
将进程信息、诱饵文件信息、以及蜜罐系统信息展示给用户。
第二个方面,在本实施例中提供了一种引诱攻击者访问蜜罐系统的装置,该装置包括拦截模块和引诱模块;
所述拦截模块用于拦截用于扫描文件的系统API的调用事件;
所述引诱模块用于在确定调用所述系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的所述系统API;其中,所述诱饵文件中包含访问所述蜜罐系统的凭据。
第三个方面,在本实施例中提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一个方面所述的引诱攻击者访问蜜罐的方法。
第四个方面,在本实施例中提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一个方面所述的引诱攻击者访问蜜罐的方法。
与相关技术相比,本申请提供的引诱攻击者访问蜜罐的方法、装置、系统、电子装置和存储介质,其中引诱攻击者访问蜜罐的方法通过利用攻击者扫描文件的行为引诱攻击者访问蜜罐系统,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为执行本申请实施例提供的引诱攻击者访问蜜罐系统的方法的终端的硬件结构框图;
图2为其中一个实施例提供的引诱攻击者访问蜜罐系统的方法的流程图;
图3为其中另一个实施例提供的引诱攻击者访问蜜罐系统的方法的流程图;
图4为本申请优选实施例提供的引诱攻击者访问蜜罐系统的方法的流程图;
图5为其中一个实施例提供的引诱攻击者访问蜜罐系统的装置的结构框图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等,只是对相似对象进行区分,并不代表针对对象的特定排序。
在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行,图1是本实施例的引诱攻击者访问蜜罐系统的方法的终端的硬件结构框图。如图1所示,终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104,其中,处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述终端的结构造成限制。例如,终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示出的不同配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如在本实施例中的引诱攻击者访问蜜罐系统的方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据,比如,向蜜罐系统发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(RadioFrequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
输入输出设备108用于实现用户与终端的交互,比如,终端通过输入输出设备108接收用户的配置。
针对攻击者扫描凭据文件的行为导致的系统安全问题,本申请提供了一种基于蜜罐技术的防御手段,具体地,提供了一种引诱攻击者访问蜜罐系统的方法,利用攻击者扫描文件的行为来引诱攻击者访问蜜罐系统。
蜜罐技术指的是在网络安全中利用蜜罐系统收集攻击者的情报的一种技术。蜜罐系统是一个模拟真实工作系统的虚假系统,它在系统或网络中故意设置漏洞,诱使攻击者对其进行攻击,从而收集攻击者的相关信息,例如攻击者的攻击方式和手段,防御方可通过分析这些相关信息来加强自身系统的防御。
在本实施例中提供了一种引诱攻击者访问蜜罐系统的方法,图2是本实施例的引诱攻击者访问蜜罐系统的方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,拦截用于扫描文件的系统API的调用事件。
步骤S202,在确定调用所述系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的系统API;其中,诱饵文件中包含访问蜜罐系统的凭据。
本实施例采用了API Hook技术,API Hook指的是对系统API(ApplicationProgramming Interface,应用程序接口)的调用进行拦截(Hook),可以改变系统API执行结果。攻击者扫描系统内的凭据文件时,会调用用于扫描文件的系统API,例如,Windows系统下用于获得指定目录的第一个文件的FindFirstFile函数和用于遍历目录文件的FindNextFile函数。
拦截系统API的调用事件可以提取调用该系统API的进程的进程路径,通过进程路径可以判断该进程是否合法。具体地,可以预先设置一个合法进程集合,将合法的扫描进程添加到合法进程集合中。拦截到调用事件后,判断调用系统API的进程路径是否在预设的合法进程集合中,若是,则确定该进程为合法进程,若否,则确定该进程为非法进程。当确定该进程为非法进程时,该进程可能是扫描文件内凭据的恶意进程,此时将诱饵文件的文件地址返回给被调用的系统API。具体地,可以将诱饵文件的文件地址添加到被调用的系统API的结果中。其中,诱饵文件是伪造的凭据文件,其中包含访问蜜罐系统的凭据,通过将诱饵文件返回给被调用的用于扫描文件的系统API,引诱攻击者扫描诱饵文件,获得蜜罐系统的凭据,以此来引诱攻击者访问蜜罐系统。通过蜜罐系统进一步收集攻击者的攻击数据,收集的攻击数据可以作为威胁情报或者用于行为智能分析。
需要说明的是,上述蜜罐系统可以是一个独立服务器,也可以是当前系统中的一个docker容器,其形式没有具体限制。并且,蜜罐系统的数量也不作限制,可以是一个,也可以是多个,不同蜜罐系统可以关联不同的凭据内容。
本实施例提供的引诱攻击者访问蜜罐系统的方法,利用攻击者扫描文件的行为引诱攻击者访问蜜罐系统,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题,并且可以利用蜜罐系统进一步收集攻击者的情报。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的方法,图3是本实施例的引诱攻击者访问蜜罐系统的方法的流程图,如图3所示,该流程包括如下步骤:
步骤S301,拦截用于扫描文件的系统API的调用事件。
步骤S302,在确定调用系统API的进程为非法进程的情况下,提取进程的命令行参数;
步骤S303,判断命令行参数中是否包含预设的凭据关键词,若是,执行步骤S304,若否,执行步骤S305。
步骤S304为:将第一诱饵文件的文件地址返回给被调用的系统API,第一诱饵文件是根据命令行参数包含的凭据关键词生成的诱饵文件;
步骤S305为:将第二诱饵文件的文件地址返回给被调用的系统API,第二诱饵文件是根据预设的默认凭据关键词生成的诱饵文件。
其中,诱饵文件中包含访问蜜罐系统的凭据。
具体地,凭据关键词可以是password、pass、pwd、login、secure、key、credential等通常用来为凭据命名的词。
具体地,诱饵文件可以包含如下所示的内容:
Server:192.168.2.3
Port:22
User:admin
Password:qwe123321
或者如下所示的内容:
Server:192.168.2.3
Port:22
key:qwersdfasfo
其中,Server表示蜜罐系统的地址,Port表示蜜罐系统的访问端口,User表示蜜罐系统的访问账号,Password表示蜜罐系统的访问凭据,即访问账号的密码,key表示访问蜜罐系统的密钥。可选地,诱饵文件除了包含蜜罐系统的凭据内容,还可以包含一些无关内容。
本实施例提供的引诱攻击者访问蜜罐系统的方法,先判断扫描文件行为是否指定了关键词,如果有关键词,则将包含指定的关键词的诱饵文件返回给系统API;如果没有关键词,则按照默认的凭据关键词生成诱饵文件,比如,可以默认凭据关键词可以是password。
具体地,诱饵文件可以是提前准备好的,也可以是针对每次检测到的非法扫描进程生成的。例如,在检测到命令行参数中是否包含预设的凭据关键词后,根据包含的凭据关键词生成诱饵文件,若没有检测到预设的凭据关键词,则根据默认凭据关键词生成诱饵文件。
本实施例提供的引诱攻击者访问蜜罐系统的方法,利用攻击者扫描文件的行为引诱攻击者访问蜜罐系统,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题,并且可以利用蜜罐系统进一步收集攻击者的情报。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的方法,该方法通过对用于扫描文件的系统API进行全局挂接来拦截这些系统API的调用事件。在对用于扫描文件的系统API全局挂接的情况下,系统内任何调用相应的系统API的行为都将被拦截。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的方法,该方法在确定进程为非法进程的情况下,还包括将诱饵文件中的凭据发送给相应的蜜罐系统,并将该凭据作为蜜罐系统的合法凭据。在这种情况下,蜜罐系统在检测到非法扫描进程后,将诱饵文件中的包含的凭据作为自身的合法凭据,当攻击者使用该凭据访问时,会对其放行,使攻击者可以通过该凭据访问蜜罐系统。攻击者进入蜜罐系统后,可以利用蜜罐系统可以记录攻击者后续的所有操作,以此分析攻击者的行为。
也可以预先设置好蜜罐系统的凭据,然后根据蜜罐系统预设的凭据生成诱饵文件。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的方法,该方法在确定进程为非法进程的情况下,还包括:将进程信息、诱饵文件信息、以及蜜罐系统信息展示给用户。
其中,进程信息可以包括该进程扫描的文件地址和该进程的进程路径。具体地,从进程调用的与扫描系统相关的系统API的参数中可以获取进程正在扫描的文件地址。诱饵文件信息可以包括该诱饵文件的文件地址和该诱饵文件中包含的凭据内容。蜜罐系统信息可以包括凭据关联的蜜罐系统的地址。
下面通过优选实施例对本实施例进行描述和说明。图4是本优选实施例的引诱攻击者访问蜜罐系统的方法的流程图。如图4所示,该流程包括如下步骤:
步骤S401,对用于扫描文件的系统API进行全局挂接。
步骤S402,当拦截到系统API的调用事件时,提取调用系统API的进程路径。
步骤S403,判断进程路径是否在合法进程集合中,若是,则结束检测,若否,则执行步骤S404。
步骤S404,提取进程的命令行参数,并判断命令行参数是否包含预设的凭据关键词,若是,则执行步骤S405,若否,则执行步骤S406。
步骤S405为:根据命令行参数包含的凭据关键词生成第一诱饵文件。
步骤S406为:根据预设的默认凭据关键词生成第二诱饵文件。
步骤S407:将诱饵文件的文件地址返回给被调用的系统API。
步骤S408:将诱饵文件的文件地址,伪造的凭据内容,伪造凭据关联的蜜罐系统展示给用户。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。例如,步骤S407和步骤S408可以互换。
优选地,上述步骤可以分别通过防护终端和防护中心来执行,其中,防护终端用于执行步骤S401、S402、S403、S405、S406和S407。防护中心还用于执行步骤S408。防护中心还用于配置上述合法进程集合和凭据关键词。
本实施例提供的引诱攻击者访问蜜罐系统的方法,利用攻击者扫描文件的行为引诱攻击者访问蜜罐系统,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题,并且可以利用蜜罐系统进一步收集攻击者的情报。
在本实施例中还提供了一种引诱攻击者访问蜜罐系统的装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是本实施例的引诱攻击者访问蜜罐系统的装置的结构框图,如图5所示,该装置包括:包括拦截模块10和引诱模块20;
其中,拦截模块10用于拦截用于扫描文件的系统API的调用事件;
引诱模块20用于在确定调用系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的系统API;其中,诱饵文件中包含访问蜜罐系统的凭据。
本实施例提供的引诱攻击者访问蜜罐系统的装置,利用攻击者扫描文件的行为引诱攻击者访问蜜罐系统,可以防止攻击者扫描到真实的文件内凭据,解决了攻击者扫描凭据文件的行为导致的系统安全问题,并且可以利用蜜罐系统进一步收集攻击者的情报。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的装置,该装置在上述实施例的基础上,其中,将诱饵文件的文件地址返回给被调用的系统API的过程包括:
步骤S501,提取进程的命令行参数;
步骤S502,判断命令行参数中是否包含预设的凭据关键词,若是,执行步骤S503,若否,执行步骤S504。
S505:将第一诱饵文件的文件地址返回给被调用的系统API,第一诱饵文件是根据命令行参数包含的凭据关键词生成的诱饵文件;
S506:将第二诱饵文件的文件地址返回给被调用的系统API,第二诱饵文件是根据预设的默认凭据关键词生成的诱饵文件。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的装置,该装置在上述实施例的基础上,还包括检测模块,该检测模块用于在拦截模块10拦截用于扫描文件的系统API的调用事件后,执行以下步骤:
步骤S601,提取所进程的进程路径;
步骤S602,判断进程路径是否在预设的合法进程集合中,若是,则确定所述进程为合法进程,若否,则确定所述进程为非法进程。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的装置,该装置在上述实施例的基础上,还包括蜜罐交互模块,该蜜罐交互模块用于将诱饵文件包含的凭据发送给蜜罐系统。
在其中的一些实施例中,提供了一种引诱攻击者访问蜜罐系统的装置,该装置在上述实施例的基础上,还包括告警模块,该告警模块用于在确定进程为非法进程的情况下,将进程信息、诱饵文件信息、以及蜜罐系统信息展示给用户。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
在本实施例中还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项引诱攻击者访问蜜罐系统的方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
优选地,上述处理器用于执行以下步骤:
步骤S401,对用于扫描文件的系统API进行全局挂接。
步骤S402,当拦截到系统API的调用事件时,提取调用系统API的进程路径。
步骤S403,判断进程路径是否在合法进程集合中,若是,则结束检测,若否,则执行步骤S404。
S404,提取进程的命令行参数,并判断命令行参数是否包含预设的凭据关键词。若是,则执行步骤S405,若否,则执行步骤S406。
S405:根据命令行参数包含的凭据关键词生成第一诱饵文件。
S406:根据预设的默认凭据关键词生成第二诱饵文件。
步骤S407:将诱饵文件的文件地址返回给被调用的系统API。
步骤S408:将诱饵文件的文件地址,伪造的凭据内容,伪造凭据关联的蜜罐系统展示给用户。
需要说明的是,在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,在本实施例中不再赘述。
此外,结合上述实施例中提供的引诱攻击者访问蜜罐系统的方法,在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序;该计算机程序被处理器执行时实现上述实施例中的任意一种引诱攻击者访问蜜罐系统的方法。
本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
应该明白的是,这里描述的具体实施例只是用来解释这个应用,而不是用来对它进行限定。根据本申请提供的实施例,本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例,均属本申请保护范围。
显然,附图只是本申请的一些例子或实施例,对本领域的普通技术人员来说,也可以根据这些附图将本申请适用于其他类似情况,但无需付出创造性劳动。另外,可以理解的是,尽管在此开发过程中所做的工作可能是复杂和漫长的,但是,对于本领域的普通技术人员来说,根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段,不应被视为本申请公开的内容不足。
“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例,也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是,本申请中描述的实施例在没有冲突的情况下,可以与其它实施例结合。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对专利保护范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (9)
1.一种引诱攻击者访问蜜罐系统的方法,其特征在于,包括:
拦截用于扫描文件的系统API的调用事件;
在确定调用所述系统API的进程为非法进程的情况下,将诱饵文件的文件地址返回给被调用的所述系统API;其中,所述诱饵文件中包含访问所述蜜罐系统的凭据;
其中,所述将诱饵文件的文件地址返回给被调用的所述系统API,包括:
提取所述进程的命令行参数;
判断所述命令行参数中是否包含预设的凭据关键词;
若是,将第一诱饵文件的文件地址返回给被调用的所述系统API,所述第一诱饵文件是根据所述命令行参数包含的所述凭据关键词生成的所述诱饵文件;
若否,将第二诱饵文件的文件地址返回给被调用的所述系统API,所述第二诱饵文件是根据预设的默认凭据关键词生成的所述诱饵文件。
2.根据权利要求1所述的方法,其特征在于,在所述拦截用于扫描文件的系统API的调用事件后,所述方法还包括:
提取所述进程的进程路径;
判断所述进程路径是否在预设的合法进程集合中;
若是,则确定所述进程为合法进程,若否,则确定所述进程为非法进程。
3.根据权利要求1所述的方法,其特征在于,通过对用于扫描文件的所述系统API进行全局挂接来拦截用于扫描文件的所述系统API的所述调用事件。
4.根据权利要求1所述的方法,其特征在于,在确定所述进程为非法进程的情况下,所述方法还包括:
将所述凭据发送给所述蜜罐系统,并将所述凭据作为所述蜜罐系统的合法凭据。
5.根据权利要求1所述的方法,其特征在于,所述诱饵文件还包括所述蜜罐系统的地址和端口号。
6.根据权利要求1至5任一项所述的方法,其特征在于,在确定所述进程为非法进程的情况下,所述方法还包括:
将进程信息、诱饵文件信息、以及蜜罐系统信息展示给用户。
7.一种引诱攻击者访问蜜罐系统的装置,其特征在于,包括拦截模块和引诱模块;
所述拦截模块用于拦截用于扫描文件的系统API的调用事件;
所述引诱模块用于在确定调用所述系统API的进程为非法进程的情况下,提取所述进程的命令行参数;判断所述命令行参数中是否包含预设的凭据关键词;若是,将第一诱饵文件的文件地址返回给被调用的所述系统API,所述第一诱饵文件是根据所述命令行参数包含的所述凭据关键词生成的诱饵文件;若否,将第二诱饵文件的文件地址返回给被调用的所述系统API,所述第二诱饵文件是根据预设的默认凭据关键词生成的诱饵文件;其中,所述诱饵文件中包含访问所述蜜罐系统的凭据。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110576717.0A CN113411314B (zh) | 2021-05-26 | 2021-05-26 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110576717.0A CN113411314B (zh) | 2021-05-26 | 2021-05-26 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113411314A CN113411314A (zh) | 2021-09-17 |
| CN113411314B true CN113411314B (zh) | 2022-10-21 |
Family
ID=77675108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110576717.0A Active CN113411314B (zh) | 2021-05-26 | 2021-05-26 | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411314B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113572793B (zh) * | 2021-09-26 | 2021-12-21 | 苏州浪潮智能科技有限公司 | 访问请求捕获方法、装置、计算机设备和存储介质 |
| CN114025357B (zh) * | 2021-11-04 | 2024-02-02 | 中国工商银行股份有限公司 | Wi-Fi近源攻击捕获方法及装置、设备、介质和程序产品 |
| CN114553524B (zh) * | 2022-02-21 | 2023-10-10 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009829B2 (en) * | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
| US10225284B1 (en) * | 2015-11-25 | 2019-03-05 | Symantec Corporation | Techniques of obfuscation for enterprise data center services |
| US11695800B2 (en) * | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US10528733B2 (en) * | 2017-08-31 | 2020-01-07 | International Business Machines Corporation | Integrity, theft protection and cyber deception using a deception-based filesystem |
| US10574698B1 (en) * | 2017-09-01 | 2020-02-25 | Amazon Technologies, Inc. | Configuration and deployment of decoy content over a network |
| US20190190952A1 (en) * | 2017-12-20 | 2019-06-20 | Mercy Health | Systems and methods for detecting a cyberattack on a device on a computer network |
| CN108156163A (zh) * | 2017-12-28 | 2018-06-12 | 广州锦行网络科技有限公司 | 基于蜜罐技术的多维欺骗诱饵实现系统及方法 |
| US10855722B1 (en) * | 2018-03-29 | 2020-12-01 | Ca, Inc. | Deception service for email attacks |
| US10873601B1 (en) * | 2018-08-28 | 2020-12-22 | Amazon Technologies, Inc. | Decoy network-based service for deceiving attackers |
| CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
| CN112242974A (zh) * | 2019-07-16 | 2021-01-19 | 中国移动通信集团浙江有限公司 | 基于行为的攻击检测方法、装置、计算设备及存储介质 |
| CN112134868A (zh) * | 2020-09-16 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种基于rdp磁盘映射的攻击反制方法及系统 |
-
2021
- 2021-05-26 CN CN202110576717.0A patent/CN113411314B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113411314A (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113411314B (zh) | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| US9973531B1 (en) | Shellcode detection | |
| US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| US9124617B2 (en) | Social network protection system | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| CN112615863A (zh) | 反制攻击主机的方法、装置、服务器及存储介质 | |
| CN115277068A (zh) | 一种基于欺骗防御的新型蜜罐系统及方法 | |
| US11665188B1 (en) | System and method for scanning remote services to locate stored objects with malware | |
| CN112434304A (zh) | 防御网络攻击的方法、服务器及计算机可读存储介质 | |
| CN116471121A (zh) | 安全防御方法、网关代理设备及存储介质 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| CN115022077B (zh) | 网络威胁防护方法、系统及计算机可读存储介质 | |
| US11924228B2 (en) | Messaging server credentials exfiltration based malware threat assessment and mitigation | |
| CN107231365A (zh) | 一种取证的方法及服务器以及防火墙 | |
| JP2013069016A (ja) | 情報漏洩防止装置及び制限情報生成装置 | |
| US20220337488A1 (en) | Network device type classification | |
| CN115189951A (zh) | 伪服务仿真检测攻击渗透方法、装置和计算机设备 | |
| CN113536307A (zh) | 凭据扫描进程的识别方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |