CN113472819B - 基于指纹特征的蜜罐探测识别方法及装置 - Google Patents
基于指纹特征的蜜罐探测识别方法及装置 Download PDFInfo
- Publication number
- CN113472819B CN113472819B CN202111030434.2A CN202111030434A CN113472819B CN 113472819 B CN113472819 B CN 113472819B CN 202111030434 A CN202111030434 A CN 202111030434A CN 113472819 B CN113472819 B CN 113472819B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- port
- similarity
- target
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提供一种基于指纹特征的蜜罐探测识别方法及装置,方法包括:获取待识别目标;当目标在线且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,将探测到的目标中开放的端口数量与预设的数量阈值进行比较;若大于,则对目标的第一相似度赋予非零值;若小于或等于,则对目标的第一相似度赋予零值;根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;将各返还字符串分别与蜜罐指定分类库中的各特异性指纹特征进行对比;若可匹配成功,则获得目标的特异性指纹相似度和其对应的蜜罐种类的标签;根据各步骤的输出结果综合确定目标的蜜罐种类。该方法可识别蜜罐种类多且识别效率高。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于指纹特征的蜜罐探测识别方法及装置。
背景技术
当前,蜜罐(Honeypot)部署技术和反蜜罐技术均已经较为完善且仍在不断地进步,而蜜罐探测识别技术却发展缓慢。
国外自21世纪初便提出了反蜜罐技术(anti-honeypot),旨在发现或破坏处在安全系统中的、起保护防御作用的蜜罐。2004年, NEAL KRAWETZ在IEEE会议上提出了蜜罐猎杀者(honeypot hunter)。自此,人们才开始讨论和研究蜜罐探测识别技术在蜜罐部署应用中所起到的作用,以及研究如何对抗安全防护系统的新方法。国内也从2005年开始逐渐引用蜜罐探测识别这一概念,并加以研究。然而,在10多年时间里,蜜罐探测识别技术的发展缓慢,也并无太多科学研究。
而目前少有的蜜罐识别技术,多是基于网络流量时延、如IP地址信息的蜜罐外部常见特征以及蜜罐内部的linux命令仿真性等来判定识别蜜罐,识别成功率通常较低,且其对于隐蔽性强、仿真性高的蜜罐无法有效识别。此外,现有蜜罐识别技术大多仅能针对单一种类蜜罐进行识别,可识别类型单一、通用性差。
发明内容
本发明提供一种基于指纹特征的蜜罐探测识别方法及装置,用以克服蜜罐识别技术缺少发展且现有技术中蜜罐识别技术可识别类型单一、通用性差等的缺陷,实现高效探测识别蜜罐,且其可探测蜜罐种类明显增多。
本发明提供一种基于指纹特征的蜜罐探测识别方法,包括:
获取待识别目标,目标中开放有若干个端口;
当目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测目标中开放的端口数量;
将开放的端口数量与预设的数量阈值进行比较;
若开放的端口数量大于数量阈值,则对目标的第一相似度赋予非零值;若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值;
根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;
若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定目标的蜜罐种类。
本发明还提供一种基于指纹特征的蜜罐探测识别装置,包括:
获取模块,用于获取待识别目标,目标中开放有若干个端口;
端口探测模块,用于当目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测目标中开放的端口数量;
数量比较模块,用于将开放的端口数量与预设的数量阈值进行比较;
相似度获取模块一,用于若开放的端口数量大于数量阈值,则对目标的第一相似度赋予非零值;若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值;
网络探测模块,用于根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
分类对比模块,用于将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;
相似度获取模块二,用于若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
蜜罐种类确定模块,用于根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定目标的蜜罐种类。
本发明提供一种基于指纹特征的蜜罐探测识别方法及装置,该方法通过端口探测服务探测的目标中开放的端口数量与数量阈值比较结果分别对目标的第一相似度赋予不同值;进而对不同协议类型的各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;再根据各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配的结果,获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签,最终根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,综合确定目标是否为蜜罐,并确定出目标所属的蜜罐种类,实现多协议类型、多种类蜜罐的探测识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是本发明提供的基于指纹特征的蜜罐探测识别方法的流程示意图;
图2(a)是应用本发明提供的基于指纹特征的蜜罐探测识别方法的整体逻辑示意图一;
图2(b)是应用本发明提供的基于指纹特征的蜜罐探测识别方法的整体逻辑示意图二;
图3是本发明提供的基于指纹特征的蜜罐探测识别装置的结构示意图。
附图标记:
310:获取模块;320:端口探测模块;330:数量比较模块;340:相似度获取模块一;350:网络探测模块;360:分类对比模块;370:相似度获取模块二;380:蜜罐种类确定模块。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明的技术方案进行清除完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
以下结合附图1-3描述本发明提供的基于指纹特征的蜜罐探测识别方法及装置。
本发明提供一种基于指纹特征的蜜罐探测识别方法,图1是本发明提供的基于指纹特征的蜜罐探测识别方法的流程示意图,如图1所示,该方法包括:
110、获取待识别目标,目标中开放有若干个端口;
120、当目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测目标中开放的端口数量;
130、将开放的端口数量与预设的数量阈值进行比较;
140、若开放的端口数量大于数量阈值,则对目标的第一相似度赋予非零值;若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值。
150、根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
160、将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;
170、若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
180、根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定目标的蜜罐种类。
步骤110中,首先确定待探测识别的目标IP,该IP地址中开放有一个或多个用于网络服务的端口,且各个端口的网络服务协议类型可能相同也可能不同。将待探测识别的目标IP输入至网络主机探测器中进行存活测试,若在线存活,则继续执行下一步骤以对各个端口扫描;若下线状态,则无法继续下一步骤,此时将目标IP存入下线目标IP数据库中以备日后探测。
执行步骤120,当目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测目标IP中实际开放的端口数量。
在步骤120中,还需要探测通过调用namp扫描服务扫描获得的各个端口分别反馈的返还数据包分别与预存的各通用指纹特征进行对比匹配的匹配结果。其中,预存的各通用指纹特征是指预存的现有技术下蜜罐通用分类库中与各蜜罐种类分别对应的各通用指纹特征。而当对比匹配的结果中显示均匹配失败时,表明当前目标IP不属于通用蜜罐分类中的任何一类蜜罐,则需进一步的探测识别,因此继续执行下一步骤:通过端口探测服务探测目标中开放的端口数量。
继续执行步骤130、将开放的端口数量与预设的数量阈值进行比较。其中数量阈值可以根据实际应用场景的需求进行设定。
继续执行步骤140、若开放的端口数量大于数量阈值,则对目标的第一相似度赋予非零值。第一相似度value1理解为是目标IP开放的端口数量与不同蜜罐种类的蜜罐常设端口数量进行对比后获得的相似度。若探测到的目标IP开放的端口数量超过了数量阈值,则可以判定该目标IP为疑似蜜罐,但此时仍不知其具体是哪一种蜜罐,因此,对该目标IP的第一相似度value1赋予一个非零值,并将该数据向后传递以参与到后续蜜罐识别过程。或者,若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值。此时,并不能判断出蜜罐是疑似蜜罐还是正常IP,因此,也继续将第一相似度value1的零值向后传递,以参与到后续蜜罐识别过程。
执行步骤150、根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串。比如对SSH协议类型的各端口执行SSH网络探测服务,对HTTP协议类型的各端口执行HTTP网页访问服务,以分别获得不同的返还字符串。
继续执行步骤160、将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应。
继续执行步骤170、若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签。
执行步骤180、根据目标的第一相似度Value1的值以及各协议类型下匹配成功的各端口的特异性指纹相似度的值和其对应的蜜罐种类的标签,计算综合蜜罐相似度,以根据综合蜜罐相似度确定目标IP是否为蜜罐以及确定其真正的蜜罐种类。
补充说明,对于综合蜜罐相似度的取值范围与其所表示的目标属性进行了预先定义,且预先定义可以根据实际探测场景的需求进行设定和调整。具体地,当0≤综合蜜罐相似度≤0.4时,其对应的目标IP为正常IP,目标属性为Normal;当0.4<综合蜜罐相似度≤0.6时,其对应的目标IP为疑似蜜罐,目标属性为Suspected;当0.6<综合蜜罐相似度≤1时,其对应的目标IP为蜜罐,目标属性为Honeypot。即,综合蜜罐相似度Honeypot value的取值遵循上述定义规则,且取值分为三个区间范围。并且,本发明实施例的各步骤分别获得的各项相似度,也均遵循上述的预先定义规则。
本发明提供的基于指纹特征的蜜罐探测识别方法,能够根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,综合确定目标是否为蜜罐,并确定出目标所属的蜜罐种类,可实现多协议类型、多蜜罐种类蜜罐的探测识别,通用性强,且其对目标探测识别的效率和成功率均明显提高。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,在图1所示实施例的基础上,该方法在步骤110之前还包括蜜罐指定分类库的获取过程,包括:
根据网络服务协议的不同,将多个蜜罐分别划归至不同的协议类型;
根据特异性指纹特征的不同,将每一类协议类型中的多个蜜罐分别划归至不同的蜜罐种类;
将各协议类型、各蜜罐种类和与各蜜罐种类分别对应的各特异性指纹特征均统一存储,以形成蜜罐指定分类库。
蜜罐指定分类库是指不同于蜜罐通用分类库的自定义的蜜罐分类数据库。本发明实施例中,预先收集大量适于提供网络服务的蜜罐,且各个蜜罐的网络服务协议可能相同,也可能不同。而每一种蜜罐种类,均具有相同的特异性指纹特征,由此,各个特异性指纹特征则可以作为区别各个蜜罐种类的依据。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,协议类型至少包括SSH协议类型、FTP协议类型、TELNET协议类型和HTTP协议类型中的任意一种。
被采集的大量蜜罐的网络服务协议的协议类型至少包括上述的任意一种,而端口本身就是用于提供不同协议类型的网络服务的,因此本实施例中将端口的服务的协议类型默认设置为与蜜罐指定分类库中的网络服务协议的类型的划分完全一致,即端口的协议类型也至少包括SSH协议类型、FTP协议类型、TELNET协议类型和HTTP协议类型中的任意一种。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,该方法的步骤160中,根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串,至少包括以下任意一种:
对SSH协议类型的各端口分别执行SSH网络探测服务,向各个端口分别发送预设的指定字符串,以分别获得各端口反馈返还字符串;
对FTP协议类型或者TELNET协议类型的各端口分别执行FTP或者TELNET端口访问服务,以分别获得各端口反馈的返还字符串;
对HTTP协议类型的各端口分别执行网页访问服务,以分别获得各端口反馈的返还字符串。
需要说明的是,通过不同的网络探测服务分别获得各个端口的返还字符串后,还需要将各个返还字符串分别与预设的蜜罐指定分类库中相应协议类型下与各蜜罐种类分别对应的各特异性指纹特征进行对比匹配。比如,将SSH协议类型的各端口分别反馈的各返还字符串,分别与预设的蜜罐指定分类库中SSH协议类型下与各蜜罐种类分别对应的各特异性指纹特征进行对比匹配。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,图1所示实施例的基础上,在步骤150、根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串之前,该方法还包括:
对各个端口分别执行密码登录漏洞检测,以判断各端口是否存在密码登录漏洞;
若存在密码登录漏洞,则对存在密码登录漏洞的各端口的第二相似度赋予非零值;
若均不存在密码登录漏洞,则对各个端口的第二相似度赋予零值。
由于大多数蜜罐通常采用默认配置设置,其开放的端口用于提供各种网路服务时,通常会存在使用任意密码登录均可以访问目标的服务的情况。因此,本发明实施例通过调用socket接口连接目标中开放的各个端口,以探测各个端口是否存在密码登录漏洞。
若存在密码登录漏洞,则对存在密码登录漏洞的各端口的第二相似度赋予非零值。具体地,当存在密码登录漏洞的端口仅有一个时,直接获得该一个端口的第二相似度Value2的非零值。当存在密码登录漏洞的端口有多个时,则分别获得各个端口的相似度的非零值后进行相加以获得各端口综合的第二相似度Value2的非零值。若根据各端口的综合的第二相似度Value2的非零值,可能能判断出蜜罐为疑似蜜罐,但是仍不能判断出蜜罐的准确种类,因此需要继续向后传递各端口的综合的第二相似度Value2的非零值,以参与最终综合蜜罐相似度的计算。或者,若均不存在密码登录漏洞,对各个端口的第二相似度赋予零值。此时,该目标IP虽不是疑似蜜罐,但也不可知其蜜罐种类,因此,也需要将各端口的综合的第二相似度Value2的零值,也继续向后传递,参与后续蜜罐识别的过程。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,SSH协议类型中的蜜罐种类至少包括Kippo和Cowrie 中的任意一种;
和/或,FTP协议类型中的蜜罐种类至少包括Nepenthes、Dionaea和Amun中的任意一种;
和/或,TELNET协议类型中的蜜罐种类至少包括Mtpot和Honeypy中的任意一种;
和/或,HTTP协议类型中蜜罐种类至少包括Glastopf、Honey Thing 和Conpot中的任意一种。
具体地,蜜罐指定分类库中,包括SSH协议类型、FTP协议类型、TELNET协议类型和HTTP协议类型四种协议类型的蜜罐,且每一种协议类型下具体细分多个蜜罐种类,并且每一蜜罐种类,分别独立对应着属于自己的特异性指纹特征,即,蜜罐指定分类库中所存数据具体如下表1所示。
表1
结合表1,各特异性指纹特征视为各蜜罐种类的核心特征,其可作为对待探测目标进行探测获得的端口的返还字符串进行比较匹配的参考依据。通过建立数据通信连接或者发送指定字符串等方式对待探测目标进行探测,目标中开放的服务端口会反馈回显信息作为返还字符串。如果返还字符串与蜜罐指定分类库中某一特异性指纹特征相匹配,则说明此时探测的目标的该端口的网络服务属于该特异性指纹特征所对应的该蜜罐种类。例如,返还字符串与x0fbad version 1.1\n特异性指纹特征相匹配,则说明此目标的该端口的网络服务属于x0fbad version 1.1\n所对应的SSH协议类型下的Kippo蜜罐种类。如果目标仅有此一个端口,则确定目标即为Kippo蜜罐。如果目标还有其他端口的返还字符串可以匹配成功,如第二个端口的返还字符串与DebianGNU/Linux7\r\nLogin:Welcome\x20to\x20Microsoft\x-20Telnet\x20Service\r\n相匹配,则第二个端口即属于该特异性指纹特征所对应的TELNET协议类型下的Honeypy蜜罐种类,此时整个目标的蜜罐种类则由其包括的两个端口分别所属的蜜罐种类组合确定,即当前目标属于Kippo和Honeypy的组合蜜罐。
其中,SSH网络服务是属于加密访问的网络服务,因此,对目标进行探测扫描时,无法直接访问到SSH网络服务,此时需要先向目标的服务端口发送预设的指定字符串,才能以加密访问的形式成功访问SSH网络服务,进而获得其反馈的返还字符串。故而在蜜罐指定分类库中,对于SSH协议类型的各蜜罐种类,还针对各蜜罐种类分别设置其在被访问时需要发送的指定字符串。
此外,SSH协议类型下,还包括Kippo/Cowrie蜜罐种类,即为具有“或”逻辑关系的组合蜜罐种类,Kippo/Cowrie蜜罐种类对应的特异性指纹特征为\x0fssh-rsa,ssh-dss,Kippo/Cowrie蜜罐种类对应的指定字符串为SSH-2.0-OpenSSH\r\n,可将上述Kippo/Cowrie蜜罐种类及其相对应的信息,也一并存入蜜罐指定分类库中。
此外,还可能存在相同蜜罐种类执行不同协议类型的网络服务的情况。比如Cowrie蜜罐种类,当其提供SSH网络服务时,也即SSH协议类型下的Cowrie蜜罐种类所对应的特异性指纹特征为Packet corrupt\n Protocol mismatch\n,当其提供TELNET网络服务时,也即TELNET协议类型下的Cowrie蜜罐种类所对应的特异性指纹特征为\xff\xfd\x1fiogin:,将上述各蜜罐种类及其对应的信息也均存入蜜罐指定分类库中。对于此种蜜罐种类的判断,则需要结合具体的返还字符串与特异性指纹特征的匹配结果,精准地分析出该目标到底属于哪一种协议类型下的该蜜罐种类。
图2(a)和图2(b)是应用本发明提供的基于指纹特征的蜜罐探测识别方法的整体逻辑示意图,如图2(a)和图2(b)所示,应用逻辑如下:
(1)开始。
(2)获取待探测识别的目标IP,其中开放有一个或多个用于网络服务的端口,且各个端口的网络服务协议类型可能相同也可能不同。
(3)将待探测识别的目标IP输入至网络主机探测器中,对目标IP进行上线存活测试,判断目标IP是否上线。若目标IP为下线状态,无法继续,则将目标IP存入下线目标IP数据库中,以备日后探测识别。若目标IP为上线存活状态,即目标在线。
(4)检测调用nmap扫描探测服务对扫描各个端口的网络服务获得的各个端口分别反馈的返还数据包分别与预存的各通用指纹特征进行对比的匹配结果,当匹配结果中显示均匹配失败时,表明当前待探测目标不属于通用蜜罐分类中的任意类蜜罐,则需进一步对进行探测识别。则继续通过端口探测服务探测目标IP中开放的端口数量。
(5)将开放的端口数量与预设的数量阈值进行比较判断。
(6)若开放的端口数量大于数量阈值,则对目标的第一相似度赋予非零值。第一相似度value1理解为是目标IP开放的端口数量与不同蜜罐种类的蜜罐常设端口数量进行对比后获得的相似度。若探测到的目标IP开放的端口数量超过了数量阈值,则可以判定该目标IP为疑似蜜罐,但此时仍不知其具体是哪一种蜜罐,因此,对该目标IP的第一相似度value1赋予非零值,并将该数据向后传递以参与到后续蜜罐识别过程。或者,若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值。此时,也继续将第一相似度value1的零值向后传递,以参与到后续蜜罐识别过程。
(7)对各个端口分别执行密码登录漏洞检测,以判断各端口是否存在密码登录漏洞。调用socket接口连接目标中开放的各个端口,对目标IP中存活的各端口进行任意密码登录尝试,获得返还的登录成功的用户名和密码,以探测出各个端口是否存在密码登录漏洞。
(8)若存在密码登录漏洞,则对存在密码登录漏洞的各端口的第二相似度Value2赋予非零值。若均不存在密码登录漏洞,则对各个端口的第二相似度Value2赋予零值。并继续向后传递目标IP的第二相似度Value2的值,以参与最终综合蜜罐相似度的计算。
(9)根据协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串。步骤(9)具体包括以下步骤中的一个或多个。
(9-1)对SSH协议类型的各端口分别执行SSH网络探测服务,对目标IP中如22端口或者2222端口等端口分别发送蜜罐指定数据库中的各个指定字符串,以分别获得各端口反馈的返还字符串。
(9-2)对FTP协议类型或者TELNET协议类型的各端口分别执行FTP或者TELNET端口访问服务,此时可以直接正常访问,获取各个端口反馈的信息,即分别获得各端口反馈的返还字符串。
(9-3)对HTTP协议类型的各端口分别执行HTTP网页访问服务,以分别获得各端口反馈的返还字符串。若是HTTP协议类型的蜜罐,则其通常在其网页服务上存在特定hash值或者特定网页前端代码。故可将爬取目标IP的网页服务信息后获得的反馈信息作为判断对象,以判断目标IP是否为HTTP协议类型的蜜罐。
(10)将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配。具体包括以下步骤中的一个或多个。
(10-1)将SSH协议类型的各端口分别反馈的各返还字符串,分别与蜜罐指定分类库中SSH协议类型下与各蜜罐种类分别对应的各特异性指纹特征进行比较,看是否能够匹配。
(10-2)将FTP协议类型或TELNET协议类型的各端口分别反馈的各返还字符串,分别与蜜罐指定分类库中FTP协议类型或TELNET协议类型下的与各蜜罐种类分别对应的各特异性指纹特征进行比较,看是否能够匹配。
(10-3)将HTTP协议类型的各端口分别反馈的各返还字符串,分别与蜜罐指定分类库中HTTP协议类型下与各蜜罐种类分别对应的各特异性指纹特征进行比较,看是否能够匹配。
(11)若步骤(10-1)、步骤(10-2)和步骤(0-3)均全部匹配失败,则判定目标IP为正常IP,不是蜜罐。
(12)若步骤(10-1)、步骤(10-2)和步骤(10-3)中某一个或某几个端口反馈的返还字符串可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签。进而根据以下步骤的一个或多个分别继续进行探测识别。
(12-1)获得SSH协议类型下匹配成功的各端口的特异性指纹相似度Value3和其对应的蜜罐种类标签K3。比如,SSH协议类型下仅有一个端口的返还字符串匹配成功,且返还字符串与x0fbad version 1.1\n这一特异性指纹特征相匹配,则说明此目标IP的该端口的网络服务属于x0fbad version 1.1\n所对应的SSH协议类型的Kippo蜜罐种类。此时输出该端口的特异性指纹相似度Value3的值0.7和其所属的蜜罐种类标签K3(Kippo)。
(12-2)获得FTP协议类型或TELNET协议类型下匹配成功的各端口的特异性指纹相似度Value4和其对应的蜜罐种类的标签K4。比如,输出该端口的特异性指纹相似度Value4的值0.7和其所属的蜜罐种类标签K4(Nepenthes)。
(12-3)获得HTTP协议类型下匹配成功的各端口的特异性指纹相似度Value5和其对应的蜜罐种类的标签K5。比如输出该端口的特异性指纹相似度Value5的值0.7和其所属的蜜罐种类标签K5(Glastopf)。
(13)最后,综合根据各步骤的结果,以直接加和或者按照不同权重比例加和的方式计算目标IP的综合蜜罐相似度,并根据综合蜜罐相似度的值与预设的综合蜜罐相似度阈值的比较结果,确定目标IP是否为蜜罐。还根据各步骤中获得的目标IP所属的蜜罐种类标签形成的分类集合,来确定目标IP最终所属的蜜罐种类。比如对各相似度的值进行不同权重比例的赋予,以计算综合蜜罐相似度的值=0.25*10%+0.2*10%+0.7*30%+0.7*20%+0.7*30%=0.605,而0.605属于(0.6,1]的取值区间,此时判断目标IP为蜜罐,且蜜罐具体种类可以根据各步骤中获得的目标IP所属的蜜罐种类标签K3、K4和K5形成的分类集合(Kippo,Nepenthes,Glastopf)确定得出目标IP为组合类型蜜罐,由此精准地完成了对目标IP的探测识别。
(14)结束。
除了本发明实施例提及的各种计算因子外,还可以引入如目标IP的其他特征信息作为计算综合蜜罐相似度的因子,如目标IP的仿真指令、目标IP的加密协议情况等等,结合实施例中各因子,进行综合加权赋值计算,最终输出目标IP的综合蜜罐相似度,并根据综合蜜罐相似度判断目标IP是否是蜜罐以及判断其蜜罐种类。
根据本发明提供的基于指纹特征的蜜罐探测识别方法,在将开放的端口数量与预设的数量阈值进行比较的同时,该方法还包括:
还通过端口探测服务探测目标的端口组合情况,并将端口组合情况与预设的蜜罐通用端口组合库进行对比匹配,若可匹配成功,则获得匹配成功的各端口的组合相似度;
以及通过端口探测服务探测目标的端口服务重复情况,并将端口服务重复情况与预设的重复标准进行比较,若端口服务重复情况超过重复标准,则获得具有服务重复的各端口的重复相似度;
根据目标的第一相似度、匹配成功的各端口的组合相似度和具有服务重复的各端口的重复相似度中的一种或多种,确定目标的新的第一相似度。
也即,除了对于目标IP开放的端口数量进行检测和比较外,还可以结合对目标的端口组合情况以及端口服务重复情况等多种因子,并对各因子分别赋予不同的权重比例,以综合确定目标IP的新的第一相似度Value1的值。
下面对本发明提供的基于指纹特征的蜜罐探测识别装置进行介绍,所述装置可以理解为是执行上述基于指纹特征的蜜罐探测识别方法的装置,二者可相互参照。
本发明还提供一种基于指纹特征的蜜罐探测识别装置,图3是本发明提供的基于指纹特征的蜜罐探测识别装置的结构示意图,如图3所示,该装置包括:
获取模块310,用于获取待识别目标,目标中开放有若干个端口;
端口探测模块320,用于当目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测目标中开放的端口数量;
数量比较模块330,用于将开放的端口数量与预设的数量阈值进行比较;
相似度获取模块一340,用于若开放的端口数量大于数量阈值,则判定对目标的第一相似度赋予非零值;若开放的端口数量小于或等于数量阈值,则对目标的第一相似度赋予零值;
网络探测模块350,用于根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
分类对比模块360,用于将各返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;
相似度获取模块二370,用于若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
蜜罐种类确定模块380,用于根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定目标的蜜罐种类。
本发明提供的基于指纹特征的蜜罐探测识别装置,包括相互连接的多个模块,各模块相互配合工作,使得本装置能够根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定目标是否为蜜罐,并确定出目标所属的蜜罐种类,且其对目标探测识别的效率和成功率均明显提高。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种基于指纹特征的蜜罐探测识别方法,其特征在于,包括:
获取待识别目标,所述目标中开放有若干个端口;
当所述目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测所述目标中开放的端口数量;
将所述开放的端口数量与预设的数量阈值进行比较;
若所述开放的端口数量大于所述数量阈值,则对所述目标的第一相似度赋予非零值;若所述开放的端口数量小于或等于所述数量阈值,则对所述目标的第一相似度赋予零值;
根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
将各所述返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;
若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定所述目标的蜜罐种类;
所述蜜罐指定分类库的获取过程,具体包括:
根据网络服务协议的不同,将多个蜜罐分别划归至不同的协议类型;
根据特异性指纹特征的不同,将每一类所述协议类型中的多个蜜罐分别划归至不同的蜜罐种类;
将各所述协议类型、各所述蜜罐种类和与各所述蜜罐种类分别对应的各特异性指纹特征均统一存储,以形成蜜罐指定分类库。
2.根据权利要求1所述的基于指纹特征的蜜罐探测识别方法,其特征在于,所述协议类型至少包括SSH协议类型、FTP协议类型、TELNET协议类型和HTTP协议类型中的任意一种。
3.根据权利要求2所述的基于指纹特征的蜜罐探测识别方法,其特征在于,所述根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串,至少包括以下任意一种:
对SSH协议类型的各端口分别执行SSH网络探测服务,向各个端口分别发送预设的指定字符串,以分别获得各端口反馈的返还字符串;
对FTP协议类型或者TELNET协议类型的各端口分别执行FTP或者TELNET端口访问服务,以分别获得各端口反馈的返还字符串;
对HTTP协议类型的各端口分别执行网页访问服务,以分别获得各端口反馈的返还字符串。
4.根据权利要求1所述的基于指纹特征的蜜罐探测识别方法,其特征在于,在所述根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串之前,所述方法还包括以下步骤:
对各个端口分别执行密码登录漏洞检测,以判断各端口是否存在密码登录漏洞;
若存在密码登录漏洞,则对存在密码登录漏洞的各端口的第二相似度赋予非零值;若均不存在密码登录漏洞,则对各个端口的第二相似度赋予零值。
5.根据权利要求2所述的基于指纹特征的蜜罐探测识别方法,其特征在于,
所述SSH协议类型中的蜜罐种类至少包括Kippo和Cowrie 中的任意一种;
和/或,所述FTP协议类型中的蜜罐种类至少包括Nepenthes、Dionaea和Amun中的任意一种;
和/或,所述TELNET协议类型中的蜜罐种类至少包括Mtpot和Honeypy中的任意一种;
和/或,所述HTTP协议类型中的蜜罐种类至少包括Glastopf、Honey Thing 和Conpot中的任意一种。
6.根据权利要求1所述的基于指纹特征的蜜罐探测识别方法,其特征在于,在将所述开放的端口数量与预设的数量阈值进行比较的同时,所述方法还包括:
还通过端口探测服务探测所述目标的端口组合情况,并将所述端口组合情况与预设的蜜罐通用端口组合库进行对比匹配,若可匹配成功,则获得匹配成功的各端口的组合相似度;
以及通过端口探测服务探测所述目标的端口服务重复情况,并将所述端口服务重复情况与预设的重复标准进行比较,若所述端口服务重复情况超过重复标准,则获得具有服务重复的各端口的重复相似度;
根据所述目标的第一相似度、所述匹配成功的各端口的组合相似度和所述具有服务重复的各端口的重复相似度中的一种或多种,确定所述目标的新的第一相似度。
7.一种基于指纹特征的蜜罐探测识别装置,其特征在于,包括:
获取模块,用于获取待识别目标,所述目标中开放有若干个端口;
端口探测模块,用于当所述目标在线,且扫描各端口获得的各返还数据包分别和预存的各通用指纹特征均匹配失败时,通过端口探测服务探测所述目标中开放的端口数量;
数量比较模块,用于将所述开放的端口数量与预设的数量阈值进行比较;
相似度获取模块一,用于若所述开放的端口数量大于所述数量阈值,则对所述目标的第一相似度赋予非零值;若所述开放的端口数量小于或等于所述数量阈值,则对所述目标的第一相似度赋予零值;
网络探测模块,用于根据各端口协议类型的不同对各端口分别执行不同的网络探测服务,以分别获得各端口的返还字符串;
分类对比模块,用于将各所述返还字符串分别与预设的蜜罐指定分类库中的各特异性指纹特征进行对比匹配;其中,各特异性指纹特征与不同协议类型下的各蜜罐种类分别一一对应;所述蜜罐指定分类库的获取过程,具体包括:根据网络服务协议的不同,将多个蜜罐分别划归至不同的协议类型;根据特异性指纹特征的不同,将每一类所述协议类型中的多个蜜罐分别划归至不同的蜜罐种类;将各所述协议类型、各所述蜜罐种类和与各所述蜜罐种类分别对应的各特异性指纹特征均统一存储,以形成蜜罐指定分类库;
相似度获取模块二,用于若可匹配成功,则获得匹配成功的各端口的特异性指纹相似度和其对应的蜜罐种类的标签;
蜜罐种类确定模块,用于根据匹配成功的各端口的第一相似度、特异性指纹相似度和其对应的蜜罐种类的标签,确定所述目标的蜜罐种类。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111030434.2A CN113472819B (zh) | 2021-09-03 | 2021-09-03 | 基于指纹特征的蜜罐探测识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111030434.2A CN113472819B (zh) | 2021-09-03 | 2021-09-03 | 基于指纹特征的蜜罐探测识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113472819A CN113472819A (zh) | 2021-10-01 |
| CN113472819B true CN113472819B (zh) | 2021-11-30 |
Family
ID=77867555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111030434.2A Active CN113472819B (zh) | 2021-09-03 | 2021-09-03 | 基于指纹特征的蜜罐探测识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113472819B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826663B (zh) * | 2022-03-18 | 2023-12-01 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
| CN115242467B (zh) * | 2022-07-05 | 2024-02-06 | 北京华顺信安科技有限公司 | 一种网络数据识别方法及系统 |
| CN117220900B (zh) * | 2023-07-14 | 2024-06-18 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111126440A (zh) * | 2019-11-25 | 2020-05-08 | 广州大学 | 一种基于深度学习的一体化工控蜜罐识别系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112800417B (zh) * | 2021-04-15 | 2021-07-06 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于服务状态机的反馈式蜜罐系统的识别方法及系统 |
-
2021
- 2021-09-03 CN CN202111030434.2A patent/CN113472819B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111126440A (zh) * | 2019-11-25 | 2020-05-08 | 广州大学 | 一种基于深度学习的一体化工控蜜罐识别系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113472819A (zh) | 2021-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113472819B (zh) | 基于指纹特征的蜜罐探测识别方法及装置 | |
| CN112738015B (zh) | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 | |
| CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及系统 | |
| US8307441B2 (en) | Log-based traceback system and method using centroid decomposition technique | |
| CN111555988B (zh) | 一种基于大数据的网络资产测绘发现方法及装置 | |
| CN109117634A (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
| CN111835781B (zh) | 一种基于失陷主机发现同源攻击的主机的方法及系统 | |
| CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
| Zhao | Network intrusion detection system model based on data mining | |
| CN113821793A (zh) | 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统 | |
| CN112003869A (zh) | 一种基于流量的漏洞识别方法 | |
| CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
| CN112702334A (zh) | 静态特征与动态页面特征结合的web弱口令检测方法 | |
| CN104333538A (zh) | 一种网络设备准入方法 | |
| CN112367315B (zh) | 一种内生安全waf蜜罐部署方法 | |
| CN113904841B (zh) | 一种应用于IPv6网络环境的网络攻击检测方法 | |
| CN113420791B (zh) | 边缘网络设备接入控制方法、装置及终端设备 | |
| CN113726809B (zh) | 基于流量数据的物联网设备识别方法 | |
| CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
| CN115065592A (zh) | 信息处理方法、装置及存储介质 | |
| CN111901137A (zh) | 一种利用蜜罐告警日志挖掘多步攻击场景的方法 | |
| CN115499179A (zh) | 一种面向主干网中DoH隧道流量的检测方法 | |
| CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
| CN114710306A (zh) | 基于LightGBM算法和卷积神经网络的两阶段细粒度网络入侵检测模型 | |
| Atmojo et al. | A New Approach for ARP Poisoning Attack Detection Based on Network Traffic Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |