CN113553590B - 一种蜜罐防止攻击者逃逸的方法 - Google Patents
一种蜜罐防止攻击者逃逸的方法 Download PDFInfo
- Publication number
- CN113553590B CN113553590B CN202110923385.9A CN202110923385A CN113553590B CN 113553590 B CN113553590 B CN 113553590B CN 202110923385 A CN202110923385 A CN 202110923385A CN 113553590 B CN113553590 B CN 113553590B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attacker
- program
- tool
- main program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 34
- 230000008569 process Effects 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 13
- 230000006399 behavior Effects 0.000 claims description 9
- 241000109539 Conchita Species 0.000 claims description 7
- 230000001939 inductive effect Effects 0.000 claims description 7
- 230000002265 prevention Effects 0.000 claims 5
- 238000005516 engineering process Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种蜜罐防止攻击者逃逸的方法,涉及网络安全领域。本发明开发了主程序和工具程序,当通过杀进程或杀内存的方式将该主程序停止时,操作系统自动关闭;在安装合法软件时,工具程序生成其校验文件;启动任一软件时,主程序检查是否有相应的校验文件或者校验文件不一致,如果没有,阻止该软件启动;在蜜罐中安装主程序和工具程序,当攻击者进入蜜罐后,试图启动攻击工具时,主程序检查到不存在该攻击工具的校验文件,阻止其启动,若攻击者通过杀程序或杀进程方式停止主程序,则蜜罐关闭操作系统。本发明通过在蜜罐中安装开发的主程序和工具程序,实现了对攻击工具的启动进行限制,避免攻击者从蜜罐逃逸。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种蜜罐防止攻击者逃逸的方法。
背景技术
随着互联网的飞速发展,网络安全已成为人们非常关注的问题。提升网络安全性,成为互联网中的头等大事。在网络安全领域中,蜜罐是网络安全人员熟知的网络攻击检测技术,其实质是通过布置一些作为诱饵的主机、网络服务或者信息,也就是作为网络安全中的一种入侵诱饵,诱使攻击方对它们实施攻击,捕获黑客相关的证据和信息,从而可以对攻击行为进行分析。蜜网是采用了其他技术的蜜罐,从而以合理方式记录下黑客的行动,同时尽量减小或排除对因特网上其它系统造成的风险。
黑客越来越多,技术水平也越来越高,对操作系统和网络技术很熟悉,且对于各种漏洞也相当熟悉;黑客所使用的攻击工具非常强大,如果没有攻击工具,他们就无法对蜜罐进行深入的攻击。
当攻击者已经被诱导进入蜜罐,一般蜜罐具有的防逃逸功能:1、使用VLAN的方式经隔离,不同的VLAN不能进行访问;2、VNP隧道方式,使用VPN单向隧道方式,数据流量只能进来不能出去,3、物理网卡方式,流量进入使用单独一个物理网卡,其他流量使用另外一个网卡;等,使得蜜罐与真实业务主机进行隔离,避免攻击者从蜜罐进入真实业务主机。但是如果攻击者利用攻击工具,就有可能利用系统漏洞或者暴力爆破等各种方式,将蜜罐作为跳板机对其他真实业务进行攻击,从蜜罐逃逸;蜜罐逃逸就是攻击者到了蜜罐后,再以蜜罐为宿主机,对真实主机发起攻击;例如:蜜罐的地址段为192.168.77.1-255,真实主机的地址段为10.18.72.0-255,当攻击者进入蜜罐192.168.77.1后,攻击者可以横向访问其他蜜罐192.168.77.2-255;但是不能访问真实主机10.18.72.0-255;如果可以ping、ssh、telnet、RDP等方式访问到真实主机10.18.72.0-255,就表示攻击者从蜜罐中逃逸了。因此,在蜜罐中如何防止攻击者利用攻击工具从蜜罐逃逸,是目前亟待解决的问题。
现有技术至少存在以下不足:
为了不让攻击者从蜜罐逃逸,蜜罐一般采用如下几种技术
1、使用VLAN的方式经隔离,不同的VLAN不能进行访问;
2、VNP隧道方式,使用VPN单向隧道方式,数据流量只能进来不能出去,
3、物理网卡方式,流量进入使用单独一个物理网卡,其他流量使用另外一个网卡;
但是这些技术存在如下不足之处,导致有可能的蜜罐逃逸。
1.高交付蜜罐由虚拟化工具进行虚拟机配置,虚拟化工具软件有可能存在漏洞,攻击者可以利用存在的漏洞,通过攻击工具实现蜜罐逃逸。
2.高交付蜜罐一般具有windows、centos或Linux等操作系统,并增加了相应的功能软件,这些操作系统有可能存在漏洞,攻击者可以利用存在的漏洞,通过攻击工具实现蜜罐逃逸。
3.中央蜜罐系统的系统架构和网络架构等也有可能存在漏洞,有可能被攻击者利用攻击工具暴力爆破,实现蜜罐逃逸。
发明内容
为解决现有技术中存在的技术问题,本发明提供了蜜罐防止攻击者逃逸的方法,开发了主程序和工具程序,当通过杀进程或杀内存的方式将该主程序停止时,安装有主程序的主机操作系统自动关闭;在安装合法软件时,工具程序生成该合法软件的校验文件;在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件,如果没有相应的校验文件或者校验文件不一致,阻止该软件启动;在部署中央蜜罐系统及各功能蜜罐后,在蜜罐中安装主程序和工具程序,当攻击者进入蜜罐后,试图启动攻击工具时,因其为非法软件,工具程序不会生成该攻击工具的校验文件,因此主程序检查到不存在该攻击工具的校验文件或者校验文件不一致时,阻止该攻击工具的启动,若攻击者通过杀程序或杀进程方式停止主程序,则蜜罐主动关闭操作系统,防止攻击者从蜜罐逃逸。本发明通过在蜜罐中安装开发的主程序和工具程序,实现了对攻击工具的启动进行限制,避免攻击者从蜜罐逃逸。
本发明提供了一种蜜罐防止攻击者逃逸的方法,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机操作系统自动关闭;
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件或者校验文件不一致,如果没有相应的校验文件,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;
诱导攻击者至蜜罐;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
优选地,攻击者启动攻击工具失败后,攻击者找到主程序并通过杀进程或杀内存的方式将主程序关闭,蜜罐自动关闭操作系统,避免攻击者逃逸。
优选地,工具程序在已安装的合法软件的同一路径下,对已安装的合法软件的执行程序文件进行加密生成所述校验文件。
优选地,攻击者进入蜜罐时,中央蜜罐系统将收到告警,并记录该攻击者的相关信息和攻击行为。
优选地,所述攻击者的相关信息包括攻击者IP地址、设备指纹信息、身份指纹信息和社交软件ID信息;所述攻击行为包括下载文件、浏览文件、创建文件或文件夹和删除文件或文件夹。
优选地,如果攻击者下载并运行了蜜罐的反制程序,将从攻击者电脑传回攻击者信息,对攻击者进行拍照或录音。
优选地,在各蜜罐上还安装合法程序,并在安装合法程序时,由工具程序在各合法程序的同路径下生成对应于各合法程序的校验文件。
优选地,在各蜜罐上启动主程序和工具程序后,对主程序和工具程序进行测试。
优选地,所述操作系统包括windows操作系统、centos操作系统和Linux操作系统。
优选地,所述校验文件的文件名为在对应的软件文件名及扩展名后添加附加扩展名,附加扩展名包括“.cc”。
与现有技术相对比,本发明的有益效果如下:
(1)本发明在传统防攻击者从蜜罐逃逸的基础上,针对攻击者逃逸时会使用攻击工具的特点,开发了主程序和工具程序,对于未授权的非法软件阻止其运行,防止攻击者从蜜罐逃逸;
(2)本发明中的用于检测软件的校验文件是否存在的主程序的运行和生成校验文件的工具程序分为完全独立的两个程序,难以短时间破解;
(3)本发明中用于检测软件的校验文件是否存在的主程序及生成校验文件的工具程序,完全是软件,运行时系统资源开销少,运行稳定;
(4)本发明的技术方案可以在蜜罐出厂前完成设置,不需要客户增加任何外部资源,独立性强,使用及操作方便。
附图说明
图1是本发明的一个实施例的蜜罐防止攻击者逃逸的方法流程图;
图2是本发明的又一个实施例的蜜罐防止攻击者逃逸的方法流程图;
图3是本发明的又一个实施例的蜜罐防止攻击者逃逸的方法流程图。
具体实施方式
下面结合附图1-3,对本发明的具体实施方式作详细的说明。
本发明提供了一种蜜罐防止攻击者逃逸的方法,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机的操作系统自动关闭;当攻击者找到主程序时,通常会通过杀进程或杀内存的方式将该主程序停止,此时,安装有该主程序的主机的操作系统自动关闭,可以对真实业务主机进行保护,使攻击者无法使用蜜罐作为宿主机,进行对真实主机的攻击和信息获取。
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件或者校验文件不一致,如果没有相应的校验文件,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;
本发明对于安装的合法软件,会通过工具程序生成该合法软件的校验文件,在之后要启动该软件时,由主程序进行校验文件的检查,如果有校验文件,就是合法软件,可以正常启动;如果未在该软件的同一路径下找到其对应的校验文件,则认为该软件为非法软件,将阻止该软件启动。非法软件通常就是进入蜜罐的攻击者所使用的攻击工具,此时,攻击者的攻击工具在蜜罐中将无法使用,攻击者就不能借助于攻击工具将蜜罐作为宿主机对其他真实业务主机进行攻击,实现了防止蜜罐逃逸。
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
上述步骤为实现将攻击者诱导至蜜罐所必须的操作,中央蜜罐系统负责对各个蜜罐进行管理,记录蜜罐中的攻击数据,并对数据进行分析;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;启动了主程序和工具程序后,在蜜罐中安装合法软件时,会通过工具程序在蜜罐中该合法软件的同一路径下生成其对应的校验文件,在蜜罐中安装非法软件时,则不会通过工具程序在蜜罐中生成该非法软件的校验文件。在启动已安装软件时,主程序都将在该已安装软件的同一路径下查找其校验文件,没有校验文件,将阻止该软件的启动。当该软件为攻击者使用的攻击工具时,将因为不存在其校验文件而无法启动,实现蜜罐避免攻击者逃逸。
诱导攻击者至蜜罐;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
根据本发明的一个具体实施方案,还包括,攻击者启动攻击工具失败后,攻击者找到主程序并通过杀进程或杀内存的方式将主程序关闭,蜜罐自动关闭操作系统。
当攻击者启动攻击工具失败后,通常就会意识到自己已经进入了蜜罐,且蜜罐中存在阻止其攻击工具启动的程序,当攻击者成功找到主程序,并通过杀进程或杀内存的方式将主程序关闭时,在通常情况下,蜜罐就失去了一层保护,此时,本发明在检测到主程序被异常关闭时,蜜罐将自动关闭操作系统,实现对蜜罐的保护,使攻击者在关闭了操作系统的蜜罐中无法进行任何攻击,也无法获得任何有用信息,使蜜罐暂时失去蜜罐的功能。
根据本发明的一个具体实施方案,工具程序在已安装的合法软件的同一路径下,对已安装的合法软件的执行程序文件进行加密生成所述校验文件。
本发明在,对于安装的合法软件,工具程序在其安装之后,在该合法软件的同一路径下生成校验文件,该校验文件通过对该软件的执行程序文件进行加密而获得。
主程序和工具程序是配套使用,在主程序和工具程序中,拥有相同的KEY和加密算法;生成校验文件的过程:使用应用程序文件加上KEY的数字,通过加密算法,产生一个校验文件;应用程序启动过程:主程序使用应用程序文件加上KEY的数字,通过加密算法,得到的数字和校验文件比较,如果一致则通过,启动该应用,如果没有校验文件或者和校验文件不一致,则阻止该应用程序启动。
根据本发明的一个具体实施方案,还包括,攻击者进入蜜罐时,中央蜜罐系统将收到告警,并记录该攻击者的相关信息和攻击行为。
根据本发明的一个具体实施方案,所述攻击者的相关信息包括攻击者IP地址、设备指纹信息、身份指纹信息和社交软件ID信息;所述攻击行为包括下载文件、浏览文件、创建文件或文件夹和删除文件或文件夹。
根据本发明的一个具体实施方案,如果攻击者下载并运行了蜜罐的反制程序,将从攻击者电脑传回攻击者信息,对攻击者进行拍照或录音。
根据本发明的一个具体实施方案,在各蜜罐上还安装合法程序,并在安装合法程序时,由工具程序在各合法程序的同路径下生成对应于各合法程序的校验文件。
根据本发明的一个具体实施方案,在各蜜罐上启动主程序和工具程序后,对主程序和工具程序进行测试;检查主程序和工具程序是否工作正常,各蜜罐的运行状态是否正常;蜜罐程序等合法程序,有相应的校验程序,会正常运行。
检查过程包括:
1、检查主程序是否正常运行;
2、运行一个合法应用程序,该程序在安装时会生成校验文件,检查该程序是否可以正常启动,如果可以正常启动,表示正常;
3、运行一个非法应用程序,该应用程序在安装时不会生成校验文件,因此相同路径下不存在相应的校验文件,如果启动不成功,表示正常;如果启动成功,表示防护无效,需要检查主程序是否正常;
4、通过杀内存、或者杀进行等方式,将主程序关闭,检查服务器是否自动关机。
根据本发明的一个具体实施方案,所述操作系统包括windows操作系统、centos操作系统和Linux操作系统。
根据本发明的一个具体实施方案,所述校验文件的文件名为在对应的软件文件名及扩展名后添加扩展名,扩展名为“.cc”。
实施例1
根据本发明的一个具体实施方案,对本发明蜜罐防止攻击者逃逸的方法进行详细说明。
本发明提供了一种蜜罐防止攻击者逃逸的方法,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;所述操作系统包括windows操作系统、centos操作系统和Linux操作系统;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机操作系统自动关闭;
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件,如果没有相应的校验文件或者校验文件不一致,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;所述校验文件的文件名为在对应的软件文件名及扩展名后添加附加扩展名,附加扩展名包括“.cc”。
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;
诱导攻击者至蜜罐;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
实施例2
根据本发明的一个具体实施方案,对本发明蜜罐防止攻击者逃逸的方法进行详细说明。
本发明提供了一种蜜罐防止攻击者逃逸的方法,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;所述操作系统包括windows操作系统、centos操作系统和Linux操作系统;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机操作系统自动关闭;
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件,如果没有相应的校验文件或者校验文件不一致,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;工具程序在已安装的合法软件的同一路径下,对已安装的合法软件的执行程序文件进行加密生成所述校验文件;所述校验文件的文件名为在对应的软件文件名及扩展名后添加附加扩展名,附加扩展名包括“.cc”;
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;
在各蜜罐上启动主程序和工具程序后,对主程序和工具程序进行测试,检查各蜜罐的运行状态是否正常;
在各蜜罐上还安装合法程序,并在安装合法程序时,由工具程序在各合法程序的同路径下生成对应于各合法程序的校验文件;
诱导攻击者至蜜罐;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
攻击者启动攻击工具失败后,攻击者找到主程序并通过杀进程或杀内存的方式将主程序关闭,蜜罐自动关闭操作系统。
实施例3
根据本发明的一个具体实施方案,对本发明蜜罐防止攻击者逃逸的方法进行详细说明。
本发明提供了一种蜜罐防止攻击者逃逸的方法,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;所述操作系统包括windows操作系统、centos操作系统和Linux操作系统;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机操作系统自动关闭;
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件,如果没有相应的校验文件或者校验文件不一致,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;工具程序在已安装的合法软件的同一路径下,对已安装的合法软件的执行程序文件进行加密生成所述校验文件;所述校验文件的文件名为在对应的软件文件名及扩展名后添加附加扩展名,附加扩展名为“.cc”;
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;
在各蜜罐上还安装合法程序,并在安装合法程序时,由工具程序在各合法程序的同路径下生成对应于各合法程序的校验文件;
在各蜜罐上启动主程序和工具程序后,对主程序和工具程序进行测试;检查主程序和工具程序是否正常工作,检查各蜜罐的运行状态是否正常;
诱导攻击者至蜜罐;
攻击者进入蜜罐时,中央蜜罐系统将收到告警,并记录该攻击者的相关信息和攻击行为;所述攻击者的相关信息包括攻击者IP地址、设备指纹信息、身份指纹信息和社交软件ID信息;所述攻击行为包括下载文件、浏览文件、创建文件或文件夹和删除文件或文件夹;
如果攻击者下载并运行了蜜罐的反制程序,将从攻击者电脑传回攻击者信息,对攻击者进行拍照或录音;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
攻击者启动攻击工具失败后,攻击者找到主程序并通过杀进程或杀内存的方式将主程序关闭,蜜罐自动关闭操作系统。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。
Claims (10)
1.一种蜜罐防止攻击者逃逸的方法,其特征在于,包括如下步骤:
开发对应不同操作系统的主程序和工具程序;
所述主程序包括如下特点及功能:
当通过杀进程或杀内存的方式将该主程序停止时,安装有该主程序的主机操作系统自动关闭;
在安装所述主程序的主机上启动任一软件时,主程序检查该软件同一路径下是否有相应的校验文件,如果没有相应的校验文件或者校验文件不一致,阻止该软件启动;
所述工具程序用于在安装合法软件时生成校验文件;
部署中央蜜罐系统;
根据需要部署各种功能的蜜罐;
将蜜罐绑定相应的诱捕节点;
在各蜜罐上安装并启动与其操作系统对应的主程序和工具程序;
诱导攻击者至蜜罐;
攻击者在蜜罐内试图启动攻击工具;
主程序检查该攻击工具的路径下没有相应的校验文件或者校验文件不一致,攻击工具启动失败,避免攻击者逃逸。
2.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,攻击者启动攻击工具失败后,攻击者找到主程序并通过杀进程或杀内存的方式将主程序关闭,蜜罐自动关闭操作系统,避免攻击者逃逸。
3.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,工具程序在已安装的合法软件的同一路径下,对已安装的合法软件的执行程序文件进行加密生成所述校验文件。
4.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,攻击者进入蜜罐时,中央蜜罐系统将收到告警,并记录该攻击者的相关信息和攻击行为。
5.根据权利要求4所述的蜜罐防止攻击者逃逸的方法,其特征在于,所述攻击者的相关信息包括攻击者IP地址、设备指纹信息、身份指纹信息和社交软件ID信息;所述攻击行为包括下载文件、浏览文件、创建文件或文件夹和删除文件或文件夹。
6.根据权利要求5所述的蜜罐防止攻击者逃逸的方法,其特征在于,如果攻击者下载并运行了蜜罐的反制程序,将从攻击者电脑传回攻击者信息,对攻击者进行拍照或录音。
7.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,在各蜜罐上还安装合法程序,并在安装合法程序时,由工具程序在各合法程序的同路径下生成对应于各合法程序的校验文件。
8.根据权利要求7所述的蜜罐防止攻击者逃逸的方法,其特征在于,在各蜜罐上启动主程序和工具程序后,对主程序和工具程序进行测试。
9.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,所述操作系统包括windows操作系统、centos操作系统和Linux操作系统。
10.根据权利要求1所述的蜜罐防止攻击者逃逸的方法,其特征在于,所述校验文件的文件名为在对应的软件文件名及扩展名后添加附加扩展名,附加扩展名包括“.cc”。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110923385.9A CN113553590B (zh) | 2021-08-12 | 2021-08-12 | 一种蜜罐防止攻击者逃逸的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110923385.9A CN113553590B (zh) | 2021-08-12 | 2021-08-12 | 一种蜜罐防止攻击者逃逸的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113553590A CN113553590A (zh) | 2021-10-26 |
| CN113553590B true CN113553590B (zh) | 2022-03-29 |
Family
ID=78105568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110923385.9A Active CN113553590B (zh) | 2021-08-12 | 2021-08-12 | 一种蜜罐防止攻击者逃逸的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113553590B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296909B (zh) * | 2022-08-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904959B2 (en) * | 2005-04-18 | 2011-03-08 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
| CN106778257A (zh) * | 2016-12-08 | 2017-05-31 | 北京国电通网络技术有限公司 | 一种虚拟机防逃逸装置 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| WO2017148263A1 (zh) * | 2016-02-29 | 2017-09-08 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| WO2019179375A1 (zh) * | 2018-03-19 | 2019-09-26 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
| CN111027059A (zh) * | 2019-11-29 | 2020-04-17 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
| CN113138836A (zh) * | 2021-04-14 | 2021-07-20 | 启明星辰信息技术集团股份有限公司 | 一种基于Docker容器的防逃逸蜜罐系统及其方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667582B2 (en) * | 2007-12-10 | 2014-03-04 | Mcafee, Inc. | System, method, and computer program product for directing predetermined network traffic to a honeypot |
-
2021
- 2021-08-12 CN CN202110923385.9A patent/CN113553590B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904959B2 (en) * | 2005-04-18 | 2011-03-08 | The Trustees Of Columbia University In The City Of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
| WO2017148263A1 (zh) * | 2016-02-29 | 2017-09-08 | 阿里巴巴集团控股有限公司 | 网络攻击的防控方法、装置及系统 |
| CN106778257A (zh) * | 2016-12-08 | 2017-05-31 | 北京国电通网络技术有限公司 | 一种虚拟机防逃逸装置 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| WO2019179375A1 (zh) * | 2018-03-19 | 2019-09-26 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
| CN111027059A (zh) * | 2019-11-29 | 2020-04-17 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
| CN113138836A (zh) * | 2021-04-14 | 2021-07-20 | 启明星辰信息技术集团股份有限公司 | 一种基于Docker容器的防逃逸蜜罐系统及其方法 |
Non-Patent Citations (4)
| Title |
|---|
| Countermeasure for detection of honeypot deployment;Lai-Ming Shiue 等;《2008 International Conference on Computer and Communication Engineering》;20080729;595-599 * |
| Webshell研究综述:检测与逃逸之间的博弈;龙啸 等;《网络空间安全》;20180131;第9卷(第1期);62-68 * |
| 数世咨询《蜜罐诱捕能力指南》发布,默安获双第一;数世咨询;《http://www.hackdig.com/12/hack-2244331.htm》;20201211;全文 * |
| 蜜罐信息采集技术分析;翟继强等;《哈尔滨理工大学学报》;20070615;第12卷(第03期);69-76 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113553590A (zh) | 2021-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190158512A1 (en) | Lightweight anti-ransomware system | |
| Kendall | A database of computer attacks for the evaluation of intrusion detection systems | |
| US7398389B2 (en) | Kernel-based network security infrastructure | |
| US20090220088A1 (en) | Autonomic defense for protecting data when data tampering is detected | |
| Liang et al. | Automatic generation of buffer overflow attack signatures: An approach based on program behavior models | |
| US20150047032A1 (en) | System and method for computer security | |
| JP2018501591A (ja) | 悪意のあるコードの検出の精度保証のためのシステムおよび方法 | |
| CN105024976B (zh) | 一种高级持续威胁攻击识别方法及装置 | |
| US10839703B2 (en) | Proactive network security assessment based on benign variants of known threats | |
| US7810158B2 (en) | Methods and systems for deceptively trapping electronic worms | |
| US9489529B2 (en) | Data security system | |
| Baraka et al. | Intrusion detection system for cloud environment | |
| CN113553590B (zh) | 一种蜜罐防止攻击者逃逸的方法 | |
| Weber | A taxonomy of computer intrusions | |
| JP6738013B2 (ja) | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 | |
| Das | Attack development for intrusion detector evaluation | |
| EP1378813A2 (en) | Security policy enforcement systems | |
| CN114285608B (zh) | 一种网络攻击诱捕方法、装置、电子设备及存储介质 | |
| Jackson et al. | An investigation of a compromised host on a honeynet being used to increase the security of a large enterprise network | |
| CN112118204B (zh) | 一种Windows文件系统非法访问的感知方法及系统 | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
| Wolf | Ransomware detection | |
| Karie et al. | Cybersecurity Incident Response in the Enterprise | |
| Hieb | Anomaly-based intrusion detection for network monitoring using a dynamic honeypot | |
| Jagadish et al. | A novel prototype to secure network using malware detection framework against malware attack in wireless network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A honeypot method to prevent attackers from escaping Granted publication date: 20220329 Pledgee: Industrial Commercial Bank of China Ltd. Guangzhou third sub branch Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd. Registration number: Y2024440000004 |