CN113676472B - 电力行业可扩展式蜜罐溯源反制方法 - Google Patents

电力行业可扩展式蜜罐溯源反制方法 Download PDF

Info

Publication number
CN113676472B
CN113676472B CN202110949518.XA CN202110949518A CN113676472B CN 113676472 B CN113676472 B CN 113676472B CN 202110949518 A CN202110949518 A CN 202110949518A CN 113676472 B CN113676472 B CN 113676472B
Authority
CN
China
Prior art keywords
attack
information
tracing
reverse
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110949518.XA
Other languages
English (en)
Other versions
CN113676472A (zh
Inventor
高隽
魏如意
曹琳婧
孙毅臻
田峥
陈中伟
贺泽华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202110949518.XA priority Critical patent/CN113676472B/zh
Publication of CN113676472A publication Critical patent/CN113676472A/zh
Application granted granted Critical
Publication of CN113676472B publication Critical patent/CN113676472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种电力行业可扩展式蜜罐溯源反制方法,包括对监测到的攻击行为进行攻击情报信息汇聚的步骤;构建溯源接口的步骤;构建反制木马的步骤;将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署从而针对电力信息系统特征进行溯源反制。本发明实现了对攻击信息的主动采集、汇聚以及情报信息集成;应用代码封装、重构的方法,构建自定义溯源接口集、免杀反制木马,将溯源反制模块从原有蜜罐功能中解耦,实现了对蜜罐功能的延展;最后将自定义的溯源接口集、反制木马工具用于构建新型蜜罐模板,形成多样化的攻击诱捕组合,根据电力行业实际应用场景进行设计、编排,部署至真实的攻击入侵链路中,具备一定的扩展性与实用性。

Description

电力行业可扩展式蜜罐溯源反制方法
技术领域
本发明属于电力行业网络安全领域,具体涉及一种电力行业可扩展式蜜罐溯源反制方法。
背景技术
随着国际形势的变化,各国在网络空间的竞争更加激烈。近年网络安全事件表明,我国互联网网络安全态势逐渐严峻,以电力系统为代表的关键信息基础设施成为网络攻击的重要目标,因此,强化动态防御、主动防御能力尤为重要。
蜜罐技术是一种以“欺骗诱捕”理念为核心的主动防护技术,其通过建立专门的网络、终端、服务以及数据来伪造服务,用于吸引入侵行为,从而获取入侵者信息,最终达到延缓攻击进程、攻击诱捕溯源等安全防御效果。
不足的是,现有的主流蜜罐系统特征明显,容易被攻击者识别并标记,同时存在溯源接口易失效、反制木马难重构等问题。面对未知新型攻击手段的威胁,蜜罐系统若无法第一时间联动威胁情报、溯源取证与反制措施,则难以发挥出系统的攻击诱捕成效,改善攻防不对等的态势。
发明内容
本发明的目的在于提供一种能够提升溯源反制能力,而且扩展性强,实用性好的电力行业可扩展式蜜罐溯源反制方法。
本发明提供的这种电力行业可扩展式蜜罐溯源反制方法,包括如下步骤:
对监测到的攻击行为进行攻击情报信息汇聚的步骤;
构建溯源接口的步骤;
构建反制木马的步骤;
将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署,从而针对电力信息系统特征进行溯源反制。
所述的对监测到的攻击行为进行攻击情报信息汇聚,具体包括如下步骤:
对已部署的若干台蜜罐管理节点配置统一的syslog日志服务器地址;一旦蜜罐系统监测到攻击告警,则将告警信息传送至日志服务器;
使用自动化脚本监听syslog日志流,并对日志数据进行清洗;然后将清洗后的日志数据发送到分布式消息队列nsq中的指定订阅通道中;所述的对日志数据进行清洗包括特殊字符转义、IP信息提取、json序列化等步骤;
从nsq队列中获取到蜜罐传输过来的攻击IP信息,通过自动化脚本集成主流的情报信息查询接口,汇聚检索结果并生成基础的攻击者画像;所述的攻击者画像包括攻击源的IP地址、域名注册信息、APT组织活动信息、新型载荷信息以及各类情报平台信息等,实现基础情报信息的聚合;
对查询到的情报数据进行清洗和处理,形成结构化数据,一个真实的攻击IP对应一条数据记录,并以键值对的数据形式存入到数据库中;
对数据库的操作接口进行封装,形成统一的数据控制接口,从而对攻击数据和收集到的情报信息进行实时查询与更新,为后续的攻击溯源提供初步的取证依据,为应对潜在攻击威胁制定预防措施。
所述的构建溯源接口,具体包括如下步骤:
对已公开的第三方溯源接口进行集成,基于跨站脚本利用原理,对接口代码进行重构,以script标签形式内嵌入页面中,构建自定义接口集;
部署nginx软件模块,编译溯源接口代码并上传至安全测试平台(如xss平台),生成能够进行远程访问的url;基于HTML语言中图片标签<img>、脚本标签<script>的src属性不受浏览器同源策略限制这一特性,利用nginx反编译功能将生成的url以源路径属性的形式插入页面中,实现对溯源接口的无感集成。
所述的构建反制木马,具体包括如下步骤:
使用远程控制工具生成具有反连功能的攻击载荷,嵌入攻击载荷加载器;
对攻击载荷进行免杀操作,从而生成反制木马;
配置远控工具监听器,以保持对反连vps操作的持续监听。
所述的构建反制木马,具体包括如下步骤:构建反制木马分为攻击载荷设计与本地文件载入两步;首先构建攻击载荷:通过cobaltstrike等远控软件生成由C语言编译的shellcode;由于初步生成的shellcode特征码明显,几乎已被各大主流杀毒软件收录病毒库,直接使用可能导致反制木马被查杀,降低溯源反制成效,基于此,应用代码封装方法,采用其他编程语言对已生成的C语言shellcode进一步封装,实现高隐蔽性、易于重构的攻击载荷构建效果;本专利实施过程中主要使用Go语言实现对基础shellcode的封装,将生成的C语言shellcode通过base64加密;按照指定的替换规则替换其中的特殊字符;参考robots.txt文件格式,将加密后的shellcode进行分割,形成目标文件;再将生成的目标文件上传至互联网托管的云函数中,防止被攻击者反向利用溯源;然后本地文件载入:使用Go语言的http模块请求存放载荷的云函数的地址,获得加密后的载荷;然后使用生成文件时所用的替换规则恢复被替换的字符,并使用base64进行解码;使用Go语言的syscall模块调用解密后的shellcode;最后将木马进行编译并使用upx进行加壳、压缩,完成具有免杀功能的反制木马构建。
反制木马构建方法具有的主要特征是,使用代码封装的方式实现载荷分离的加载,使生成的攻击载荷在整个加载、运行过程中均不会触发杀毒软件的静态查杀机制;同时,采用云函数的方式进行载荷传递,保障了反制木马交互过程中的动态性;由于加密密钥存储在反制木马构建方,有效防止了攻击者进一步的逆向分析行为。
所述的将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署,从而针对电力信息系统特征进行溯源反制,具体包括如下步骤:将自定义构建的溯源接口集托管至公开或者自搭建的安全测试平台(如xss平台)中,安全测试平台提供有若干种格式的可利用的payload;在蜜罐模板页面中插入其中的一种payload达到调用溯源接口、读取攻击者浏览器缓存信息的效果;同时,在存在溯源脚本的页面中,投放多种类的反制诱饵,如设置“下载插件登陆”、“服务说明”等,诱导攻击者下载反制木马,从而构造若干种类的自定义溯源接口与反制木马的页面组合;其次,将浏览器安全漏洞与安全测试平台shell获取功能结合,实现攻击机器的权限获取,进一步完成攻击者画像。
本发明提供的这种用于电力行业的可扩展式蜜罐溯源反制方法,以全流程自动化的方式,实现了对攻击信息的主动采集、汇聚以及情报信息集成;应用代码封装、重构的方法,构建自定义溯源接口集、免杀反制木马,将溯源反制模块从原有蜜罐功能中解耦,实现了对蜜罐功能的延展;最后将自定义的溯源接口集、反制木马工具用于构建新型蜜罐模板,形成多样化的攻击诱捕组合,根据电力行业实际应用场景进行设计、编排,部署至真实的攻击入侵链路中,具备一定的扩展性与实用性。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明方法中的攻击情报信息汇聚的示意图。
图3为本发明方法中的构建溯源接口的示意图。
图4为本发明方法中的构建反制木马的示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种电力行业可扩展式蜜罐溯源反制方法,包括如下步骤:
对监测到的攻击行为进行攻击情报信息汇聚的步骤;具体包括如下步骤(如图2所示):
对已部署的若干台蜜罐管理节点配置统一的syslog日志服务器地址;一旦蜜罐系统监测到攻击告警,则将告警信息传送至日志服务器;
使用自动化脚本监听syslog日志流,并对日志数据进行清洗;然后将清洗后的日志数据发送到分布式消息队列nsq中的指定订阅通道中;所述的对日志数据进行清洗包括特殊字符转义、IP信息提取、json序列化等步骤;
从nsq队列中获取到蜜罐传输过来的攻击IP信息,通过自动化脚本集成主流的情报信息查询接口,汇聚检索结果并生成基础的攻击者画像;所述的攻击者画像包括攻击源的IP地址、域名注册信息、APT组织活动信息、新型载荷信息以及各类情报平台信息等,实现基础情报信息的聚合;
对查询到的情报数据进行清洗和处理,形成结构化数据,一个真实的攻击IP对应一条数据记录,并以键值对的数据形式存入到数据库中;
对数据库的操作接口进行封装,形成统一的数据控制接口,从而对攻击数据和收集到的情报信息进行实时查询与更新,为后续的攻击溯源提供初步的取证依据,为应对潜在攻击威胁制定预防措施;
构建溯源接口的步骤;具体包括如下步骤(如图3所示):
对已公开的第三方溯源接口进行集成,基于跨站脚本利用原理,对接口代码进行重构,以script标签形式内嵌入页面中,构建自定义接口集;
部署nginx软件模块,编译溯源接口代码并上传至安全测试平台(如xss平台),生成能够进行远程访问的url;基于HTML语言中图片标签<img>、脚本标签<script>的src属性不受浏览器同源策略限制这一特性,利用nginx反编译功能将生成的url以源路径属性的形式插入页面中,实现对溯源接口的无感集成;
构建反制木马的步骤;具体包括如下步骤(如图4所示):
使用远程控制工具生成具有反连功能的攻击载荷,嵌入攻击载荷加载器;
对攻击载荷进行免杀操作,从而生成反制木马;
配置远控工具监听器,以保持对反连vps操作的持续监听;
具体实施时,构建反制木马分为攻击载荷设计与本地文件载入两步;首先构建攻击载荷:通过cobaltstrike等远控软件生成由C语言编译的shellcode;由于初步生成的shellcode特征码明显,几乎已被各大主流杀毒软件收录病毒库,直接使用可能导致反制木马被查杀,降低溯源反制成效,基于此,应用代码封装方法,采用其他编程语言对已生成的C语言shellcode进一步封装,实现高隐蔽性、易于重构的攻击载荷构建效果;本专利实施过程中主要使用Go语言实现对基础shellcode的封装,将生成的C语言shellcode通过base64加密;按照指定的替换规则替换其中的特殊字符;参考robots.txt文件格式,将加密后的shellcode进行分割,形成目标文件;再将生成的目标文件上传至互联网托管的云函数中,防止被攻击者反向利用溯源;然后本地文件载入:使用Go语言的http模块请求存放载荷的云函数的地址,获得加密后的载荷;然后使用生成文件时所用的替换规则恢复被替换的字符,并使用base64进行解码;使用Go语言的syscall模块调用解密后的shellcode;最后将木马进行编译并使用upx进行加壳、压缩,完成具有免杀功能的反制木马构建;
反制木马构建方法具有的主要特征是,使用代码封装的方式实现载荷分离的加载,使生成的攻击载荷在整个加载、运行过程中均不会触发杀毒软件的静态查杀机制;同时,采用云函数的方式进行载荷传递,保障了反制木马交互过程中的动态性;由于加密密钥存储在反制木马构建方,有效防止了攻击者进一步的逆向分析行为;
将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署,从而针对电力信息系统特征进行溯源反制;具体包括如下步骤:将自定义构建的溯源接口集托管至公开或者自搭建的安全测试平台(如xss平台)中,安全测试平台提供有若干种格式的可利用的payload;在蜜罐模板页面中插入其中的一种payload达到调用溯源接口、读取攻击者浏览器缓存信息的效果;同时,在存在溯源脚本的页面中,投放多种类的反制诱饵,如设置“下载插件登陆”、“服务说明”等,诱导攻击者下载反制木马,从而构造若干种类的自定义溯源接口与反制木马的页面组合;其次,将浏览器安全漏洞与安全测试平台shell获取功能结合,实现攻击机器的权限获取,进一步完成攻击者画像。

Claims (4)

1.一种电力行业可扩展式蜜罐溯源反制方法,包括如下步骤:
对监测到的攻击行为进行攻击情报信息汇聚的步骤;
构建溯源接口的步骤;具体包括如下步骤:
对已公开的第三方溯源接口进行集成,基于跨站脚本利用原理,对接口代码进行重构,以script标签形式内嵌入页面中,构建自定义接口集;
部署nginx软件模块,编译溯源接口代码并上传至安全测试平台,生成能够进行远程访问的url;利用nginx反编译功能将生成的url以源路径属性的形式插入页面中,实现对溯源接口的无感集成;
构建反制木马的步骤;具体包括如下步骤:
使用远程控制工具生成具有反连功能的攻击载荷,嵌入攻击载荷加载器;
对攻击载荷进行免杀操作,从而生成反制木马;
配置远控工具监听器,以保持对反连vps操作的持续监听;
将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署,从而针对电力信息系统特征进行溯源反制。
2.根据权利要求1所述的电力行业可扩展式蜜罐溯源反制方法,其特征在于所述的对监测到的攻击行为进行攻击情报信息汇聚,具体包括如下步骤:
对已部署的若干台蜜罐管理节点配置统一的syslog日志服务器地址;一旦蜜罐系统监测到攻击告警,则将告警信息传送至日志服务器;
使用自动化脚本监听syslog日志流,并对日志数据进行清洗;然后将清洗后的日志数据发送到分布式消息队列nsq中的指定订阅通道中;所述的对日志数据进行清洗包括特殊字符转义、IP信息提取、json序列化步骤;
从nsq队列中获取到蜜罐传输过来的攻击IP信息,通过自动化脚本集成主流的情报信息查询接口,汇聚检索结果并生成基础的攻击者画像;所述的攻击者画像包括攻击源的IP地址、域名注册信息、APT组织活动信息、新型载荷信息以及各类情报平台信息,实现基础情报信息的聚合;
对查询到的情报数据进行清洗和处理,形成结构化数据,一个真实的攻击IP对应一条数据记录,并以键值对的数据形式存入到数据库中;
对数据库的操作接口进行封装,形成统一的数据控制接口,从而对攻击数据和收集到的情报信息进行实时查询与更新,为后续的攻击溯源提供初步的取证依据,为应对潜在攻击威胁制定预防措施。
3.根据权利要求2所述的电力行业可扩展式蜜罐溯源反制方法,其特征在于所述的构建反制木马,具体包括如下步骤:构建反制木马分为攻击载荷设计与本地文件载入两步;首先构建攻击载荷:通过远控软件生成由C语言编译的shellcode;应用代码封装方法,使用Go语言实现对基础shellcode的封装,将生成的C语言shellcode通过base64加密;按照指定的替换规则替换其中的特殊字符;参考robots.txt文件格式,将加密后的shellcode进行分割,形成目标文件;再将生成的目标文件上传至互联网托管的云函数中,防止被攻击者反向利用溯源;然后本地文件载入:使用Go语言的http模块请求存放载荷的云函数的地址,获得加密后的载荷;然后使用生成文件时所用的替换规则恢复被替换的字符,并使用base64进行解码;使用Go语言的syscall模块调用解密后的shellcode;最后将木马进行编译并使用upx进行加壳、压缩,完成具有免杀功能的反制木马构建;
反制木马构建方法包括如下特征:使用代码封装的方式实现载荷分离的加载,使生成的攻击载荷在加载、运行过程中均不会触发杀毒软件的静态查杀机制;同时,采用云函数的方式进行载荷传递,保障了反制木马交互过程中的动态性;由于加密密钥存储在反制木马构建方,有效防止了攻击者进一步的逆向分析行为。
4.根据权利要求1所述的电力行业可扩展式蜜罐溯源反制方法,其特征在于所述的将构建的溯源接口和反制木马融合到蜜罐模板中,作为蜜罐节点部署,从而针对电力信息系统特征进行溯源反制,具体包括如下步骤:将自定义构建的溯源接口集托管至公开或者自搭建的安全测试平台中,安全测试平台提供有若干种格式的可利用的payload;在蜜罐模板页面中插入其中的一种payload达到调用溯源接口、读取攻击者浏览器缓存信息的效果;同时,在存在溯源脚本的页面中,投放多种类的反制诱饵,诱导攻击者下载反制木马,从而构造若干种类的自定义溯源接口与反制木马的页面组合;其次,将浏览器安全漏洞与安全测试平台shell获取功能结合,实现攻击机器的权限获取,进一步完成攻击者画像。
CN202110949518.XA 2021-08-18 2021-08-18 电力行业可扩展式蜜罐溯源反制方法 Active CN113676472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110949518.XA CN113676472B (zh) 2021-08-18 2021-08-18 电力行业可扩展式蜜罐溯源反制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110949518.XA CN113676472B (zh) 2021-08-18 2021-08-18 电力行业可扩展式蜜罐溯源反制方法

Publications (2)

Publication Number Publication Date
CN113676472A CN113676472A (zh) 2021-11-19
CN113676472B true CN113676472B (zh) 2023-05-02

Family

ID=78543614

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110949518.XA Active CN113676472B (zh) 2021-08-18 2021-08-18 电力行业可扩展式蜜罐溯源反制方法

Country Status (1)

Country Link
CN (1) CN113676472B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114363017A (zh) * 2021-12-20 2022-04-15 北京华云安信息技术有限公司 系统函数调用方法、装置、设备和存储介质
CN113992444A (zh) * 2021-12-28 2022-01-28 中孚安全技术有限公司 一种基于主机防御的网络攻击溯源与反制系统
CN115242466A (zh) * 2022-07-04 2022-10-25 北京华圣龙源科技有限公司 一种基于高仿真虚拟环境的入侵主动诱捕系统和方法
CN115134166B (zh) * 2022-08-02 2024-01-26 软极网络技术(北京)有限公司 一种基于蜜洞的攻击溯源方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN109495443A (zh) * 2018-09-13 2019-03-19 中国科学院信息工程研究所 一种基于主机蜜罐对抗勒索软件攻击的方法和系统
CN111818062A (zh) * 2020-07-10 2020-10-23 四川长虹电器股份有限公司 基于Docker的CentOS高交互蜜罐系统及其实现方法
CN112615863A (zh) * 2020-12-18 2021-04-06 成都知道创宇信息技术有限公司 反制攻击主机的方法、装置、服务器及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107135187A (zh) * 2016-02-29 2017-09-05 阿里巴巴集团控股有限公司 网络攻击的防控方法、装置及系统
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现系统及方法
CN109302426B (zh) * 2018-11-30 2021-04-13 东软集团股份有限公司 未知漏洞攻击检测方法、装置、设备及存储介质
CN109889488A (zh) * 2018-12-29 2019-06-14 江苏博智软件科技股份有限公司 一种基于云部署的工控网络蜜网安全防护系统
CN110855697A (zh) * 2019-11-20 2020-02-28 国网湖南省电力有限公司 电力行业网络安全的主动防御方法
CN111404934B (zh) * 2020-03-16 2021-01-29 广州锦行网络科技有限公司 基于动静结合方式和蜜标技术的网络攻击溯源方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102739647A (zh) * 2012-05-23 2012-10-17 国家计算机网络与信息安全管理中心 基于高交互蜜罐的网络安全系统及实现方法
CN109495443A (zh) * 2018-09-13 2019-03-19 中国科学院信息工程研究所 一种基于主机蜜罐对抗勒索软件攻击的方法和系统
CN111818062A (zh) * 2020-07-10 2020-10-23 四川长虹电器股份有限公司 基于Docker的CentOS高交互蜜罐系统及其实现方法
CN112615863A (zh) * 2020-12-18 2021-04-06 成都知道创宇信息技术有限公司 反制攻击主机的方法、装置、服务器及存储介质

Also Published As

Publication number Publication date
CN113676472A (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
CN113676472B (zh) 电力行业可扩展式蜜罐溯源反制方法
Antonakakis et al. Understanding the mirai botnet
CN112383546B (zh) 一种处理网络攻击行为的方法、相关设备及存储介质
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
US9356950B2 (en) Evaluating URLS for malicious content
US9769204B2 (en) Distributed system for Bot detection
US7464407B2 (en) Attack defending system and attack defending method
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US20150326588A1 (en) System and method for directing malicous activity to a monitoring system
JP2017538376A (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
CN112995151B (zh) 访问行为处理方法和装置、存储介质及电子设备
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及系统
CN111314276A (zh) 一种对多个攻击行为检测的方法、装置及系统
Ko et al. Management platform of threats information in IoT environment
Joshi et al. Fundamentals of Network Forensics
CN105577670A (zh) 一种撞库攻击的告警系统
Gupta HoneyKube: designing a honeypot using microservices-based architecture
Srinivasa et al. Interaction matters: a comprehensive analysis and a dataset of hybrid IoT/OT honeypots
Serbanescu et al. A scalable honeynet architecture for industrial control systems
US11757915B2 (en) Exercising security control point (SCP) capabilities on live systems based on internal validation processing
Nicholson et al. An initial investigation into attribution in SCADA systems
CN116781331A (zh) 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置
CN112565296A (zh) 安全防护方法、装置、电子设备和存储介质
WO2023116045A1 (zh) 攻击成功识别方法及防护系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant