CN113949520B - 欺骗诱捕的方法、装置、计算机设备和可读存储介质 - Google Patents
欺骗诱捕的方法、装置、计算机设备和可读存储介质 Download PDFInfo
- Publication number
- CN113949520B CN113949520B CN202010609119.4A CN202010609119A CN113949520B CN 113949520 B CN113949520 B CN 113949520B CN 202010609119 A CN202010609119 A CN 202010609119A CN 113949520 B CN113949520 B CN 113949520B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- network
- instance
- traffic
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 65
- 230000004044 response Effects 0.000 claims description 35
- 238000004088 simulation Methods 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 12
- 230000003068 static effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 230000009194 climbing Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 4
- 238000001926 trapping method Methods 0.000 abstract description 16
- 230000008569 process Effects 0.000 description 14
- 235000012907 honey Nutrition 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000009193 crawling Effects 0.000 description 3
- 230000003111 delayed effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002035 prolonged effect Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种欺骗诱捕的方法、装置、计算机设备和可读存储介质。该欺骗诱捕的方法包括:检测第一网络地址的网络流量;以及当检测到网络流量为攻击流量时,将网络流量牵引至路由策略指示的蜜罐实例,其中,路由策略用于指示第一网络地址至多个蜜罐实例的路由,蜜罐实例的网络地址与第一网络地址不同。通过本发明,能够提升欺骗诱捕的有效性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种欺骗诱捕的方法、装置、计算机设备和可读存储介质。
背景技术
目前,欺骗诱捕的方法主要使用蜜罐或蜜网技术,蜜罐本质上是一种对攻击方进行欺骗的技术,通过对外网暴露蜜罐服务的域名、IP和端口来吸引攻击,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
现有技术中的欺骗诱捕的方法,每个对外网暴露的蜜罐服务端口,与一个仿真真实业务的蜜罐实例绑定,当攻击者访问该端口时,通过在该端口绑定的蜜罐实例实现诱捕,发明人研究发现,该欺骗诱捕的方法存在以下的问题:对于高业务种类覆盖的蜜罐实例,每个蜜罐实例与一个服务端口绑定,因而需要大量外网IP和端口。
发明内容
本发明的目的是提供一种欺骗诱捕的方法、装置、计算机设备和可读存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种欺骗诱捕的方法。
该欺骗诱捕的方法包括:检测第一网络地址的网络流量;以及当检测到所述网络流量为攻击流量时,将所述网络流量牵引至路由策略指示的蜜罐实例,其中,所述路由策略用于指示所述第一网络地址至多个蜜罐实例的路由,所述蜜罐实例的网络地址与所述第一网络地址不同。
进一步地,所述路由策略包括攻击特征与蜜罐实例的对应关系,当检测到所述网络流量为攻击流量时,将所述网络流量牵引至所述路由策略指示的蜜罐实例的步骤包括:当检测到所述网络流量为攻击流量时,提取所述网络流量的攻击特征;根据所述攻击特征和所述路由策略中攻击特征与蜜罐实例的对应关系,确定所述网络流量对应的蜜罐实例,得到目标蜜罐实例;将所述网络流量牵引至所述目标蜜罐实例。
进一步地,当检测到所述网络流量为攻击流量时,在将所述网络流量牵引至所述路由策略指示的蜜罐实例的步骤之后,所述欺骗诱捕的方法还包括:发送欺骗响应报文至所述网络流量对应的攻击者。
进一步地,发送欺骗响应报文至所述网络流量对应的攻击者的步骤包括:发送预设的静态欺骗响应报文至所述网络流量对应的攻击者;或者提取所述网络流量的攻击特征,根据所述攻击特征构造动态欺骗响应报文,并发送所述动态欺骗响应报文至所述网络流量对应的攻击者。
进一步地,所述欺骗响应报文中包括多个模拟的开放端口的信息,用于引导所述攻击者访问所述开放端口,所述欺骗诱捕的方法还包括:在网络层模拟多个所述开放端口。
进一步地,所述欺骗诱捕的方法还包括:确定仿真资产的内容,其中,所述仿真资产的内容至少包括以下之一:真实业务IP、爬取的内网资产、协议中录制的资产、全网范围内的网络设备指纹信息对应的设备;按照预定策略进行资产仿真;当所述攻击者访问所述开放端口时,向所述攻击者发送仿真后的资产信息。
进一步地,所述欺骗诱捕的方法还包括:获取所述网络流量对应的攻击者在网络层的操作数据;以及在所述操作数据中插入预设追踪工具。
另一方面,为实现上述目的,本发明提供了一种欺骗诱捕的装置。
该欺骗诱捕的装置包括:检测模块,用于检测第一网络地址的网络流量;以及路由模块,用于当检测到所述网络流量为攻击流量时,将所述网络流量牵引至路由策略指示的蜜罐实例,其中,所述路由策略用于指示所述第一网络地址至多个蜜罐实例的路由,所述蜜罐实例的网络地址与所述第一网络地址不同。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的欺骗诱捕的方法、装置、计算机设备和可读存储介质,将第一网络地址作为暴露在公网上的蜜罐服务地址,并不是蜜罐实例所在的网络地址,第一网络地址可对应多个蜜罐实例,且第一网络地址与各个蜜罐实例的对应关系,由第一网络地址至多个蜜罐实例的路由策略限定;然后在网络安全攻防过程中,对第一网络地址的网络流量进行检测,当检测到网络流量为攻击流量时,将该网络流量牵引至路由策略指示的蜜罐实例。通过本发明,可将多个蜜罐实例对应至第一网络地址,减少实施欺骗诱捕对外网IP和端口的需求。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的欺骗诱捕的方法的流程图;
图2为本发明实施例二提供的欺骗诱捕的方法的流程图;
图3为本发明实施例三提供的欺骗诱捕的装置的框图;
图4为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提升对网络攻击进行欺骗诱捕过程中的资源利用率,降低对外网IP和端口等资源的占用需求,本发明提出了一种欺骗诱捕的方法、装置、计算机设备和可读存储介质,在本发明提供的欺骗诱捕的方法中,对外网暴露的蜜罐服务地址(也即第一网络地址),与多个仿真真实业务的蜜罐实例相对应,可预先或实时对第一网络地址与各个蜜罐实例的路由策略进行配置,并对第一网络地址的网络流量进行检测,当攻击者访问第一网络地址时,检测到网络流量为攻击流量,此时,先将网络流量牵引至路由策略指示的蜜罐实例,进而通过蜜罐实例实现诱捕,当正常访问者访问第一网络地址时,检测到网络流量不为攻击流量,此时,可以通过第一网络地址上正常的业务员服务对访问请求进行响应。
从中可以看出,多个蜜罐实例可以与一个服务网络地址绑定,无需要大量外网IP和端口,此外,对外网暴露的蜜罐服务网络地址可以是真实业务的域名、外网IP,能够增加受攻击次数,实现有效诱捕,可以对外网暴露的是真实业务,蜜罐实例通过配置的路由策略进行流量牵引,对于攻击者来说,不易识破蜜罐实例的设置。
关于本发明提供的欺骗诱捕的方法、装置、计算机设备和可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种欺骗诱捕的方法,具体地,图1为本发明实施例二提供的欺骗诱捕的方法的流程图,如图1所示,该实施例提供的欺骗诱捕的方法包括如下的步骤S101至步骤S102。
步骤S101:检测第一网络地址的网络流量。
步骤S102:当检测到网络流量为攻击流量时,将网络流量牵引至路由策略指示的蜜罐实例。
其中,路由策略用于指示第一网络地址至多个蜜罐实例的路由,蜜罐实例的网络地址与第一网络地址不同。
具体地,上述第一网络地址可以为IP地址+端口号,蜜罐实例并不直接绑定在该第一网络地址上,各个蜜罐实例设置于其他网络地址,攻击者在访问第一网络地址后,具体的访问请求达到哪一个蜜罐实例,由配置的第一网络地址至多个蜜罐实例的路由策略来限定。其中,该路由策略可以根据需要基于任意的条件进行配置,例如,该路由策略被配置为随机策略,或者可以为基于时间参数的策略,或者也可以为基于攻击特征的策略,或者也可以为基于诱骗目的的策略等,本申请对此并不进行限定。
例如,第一网络地址对应N个蜜罐实例,该第一网络地址与该N个蜜罐实例之间的路由关系,由第一网络地址至N个蜜罐实例的路由策略限定,攻击者在访问第一网络地址后,根据路由策略,在N个蜜罐实例中确定一个蜜罐实例进行处理。
可选地,可设置路由策略的配置界面,用户可通过该配置界面,对第一网络地址和蜜罐实例之间的路由策略进行配置,配置保存后生成配置文件;可选地,用户可将第一网络地址和蜜罐实例之间的路由策略直接写入配置文件。后续在读取路由策略时,读取配置文件的内容即可。
其中,需要说明的是,第一网络地址中的“第一”仅是一种命名标识,并不构成次序上的限定。
在上述步骤S102中,通过网络流量的检测工具,对第一网络地址的网络流量进行威胁检测。具体地,网络流量的检测工具可设置威胁判定的规则,通过判定网络流量的特征是否命中威胁规则来确定网络流程是否为攻击流量,例如网络流量对应的网络行为属于暴力破解口令的行为,属于遍历目录的行为等等,该网络流量属于攻击流量。关于对网络流量进行威胁检测的具体方法,可以采用现有技术中任意的威胁检测方法,对此不再进行赘述。
当检测到网络流量为攻击流量时,根据路由策略,通过控制网络层路由,实施流量牵引,将访问请求牵引至路由策略指示的蜜罐实例,也即牵引至诱捕业务模块,进而由蜜罐实例进行后续的诱捕行为。
在该实施例提供的欺骗诱捕的方法中,将第一网络地址作为暴露在公网上的蜜罐服务地址,并不是蜜罐实例所在的网络地址,第一网络地址可对应多个蜜罐实例,且第一网络地址与各个蜜罐实例的对应关系,由第一网络地址至多个蜜罐实例的路由策略限定;然后在网络安全攻防过程中,对第一网络地址的网络流量进行检测,当检测到网络流量为攻击流量时,将该网络流量牵引至路由策略指示的蜜罐实例。
在现有技术中,每个蜜罐实例与一个服务端口绑定,蜜罐实例的网络地址作为暴露在公网上的蜜罐服务地址,蜜罐实例作为非真实的业务,其域名、外网IP的知名度均较低,因此被攻击的次数少,无法对攻击者进行有效诱捕。而采用该实施例提供的欺骗诱捕的方法,蜜罐实例的网络地址并不直接作为暴露在公网上的蜜罐服务地址,而是将一个第三方网络地址,也即第一网络地址作为暴露在公网上的蜜罐服务地址,并配置第一网络地址至蜜罐实例的路由策略,以将攻击流量由第一网络地址牵引至路由策略指示的蜜罐实例,由此,当攻击者访问第一网络地址时,攻击流量能够被牵引至蜜罐实例,也即能够保证攻击流量达到蜜罐实例,从而蜜罐实例能够进行后续的诱捕行为,因此,可灵活设置第一网络地址,而无需受蜜罐实例的限制,可将真实业务的网络地址作为第一网络地址,第一网络地址上的正常网络流量不做流量牵引,可到达真实业务的服务,由真实业务的服务进行响应,攻击流量被牵引至蜜罐实例。对于攻击者而言,暴露在公网上的蜜罐服务地址是真实业务的网络地址,因此,相比现有技术,能够增加受攻击次数,进而能够实现有效诱捕。
在现有技术中,每个蜜罐实例与一个服务端口绑定,对于高业务种类覆盖的蜜罐实例,需要大量的外网IP和端口。而采用该实施例提供的欺骗诱捕的方法,多个蜜罐实例对应一个暴露在外网的蜜罐服务端口,从而减少了实施欺骗诱捕对外网IP和端口的需求。
在现有技术中,对外网暴露的蜜罐实例,很难做到完全仿真真实业务,容易被攻击者识破。而采用该实施例提供的欺骗诱捕的方法,蜜罐实例并不直接对外网暴露,对外网暴露的是与蜜罐实例对应的第三方网络地址,将真实业务的网络地址作为第三方网络地址,攻击流量可被牵引至蜜罐实例,对攻击者而言,无法获知第三方网络地址后的流量牵引行为,从而无法识破第三方网络地址后所布置的蜜罐实例,有利于实时欺骗诱捕,同时,使用真实业务IP及端口对接攻击者,通过蜜罐攻击日志可统计各真实业务受攻击情况。
综上所述,采用该实施例提供的欺骗诱捕的方法,相对于现有技术,能够从以上至少一个方面提升欺骗诱捕的有效性。
实施例二
本发明实施例二提供了一种欺骗诱捕的方法,具体地,图2为本发明实施例二提供的欺骗诱捕的方法的流程图,如图2所示,该实施例提供的欺骗诱捕的方法包括如下的步骤S201至步骤S203。
步骤S201:配置第一网络地址至多个蜜罐实例的路由策略。
其中,各个蜜罐实例的网络地址与第一网络地址不同。
需要说明的是,该配置步骤可以在欺骗诱捕过程中一次或多次配置,也可以预配置一次,后续步骤S203中根据该步骤S201配置的路由策略进行流量牵引。
步骤S202:实时检测第一网络地址的网络流量。
步骤S203:当检测到网络流量为攻击流量时,实时将网络流量牵引至路由策略指示的蜜罐实例。
在该实施例中,实时对第一网络地址的网络流量进行检测,并在检测到攻击流量时,实时根据步骤S201中配置的路由策略,通过控制网络层路由,实施流量牵引,将访问请求牵引至路由策略指示的蜜罐实例,也即牵引至诱捕业务模块,进而由蜜罐实例进行后续的诱捕行为。
可选地,在一种实施例中,路由策略包括攻击特征与蜜罐实例的对应关系,该路由策略为基于网络流量的攻击特征构建的路由策略。其中,网络流量的攻击特征可包括威胁类型、威胁等级、攻击结果以及攻击者类型等特征,路由策略相应可以为威胁类型与蜜罐实例的对应关系、威胁等级与蜜罐实例的对应关系、攻击结果与蜜罐实例的对应关系以及攻击者类型与蜜罐实例的对应关系等。基于网络流量的威胁类型构建的路由策略,可将不同威胁类型的网络流量牵引至不同的蜜罐实例;基于网络流量的威胁等级构建的路由策略,可将不同威胁等级的网络流量牵引至不同的蜜罐实例;基于网络流量的攻击结果构建的路由策略,可将不同攻击结果的网络流量牵引至不同的蜜罐实例;基于网络流量的攻击者类型构建的路由策略,可将不同攻击者类型的网络流量牵引至不同的蜜罐实例。
进一步可选地,针对基于网络流量的攻击特征构建的路由策略,当检测到网络流量为攻击流量时,将网络流量牵引至路由策略指示的蜜罐实例的步骤包括:当检测到网络流量为攻击流量时,提取网络流量的攻击特征,具体的提取方法可基于要提取的攻击特征不同而不同,针对某一种攻击特征的提取方法可以采用现有技术中任意可实现攻击特征提取的方法,本申请对此不再赘述;根据从攻击流量中提取的攻击特征以及路由策略中攻击特征与蜜罐实例的对应关系,能够确定网络流量对应的蜜罐实例,得到目标蜜罐实例;将网络流量牵引至目标蜜罐实例。
采用该实施例提供的欺骗诱捕的方法,基于攻击特征构建的路由策略,在检测攻击流量后,根据攻击流量的攻击特征确定目标蜜罐实例,以将攻击流量牵引至目标蜜罐实例,能够将满足特定攻击特征的攻击流量牵引至特定的蜜罐实例。
可选地,在一种实施例中,当检测到网络流量为攻击流量时,在将网络流量牵引至路由策略指示的蜜罐实例的步骤之后,欺骗诱捕的方法还包括:发送欺骗响应报文至网络流量对应的攻击者。
采用该实施例提供的欺骗诱捕的方法,在将网络流量牵引至蜜罐实例之后,向网络流量对应的攻击者发送欺骗响应报文,从而造成攻击者误以为攻击成功,起到迷惑攻击者以及误导攻击者的作用,基于此,可使攻击者实施下一步的攻击行为,以提升欺骗诱捕的可能性,同时,也可增加攻击者的攻击资源消耗,增加攻击工作量,干扰和延缓攻击过程,拖延攻击时间,为防守方在检测、溯源和防御上争取更多的时间窗口。
进一步可选地,在一种实施例中,发送欺骗响应报文至网络流量对应的攻击者的步骤包括:发送预设的静态欺骗响应报文至网络流量对应的攻击者。
采用该实施例提供的欺骗诱捕的方法,预设静态欺骗响应报文,能够快速将欺骗响应报文反馈至攻击者。
进一步可选地,在另一种实施例中,发送欺骗响应报文至网络流量对应的攻击者的步骤包括:提取网络流量的攻击特征,根据攻击特征构造动态欺骗响应报文,并发送动态欺骗响应报文至网络流量对应的攻击者。
采用该实施例提供的欺骗诱捕的方法,依据流量的攻击特征,动态构造命中特征后的动态欺骗响应报文,实现基于攻击特征不同而发生变化的个性化的欺骗响应。由于动态欺骗响应报文,根据攻击特征的不同,进行动态构建,相比固定内容的静态响应报文,能够有效提升识别难度,进一步提升可信性,进而增强欺骗诱捕成功的概率。
无论发送静态欺骗响应报文还是动态欺骗响应报文,可选地,在一种实施例中,欺骗响应报文用于指示攻击者访问模拟的开放端口,欺骗诱捕的方法还包括:在网络层模拟多个开放端口。
采用该实施例提供的欺骗诱捕的方法,设置指示攻击者访问模拟的开放端口的欺骗响应报文,并在网络层模拟大量的开放端口,诱使攻击者访问该开放端口,增加攻击者的攻击资源消耗,增加攻击工作量,干扰和延缓攻击过程,拖延攻击时间,为防守方在检测、溯源和防御上争取更多的时间窗口。其中,在该实施例中,通过模拟多个开放端口以消耗攻击者更多的资源和时间,为诱捕方赢得更多的时间。
可选地,在一种实施例中,若在网络层模拟开放端口,欺骗诱捕的方法还包括:确定仿真资产的内容,其中,仿真资产的内容至少包括以下之一:真实业务IP、爬取的内网资产、协议中录制的资产、全网范围内的网络设备指纹信息对应的设备;按照预定策略进行资产仿真;当攻击者访问开放端口时,向攻击者发送仿真后的资产信息。具体而言,在确定仿真资产的内容后,按照预定策略进行资产仿真,具体可以包括基于不同策略的仿真,可选地,可设置资产高仿模块,实现资产的仿真。其中,资产高仿模块可以包括:真实业务IP高仿单元、协议录制资产高仿单元、主动爬取的资产高仿单元和多设备仿真的资产高仿单元中的一个或者多个。其中,真实业务IP高仿单元用于对真实业务中使用的IP地址进行仿真,协议录制资产高仿单元用于从协议中提取资产信息,并进行仿真;主动爬取的资产高仿单元可根据配置生成主动爬取策略,基于主动爬取策略对内网资产进行主动爬取,再对爬取的资产进行仿真,得到仿真资产;多设备仿真的资产高仿单元通过提取全网范围内的网络设备指纹banner信息,进行设备模拟,得到仿真资产。或者,也可采用现有技术中的其他仿真资产的方法。无论以何种方法仿真资产,当攻击者访问开放端口时,将资产的信息作为端口返回的响应信息,控制攻击者对目标资产的发现,起到迷惑攻击者的作用。
采用该实施例提供的欺骗诱捕的方法,进行资产仿真,并在攻击者访问开放端口时,向攻击者返回仿真后的资产信息,控制攻击者对目标资产的发现,增加攻击者的攻击资源消耗,增加攻击工作量,干扰和延缓攻击过程,拖延攻击时间,为防守方在检测、溯源和防御上争取更多的时间窗口。
需要说明的是,在其他的实施例中,为了防止真实资产信息的完全暴露,也可以在获取真实的资产信息后,在仿真过程中,通过添加干扰信息或者改变、替代、隐匿、虚构部分真实资产信息,从而使得仿真后的资产信息源于真实资产,但又并非完全真实的资产信息,以防止全部真实资产信息暴露所带来的不良后果。
可选地,在一种实施例中,欺骗诱捕的方法还包括:获取网络流量对应的攻击者在网络层的操作数据;以及在操作数据中插入预设追踪工具。
具体而言,攻击者在网络层的操作数据可包括被下载的文件、被访问的网页等,预设追踪工具包括在被访问的网页中插入特定的代码,或者在被下载的文件中插入的追踪程序。在识别攻击行为后,通过在网络层替换被下载文件、被访问的网页等插入代码或加入追踪程序,起到对攻击者溯源取证的作用。
采用该实施例提供的欺骗诱捕的方法,对攻击者在网络层的操作数据中插入预设追踪工具,实现对攻击者进行反制。
实施例三
对应于上述实施例一,本发明实施例三提供了一种欺骗诱捕的装置,对应的技术特征和相应地技术效果可参考上述实施例一,该处不再赘述。图3为本发明实施例三提供的欺骗诱捕的装置的框图,如图3所示,该装置包括检测模块301和路由模块302。
检测模块301用于检测所述第一网络地址的网络流量;以及路由模块302用于当检测到所述网络流量为攻击流量时,将所述网络流量牵引至所述路由策略指示的蜜罐实例,其中,所述路由策略用于指示所述第一网络地址至多个蜜罐实例的路由,所述蜜罐实例的网络地址与所述第一网络地址不同。
可选地,在一种实施例中,所述路由策略包括所述攻击特征与所述蜜罐实例的对应关系,路由模块302包括提取单元、确定单元和路由单元,其中,提取单元用于当检测到所述网络流量为攻击流量时,提取所述网络流量的攻击特征;确定单元用于根据所述攻击特征和所述路由策略确定所述网络流量对应的蜜罐实例,得到目标蜜罐实例;路由单元用于将所述网络流量牵引至所述目标蜜罐实例。
可选地,在一种实施例中,所述欺骗诱捕的装置还包括:第一发送模块,用于当路由模块302检测到所述网络流量为攻击流量时,将所述网络流量牵引至所述路由策略指示的蜜罐实例的之后,发送欺骗响应报文至所述网络流量对应的攻击者。
可选地,在一种实施例中,第一发送模块包括第一发送单元和第二发送单元,其中,第一发送单元用于发送预设的静态欺骗响应报文至所述网络流量对应的攻击者;第二发送单元用于提取所述网络流量的攻击特征,根据所述攻击特征构造动态欺骗响应报文,并发送所述动态欺骗响应报文至所述网络流量对应的攻击者。
可选地,在一种实施例中,所述欺骗响应报文中包括多个模拟的开放端口的信息,用于引导所述攻击者访问所述开放端口,所述欺骗诱捕的装置还包括模拟模块,用于在网络层模拟多个所述开放端口。
可选地,在一种实施例中,所述欺骗诱捕的装置还包括:确定模块、仿真模块和第二发送模块,其中,确定模块,用于确定仿真资产的内容,其中,所述仿真资产的内容至少包括以下之一:真实业务IP、爬取的内网资产、协议中录制的资产、全网范围内的网络设备指纹信息对应的设备;仿真模块,用于按照预定策略进行资产仿真;第二发送模块,用于当所述攻击者访问所述开放端口时,向所述攻击者发送仿真后的资产信息。
可选地,在一种实施例中,所述欺骗诱捕的装置还包括获取模块和处理模块,其中,获取模块用于获取所述网络流量对应的攻击者在网络层的操作数据;处理模块用于在所述操作数据中插入预设追踪工具。
实施例四
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例二的欺骗诱捕的装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如欺骗诱捕的方法等。
实施例五
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储欺骗诱捕的装置,被处理器执行时实现实施例一的欺骗诱捕的方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种欺骗诱捕的方法,其特征在于,包括:
检测第一网络地址的网络流量;以及
当检测到所述网络流量为攻击流量时,将所述网络流量牵引至路由策略指示的蜜罐实例,其中,所述路由策略用于指示所述第一网络地址至多个蜜罐实例的路由,所述蜜罐实例的网络地址与所述第一网络地址不同,
所述路由策略包括攻击特征与蜜罐实例的对应关系,当检测到所述网络流量为攻击流量时,将所述网络流量牵引至所述路由策略指示的蜜罐实例的步骤包括:当检测到所述网络流量为攻击流量时,提取所述网络流量的攻击特征;根据所述攻击特征和所述路由策略中攻击特征与蜜罐实例的对应关系,确定所述网络流量对应的蜜罐实例,得到目标蜜罐实例;将所述网络流量牵引至所述目标蜜罐实例。
2.根据权利要求1所述的欺骗诱捕的方法,其特征在于,当检测到所述网络流量为攻击流量时,在将所述网络流量牵引至所述路由策略指示的蜜罐实例的步骤之后,所述欺骗诱捕的方法还包括:
发送欺骗响应报文至所述网络流量对应的攻击者。
3.根据权利要求2所述的欺骗诱捕的方法,其特征在于,发送欺骗响应报文至所述网络流量对应的攻击者的步骤包括:
发送预设的静态欺骗响应报文至所述网络流量对应的攻击者;或者
提取所述网络流量的攻击特征,根据所述攻击特征构造动态欺骗响应报文,并发送所述动态欺骗响应报文至所述网络流量对应的攻击者。
4.根据权利要求2所述的欺骗诱捕的方法,其特征在于,所述欺骗响应报文中包括多个模拟的开放端口的信息,用于引导所述攻击者访问所述开放端口,所述欺骗诱捕的方法还包括:
在网络层模拟多个所述开放端口。
5.根据权利要求4所述的欺骗诱捕的方法,其特征在于,所述欺骗诱捕的方法还包括:
确定仿真资产的内容,其中,所述仿真资产的内容至少包括以下之一:真实业务IP、爬取的内网资产、协议中录制的资产、全网范围内的网络设备指纹信息对应的设备;
按照预定策略进行资产仿真;
当所述攻击者访问所述开放端口时,向所述攻击者发送仿真后的资产信息。
6.根据权利要求1所述的欺骗诱捕的方法,其特征在于,所述欺骗诱捕的方法还包括:
获取所述网络流量对应的攻击者在网络层的操作数据;以及
在所述操作数据中插入预设追踪工具。
7.一种欺骗诱捕的装置,其特征在于,包括:
检测模块,用于检测第一网络地址的网络流量;以及
路由模块,用于当检测到所述网络流量为攻击流量时,将所述网络流量牵引至路由策略指示的蜜罐实例,其中,所述路由策略用于指示所述第一网络地址至多个蜜罐实例的路由,所述蜜罐实例的网络地址与所述第一网络地址不同,
所述路由策略包括攻击特征与所述蜜罐实例的对应关系,所述路由模块包括提取单元、确定单元和路由单元,其中,所述提取单元用于当检测到所述网络流量为攻击流量时,提取所述网络流量的攻击特征;所述确定单元用于根据所述攻击特征和所述路由策略中攻击特征与蜜罐实例的对应关系,确定所述网络流量对应的蜜罐实例,得到目标蜜罐实例;所述路由单元用于将所述网络流量牵引至所述目标蜜罐实例。
8.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010609119.4A CN113949520B (zh) | 2020-06-29 | 2020-06-29 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010609119.4A CN113949520B (zh) | 2020-06-29 | 2020-06-29 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113949520A CN113949520A (zh) | 2022-01-18 |
| CN113949520B true CN113949520B (zh) | 2024-02-09 |
Family
ID=79325781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010609119.4A Active CN113949520B (zh) | 2020-06-29 | 2020-06-29 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949520B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500026B (zh) * | 2022-01-20 | 2024-10-11 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN114629691A (zh) * | 2022-02-25 | 2022-06-14 | 北京珞安科技有限责任公司 | 数据处理方法、装置以及存储介质 |
| CN115150175B (zh) * | 2022-07-05 | 2024-05-24 | 云南电网有限责任公司 | 面向电力系统独立网络攻击的边缘数据引流诱捕方法 |
| CN117081862B (zh) * | 2023-10-16 | 2024-01-26 | 北京安天网络安全技术有限公司 | 一种局域网安全防御方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746956A (zh) * | 2012-09-28 | 2014-04-23 | 瞻博网络公司 | 虚拟蜜罐 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12069092B2 (en) * | 2018-10-30 | 2024-08-20 | Charter Communications Operating, Llc | Network security attack detection and mitigation solution using honeypots |
-
2020
- 2020-06-29 CN CN202010609119.4A patent/CN113949520B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103746956A (zh) * | 2012-09-28 | 2014-04-23 | 瞻博网络公司 | 虚拟蜜罐 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110995763A (zh) * | 2019-12-26 | 2020-04-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113949520A (zh) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113949520B (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| US11196746B2 (en) | Whitelisting of trusted accessors to restricted web pages | |
| Voris et al. | Bait and snitch: Defending computer systems with decoys | |
| US20140157415A1 (en) | Information security analysis using game theory and simulation | |
| CN111931166A (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| Apruzzese et al. | Spacephish: The evasion-space of adversarial attacks against phishing website detectors using machine learning | |
| CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
| CN112242974A (zh) | 基于行为的攻击检测方法、装置、计算设备及存储介质 | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| Mphago et al. | Deception in dynamic web application honeypots: Case of glastopf | |
| CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN114285626A (zh) | 一种蜜罐攻击链构建方法及蜜罐系统 | |
| CN114095264A (zh) | 一种蜜罐系统的高交互溯源方法、装备及硬件 | |
| CN117544335A (zh) | 诱饵激活方法、装置、设备及存储介质 | |
| Pitropakis et al. | If you want to know about a hunter, study his prey: detection of network based attacks on KVM based cloud environments | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 | |
| Gadelrab et al. | Execution patterns in automatic malware and human-centric attacks | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN118233223B (zh) | 面向四蜜动态防御体系的控守图构建方法 | |
| CN114143105B (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |