CN113992368B - 一种基于定向引流的蜜罐集群检测方法及系统 - Google Patents
一种基于定向引流的蜜罐集群检测方法及系统 Download PDFInfo
- Publication number
- CN113992368B CN113992368B CN202111209064.9A CN202111209064A CN113992368B CN 113992368 B CN113992368 B CN 113992368B CN 202111209064 A CN202111209064 A CN 202111209064A CN 113992368 B CN113992368 B CN 113992368B
- Authority
- CN
- China
- Prior art keywords
- flow data
- data
- honeypot
- type
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 235000012907 honey Nutrition 0.000 claims abstract description 38
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 3
- 241000264877 Hippospongia communis Species 0.000 claims 4
- 230000009286 beneficial effect Effects 0.000 abstract description 8
- 230000000694 effects Effects 0.000 abstract 1
- 238000012546 transfer Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于定向引流的蜜罐集群检测方法及系统,属于蜜罐领域,其方法包括业务系统判断流量数据是否为攻击性数据;在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理。攻击者在攻击时进入的均是业务系统,在攻击者产生请求动作时,包括访问请求、上传请求和下发请求,产生对应的流量数据。此时业务系统对流量数据进行判定,并将判定为攻击性数据的流量数据传输给蜜罐集群系统中的对应蜜罐,由蜜罐集群系统进行响应处理。本申请具有有助于提高蜜罐的使用率、匹配度和提高业务系统安全性的效果。
Description
技术领域
本发明涉及蜜罐领域,尤其是涉及一种基于定向引流的蜜罐集群检测方法及系统。
背景技术
蜜罐通常指蜜罐技术,是一种用于对攻击方进行诱骗和欺骗的技术。随着互联网的日益发展,信息安全越来越得到重视,为了获取黑客等攻击者的攻击信息以及保障自身系统信息的安全性,通常通过布置蜜罐,诱使攻击者进入蜜罐产生攻击行为。一方面保证了系统本身的安全性,另一方面便于获取攻击者的攻击信息,以留作证据。
相关技术中的蜜罐通常混入在主机系统中,主机系统包括若干主机,每个主机均配置有对应的业务或服务。黑客等攻击者进入主机系统后,选择一个主机进行攻击。由于主机系统中布置有若干蜜罐,对于攻击者而言,蜜罐与其他主机无异,由于蜜罐的诱惑性更大,使攻击者更容易选择蜜罐进行攻击,从而陷入到陷阱中。
针对上述中的相关技术,发明人认为由于蜜罐需要占用较多的资源,因此在主机系统中布置的蜜罐数量有限,而在攻击者攻击时,有一定概率攻击真实主机,而非蜜罐,在蜜罐数量有限的前提下,蜜罐的利用率较低。
发明内容
为了有助于提高蜜罐的使用率,本发明提供一种基于定向引流的蜜罐集群检测方法及系统。
第一方面,本申请提供的一种基于定向引流的蜜罐集群检测方法采用如下的技术方案:
一种基于定向引流的蜜罐集群检测方法,预设有业务系统和与所述业务系统分隔设置的蜜罐集群系统,所述业务系统与所述蜜罐集群系统通信连接,所述蜜罐集群系统包括至少一个蜜罐;所述检测方法包括:
所述业务系统判断流量数据是否为攻击性数据;
在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;
所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理。
通过采用上述技术方案,业务系统与蜜罐集群系统分隔设置,攻击者在攻击时进入的均是业务系统,在攻击者产生请求动作时,包括访问请求、上传请求和下发请求,产生对应的流量数据。此时业务系统对流量数据进行判定,由于攻击者的流量数据与原有业务系统中运行的数据有所差异,因此会被判定为攻击性数据;此时业务系统将流量数据传输给蜜罐集群系统,即将攻击者的动作导入到蜜罐集群系统中。一方面,攻击者的流量数据不会在业务系统中运行,而是在蜜罐集群系统中运行,有助于提高了蜜罐的使用率;另一方面,便于提高业务系统的安全性。
可选的,所述业务系统包括若干业务主机,若干所述业务主机上均布置有与所述蜜罐对应数据传输的诱骗端口;
所述业务系统判断流量数据是否为攻击性数据的步骤包括:
判断所述流量数据是否访问所述诱骗端口;
若所述流量数据访问所述诱骗端口,判定对应的所述流量数据为攻击性数据。
通过采用上述技术方案,业务系统包括若干业务主机,业务主机上布置有诱骗端口,对于业务主机的正常业务而言,对应的业务数据均是内部数据,不会访问诱骗端口。但是对于攻击者而言,其并不知道业务主机中的哪个端口是虚假的,对攻击者而言,每个端口均是真实的端口。而诱骗端口因为具有诱骗性,因此更容易受到攻击者的访问。攻击者一旦访问诱骗端口,产生的流量数据就会被传输到蜜罐集群系统中,有助于提高蜜罐的利用率。此外,通过设置诱骗端口的形式,更容易判断出具有攻击性的流量数据,有助于保证业务系统的安全性。
可选的,所述将对应的所述流量数据传输给所述蜜罐集群系统的步骤包括:
基于所述流量数据访问的所述诱骗端口与对应所述蜜罐的预设数据传输关系,将所述流量数据传输给与所述诱骗端口对应数据传输的所述蜜罐。
通过采用上述技术方案,每个诱骗端口均对应有蜜罐,流量数据访问诱骗端口后,自动将流量数据传输给指定的蜜罐。由于蜜罐是自带服务或者数据库的虚假模块,使攻击者进入到蜜罐中后,更容易相信攻入的是业务系统的真实主机。
可选的,所述业务系统包括若干业务主机;
所述业务系统判断流量数据是否为攻击性数据的步骤包括:
所述业务主机判断所述流量数据是否满足预设的转发规则;
若满足,所述业务主机判定对应的所述流量数据为攻击性数据。
通过采用上述技术方案,在流量数据满足转发规则时,将流量数据判定为攻击性数据,有助于提高蜜罐集群系统的使用率,提高覆盖度,使满足转发规则的流量数据全部转入蜜罐集群系统。
可选的,所述蜜罐集群系统包括若干不同类型的所述蜜罐;
所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理的步骤包括:
基于预设的蜜罐代理端口对接收的所述流量数据进行汇总;
对汇总后的所述流量数据进行分析,获得所述流量数据的类型;
基于所述流量数据的类型,将对应的所述流量数据传输给对应类型的所述蜜罐。
通过采用上述技术方案,对流量数据进行分析,得到流量数据的类型;再根据流量数据的类型,将流量输出传输给对应类型的蜜罐。一方面有助于提高蜜罐的使用率;另一方面,根据流量数据的类型为流量数据匹配对应类型的蜜罐,有助于提高攻击者的受骗率,从而有助于增长攻击者在蜜罐中的逗留时间和增多攻击者在蜜罐中产生的动作。
可选的,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:
调取所述流量数据的头信息;
基于所述流量数据的头信息,到预设的头信息类型关系表中查找与所述流量数据的头信息对应的所述流量数据的类型。
通过采用上述技术方案,流量数据的头信息通常代表流量数据的类型,例如FTP请求或数据库请求。到头信息类型关系表中查找与头信息对应的流量数据的类型,即可得知流量数据的类型。
可选的,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:
调取所述流量数据的请求协议;
基于所述流量数据的请求协议,到预设的协议类型关系表中查找与所述流量数据的请求协议对应的所述流量数据的类型。
通过采用上述技术方案,基于流量数据的请求协议,得知流量数据的类型,例如请求转到其他网站中的外部请求或攻击请求。。
第二方面,本申请提供的一种基于定向引流的蜜罐集群检测系统采用如下的技术方案:
一种基于定向引流的蜜罐集群检测系统,包括业务系统和蜜罐集群系统;
所述业务系统包括若干业务主机,所述蜜罐集群系统包括若干蜜罐;所述业务系统用于判断流量数据是否为攻击性数据,并在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;
所述蜜罐集群系统用于接收所述业务系统传输的所述流量数据,并对所述流量数据进行处理。
通过采用上述技术方案,业务系统与蜜罐集群系统分开设置,攻击者在业务系统中产生的流量数据会被判定为攻击性数据,而后被传输到蜜罐集群系统中,有助于提高蜜罐的利用率。
可选的,所述蜜罐集群系统中的所述蜜罐与所述业务主机设置为不同网段。
通过采用上述技术方案,蜜罐与业务主机使用不同的网段,进行物理隔离,有助于提高业务主机和蜜罐的安全性,使攻击者不易将蜜罐当做跳板,危害业务系统。
可选的,所述蜜罐集群系统与所述业务系统之间布置有防火墙。
通过采用上述技术方案,防火墙使业务系统可以向蜜罐集群系统传输数据,但是蜜罐集群系统不能向业务系统传输数据,进一步提高了业务系统的安全性。
综上所述,首先,业务系统和蜜罐集群系统分开设置,业务系统将视为攻击性数据的流量数据传输给蜜罐集群系统中的蜜罐,提高业务系统的安全性,提高蜜罐的使用率。
其次,业务系统将所有满足转发规则的流量数据全部判定为攻击性数据,主动的将流量数据传输给蜜罐,有助于提高业务系统的安全性,以及增大覆盖广度,使攻击性质的流量数据更容易被转入蜜罐集群系统,从而进一步提高蜜罐的使用率。
附图说明
图1是本申请实施例1的一种基于定向引流的蜜罐集群检测方法的流程图。
图2是本申请实施例1中步骤S100的具体流程图。
图3是本申请实施例2中步骤S200的具体流程图。
图4是本申请实施例2中的一种基于定向引流的蜜罐集群检测方法的框架图。
图5是本申请实施例1的一种基于定向引流的蜜罐集群检测系统的结构框图。
具体实施方式
本申请实施例公开一种基于定向引流的蜜罐集群检测方法。基于如下应用环境:
预设有业务系统和与业务系统分隔设置的蜜罐集群系统,业务系统与蜜罐集群系统通信连接。业务系统包括若干业务主机;蜜罐集群系统包括至少一个蜜罐,蜜罐集群系统中的每个蜜罐均对应有一种服务或计算机环境,其中计算机环境可以是数据库环境、windows环境或linux环境。
实施例1
参照图1,基于定向引流的蜜罐集群检测方法包括:
S100、业务系统判断流量数据是否为攻击性数据。
所谓攻击性数据,指具有攻击性质或者攻击能力的数据,在本实施例中,将所有非正常的数据均视为攻击性数据。即在业务主机的使用过程中,与业务主机有数据传输的IP地址总是固定的,即使有新的IP地址也会提前预存或者通知业务主机。因此,除上述固定的或者业务主机已知的IP地址传输的数据被认定为正常数据外,来自其他IP地址的流量数据均被判定为攻击性数据。
除上述情况外,业务主机中也有若干业务端口,用于正常的数据传输使用,如果某一请求指令想要访问业务主机中除这些业务端口外的其他端口,则可以将该请求指令视为均有攻击性,与该请求指令相关的流量数据均被判定为攻击性数据。流量数据包括访问请求、上传请求和下发请求等产生固定动作或产生信息交互的数据。
为了进一步对步骤S100进行说明,在本实施例中,业务系统中的若干业务主机上均布置有若干诱骗端口,每个诱骗端口均与蜜罐集群系统中的一个或多个蜜罐对应。即诱骗端口与对应的蜜罐之间能够进行数据传输,在访问诱骗端口时,访问者自动被链接到对应的蜜罐中,或者访问数据自动传输到对应的蜜罐中。而为了提高攻击者访问诱骗端口的几率,可以在一个业务主机中布置多个诱骗端口,且每个诱骗端口对应的蜜罐的功能或蜜罐的环境均不相同,即蜜罐集群系统中的蜜罐数量增加,业务主机中的诱骗端口数量增加,从而提高攻击者受骗的几率和蜜罐的使用率。不难理解,由于在业务主机中仅是布置了多个诱骗端口,因此并不会占用业务主机过多的资源,不易影响业务主机的正常使用。
参照图2,S100包括:
S110、判断流量数据是否访问诱骗端口。
对应正常的数据而言,数据的流向均是特定的,也可以称为是固定的,并不会访问诱骗端口。只有对于攻击者而言,因攻击者不知业务系统中哪些端口是连接有蜜罐的,因此有概率访问诱骗端口。一旦有流量数据访问诱骗端口,则一定是攻击者产生的流量数据。
S120、若流量数据访问诱骗端口,判定对应的流量数据为攻击性数据。
将攻击者产生的流量数据判定为攻击性数据科学合理,出错率低。
参照图1,S200、在流量数据为攻击性数据时,将对应的流量数据传输给蜜罐集群系统。
具体的,将对应的流量数据传输给蜜罐集群系统的步骤包括:
S210、基于流量数据访问的诱骗端口与对应蜜罐的预设数据传输关系,将流量数据传输给诱骗端口对应数据传输的蜜罐。
例如诱骗端口包括A、B和C,蜜罐包括a、b和c,且诱骗端口A与蜜罐a具有对应数据传输关系、诱骗端口B与蜜罐b具有对应数据传输关系、诱骗端口C与蜜罐c具有对应数据传输关系。则在有流量数据访问诱骗端口B时,诱骗端口B将流量数据传输给蜜罐b,使流量数据到蜜罐b中产生相关动作。
S300、蜜罐集群系统接收业务系统传输的流量数据,对流量数据进行处理。
不难理解,蜜罐集群系统接收业务系统传输的流量数据即指业务主机通过流量数据访问的诱骗端口将对应的流量数据传输给对应的蜜罐。蜜罐对流量数据进行处理,处理包括获取流量数据产生的动作,例如下载动作、访问动作等,主要对流量数据进行监视,同步获取流量数据的一些信息,作为证据。
本申请实施例一种基于定向引流的蜜罐集群检测方法的实施原理为:通过在若干业务主机上布置若干诱骗端口,并将每个诱骗端口均对应链接一个蜜罐,使攻击者在访问诱骗端口时,直接将攻击者导入到对应的蜜罐中,使攻击者产生的流量数据在对应的蜜罐中运行,一方面有助于提高蜜罐的利用率,另一方面有助于提高业务系统的安全性。
实施例2
参照图3和图4,本实施例与实施例1的不同之处在于,蜜罐集群系统中预设有蜜罐代理端口。
步骤S200包括:
S220、业务主机判断流量数据是否满足预设的转发规则。
在本实施例中,转发规则为判断流量数据是否访问预设的若干端口段,端口段包括1-100、1000-2000、3000-4000、8000-10000。在另一实施例中,转发规则为判断流量数据是否为外部访问,外部访问可以是指除了某个或某几个固定的IP地址以外的所有IP地址对业务主机的访问,也可以是除业务主机本身内部的数据交互外,所有其他IP地址对业务主机的访问。具体的,每个业务主机均设置有主机代理端口和常规业务端口,主机代理端口采用HAProxy代理端口,暴露在外,常规业务端口不暴露。攻击者的流量数据均由主机代理端口进入,因此将经过主机代理端口的流量数据全部判定为外部访问。
S230、若满足,业务主机判定对应的流量数据为攻击性数据。
将所有访问预设端口段的流量数据全部判定为攻击性数据,有助于提高覆盖广度。将所有外部访问产生的流量数据均判定为攻击性数据,适用于仅与固定IP地址通信的业务主机或者不与其他IP地址产生数据交互的业务主机。
步骤S300包括:
S310、基于预设的蜜罐代理端口对接收的流量数据进行汇总。
所有由业务主机传输的流量数据均通过蜜罐代理端口进入蜜罐集群系统,其中,蜜罐代理端口采用V2Ray代理端口。进入蜜罐集群系统后,蜜罐集群系统中预设有流量处理服务,对流量数据进行汇总。
S320、对汇总后的流量数据进行分析,获得流量数据的类型。
具体的,S320包括:
S321、调取流量数据的头信息。
S322、基于流量数据的头信息,到预设的头信息类型关系表中查找与流量数据的头信息对应的流量数据的类型。
流量数据的头信息包含有流量数据的类型信息,流量数据的类型包括外部请求、攻击请求、数据库访问请求和FTP请求。头信息类型关系表包含至少两列数据,一列为头信息,一列为流量数据类型,每个头信息均对应有一个流量数据类型。在查找时,到头信息类型关系表中查找与流量数据的头信息相同的头信息,若查找到,则调取对应的流量数据类型作为流量数据的类型。
S323、调取流量数据的请求协议。
S324、基于流量数据的请求协议,到预设的协议类型关系表中查找与流量数据的请求协议对应的流量数据的类型。
通过分析请求协议,也可以得知流量数据的类型。其中,协议类型关系表中包含至少两列数据,一列为协议,一列为流量数据类型,每个协议均对应有一个流量数据类型。
需要说明的是,在一实施例中,步骤S300可以包括S321、S322、S323和S324,且执行步骤为S321、S322、S323和S324依次执行。即先对流量数据的头信息进行分析,若通过流量数据的头信息得到了流量数据对应的类型,则不再执行步骤S323和S324,否则通过流量数据的请求协议对流量数据的类型进行判断,有助于对流量数据的类型进行充分分析。
在另一实施例中,步骤S300可以包括S321、S322、S323和S324,且执行步骤为S321、S322、S323和S324依次执行。即先对流量数据的头信息进行分析,无论是否通过流量数据的头信息得到了流量数据对应的类型,均执行步骤S323和S324。若通过流量数据的头信息得到了流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行校验,相同则输出流量数据的类型,不同,则输出异常信息并将通过头信息分析得到的流量数据的类型为准。若通过流量数据的头信息未得到流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行判断。
在又一实施例中,步骤S300可以包括步骤S321和S322;或者包括步骤S323和S324。
此外,还可以采用网络端口映射的流量分类识别方法、有效负载荷分析的流量分类识别方法、行为特征的流量分类识别方法和机器学习的流量分类识别方法对流量数据的类型进行分析和判断,使流量数据自动经过汇总接入、分析过滤和定向转发,以自动化方式提高攻击性质的流量数据与蜜罐的匹配度。
S330、基于流量数据的类型,将对应的流量数据传输给对应类型的蜜罐。
即蜜罐的类型与流量数据的类型一一对应设置,根据流量数据的类型,将流量数据传输给类型与流量数据的类型对应的蜜罐。使攻击者产生的流量数据能够进入到对应业务或者环境的蜜罐中,从而使攻击者不易发现自身处在蜜罐中。此外,由于对流量数据的类型进行了分析,因此更易于将流量数据传输到对应类型的蜜罐中。例如,攻击者想要对数据库进行攻击,因此产生对应类型的流量数据。经过对流量数据的分析后,将该流量数据传输至具有数据库服务的蜜罐中,以提高流量数据与蜜罐之间的匹配度。有助于避免因将攻击者的流量数据导入到不符合对应服务的蜜罐中,使攻击者取消攻击的情况出现。
本申请实施例一种基于定向引流的蜜罐集群检测方法的实施原理为:将所有的外部访问产生的流量数据均传输给蜜罐集群系统,蜜罐集群系统先对流量数据的类型进行区分,而后基于流量数据的类型将流量数据传输给对应的蜜罐,有助于提高蜜罐的利用率,使攻击者不易发现自身进入到蜜罐中,从而便于获得攻击者的攻击信息,保留证据。
本申请实施例还公开一种基于定向引流的蜜罐集群检测系统,参照图5,包括业务系统和蜜罐集群系统,业务系统包括若干业务主机,蜜罐集群系统包括若干蜜罐。蜜罐集群系统中的蜜罐与业务主机设置为不同网段,用于产生物理隔离,即硬隔离,有助于提高业务主机的安全性。此外,在蜜罐集群系统和业务系统之间还布置有防火墙,防火墙仅允许数据的单向流通,即数据只能从业务主机流向蜜罐,不能从蜜罐流向业务主机,进一步对蜜罐集群系统和业务系统进行隔离,提高业务系统的安全性。
业务系统用于判断流量数据是否为攻击性数据,并在流量是数据为攻击性数据时,将对应的流量数据传输给蜜罐集群系统。蜜罐集群系统用于接收业务系统传输的流量数据,并对流量数据进行处理。处理包括对流量数据监视和信息的获取。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (8)
1.一种基于定向引流的蜜罐集群检测方法,其特征在于:预设有业务系统和与所述业务系统分隔设置的蜜罐集群系统,所述业务系统与所述蜜罐集群系统通信连接,所述蜜罐集群系统包括至少一个蜜罐;所述检测方法包括:
所述业务系统判断流量数据是否为攻击性数据,所述业务系统判断流量数据是否为攻击性数据的步骤包括:
判断所述流量数据是否访问诱骗端口;
若所述流量数据访问所述诱骗端口,判定对应的所述流量数据为攻击性数据;
在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;
所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理,所述蜜罐集群系统包括若干不同类型的所述蜜罐,所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理的步骤包括:
基于预设的蜜罐代理端口对接收的所述流量数据进行汇总;
对汇总后的所述流量数据进行分析,获得所述流量数据的类型,其中,若通过流量数据的头信息得到流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行校验,相同则输出流量数据的类型,不同,则输出异常信息并将通过头信息分析得到的流量数据的类型为准;若通过流量数据的头信息未得到流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行判断;
基于所述流量数据的类型,将对应的所述流量数据传输给对应类型的所述蜜罐。
2.根据权利要求1所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述将对应的所述流量数据传输给所述蜜罐集群系统的步骤包括:
基于所述流量数据访问的所述诱骗端口与对应所述蜜罐的预设数据传输关系,将所述流量数据传输给与所述诱骗端口对应数据传输的所述蜜罐。
3.根据权利要求1所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述业务系统包括若干业务主机;
所述业务系统判断流量数据是否为攻击性数据的步骤包括:
所述业务主机判断所述流量数据是否满足预设的转发规则;
若满足,所述业务主机判定对应的所述流量数据为攻击性数据。
4.根据权利要求1所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:
调取所述流量数据的头信息;
基于所述流量数据的头信息,到预设的头信息类型关系表中查找与所述流量数据的头信息对应的所述流量数据的类型。
5.根据权利要求1或4所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:
调取所述流量数据的请求协议;
基于所述流量数据的请求协议,到预设的协议类型关系表中查找与所述流量数据的请求协议对应的所述流量数据的类型。
6.一种基于定向引流的蜜罐集群检测系统,其特征在于:包括业务系统和蜜罐集群系统;
所述业务系统包括若干业务主机,所述蜜罐集群系统包括若干蜜罐;所述业务系统用于判断流量数据是否为攻击性数据,并在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统,所述业务系统判断流量数据是否为攻击性数据的步骤包括:
判断所述流量数据是否访问诱骗端口;
若所述流量数据访问所述诱骗端口,判定对应的所述流量数据为攻击性数据;
所述蜜罐集群系统用于接收所述业务系统传输的所述流量数据,并对所述流量数据进行处理,其中,所述蜜罐集群系统包括若干不同类型的所述蜜罐,所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理的步骤包括:
基于预设的蜜罐代理端口对接收的所述流量数据进行汇总;
对汇总后的所述流量数据进行分析,获得所述流量数据的类型,其中,若通过流量数据的头信息得到流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行校验,相同则输出流量数据的类型,不同,则输出异常信息并将通过头信息分析得到的流量数据的类型为准;若通过流量数据的头信息未得到流量数据的类型,则通过流量数据的请求协议对流量数据的类型进行判断;
基于所述流量数据的类型,将对应的所述流量数据传输给对应类型的所述蜜罐。
7.根据权利要求6所述的一种基于定向引流的蜜罐集群检测系统,其特征在于:所述蜜罐集群系统中的所述蜜罐与所述业务主机设置为不同网段。
8.根据权利要求6或7所述的一种基于定向引流的蜜罐集群检测系统,其特征在于:所述蜜罐集群系统与所述业务系统之间布置有防火墙。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111209064.9A CN113992368B (zh) | 2021-10-18 | 2021-10-18 | 一种基于定向引流的蜜罐集群检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111209064.9A CN113992368B (zh) | 2021-10-18 | 2021-10-18 | 一种基于定向引流的蜜罐集群检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992368A CN113992368A (zh) | 2022-01-28 |
| CN113992368B true CN113992368B (zh) | 2023-11-10 |
Family
ID=79739099
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111209064.9A Active CN113992368B (zh) | 2021-10-18 | 2021-10-18 | 一种基于定向引流的蜜罐集群检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992368B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114553524B (zh) * | 2022-02-21 | 2023-10-10 | 北京百度网讯科技有限公司 | 流量数据处理方法、装置、电子设备及网关 |
| CN115150175B (zh) * | 2022-07-05 | 2024-05-24 | 云南电网有限责任公司 | 面向电力系统独立网络攻击的边缘数据引流诱捕方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
-
2021
- 2021-10-18 CN CN202111209064.9A patent/CN113992368B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110912898A (zh) * | 2019-11-26 | 2020-03-24 | 成都知道创宇信息技术有限公司 | 伪装设备资产的方法、装置、电子设备及存储介质 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112165459A (zh) * | 2020-09-08 | 2021-01-01 | 广州锦行网络科技有限公司 | 基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992368A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US11323469B2 (en) | Entity group behavior profiling | |
| CN113992368B (zh) | 一种基于定向引流的蜜罐集群检测方法及系统 | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| CN103685294B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| WO2016025081A1 (en) | Collaborative and adaptive threat intelligence for computer security | |
| KR20080063209A (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
| JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN110545269A (zh) | 访问控制方法、设备及存储介质 | |
| US10038763B2 (en) | Method and apparatus for detecting network protocols | |
| CN115037551A (zh) | 连接权限控制方法、装置、电子设备及存储介质 | |
| CN104040538A (zh) | 一种互联网应用交互方法、装置及系统 | |
| CN113810381A (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN113873057A (zh) | 数据处理方法和装置 | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| CN116760607A (zh) | 蜜罐诱捕节点的建立方法及装置、介质、设备 | |
| CN115102781B (zh) | 网络攻击处理方法、装置、电子设备和介质 | |
| CA3175335A1 (en) | Local network device connection control | |
| WO2017043930A1 (ko) | 공유단말 검출 방법 및 그 장치 | |
| CN108650274A (zh) | 一种网络入侵检测方法及系统 | |
| KR20200091700A (ko) | 공인 ip 주소를 공유하는 단말을 식별하는 방법 및 그 장치 | |
| CN110995738A (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |