发明内容
本发明的目的是提供一种蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质,用于解决现有技术中的蜜罐容易被攻击者识破,无法有效地捕获攻击行为的技术问题。
一方面,为实现上述目的,本发明提供了一种蜜罐服务的生成方法。
该蜜罐服务的生成方法包括:获取蜜罐所在网络环境中资产的页面数据;根据所述页面数据生成仿真页面数据;以及根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
进一步地,所述页面数据包括页面源文件和静态资源,根据所述页面数据生成仿真页面数据的步骤包括:将所述静态资源存储在预设路径;以及将所述页面源文件中对应所述静态资源的请求路径替换为所述预设路径。
进一步地,获取蜜罐所在网络环境中资产的页面数据的步骤包括:在所述网络环境中的多个资产中选定目标资产;通过网络爬虫爬取所述目标资产的页面数据。
进一步地,在所述网络环境中的多个资产中选定目标资产的步骤包括:获取所述网络环境的监测数据;根据所述监测数据确定所述网络环境中被攻击的资产,以得到所述目标资产。
进一步地,获取所述网络环境的监测数据的步骤包括:获取所述网络环境的告警日志;和/或获取所述网络环境的流量日志。
进一步地,通过网络爬虫爬取所述目标资产的页面数据的步骤包括:获取预设的仿真页面设置规则;根据所述仿真页面设置规则确定所述网络爬虫的内容过滤参数;以及根据内容过滤参数爬取所述页面数据。
另一方面,为实现上述目的,本发明提供了一种攻击行为数据的捕获方法。
该攻击行为数据的捕获方法包括:采用本发明提供的任意一种蜜罐服务的生成方法生成蜜罐服务;将所述蜜罐服务配置在所述蜜罐中;获取所述蜜罐服务的网络流量数据;根据所述网络流量数据确定攻击行为数据。
又一方面,为实现上述目的,本发明提供了一种蜜罐服务的生成装置。
该蜜罐服务的生成装置包括:获取模块,用于获取蜜罐所在网络环境中资产的页面数据;第一处理模块,用于根据所述页面数据生成仿真页面数据;以及第二处理模块,用于根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
又一方面,为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的蜜罐服务的生成方法、装置和攻击行为数据的捕获方法首先获取蜜罐所在网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得该蜜罐服务能够展示仿真页面数据对应的仿真页面,通过本发明,根据蜜罐所在网络环境中资产的页面数据生成蜜罐服务,使得攻击者在请求该蜜罐服务时,能够向其展示网络环境中资产真实页面的仿真页面,既对真实资产进行了隐藏,又使蜜罐所模拟的环境融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中的蜜罐容易被攻击者识破,无法有效地捕获攻击行为的技术问题,本发明提供了蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质,其中,在本发明提供的蜜罐服务的生成方法中,针对在某网络环境中的蜜罐,首先获取该网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得攻击者在访问蜜罐服务时,蜜罐服务能够展示仿真页面数据对应的仿真页面,该仿真页面是对资产的真实页面的仿真,因而承载该蜜罐服务的蜜罐成为模拟前述网络环境的一个仿真环境,提升蜜罐的迷惑能力,进而使得该蜜罐不容易被攻击者识破,以有效地捕获攻击行为。
关于本发明提供的蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种蜜罐服务的生成方法,针对某网络环境中布置的蜜罐,生成部署于该蜜罐中的网络服务,该网络服务被攻击者访问时,能够提供上述网络环境中资产页面的仿真页面,使得蜜罐所模拟的环境与上述网络环境具有相似性,进而提升蜜罐的迷惑能力,增加蜜罐捕获攻击行为的能力,具体地,该实施例提供的蜜罐服务的生成方法包括如下的步骤S101至步骤S103。
步骤S101:获取蜜罐所在网络环境中资产的页面数据。
具体地,资产包括业务系统、办公系统、财务系统和网络安全监测系统等软件系统,可通过客户端、小程序或网页进行登录,资产的页面数据包括上述系统展示用户界面所需的数据,具体可包括页面框架以及页面内容等。当某网络环境需要设置蜜罐时,或者某网络环境已经设置蜜罐,通过该实施例提供的蜜罐服务的生成方法,能够生成适配于该网络环境中蜜罐专属的蜜罐服务,其中,首先通过该步骤S101,获取该网络环境中资产的页面数据,可以获取一种资产的页面数据,也可以获取多种资产的页面数据,进而针对每一种资产生成一种蜜罐服务。
步骤S102:根据页面数据生成仿真页面数据。
通过页面数据生成的页面,是资产的真实页面,也即网络环境中真实的用户界面,为了使得蜜罐服务既能够展示一个类似真实页面的仿真页面,又避免攻击者在仿真页面上进行操作时访问到资产中真实的物理机、端口、数据库等,需要对页面数据进行修改生成仿真页面数据,进而能够通过该仿真页面数据生成满足上述要求的仿真页面,具体的修改可包括:将访问资产中真实的物理机、端口、数据库等的访问路径修改为服务于蜜罐的对应路径;将存储于物理机、端口、数据库等中的静态和动态资源,存储至服务于蜜罐的对应路径下;将真实页面上需要隐藏和保密的信息删除;将仿真页面上需要增加的信息对应的数据添加到页面数据中等。
步骤S103:根据仿真页面数据构建网络服务,以得到蜜罐服务。
其中,蜜罐服务用于展示仿真页面数据对应的仿真页面。
具体地,可搭建一个网络服务器,以向浏览器等网络客户端提供网络服务,从而当攻击者请求该网络服务器时,能够向攻击者展示仿真页面,实现一个可以网络访问的与真实资产相似的页面内容。该网络服务用于配置于蜜罐,也即为蜜罐服务。可选地,可采用的网络服务器环境包括Apache服务器、Nginx服务器或IIS服务器。
在该实施例提供的蜜罐服务的生成方法中,首先获取蜜罐所在网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得该蜜罐服务能够展示仿真页面数据对应的仿真页面,采用该实施例提供的蜜罐服务的生成方法,根据蜜罐所在网络环境中资产的页面数据生成蜜罐服务,使得攻击者在请求该蜜罐服务时,能够向其展示网络环境中资产真实页面的仿真页面,既对真实资产进行了隐藏,又使蜜罐所模拟的环境融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
可选地,在一种实施例中,页面数据包括页面源文件和静态资源,根据页面数据生成仿真页面数据的步骤包括:将静态资源存储在预设路径;以及将页面源文件中对应静态资源的请求路径替换为预设路径。
具体而言,资产的页面数据包括页面源文件和静态资源,页面源文件包括定义页面框架的参数,以及页面上所展示的文字、图片、音频以及视频等静态资源的存储路径等信息,在根据页面数据生成仿真页面数据时,将上述静态资源存储至本地的预设路径,具体可以将页面数据中的部分静态资源存储至本地的预设路径,也可将页面数据中的全部静态资源存储至本地的预设路径,静态资源可存储至本地的同一路径,或者也可存储至本地的不同路径。同时,将页面文件中对应上述静态资源的请求路径替换为上述的预设路径,从而蜜罐服务通过该仿真页面数据展示页面时,能够从本地的预设路径加载到静态资源,也即展示的页面为资产真实页面的仿真页面。
采用该实施例提供的蜜罐服务的生成方法,攻击者访问蜜罐服务时,蜜罐服务能够向攻击者展示与资产真实页面一致的仿真页面,同时,由于静态资源在预设路径,能够与网络环境中真实资产的物理机进行隔离,避免攻击行为影响资产的正常运行。
可选地,在一种实施例中,获取蜜罐所在网络环境中资产的页面数据的步骤包括:在网络环境中的多个资产中选定目标资产;通过网络爬虫爬取目标资产的页面数据。
具体而言,网络环境包括多个资产时,可基于特定的需求选择部分资产作为目标资产,以提供模仿该目标资产的蜜罐服务,例如,可根据资产的用户量、业务类型、运行时间等多个角度,选定知名度较高的资产作为目标资产,又如,可根据资产被访问的数据量,选定在当前时间段内活跃度高的资产作为目标资产等,均可提升蜜罐被攻击的概率,进而提升攻击行为被捕获的概率。同时,在获取目标资产的页面数据时,通过网络爬虫自动获取。可选地,对于在网络环境中的蜜罐,可预置规则引擎,配置蜜罐服务的更新规则和目标资产的确定规则,例如,更新规则为每一周更新一次蜜罐服务;确定规则为选定一周内访问量最多的资产为目标资产等,规则引擎对配置的规则进行计算,当通过更新规则确定需要更新蜜罐服务时,利用确定规则在网络环境中的多个资产中选定目标资产,然后启动网络爬虫自动爬取目标资产的页面数据。
采用该实施例提供的蜜罐服务的生成方法,获取蜜罐所在网络环境中资产的页面数据时,先在网络环境中的多个资产中选定目标资产,然后获取目标资产的页面数据,也即,蜜罐服务对网络环境中的目标资产进行模拟,通过设置目标资产的选择条件,能够灵活的设置蜜罐服务,同时,通过网络爬虫爬取目标资产的页面数据,能够提升数据获取的便利性,而且不会影响资产的正常运行。
可选地,在一种实施例中,在网络环境中的多个资产中选定目标资产的步骤包括:获取网络环境的监测数据;根据监测数据确定网络环境中被攻击的资产,以得到所述目标资产。
具体而言,在选定目标资产时,通过网络环境的监测数据来确定网络环境中被攻击的资产作为目标资产,具体根据监测数据确定被攻击的资产时,可以采用现有技术中任意的攻击行为分析方法,该处不再赘述。
采用该实施例提供的蜜罐服务的生成方法,以网络环境中被攻击的资产作为目标资产,也即,蜜罐服务对网络环境中的被攻击的资产进行模拟,提升蜜罐被攻击的概率,进一步提升攻击行为捕获的概率。
可选地,在一种实施例中,获取网络环境的监测数据的步骤包括:获取网络环境的告警日志;和/或获取网络环境的流量日志。
具体而言,在获取网络环境的监测数据时,可以直接获取网络环境的告警日志,在告警日志中筛选被攻击的资产,并且通过告警日志可确定被攻击的资产的ip和端口等信息;或者,可以直接获取网络环境的流量日志,通过流量日志筛选被攻击的资产,并且通过流量日志也可确定被攻击的资产的ip和端口等信息。
采用该实施例提供的蜜罐服务的生成方法,将网络环境日志数据作为监测数据,反应网络环境中资产运行过程中的真实数据,以此确定被攻击的资产,准确性高。
可选地,在一种实施例中,通过网络爬虫爬取目标资产的页面数据的步骤包括:获取预设的仿真页面设置规则;根据仿真页面设置规则确定网络爬虫的内容过滤参数;以及根据内容过滤参数爬取页面数据。
具体而言,仿真页面设置规则包括相对真实页面而言,仿真页面上无需出现的信息,例如基于保密需求,真实页面上的部分信息需要在仿真页面上隐藏。可选地,可基于不同类型和/或功能等维度上对资产进行分类,针对不同类别设置不同的仿真页面设置规则。在通过网络爬虫爬取页面数据时,基于该仿真页面设置规则确定内容过滤参数,使得网络爬虫再根据内容过滤参数爬取页面数据时,不爬取仿真页面上无需出现的信息所对应的数据。例如,通过httrack主动爬取为基础实现的网络爬虫,同设置其参数来实现过滤爬取。
采用该实施例提供的蜜罐服务的生成方法,根据仿真页面设置规则设置网络爬虫的内容过滤参数,爬取页面数据,能够减少数据爬取量,避免爬取冗余数据造成资源浪费,同时也可实现对真实页面中部分数据的隐藏。
实施例二
本发明实施例二提供了一种攻击行为数据的捕获方法,通过在某网络环境中部署蜜罐来捕获攻击行为数据,其中,该蜜罐中的网络服务被攻击者访问时,能够提供上述网络环境中资产页面的仿真页面,使得蜜罐所模拟的环境与上述网络环境具有相似性,进而提升蜜罐的迷惑能力,增加蜜罐捕获攻击行为的能力,具体地,该实施例提供的攻击行为数据的捕获方法包括如下的步骤S201至步骤S204。
步骤S201:生成蜜罐服务。
具体地,该步骤可采用上述实施例一提供的蜜罐服务的生成方法的生成,具体可参考上述实施例一的相关描述,该处不再赘述。
步骤S202:将蜜罐服务配置在蜜罐中。
步骤S203:获取蜜罐服务的网络流量数据。
步骤S202:根据网络流量数据确定攻击行为数据。
采用该实施例提供的攻击行为数据的捕获方法,由于蜜罐中配置的蜜罐服务根据蜜罐所在的网络环境中的资产生成,使得蜜罐所模拟的环境能够融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
实施例三
对应于上述实施例一,本发明实施例三提供了一种蜜罐服务的生成装置,该生成装置的技术特征的细节和相应地技术效果,可参考上述实施例一,该实施例三不再赘述。图3为本发明实施例三提供的蜜罐服务的生成装置的框图,如图3所示,该蜜罐服务的生成装置包括:获取模块301、第一处理模块302和第二处理模块303。
其中,获取模块301用于获取蜜罐所在网络环境中资产的页面数据;第一处理模块302用于根据所述页面数据生成仿真页面数据;以及第二处理模块303用于根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
可选地,在一种实施例中,页面数据包括页面源文件和静态资源,第一处理模块302包括:第一处理单元和第二处理单元,其中,第一处理单元用于将静态资源存储在预设路径;以及第二处理单元用于将页面源文件中对应静态资源的请求路径替换为预设路径。
可选地,在一种实施例中,获取模块301包括:确定单元和获取单元,其中,确定单元用于在网络环境中的多个资产中选定目标资产;获取单元用于通过网络爬虫爬取目标资产的页面数据。
可选地,在一种实施例中,确定单元在网络环境中的多个资产中选定目标资产时,具体执行的步骤包括:获取网络环境的监测数据;根据监测数据确定网络环境中被攻击的资产,以得到所述目标资产。
可选地,在一种实施例中,确定单元在获取网络环境的监测数据时,具体执行的步骤包括:获取网络环境的告警日志;和/或获取网络环境的流量日志。
可选地,在一种实施例中,获取单元在通过网络爬虫爬取目标资产的页面数据时,具体执行的步骤包括:获取预设的仿真页面设置规则;根据仿真页面设置规则确定网络爬虫的内容过滤参数;以及根据内容过滤参数爬取页面数据。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例三的蜜罐服务的生成装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如蜜罐服务的生成方法等。
实施例五
本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储蜜罐服务的生成装置,被处理器执行时实现实施例一的蜜罐服务的生成方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。