CN114124414A - 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 - Google Patents
蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 Download PDFInfo
- Publication number
- CN114124414A CN114124414A CN202010802491.7A CN202010802491A CN114124414A CN 114124414 A CN114124414 A CN 114124414A CN 202010802491 A CN202010802491 A CN 202010802491A CN 114124414 A CN114124414 A CN 114124414A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- page data
- service
- data
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000004088 simulation Methods 0.000 claims abstract description 66
- 230000006399 behavior Effects 0.000 claims description 31
- 230000003068 static effect Effects 0.000 claims description 25
- 230000009193 crawling Effects 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 17
- 235000012907 honey Nutrition 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 15
- 238000001914 filtration Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 238000013481 data capture Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241000238631 Hexapoda Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种蜜罐服务的生成方法、装置和攻击行为数据的捕获方法。该蜜罐服务的生成方法包括:获取蜜罐所在网络环境中资产的页面数据;根据页面数据生成仿真页面数据;以及根据仿真页面数据构建网络服务,以得到蜜罐服务,其中,蜜罐服务用于展示仿真页面数据对应的仿真页面。该攻击行为数据的捕获方法包括:采用上述蜜罐服务的生成方法生成蜜罐服务,将蜜罐服务配置在蜜罐中;获取蜜罐服务的网络流量数据;根据网络流量数据确定攻击行为数据。通过本发明,能够提升蜜罐服务的真实性,从而更容易捕获攻击行为数据。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种蜜罐服务的生成方法、装置和攻击行为数据的捕获方法。
背景技术
蜜罐(honeypot)是一种应用于计算机领域的、用来侦测或抵御未经授权操作或者是黑客攻击的陷阱,因原理类似诱捕昆虫的蜜罐而得名。
蜜罐本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
现有技术中的蜜罐,通常是将模拟好的环境放到客户网络环境中,但是,已经模拟好的环境与客户的真实网络环境的差距很大,容易被攻击者识破,从而使得蜜罐无法有效地捕获攻击行为。
发明内容
本发明的目的是提供一种蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质,用于解决现有技术中的蜜罐容易被攻击者识破,无法有效地捕获攻击行为的技术问题。
一方面,为实现上述目的,本发明提供了一种蜜罐服务的生成方法。
该蜜罐服务的生成方法包括:获取蜜罐所在网络环境中资产的页面数据;根据所述页面数据生成仿真页面数据;以及根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
进一步地,所述页面数据包括页面源文件和静态资源,根据所述页面数据生成仿真页面数据的步骤包括:将所述静态资源存储在预设路径;以及将所述页面源文件中对应所述静态资源的请求路径替换为所述预设路径。
进一步地,获取蜜罐所在网络环境中资产的页面数据的步骤包括:在所述网络环境中的多个资产中选定目标资产;通过网络爬虫爬取所述目标资产的页面数据。
进一步地,在所述网络环境中的多个资产中选定目标资产的步骤包括:获取所述网络环境的监测数据;根据所述监测数据确定所述网络环境中被攻击的资产,以得到所述目标资产。
进一步地,获取所述网络环境的监测数据的步骤包括:获取所述网络环境的告警日志;和/或获取所述网络环境的流量日志。
进一步地,通过网络爬虫爬取所述目标资产的页面数据的步骤包括:获取预设的仿真页面设置规则;根据所述仿真页面设置规则确定所述网络爬虫的内容过滤参数;以及根据内容过滤参数爬取所述页面数据。
另一方面,为实现上述目的,本发明提供了一种攻击行为数据的捕获方法。
该攻击行为数据的捕获方法包括:采用本发明提供的任意一种蜜罐服务的生成方法生成蜜罐服务;将所述蜜罐服务配置在所述蜜罐中;获取所述蜜罐服务的网络流量数据;根据所述网络流量数据确定攻击行为数据。
又一方面,为实现上述目的,本发明提供了一种蜜罐服务的生成装置。
该蜜罐服务的生成装置包括:获取模块,用于获取蜜罐所在网络环境中资产的页面数据;第一处理模块,用于根据所述页面数据生成仿真页面数据;以及第二处理模块,用于根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
又一方面,为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的蜜罐服务的生成方法、装置和攻击行为数据的捕获方法首先获取蜜罐所在网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得该蜜罐服务能够展示仿真页面数据对应的仿真页面,通过本发明,根据蜜罐所在网络环境中资产的页面数据生成蜜罐服务,使得攻击者在请求该蜜罐服务时,能够向其展示网络环境中资产真实页面的仿真页面,既对真实资产进行了隐藏,又使蜜罐所模拟的环境融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的蜜罐服务的生成方法的流程图;
图2为本发明实施例二提供的攻击行为数据的捕获方法的流程图;
图3为本发明实施例三提供的蜜罐服务的生成装置的框图;
图4为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中的蜜罐容易被攻击者识破,无法有效地捕获攻击行为的技术问题,本发明提供了蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质,其中,在本发明提供的蜜罐服务的生成方法中,针对在某网络环境中的蜜罐,首先获取该网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得攻击者在访问蜜罐服务时,蜜罐服务能够展示仿真页面数据对应的仿真页面,该仿真页面是对资产的真实页面的仿真,因而承载该蜜罐服务的蜜罐成为模拟前述网络环境的一个仿真环境,提升蜜罐的迷惑能力,进而使得该蜜罐不容易被攻击者识破,以有效地捕获攻击行为。
关于本发明提供的蜜罐服务的生成方法、装置、攻击行为数据的捕获方法、计算机设备和计算机可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种蜜罐服务的生成方法,针对某网络环境中布置的蜜罐,生成部署于该蜜罐中的网络服务,该网络服务被攻击者访问时,能够提供上述网络环境中资产页面的仿真页面,使得蜜罐所模拟的环境与上述网络环境具有相似性,进而提升蜜罐的迷惑能力,增加蜜罐捕获攻击行为的能力,具体地,该实施例提供的蜜罐服务的生成方法包括如下的步骤S101至步骤S103。
步骤S101:获取蜜罐所在网络环境中资产的页面数据。
具体地,资产包括业务系统、办公系统、财务系统和网络安全监测系统等软件系统,可通过客户端、小程序或网页进行登录,资产的页面数据包括上述系统展示用户界面所需的数据,具体可包括页面框架以及页面内容等。当某网络环境需要设置蜜罐时,或者某网络环境已经设置蜜罐,通过该实施例提供的蜜罐服务的生成方法,能够生成适配于该网络环境中蜜罐专属的蜜罐服务,其中,首先通过该步骤S101,获取该网络环境中资产的页面数据,可以获取一种资产的页面数据,也可以获取多种资产的页面数据,进而针对每一种资产生成一种蜜罐服务。
步骤S102:根据页面数据生成仿真页面数据。
通过页面数据生成的页面,是资产的真实页面,也即网络环境中真实的用户界面,为了使得蜜罐服务既能够展示一个类似真实页面的仿真页面,又避免攻击者在仿真页面上进行操作时访问到资产中真实的物理机、端口、数据库等,需要对页面数据进行修改生成仿真页面数据,进而能够通过该仿真页面数据生成满足上述要求的仿真页面,具体的修改可包括:将访问资产中真实的物理机、端口、数据库等的访问路径修改为服务于蜜罐的对应路径;将存储于物理机、端口、数据库等中的静态和动态资源,存储至服务于蜜罐的对应路径下;将真实页面上需要隐藏和保密的信息删除;将仿真页面上需要增加的信息对应的数据添加到页面数据中等。
步骤S103:根据仿真页面数据构建网络服务,以得到蜜罐服务。
其中,蜜罐服务用于展示仿真页面数据对应的仿真页面。
具体地,可搭建一个网络服务器,以向浏览器等网络客户端提供网络服务,从而当攻击者请求该网络服务器时,能够向攻击者展示仿真页面,实现一个可以网络访问的与真实资产相似的页面内容。该网络服务用于配置于蜜罐,也即为蜜罐服务。可选地,可采用的网络服务器环境包括Apache服务器、Nginx服务器或IIS服务器。
在该实施例提供的蜜罐服务的生成方法中,首先获取蜜罐所在网络环境中资产的页面数据,然后根据该页面数据生成仿真页面数据,最后根据仿真页面数据构建网络服务,以得到蜜罐服务,使得该蜜罐服务能够展示仿真页面数据对应的仿真页面,采用该实施例提供的蜜罐服务的生成方法,根据蜜罐所在网络环境中资产的页面数据生成蜜罐服务,使得攻击者在请求该蜜罐服务时,能够向其展示网络环境中资产真实页面的仿真页面,既对真实资产进行了隐藏,又使蜜罐所模拟的环境融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
可选地,在一种实施例中,页面数据包括页面源文件和静态资源,根据页面数据生成仿真页面数据的步骤包括:将静态资源存储在预设路径;以及将页面源文件中对应静态资源的请求路径替换为预设路径。
具体而言,资产的页面数据包括页面源文件和静态资源,页面源文件包括定义页面框架的参数,以及页面上所展示的文字、图片、音频以及视频等静态资源的存储路径等信息,在根据页面数据生成仿真页面数据时,将上述静态资源存储至本地的预设路径,具体可以将页面数据中的部分静态资源存储至本地的预设路径,也可将页面数据中的全部静态资源存储至本地的预设路径,静态资源可存储至本地的同一路径,或者也可存储至本地的不同路径。同时,将页面文件中对应上述静态资源的请求路径替换为上述的预设路径,从而蜜罐服务通过该仿真页面数据展示页面时,能够从本地的预设路径加载到静态资源,也即展示的页面为资产真实页面的仿真页面。
采用该实施例提供的蜜罐服务的生成方法,攻击者访问蜜罐服务时,蜜罐服务能够向攻击者展示与资产真实页面一致的仿真页面,同时,由于静态资源在预设路径,能够与网络环境中真实资产的物理机进行隔离,避免攻击行为影响资产的正常运行。
可选地,在一种实施例中,获取蜜罐所在网络环境中资产的页面数据的步骤包括:在网络环境中的多个资产中选定目标资产;通过网络爬虫爬取目标资产的页面数据。
具体而言,网络环境包括多个资产时,可基于特定的需求选择部分资产作为目标资产,以提供模仿该目标资产的蜜罐服务,例如,可根据资产的用户量、业务类型、运行时间等多个角度,选定知名度较高的资产作为目标资产,又如,可根据资产被访问的数据量,选定在当前时间段内活跃度高的资产作为目标资产等,均可提升蜜罐被攻击的概率,进而提升攻击行为被捕获的概率。同时,在获取目标资产的页面数据时,通过网络爬虫自动获取。可选地,对于在网络环境中的蜜罐,可预置规则引擎,配置蜜罐服务的更新规则和目标资产的确定规则,例如,更新规则为每一周更新一次蜜罐服务;确定规则为选定一周内访问量最多的资产为目标资产等,规则引擎对配置的规则进行计算,当通过更新规则确定需要更新蜜罐服务时,利用确定规则在网络环境中的多个资产中选定目标资产,然后启动网络爬虫自动爬取目标资产的页面数据。
采用该实施例提供的蜜罐服务的生成方法,获取蜜罐所在网络环境中资产的页面数据时,先在网络环境中的多个资产中选定目标资产,然后获取目标资产的页面数据,也即,蜜罐服务对网络环境中的目标资产进行模拟,通过设置目标资产的选择条件,能够灵活的设置蜜罐服务,同时,通过网络爬虫爬取目标资产的页面数据,能够提升数据获取的便利性,而且不会影响资产的正常运行。
可选地,在一种实施例中,在网络环境中的多个资产中选定目标资产的步骤包括:获取网络环境的监测数据;根据监测数据确定网络环境中被攻击的资产,以得到所述目标资产。
具体而言,在选定目标资产时,通过网络环境的监测数据来确定网络环境中被攻击的资产作为目标资产,具体根据监测数据确定被攻击的资产时,可以采用现有技术中任意的攻击行为分析方法,该处不再赘述。
采用该实施例提供的蜜罐服务的生成方法,以网络环境中被攻击的资产作为目标资产,也即,蜜罐服务对网络环境中的被攻击的资产进行模拟,提升蜜罐被攻击的概率,进一步提升攻击行为捕获的概率。
可选地,在一种实施例中,获取网络环境的监测数据的步骤包括:获取网络环境的告警日志;和/或获取网络环境的流量日志。
具体而言,在获取网络环境的监测数据时,可以直接获取网络环境的告警日志,在告警日志中筛选被攻击的资产,并且通过告警日志可确定被攻击的资产的ip和端口等信息;或者,可以直接获取网络环境的流量日志,通过流量日志筛选被攻击的资产,并且通过流量日志也可确定被攻击的资产的ip和端口等信息。
采用该实施例提供的蜜罐服务的生成方法,将网络环境日志数据作为监测数据,反应网络环境中资产运行过程中的真实数据,以此确定被攻击的资产,准确性高。
可选地,在一种实施例中,通过网络爬虫爬取目标资产的页面数据的步骤包括:获取预设的仿真页面设置规则;根据仿真页面设置规则确定网络爬虫的内容过滤参数;以及根据内容过滤参数爬取页面数据。
具体而言,仿真页面设置规则包括相对真实页面而言,仿真页面上无需出现的信息,例如基于保密需求,真实页面上的部分信息需要在仿真页面上隐藏。可选地,可基于不同类型和/或功能等维度上对资产进行分类,针对不同类别设置不同的仿真页面设置规则。在通过网络爬虫爬取页面数据时,基于该仿真页面设置规则确定内容过滤参数,使得网络爬虫再根据内容过滤参数爬取页面数据时,不爬取仿真页面上无需出现的信息所对应的数据。例如,通过httrack主动爬取为基础实现的网络爬虫,同设置其参数来实现过滤爬取。
采用该实施例提供的蜜罐服务的生成方法,根据仿真页面设置规则设置网络爬虫的内容过滤参数,爬取页面数据,能够减少数据爬取量,避免爬取冗余数据造成资源浪费,同时也可实现对真实页面中部分数据的隐藏。
实施例二
本发明实施例二提供了一种攻击行为数据的捕获方法,通过在某网络环境中部署蜜罐来捕获攻击行为数据,其中,该蜜罐中的网络服务被攻击者访问时,能够提供上述网络环境中资产页面的仿真页面,使得蜜罐所模拟的环境与上述网络环境具有相似性,进而提升蜜罐的迷惑能力,增加蜜罐捕获攻击行为的能力,具体地,该实施例提供的攻击行为数据的捕获方法包括如下的步骤S201至步骤S204。
步骤S201:生成蜜罐服务。
具体地,该步骤可采用上述实施例一提供的蜜罐服务的生成方法的生成,具体可参考上述实施例一的相关描述,该处不再赘述。
步骤S202:将蜜罐服务配置在蜜罐中。
步骤S203:获取蜜罐服务的网络流量数据。
步骤S202:根据网络流量数据确定攻击行为数据。
采用该实施例提供的攻击行为数据的捕获方法,由于蜜罐中配置的蜜罐服务根据蜜罐所在的网络环境中的资产生成,使得蜜罐所模拟的环境能够融入网络环境,与网络环境一体相近,提升蜜罐的迷惑能力,从而使得该蜜罐不容易被攻击者识破,进而有效地捕获攻击行为。
实施例三
对应于上述实施例一,本发明实施例三提供了一种蜜罐服务的生成装置,该生成装置的技术特征的细节和相应地技术效果,可参考上述实施例一,该实施例三不再赘述。图3为本发明实施例三提供的蜜罐服务的生成装置的框图,如图3所示,该蜜罐服务的生成装置包括:获取模块301、第一处理模块302和第二处理模块303。
其中,获取模块301用于获取蜜罐所在网络环境中资产的页面数据;第一处理模块302用于根据所述页面数据生成仿真页面数据;以及第二处理模块303用于根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
可选地,在一种实施例中,页面数据包括页面源文件和静态资源,第一处理模块302包括:第一处理单元和第二处理单元,其中,第一处理单元用于将静态资源存储在预设路径;以及第二处理单元用于将页面源文件中对应静态资源的请求路径替换为预设路径。
可选地,在一种实施例中,获取模块301包括:确定单元和获取单元,其中,确定单元用于在网络环境中的多个资产中选定目标资产;获取单元用于通过网络爬虫爬取目标资产的页面数据。
可选地,在一种实施例中,确定单元在网络环境中的多个资产中选定目标资产时,具体执行的步骤包括:获取网络环境的监测数据;根据监测数据确定网络环境中被攻击的资产,以得到所述目标资产。
可选地,在一种实施例中,确定单元在获取网络环境的监测数据时,具体执行的步骤包括:获取网络环境的告警日志;和/或获取网络环境的流量日志。
可选地,在一种实施例中,获取单元在通过网络爬虫爬取目标资产的页面数据时,具体执行的步骤包括:获取预设的仿真页面设置规则;根据仿真页面设置规则确定网络爬虫的内容过滤参数;以及根据内容过滤参数爬取页面数据。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例三的蜜罐服务的生成装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如蜜罐服务的生成方法等。
实施例五
本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储蜜罐服务的生成装置,被处理器执行时实现实施例一的蜜罐服务的生成方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种蜜罐服务的生成方法,其特征在于,包括:
获取蜜罐所在网络环境中资产的页面数据;
根据所述页面数据生成仿真页面数据;以及
根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
2.根据权利要求1所述的蜜罐服务的生成方法,其特征在于,所述页面数据包括页面源文件和静态资源,根据所述页面数据生成仿真页面数据的步骤包括:
将所述静态资源存储在预设路径;以及
将所述页面源文件中对应所述静态资源的请求路径替换为所述预设路径。
3.根据权利要求1所述的蜜罐服务的生成方法,其特征在于,获取蜜罐所在网络环境中资产的页面数据的步骤包括:
在所述网络环境中的多个资产中选定目标资产;
通过网络爬虫爬取所述目标资产的页面数据。
4.根据权利要求3所述的蜜罐服务的生成方法,其特征在于,在所述网络环境中的多个资产中选定目标资产的步骤包括:
获取所述网络环境的监测数据;
根据所述监测数据确定所述网络环境中被攻击的资产,以得到所述目标资产。
5.根据权利要求4所述的蜜罐服务的生成方法,其特征在于,获取所述网络环境的监测数据的步骤包括:
获取所述网络环境的告警日志;和/或
获取所述网络环境的流量日志。
6.根据权利要求3所述的蜜罐服务的生成方法,其特征在于,通过网络爬虫爬取所述目标资产的页面数据的步骤包括:
获取预设的仿真页面设置规则;
根据所述仿真页面设置规则确定所述网络爬虫的内容过滤参数;以及
根据内容过滤参数爬取所述页面数据。
7.一种攻击行为数据的捕获方法,其特征在于,包括:
采用权利要求1至6中任一项所述的蜜罐服务的生成方法生成蜜罐服务;
将所述蜜罐服务配置在所述蜜罐中;
获取所述蜜罐服务的网络流量数据;
根据所述网络流量数据确定攻击行为数据。
8.一种蜜罐服务的生成装置,其特征在于,包括:
获取模块,用于获取蜜罐所在网络环境中资产的页面数据;
第一处理模块,用于根据所述页面数据生成仿真页面数据;以及
第二处理模块,用于根据所述仿真页面数据构建网络服务,以得到蜜罐服务,其中,所述蜜罐服务用于展示所述仿真页面数据对应的仿真页面。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010802491.7A CN114124414B (zh) | 2020-08-11 | 2020-08-11 | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010802491.7A CN114124414B (zh) | 2020-08-11 | 2020-08-11 | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124414A true CN114124414A (zh) | 2022-03-01 |
| CN114124414B CN114124414B (zh) | 2024-03-22 |
Family
ID=80373587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010802491.7A Active CN114124414B (zh) | 2020-08-11 | 2020-08-11 | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124414B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928484A (zh) * | 2022-05-16 | 2022-08-19 | 上海斗象信息科技有限公司 | 蜜罐生成方法、装置、电子设备及存储介质 |
| CN115037526A (zh) * | 2022-05-19 | 2022-09-09 | 咪咕文化科技有限公司 | 反爬虫方法、装置、设备以及计算机存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN110035079A (zh) * | 2019-04-10 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种蜜罐生成方法、装置及设备 |
| CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
-
2020
- 2020-08-11 CN CN202010802491.7A patent/CN114124414B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
| CN110035079A (zh) * | 2019-04-10 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 一种蜜罐生成方法、装置及设备 |
| CN110855506A (zh) * | 2019-11-27 | 2020-02-28 | 国家电网有限公司信息通信分公司 | 安全态势监测方法及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928484A (zh) * | 2022-05-16 | 2022-08-19 | 上海斗象信息科技有限公司 | 蜜罐生成方法、装置、电子设备及存储介质 |
| CN115037526A (zh) * | 2022-05-19 | 2022-09-09 | 咪咕文化科技有限公司 | 反爬虫方法、装置、设备以及计算机存储介质 |
| CN115037526B (zh) * | 2022-05-19 | 2024-04-19 | 咪咕文化科技有限公司 | 反爬虫方法、装置、设备以及计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124414B (zh) | 2024-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9773109B2 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| US9374386B2 (en) | Application malware filtering for advertising networks | |
| US20200014697A1 (en) | Whitelisting of trusted accessors to restricted web pages | |
| CN113949520B (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| CN110875904A (zh) | 实现攻击处理的方法、蜜罐部署方法及介质和设备 | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
| CN114095234B (zh) | 蜜罐生成方法、装置、服务器和计算机可读存储介质 | |
| CN114124414B (zh) | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 | |
| CN111131221A (zh) | 接口校验的装置、方法及存储介质 | |
| CN110674496A (zh) | 程序对入侵终端进行反制的方法、系统以及计算机设备 | |
| CN114928484A (zh) | 蜜罐生成方法、装置、电子设备及存储介质 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| CN114553529A (zh) | 一种数据处理方法、装置、网络设备及存储介质 | |
| CN112702349B (zh) | 一种网络攻击防御方法、装置及电子招标投标交易平台 | |
| US20220255962A1 (en) | Systems and methods for creation, management, and storage of honeyrecords | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| KR102673878B1 (ko) | 피싱 사이트에서의 악성 소프트웨어 추출 및 관리 방법, 장치 및 시스템 | |
| CN114978691B (zh) | 一种蜜罐的伪装方法、装置及介质 | |
| CN115296909B (zh) | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 | |
| CN112583778B (zh) | 恶意网站的监控方法及装置、系统、存储介质、电子装置 | |
| CN117278259A (zh) | 基于流量特征的蜜罐自适应部署方法及系统 | |
| CN110971563B (zh) | 权限信息的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: Qianxin Technology Group Co.,Ltd. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: Qianxin Technology Group Co.,Ltd. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |