CN114221804B - 一种基于特征识别和交互验证的蜜罐识别方法 - Google Patents
一种基于特征识别和交互验证的蜜罐识别方法 Download PDFInfo
- Publication number
- CN114221804B CN114221804B CN202111518609.4A CN202111518609A CN114221804B CN 114221804 B CN114221804 B CN 114221804B CN 202111518609 A CN202111518609 A CN 202111518609A CN 114221804 B CN114221804 B CN 114221804B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- node
- identification
- nodes
- honeypots
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于特征识别和交互验证的蜜罐识别方法,其步骤包括:根据互联网IP节点的信用信息,对可信IP节点进行过滤;通过蜜罐判别方法,利用开源的密罐特征,识别出IP节点中是否存在蜜罐的Dionaea、Conpot、kippo和t‑pot特征,则初步判断该IP节点中存在蜜罐;通过对其多端口和服务进行扫描,实现蜜罐探测识别;基于聚合效应,对得到互联网资产信息进行分析;通过登录验证方式和系统的操作命令交互验证方式对确认的蜜罐识别结果进行校验;如果经过若干次的登录,每次都可以成功登录该IP节点,则校验对蜜罐产品的确认结果为正确。本发明通过采用初步判断、判断、确认和校验的识别模式,提高了蜜罐识别技术速度和准确率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及到一种基于特征识别和交互验证的蜜罐识别方法。
背景技术
在网络安全技术领域中,蜜罐是一种虚假的易受攻击的信息资源,其价值在于被探测、扫描、攻击或攻陷,目的是为了获取攻击者和攻击技术的相关信息,以保护真实的网络系统。
蜜罐技术应用的成功与否决定于蜜罐系统对攻击者的迷惑性。因此,有必要从攻击者的角度对现有蜜罐系统进行检验,发现蜜罐的系统的不足之处加以改进,以使蜜罐系统起到更好的防护作用,该技术称为蜜罐识别技术。蜜罐识别技术也被称为反蜜罐技术(Anti-Honeypot),即为通过各种技术手段对蜜罐软件的存在与否进行检测,进而判断是否处于蜜罐环境。
在计算机安全领域中,蜜罐识别技术的研究对于操作系统及用户自身的技术缺陷的发现有着至关重要的作用,与此同时,蜜罐识别技术的研究对于攻击者保护自身身份及保护攻击工具、攻击方法和策略上也具有一定意义。现有的蜜罐识别技术存在识别速度慢和识别准确率低的问题。
发明内容
针对现有的蜜罐识别技术存在识别速度慢和识别准确率低的问题,本发明公开了一种基于特征识别和交互验证的蜜罐识别方法,用来解决蜜罐由于操作系统及用户自身的技术缺陷,实现提高蜜罐识别技术的速度以及准确率的能力。
本发明公开了一种基于特征识别和交互验证的蜜罐识别方法,其步骤包括:
S1,根据互联网IP节点的信用信息,对可信IP节点进行过滤,滤除可信IP节点,将剩下的IP节点作为步骤S2中的需要扫描的IP节点;互联网IP节点的信用信息通过对该IP节点的公开信息进行搜集和判断得到。
S2,对步骤S1过滤后剩下的IP节点进行扫描,通过蜜罐判别方法,利用开源的密罐特征,识别出IP节点中是否存在蜜罐的Dionaea、Conpot、kippo和t-pot特征,如果该IP节点中存在上述特征,则初步判断该IP节点中存在蜜罐;
S3,对步骤S2中初步判断的存在蜜罐的IP节点,通过对其多端口和服务进行扫描,实现蜜罐探测识别;
对步骤S2中初步判断的存在蜜罐的IP节点进行探测和扫描,对扫描得到的互联网资产信息进行统计,互联网资产信息包括网络节点IP地址、IP节点所开放的端口、节点类型、节点设备名称、技术协议等信息,扫描策略采用多端口模式,当扫描到探测报文抵达所探测的IP节点时,根据IP节点返回的SYNACK报文判断是否实现探测的探测系统与IP节点建立连接,与IP节点建立连接后,如果探测到该IP节点超过13个端口对外开放时,则判断该IP节点中存在蜜罐;
S4,基于聚合效应,对步骤S3得到互联网资产信息进行分析,如果互联网资产信息中的IP地址及端口号呈现周期性变化,并且具有一定规律性,则确认该IP节点中存在蜜罐;
S5,通过登录验证方式和系统的操作命令交互验证方式对步骤S4确认的蜜罐识别结果进行校验;通过使用网络远程登录方式,登录步骤S4确认的存在蜜罐的IP节点,如果经过若干次的登录,每次都可以成功登录该IP节点,则校验步骤S4的对蜜罐产品的确认结果为正确;在使用网络远程登录方式成功登录步骤S4确认的存在蜜罐的IP节点后,使用系统操作命令与该IP节点进行命令交互,如果输入系统操作命令后得不到正确的反馈结果,则确定该蜜罐为低交互式密罐产品;
S6,设置老化时间,到达老化时间后,对互联网IP节点的信用信息进行更新,重复步骤进行步骤S1至S5的操作。
本发明的有益效果为:
本发明公开的一种基于特征识别和交互验证的蜜罐识别方法,用来解决蜜罐由于操作系统及用户自身的技术缺陷。本发明通过采用初步判断、判断、确认和校验的识别模式,提高了蜜罐识别技术的速度和准确率,为保护真实的网络系统安全提供了技术支撑。
附图说明
图1为本发明方法的实现流程图。
具体实施方式
为了更好的了解本发明内容,这里给出一个实施例。
图1为本发明方法的实现流程图。
本发明公开了一种基于特征识别和交互验证的蜜罐识别方法,其步骤包括:
S1,根据互联网IP节点的信用信息,对可信IP节点进行过滤,滤除可信IP节点,将剩下的IP节点作为步骤S2中的需要扫描的IP节点;常见代理节点、CDN节点、出口网关节点等IP信息,会存在一个IP同时开放多端口或者多个业务情况,这将会产生蜜罐识别误报,以互联网IP的资产探测数据库为基础,对可信IP节点进行过滤,来降低扫描的代价;互联网IP节点的信用信息通过对该IP节点的公开信息进行搜集和判断得到。
S2,对步骤S1过滤后剩下的IP节点进行扫描,通过蜜罐判别方法,利用开源的密罐特征,识别出IP节点中是否存在蜜罐的Dionaea、Conpot、kippo和t-pot特征,如果该IP节点中存在上述特征,则初步判断该IP节点中存在蜜罐,从而可以提高识别的准确度;
S3,对步骤S2中初步判断的存在蜜罐的IP节点,通过对其多端口和服务进行扫描,实现蜜罐探测识别;
对步骤S2中初步判断的存在蜜罐的IP节点进行探测和扫描,对扫描得到的互联网资产信息进行统计,互联网资产信息包括网络节点IP地址、IP节点所开放的端口、节点类型、节点设备名称、技术协议等信息,扫描策略采用多端口模式,当扫描到探测报文抵达所探测的IP节点时,根据IP节点返回的SYNACK报文判断是否实现探测的探测系统与IP节点建立连接,与IP节点建立连接后,如果探测到该IP节点超过13个端口对外开放时,则判断该IP节点中存在蜜罐;
S4,基于聚合效应,对步骤S3得到互联网资产信息进行分析,如果互联网资产信息中的IP地址及端口号呈现周期性变化,并且具有一定规律性,则确认该IP节点中存在蜜罐;
互联网上的蜜罐产品一般部署速度较快,为了引诱不同的攻击者,会经常不断变换服务端口,并且部署面包屑、诱饵的方式,引诱不同的攻击者对于系统进行攻击。从单一IP扫描结果上,看到的是单一或者多个业务系统,但是随着对于历史数据的统计以及聚合效应。如果该IP及端口呈现周期性变化,并且具有一定相似性,且具有类似的资产指纹,从而可以判断该IP为部署的一台蜜罐产品,这种方式常出现在工控系统中,该系统中返回报文呈现一种有规律的变化进行识别,来提高判断为蜜罐的准确率;
S5,通过登录验证方式和系统的操作命令交互验证方式对步骤S4确认的蜜罐识别结果进行校验;通过使用网络远程登录方式,登录步骤S4确认的存在蜜罐的IP节点,如果经过若干次的登录,每次都可以成功登录该IP节点,则校验步骤S4的对蜜罐产品的确认结果为正确,这种登录交互验证方式在一定程度上提高了蜜罐的识别率;在使用网络远程登录方式成功登录步骤S4确认的存在蜜罐的IP节点后,使用系统操作命令与该IP节点进行命令交互,如果输入系统操作命令后得不到正确的反馈结果,则确定该蜜罐为低交互式密罐产品;
S6,设置老化时间,到达老化时间后,对互联网IP节点的信用信息进行更新,重复步骤进行步骤S1至S5的操作。
本发明提供了一种基于特征识别和交互验证的蜜罐识别方法,用来解决蜜罐由于操作系统及用户自身的技术缺陷,实现提高蜜罐识别技术的速度以及准确率的能力。
第一方面,通过可信IP节点过滤
常见代理节点、CDN节点、出口网关节点等IP信息,会存在一个IP同时开放多端口或者多个业务情况,这将会产生蜜罐识别误报,以互联网IP的资产探测数据库为基础,对可信IP节点进行过滤,来降低扫描的代价;
第二方面,通过蜜罐特征的识别
在第一方面的基础之上,通过蜜罐判别方法,利用开源,识别出开源Dionaea、Conpot、kippo、t-pot特征,根据相应的特征,来进行判断是否存在异常,从而可以降低识别的准确度;
第三方面,基于多端口和服务的扫描的蜜罐探测识别
首先对于指定区域和范围的IP进行扫描,识别互联网资产信息,对于IP、所开放的端口、资产类型、设备名称、协议、指纹特点等信息进行统计,扫描策略采用多端口模式,扫描探测报文抵达目标设备时,目标设备将SYN ACK报文返回给探测系统,基于积累的ip探测信息,当发现一个IP承载超过13个端口业务时,将会怀疑该设备为蜜罐设备;该方式可以提高识别的效率;
第四方面,基于聚合效应的统计分析识别
互联网上的蜜罐产品一般部署速度较快,为了引诱不同的攻击者,会经常不断变换服务端口,并且部署面包屑、诱饵的方式,引诱不同的攻击者对于系统进行攻击。从单一IP扫描结果上,看到的是单一或者多个业务系统,但是随着对于历史数据的统计以及聚合效应。如果该IP及端口呈现周期性变化,并且具有一定相似性,且具有类似的资产指纹,从而可以判断该IP为部署的一台蜜罐产品,这种方式常出现在工控系统中,该系统中返回报文呈现一种有规律的变化进行识别,来提高判断为蜜罐的准确率;
第五方面,通过登录交互验证方式识别
通过使用ssh、ftp、telnet、smb等登录方式,进行远程登录的服务端口,其中账户为root或admin,密码随意设置,经过超过3次的交互登录,每次都可以成功登录进去,可以怀疑为该设备为蜜罐设备,这种登录交互验证方式在一定程度上提高了蜜罐的识别率;
第六方面,通过系统的操作命令交互验证方式识别
在第五方面的基础之上,使用常用的操作命令history、ll、top等进行和服务端口交互,发现没有返回任何相应的结果,由此基本上就可以确定为蜜罐设备,从而极大的提高准确率;
第七方面,蜜罐老化规则
蜜罐产品经常变换自己的端口和业务,因此为了准确识别蜜罐产品,要对蜜罐识别进行老化时间设置,老化时间根据需要设置,一般为季度、或者半年为宜。由于蜜罐产品可以在网络中扫描探测网络中的空闲IP,并且将空闲IP设置为蜜罐,而有时业务系统IP的使用也会由于内部应用的变化而变化,因此业务IP与蜜罐IP更换,是企业管理中常见的工作,因此该方法主要针对互联网上的蜜罐产品进行标注后,设置一定老化时间,当到达老化时间后,会重新启用对该IP地址的扫描行为,从而为更准确的发现蜜罐产品,提供基础数据支撑。
本发明方法的实现步骤如下所示:
首先依据IP信誉库的信息,进行蜜罐节点过滤;
蜜罐识别组件将蜜罐信息汇聚到蜜罐情报库,对外提供情报查询服务;
蜜罐识别组件将根据识别出来的开源Dionaea、Conpot、kippo、t-pot特征,统计分析特征生成蜜罐识别规则,用于支撑蜜罐产品识别;
基于积累的ip探测信息,统计端口和服务信息,端口开放过多,一般设定为超过13个,判断此服务端口异常;
通过聚合效应的统计方法,来统计出端口与服务的变化趋势,进一步地判断此服务端口异常;
依据以上所判断地为服务端口异常的设备,采用远程登录交互的方式,超过三次无密码交互验证登录,再进一步地确认设备为蜜罐设备;
在上一步骤地基础之上,通过交互执行操作系统地执行命令,无返回结果,可更进一步确定该设备为低交互式蜜罐设备;
蜜罐老化标注模块基于老化规则对蜜罐进行标注,触发下一次蜜罐识别流程。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (1)
1.一种基于特征识别和交互验证的蜜罐识别方法,其特征在于,其步骤包括:
S1,根据互联网IP节点的信用信息,对可信IP节点进行过滤,滤除可信IP节点,将剩下的IP节点作为步骤S2中的需要扫描的IP节点;互联网IP节点的信用信息通过对该IP节点的公开信息进行搜集和判断得到;
S2,对步骤S1过滤后剩下的IP节点进行扫描,通过蜜罐判别方法,利用开源的密罐特征,识别出IP节点中是否存在蜜罐的Dionaea、Conpot、kippo和t-pot特征,如果该IP节点中存在上述特征,则初步判断该IP节点中存在蜜罐;
S3,对步骤S2中初步判断的存在蜜罐的IP节点,通过对其多端口和服务进行扫描,实现蜜罐探测识别;
S4,基于聚合效应,对步骤S3得到互联网资产信息进行分析,如果互联网资产信息中的IP地址及端口号呈现周期性变化,并且具有一定规律性,则确认该IP节点中存在蜜罐;
S5,通过登录验证方式和系统的操作命令交互验证方式对步骤S4确认的蜜罐识别结果进行校验;通过使用网络远程登录方式,登录步骤S4确认的存在蜜罐的IP节点,如果经过若干次的登录,每次都可以成功登录该IP节点,则校验步骤S4的对蜜罐产品的确认结果为正确;在使用网络远程登录方式成功登录步骤S4确认的存在蜜罐的IP节点后,使用系统操作命令与该IP节点进行命令交互,如果输入系统操作命令后得不到正确的反馈结果,则确定该蜜罐为低交互式密罐产品;
S6,设置老化时间,到达老化时间后,对互联网IP节点的信用信息进行更新,重复步骤进行步骤S1至S5的操作;
所述的步骤S3,其具体包括,对步骤S2中初步判断的存在蜜罐的IP节点进行探测和扫描,对扫描得到的互联网资产信息进行统计,互联网资产信息包括网络节点IP地址、IP节点所开放的端口、节点类型、节点设备名称、技术协议的信息,扫描策略采用多端口模式,当扫描到探测报文抵达所探测的IP节点时,根据IP节点返回的SYN ACK报文判断是否实现探测的探测系统与IP节点建立连接,与IP节点建立连接后,如果探测到该IP节点超过13个端口对外开放时,则判断该IP节点中存在蜜罐。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111518609.4A CN114221804B (zh) | 2021-12-12 | 2021-12-12 | 一种基于特征识别和交互验证的蜜罐识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111518609.4A CN114221804B (zh) | 2021-12-12 | 2021-12-12 | 一种基于特征识别和交互验证的蜜罐识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114221804A CN114221804A (zh) | 2022-03-22 |
| CN114221804B true CN114221804B (zh) | 2022-11-08 |
Family
ID=80701337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111518609.4A Active CN114221804B (zh) | 2021-12-12 | 2021-12-12 | 一种基于特征识别和交互验证的蜜罐识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114221804B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116668187B (zh) * | 2023-07-19 | 2023-11-03 | 杭州海康威视数字技术股份有限公司 | 一种蜜罐识别的方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11509690B2 (en) * | 2019-11-21 | 2022-11-22 | Arbor Networks, Inc. | Management of botnet attacks to a computer network |
| US11736507B2 (en) * | 2019-12-13 | 2023-08-22 | Disney Enterprises, Inc. | Techniques for analyzing network vulnerabilities |
-
2021
- 2021-12-12 CN CN202111518609.4A patent/CN114221804B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114221804A (zh) | 2022-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110149350B (zh) | 一种告警日志关联的网络攻击事件分析方法及装置 | |
| US9667589B2 (en) | Logical / physical address state lifecycle management | |
| US10129270B2 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US11888882B2 (en) | Network traffic correlation engine | |
| WO2005071923A1 (en) | Systems and methods for monitoring data transmissions to detect a compromised network | |
| Naik et al. | Honeypots that bite back: A fuzzy technique for identifying and inhibiting fingerprinting attacks on low interaction honeypots | |
| Andropov et al. | Network anomaly detection using artificial neural networks | |
| Lee et al. | Abnormal behavior-based detection of Shodan and Censys-like scanning | |
| Xu et al. | Secure the Internet, one home at a time | |
| Bou-Harb et al. | A systematic approach for detecting and clustering distributed cyber scanning | |
| CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
| CN110581850A (zh) | 一种基于网络流量基因检测方法 | |
| US7469418B1 (en) | Deterring network incursion | |
| CN114221804B (zh) | 一种基于特征识别和交互验证的蜜罐识别方法 | |
| CN111628961A (zh) | 一种dns异常检测方法 | |
| US8819285B1 (en) | System and method for managing network communications | |
| Asha et al. | Analysis on botnet detection techniques | |
| CN115567237A (zh) | 基于知识图谱的网络安全评估方法 | |
| Lautert et al. | Micro IDS: On-line recognition of denial-of-service attacks on IoT networks | |
| Kabiri et al. | Category-based selection of effective parameters for intrusion detection | |
| Francois et al. | Activity monitoring for large honeynets and network telescopes | |
| US20240031392A1 (en) | Systems and Methods for Cyber Threat Detection Based on New and/or Updated Cyber Threat Intelligence | |
| Sqalli et al. | Classifying malicious activities in Honeynets using entropy and volume‐based thresholds | |
| Mulik et al. | Botnet Detection using Traffic Analysis and Defenses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |