CN114285588A - 获取攻击对象信息的方法、装置、设备及存储介质 - Google Patents
获取攻击对象信息的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114285588A CN114285588A CN202011004949.0A CN202011004949A CN114285588A CN 114285588 A CN114285588 A CN 114285588A CN 202011004949 A CN202011004949 A CN 202011004949A CN 114285588 A CN114285588 A CN 114285588A
- Authority
- CN
- China
- Prior art keywords
- client
- file
- virtual server
- attack object
- constructed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004590 computer program Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 230000004044 response Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Abstract
本公开提供了一种获取攻击对象信息的方法、装置、设备及存储介质,其中,获取攻击对象信息的方法包括:获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;通过所述虚拟服务端的所述连接接口与所述客户端建立连接;向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;分析从所述客户端接收的所述预设条件文件,获取攻击对象信息,该方法可方便快捷地获取攻击对象的信息,为对攻击对象的反制操作提供了基础。
Description
技术领域
本公开涉及网络安全技术领域,特别涉及一种获取攻击对象信息的方法、装置、设备及存储介质。
背景技术
网络技术的日趋成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。网络攻击行为日趋复杂,各种方法相互融合,使网络安全防御更加困难。黑客攻击行为组织性更强,攻击目标从单纯的追求“荣耀感”向获取多方面实际利益的方向转移,网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥;手机、掌上电脑等无线终端的处理能力和功能通用性提高,使其日趋接近个人计算机,针对这些无线终端的网络攻击已经开始出现,并将进一步发展。目前,可通过蜜罐技术对网络攻击进行防护,蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。但目前蜜罐技术只能被动的等待攻击对象的攻击,无法获知攻击对象的信息,从而无法针对攻击者做出有效的反制动作。因此,如何获知攻击对象的信息,是目前亟待解决的一个问题。
发明内容
有鉴于此,本公开一个或多个实施例提出一种获取攻击对象信息的方法、装置、设备及存储介质,以解决相关技术中无法获知网络攻击对象信息的问题。
本公开一个或多个实施例提供了一种获取攻击对象信息的方法,包括:获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;通过所述虚拟服务端的连接接口与所述客户端建立连接;向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。
可选的,所述方法还包括:构建虚拟服务端;将所述虚拟服务端部署到蜜罐网络中。
可选的,所述虚拟服务端以及所述客户端基于MySQL数据库协议进行数据交互。
可选的,向所述客户端发送预先构建的文件读取请求向所述客户端发送读取预设文件的请求,包括:向所述客户端发送预先构建的数据包,所述数据包中包括:向所述客户端发送预先构建的数据包,所述数据包中包括:文件存储位置信息和/或文件属性信息。
可选的,所述文件包括所述客户端的账户信息。
可选的,所述方法还包括:在获取所述客户端发送的所述文件之后,将所述账户信息加入黑名单。
可选的,所述方法还包括:在分析从所述客户端接收的所述预设条件文件,获取攻击对象信息之前,等待获取所述客户端发送的查询请求;待获取所述客户端发送的查询请求之后,确定执行向所述客户端发送预先构建的文件读取请求的步骤。
可选的,所述方法还包括:在获取所述客户端发送的所述文件之后,根据所述文件发出告警消息。
本公开的一个或多个实施例提供了一种获取攻击对象信息的装置,包括:第一获取模块,被配置为获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;连接模块,被配置为通过所述虚拟服务端的所述连接接口与所述客户端建立连接;发送模块,被配置为向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;第二获取模块,被配置为分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。
本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意一种获取攻击对象信息的方法。
本公开一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述任意一种获取攻击对象信息的方法。
本公开一个或多个实施例的获取攻击对象信息的方法,在客户端向部署于蜜罐网络中的预先构建的虚拟服务端发送连接请求时,在与客户端建立连接后,请求读取客户端的文件,以获取客户端的信息,从而可方便快捷地获取攻击对象的信息,可实现安全并且主动快速的收集攻击对象的信息的目的,为对攻击对象的反制操作提供了基础。
附图说明
图1是根据本公开一个或多个实施例示出的一种获取攻击对象信息的方法的流程图;
图2是根据本公开一个或多个实施例示出的一种获取攻击对象信息的方法的示意图;
图3是根据本公开一个或多个实施例示出的一种获取攻击对象信息的装置的框图;
图4根据本公开一个或多个实施例示出的一种电子设备的框图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,本公开实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本公开实施例的限定,后续实施例对此不再一一说明。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
图1是根据本公开一个或多个实施例示出的一种获取攻击对象信息的方法的流程图,该方法可以由虚拟服务端执行,如图1所示,该方法包括:
步骤101:获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;
其中,蜜罐是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。故,在本公开的一个或多个实施例中,与部署于蜜罐网络中预先构建的虚拟服务端建立连接的客户端均被视为攻击对象。
在本公开的一个或多个实施例中,虚拟服务端例如可以是预先构建的提供有连接接口的可执行文件,更近一步的,在步骤103中,虚拟服务端还可具备在收到客户端的连接请求后,向客户端发送预先构建的用于请求读取预设类型的文件的数据包的功能。该虚拟服务端例如可以是一个虚拟的MySQL服务端,相应的,连接接口可以是MySQL默认的3306端口,在构建完成虚拟MySQL服务端后,将虚拟MySQL服务端部署于蜜罐网络,并使虚拟MySQL服务端开放3306端口,当攻击对象连接该3306端口,即与预先构建的虚拟MySQL服务端建立了连接。
步骤102:通过所述虚拟服务端的连接接口与所述客户端建立连接;
步骤103:向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;
例如,虚拟服务端中可包括预先构建的文件读取请求,该文件读取请求例如可以被封装为一个数据包,该数据包中可指定有待读取的文件的类型、文件的地址以及文件的名称中的至少一种信息。将该数据包发送给客户端后,客户端在接收到该数据包后,可根据该数据包中信息返回相应的文件给虚拟服务端。
步骤104:分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。例如,接收客户端根据上述文件读取请求返回的文件。
本公开一个或多个实施例的获取攻击对象信息的方法,在客户端向部署于蜜罐网络中的预先构建的虚拟服务端发送连接请求时,在与客户端建立连接后,请求读取客户端的文件,以获取客户端的信息,从而可方便快捷地获取攻击对象的信息,可实现安全并且主动快速的收集攻击对象的信息的目的,为对攻击对象的反制操作提供了基础。
在本公开的一个或多个实施例中,上述获取攻击对象信息的方法还可包括:构建虚拟服务端;将所述虚拟服务端部署到蜜罐网络中。例如,首先编写虚拟服务端的代码,再将编写好的虚拟服务端的代码打包成镜像文件,将该镜像文件作为一个蜜罐部署到蜜罐网络。其中,预先构建的虚拟服务端例如可以是一种MySQL服务端。
在本公开的一个或多个实施例中,所述虚拟服务端以及所述客户端可基于MySQL数据库协议进行数据交互,例如,虚拟服务端被提供为一种MySQL服务端,客户端被提供为一种MySQL客户端。对于MySQL数据库协议来说,MySQL服务端发送给MySQL客户端的读取文件的数据包是无需通过校验的,在MySQL客户端与MySQL服务端建立连接后,MySQL客户端会直接响应接收到的来自MySQL服务端的数据包。举例说明,在MySQL客户端与MySQL服务端建立连接后,MySQL客户端将SQL语句(Structured Query Language,结构化查询语言)发送到MySQL服务端,MySQL服务端解析该SQL语句,解析出该SQL语句标识要读取的文件/etc/passwd并且有关键字local,MySQL服务端会发给MySQL客户端一个数据包,以通知MySQL客户端需要取得客户端的本机文件/etc/passwd,对于这个数据包,MySQL客户端是无需校验的,MySQL客户端读取这个数据包后,将MySQL服务端要读取的文件上传给MySQL服务端,实现这条SQL语句的执行。其中,当MySQL客户端连接MySQL服务端时,会带有can use loaddata local:set字段,基于该字段,可确定MySQL客户端允许MySQL服务端读取其本地文件。故,在本公开的一个或多个实施例中,可预先构造一个读取客户端文件的数据包,例如,可先构造一个假的MySQL服务端(为上述虚拟服务端的一个示例),当MySQL客户端连接MySQL服务端时只要执行一条SQL语句,MySQL服务器就回应一个预先构建的用于读取MySQL客户端本地文件的数据包,MySQL客户端就会将其指定的文件读取并返回给MySQL服务端,从而MySQL服务端实现了对MySQL客户端的信息的获取。
在本公开的一个或多个实施例中,向所述客户端发送预先构建的文件读取请求可包括:向所述客户端发送预先构建的数据包,所述数据包中包括:文件存储位置信息和/或文件属性信息。其中,文件存储位置信息例如可以是文件存储路径,文件属性信息例如可以包括文件名称和/或文件类型,例如,通常,在一台电子设备中,相对重要的用户个人数据,通常存储于指定的文件路径下,故,可将这类指定的文件路径作为预设文件路径,再结合文件名称,在预先构建数据包时,将该预设文件路径以及文件名称放入数据包,在客户端与虚拟服务端建立连接后,将该数据包发送至客户端,即可请求读取客户端本地所存储的指定的文件,在文件路径以及文件名称指定了客户端本地所存储的用户个人数据时,可获得客户端返回的该用户个人数据,从而可获知攻击对象的个人身份信息。
在本公开的一个或多个实施例中,所述文件包括所述客户端的账户信息。例如,客户端的账户信息例如可以包括客户端对应的账户和/或密码,其中,获取到的客户端对应的账户为明文,而获取到的客户端对应的密码可能是明文或密文。例如,虚拟服务端发给客户端的预先构建的数据包中可包括有读取客户端的账户名和/或密码的字段,沿用上述例子,预先构建的数据包中可包括有需要读取客户端的本机文件/etc/passwd。由于与部署于蜜罐网络中的虚拟服务端建立连接的客户端均被视为攻击对象,故,获取这些客户端的账户信息,可清楚的获知攻击对象的身份,从而可有针对性的对攻击对象执行反制措施。
在本公开的一个或多个实施例中,上述获取攻击对象信息的方法还可包括:在分析从所述客户端接收的所述预设条件文件,获取攻击对象信息之后,将所述账户信息加入黑名单。沿用上述例子,由于客户端的账户信息通常代表客户端或用户的身份,故在虚拟服务端获取了客户端的账户信息后,即获知了攻击对象的个人身份信息,将客户端的账户信息加入黑名单,即可形成攻击对象的黑名单。例如,对于多个不同的各个服务端来说,可分别形成对应于各服务端的黑名单。进一步的,还可将形成的黑名单发送至虚拟服务端对应真实服务端,即,虚拟服务对应所对应的真实服务端(例如,针对真实服务端A,构建了一个虚拟服务端A’,则A’即为虚拟服务端A所对应的真实服务端),从而使得真实服务端可根据该黑名单中记录的攻击对象的账户信息对一些恶意访问进行拦截。
在一种可实现方式中,上述获取攻击对象信息的方法还可包括:在向所述客户端发送预先构建的文件读取请求之前,等待获取所述客户端发送的查询请求;待获取所述客户端发送的查询请求之后,确定执行向所述客户端发送预先构建的文件读取请求的步骤。在该可实现方式中,待客户端向虚拟服务端发送了查询请求后,虚拟服务端再向客户端发送预先构建的文件读取请求,而不是客户端与服务端刚一建立连接后,即向客户端发送文件读取请求,这样可使给客户端造成一个假象,即服务端是基于客户端发送的查询请求被动响应客户端,而并非主动向客户端请求读取文件,从而使得攻击对象对虚拟服务端的读取文件操作无感知,可使攻击对象放松警惕,有利于成功读取客户端本地的文件。其中,客户端与虚拟服务端进行数据交互所使用的协议仍以MySQL数据库协议为例,通常MySQL客户端在刚与MySQL服务端建立连接之后就会默认执行一些固定的SQL语句,比如,Select@@server_id、select@@version_comment limit 1等。这些是查询MySQL数据库服务端一些信息的语句。虽然不同客户端的初始查询语句不同,但是MySQL客户端与MySQL服务端建立连接后,只要执行这些查询语句就可以将需要构建的数据包返回给客户端,以读取客户端文件。
在本公开的一个或多个实施例中,上述获取攻击对象信息的方法还可包括:在获取所述客户端发送的所述文件之后,根据所述文件发出告警消息,例如,虚拟服务端在获取客户端发送的文件之后,可输出该文件的内容和/或将该文件的内容写入日志,并发出告警消息,以提示当前发现攻击对象。在文件中包括客户端的账户信息的情况下,可将客户端的账户信息包含在报警消息中,以通过报警消息提示攻击对象的身份信息。可选的,告警信息可以发送给虚拟服务端所对应的真实服务端,以使得真实服务端获知攻击对象的信息。
为了便于对本公开一个或多个实施例的获取攻击对象信息的方法的理解,以下客户端与虚拟服务端进行数据交互所使用的协议仍以MySQL数据库协议为例,结合图2对该方法进行示例性说明。
在MySQL客户端与MySQL服务端建立连接后,MySQL客户端会主动发送"select@@version_comment limit 1"(为上述查询请求的一个示例),MySQL服务端直接响应以"Response TABULAR"(为上述文件读取请求的一个示例),MySQL客户端将立即上传文件,不需要其他交互。
其中,MySQL客户端可从来自MySQL服务端的"Response TABULAR"(15号报文)中获取文件名,然后在16号报文中上传相应文件,其中,"Response TABULAR"为上述文件读取请求的一个示例。MySQL客户端主动发出的14号报文(为上述查询请求的一个示例)会被MySQL服务端解析,如果MySQL客户端允许"LOAD DATA LOCAL INFILE",当它收到来自MySQL服务端的"Response TABULAR"时,无论自身是否主动发起过上传文件的请求,都会上传文件给MySQL服务端。
在上述例子中,可将期望读取的客户端的文件路径转为字节写入到上述构造的15号报文,响应给MySQL客户端。
将构造的MySQL服务端打包成镜像,部署到蜜罐网络,开放MySQL默认的3306端口,当攻击对象连接这个3306端口时,MySQL服务端就会返回预先构建的数据包给客户端,从而读取客户端的文件,并将文件内容写到日志,并产生告警。
在上述例子中,将构建的MySQL服务端部署到蜜罐环境中,只要攻击对象访问MySQL服务端即可达到获取攻击对象本地文件的目的,并且不需要一个真实的MySQL服务端,该方法快速安全并可达到对攻击事件的反制效果。
图3是根据本公开一个或多个实施例示出的一种获取攻击对象信息的装置的框图,该装置可以设置于服务端,例如,可以设置于MySQL服务端,如图3所示,该装置30包括:
第一获取模块31,被配置为获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;
连接模块32,被配置为通过所述虚拟服务端的所述连接接口与所述客户端建立连接;
发送模块33,被配置为向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;
第二获取模块34,被配置为分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。
在本公开的一个或多个实施例中,上述获取攻击对象信息的装置还可包括:构建模块,被配置为构建虚拟服务端;部署模块,被配置为将所述虚拟服务端部署到蜜罐网络中。
在本公开的一个或多个实施例中,所述虚拟服务端以及所述客户端可基于MySQL数据库协议进行数据交互。
在本公开的一个或多个实施例中,上述发送模块可被配置为:向所述客户端发送预先构建的数据包,所述数据包中可包括:文件存储位置信息和/或文件属性信息。
在本公开的一个或多个实施例中,所述文件可包括所述客户端的账户信息。
在本公开的一个或多个实施例中,上述获取攻击对象信息的装置还可包括:黑名单模块,被配置为在获取所述客户端发送的所述文件之后,将所述账户信息加入黑名单。
在本公开的一个或多个实施例中,上述获取攻击对象信息的装置还可包括:第三获取模块,被配置为在向所述客户端发送预先构建的文件读取请求之前,等待获取所述客户端发送的查询请求;确定模块,被配置为待获取所述客户端发送的查询请求之后,确定执行向所述客户端发送预先构建的文件读取请求的步骤。
在本公开的一个或多个实施例中,上述获取攻击对象信息的装置还可包括:告警模块,被配置为在分析从所述客户端接收的所述预设条件文件,获取攻击对象信息之后,根据所述文件发出告警消息。
本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任意一种获取攻击对象信息的方法。
本公开一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述任意一种获取攻击对象信息的方法。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (11)
1.一种获取攻击对象信息的方法,其特征在于,包括:
获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;
通过所述虚拟服务端的所述连接接口与所述客户端建立连接;
向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;
分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
构建虚拟服务端;
将所述虚拟服务端部署到蜜罐网络中。
3.根据权利要求1所述的方法,其特征在于,所述虚拟服务端以及所述客户端基于MySQL数据库协议进行数据交互。
4.根据权利要求1所述的方法,其特征在于,向所述客户端发送预先构建的文件读取请求,包括:
向所述客户端发送预先构建的数据包,所述数据包中包括:文件存储位置信息和/或文件属性信息。
5.根据权利要求4所述的方法,其特征在于,所述文件包括所述客户端的账户信息。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在获取所述客户端发送的所述文件之后,将所述账户信息加入黑名单。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在向所述客户端发送预先构建的文件读取请求之前,等待获取所述客户端发送的查询请求;
待获取所述客户端发送的查询请求之后,确定执行向所述客户端发送预先构建的文件读取请求的步骤。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在分析从所述客户端接收的所述预设条件文件,获取攻击对象信息之后,根据所述文件发出告警消息。
9.一种获取攻击对象信息的装置,其特征在于,包括:
第一获取模块,被配置为获取客户端对部署于蜜罐网络中的虚拟服务端的连接请求,其中,所述虚拟服务端是预先构建的,所述虚拟服务端具有连接接口;
连接模块,被配置为通过所述虚拟服务端的所述连接接口与所述客户端建立连接;
发送模块,被配置为向所述客户端发送预先构建的文件读取请求,其中,所述文件读取请求用于请求获取所述客户端中预设条件的文件;
第二获取模块,被配置为分析从所述客户端接收的所述预设条件文件,获取攻击对象信息。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述的获取攻击对象信息的方法。
11.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至8任一项所述的获取攻击对象信息的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011004949.0A CN114285588A (zh) | 2020-09-21 | 2020-09-21 | 获取攻击对象信息的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011004949.0A CN114285588A (zh) | 2020-09-21 | 2020-09-21 | 获取攻击对象信息的方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114285588A true CN114285588A (zh) | 2022-04-05 |
Family
ID=80867462
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011004949.0A Pending CN114285588A (zh) | 2020-09-21 | 2020-09-21 | 获取攻击对象信息的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285588A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174245A (zh) * | 2022-07-15 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种基于DoIP协议检测的测试方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050073702A (ko) * | 2004-01-09 | 2005-07-18 | 한국과학기술원 | 네트워크 기반의 보안 솔루션 시스템 |
| CN107682333A (zh) * | 2017-09-30 | 2018-02-09 | 北京奇虎科技有限公司 | 基于云计算环境的虚拟化安全防御系统及方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| CN108881477A (zh) * | 2018-07-16 | 2018-11-23 | 上海新炬网络技术有限公司 | 一种基于分布式的文件采集监控的方法 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| WO2019169765A1 (zh) * | 2018-03-06 | 2019-09-12 | 平安科技(深圳)有限公司 | 电子装置、集群环境下状态信息的获取方法、系统及存储介质 |
-
2020
- 2020-09-21 CN CN202011004949.0A patent/CN114285588A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050073702A (ko) * | 2004-01-09 | 2005-07-18 | 한국과학기술원 | 네트워크 기반의 보안 솔루션 시스템 |
| CN107682333A (zh) * | 2017-09-30 | 2018-02-09 | 北京奇虎科技有限公司 | 基于云计算环境的虚拟化安全防御系统及方法 |
| CN108134797A (zh) * | 2017-12-28 | 2018-06-08 | 广州锦行网络科技有限公司 | 基于蜜罐技术的攻击反制实现系统及方法 |
| WO2019169765A1 (zh) * | 2018-03-06 | 2019-09-12 | 平安科技(深圳)有限公司 | 电子装置、集群环境下状态信息的获取方法、系统及存储介质 |
| CN108881477A (zh) * | 2018-07-16 | 2018-11-23 | 上海新炬网络技术有限公司 | 一种基于分布式的文件采集监控的方法 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 雨韭韭: "Mysql 服务端反向读取客户端的任意文件", Retrieved from the Internet <URL:博客园,https://www.cnblogs.com/Rain99-/p/13334755.html> * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174245A (zh) * | 2022-07-15 | 2022-10-11 | 湖北天融信网络安全技术有限公司 | 一种基于DoIP协议检测的测试方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666686B1 (en) | Virtualized exploit detection system | |
| US9787700B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| CN105430011B (zh) | 一种检测分布式拒绝服务攻击的方法和装置 | |
| US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| US20160226908A1 (en) | Identification of and countermeasures against forged websites | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN114342319A (zh) | 用于基础设施即服务安全性的蜜罐 | |
| US10129289B1 (en) | Mitigating attacks on server computers by enforcing platform policies on client computers | |
| CN108768960B (zh) | 病毒检测方法、装置、存储介质及计算机设备 | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| CN113676449B (zh) | 网络攻击处理方法及装置 | |
| CN111163095B (zh) | 网络攻击分析方法、网络攻击分析装置、计算设备和介质 | |
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| US10187428B2 (en) | Identifying data usage via active data | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| WO2014114127A1 (en) | Method, apparatus and system for webpage access control | |
| US9787711B2 (en) | Enabling custom countermeasures from a security device | |
| CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| US20140208385A1 (en) | Method, apparatus and system for webpage access control | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN114285588A (zh) | 获取攻击对象信息的方法、装置、设备及存储介质 | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |