CN114285626A - 一种蜜罐攻击链构建方法及蜜罐系统 - Google Patents
一种蜜罐攻击链构建方法及蜜罐系统 Download PDFInfo
- Publication number
- CN114285626A CN114285626A CN202111571922.4A CN202111571922A CN114285626A CN 114285626 A CN114285626 A CN 114285626A CN 202111571922 A CN202111571922 A CN 202111571922A CN 114285626 A CN114285626 A CN 114285626A
- Authority
- CN
- China
- Prior art keywords
- request
- honeypot
- attacker
- attack
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了一种蜜罐攻击链构建方法及蜜罐系统,涉及网络安全技术领域。该方法应用于蜜罐系统,蜜罐系统包括蜜罐、靶标、数据网关及处理平台。该方法包括:数据网关获取攻击者发送的每个请求。数据网关将每个请求发送至蜜罐和靶标。蜜罐根据每个请求,分别获得第一攻击信息,并将第一攻击信息发送至处理平台。靶标根据每个请求,分别获得第二攻击信息,并将第二攻击信息发送至处理平台。处理平台根据获取的所有与攻击者相关的第一攻击信息和第二攻击信息,还原攻击者的攻击链。如此,通过设置相应靶标以满足蜜罐所不具备的业务需求,获得靶标和蜜罐返回的攻击信息,还原攻击者真实的攻击链,即攻击过程。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种蜜罐攻击链构建方法及蜜罐系统。
背景技术
蜜罐系统是一种欺骗防御系统,通过仿冒、欺骗、钓鱼等手段,识别出攻击者的攻击行为。它是一个完整诱捕生态,不仅可以基于现有的攻击行为识别威胁,还可以提前布置诱骗场景或者攻击过程中动态的调整诱骗场景,以达到欺骗防御的目的,让攻击者无处遁形。
现有的蜜罐系统,为了达到欺骗防御的效果,会故意设定一些漏洞诱饵,便于攻击者攻击。当攻击者利用漏洞诱饵进行攻击时,蜜罐系统会通过流量等方式识别攻击行为。然而,由于现有的蜜罐系统是提前内置好的,难以考虑到所有的业务需求,使得不能完全反映真实的攻击过程。
发明内容
本发明的目的包括,例如,提供了一种蜜罐攻击链构建方法,其能够还原攻击者的攻击链。
本发明的实施例可以这样实现:
第一方面,本发明实施例提供一种蜜罐攻击链构建方法,应用于蜜罐系统,所述蜜罐系统包括蜜罐、靶标、数据网关及处理平台,所述方法包括:
所述数据网关获取攻击者发送的每个请求;
所述数据网关将每个所述请求发送至所述蜜罐和所述靶标;
所述蜜罐根据每个所述请求,分别获得第一攻击信息,并将所述第一攻击信息发送至所述处理平台;
所述靶标根据每个所述请求,分别获得第二攻击信息,并将所述第二攻击信息发送至所述处理平台;
所述处理平台根据获取的所有与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链。
进一步地,所述靶标有多种,每种靶标有其对应的请求响应条件,所述数据网关存储有多个请求响应条件和请求的对应关系;
所述数据网关将每个所述请求发送至所述靶标的步骤,包括:
所述数据网关根据每个所述请求,分别判断是否存在所述请求对应的请求响应条件;
若是,所述数据网关则查找所述请求响应条件对应的目标靶标,并将所述请求发送至所述目标靶标。
进一步地,所述方法还包括:
所述蜜罐根据所述请求,获得第一返回信息,并将所述第一返回信息发送至所述数据网关;
所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,所述第二返回信息携带有设定的反制信息;
所述数据网关将获取的第一返回信息和第二返回信息进行处理,得到请求响应结果,并将所述请求响应结果发送至所述攻击者。
进一步地,所述蜜罐系统针对同一个请求响应条件设置有多个靶标;所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关的步骤,包括:
所述数据网关针对同一攻击者的多个请求,根据预先设置的规则,分别将每个所述请求发送至不同的靶标;其中,多个请求存在对应的同一请求响应条件;
每个所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,每个靶标获得的第二返回信息不同。
进一步地,所述第二返回信息还携带有针对所述攻击者的身份信息,所述方法还包括:
当第二攻击者基于所述第二返回信息发送请求至所述蜜罐系统时,获取所述第二返回信息携带的身份信息;其中,所述第二攻击者与所述攻击者的IP地址不同;
根据所述身份信息,将使用不同IP地址的第二攻击者确定为所述攻击者。
进一步地,所述蜜罐为多个,每个蜜罐有对应的请求类型;所述数据网关存储有多个请求与请求类型的对应关系;所述数据网关将每个所述请求发送至蜜罐的步骤,包括:
所述数据网关根据每个所述请求,分别确定每个所述请求对应的请求类型;
根据所述请求类型,将每个所述请求发送至所述请求类型对应的目标蜜罐。
进一步地,所述蜜罐系统包含多个场景,每个场景分别由不同的多个蜜罐和每个蜜罐分别对应的多种靶标组成;
所述处理平台根据获取的所有与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链的步骤之后,所述方法还包括:
根据每个攻击者的请求发送至的目标蜜罐和靶标,分别确定并标定每个攻击者的攻击链与场景的对应关系;
根据所述对应关系,获得每个场景下的所有攻击者的攻击链;
分别将每个场景的所有攻击者的攻击链汇总在一起,形成多个场景的攻击链信息,以分析每个场景的蜜罐和靶标的配置是否有漏洞。
第二方面,本发明实施例提供一种蜜罐系统,所述系统包括:
数据网关,用于获取攻击者发送的请求,并所述请求发送至所述蜜罐和靶标;
蜜罐,用于根据所述请求,获得第一攻击信息,并将所述第一攻击信息发送至处理平台;
靶标,用于根据所述请求,获得第二攻击信息,并将所述第二攻击信息发送至所述处理平台;
处理平台,用于根据获取的多个与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链。
进一步地,所述靶标为多个,每个靶标有其对应的请求响应条件,所述数据网关存储有多个请求响应条件和请求的对应关系;
所述数据网关通过以下步骤执行所述数据网关将所述请求发送至靶标:
根据每个所述请求,分别判断是否存在所述请求对应的请求响应条件;
若是,则查找所述请求响应条件对应的目标靶标,并将所述请求发送至所述目标靶标。
进一步地,所述系统还包括:
所述蜜罐根据所述请求,获得第一返回信息,并将所述第一返回信息发送至所述数据网关;
所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,所述第二返回信息携带有不利于攻击者的信息;
所述数据网关将获取的第一返回信息和第二返回信息进行处理,得到请求响应结果,并将所述请求响应结果发送至所述攻击者,以使所述第二返回信息不会被所述攻击者发现。
本发明实施例的有益效果包括,例如:蜜罐攻击链构建方法应用于蜜罐系统,蜜罐系统包括蜜罐、靶标、数据网关及处理平台。数据网关获取攻击者发送的每个请求,分别将每个请求发送至蜜罐和靶标。蜜罐根据每个请求,获得第一攻击信息并发送至处理平台。靶标根据每个请求,获得第二攻击信息并发送至处理平台。处理平台根据该攻击者的第一攻击信息和第二攻击信息,还原该攻击者的攻击链。
如此,通过将靶标和蜜罐相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,以防止漏掉攻击者的某些攻击过程,从而使得可以最大程度的还原攻击者的攻击过程。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之一。
图2为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之二。
图3为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之三。
图4为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之四。
图5为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之五。
图6为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之六。
图7为本发明实施例提供的一种蜜罐系统的结构示意图。
图8为本发明实施例提供的一种蜜罐系统的信令交互图。
图标:100-蜜罐系统;101-数据网关;102-蜜罐;103-靶标;104-处理平台。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
现有的蜜罐系统,为了达到仿真的效果,通常会采用模拟协议、模拟服务或构建仿真资产等方式进行制作,并在其中设置多种漏洞诱饵,以诱导攻击者按照设计的道路进行攻击。但由于蜜罐是提前设置好的,而蜜罐中的漏洞诱饵的设置是根据具体的业务进行设定,并提前存储在蜜罐中。当业务发生变化时,使得攻击者的攻击行为并不按照设计的道路进行攻击,导致该攻击者对应的攻击者的攻击过程就可能获取的不完全,使得最终获取的攻击过程并不能反映真实的攻击过程。
基于此,图1为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之一。如图1所示,应用于蜜罐系统,蜜罐系统包括蜜罐、靶标、数据网关及处理平台,方法包括:
步骤S101、数据网关获取攻击者发送的每个请求。
步骤S102、数据网关将每个请求发送至蜜罐和靶标。
步骤S103、蜜罐根据每个请求,分别获得第一攻击信息,并将第一攻击信息发送至处理平台。
步骤S104、靶标根据每个请求,分别获得第二攻击信息,并将第二攻击信息发送至处理平台。
步骤S105、处理平台根据获取的所有与攻击者相关的第一攻击信息和第二攻击信息,还原攻击者的攻击链。
蜜罐攻击链构建方法应用于蜜罐系统,所述蜜罐系统包括蜜罐、靶标、数据网关及处理平台。数据网关获取攻击者发送的每个请求,分别将每个请求发送至蜜罐和靶标。蜜罐根据每个请求,获得第一攻击信息并发送至处理平台;靶标根据每个请求,获得第二攻击信息并发送至处理平台。处理平台根据该攻击者的第一攻击信息和第二攻击信息,还原该攻击者的攻击链。
如此,由于将蜜罐以及靶标结合起来,用靶标去构建蜜罐所不具有的漏洞诱饵或无法满足的业务需求,以与蜜罐构建成一个完整的攻击设定道路,使得攻击者按照此设定道路进行攻击,从而获取该攻击者的完整攻击链。
由于蜜罐内部代码结构复杂,代码之间的相互关系多,使得开发人员即使修改或者添加一小部分内容也会花费大量的时间,并且蜜罐需要实时进行修改以适应业务需求的快速变化。而本申请具体实施例是用靶标去进行漏洞诱饵的设置,而不对蜜罐进行修改,使得可以灵活适用于多种业务需求的同时,减少开发人员的时间浪费,降低开发成本。
继续参见图1,在一种实现方式中,攻击信息包含有攻击时间、攻击目标、攻击手段、攻击者的IP地址、攻击者的具体操作等。可以将攻击者攻击的蜜罐的IP地址、蜜罐的名称、蜜罐的服务等记录为攻击目标。攻击手段可以是漏洞利用、密码爆破、水抗攻击等。
蜜罐系统中有多种蜜罐,相关人员可以根据业务需求选择对应的蜜罐,下面将介绍蜜罐系统中,蜜罐是如何进行选取的。图2为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之二。如图2所示,蜜罐为多个,每个蜜罐有对应的请求类型;数据网关存储有多个请求与请求类型的对应关系;数据网关将每个请求发送至蜜罐的步骤,包括:
步骤S102a、所述数据网关根据每个请求,分别确定每个请求对应的请求类型;
步骤S102b、根据所述请求类型,将每个请求发送至请求类型对应的目标蜜罐。
在一个实现方式中,蜜罐系统中有多个蜜罐,每个蜜罐由其对应的蜜罐模板自动生成,每个蜜罐模板所对应的功能不一样,设置的漏洞诱饵也不一样,例如:蜜罐模板可以从协议模拟、资产高仿、自定义代码或资产接入等功能进行制作。
相应地,请求类型是根据每个蜜罐模板的特性进行设定并存储在蜜罐系统中,以便于将请求发送至对应的蜜罐进行处理,捕获攻击者的攻击信息。
在蜜罐系统中,靶标有多种,每种靶标有其对应的请求响应条件,数据网关存储有多个请求响应条件和请求的对应关系。请继续参阅图2,将数据网关将每个请求发送至靶标的步骤,包括:
步骤S102c、数据网关根据每个请求,分别判断是否存在请求对应的请求响应条件。
步骤S102d、若是,数据网关则查找请求响应条件对应的目标靶标,并将请求发送至目标靶标。
数据网关针对每一个请求,会分别判断每一个请求是否存在对应的请求响应条件。如果请求存在对应的响应条件,那么就将该请求发送至请求响应条件对应的靶标;如果不存在,那么就不进行发送。
其中,是否存在请求对应的请求响应条件,可以通过请求中携带有的统一资源定位系统(uniform resource locator,URL)、请求头、敏感关键词、开发语言、中间件版本、特殊协议等进行匹配判断。
在一种实现方式中,如果请求存在对应的响应条件,数据网关可以将每个请求发送至蜜罐和靶标,也可以只发送至靶标而不发送至蜜罐,可以根据实际业务需求进行设定。
在一张实现方式中,靶标可以根据服务协议、服务内容、网络布局等,从上述的蜜罐模板中提取出一些特征标签。其中,特征标签可以为开发语言、中间件、数据库、漏洞、配置等。然后以从蜜罐模板中提取出的特征标签为基础,制作出该蜜罐模板对应的靶标。
在一种实现方式中,靶标的设置方式是灵活,可根据实际应用场景或者业务需求进行确定。可以将靶标归纳成以下几种方式:数据管理、web代码管理、漏洞管理、文件管理、反制木马管理、甜度信息管理等。每种靶标有对应的请求响应条件,只有满足该请求响应条件,靶标才会进行响应。
例如:数据管理中有关json数据块的靶标,可以将靶标绑定到特定的蜜罐的请求上之后,只要攻击者用该请求进行访问时,就将会找到这个json数据块,并将此json数据用于执行该请求后续的具体操作。
又例如,关于漏洞管理的靶标,可以是有关于带有漏洞的简单页面模块。使其可以根据攻击者的请求,将页面内容进行实时更新,以避免被攻击者发现为故意设置的漏洞。
又例如,关于文件管理的靶标,可以是有关于网银的证书安装包的下载。只要攻击者下载该证书安装包,就会触发对应的响应条件,将该过程记录下来或者为其他蜜罐或者靶标提供对应的信息。
又例如:关于反制木马管理的靶标,可以是有关于反制JavaScript代码。在获取攻击者的请求之后,就会将请求注入至原请求中,以生成弹窗。当攻击者点击该弹窗时,就会自动下载相关代码,以获取攻击者所在的系统或者电子设备上的权限,执行某些操作或者获取该攻击者的相关信息。
现有的蜜罐系统为了与业务需求贴近,会对蜜罐的进行修改,具体修改内容对应的一些基本要素,例如:名称、描述、图片、配置文件等,会通过蜜罐系统和蜜罐之间开放的一个数据共享通道进行传输,使蜜罐系统与蜜罐的数据同步。以方便后续与攻击者的通信时,发送一些相应的内容信息或使蜜罐系统选择对应的蜜罐进行通信连接。然而此数据共享通道有可能会被攻击者所利用。
但本方法实施例是直接根据蜜罐需要修改的内容,设置对应的靶标。在与攻击者进行通信时,会直接由数据网关劫持请求,然后由数据网关发送至对应的蜜罐或靶标,并执行相应操作。因此,由于不需要实现数据的同步操作,即不需要开启蜜罐系统和蜜罐之间的数据共享通道,提高了蜜罐系统的安全性。
蜜罐系统除了记录下攻击信息,还需要对攻击者的请求返回相应的信息,以达到伪装的目的。图3为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之三,如图3所示,方法还包括:
步骤S201、蜜罐根据请求,获得第一返回信息,并将第一返回信息发送至数据网关。
步骤S202、靶标根据请求,获得第二返回信息,并将第二返回信息发送至数据网关。
其中,第二返回信息携带有设定的反制信息。反制信息具有反向操控攻击者的功能,使攻击者按照设定的道路进行攻击。还可以具有访问攻击者的所在设备的功能,以获取攻击者权限、信息等。
步骤S203、数据网关将获取的第一返回信息和第二返回信息进行处理,得到请求响应结果,并将请求响应结果发送至攻击者。
其中,反制信息可以为获取攻击者信息、权限或者其他相关内容,在攻击者接收到该反制信息之后,会自动在攻击者所在的系统或电子设备的后台自动运行。在攻击者接收到夹带有第二返回信息的请求响应结果时,第二返回信息携带的代码会自动在攻击者的所在的系统或者电子设备上运行,自动获取攻击者的信息、权限或者其他相关内容,并与蜜罐系统进行通信,以传递这些内容。
由于第二返回信息下携带有反制信息,直接返回很容易被攻击者识别。因此,需要将第二返回信息夹带在其他需要发送至攻击者的正常信息中。可以选择将第二返回信息夹带在需要返回的请求响应信息中,使得发送此信息至攻击者时,不会因为突兀而被攻击者识别。其中,第一返回信息中携带有需要返回的请求响应信息。
在一种实现方式中,为了更好对第二返回信息进行隐藏,可以根据第二返回信息的类型,将第一返回信息和第二返回信息进行相应的处理,处理方式可以为替换、裁剪、拼接等,以获得请求响应结果,并将请求响应结果发送至攻击者。例如:如果第二返回信息是web代码,就可以采用与第一返回信息拼接的方式;如果是有关于协议,就可能需要替换第一返回信息中的某些内容。
第二返回信息还携带有针对攻击者的身份信息,图4为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之四,如图4所示,方法还包括:
步骤S301、当第二攻击者基于第二返回信息发送请求至蜜罐系统时,获取第二返回信息携带的身份信息。其中,第二攻击者与攻击者的IP地址不同。
步骤S302、根据身份信息,将使用不同IP地址的第二攻击者确定为攻击者。
现有的蜜罐系统是以攻击者使用IP地址作为攻击者的身份标识。攻击者基于该原理,为了隐匿其攻击行踪,会在攻击过程中多次变换不同的IP地址,使得蜜罐系统捕获的属于该攻击者的多个攻击行为时,会自动归纳为多个攻击者,而不会归为同一攻击者,即无法形成该攻击者完整的攻击链。特别是攻击者进行蜜罐间的横向移动攻击,即当攻击者利用某一个漏洞信息在多个蜜罐之间进行攻击。使得蜜罐系统难以掌握攻击者在蜜罐间的横向移动路径,从而无法对该攻击者进行监控,以及识别攻击者的攻击意图及目标。
为了便于理解蜜罐间横向移动攻击,下面将举例进行说明。例如,蜜罐A暴露了蜜罐B的账号密码或者配置文件,攻击者就有可能利用蜜罐A获取的信息,对蜜罐B实行相应的攻击,但蜜罐B实际上是没有漏洞的。再加上攻击者可能换了IP地址,使得蜜罐系统并不能将该攻击者在蜜罐A和蜜罐B之间的攻击行为关联为同一攻击者,即不能发现蜜罐A和蜜罐B之间的漏洞。
在一种实现方式中,针对攻击者的身份信息是蜜罐系统为区分每个攻击者而提供的身份信息。身份信息可以是账号密码、配置文件等,可以根据实际应用场景进行设定。
在一种实现方式中,靶标设置有针对蜜罐间的横向移动的漏洞诱饵,故意向攻击者暴露一些携带有标识该攻击者身份的账号密码或者配置文件,使攻击者可以利用获得的账号密码或配置文件进行蜜罐间的横向移动攻击时。蜜罐系统可以根据其中携带有的攻击者的身份信息,将使用不同IP地址的同一个攻击者的攻击行为关联起来。
例如,账号密码信息就可以为不同攻击者暴露不同的账号密码,当攻击者利用为该攻击者特设的账号密码,在其他蜜罐上进行登录、获取权限等操作时,会自动将使用通过此IP地址发起的攻击行为和账号密码相对应的攻击者关联起来,从而掌握攻击者在蜜罐间的横向移动路径。
进一步地,为防止第二返回信息被识别发现。图5为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之五,如图5所示,蜜罐系统针对同一个请求响应条件设置有多个靶标。靶标根据请求,获得第二返回信息,并将第二返回信息发送至数据网关的步骤,包括:
步骤S202a、数据网关针对同一攻击者的多个请求,根据预先设置的规则,分别将每个请求发送至不同的靶标。
其中,多个请求存在对应的同一请求响应条件。
步骤S202b、每个靶标根据请求,获得第二返回信息,并将第二返回信息发送至数据网关。
其中,每个靶标获得的第二返回信息不同。
在上述已经说明靶标的请求响应条件的规则的设置,可能会导致多个请求符合同一个请求响应条件的情况。而靶标发送至数据网关的第二返回信息大部分是提前设置在靶标内的,即有可能存在不管发送什么请求,靶标返回的第二返回信息均是相同的。现有的杀毒软件会因为相同的信息反复出现,而将此识别为病毒或者直接识别为蜜罐,从而提醒攻击者。
在一种实现方式中,针对同一请求响应条件设置有多个靶标,每个靶标预先设置的发送的第二返回信息不同。蜜罐系统还可以设置一个裁决器,裁决器中可以有相应的靶标控制程序,可以针对同一个攻击者的多个不同请求,分配不同的靶标与数据网关进行通信连接。例如,可以为每个靶标设置一个标记,如果与数据网关的通信连接完成,对此靶标进行标记并与攻击者进行关联。等下次某一个请求符合同样的请求响应条件,就自动将已经进行标记并确定为同一攻击者的靶标排除在外。如此,由于第二返回信息不同,使得不会出现被杀毒软件识别的情况。
由于靶标和蜜罐模板有多个可供选择,以适应当前的业务需求。蜜罐系统包含多个场景,每个场景分别由不同的多个蜜罐和每个蜜罐分别对应的多种靶标组成。图6为本发明实施例提供的一种蜜罐攻击链构建方法的流程示意图之六,如图6所示,处理平台根据获取的所有与攻击者相关的第一攻击信息和第二攻击信息,还原攻击者的攻击链的步骤之后,方法还包括:
步骤S401、根据每个攻击者的请求发送至的目标蜜罐和靶标,分别确定并标定每个攻击者的攻击链与场景的对应关系。
步骤S402、根据对应关系,获得每个场景下的所有攻击者的攻击链。
步骤S103、分别将每个场景的所有攻击者的攻击链汇总在一起,形成多个场景的攻击链信息,以分析每个场景的蜜罐和靶标的配置是否有漏洞。
在一种实现方式中,选择的靶标和蜜罐自动形成一个场景,并为该场景自动配置一个场景编号,通过此场景编号与选择的靶标和蜜罐自动进行绑定,并将绑定关系存储在蜜罐系统中,以便于处理平台进行处理。
在一种实现方式中,由于单个攻击者的攻击链具有偶然性。因此,需要将该场景下的所有攻击者的攻击链汇总在一起,分析蜜罐之间是否存在未知的横向移动攻击、某个蜜罐或者靶标的漏洞诱饵设计是否合理或者存在某些漏洞问题,以便于后续增加相应功能的靶标,从而诱导攻击者按照设计的道路进行攻击,获取攻击者真实的攻击过程。
基于上述方法,图7为本发明实施例提供的一种蜜罐系统100的结构示意图,如图7所示系统包括:
数据网关101,用于获取攻击者发送的请求,并请求发送至蜜罐和靶标;
蜜罐102,用于根据请求,获得第一攻击信息,并将第一攻击信息发送至处理平台;
靶标103,用于根据请求,获得第二攻击信息,并将第二攻击信息发送至处理平台;
处理平台104,用于根据获取的多个与攻击者相关的第一攻击信息和第二攻击信息,还原攻击者的攻击链。
由于蜜罐系统内部结构多,多个结构之间会进行通信连接连。下面将介绍攻击者与蜜罐系统中每个结构相应的通信连接过程。为方便理解整个过程,将有些相同的步骤进行简化,并假设攻击者的请求存在对应的请求响应条件,并且攻击者存在横向移动攻击的行为,攻击者的IP地址也在不断变化。图8为本发明实施例提供的一种蜜罐系统的信令交互图,如图8所示,步骤包括:
1.攻击者发送请求。
2.蜜罐102和靶标103根据请求将第一攻击信息和第二攻击信息发送至处理平台104,并向攻击者返回对应的请求响应结果。其中,请求响应结果中包含有反制信息。
3.攻击者基于第二返回信息发送请求时,识别此IP地址对应的攻击者。
4.获得攻击者完整的攻击链。
数据网关101根据请求类型和请求响应条件将请求发送至对应的目标靶标和目标蜜罐。其中,靶标103是对蜜罐102的补充,以使最终获得完整的攻击链。目标蜜罐和目标靶标将攻击信息发送至处理平台104,将返回信息发送至数据网关101。数据网关101将携带有反制信息的返回信息进行相应的处理,返回至攻击者。攻击者变换IP地址后,基于获得的反制信息向其他蜜罐进行访问,其他蜜罐将携带有反制信息的攻击信息发送至处理平台104,处理平台104基于反制信息,自动识别出此IP地址对应的攻击者,并将通过此IP地址产生的攻击行为关联到反制信息标识的攻击者。重复上述步骤1至3,最终获得该攻击者完整的攻击链。
该系统基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。
综上所述,本发明实施例提供了一种蜜罐攻击链构建方法及蜜罐系统,蜜罐系统中的蜜罐和靶标构建出一个完整的适合业务需求的漏洞诱饵,使得根据蜜罐和靶标获得该攻击者对应的攻击信息,可以反映出攻击者的真实攻击过程,即攻击链。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种蜜罐攻击链构建方法,其特征在于,应用于蜜罐系统,所述蜜罐系统包括蜜罐、靶标、数据网关及处理平台,所述方法包括:
所述数据网关获取攻击者发送的每个请求;
所述数据网关将每个所述请求发送至所述蜜罐和所述靶标;
所述蜜罐根据每个所述请求,分别获得第一攻击信息,并将所述第一攻击信息发送至所述处理平台;
所述靶标根据每个所述请求,分别获得第二攻击信息,并将所述第二攻击信息发送至所述处理平台;
所述处理平台根据获取的所有与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链。
2.根据权利要求1所述的方法,其特征在于,所述靶标有多种,每种靶标有其对应的请求响应条件,所述数据网关存储有多个请求响应条件和请求的对应关系;
所述数据网关将每个所述请求发送至所述靶标的步骤,包括:
所述数据网关根据每个所述请求,分别判断是否存在所述请求对应的请求响应条件;
若是,所述数据网关则查找所述请求响应条件对应的目标靶标,并将所述请求发送至所述目标靶标。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述蜜罐根据所述请求,获得第一返回信息,并将所述第一返回信息发送至所述数据网关;
所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,所述第二返回信息携带有设定的反制信息;
所述数据网关将获取的第一返回信息和第二返回信息进行处理,得到请求响应结果,并将所述请求响应结果发送至所述攻击者。
4.根据权利要求3所述的方法,其特征在于,所述蜜罐系统针对同一个请求响应条件设置有多个靶标;所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关的步骤,包括:
所述数据网关针对同一攻击者的多个请求,根据预先设置的规则,分别将每个所述请求发送至不同的靶标;其中,多个请求存在对应的同一请求响应条件;
每个所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,每个靶标获得的第二返回信息不同。
5.根据权利要求3所述的方法,其特征在于,所述第二返回信息还携带有针对所述攻击者的身份信息,所述方法还包括:
当第二攻击者基于所述第二返回信息发送请求至所述蜜罐系统时,获取所述第二返回信息携带的身份信息;其中,所述第二攻击者与所述攻击者的IP地址不同;
根据所述身份信息,将使用不同IP地址的第二攻击者确定为所述攻击者。
6.根据权利要求1所述的方法,其特征在于,所述蜜罐为多个,每个蜜罐有对应的请求类型;所述数据网关存储有多个请求与请求类型的对应关系;所述数据网关将每个所述请求发送至蜜罐的步骤,包括:
所述数据网关根据每个所述请求,分别确定每个所述请求对应的请求类型;
根据所述请求类型,将每个所述请求发送至所述请求类型对应的目标蜜罐。
7.根据权利要求6所述的方法,其特征在于,所述蜜罐系统包含多个场景,每个场景分别由不同的多个蜜罐和每个蜜罐分别对应的多种靶标组成;
所述处理平台根据获取的所有与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链的步骤之后,所述方法还包括:
根据每个攻击者的请求发送至的目标蜜罐和靶标,分别确定并标定每个攻击者的攻击链与场景的对应关系;
根据所述对应关系,获得每个场景下的所有攻击者的攻击链;
分别将每个场景的所有攻击者的攻击链汇总在一起,形成多个场景的攻击链信息,以分析每个场景的蜜罐和靶标的配置是否有漏洞。
8.一种蜜罐系统,其特征在于,所述系统包括:
数据网关,用于获取攻击者发送的每个请求,并将每个所述请求发送至所述蜜罐和靶标;
蜜罐,用于根据每个所述请求,获得第一攻击信息,并将所述第一攻击信息发送至处理平台;
靶标,用于根据每个所述请求,获得第二攻击信息,并将所述第二攻击信息发送至所述处理平台;
处理平台,用于根据获取的多个与所述攻击者相关的第一攻击信息和第二攻击信息,还原所述攻击者的攻击链。
9.根据权利要求8所述的系统,其特征在于,所述靶标为多个,每个靶标有其对应的请求响应条件,所述数据网关存储有多个请求响应条件和请求的对应关系;
所述数据网关通过以下步骤执行所述数据网关将每个所述请求发送至靶标:
根据每个所述请求,分别判断是否存在所述请求对应的请求响应条件;
若是,则查找所述请求响应条件对应的目标靶标,并将所述请求发送至所述目标靶标。
10.根据权利要求8所述的系统,其特征在于,所述系统还包括:
所述蜜罐根据所述请求,获得第一返回信息,并将所述第一返回信息发送至所述数据网关;
所述靶标根据所述请求,获得第二返回信息,并将所述第二返回信息发送至所述数据网关;其中,所述第二返回信息携带有不利于攻击者的信息;
所述数据网关将获取的第一返回信息和第二返回信息进行处理,得到请求响应结果,并将所述请求响应结果发送至所述攻击者,以使所述第二返回信息不会被所述攻击者发现。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111571922.4A CN114285626B (zh) | 2021-12-21 | 2021-12-21 | 一种蜜罐攻击链构建方法及蜜罐系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111571922.4A CN114285626B (zh) | 2021-12-21 | 2021-12-21 | 一种蜜罐攻击链构建方法及蜜罐系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285626A true CN114285626A (zh) | 2022-04-05 |
| CN114285626B CN114285626B (zh) | 2023-10-13 |
Family
ID=80873497
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111571922.4A Active CN114285626B (zh) | 2021-12-21 | 2021-12-21 | 一种蜜罐攻击链构建方法及蜜罐系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285626B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242452A (zh) * | 2022-06-27 | 2022-10-25 | 上海磐御网络科技有限公司 | 一种批量生成高交互蜜罐靶标的策略方法 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090044277A1 (en) * | 2002-05-29 | 2009-02-12 | Bellsouth Intellectual Property Corporation | Non-invasive monitoring of the effectiveness of electronic security services |
| CN104935580A (zh) * | 2015-05-11 | 2015-09-23 | 国家电网公司 | 基于云平台的信息安全控制方法和系统 |
| US20150326599A1 (en) * | 2014-05-07 | 2015-11-12 | Attivo Networks Inc. | Evaluating URLS For Malicious Content |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
-
2021
- 2021-12-21 CN CN202111571922.4A patent/CN114285626B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090044277A1 (en) * | 2002-05-29 | 2009-02-12 | Bellsouth Intellectual Property Corporation | Non-invasive monitoring of the effectiveness of electronic security services |
| US20150326599A1 (en) * | 2014-05-07 | 2015-11-12 | Attivo Networks Inc. | Evaluating URLS For Malicious Content |
| CN104935580A (zh) * | 2015-05-11 | 2015-09-23 | 国家电网公司 | 基于云平台的信息安全控制方法和系统 |
| CN109347830A (zh) * | 2018-10-23 | 2019-02-15 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
| CN111181998A (zh) * | 2020-01-09 | 2020-05-19 | 南京邮电大学 | 面向物联网终端设备的蜜罐捕获系统的设计方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈亮;: "蜜罐检测系统与IDS的结合应用", 芜湖职业技术学院学报, no. 01 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115242452A (zh) * | 2022-06-27 | 2022-10-25 | 上海磐御网络科技有限公司 | 一种批量生成高交互蜜罐靶标的策略方法 |
| CN115242452B (zh) * | 2022-06-27 | 2023-07-04 | 上海磐御网络科技有限公司 | 一种批量生成高交互蜜罐靶标的策略方法 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285626B (zh) | 2023-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
| US10873597B1 (en) | Cyber attack early warning system | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| US9973531B1 (en) | Shellcode detection | |
| US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
| US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN114285626A (zh) | 一种蜜罐攻击链构建方法及蜜罐系统 | |
| CN112995162B (zh) | 网络流量的处理方法及装置、电子设备、存储介质 | |
| CN113949520A (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| CN109936560A (zh) | 恶意软件防护方法及装置 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN116599747A (zh) | 一种网络与信息安全服务系统 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN114866361A (zh) | 一种检测网络攻击的方法、装置、电子设备及介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN114095186A (zh) | 威胁情报应急响应方法及装置 | |
| KR20100124441A (ko) | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 | |
| CN110837612A (zh) | 统一资源标识符uri数据的获取方法和装置、存储介质 | |
| CN112217770A (zh) | 一种安全检测方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |