CN114448731B - 蜜罐部署方法、装置、设备及计算机可读介质 - Google Patents
蜜罐部署方法、装置、设备及计算机可读介质 Download PDFInfo
- Publication number
- CN114448731B CN114448731B CN202210359727.3A CN202210359727A CN114448731B CN 114448731 B CN114448731 B CN 114448731B CN 202210359727 A CN202210359727 A CN 202210359727A CN 114448731 B CN114448731 B CN 114448731B
- Authority
- CN
- China
- Prior art keywords
- attack
- honeypot
- honeypots
- data
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种蜜罐部署方法、装置、设备及计算机可读介质。该方法包括:在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。本申请解决蜜罐资源被极大浪费的技术问题。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种蜜罐部署方法、装置、设备及计算机可读介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
目前,相关技术中,蜜网部署策略属于人为搭建的蜜网系统,只能通过部署尽可能多的服务类型的蜜罐增加诱捕率,而攻击者的倾向并不一致。比如有的攻击者倾向于SSH服务攻击,有的攻击者倾向于攻击数据库服务。因此在这种全覆盖、铺地砖式的蜜网部署策略下,会有大量蜜罐处于闲置状态,蜜罐资源被极大浪费。
针对蜜罐资源被极大浪费的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供了一种蜜罐部署方法、装置、设备及计算机可读介质,以解决蜜罐资源被极大浪费的技术问题。
根据本申请实施例的一个方面,本申请提供了一种蜜罐部署方法,包括:
在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;
解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;
在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
可选地,解析攻击数据和抓包数据,得到攻击行为的攻击特征包括:
确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径;
利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间;
根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数;
根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
可选地,解析攻击数据和抓包数据之后,所述方法还包括:
根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;
对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜罐为与预设蜜罐提供相同服务的蜜罐;
根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
可选地,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐包括:
统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;
在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;
在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
可选地,增加与攻击特征匹配的蜜罐之前,所述方法还包括:
确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;
确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;
根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;
在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
可选地,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐包括以下方式中的其中一种:
在诱捕率小于第一阈值的情况下,删除蜜罐;
在防御成功率小于第二阈值的情况下,删除蜜罐。
可选地,增加与攻击特征匹配的蜜罐还包括:
将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;
将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
根据本申请实施例的另一方面,本申请提供了一种蜜罐部署装置,包括:
蜜罐监控模块,用于在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;
特征分析模块,用于解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;
蜜罐自适应部署模块,用于在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
根据本申请实施例的另一方面,本申请提供了一种蜜罐部署设备,包括存储器、处理器、通信接口及通信总线,存储器中存储有可在处理器上运行的计算机程序,存储器、处理器通过通信总线和通信接口进行通信,处理器执行计算机程序时实现上述方法的步骤。
根据本申请实施例的另一方面,本申请还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述的方法。
本申请实施例提供的上述技术方案与相关技术相比具有如下优点:
本申请技术方案为在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。本申请能够根据攻击者的攻击特性自适应调整蜜网部署系统的部署策略,从而增加攻击频率高的蜜罐,减少闲置的蜜罐,充分利用蜜罐资源。解决蜜罐资源被极大浪费的技术问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为根据本申请实施例提供的一种可选的蜜罐部署方法硬件环境示意图;
图2为根据本申请实施例提供的一种可选的蜜罐部署方法流程图;
图3为根据本申请实施例提供的一种可选的蜜罐部署装置框图;
图4为本申请实施例提供的一种可选的蜜罐部署设备结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本申请的说明,其本身并没有特定的意义。因此,“模块”与“部件”可以混合地使用。
相关技术中,蜜网部署策略属于人为搭建的蜜网系统,只能通过部署尽可能多的服务类型的蜜罐增加诱捕率,而攻击者的倾向并不一致。比如有的攻击者倾向于SSH服务攻击,有的攻击者倾向于攻击数据库服务。因此在这种全覆盖、铺地砖式的蜜网部署策略下,会有大量蜜罐处于闲置状态,蜜罐资源被极大浪费。
为了解决背景技术中提及的问题,根据本申请实施例的一方面,提供了一种蜜罐部署方法的实施例。
可选地,在本申请实施例中,上述蜜罐部署方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供服务(如蜜罐部署服务、蜜罐监测服务等),可在服务器上或独立于服务器设置数据库105,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,终端101包括但不限于PC、手机、平板电脑等。
本申请实施例中的一种蜜罐部署方法可以由服务器103来执行,还可以是由服务器103和终端101共同执行,如图2所示,该方法可以包括以下步骤:
步骤S202,在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
本申请实施例中,预设蜜罐是一种安全资源,携带有预设漏洞,看似漏洞百出却尽在掌握之中。蜜罐可以是服务主机、应用程序、网络服务、数据库服务以及数据信息,可以根据实际需要进行部署。
本申请实施例中,攻击对象对预设蜜罐发动攻击后,会在预设蜜罐上留下痕迹,其中包含攻击产生的数据,此即为攻击数据,还包含抓包获取的数据,此即为抓包数据。攻击行为留下的痕迹无法完全抹除,因此可以通过捕获这些痕迹来拦截攻击数据和抓包数据。
步骤S204,解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库。
本申请实施例中,可以通过解析攻击数据和抓包数据来提取该攻击行为的攻击特征,为了便于后续统计和进一步分析,可以将攻击特征存储至数据库以备后用。
步骤S206,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
本申请实施例中,在对数据库中的攻击特征作进一步分析时,可以在满足条件的情况下增加与攻击特征匹配的蜜罐,即针对攻击行为频繁的蜜罐,可以部署更多相同或相似的蜜罐来诱捕攻击行为,从而将蜜罐资源有针对性的进行动态分配,使蜜罐资源能够充分利用。
通过上述步骤S202至S206,本申请能够根据攻击者的攻击特性自适应动态调整蜜网部署系统的部署策略,从而增加攻击频率高的蜜罐,减少闲置的蜜罐,充分利用蜜罐资源。解决蜜罐资源被极大浪费的技术问题。
可选地,解析攻击数据和抓包数据,得到攻击行为的攻击特征包括以下步骤:
步骤1,确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径。
本申请实施例中,攻击对象在实施攻击行为时,需要对预设蜜罐进行数据渗透,从而攻破预设蜜罐,数据渗透的路径即为攻击数据的攻击路径。在攻破预设蜜罐后,攻击对象会在根据需要抓取自己想要的数据,如登录数据库的用户名、密码等,此时抓包数据会返回攻击对象的真实的地址,抓包数据返回的路径即为上述返回路径。
步骤2,步骤利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间。
本申请实施例中,本申请基于攻击路径分析得出预设蜜罐的网络地址、对外端口的过程可以进一步收集攻击对象实施攻击行为的信息,从而基于攻击对象的角度分析攻击对象的进攻思路、进攻方式,从而进一步分析自身系统存在的漏洞,加固自身系统的同时可以部署针对这些漏洞更新过的新的蜜罐,来诱捕攻击对象的攻击行为。
步骤3,根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数。
本申请实施例中,目的服务类型表示攻击对象的攻击目标的类型,如HTTP服务(Hyper Text Transfer Prtcl,超文本传输协议)、SSH服务(Secure Shell,安全外壳协议)等。攻击方式可以包括SSH爆破、Weblogic漏洞、sql注入以及DoS攻击等。
步骤4,根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
本申请实施例中,由于抓包数据会返回攻击对象的真实的地址,因此可以根据抓包内容和攻击对象真实的网络地址、对外端口进行漏洞分析和行为分析,包括分析攻击对象采用的伪身份及伪身份类型,还有攻击对象加密虚拟网络地址的加密特征等。
本申请可以模拟攻击对象的攻击行为,在完全可控的基础上对其他提供相同或相似服务的蜜罐进行模拟攻击,从而收集和研究更多攻击对象的攻击行为信息,以加固自身系统。具体的,该方法包括以下步骤:
步骤1,根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;
步骤2,对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜罐为与预设蜜罐提供相同服务的蜜罐;
步骤3,根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
本申请实施例中,为了更加真实的还原攻击对象的攻击行为,可以根据攻击数据和抓包数据生成模拟攻击行为的攻击指令,并使该模拟攻击行为与攻击对象实际产生的攻击行为的攻击特征的相似度大于目标阈值。该目标阈值可以根据实际需要进行设置。通过研究多个蜜罐受到模拟攻击行为后产生的反馈数据即可收集和研究更多攻击对象的攻击行为信息,从而加固自身系统。
可选地,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐包括以下步骤:
步骤1,统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;
步骤2,在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;
步骤3,在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
本申请实施例中,攻击特征的记录次数大于或等于目标次数,或者攻击特征的数据数量大于或等于目标数量,则表示攻击对象频繁的发动该攻击特征的攻击行为,因此可以针对该攻击特征,分配更多的蜜罐资源来诱捕攻击行为,即在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。上述第一预设条件为记录次数大于或等于目标次数和/或数据数量大于或等于目标数量,上述第二预设条件为当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量。上述目标次数、目标数量、最大蜜罐数量以及目标资源量可以根据实际需要进行设置。
本申请中,为了更加充分利用蜜罐资源,可以将一些闲置的蜜罐删除或转换。
可选地,增加与攻击特征匹配的蜜罐之前,所述方法还包括:
步骤1,确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;
步骤2,确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;
步骤3,根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;
步骤4,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
本申请实施例中,可以对处于闲置状态,且诱捕率较低,或者防御成功率较低的蜜罐进行删除,以释放蜜罐资源。
可选地,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐包括以下方式中的其中一种:
在诱捕率小于第一阈值的情况下,删除蜜罐;
在防御成功率小于第二阈值的情况下,删除蜜罐。
本申请实施例中,上述第一阈值可以根据实际需要进行设置,优选的,可以设置为5%,即在当前处于闲置状态的蜜罐的诱捕率低于5%的情况下,杉树该蜜罐。上述第二阈值可以根据实际需要进行设置,优选的,可以设置为10%。较低防御成功率的蜜罐容易被攻击对象作为跳板对生产线上的系统进行攻击,因此此类蜜罐无论诱捕率多高都需要进行重新设计,避免被攻击对象当作跳板对生产线上的系统进行攻击。
可选地,增加与攻击特征匹配的蜜罐还包括:
步骤1,将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;
步骤2,将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
本申请实施例中,为了简化蜜罐资源动态分配的流程,同时减少服务端句柄资源的调用,可以将当前处于闲置状态,且诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐直接转换成与攻击特征匹配的蜜罐。
可选地,每一次更新蜜罐资源后,都需要将更新后的蜜罐资源记录在数据库中,从而为后续攻击行为的分析提供数据基础。
根据本申请实施例的又一方面,如图3所示,提供了一种蜜罐部署装置,包括:
蜜罐监控模块301,用于在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;
特征分析模块303,用于解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;
蜜罐自适应部署模块305,用于在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
需要说明的是,该实施例中的蜜罐监控模块301可以用于执行本申请实施例中的步骤S202,该实施例中的特征分析模块303可以用于执行本申请实施例中的步骤S204,该实施例中的蜜罐自适应部署模块305可以用于执行本申请实施例中的步骤S206。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
可选地,该特征分析模块,具体用于:
确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径;
利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间;
根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数;
根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
可选地,该蜜罐部署装置,还包括模拟攻击模块,用于:
根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;
对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜罐为与预设蜜罐提供相同服务的蜜罐;
根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
可选地,该蜜罐自适应部署模块,具体用于:
统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;
在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;
在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
可选地,该蜜罐部署装置,还包括蜜罐资源释放模块,用于:
确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;
确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;
根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;
在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
可选地,该蜜罐资源释放模块,具体用于:
在诱捕率小于第一阈值的情况下,删除蜜罐;
在防御成功率小于第二阈值的情况下,删除蜜罐。
可选地,该蜜罐部署装置,还包括蜜罐转换模块,用于:
将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;
将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
根据本申请实施例的另一方面,本申请提供了一种蜜罐部署设备,如图4所示,包括存储器401、处理器403、通信接口405及通信总线407,存储器401中存储有可在处理器403上运行的计算机程序,存储器401、处理器403通过通信接口405和通信总线407进行通信,处理器403执行计算机程序时实现上述方法的步骤。
上述蜜罐部署设备中的存储器、处理器通过通信总线和通信接口进行通信。所述通信总线可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
根据本申请实施例的又一方面还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一实施例的步骤。
可选地,在本申请实施例中,计算机可读介质被设置为存储用于所述处理器执行以下步骤的程序代码:
在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;
析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;
在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本申请实施例在具体实现时,可以参阅上述各个实施例,具有相应的技术效果。
可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits,ASIC)、数字信号处理器(Digital Signal Processing,DSP)、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(Programmable LogicDevice,PLD)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
对于软件实现,可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种蜜罐部署方法,其特征在于,包括:
在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,所述攻击数据为所述攻击行为产生的,所述抓包数据为响应所述攻击行为返回所述攻击对象的,所述预设蜜罐为携带有预设漏洞的安全资源,所述安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,所述预设蜜罐用于诱捕指向生产线的攻击行为;
解析所述攻击数据和所述抓包数据,得到所述攻击行为的攻击特征,并将所述攻击特征存储至数据库;解析所述攻击数据和所述抓包数据之后,所述方法还包括:根据所述攻击数据和所述抓包数据生成攻击指令,其中,所述攻击指令所表示的模拟攻击行为与所述攻击行为之间的攻击特征的相似度大于目标阈值;对多个蜜罐执行所述攻击指令,以对所述多个蜜罐发起所述模拟攻击行为,其中,所述多个蜜罐为与所述预设蜜罐提供相同服务的蜜罐;根据所述多个蜜罐受到所述模拟攻击行为产生的反馈数据确定所述多个蜜罐存在的漏洞,以加固自身系统并部署针对这些漏洞更新过的新的蜜罐;
在所述数据库中的所述攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与所述攻击特征匹配的蜜罐;
增加与所述攻击特征匹配的蜜罐之前,所述方法还包括:确定当前已部署蜜罐的蜜罐状态,其中,所述蜜罐状态包括闲置状态和任务状态;确定处于闲置状态的蜜罐的历史响应数据,其中,所述历史响应数据包括所述蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;根据所述历史响应数据确定所述蜜罐的诱捕率和防御成功率中的至少一个;在所述诱捕率和所述防御成功率中的至少一个满足第三预设条件的情况下,删除所述蜜罐;
增加与所述攻击特征匹配的蜜罐还包括:将所述诱捕率和所述防御成功率中的至少一个满足所述第三预设条件的蜜罐确定为待转换蜜罐;将与所述攻击特征匹配的蜜罐的资源覆盖写入所述待转换蜜罐的资源载体,以将所述待转换蜜罐转换为与所述攻击特征匹配的蜜罐,以减少服务端句柄资源的调用。
2.根据权利要求1所述的方法,其特征在于,解析所述攻击数据和所述抓包数据,得到所述攻击行为的攻击特征包括:
确定所述攻击数据的攻击路径和所述抓包数据的返回路径,其中,所述攻击路径为所述攻击对象在实施所述攻击行为时数据渗透的路径,所述返回路径为所述攻击行为获取到目标数据后返回所述攻击对象的路径;
利用所述攻击路径确定所述预设蜜罐的网络地址、所述预设蜜罐的对外端口以及所述攻击行为的起始时间,并利用所述返回路径确定所述攻击对象的真实网络地址、所述攻击对象的真实对外端口以及所述攻击行为的持续时间;
根据所述攻击数据确定攻击内容,并利用所述攻击内容和所述预设蜜罐的网络地址、所述预设蜜罐的对外端口以及所述攻击行为的起始时间确定所述攻击行为的攻击方式、所述攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数,其中,所述攻击特征包括所述攻击方式、所述目的服务类型、所述攻击工具类型以及发起攻击的次数;
根据所述抓包数据确定抓包内容,并利用所述抓包内容和所述攻击对象的真实网络地址、所述攻击对象的真实对外端口以及所述攻击行为的持续时间确定所述攻击对象的伪身份类型、所述攻击对象加密虚拟网络地址的加密特征,其中,所述虚拟网络地址为所述攻击对象访问所述预设蜜罐时所用的地址,所述攻击特征包括所述伪身份类型和所述加密特征。
3.根据权利要求2所述的方法,其特征在于,在所述数据库中的所述攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与所述攻击特征匹配的蜜罐包括:
统计所述数据库中所述攻击特征的记录次数和/或所述攻击特征的数据数量;
在所述记录次数大于或等于目标次数和/或所述数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;
在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与所述攻击特征匹配的蜜罐。
4.根据权利要求1所述的方法,其特征在于,在所述诱捕率和所述防御成功率中的至少一个满足第三预设条件的情况下,删除所述蜜罐包括以下方式中的其中一种:
在所述诱捕率小于第一阈值的情况下,删除所述蜜罐;
在所述防御成功率小于第二阈值的情况下,删除所述蜜罐。
5.一种蜜罐部署装置,其特征在于,包括:
蜜罐监控模块,用于在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,所述攻击数据为所述攻击行为产生的,所述抓包数据为响应所述攻击行为返回所述攻击对象的,所述预设蜜罐为携带有预设漏洞的安全资源,所述安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,所述预设蜜罐用于诱捕指向生产线的攻击行为;
特征分析模块,用于解析所述攻击数据和所述抓包数据,得到所述攻击行为的攻击特征,并将所述攻击特征存储至数据库;还用于:根据所述攻击数据和所述抓包数据生成攻击指令,其中,所述攻击指令所表示的模拟攻击行为与所述攻击行为之间的攻击特征的相似度大于目标阈值;对多个蜜罐执行所述攻击指令,以对所述多个蜜罐发起所述模拟攻击行为,其中,所述多个蜜罐为与所述预设蜜罐提供相同服务的蜜罐;根据所述多个蜜罐受到所述模拟攻击行为产生的反馈数据确定所述多个蜜罐存在的漏洞,以加固自身系统并部署针对这些漏洞更新过的新的蜜罐;
蜜罐自适应部署模块,用于在所述数据库中的所述攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与所述攻击特征匹配的蜜罐;
所述蜜罐自适应部署模块还用于:确定当前已部署蜜罐的蜜罐状态,其中,所述蜜罐状态包括闲置状态和任务状态;确定处于闲置状态的蜜罐的历史响应数据,其中,所述历史响应数据包括所述蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;根据所述历史响应数据确定所述蜜罐的诱捕率和防御成功率中的至少一个;在所述诱捕率和所述防御成功率中的至少一个满足第三预设条件的情况下,删除所述蜜罐;
所述蜜罐自适应部署模块还用于:将所述诱捕率和所述防御成功率中的至少一个满足所述第三预设条件的蜜罐确定为待转换蜜罐;将与所述攻击特征匹配的蜜罐的资源覆盖写入所述待转换蜜罐的资源载体,以将所述待转换蜜罐转换为与所述攻击特征匹配的蜜罐,以减少服务端句柄资源的调用。
6.一种蜜罐部署设备,包括存储器、处理器、通信接口及通信总线,所述存储器中存储有可在所述处理器上运行的计算机程序,所述存储器、所述处理器通过所述通信总线和所述通信接口进行通信,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。
7.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行所述权利要求1至4任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210359727.3A CN114448731B (zh) | 2022-04-07 | 2022-04-07 | 蜜罐部署方法、装置、设备及计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210359727.3A CN114448731B (zh) | 2022-04-07 | 2022-04-07 | 蜜罐部署方法、装置、设备及计算机可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114448731A CN114448731A (zh) | 2022-05-06 |
| CN114448731B true CN114448731B (zh) | 2022-08-05 |
Family
ID=81360177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210359727.3A Active CN114448731B (zh) | 2022-04-07 | 2022-04-07 | 蜜罐部署方法、装置、设备及计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114448731B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105357179B (zh) * | 2015-09-29 | 2018-10-30 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
| CN107046518A (zh) * | 2016-02-05 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 网络攻击的检测方法及装置 |
| CN106850675A (zh) * | 2017-03-10 | 2017-06-13 | 北京安赛创想科技有限公司 | 一种网络攻击行为的确定方法及装置 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN110011982B (zh) * | 2019-03-19 | 2020-08-25 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN112152994B (zh) * | 2020-08-19 | 2021-06-25 | 广州锦行网络科技有限公司 | 一种蜜网动态扩缩容的实现方法 |
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
-
2022
- 2022-04-07 CN CN202210359727.3A patent/CN114448731B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN111404935A (zh) * | 2020-03-16 | 2020-07-10 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114448731A (zh) | 2022-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108259449B (zh) | 一种防御apt攻击的方法和系统 | |
| CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
| CN111565199B (zh) | 网络攻击信息处理方法、装置、电子设备及存储介质 | |
| CN113037777B (zh) | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 | |
| Mairh et al. | Honeypot in network security: a survey | |
| CN106161395B (zh) | 一种防止暴力破解的方法、装置及系统 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN110855659A (zh) | redis蜜罐部署系统 | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN112615863A (zh) | 反制攻击主机的方法、装置、服务器及存储介质 | |
| Al-Mohannadi et al. | Analysis of adversary activities using cloud-based web services to enhance cyber threat intelligence | |
| Karthikeyan et al. | Honeypots for network security | |
| CN113411314A (zh) | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 | |
| Gupta | HoneyKube: designing a honeypot using microservices-based architecture | |
| Wang et al. | Using honeypots to model botnet attacks on the internet of medical things | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| Emm et al. | IT threat evolution in Q2 2015 | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN114448731B (zh) | 蜜罐部署方法、装置、设备及计算机可读介质 | |
| Gounder et al. | New ways to fight malware | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| Ojugo et al. | Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server | |
| Sui et al. | A behavior analysis based mobile malware defense system | |
| Oliveira et al. | Honeypotlabsac: a virtual honeypot framework for android |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |