CN114465748A - 基于多诱饵动态协同的攻击诱捕方法及系统 - Google Patents

基于多诱饵动态协同的攻击诱捕方法及系统 Download PDF

Info

Publication number
CN114465748A
CN114465748A CN202111146930.4A CN202111146930A CN114465748A CN 114465748 A CN114465748 A CN 114465748A CN 202111146930 A CN202111146930 A CN 202111146930A CN 114465748 A CN114465748 A CN 114465748A
Authority
CN
China
Prior art keywords
access
access request
object value
target object
initiating terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111146930.4A
Other languages
English (en)
Other versions
CN114465748B (zh
Inventor
张长河
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Weida Information Technology Co ltd
Original Assignee
Beijing Weida Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Weida Information Technology Co ltd filed Critical Beijing Weida Information Technology Co ltd
Priority to CN202111146930.4A priority Critical patent/CN114465748B/zh
Publication of CN114465748A publication Critical patent/CN114465748A/zh
Application granted granted Critical
Publication of CN114465748B publication Critical patent/CN114465748B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种基于多诱饵动态协同的攻击诱捕方法及系统,其涉及网络安全技术领域,该方法包括如下步骤:基于多个网络节点部署蜜罐;分别基于多个访问对象的对象值建立多个对象值库;获取访问发起端以任意访问对象为目标的访问请求,并判断所述访问请求是否合理;若所述访问请求不合理,则构建所述访问发起端与所述蜜罐之间的虚拟通路;根据所述访问请求确定请求访问的目标访问对象;选取所述目标访问对象对应的目标对象值库,通过所述蜜罐并基于所述目标对象值库向所述访问发起端回复所述对象值。本申请具有蜜罐对访问请求的回复较为灵活的效果。

Description

基于多诱饵动态协同的攻击诱捕方法及系统
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种基于多诱饵动态协同的攻击诱捕方法及系统。
背景技术
计算机网络攻击是指网络攻击者通过非法的手段(如破译密码、电子欺骗等)获得非法的权限并通过使用这些非法的权限使网络攻击者能够对被攻击的主机进行非授权的操作。网络攻击的主要途径有:破译口令、IP欺骗和DNS欺骗。
但是对于网络攻击也有相应的防御手段,在相关技术中通常采用蜜罐技术构建防御体系对网络攻击进行诱捕和防御,通过将蜜罐模拟成虚拟设备,当攻击方向蜜罐发起网络攻击时,蜜罐将根据固定的反馈信息对攻击方进行回复,从而起到诱导攻击方继续向蜜罐发起网络攻击,同时还可以抓取攻击方的信息以根据攻击方信息进一步加强防御体系。
针对上述中的相关技术,发明人认为存在有以下缺陷:当蜜罐需要进行保护的对象较多时,攻击方可能会以多个保护对象发起攻击性的访问请求,而此时蜜罐对攻击性的访问请求进行的反馈较为固定单一,攻击方持续接收到固定单一的反馈回复将容易识别出蜜罐的存在,从而会产生一定的网络安全风险。
发明内容
为了改善蜜罐对访问请求的反馈较为固定单一的缺陷,本申请提供一种基于多诱饵动态协同的攻击诱捕方法及系统。
第一方面,本申请提供一种基于多诱饵动态协同的攻击诱捕方法,包括如下步骤:
基于多个网络节点部署蜜罐;
分别基于多个访问对象的对象值建立多个对象值库;
获取访问发起端以任意访问对象为目标的访问请求,并判断所述访问请求是否合理;
若所述访问请求不合理,则构建所述访问发起端与所述蜜罐之间的虚拟通路;
根据所述访问请求确定请求访问的目标访问对象;
选取所述目标访问对象对应的目标对象值库,通过所述蜜罐并基于所述目标对象值库向所述访问发起端回复所述对象值。
通过采用上述技术方案,访问发起端可能为正常用户也可能为进行网络攻击的攻击方,将蜜罐部署于网络节点处,并根据不同访问对象的对象值建立多个对象值库,对象值库中包含对应访问对象的所有可能取值,当获取到访问发起端的访问请求时,先对访问请求的合理性进行判断,若请求不合理则通过虚拟通路使得访问发起端和蜜罐建立连接通路,根据访问请求所请求访问的目标访问对象选取相应的目标对象值库,从目标对象值库中进行取值并通过蜜罐向访问发起端进行回复。相较于蜜罐预设的固定单一的回复,若访问请求为攻击方具有攻击性的访问请求,根据该访问请求不同的目标访问对象进行不同对象值的回复,可以更容易迷惑攻击方,蜜罐模拟真实设备的模拟效果也更好。
可选的,基于所述目标对象值库向所述访问发起端回复所述对象值包括如下步骤:
判断所述访问请求是否为首次获取;
若所述访问请求为首次获取,则从所述目标对象值库中随机抽取任意一组对象值作为目标对象值,并将所述目标对象值回复至所述访问发起端;
将所述访问请求和所述访问请求对应的目标对象值上传至预设的第一数据库;
若所述访问请求不为首次获取,则根据所述第一数据库分析所述访问发起端对所述目标对象值的感兴趣情况,得到分析结果;
根据所述分析结果向所述访问发起端回复不同的对象值;
将所述访问请求和对应的对象值上传至所述第一数据库。
通过采用上述技术方案,由于访问请求所请求访问的目标访问对象不同,所以访问请求的种类也不同,因此当获取到访问请求时,先判断该种类的访问请求是否为首次获取,若为首次获取则从对应的目标对象值库中随机抽取对象值进行回复,并将该访问请求和进行回复的目标对象值上传保存至第一数据库中;若不为首次获取则从第一数据库中调取历史数据,分析访问发起端是否对历史回复的目标对象值感兴趣,根据分析结果再进行回复,并将访问请求和再次进行回复的对象值上传保存至第一数据库中,以便下次获取同类访问请求时可以再次调取分析。
可选的,从所述目标对象值库中随机抽取任意一组对象值作为目标对象值包括如下步骤:
根据所述目标对象值库获取到所述对象值的时序进行排序,并根据时序对所有对象值标记不同的编号;
基于预设的随机函数进行编号抽取,得到目标编号,将所述目标编号对应的对象值作为目标对象值。
通过采用上述技术方案,通过排序编号和随机函数的结合进行对象值的抽取,可以保证对象值抽取时的随机性。
可选的,根据所述第一数据库分析所述访问发起端对所述目标对象值的感兴趣情况,得到分析结果包括如下步骤:
基于所述访问请求判断所述第一数据库中是否有相同访问请求,所述相同访问请求为目标访问对象与所述访问请求相同的访问请求;
若所述第一数据库中没有相同访问请求,则得到第一分析结果,所述第一分析结果为所述访问发起端对所述目标对象值不感兴趣;
若所述第一数据库中有相同访问请求,则对所述相同访问请求的数量进行分析,得到第二分析结果。
通过采用上述技术方案,根据获取到的访问请求,在第一数据库中进行检索判断,判断是否有同种类的相同访问请求,若不存在相同访问请求,又由于获取到的访问请求为非首次获取,因此得到第一分析结果为访问发起端对该访问请求首次获取时所回复的目标对象值不感兴趣;若存在相同访问请求,则根据第一数据库中相同访问请求的数量进行进一步分析。
可选的,对所述相同访问请求的数量进行分析,得到第二分析结果包括如下步骤:
统计所述第一数据库中所述相同访问请求的数量;
基于预设的第一数量阈值和预设的第二数量阈值对所述数量进行判断,所述第二数量阈值小于所述第一数量阈值;
若所述数量超过预设的第一数量阈值,则得到第二分析结果为所述访问发起端对所述目标对象值感兴趣;
若所述数量末超过预设的第二数量阈值,则得到第二分析结果为所述访问发起端对所述目标对象值不感兴趣;
若所述数量超过预设的第二数量阈值,且未超过预设的第一数量阈值,则对所述相同访问请求和所述访问请求进行综合分析,得到第二分析结果。
通过采用上述技术方案,先对相同访问请求的数量进行统计,再通过第一数量阈值和第二数量阈值对统计出的数量进行分析判断,第一数量阈值大于第二数量阈值,当数量超出第一数量阈值时,则说明同一目标访问对象被该种类访问请求重复请求访问多次,因此分析得到第二分析结果为访问发起端对回复的目标对象值感兴趣;当数量未超过第二数量阈值时,则说明同一目标访问对象虽然被该种类访问请求重复请求访问,但重复次数较少,因此分析得到第二分析结果为访问发起端对回复的目标对象值不感兴趣;当数量处于第一数量阈值和第二数量阈值之间时,则需要通过对访问请求的进一步分析得到分析结果。
可选的,对所述相同访问请求和所述访问请求进行综合分析,得到第二分析结果包括如下步骤:
获取所述相同访问请求的第一语义和所述访问请求的第二语义;
计算所述第一语义和所述第二语义的语义相似度;
判断所述语义相似度是否超过预设的相似度阈值;
若所述语义相似度超过所述相似度阈值,则得到第二分析结果为所述访问发起端对所述目标对象值感兴趣;
若所述语义相似度未超过所述相似度阈值,则得到第二分析结果为所述访问发起端对所述目标对象值不感兴趣。
通过采用上述技术方案,通过对第一语义和第二语义的语义相似度进行判断,可以判断出相同访问请求和访问请求之间的相似程度,并根据相似度阈值的设定,得到相应的分析结果,若语义相似度超过相似度阈值,则说明相同访问请求和访问请求整体相似程度高,两者的访问方式和访问目的也高度相似,因此得到第二分析结果为访问发起端对目标对象值感兴趣;若语义相似度未超过相似度阈值,则说明说明相同访问请求和访问请求整体相似程度较低,因此可以得到第二分析结果为访问发起端对目标对象值不感兴趣。
可选的,根据所述分析结果向所述访问发起端回复不同的对象值包括如下步骤:
根据所述分析结果判断所述访问发起端对所述目标对象值是否感兴趣;
若所述访问发起端对所述目标对象值感兴趣,则继续向所述访问发起端回复所述目标对象值;若所述访问发起端对所述目标对象值不感兴趣,则从所述目标对象值库中重新抽取一组所述目标对象值之外的其他对象值,并向所述访问发起端回复所述其他对象值。
通过采用上述技术方案,若访问发起端对目标对象值感兴趣,则不进行目标对象值的改变,采用相同的目标对象值进行回复;若访问发起端对目标对象值不感兴趣,则暂时将该目标对象值从目标对象值库中隐藏,并重新从目标对象值库中随机抽取一组对象值作为新的目标对象值进行回复。
可选的,基于多个网络节点部署蜜罐包括如下步骤:
任意选取其中一个网络节点配置为真实节点,并将所述真实节点以外的其他网络节点配置为虚拟节点,所述真实节点为连接访问对象的网络节点;
基于所述虚拟节点构建虚拟网络,并任意选取至少一个所述虚拟节点配置为虚拟网关;
基于所述虚拟网络部署蜜罐。
通过采用上述技术方案,采用网络节点进行虚拟节点的配置,并通过多个虚拟节点构建成虚拟网络,同时配置有虚拟网关,从而可以模拟出真实的网络环境,再在虚拟网络中部署用于模拟真实设备的蜜罐,通过虚拟网络和蜜罐结合更有利于对网络攻击进行诱捕。
第二方面,本申请还提供一种基于多诱饵动态协同的攻击诱捕系统,包括:
接收模块,用于获取访问发起端的访问请求;
分析模块,用于分析所述访问请求,并判断所述访问请求的合理性;
诱捕模块,部署有蜜罐并与访问对象和所述分析模块连接;
当分析模块判断所述访问请求为不合理访问请求时,所述诱捕模块将建立所述访问发起端与所述蜜罐之间的虚拟通路。
通过采用上述技术方案,访问发起端可能为正常用户也可能为进行网络攻击的攻击方,将蜜罐部署于网络节点处,并根据不同访问对象的对象值建立多个对象值库,对象值库中包含对应访问对象的所有可能取值,当获取到访问发起端的访问请求时,先对访问请求的合理性进行判断,若请求不合理则通过虚拟通路使得访问发起端和蜜罐建立连接通路,根据访问请求所请求访问的目标访问对象选取相应的目标对象值库,从目标对象值库中进行取值并通过蜜罐向访问发起端进行回复。相较于蜜罐预设的固定单一的回复,若访问请求为攻击方具有攻击性的访问请求,根据该访问请求不同的目标访问对象进行不同对象值的回复,可以更容易迷惑攻击方,蜜罐模拟真实设备的模拟效果也更好。
综上所述,本申请包括以下至少一种有益技术效果:
1.根据访问请求所请求访问的目标访问对象选取相应的目标对象值库,从目标对象值库中进行取值并通过蜜罐向访问发起端进行回复。相较于蜜罐预设的固定单一的回复,若访问请求为攻击方具有攻击性的访问请求,根据该访问请求不同的目标访问对象进行不同对象值的回复,可以史容易迷惑攻击方,蜜罐模拟真实设备的模拟效果也更好。
2.采用网络节点进行虚拟节点的配置,并通过多个虚拟节点构建成虚拟网络,同时配置有虚拟网关,从而可以模拟出真实的网络环境,再在虚拟网络中部署用于模拟真实设备的蜜罐,通过虚拟网络和蜜罐结合更有利于对网络攻击进行诱捕。
附图说明
图1是本申请其中一实施例的基于多诱饵动态协同的攻击诱捕方法的流程示意图。
图2是本申请其中一实施例的基于目标对象值库向访问发起端回复对象值的流程示意图。
图3是本申请其中一实施例的从目标对象值库随机抽取对象值的流程示意图。
图4是本申请其中一实施例的分析访问发起端对目标对象值感兴趣情况的流程示意图。
图5是本中请其中一实施例的分析相同访问请求的数量并得到分析结果的流程示意图。
图6是本申请其中一实施例的综合分析相同访问请求和访问请求并得到分析结果的流程示意图。
图7是本申请其中一实施例的根据分析结果回复对象值的流程示意图。
图8是本申请其中一实施例的基于网络节点部署蜜罐的流程示意图。
具体实施方式
以下结合附图1-8对本申请作进一步详细说明。
本申请实施例公开了一种基于多诱饵动态协同的攻击诱捕方法。
参照图1,基于多诱饵动态协同的攻击诱捕方法包括如下步骤:
101,基于多个网络节点部署蜜罐。
102,分别基于多个访问对象的对象值建立多个对象值库。
其中,对象值库中包含对应访问对象可能存在的所有对象值。
103,获取访问发起端以任意访问对象为目标的访问请求,并判断访问请求是否合理,若访问请求不合理,则执行步骤104。
其中,具体可以通过访问对象和访问发起端的安全性判断访问请求的合理性,若访问请求合理,则认定访问发起端为正常用户,此时可以建立访问发起端与其请求访问的访问对象之间的连接通路。
104,构建访问发起端与蜜罐之间的虚拟通路。
其中,由于蜜罐是基于正常的网络节点进行部署的,因此通过路由分配可以直接建立访问发起端与访问对象之间的虚拟连接通路。
105,根据访问请求确定请求访问的目标访问对象。
其中,获取访问请求中的目的地址信息,通过检索得知目的地址信息所归属的访问对象,则该访问对象为目标访问对象。
106,选取目标访问对象对应的目标对象值库,通过蜜罐并基于目标对象值库向访问发起端回复对象值。
本实施例的实施原理为:
将蜜罐部署于网络节点处,并根据不同访问对象的对象值建立多个对象值库,对象值库中包含对应访问对象的所有可能取值,当获取到访问发起端的访问请求时,先对访问请求的合理性进行判断,若请求不合理则通过虚拟通路使得访问发起端和蜜罐建立连接通路,根据访问请求所请求访问的目标访问对象选取相应的目标对象值库,从目标对象值库中进行取值并通过蜜罐向访问发起端进行回复。相较于蜜罐预设的固定单一的回复,若访问请求为攻击方具有攻击性的访问请求,根据该访问请求不同的目标访问对象进行不同对象值的回复,可以更容易迷惑攻击方,蜜罐模拟真实设备的模拟效果也更好。
在图1所示实施例的步骤106中,在向访问发起端回复对象值的过程中,若是对首次访问请求的首次回复,则从目标对象值库中随机抽取对象值进行回复,若不是对首次访问请求进行的回复,则需要通过分析访问发起端对历史回复的目标对象值的感兴趣情况,得到分析结果,再根据分析结果进行对象值的回复,具体通过图2所示实施例进行详细说明。
参照图2,基于目标对象值库向访问发起端回复对象值包括如下步骤:
201,判断访问请求是否为首次获取,若是,则执行步骤202;若否,则执行步骤204。
202,从目标对象值库中随机抽取任意一组对象值作为目标对象值,并将目标对象值回复至访问发起端。
203,将访问请求和访问请求对应的目标对象值上传至预设的第一数据库。
204,根据第一数据库分析访问发起端对目标对象值的感兴趣情况,得到分析结果。
205,根据分析结果向访问发起端回复不同的对象值。
206,将访问请求和对应的对象值上传至第一数据库。
本实施例的实施原理为:
由于访问请求所请求访问的目标访问对象不同,所以访问请求的种类也不同,因此当获取到访问请求时,先判断该种类的访问请求是否为首次获取,若为首次获取则从对应的目标对象值库中随机抽取对象值进行回复,并将该访问请求和进行回复的目标对象值上传保存至第一数据库中;若不为首次获取则从第一数据库中调取历史数据,分析访问发起端是否对历史回复的目标对象值感兴趣,根据分析结果再进行回复,并将访问请求和再次进行回复的对象值上传保存至第一数据库中,以便下次获取同类访问请求时可以再次调取分析。
在图2所示实施例的步骤202中,利用随机函数从目标对象值库中进行对象值的抽取,具体通过图3所示实施例进行详细说明。
参照图3,从目标对象值库随机抽取对象值包括如下步骤:
301,根据目标对象值库获取到对象值的时序进行排序,并根据时序对所有对象值标记不同的编号。
302,基于预设的随机函数进行编号抽取,得到目标编号,将目标编号对应的对象值作为目标对象值。
在图2所示实施例的步骤204中,由于每次获取到访问请求并进行了回复之后,都会将访问请求和对应的目标对象值上传至第一数据库中,因此可以通过对第一数据库中所保存的数据进行分析,从而分析出访问发起端是否对目标对象值感兴趣,具体通过图4所示实施例进行详细说明。
参照图4,分析访问发起端对目标对象值感兴趣情况包括如下步骤:
401,基于访问请求判断第一数据库中是否有相同访问请求,若否,则执行步骤402;若是,则执行步骤403。
其中,相同访问请求为目标访问对象与访问请求相同的访问请求。
402,得到第一分析结果。
其中,第一分析结果为访问发起端对目标对象值不感兴趣。
403,对相同访问请求的数量进行分析,得到第二分析结果。
本实施例的实施原理为:
根据获取到的访问请求,在第一数据库中进行检索判断,判断是否有同种类的相同访问请求,若不存在相同访问请求,又由于获取到的访问请求为非首次获取,因此得到第一分析结果为访问发起端对该访问请求首次获取时所回复的目标对象值不感兴趣;若存在相同访问请求,则根据第一数据库中相同访问请求的数量进行进一步分析。
在图4所示实施例的步骤403中,可以通过预设阈值对数量进行详细分析,具体通过图5所示实施例进行详细说明。
参照图5,分析相同访问请求的数量并得到分析结果包括如下步骤:
501,统计第一数据库中相同访问请求的数量。
502,基于预设的第一数量阈值和预设的第二数量阈值对数量进行判断,若数量超过预设的第一数量阈值,则执行步骤503;若数量未超过预设的第二数量阈值,则执行步骤504;若数量超过预设的第二数量阈值,且未超过预设的第一数量阈值,则执行步骤505。
其中,第二数量阈值小于第一数量阈值。
503,得到第二分析结果为访问发起端对目标对象值感兴趣。
504,得到第二分析结果为访问发起端对目标对象值不感兴趣。
505,对相同访问请求和访问请求进行综合分析,得到第二分析结果。
本实施例的实施原理为:
先对相同访问请求的数量进行统计,再通过第一数量阈值和第二数量阈值对统计出的数量进行分析判断,第一数量阈值大于第二数量阈值,当数量超出第一数量阈值时,则说明同一目标访问对象被该种类访问请求重复请求访问多次,因此分析得到第二分析结果为访问发起端对回复的目标对象值感兴趣;当数量未超过第二数量阈值时,则说明同一目标访问对象虽然被该种类访问请求重复请求访问,但重复次数较少,因此分析得到第二分析结果为访问发起端对回复的目标对象值不感兴趣;当数量处于第一数量阈值和第二数量阈值之间时,则需要通过对访问请求的进一步分析得到分析结果。
在图5所示实施例的步骤505中,可以继续根据相同访问请求和访问请求之间的相似程度作进一步分析,具体通过图6所示实施例进行详细说明。
参照图6,综合分析相同访问请求和访问请求并得到分析结果包括如下步骤:
601,获取相同访问请求的第一语义和访问请求的第二语义。
602,计算第一语义和第二语义的语义相似度。
603,判断语义相似度是否超过预设的相似度阈值,若是,则执行步骤604;若否,则执行步骤605。
604,得到第二分析结果为访问发起端对目标对象值感兴趣。
605,得到第二分析结果为访问发起端对目标对象值不感兴趣。
本实施例的实施原理为:
通过对第一语义和第二语义的语义相似度进行判断,可以判断出相同访问请求和访问请求之间的相似程度,并根据相似度阈值的设定,得到相应的分析结果,若语义相似度超过相似度阈值,则说明相同访问请求和访问请求整体相似程度高,两者的访问方式和访问目的也高度相似,因此得到第二分析结果为访问发起端对目标对象值感兴趣;若语义相似度末超过相似度阈值,则说明说明相同访问请求和访问请求整体相似程度较低,因此可以得到第二分析结果为访问发起端对目标对象值不感兴趣。
在图2-图6所示的实施例步骤中,基于第一数据库对访问请求进行了综合分析,得到了访问发起端是否对目标对象值感兴趣的分析结果,因此可以根据分析结果选择对象值进行回复,具体通过图7所示实施例进行详细说明。
参照图7,根据分析结果回复对象值包括如下步骤:
701,根据分析结果判断访问发起端对目标对象值是否感兴趣,若是,则执行步骤702;若否,则执行步骤703。
702,继续向访问发起端回复目标对象值。
703,从目标对象值库中重新抽取一组目标对象值之外的其他对象值,并向访问发起端回复其他对象值。
本实施例的实施原理为:
若访问发起端对目标对象值感兴趣,则不进行目标对象值的改变,采用相同的目标对象值进行回复;若访问发起端对目标对象值不感兴趣,则暂时将该目标对象值从目标对象值库中隐藏,并重新从目标对象值库中随机抽取一组对象值作为新的目标对象值进行回复。
在图1所示实施例的步骤101中,采用真实的网络节点配置虚拟节点并构建虚拟网络,再部署蜜罐模拟真实设备,具体通过图8所示实施例进行详细说明。
参照图8,基于网络节点部署蜜罐包括如下步骤:
801,任意选取其中一个网络节点配置为真实节点,并将真实节点以外的其他网络节点配置为虚拟节点。
其中,真实节点为连接访问对象的网络节点。
802,基于虚拟节点构建虚拟网络,并任意选取至少一个虚拟节点配置为虚拟网关。
803,基于虚拟网络部署蜜罐。
本实施例的实施原理为:
采用网络节点进行虚拟节点的配置,并通过多个虚拟节点构建成虚拟网络,同时配置有虚拟网关,从而可以模拟出真实的网络环境,再在虚拟网络中部署用于模拟真实设备的蜜罐,通过虚拟网络和蜜罐结合更有利于对网络攻击进行诱捕。
本实施例还公开一种基于多诱饵动态协同的攻击诱捕系统,包括:
接收模块,用于获取访问发起端的访问请求;
分析模块,用于分析访问请求,并判断访问请求的合理性;
诱捕模块,部署有蜜罐并与访问对象和分析模块连接;
当分析模块判断访问请求为不合理访问请求时,诱捕模块将建立访问发起端与蜜罐之间的虚拟通路。
本实施例的实施原理为:
访问发起端可能为正常用户也可能为进行网络攻击的攻击方,将蜜罐部署于网络节点处,并根据不同访问对象的对象值建立多个对象值库,对象值库中包含对应访问对象的所有可能取值,当获取到访问发起端的访问请求时,先对访问请求的合理性进行判断,若请求不合理则通过虚拟通路使得访问发起端和蜜罐建立连接通路,根据访问请求所请求访问的目标访问对象选取相应的目标对象值库,从目标对象值库中进行取值并通过蜜罐向访问发起端进行回复。相较于蜜罐预设的固定单一的回复,若访问请求为攻击方具有攻击性的访问请求,根据该访问请求不同的目标访问对象进行不同对象值的回复,可以更容易迷惑攻击方,蜜罐模拟真实设备的模拟效果也更好。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。

Claims (9)

1.一种基于多诱饵动态协同的攻击诱捕方法及系统,其特征在于,包括如下步骤:
基于多个网络节点部署蜜罐;
分别基于多个访问对象的对象值建立多个对象值库;
获取访问发起端以任意访问对象为目标的访问请求,并判断所述访问请求是否合理;
若所述访问请求不合理,则构建所述访问发起端与所述蜜罐之间的虚拟通路;
根据所述访问请求确定请求访问的目标访问对象;
选取所述目标访问对象对应的目标对象值库,通过所述蜜罐并基于所述目标对象值库向所述访问发起端回复所述对象值。
2.根据权利要求1所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述基于所述目标对象值库向所述访问发起端回复所述对象值包括如下步骤:
判断所述访问请求是否为首次获取;
若所述访问请求为首次获取,则从所述目标对象值库中随机抽取任意一组对象值作为目标对象值,并将所述目标对象值回复至所述访问发起端;
将所述访问请求和所述访问请求对应的目标对象值上传至预设的第一数据库;
若所述访问请求不为首次获取,则根据所述第一数据库分析所述访问发起端对所述目标对象值的感兴趣情况,得到分析结果;
根据所述分析结果向所述访问发起端回复不同的对象值;
将所述访问请求和对应的对象值上传至所述第一数据库。
3.根据权利要求2所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述从所述目标对象值库中随机抽取任意一组对象值作为目标对象值包括如下步骤:
根据所述目标对象值库获取到所述对象值的时序进行排序,并根据时序对所有对象值标记不同的编号;
基于预设的随机函数进行编号抽取,得到目标编号,将所述目标编号对应的对象值作为目标对象值。
4.根据权利要求2所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述根据所述第一数据库分析所述访问发起端对所述目标对象值的感兴趣情况,得到分析结果包括如下步骤:
基于所述访问请求判断所述第一数据库中是否有相同访问请求,所述相同访问请求为目标访问对象与所述访问请求相同的访问请求;
若所述第一数据库中没有相同访问请求,则得到第一分析结果,所述第一分析结果为所述访问发起端对所述目标对象值不感兴趣;
若所述第一数据库中有相同访问请求,则对所述相同访问请求的数量进行分析,得到第二分析结果。
5.根据权利要求4所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述对所述相同访问请求的数量进行分析,得到第二分析结果包括如下步骤:
统计所述第一数据库中所述相同访问请求的数量;
基于预设的第一数量阈值和预设的第二数量阈值对所述数量进行判断,所述第二数量阈值小于所述第一数量阈值;
若所述数量超过预设的第一数量阈值,则得到第二分析结果为所述访问发起端对所述目标对象值感兴趣;
若所述数量未超过预设的第二数量阈值,则得到第二分析结果为所述访问发起端对所述目标对象值不感兴趣;
若所述数量超过预设的第二数量阈值,且未超过预设的第一数量阈值,则对所述相同访问请求和所述访问请求进行综合分析,得到第二分析结果。
6.根据权利要求5所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述对所述相同访问请求和所述访问请求进行综合分析,得到第二分析结果包括如下步骤:
获取所述相同访问请求的第一语义和所述访问请求的第二语义;
计算所述第一语义和所述第二语义的语义相似度;
判断所述语义相似度是否超过预设的相似度阈值;
若所述语义相似度超过所述相似度阈值,则得到第二分析结果为所述访问发起端对所述目标对象值感兴趣;
若所述语义相似度未超过所述相似度阈值,则得到第二分析结果为所述访问发起端对所述目标对象值不感兴趣。
7.根据权利要求2-6任意一项所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述根据所述分析结果向所述访问发起端回复不同的对象值包括如下步骤:
根据所述分析结果判断所述访问发起端对所述目标对象值是否感兴趣;
若所述访问发起端对所述目标对象值感兴趣,则继续向所述访问发起端回复所述目标对象值;
若所述访问发起端对所述目标对象值不感兴趣,则从所述目标对象值库中重新抽取一组所述目标对象值之外的其他对象值,并向所述访问发起端回复所述其他对象值。
8.根据权利要求1所述的一种基于多诱饵动态协同的攻击诱捕方法,其特征在于,所述基于多个网络节点部署蜜罐包括如下步骤:
任意选取其中一个网络节点配置为真实节点,并将所述真实节点以外的其他网络节点配置为虚拟节点,所述真实节点为连接访问对象的网络节点;
基于所述虚拟节点构建虚拟网络,并任意选取至少一个所述虚拟节点配置为虚拟网关;
基于所述虚拟网络部署蜜罐。
9.一种基于多诱饵动态协同的攻击诱捕系统,其特征在于,包括:
接收模块,用于获取访问发起端的访问请求;
分析模块,用于分析所述访问请求,并判断所述访问请求的合理性;
诱捕模块,部署有蜜罐并与访问对象和所述分析模块连接;
当分析模块判断所述访问请求为不合理访问请求时,所述诱捕模块将建立所述访问发起端与所述蜜罐之间的虚拟通路。
CN202111146930.4A 2021-09-28 2021-09-28 基于多诱饵动态协同的攻击诱捕方法及系统 Active CN114465748B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111146930.4A CN114465748B (zh) 2021-09-28 2021-09-28 基于多诱饵动态协同的攻击诱捕方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111146930.4A CN114465748B (zh) 2021-09-28 2021-09-28 基于多诱饵动态协同的攻击诱捕方法及系统

Publications (2)

Publication Number Publication Date
CN114465748A true CN114465748A (zh) 2022-05-10
CN114465748B CN114465748B (zh) 2022-10-11

Family

ID=81405795

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111146930.4A Active CN114465748B (zh) 2021-09-28 2021-09-28 基于多诱饵动态协同的攻击诱捕方法及系统

Country Status (1)

Country Link
CN (1) CN114465748B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2713581A1 (en) * 2012-09-28 2014-04-02 Juniper Networks, Inc. Virtual honeypot
EP3041190A1 (en) * 2014-12-30 2016-07-06 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN107566401A (zh) * 2017-09-30 2018-01-09 北京奇虎科技有限公司 虚拟化环境的防护方法及装置
CN109246108A (zh) * 2018-09-18 2019-01-18 中国人民解放军战略支援部队信息工程大学 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构
CN112738128A (zh) * 2021-01-08 2021-04-30 广州锦行网络科技有限公司 一种新型蜜罐组网方法及蜜罐系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2713581A1 (en) * 2012-09-28 2014-04-02 Juniper Networks, Inc. Virtual honeypot
EP3041190A1 (en) * 2014-12-30 2016-07-06 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN107566401A (zh) * 2017-09-30 2018-01-09 北京奇虎科技有限公司 虚拟化环境的防护方法及装置
CN109246108A (zh) * 2018-09-18 2019-01-18 中国人民解放军战略支援部队信息工程大学 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构
CN112738128A (zh) * 2021-01-08 2021-04-30 广州锦行网络科技有限公司 一种新型蜜罐组网方法及蜜罐系统

Also Published As

Publication number Publication date
CN114465748B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
CN101582833B (zh) 一种伪造ip数据包的处理方法及装置
CN109088901A (zh) 基于sdn构建动态网络的欺骗防御方法和系统
CN111818103B (zh) 一种网络靶场中基于流量的溯源攻击路径方法
CN111371758A (zh) 一种基于动态贝叶斯攻击图的网络欺骗效能评估方法
CN109194680A (zh) 一种网络攻击识别方法、装置及设备
CN1889573A (zh) 一种主动诱骗方法与系统
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN109450955A (zh) 一种基于网络攻击的流量处理方法及装置
US20210360013A1 (en) Detection method for malicious domain name in domain name system and detection device
CN114157450A (zh) 基于物联网蜜罐的网络攻击诱导方法及装置
CN111314379B (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
Eldos et al. On the KDD'99 Dataset: Statistical Analysis for Feature Selection
CN112583827B (zh) 一种数据泄露检测方法及装置
CN114465748B (zh) 基于多诱饵动态协同的攻击诱捕方法及系统
CN113162892A (zh) 一种poc验证环境快速生成方法、可读介质及设备
CN113726775B (zh) 一种攻击检测方法、装置、设备及存储介质
CN111541675B (zh) 一种基于白名单的网络安全防护方法、装置及设备
CN111031068B (zh) 一种基于复杂网络的dns分析方法
RU2680038C1 (ru) Способ защиты вычислительных сетей
CN106254375A (zh) 一种无线热点设备的识别方法及装置
Elsherif et al. DDOS Botnets Attacks Detection in Anomaly Traffic: A Comparative Study.
CN111030979A (zh) 一种恶意域名检测方法、装置及存储设备
CN114866353B (zh) 高速公路网络的攻击者诱捕方法、装置以及电子设备
CN116545780B (zh) 基于虚拟威胁分发的物联网安全评估方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant