CN114666128B - 蜜罐威胁情报共享方法、装置、设备及可读存储介质 - Google Patents
蜜罐威胁情报共享方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN114666128B CN114666128B CN202210286962.2A CN202210286962A CN114666128B CN 114666128 B CN114666128 B CN 114666128B CN 202210286962 A CN202210286962 A CN 202210286962A CN 114666128 B CN114666128 B CN 114666128B
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- threat intelligence
- honeypot
- target user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供了一种蜜罐威胁情报共享方法,包括:获取目标用户基于用户角色提供的针对目标蜜罐的关注内容,若目标用户选择了针对关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与关注内容相关的威胁情报数据,以便将威胁情报数据发送给目标用户,其中,威胁情报数据的详细情况与至少一种数据获取方式相关。本申请可以基于不同用户角色提供的关注内容,生成不同用户各自感兴趣的威胁情报数据;而且,可以采用不同的数据获取方式,获取不同详细情况的威胁情报数据,降低了数据缺失、无法理解的情况发生。本申请还提供了一种蜜罐威胁情报共享装置、设备及计算机可读存储介质。
Description
技术领域
本申请涉及网络安全领域,特别涉及一种蜜罐威胁情报共享方法、装置、设备及计算机可读存储介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
可见,蜜罐技术可以让防御方(比如企业)在防御的同时了解攻击方的手段和意图,不仅让攻击方增大攻击代价、徒劳无功,还对攻击方产生巨大的心理威慑,从欺骗、发现、预警、隔离、分析意图等方面来转换攻防角色,解决传统网络攻防不对称的难题。
从某种意义上来说,蜜罐产品的作用类似于情报系统。考虑到蜜罐产品的数据角度较偏(欺骗性捕获),存在置信度不高的问题,其输出的结果数据还不能直接用于其他的网络安全设备联动。
而且,其捕获的攻击方信息、攻击手段、工具脚本以及网络数据包携带的信息、图片、文件等,是网络安全人员、情报分析人员、业务分析人员持续开展工作所需的极为重要的数据。当前的蜜罐技术基本上采用SNMP(简单网络管理协议)或者SYSLOG(系统日志或系统记录)的方式,实时将数据发送给第三方的日志平台或态势感知平台,但当前该种方式存在如下缺点:
1、无法保证将攻击方的详情信息(如图片、文件、数据包等)发送给平台,导致做分析的时候出现数据缺失的现象,需要重新返回蜜罐界面上获取数据;
2、产生的日志数据缺乏理解的场景(如策略定义等),导致在第三方平台不易于理解,无法形成有效的认知和重视;
3、缺少基于用户角色的数据分类,无法为不同用户提供感兴趣的蜜罐威胁情报。
发明内容
本申请提供了一种蜜罐威胁情报共享方法、装置、设备及计算机可读存储介质,能够降低数据缺失、无法理解的情况发生,且满足不同用户的数据需求。
第一方面,本申请提供了一种蜜罐威胁情报共享方法,包括:
获取目标用户基于用户角色提供的针对目标蜜罐的关注内容;
若所述目标用户选择了针对所述关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与所述关注内容相关的威胁情报数据,以便将所述威胁情报数据发送给所述目标用户;
其中,所述威胁情报数据的详细情况与所述至少一种数据获取方式相关。
可选的,所述关注内容涉及关注对象、关注行为、关注参数中的一项或多项关注类型。
可选的,所述关注内容包括以下至少一项:
蜜罐的类型、蜜罐的布置区域、威胁的发现位置、威胁的行为类型、事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长。
可选的,所述关注内容是所述目标用户在用户选择界面筛选出的、和/或在用户定制页面定制的。
可选的,所述至少一种数据获取方式,包括网页访问、日志分析、接口采集中的一种或多种获取方式。
可选的,所述网页访问用于提供详细全面的威胁情报数据;
所述日志分析用于提供简明概要的威胁情报数据;
所述接口采集用于提供详细全面和/或简明概要的威胁情报数据。
可选的,所述将所述威胁情报数据发送给所述目标用户,包括:
将所述威胁情报数据主动推送给所述目标用户;
或者,在所述目标用户触发数据获取请求后,将所述威胁情报数据发送给所述目标用户。
第二方面,本申请提供了一种蜜罐威胁情报共享装置,包括:
关注内容获取单元,用于获取目标用户基于用户角色提供的针对目标蜜罐的关注内容;
威胁情报共享单元,用于若所述目标用户选择了针对所述关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与所述关注内容相关的威胁情报数据,以便将所述威胁情报数据发送给所述目标用户;其中,所述威胁情报数据的详细情况与所述至少一种数据获取方式相关。
可选的,所述关注内容涉及关注对象、关注行为、关注参数中的一项或多项关注类型。
可选的,所述关注内容包括以下至少一项:
蜜罐的类型、蜜罐的布置区域、威胁的发现位置、威胁的行为类型、事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长。
可选的,所述关注内容是所述目标用户在用户选择界面筛选出的、和/或在用户定制页面定制的。
可选的,所述至少一种数据获取方式,包括网页访问、日志分析、接口采集中的一种或多种获取方式。
可选的,所述网页访问用于提供详细全面的威胁情报数据;
所述日志分析用于提供简明概要的威胁情报数据;
所述接口采集用于提供详细全面和/或简明概要的威胁情报数据。
可选的,所述威胁情报共享单元在将所述威胁情报数据发送给所述目标用户时,具体用于:
将所述威胁情报数据主动推送给所述目标用户;
或者,在所述目标用户触发数据获取请求后,将所述威胁情报数据发送给所述目标用户。
第三方面,本申请提供了一种电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述蜜罐威胁情报共享方法。
第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述蜜罐威胁情报共享方法。
在以上本申请提供的技术方案中,获取目标用户基于用户角色提供的针对目标蜜罐的关注内容,若目标用户选择了针对关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与关注内容相关的威胁情报数据,以便将威胁情报数据发送给目标用户,其中,威胁情报数据的详细情况与至少一种数据获取方式相关。可见,本申请实施例可以基于不同用户角色提供的关注内容,生成不同用户各自感兴趣的威胁情报数据;而且,本申请实施例可以采用不同的数据获取方式,获取不同详细情况的威胁情报数据,降低了数据缺失、无法理解的情况发生。
附图说明
图1为本申请示出的一种蜜罐威胁情报共享方法的流程示意图;
图2为本申请示出的蜜罐威胁情报共享系统的组成框图;
图3为本申请示出的一种蜜罐威胁情报共享装置的组成示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
需要说明的是,针对现有技术的不足,本申请实施例提供了一种蜜罐威胁情报共享方法,采用订阅及自定义策略,实现威胁情报基于需求的按需分配,满足不同的人员的多样化数据需求;通过数据抽取聚合且按照多样化技术接口等,实现威胁情报基于网络的推拉分发。通过该技术方案,让蜜罐产品在信息共享有更好的表现,带给用户更多的实用价值。本申请实施例通过这种允许不同类型用户进行威胁情报数据灵活定义和动态更新的方式,解决了现有技术存在的上述问题。
关于蜜罐产生的威胁情报数据的按需生成、按需分发,其中,按需生成,指针对不同用户角色提供关注点或事件等的策略自定义,以及订阅服务(有相关的消息就发送或推送);按需分发,指上述手段整合的分类信息,通过各种技术接口(包括syslog、socket、http等)主动推送或用户拉取等方式的进行数据获取,避免单一syslog(当前主流的方式)带来的网络强制推送、详细信息无法传递、背景信息缺失等问题。
本申请实施例提供了威胁情报信息分享的方法和实现,更能满足威胁情报信息快速、高效、灵活的生成和分发,使蜜罐的威胁情报信息得到更好的体现(威胁情报在于及时有效的分享、分享越广泛越有价值),同时也能极大扩展其应用范围。
下面对本申请实施例提供的蜜罐威胁情报共享方法进行具体介绍。
参见图1,为本申请实施例提供的一种蜜罐威胁情报共享方法的流程示意图,该方法包括以下步骤S101-S102:
S101:获取目标用户基于用户角色提供的针对目标蜜罐的关注内容。
在本申请实施例中,不对蜜罐系统的功能进行限制,可以将任意一个蜜罐系统定义为目标蜜罐。
本申请实施例提供的蜜罐威胁情报共享方法,可以基于一个蜜罐威胁情报共享系统来实现,如图2所示的蜜罐威胁情报共享系统的组成框图,该蜜罐威胁情报共享系统所包括的各个功能模块可以布置在目标蜜罐的蜜罐系统中、也可以布置在独立于目标蜜罐之外的第三方设备上。由图2可知,该蜜罐威胁情报共享系统包括一个用户管理模块201,通过该用户管理模块可以进行用户注册、权限管理、安全配置等。
其中,关于用户注册,用户可以基于自己在目标蜜罐中的身份角色(比如网络安全人员、运维人员、情报分析人员等)进行用户注册,包括用户角色信息、登录账号信息、登录密码信息等,这里,可以将任一个注册用户定义为目标用户;关于权限管理,待目标用户注册成功后,可以基于目标用户的身份角色限定其针对目标蜜罐可使用的功能范围;关于安全配置,用于限定目标用户可访问的设备类型以及IP地址等。
可以理解的是,由于网络安全人员、运维人员、情报分析人员等不同用户的关注点会有所不同,结合目标蜜罐的所布置的场景而言,就是关注的地方以及威胁行为等不一样,因此,目标用户可以基于自己的用户角色,提供针对目标蜜罐的关注内容,以便基于其关注内容进行不同类别的数据的聚合分析,从而将分析得到的蜜罐威胁情报数据共享给目标用户。
在本申请实施例中,若目标用户想要获取关于目标蜜罐的威胁情报数据,可以对其关注内容进行自定义,目标用户的关注内容可以涉及关注对象、关注行为、关注参数中的一项或多项关注类型。
对于关注对象,是指针对目标蜜罐的一个或多个关注点,这些关注点可以包括:蜜罐的类型(比如业务系统、数据库、中间件、工业设备、大数据平台、文件服务器、OA系统等)、蜜罐的布置区域(比如办公网络、研发网络、财务网络等)、威胁的发现位置(比如罐内、罐外等),等等。
对于关注行为,是指针对目标蜜罐的一个或多个关注行为,也即威胁的行为类型(比如资源访问、命令执行、文件操作、漏洞利用、账号破解等)。
对于关注参数,是指针对目标蜜罐的一个或多个参数类型,这些参数类型可以包括:事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长。
其中,事件实时威胁程度,是指通过对目标蜜罐的某个场合事件进行实时监测,测定攻击方对该事件的实时威胁程度,当实时威胁程度达到预设程度时,便可以基于此生成相关的威胁情报数据;
罐内威胁次数,是指攻击方对目标蜜罐的罐内的威胁次数,当罐内威胁次数达到预设次数时(比如10次),便可以基于此生成相关的威胁情报数据;
罐外威胁次数,是指攻击方对目标蜜罐的罐外的威胁次数,当罐外威胁次数达到预设次数时(比如10次),便可以基于此生成相关的威胁情报数据;
威胁IP总数,是指攻击方对目标蜜罐的哪些IP进行了攻击,当攻击的IP总数达到预设次数时(比如10次),便可以基于此生成相关的威胁情报数据;
蜜罐威胁深度,是指攻击方对目标蜜罐的总的威胁程度,当蜜罐威胁程度达到预设程度时,便可以基于此生成相关的威胁情报数据;
威胁行为总数,是指攻击方对目标蜜罐的总的威胁行为次数,当威胁行为次数达到预设次数时(比如10次),便可以基于此生成相关的威胁情报数据;
威胁延缓总时长,是指攻击方对目标蜜罐的连续威胁总时长、或累计威胁总时长,当总时长达到预设时长时,便可以基于此生成相关的威胁情报数据。
在本申请实施例中,目标用户可以基于自己的用户角色,提供针对目标蜜罐的关注内容,该关注内容具体可以包括上述“蜜罐的类型、蜜罐的布置区域、威胁的发现位置、威胁的行为类型、事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长”中的至少一项。
目标用户可以通过自定义的方式提供其关注内容,具体地,在本申请实施例的一种实现方式中,该关注内容可以是目标用户在用户选择界面筛选出的、和/或在用户定制页面定制的。在本实现方式中,目标用户可以在用户选择界面中选择默认提供的关注方向,从而筛选出具体的关注对象、关注行为、关注参数等;目标用户也可以按照关注对象(比如导入其他安全设备的历史IP地址列表)、关联分析策略等自定义方式,在用户定制页面定制自己的关注内容,即定制关注的场景组合。
如图2所示的订阅管理模块202,该模块提供检索字段和筛选组合策略编辑的功能,基于提供的检索、新增、删除、修订等功能,方便用户对关注对象、关注行为、关注参数等的组合配置,以便形成目标用户针对目标蜜罐的关注内容。此外,对于基于关注内容生成的威胁情况数据,目标用户还可以选择系统推送方式、或是主动获取方式来获取数据。
S102:若目标用户选择了针对关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与关注内容相关的威胁情报数据,以便将该威胁情报数据发送给目标用户;其中,该威胁情报数据的详细情况与至少一种数据获取方式相关。
在本申请实施例中,对于目标用户提供的关注内容,目标用户可以订阅与该关注内容相关的威胁情报数据,由于该关注内容只是关注对象、关注行为、关注参数等用户感兴趣的关注配置,不涉及目标蜜罐的具体的威胁情报数据,因此,还需要进一步对如何获取威胁情报数据进行预先配置。
具体地,可以预先配置好数据分析频率(即分析数据的频率,比如监测分析周期长度)、数据推送类型(即推送的内容,比如简报、信息、统计数据、图片及原始数据流量包等)、以及至少一种数据获取方式(比如http访问、syslog采集、socket采集等),这些配置可以是默认配置、也可以由用户进行自定义配置。
在本申请实施例的一种实现方式中,上述“至少一种数据获取方式”,包括网页访问、日志分析、接口采集中的一种或多种获取方式。其中,网页访问用于提供详细全面的威胁情报数据;日志分析用于提供简明概要的威胁情报数据;接口采集用于提供详细全面和/或简明概要的威胁情报数据。
在本实现方式中,用户可以通过特定的途径获取相应的威胁情报数据。其中,网页访问,也即http(超文本传输协议)访问,http可以提供最详细的信息;日志分析,也即syslog(常被称为系统日志或系统记录)采集,syslog方式可以提供概要信息,可通过网络实时推送;接口采集,也即api(应用程序接口)接口采集,api接口可以提供整合的数据,也可以提供全面的数据,这些数据包括信息、文本压缩包(比如攻击者上传的样本)、图片(比如溯源取证获取的攻击者身份照片等)、数据包(比如攻击者的完整网络数据包)等。
在本申请实施例中,当确定了上述订阅策略(包括订阅内容、数据分析频率、数据推送类型、以及至数据获取方式等)后,蜜罐系统可以执行上述订阅策略,并通过实时监测和审计,以及数据关联分析,生成目标用户所需的威胁情报数据,根据传送方式的差异推送或等待用户获取内容。
故而,在本申请实施例的一种实现方式中,S102中的“将威胁情报数据发送给目标用户”,可以包括:将威胁情报数据主动推送给目标用户;或者,在目标用户触发数据获取请求后,将威胁情报数据发送给目标用户。在本实现方式中,目标用户可以在第三方设备上获取到威胁情报数据,或直接登录蜜罐系统进行数据获取。
在本申请实施例中,上述对数据分析频率、数据推送类型、以及数据获取方式等进行配置的功能,可以基于图2所示的订阅管理模块202来实现,将配置结果转换成后台监控指标或组合策略,并在后台进行执行。而图2所示的数据管理模块203,提供订阅管理模块202输出的订阅管理策略的后台执行功能,并根据数据详细度要求,进行数据抽取和聚合,对部分敏感内容(比如攻击者的上传内容)进行压缩和提取MD5值等处理,避免造成数据传输过程中的风险,并将所有数据输出到指定位置。图2所示的文件管理模块204,包括文件暂存和下载管理等功能,通过统一资源定位系统(uniform resource locator,简称URL)或者文件服务器提供限时或次数的下载,保证数据的安全性,同时避免被暴力遍历造成其他问题。图2所示的接口管理模块205,负责威胁情报数据的传送和对接,保存相关配置并可自动进行接口核实,收到数据管理模块203的调度指令后,按照订阅参数进行数据的发送。
在上述本申请实施例提供的蜜罐威胁情报共享方法中,获取目标用户基于用户角色提供的针对目标蜜罐的关注内容,若目标用户选择了针对关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与关注内容相关的威胁情报数据,以便将威胁情报数据发送给目标用户,其中,威胁情报数据的详细情况与至少一种数据获取方式相关。可见,本申请实施例可以基于不同用户角色提供的关注内容,生成不同用户各自感兴趣的威胁情报数据;而且,本申请实施例可以采用不同的数据获取方式,获取不同详细情况的威胁情报数据,降低了数据缺失、无法理解的情况发生。
参见图3,为本申请实施例提供的一种蜜罐威胁情报共享装置的组成示意图,该装置包括:
关注内容获取单元310,用于获取目标用户基于用户角色提供的针对目标蜜罐的关注内容;
威胁情报共享单元320,用于若所述目标用户选择了针对所述关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及至少一种数据获取方式,生成与所述关注内容相关的威胁情报数据,以便将所述威胁情报数据发送给所述目标用户;其中,所述威胁情报数据的详细情况与所述至少一种数据获取方式相关。
在本申请实施例的一种实现方式中,所述关注内容涉及关注对象、关注行为、关注参数中的一项或多项关注类型。
在本申请实施例的一种实现方式中,所述关注内容包括以下至少一项:
蜜罐的类型、蜜罐的布置区域、威胁的发现位置、威胁的行为类型、事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长。
在本申请实施例的一种实现方式中,所述关注内容是所述目标用户在用户选择界面筛选出的、和/或在用户定制页面定制的。
在本申请实施例的一种实现方式中,所述至少一种数据获取方式,包括网页访问、日志分析、接口采集中的一种或多种获取方式。
在本申请实施例的一种实现方式中,
所述网页访问用于提供详细全面的威胁情报数据;
所述日志分析用于提供简明概要的威胁情报数据;
所述接口采集用于提供详细全面和/或简明概要的威胁情报数据。
在本申请实施例的一种实现方式中,所述威胁情报共享单元320在将所述威胁情报数据发送给所述目标用户时,具体用于:
将所述威胁情报数据主动推送给所述目标用户;
或者,在所述目标用户触发数据获取请求后,将所述威胁情报数据发送给所述目标用户。
需要说明的是,上述关注内容获取单元310、威胁情报共享单元320,可以基于各自的功能,属于图2所示模块的一个功能单元。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备4000包括至少一个处理器4001、存储器4002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器3001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种蜜罐威胁情报共享方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,基于不同用户角色提供的关注内容,生成不同用户各自感兴趣的威胁情报数据;而且,可以采用不同的数据获取方式,获取不同详细情况的威胁情报数据,降低了数据缺失、无法理解的情况发生。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种蜜罐威胁情报共享方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,基于不同用户角色提供的关注内容,生成不同用户各自感兴趣的威胁情报数据;而且,可以采用不同的数据获取方式,获取不同详细情况的威胁情报数据,降低了数据缺失、无法理解的情况发生。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种蜜罐威胁情报共享方法,其特征在于,包括:
获取目标用户基于用户角色提供的针对目标蜜罐的关注内容;
若所述目标用户选择了针对所述关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及多种数据获取方式,生成与所述关注内容相关的威胁情报数据,以便将所述威胁情报数据发送给所述目标用户;
其中,所述威胁情报数据的详细情况与所述多种数据获取方式相关,所述多种数据获取方式,包括网页访问、日志分析、接口采集中的多种获取方式;所述网页访问用于提供详细全面的威胁情报数据;所述日志分析用于提供简明概要的威胁情报数据;所述接口采集用于提供详细全面和/或简明概要的威胁情报数据。
2.根据权利要求1所述的方法,其特征在于,所述关注内容涉及关注对象、关注行为、关注参数中的一项或多项关注类型。
3.根据权利要求1所述的方法,其特征在于,所述关注内容包括以下至少一项:
蜜罐的类型、蜜罐的布置区域、威胁的发现位置、威胁的行为类型、事件实时威胁程度、罐内威胁次数、罐外威胁次数、威胁IP总数、蜜罐威胁深度、威胁行为总数、威胁延缓总时长。
4.根据权利要求1所述的方法,其特征在于,所述关注内容是所述目标用户在用户选择界面筛选出的、和/或在用户定制页面定制的。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述将所述威胁情报数据发送给所述目标用户,包括:
将所述威胁情报数据主动推送给所述目标用户;
或者,在所述目标用户触发数据获取请求后,将所述威胁情报数据发送给所述目标用户。
6.一种蜜罐威胁情报共享装置,其特征在于,包括:
关注内容获取单元,用于获取目标用户基于用户角色提供的针对目标蜜罐的关注内容;
威胁情报共享单元,用于若所述目标用户选择了针对所述关注内容的订阅服务,则按照预先配置的数据分析频率、数据推送类型、以及多种数据获取方式,生成与所述关注内容相关的威胁情报数据,以便将所述威胁情报数据发送给所述目标用户;其中,所述威胁情报数据的详细情况与所述多种数据获取方式相关,所述多种数据获取方式,包括网页访问、日志分析、接口采集中的多种获取方式;所述网页访问用于提供详细全面的威胁情报数据;所述日志分析用于提供简明概要的威胁情报数据;所述接口采集用于提供详细全面和/或简明概要的威胁情报数据。
7.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-5中任一项所述的蜜罐威胁情报共享方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-5任一项所述的蜜罐威胁情报共享方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210286962.2A CN114666128B (zh) | 2022-03-23 | 2022-03-23 | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210286962.2A CN114666128B (zh) | 2022-03-23 | 2022-03-23 | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114666128A CN114666128A (zh) | 2022-06-24 |
| CN114666128B true CN114666128B (zh) | 2023-03-24 |
Family
ID=82031901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210286962.2A Active CN114666128B (zh) | 2022-03-23 | 2022-03-23 | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666128B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020125839A1 (de) * | 2018-12-18 | 2020-06-25 | GRID INVENT gGmbH | Elektronisches element und elektrisch angesteuertes anzeigeelement |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008083267A2 (en) * | 2006-12-28 | 2008-07-10 | Arcsight, Inc. | Storing log data efficiently while supporting querying to assist in computer network security |
| US10110629B1 (en) * | 2016-03-24 | 2018-10-23 | Amazon Technologies, Inc. | Managed honeypot intrusion detection system |
| CN106777222B (zh) * | 2016-12-26 | 2020-05-08 | 中国电子科技集团公司第三十研究所 | 基于轻量级领域本体的安全设备威胁情报共享方法 |
| CN107196910B (zh) * | 2017-04-18 | 2019-09-10 | 国网山东省电力公司电力科学研究院 | 基于大数据分析的威胁预警监测系统、方法及部署架构 |
| CN110138770B (zh) * | 2019-05-13 | 2021-08-06 | 四川长虹电器股份有限公司 | 一种基于物联网威胁情报生成和共享系统及方法 |
| CN113783886A (zh) * | 2021-09-17 | 2021-12-10 | 国网江苏省电力有限公司常州供电分公司 | 一种基于情报和数据的电网智慧运维方法及其系统 |
-
2022
- 2022-03-23 CN CN202210286962.2A patent/CN114666128B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020125839A1 (de) * | 2018-12-18 | 2020-06-25 | GRID INVENT gGmbH | Elektronisches element und elektrisch angesteuertes anzeigeelement |
Non-Patent Citations (1)
| Title |
|---|
| 网络安全事件集中监控和自动派单的设计与实现;袁强;《通信与信息技术》;20200325(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114666128A (zh) | 2022-06-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12034746B2 (en) | Systems and methods for automated retrieval, processing, and distribution of cyber-threat information | |
| US9438616B2 (en) | Network asset information management | |
| US11095670B2 (en) | Hierarchical activation of scripts for detecting a security threat to a network using a programmable data plane | |
| US10659335B1 (en) | Contextual analyses of network traffic | |
| US20140280075A1 (en) | Multidimension clusters for data partitioning | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| US20120311562A1 (en) | Extendable event processing | |
| US12039048B2 (en) | System and method for automatic generation of malware detection traps | |
| CN104065644A (zh) | 基于日志分析的cc攻击识别方法和设备 | |
| CN112738071A (zh) | 一种攻击链拓扑的构建方法及装置 | |
| CN113098835A (zh) | 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统 | |
| CN114915493B (zh) | 一种基于电力监控系统网络攻击的诱捕部署方法 | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| Repetto | Adaptive monitoring, detection, and response for agile digital service chains | |
| CN114666128B (zh) | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 | |
| CN116996262A (zh) | 低资源高仿真漏洞蜜罐方法及系统 | |
| CN115102785B (zh) | 一种针对网络攻击的自动溯源系统及方法 | |
| CN114448731B (zh) | 蜜罐部署方法、装置、设备及计算机可读介质 | |
| CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
| WO2020069741A1 (en) | Network surveillance system | |
| US10757117B1 (en) | Contextual analyses of network traffic | |
| Sachidananda et al. | Check for updates Honey-Gauge: Enabling User-Centric Honeypot Classification | |
| CN116915417A (zh) | 适于工控环境的蜜网部署方法及装置 | |
| CN117768158A (zh) | 针对攻击行为的多蜜罐防御方法、装置及应用 | |
| CN117938440A (zh) | 一种孪生诱捕网络设计方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 103, building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |
|
| CP01 | Change in the name or title of a patent holder |