CN114826787B - 一种针对后门攻击的主动对抗方法、系统、设备及介质 - Google Patents
一种针对后门攻击的主动对抗方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN114826787B CN114826787B CN202210745659.4A CN202210745659A CN114826787B CN 114826787 B CN114826787 B CN 114826787B CN 202210745659 A CN202210745659 A CN 202210745659A CN 114826787 B CN114826787 B CN 114826787B
- Authority
- CN
- China
- Prior art keywords
- backdoor
- honeypot
- attack
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种针对后门攻击的主动对抗方法、系统、设备及介质,通过实时检测黑客后门攻击入侵成功之后,由替换后的代理程序将整个攻击访问请求转发至蜜罐中,在蜜罐环境中模拟执行后门功能,并将后门执行结果由代理程序转发给攻击访问主体,以响应所述攻击访问主体的请求。本发明实施例中,由原来蜜罐被动等待黑客触达转为主动引导并转发攻击访问至蜜罐环境,防御中无需删除/隔离后门,对实际业务不会造成损失。在黑客访问后门执行进一步攻击时,再主动引导黑客请求进入蜜罐,确保蜜罐能够触达黑客攻击,无需部署大量的蜜罐被动监听,保证拟真性。
Description
技术领域
本发明实施例涉及信息安全技术领域,具体涉及一种针对后门攻击的主动对抗方法、系统、设备及介质。
背景技术
在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。
主机上的后门来源主要有以下几种:攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或文件,这些木马程序就会在主机上创建一个后门。攻击者攻陷一台主机,获得其控制权后,在主机上建立后门,比如安装木马程序,以便下一次入侵时使用。
目前针对后门黑客攻击,利用直接删除/隔离后门作为防御手段,这样容易被黑客发现,从而再次入侵并隐藏避免被发现。
另外,通常利用蜜罐部署来防御后门黑客攻击。传统蜜罐部署需要和真实业务并行部署,比如作为业务的子域名或子链接,黑客通常只会攻击业务的主要域名,对于边缘的子域名很难被黑客触达到。
同时传统蜜罐部署中采用蜜罐被动监听,主要通过大规模部署让黑客有一定概率触达,需要大量的蜜罐/诱饵来接触到攻击事件,蜜罐部署成本高。或者在黑客攻击时发送虚假信息引导,传统蜜罐对业务的模拟,也是通过学习真实业务网站进行的,学习的深度和可交互性受成本制约,在复杂操作后会被识别出来,因此,其真实度也较低。
发明内容
为此,本发明实施例提供一种针对后门攻击的主动对抗方法、系统、设备及介质,以解决传统后门黑客攻击防御手段效果差的技术问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,本申请实施例提供了一种针对后门攻击的主动对抗方法,所述方法包括:
实时监测主机是否存在后门;
如果主机存在后门,将所述后门上传至蜜罐,并获取所述后门在蜜罐中的访问地址w_uri;
将所述后门替换为代理程序;
当接收到攻击访问,将HTTP请求中的URI替换为所述访问地址w_uri;
由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐;
在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能,并将后门执行结果返回给代理程序;
由代理程序将所述后门执行结果转发给攻击访问主体,以响应所述攻击访问主体的请求。
进一步地,所述方法还包括:
当监测到主机存在后门时,上报主机被植入后门;
基于用户的配置/指令实施调度任务,下发主动对抗请求;
接收到主动对抗请求,将所述后门上传至蜜罐。
进一步地,所述方法还包括:
从所述蜜罐接收上传的访问日志;
基于所述访问日志,解析攻击访问主体行为,生成攻击溯源报告。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,包括:
判断所述后门的类型;
如果所述后门为网站后门,则直接由所述代理程序提供转发功能。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门为进程后门,则开启进程注入能力,注入后门进程;
持续遍历网络连接文件描述符;
将后门进程休眠2s,基于所述网络连接文件描述符判断所述后门进程的通信方式;
如果所述后门进程的通信方式为短连接,则将所述后门进程暂停并保持网络连接;
将所述后门进程复制至蜜罐环境;
注入蜜罐进程,监听连接;
将操作主机上的进程运行反向连接蜜罐里的进程;
恢复主机上的进程运行,目前进程只做流量转发;
将攻击访问主体对主机后门的控制指令均转发蜜罐进程。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门进程的通信方式为长连接,则在主机上启动代理stub;
将蜜罐的流量转发至主机上的所述代理stub;
将进程冻结迁移至蜜罐环境;
将蜜罐上进程流量均由所述代理stub转发给攻击访问主体。
进一步地,将进程冻结迁移至蜜罐环境,包括:
将进程冻结;
保存进程的状态信息,所述进程的状态信息包括:文件描述符、进程状态;
将进程的内存信息镜像保存,得到进程的Dump文件;
将进程的Dump文件和进程文件发送至蜜罐;
启动进程并注入;
恢复内存镜像至进程空间;
恢复进程正常状态。
根据本发明实施例的第二方面,本申请实施例提供了一种针对后门攻击的主动对抗系统,所述系统包括:代理端、管理端、蜜罐,
所述代理端包括:
检测模块,用于实时监测主机是否存在后门;
上传模块,用于如果主机存在后门,将所述后门上传至蜜罐,并获取所述后门在蜜罐中的访问地址w_uri;
对抗模块,用于将所述后门替换为代理程序;当接收到攻击访问,将HTTP请求中的URI替换为所述访问地址w_uri;由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐;由代理程序将所述后门执行结果转发给攻击访问主体,以响应所述攻击访问主体的请求;
所述管理端包括:
调度模块,用于当监测到主机存在后门时,接收主机被植入后门的上报信息;基于用户的配置/指令实施调度任务,下发主动对抗请求;所述代理端接收到主动对抗请求,将所述后门上传至蜜罐;
溯源模块,用于从所述蜜罐接收上传的访问日志;基于所述访问日志,解析攻击访问主体行为,生成攻击溯源报告;
所述蜜罐用于在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能,并将后门执行结果返回给代理程序。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,包括:
判断所述后门的类型;
如果所述后门为网站后门,则直接由所述代理程序提供转发功能。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门为进程后门,则开启进程注入能力,注入后门进程;
持续遍历网络连接文件描述符;
将后门进程休眠2s,基于所述网络连接文件描述符判断所述后门进程的通信方式;
如果所述后门进程的通信方式为短连接,则将所述后门进程暂停并保持网络连接;
将所述后门进程复制至蜜罐环境;
注入蜜罐进程,监听连接;
将操作主机上的进程运行反向连接蜜罐里的进程;
恢复主机上的进程运行,目前进程只做流量转发;
将攻击访问主体对主机后门的控制指令均转发蜜罐进程。
进一步地,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门进程的通信方式为长连接,则在主机上启动代理stub;
将蜜罐的流量转发至主机上的所述代理stub;
将进程冻结迁移至蜜罐环境;
将蜜罐上进程流量均由所述代理stub转发给攻击访问主体。
进一步地,将进程冻结迁移至蜜罐环境,包括:
将进程冻结;
保存进程的状态信息,所述进程的状态信息包括:文件描述符、进程状态;
将进程的内存信息镜像保存,得到进程的Dump文件;
将进程的Dump文件和进程文件发送至蜜罐;
启动进程并注入;
恢复内存镜像至进程空间;
恢复进程正常状态。
根据本发明实施例的第三方面,提供了一种针对后门攻击的主动对抗设备,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如上任一项所述的一种针对后门攻击的主动对抗方法的步骤。
根据本发明实施例的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的一种针对后门攻击的主动对抗方法的步骤。
与现有技术相比,本申请实施例提供的一种针对后门攻击的主动对抗方法、系统、设备及介质,通过实时检测黑客后门攻击入侵成功之后,由替换后的代理程序将整个攻击访问请求转发至蜜罐中,在蜜罐环境中模拟执行后门功能,并将后门执行结果由代理程序转发给攻击访问主体,以响应所述攻击访问主体的请求。本发明实施例中,由原来蜜罐被动等待黑客触达转为主动引导并转发攻击访问至蜜罐环境,防御中无需删除/隔离后门,对实际业务不会造成损失。在黑客访问后门执行进一步攻击时,再主动引导黑客请求进入蜜罐,确保蜜罐能够触达黑客攻击,无需部署大量的蜜罐被动监听,保证拟真性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容得能涵盖的范围内。
图1为本发明实施例提供的一种针对后门攻击的主动对抗系统的逻辑结构示意图;
图2为本发明实施例提供的一种针对后门攻击的主动对抗方法的流程示意图;
图3为本发明实施例提供的由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐的流程示意图;
图4为本发明实施例提供的将进程冻结迁移至蜜罐环境的流程示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的目的在于:本发明实施例提供一种针对后门攻击的主动对抗方法、系统、设备及介质,通过在黑客攻击后门入侵成功之后,主动引导整个攻击访问请求进入蜜罐环境,从而达到主动欺骗攻击者的目的,以解决传统后门黑客攻击防御手段效果差的技术问题。
具体地,针对后门黑客攻击,目前利用蜜罐部署欺骗技术进行防御存在以下问题:
(1)需要大量的部署蜜罐/诱饵来接触到攻击事件,部署成本高;
(2)蜜罐通常是被动的等待黑客触达,难以触达黑客;
(3)蜜罐即使尝试模拟真实业务,也和真实业务有较大区别,真实性差。
为了解决上述技术问题,如图1所示,本申请实施例提供了一种针对后门攻击的主动对抗系统,其具体包括:代理端1、管理端2、蜜罐3。
代理端1为部署在业务服务端的检测探针,主要承担后门事件检测和请求代理转发的功能。进一步地,代理端1包括:检测模块11、上传模块12、对抗模块13。检测模块11用于用于实时监测主机是否存在后门;上传模块12用于如果主机存在后门,将后门上传至蜜罐3,并获取后门在蜜罐3中的访问地址w_uri;对抗模块13用于将后门替换为代理程序;当接收到攻击访问,将HTTP请求中的URI替换为访问地址w_uri;由代理程序将整个攻击访问请求基于访问地址w_uri转发至蜜罐3;由代理程序将后门执行结果转发给攻击访问主体4,以响应攻击访问主体4的请求。
管理端2为负责代理端1、蜜罐3管理的服务端,同时负责逻辑功能的调度。管理端2包括:调度模块21和溯源模块22。调度模块21用于当监测到主机存在后门时,接收主机被植入后门的上报信息;基于用户的配置/指令实施调度任务,下发主动对抗请求;代理端1接收到主动对抗请求,将后门上传至蜜罐3。溯源模块22用于从蜜罐3接收上传的访问日志;基于访问日志,解析攻击访问主体4行为,生成攻击溯源报告。
蜜罐3负责后门模拟执行以及环境的仿真,蜜罐3用于在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能,并将后门执行结果返回给代理程序。
蜜罐3进一步包括安全隔离层、流量转发层、模拟执行层。
安全隔离层主要负责保障在高交互蜜罐3中执行后门时不造成安全风险。其实现的安全策略包括不仅限于网络访问权限控制、系统资源控制、系统权限控制。安全隔离层设置有Iptables、Docker、AppArmor。Iptables主要帮助实现网络隔离,禁止对蜜罐(Honeypot)以外的网络资源的访问。Docker主要实现资源的控制和文件的隔离,限制后门执行可以使用的系统资源和可以访问的文件范围。AppArmor主要限制容器环境在系统的权限和对系统设备的访问。
流量转发层主要负责接收黑客的攻击指令,并且响应返回。同时通过ELK收集黑客的行为日志进行分析。
模拟执行层:主要实现对黑客的后门攻击访问进行解释执行,以及进一步的释放诱饵伪装为真实环境。后门攻击访问解释执行主要基于流量转发层发送的请求,通过tomcat容器(主要针对jsp和java内存马类型的网络后门)、IIS(主要针对ASP类型网络后门)、php-fpm(主要针对php类型网络后门)对网站后门的代码解释执行。环境伪装通过网络模拟,会对网站后门的相关请求进行响应;通过文件模拟,会在蜜罐环境投放文件诱饵。
与现有技术相比,本申请实施例提供的一种针对后门攻击的主动对抗系统,通过实时检测黑客后门攻击入侵成功之后,由替换后的代理程序将整个攻击访问请求转发至蜜罐中,在蜜罐环境中模拟执行后门功能,并将后门执行结果由代理程序转发给攻击访问主体,以响应所述攻击访问主体的请求。本发明实施例中,由原来蜜罐被动等待黑客触达转为主动引导并转发攻击访问至蜜罐环境,防御中无需删除/隔离后门,对实际业务不会造成损失。在黑客访问后门执行进一步攻击时,再主动引导黑客请求进入蜜罐,确保蜜罐能够触达黑客攻击,无需部署大量的蜜罐被动监听,保证拟真性。
与上述公开的一种针对后门攻击的主动对抗系统相对应,本发明实施例还公开了一种针对后门攻击的主动对抗方法。以下结合上述描述的一种针对后门攻击的主动对抗系统详细介绍本发明实施例中公开的一种针对后门攻击的主动对抗方法。
如图1和图2所示,以下对本申请实施例提供的一种针对后门攻击的主动对抗方法具体步骤进行详细描述。
由代理端1进行后门事件检测,后门事件检测包括后门Webshell事件检测和后门进程事件检测。
Webshell是web入侵的脚本攻击工具。简单的说来,Webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
在本发明实施例中,通过正则引擎、语义引擎来进行后门Webshell事件、后门进程事件的检测。具体地,通过检测模块11实时监测主机是否存在后门。如果主机不存在后门,则继续在监测主机是否存在后门。如果攻击访问主体4向主机后门植入Webshell文件,则在主机监测到后门,通过上传模块12将后门上传至蜜罐3,并获取后门在蜜罐中的访问地址w_uri。
更进一步地,在本发明实施例中,通过检测模块11实时监测主机是否存在Webshell文件/后门进程文件。如果在主机上未监测到Webshell文件/后门进程文件,则继续在主机上继续监测是否存在Webshell文件/后门进程文件。如果攻击访问主体4向主机植入Webshell文件/后门进程文件,则在主机上监测到Webshell文件/后门进程文件,通过上传模块12将Webshell文件/后门进程文件上传至蜜罐3,并获取Webshell文件/后门进程文件在蜜罐中的访问地址w_uri。
优选地,当在主机上监测到Webshell文件/后门进程文件时,则确定主机被植入后门,先由检测模块11向管理端2的调度模块21上报,调度模块21接收到主机被植入后门的上报信息;基于用户的配置/指令实施调度任务,向上传模块12下发主动对抗请求;代理端1的上传模块12接收到主动对抗请求,从检测模块11获取检测到的Webshell文件/后门进程文件,并将Webshell文件/后门进程文件上传至蜜罐3。
通过对抗模块13将后门替换为代理程序。
参考图3,以下对上述步骤具体描述。
首先判断后门的类型。后门类型通常分为网站后门和进程后门,网站后门是指Webshell通过Web容器执行jsp/php/asp等Web语言提供远程操作能力,网站后门通常由Web容器执行,被动等待黑客访问网站地址执行控制操作。进程后门是指在主机上执行远程操作任务的进程。
如果所述主机后门为网站后门,则通过对抗模块13在主机后门将Webshell文件替换为代理程序,直接由所述代理程序提供转发功能。如果主机后门为进程后门,则开启进程注入能力,注入后门进程;持续遍历网络连接文件描述符;将后门进程休眠2s,基于所述网络连接文件描述符判断所述后门进程的通信方式。
通常进程后门还会通过通信方式可以分为建立长连接的进程后门和短连接的进程后门。短连接进程后门通常是主动反向联系黑客的控制服务器,获取操作指令;只需要迁移进程,并且将反向连接的通信由代理转发即可。长连接进程后门:通常是和黑客的控制服务器建立了长期连接,需要在保持网络连接的情况下进行进程迁移,迁移较为复杂。
如果所述后门进程的通信方式为短连接,则将所述后门进程暂停并保持网络连接;将后门进程复制至蜜罐环境;注入蜜罐进程,监听连接;将操作主机上的进程运行反向连接蜜罐里的进程;恢复主机上的进程运行,目前进程只做流量转发;将攻击访问主体对主机后门的控制指令均转发蜜罐进程。如果所述后门进程的通信方式为长连接,则在主机上启动代理stub;将蜜罐的流量转发至主机上的所述代理stub;将进程冻结迁移至蜜罐环境;将蜜罐上进程流量均由所述代理stub转发给攻击访问主体。
参考图4,将进程冻结迁移至蜜罐环境,具体包括:将进程冻结;保存进程的状态信息,所述进程的状态信息包括:文件描述符、进程状态;将进程的内存信息镜像保存,得到进程的Dump文件;将进程的Dump文件和进程文件发送至蜜罐;启动进程并注入;恢复内存镜像至进程空间;恢复进程正常状态。
Dump文件是进程的内存镜像。可以把程序的执行状态保存到Dump文件中。
进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。
当主机后门从攻击访问主体4接收到攻击访问,则由对抗模块13将HTTP请求中的URI替换为访问地址w_uri,HTTP请求中的其它部分保持不变;由代理程序将整个攻击访问请求基于访问地址w_uri转发至蜜罐。
这样,在本发明实施例中,攻击访问主体对主机后门的操作指令,请求目标指向主机后门在业务网站的访问地址;通过代理端实现了将操作指令进行原文转发,转发请求目标指向蜜罐域名和后门Webshell文件在蜜罐中的地址。
通过蜜罐3在蜜罐环境中基于攻击访问请求的内容模拟执行Webshell功能,并将Webshell执行结果返回给代理程序。
由代理程序将Webshell执行结果转发给攻击访问主体4,以响应攻击访问主体4的请求。
通过管理端2的溯源模块22从蜜罐3接收上传的访问日志;基于访问日志,解析攻击访问主体4行为,生成攻击溯源报告。
与现有技术相比,本申请实施例提供的一种针对后门攻击的主动对抗方法,通过实时检测黑客后门攻击入侵成功之后,由替换后的代理程序将整个攻击访问请求转发至蜜罐中,在蜜罐环境中模拟执行后门功能,并将后门执行结果由代理程序转发给攻击访问主体,以响应所述攻击访问主体的请求。本发明实施例中,由原来蜜罐被动等待黑客触达转为主动引导并转发攻击访问至蜜罐环境,防御中无需删除/隔离后门,对实际业务不会造成损失。在黑客访问后门执行进一步攻击时,再主动引导黑客请求进入蜜罐,确保蜜罐能够触达黑客攻击,无需部署大量的蜜罐被动监听,保证拟真性。
另外,本发明实施例还提供了一种针对后门攻击的主动对抗设备,所述设备包括:处理器和存储器;所述存储器用于存储一个或多个程序指令;所述处理器,用于运行一个或多个程序指令,用以执行如上任一项所述的一种针对后门攻击的主动对抗方法的步骤。
另外,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述一种针对后门攻击的主动对抗方法的步骤。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific工ntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种针对后门攻击的主动对抗方法,其特征在于,所述方法包括:
实时监测主机是否存在后门;
如果主机存在后门,将所述后门上传至蜜罐,并获取所述后门在蜜罐中的访问地址w_uri;
将所述后门替换为代理程序;
当接收到攻击访问,将HTTP请求中的URI替换为所述访问地址w_uri;
由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐;
在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能,并将后门执行结果返回给代理程序;
由代理程序将所述后门执行结果转发给攻击访问主体,以响应所述攻击访问主体的请求。
2.如权利要求1所述的一种针对后门攻击的主动对抗方法,其特征在于,所述方法还包括:
当监测到主机存在后门时,上报主机被植入后门;
基于用户的配置/指令实施调度任务,下发主动对抗请求;
接收到主动对抗请求,将所述后门上传至蜜罐。
3.如权利要求2所述的一种针对后门攻击的主动对抗方法,其特征在于,所述方法还包括:
从所述蜜罐接收上传的访问日志;
基于所述访问日志,解析攻击访问主体行为,生成攻击溯源报告。
4.如权利要求1至3中任一项所述的一种针对后门攻击的主动对抗方法,其特征在于,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,包括:
判断所述后门的类型;
如果所述后门为网站后门,则直接由所述代理程序提供转发功能。
5.如权利要求4所述的一种针对后门攻击的主动对抗方法,其特征在于,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门为进程后门,则开启进程注入能力,注入后门进程;
持续遍历网络连接文件描述符;
将后门进程休眠2s,基于所述网络连接文件描述符判断所述后门进程的通信方式;
如果所述后门进程的通信方式为短连接,则将所述后门进程暂停并保持网络连接;
将所述后门进程复制至蜜罐环境;
注入蜜罐进程,监听连接;
将操作主机上的进程运行反向连接蜜罐里的进程;
恢复主机上的进程运行,目前进程只做流量转发;
将攻击访问主体对主机后门的控制指令均转发蜜罐进程。
6.如权利要求5所述的一种针对后门攻击的主动对抗方法,其特征在于,由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐,还包括:
如果所述后门进程的通信方式为长连接,则在主机上启动代理stub;
将蜜罐的流量转发至主机上的所述代理stub;
将进程冻结迁移至蜜罐环境;
将蜜罐上进程流量均由所述代理stub转发给攻击访问主体。
7.如权利要求6所述的一种针对后门攻击的主动对抗方法,其特征在于,将进程冻结迁移至蜜罐环境,包括:
将进程冻结;
保存进程的状态信息,所述进程的状态信息包括:文件描述符、进程状态;
将进程的内存信息镜像保存,得到进程的Dump文件;
将进程的Dump文件和进程文件发送至蜜罐;
启动进程并注入;
恢复内存镜像至进程空间;
恢复进程正常状态。
8.一种针对后门攻击的主动对抗系统,其特征在于,所述系统包括:代理端、管理端、蜜罐,
所述代理端包括:
检测模块,用于实时监测主机是否存在后门;
上传模块,用于如果主机存在后门,将所述后门上传至蜜罐,并获取所述后门在蜜罐中的访问地址w_uri;
对抗模块,用于将所述后门替换为代理程序;当接收到攻击访问,将HTTP请求中的URI替换为所述访问地址w_uri;由代理程序将整个攻击访问请求基于所述访问地址w_uri转发至蜜罐;由代理程序将后门执行结果转发给攻击访问主体,以响应所述攻击访问主体的请求;
所述管理端包括:
调度模块,用于当监测到主机存在后门时,接收主机被植入后门的上报信息;基于用户的配置/指令实施调度任务,下发主动对抗请求;所述代理端接收到主动对抗请求,将所述后门上传至蜜罐;
溯源模块,用于从所述蜜罐接收上传的访问日志;基于所述访问日志,解析攻击访问主体行为,生成攻击溯源报告;
所述蜜罐用于在蜜罐环境中基于攻击访问请求的内容模拟执行后门功能,并将后门执行结果返回给代理程序。
9.一种针对后门攻击的主动对抗设备,其特征在于,所述设备包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如权利要求1至7任一项所述的一种针对后门攻击的主动对抗方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述一种针对后门攻击的主动对抗方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210745659.4A CN114826787B (zh) | 2022-06-29 | 2022-06-29 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210745659.4A CN114826787B (zh) | 2022-06-29 | 2022-06-29 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826787A CN114826787A (zh) | 2022-07-29 |
| CN114826787B true CN114826787B (zh) | 2022-09-23 |
Family
ID=82522640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210745659.4A Active CN114826787B (zh) | 2022-06-29 | 2022-06-29 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826787B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115758351B (zh) * | 2022-11-14 | 2023-06-30 | 安芯网盾(北京)科技有限公司 | 一种php内存马的检测方法及装置 |
| CN117290075B (zh) * | 2023-11-23 | 2024-02-27 | 苏州元脑智能科技有限公司 | 进程迁移方法、系统、装置、通信设备及存储介质 |
| CN117792805B (zh) * | 2024-02-28 | 2024-05-24 | 北京长亭科技有限公司 | 一种基于内存马模拟仿真的网络安全检测方法以及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| EP2903238A2 (en) * | 2014-02-03 | 2015-08-05 | Deutsche Telekom AG | A router-based honeypot for detecting advanced persistent threats |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078592A1 (en) * | 2002-10-16 | 2004-04-22 | At & T Corp. | System and method for deploying honeypot systems in a network |
| US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
| US11263295B2 (en) * | 2019-07-08 | 2022-03-01 | Cloud Linux Software Inc. | Systems and methods for intrusion detection and prevention using software patching and honeypots |
-
2022
- 2022-06-29 CN CN202210745659.4A patent/CN114826787B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| EP2903238A2 (en) * | 2014-02-03 | 2015-08-05 | Deutsche Telekom AG | A router-based honeypot for detecting advanced persistent threats |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| 一种新的DDoS攻击主动防御方案;宋国明;《信息安全与通信保密》;20060828(第08期);19-21 * |
| 主动防御新技术及其在电力信息网络安全中的应用;丁杰等;《电力系统通信》;20040810(第08期);42-45 * |
| 基于honeypot技术的入侵诱骗系统的研究与应用;程志鹏等;《网络安全技术与应用》;20080215(第02期);63-64 * |
| 网络入侵与反入侵 安全工程师必备技能;香草天空;《电脑爱好者》;20071215(第24期);68-69 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826787A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114826787B (zh) | 一种针对后门攻击的主动对抗方法、系统、设备及介质 | |
| US10021129B2 (en) | Systems and methods for malware detection and scanning | |
| US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| US9654494B2 (en) | Detecting and marking client devices | |
| US8990944B1 (en) | Systems and methods for automatically detecting backdoors | |
| WO2018093643A1 (en) | Security systems and methods using an automated bot with a natural language interface for improving response times for security alert response and mediation | |
| US20160366176A1 (en) | High-level reputation scoring architecture | |
| US20230179631A1 (en) | System and method for detection of malicious interactions in a computer network | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| CN113645234B (zh) | 基于蜜罐的网络防御方法、系统、介质及装置 | |
| CN112615863A (zh) | 反制攻击主机的方法、装置、服务器及存储介质 | |
| CN113949520A (zh) | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 | |
| CN116015717A (zh) | 一种网络防御方法、装置、设备及存储介质 | |
| CN114238978A (zh) | 漏洞扫描系统、方法和计算机设备 | |
| CN108268774B (zh) | 攻击请求的判定方法和装置 | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| Cherny et al. | Well, that escalated quickly! how abusing docker api led to remote code execution, same origin bypass and persistence in the hypervisor via shadow containers | |
| Valenza et al. | Never trust your victim: Weaponizing vulnerabilities in security scanners | |
| CN117118658A (zh) | 一种数据处理方法、装置、设备、介质及程序产品 | |
| CN116527379A (zh) | 基于蜜点生成的防网络攻击方法、系统及装置 | |
| GB2556123A (en) | High-level reputation scoring architecture | |
| CN114465746A (zh) | 一种网络攻击控制方法及系统 | |
| CN117056922A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN115865473A (zh) | 反向代理钓鱼攻击防御方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |