CN115086081B - 一种蜜罐防逃逸方法及系统 - Google Patents
一种蜜罐防逃逸方法及系统 Download PDFInfo
- Publication number
- CN115086081B CN115086081B CN202210945864.5A CN202210945864A CN115086081B CN 115086081 B CN115086081 B CN 115086081B CN 202210945864 A CN202210945864 A CN 202210945864A CN 115086081 B CN115086081 B CN 115086081B
- Authority
- CN
- China
- Prior art keywords
- escape
- honeypot
- behavior
- virtual machine
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种蜜罐防逃逸方法和系统,该方法通过提取场景虚拟机的行为关键特征码,将行为关键特征码提交到蜜罐数据中心;将行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,特征库包括正常特征库和异常特征库;若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应。本发明可灵活应用于大规模的蜜罐场景,同时可按照逃逸规则进行灵活的调配,可最大化实现蜜罐模拟场景的业务价值(欺骗性/诱惑性)。
Description
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种蜜罐防逃逸方法及系统。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,让企业在防御的同时了解入侵者的手段和意图,不仅让入侵者增大攻击代价、徒劳无功,还对入侵者产生巨大的心理威慑,从欺骗、发现、预警、隔离、分析意图等方面来转换攻防角色,解决传统网络攻防不对称的难题。
蜜罐技术捕获的攻击者信息、攻击手段、工具脚本以及网络数据包等,对网络安全人员、情报分析人员、业务分析人员持续开展工作极为重要的;但由于蜜罐技术本身是真实业务场景的高仿真,其内置有存在安全漏洞的业务组件,被攻击者利用成功,存在当作继续进行攻击实际真实网络跳板的风险。
现阶段,通过网络管控,导致蜜罐诱惑性特性无法得到展示,进而导致和攻击者交互性低,无法获得更多攻击者信息,取不到应有成果;通过应用管控,往往存在处理比较粗暴,实现效果不理想的问题。
发明内容
为此,本发明提供一种蜜罐防逃逸方法及系统,以解决传统技术和攻击者交互性低,无法获得更多攻击者信息,或处理比较粗暴,实现效果不理想的问题。
为了实现上述目的,本发明提供如下技术方案:一种蜜罐防逃逸方法,包括:
提取场景虚拟机的行为关键特征码,将所述行为关键特征码提交到蜜罐数据中心;
将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;
若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应。
作为蜜罐防逃逸方法优选方案,通过部署在场景虚拟机内的客户端程序提取所述行为关键特征码;
客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;
蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法;
对提取的行为关键特征码信息进行压缩,经过加密隧道上传到蜜罐数据中心;
若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理。
作为蜜罐防逃逸方法优选方案,当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报。
作为蜜罐防逃逸方法优选方案,上下文数据包括按照时间序的用户空间,抽取的程序/驱动内容;
抽取的程序内容包括程序进程、调用驱动、创建文件、网络进程、修订注册表/系统文件,及操作系统安全监控事件;
抽取的驱动内容包括使用次数、依赖模块和调用关系。
作为蜜罐防逃逸方法优选方案,逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定;
通过蜜罐数据中心监控策略的定义,监控策略依赖异常特征库及异常特征库衍生数据,结合场景虚拟机或者控制力度进行配置和管理;
逃逸行为响应包括:
对存在逃逸行为的场景虚拟机进行快照保存;
对存在逃逸行为的场景虚拟机进行强制断开网络;
对存在逃逸行为的场景虚拟机进行强制关机操作
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景。
本发明还提供一种蜜罐防逃逸系统,包括:
数据采集模块,用于提取场景虚拟机的行为关键特征码,将所述行为关键特征码提交到蜜罐数据中心;
偏差数据获取模块,用于将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据;
偏差数据比对模块,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;
未知特征分析模块,用于若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
逃逸规则匹配模块,用于抽取异常特征的上下文数据及特征码,进行逃逸规则匹配;
逃逸响应模块,用于若触发指定逃逸规则,进行逃逸行为响应。
作为蜜罐防逃逸系统优选方案,所述数据采集模块中,通过部署在场景虚拟机内的客户端程序提取所述行为关键特征码;客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法;对提取的行为关键特征码信息进行压缩,经过加密隧道上传到蜜罐数据中心。
作为蜜罐防逃逸系统优选方案,还包括静默处理模块,用于若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理。
作为蜜罐防逃逸系统优选方案,所述偏差数据获取模块中,当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报。
作为蜜罐防逃逸系统优选方案,所述逃逸规则匹配模块中,上下文数据包括按照时间序的用户空间,抽取的程序/驱动内容;
抽取的程序内容包括程序进程、调用驱动、创建文件、网络进程、修订注册表/系统文件,及操作系统安全监控事件;
抽取的驱动内容包括使用次数、依赖模块和调用关系;
所述逃逸规则匹配模块中,逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定。
作为蜜罐防逃逸系统优选方案,所述逃逸响应模块中,通过蜜罐数据中心监控策略的定义,监控策略依赖异常特征库及异常特征库衍生数据,结合场景虚拟机或者控制力度进行配置和管理;
所述逃逸响应模块中,逃逸行为响应包括:
对存在逃逸行为的场景虚拟机进行快照保存;
对存在逃逸行为的场景虚拟机进行强制断开网络;
对存在逃逸行为的场景虚拟机进行强制关机操作
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景。
本发明具有如下优点:通过提取场景虚拟机的行为关键特征码,将行为关键特征码提交到蜜罐数据中心;将行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,特征库包括正常特征库和异常特征库;若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应。本发明可灵活应用于大规模的蜜罐场景,同时可按照逃逸规则进行灵活的调配,可最大化实现蜜罐模拟场景的业务价值(欺骗性/诱惑性)。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引申获得其他的实施附图。
本说明书所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定本发明可实施的限定条件,故不具技术上的实质意义,任何结构的修饰、比例关系的改变或大小的调整,在不影响本发明所能产生的功效及所能达成的目的下,均应仍落在本发明所揭示的技术内容能涵盖的范围内。
图1为本发明实施例1提供的蜜罐防逃逸方法核心步骤示意图;
图2为本发明实施例1提供的蜜罐防逃逸方法处理流程示意图;
图3为本发明实施例2提供的蜜罐防逃逸系统示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
由于蜜罐本身是真实业务场景的高仿真,其内置有存在安全漏洞的业务组件,被攻击者利用成功,存在可能当作继续进行攻击实际真实网络跳板的风险。当前行业为解决该风险采取诸多的技术手段和方案。
相关技术中采用网络层管控,如在蜜罐前面增加虚拟/实际的防火墙等安全访问控制设备,该方式从网络层入手,对蜜罐本身来说会导致欺骗性特征被屏蔽掉,对攻击者的吸引力降低,进而导致实现更多的欺骗场景无法得到应用。(欺骗环境越高,和攻击者交互越强,越需要宽松的管控环境,而网络层管控将违背这一规律)。
比如,CN113973015A《一种蜜罐隔离装置、系统及方法》所提及的蜜墙设备做隔离,存在减低蜜罐成效,无法发挥蜜罐功效的问题。(如果蜜罐是一个复杂的欺骗网络,如有各种虚构的应用、PC机、打印机设备等组成,单纯靠一个密墙设备显然是不能满足高交互需求)。
相关技术中采用主机层面的管控,对在蜜罐的场景虚拟机上做程序可信度检验和控制,避免程序被攻击者恶意利用,导致比较危险的结果。比如CN113553590B《一种蜜罐防止攻击者逃逸的方法》所提及的校验文件检验作为是否防逃逸,极大限制了攻击者在蜜罐场景虚拟机的操作行为,不管是不是逃逸行为就进行阻断的问题,存在误判率很高,无法在实际环境中实施。
现有两种管控方案太过宽泛,没有落到核心问题上,也就是逃逸行为的准确的鉴定和识别上,只有准确识别到了逃逸行为,然后采取措施,才可以阻止逃逸。第一种方案从网络上杜绝了恶意行为发生(范围太广,逃逸只是其中一种),第二种方案从应用杜绝了所有行为发生的可能性(所有行为都要检验,正常行为都受到影响)。
有鉴于此,本发明实施例提供的一种蜜罐防逃逸方法及系统,以解决通过网络管控,导致蜜罐诱惑性特性无法得到展示,导致和攻击者交互性低,无法获得更多攻击者信息,取不到成果;通过应用管控,往往存在处理比较粗暴,实现效果不理想的问题。以下为具体实施内容。
实施例1
参见图1和图2,本发明实施例1提供一种蜜罐防逃逸方法,包括:
S1、提取场景虚拟机的行为关键特征码,将所述行为关键特征码提交到蜜罐数据中心;
S2、将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;
S3、若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
S4、抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应。
由于攻击者逃逸存在很多方式和途径,可能是已知的或者未知的,已知的指攻击者通过场景虚拟机的恶意操作获得客户真实网络环境其他业务的访问,建立链接和访问,获取相关的信息;未知的指攻击者通过0day或者rookit等手段,超出现有的监控手段(没办法识别和开展有效定义),实现对场景虚拟机和其上的蜜罐管理系统的控制。
攻击者逃逸需要依赖于场景虚拟机,本实施例的出发点是对攻击者的工具(包括主要是运行程序,攻击者导入的程序和系统本身具备的程序)特征进行提取,然后快速地对比,提交到正常特征库进行存储,最终收到各种场景虚拟机的正常特征;后续可以直接核对。攻击者进入或产生的提取文件、程序、驱动等的特征,和现有的特征库以及规则策略进行匹配,结合实际的上下文内容(还是程序、文件、模块方面的),进行对比,如果符合多个特征量就可以确定为逃逸行为,需要进行干预操作。
本实施例中,通过部署在场景虚拟机内的客户端程序提取所述行为关键特征码;客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法。
其中,场景虚拟机在遍历到的系统活动进程和用户活动进程,内存中运行用户层的进程,提取程序名、程序特征码(特征码来自文件节内容,如大小、哈希值等),该处的处理采用通用的可执行文件的特征码提取技术。
本实施例中,对提取的行为关键特征码信息进行压缩,经过加密隧道上传到蜜罐数据中心;若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理。
具体的,客户端程序只是提取信息和简单处理,不同于杀毒软件,不需要对进程、驱动、文件进行特征码提取并做比对和拦截,客户端程序不做拦截,只做快速提取。提取完的信息压缩后经过加密隧道上传到蜜罐数据中心服务器,并对比确认进行异常情况处理,如果长时间无法将数据上传到蜜罐数据中心,将进入静默状态,不定期的尝试链接,并根据数据量情况进行清理,避免数据采集带来的存储压力。
本实施例中,当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报。
当上报的数据和特征库比对没有发现时,需要多次针对性的取样。客户端程序会自动收到增加的特定样本取样任务,此时需要根据取样任务要求,在指定的时间段内,获取内存文件、驱动程序等其中一种的基于时间序列的所有信息,并自动上报。
其中,采集内容指未知特征库或者比对匹配的异常特征库的运行程序,以及相关的上下文内容,包括运行程序的目录文件、驱动程序;对应到攻击者攻击场景虚拟机的过程中所涉及的:上传攻击文件、加载恶意代码、执行深层次的远控程序或后门(如果要实现虚拟机逃逸,该操作是必需的,且很难被限制到)。
其中,指定目录文件指场景虚拟机故意设置的,潜在缺陷可被利用,用于攻击者上传脚本、程序、驱动等内容的文件路径,这客户端程序提取的是文件名、文件MD5值,文件大小;
其中,驱动程序指在系统层次加载的驱动,场景虚拟机逃逸一般采取该方式实现从用户层、到系统层、到虚拟化管理监控层(VMM/Hypervisor)的逃逸,因此驱动程序的变化情况需要进行定期的监控,提取的内容有:驱动模块名称、加载情况、驱动模块大小。
本实施例中,关键特征码的对比分析过程,提取的特征值以实时数据流的方式发送给蜜罐数据中心(传输和数据经过加密或走隐秘隧道),进行预处理,并开展特征库比对工作。
其中,数据预处理过程中,和上次缓存信息做比对,提炼有偏差的信息,并将偏差的信息,进行后续的特征库比对;如无偏差(也就是和上次一样,直接丢弃),这样可以加快数据的快速处理。如该数据是特定样本取样的数据,除比对外,将直接存入特征分析中。
其中,偏差数据和特征库进行比对,包括正常特征库和异常特征库,其中异常特征库指历史提取累积的关于场景虚拟机被攻击者利用的行为特征(包括内存文件、驱动程序、文件)。一旦和异常特征库比对成功即表明场景虚拟机已有被攻击者控制的风险,风险性的高低等需要进一步地核实或者多行为关联判断核实。
本实施例中,未知特征处理过程,如果未有匹配,指该程序、驱动、文件状态未知,需要进一步的核实,也就是进行特征分析,此时自动更新配置任务,下发给客户端程序,当前情况是不可知的,需要做进一步地核实和验证,获取更多的信息用于分析;此时蜜罐数据中心下发内存文件、驱动程序的指定异常程序或驱动程序的上下文提取任务。
其中,上下文数据包括按照时间序的用户空间,抽取的程序/驱动内容;抽取的程序内容包括程序进程、调用驱动、创建文件、网络进程、修订注册表/系统文件,及操作系统安全监控事件(各类型操作系统均具备该功能,提示用户层/系统层的常见问题/含告警等信息);抽取的驱动内容包括使用次数、依赖模块和调用关系。
以程序为例,通过四个方面进行判定,是否可自动定义为异常特征的程序;
第一、对安全监控程序的中断行为,如尝试关闭系统的安全服务、重启安全进程,这些都是异常特征的程序可尝试的;
第二、未知驱动程序的加载,一旦有该匹配,也就是存在未知内存程序和未知驱动两种情况,即可判定为异常特征的程序和驱动;
第三、尝试创建网络连接和对外的访问,调用网络进程,并载入了主机、IP地址和端口信息,即可判定为异常特征的程序;
第四、获取的系统监控器输出的安全事件信息,检测到管道的创建,等即可判定为异常特性行为的程序。
一旦匹配上述行为,即可判定为异常特征的程序,自动加入异常特征库。或经人工判定,更新到特征库中,纳入正常、异常的特征库中。
本实施例中,逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定;
通过蜜罐数据中心监控策略的定义,监控策略依赖异常特征库及异常特征库衍生数据,结合场景虚拟机或者控制力度进行配置和管理。
具体的,若特征库匹配为黑名单,意味存在场景虚拟机被攻陷可能性,结合逃逸特性,此时构建基于黑名单特征的规则以及组合情况,实现提取的程序和逃逸特征确定的关联,下发异常程序的上下文提取任务,持续关注该异常行为的进展。
本实施例中,逃逸行为判定过程中,通过常见的攻击者逃逸的行为(内存文件、驱动、文件)的模型,包括两个方面:判定规则、响应策略。
异常特征库鉴定后可以得出内存文件、驱动、是具有攻击效果的恶意程序,需要经过综合判定才能得出,攻击者存在逃逸行为,因此需要做判定规则。
其中,逃逸行为主要在两个方面:第一、攻击者掌握了场景虚拟机的所有权限,进行破坏工作(这些均能比对发现),此时攻击者尝试建立和其他同网络的场景虚拟机的链接关系,可认定为逃逸;第二、攻击者意识到场景虚拟机是欺骗防御设备,尝试攻破该设备实现从虚拟机层到宿主机层的管控,最终控制蜜罐数据中心。
以第一种逃逸行为为例,置信度百分百的认定为:通过上下文数据分析,内存文件创建网络连接,并成功地创建了和同网络的其他虚拟场景的网络连接,并连接成功,实现从一个虚拟机到另外一个虚拟机的转移。
判定规则为:内存文件→创建网络连接→载入主机名/IP地址→传递异常程序或文件→构建连接→转移成功。通过规则制定则可以理解为:A场景虚拟机存在异常程序,B场景虚拟机存在异常程序,通过A异常程序的上下文分析,A和B存在先后的网络连接,即可判定攻击者从A逃逸到B。
以第二种逃逸行为为例,该行为没有具体的判定标准,因为可参考的样本量太少,所以规则定义只能模糊处理。如场景虚拟机中的存在未知驱动进行记载,并导致系统的监控进程被中断发生故障,涉及的客户端程序被中断等均被认为存在虚拟机层面的逃逸。
通过规则制定则可以理解为:A场景虚拟机存在未知驱动,并结合其他程序(可能是异常程序),通过上下文分析,导致了系统安全事件产生,即可判定攻击者尝试着突破场景虚拟机并进行逃逸。
本实施例中,响应策略指的是触发判定规则后响应办法和处理流程,蜜罐数据中支持监控策略的定义,策略依赖异常特征库及其衍生的数据,实现内存文件、驱动、文件等事件的组合配置,同时可结合场景虚拟机或者控制力度进行配置和管理。
本实施例中,蜜罐数据中心通过VMM/Hypervisor,对运行的场景虚拟机进行策略执行的操作管理。该处的操作管理是通用的技术和手段,不做解释和说明。
其中,响应措施包括:
对存在逃逸行为的场景虚拟机进行快照保存,也就是当前攻击者的状态、程序、文件、驱动等都被完整地保存,可用于后续的分析使用;该操作可也可用于有逃逸倾向或尝试意图的场合;
对存在逃逸行为的场景虚拟机进行强制断开网络,达到隔离目的;
对存在逃逸行为的场景虚拟机进行强制关机操作;
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景。
综上所述,本发明实施例通过提取场景虚拟机的行为关键特征码,将行为关键特征码提交到蜜罐数据中心;将行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,特征库包括正常特征库和异常特征库;若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应。本发明可灵活应用于大规模的蜜罐场景,同时可按照逃逸规则进行灵活的调配,可最大化实现蜜罐模拟场景的业务价值(欺骗性/诱惑性)。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
实施例2
参见图3,本发明实施例2提供一种蜜罐防逃逸系统,包括:
数据采集模块1,用于提取场景虚拟机的行为关键特征码,将所述行为关键特征码提交到蜜罐数据中心;
偏差数据获取模块2,用于将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据;
偏差数据比对模块3,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;
未知特征分析模块4,用于若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
逃逸规则匹配模块5,用于抽取异常特征的上下文数据及特征码,进行逃逸规则匹配;
逃逸响应模块6,用于若触发指定逃逸规则,进行逃逸行为响应。
本实施例中,所述数据采集模块1中,通过部署在场景虚拟机内的客户端程序提取所述行为关键特征码;客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法;对提取的行为关键特征码信息进行压缩,经过加密隧道上传到蜜罐数据中心。
本实施例中,还包括静默处理模块7,用于若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理。
本实施例中,所述偏差数据获取模块2中,当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报。
本实施例中,所述逃逸规则匹配模块5中,上下文数据包括按照时间序的用户空间,抽取的程序/驱动内容;
抽取的程序内容包括程序进程、调用驱动、创建文件、网络进程、修订注册表/系统文件,及操作系统安全监控事件;
抽取的驱动内容包括使用次数、依赖模块和调用关系;
所述逃逸规则匹配模块5中,逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定。
本实施例中,所述逃逸响应模块6中,通过蜜罐数据中心监控策略的定义,监控策略依赖异常特征库及异常特征库衍生数据,结合场景虚拟机或者控制力度进行配置和管理;
所述逃逸响应模块6中,逃逸行为响应包括:
对存在逃逸行为的场景虚拟机进行快照保存;
对存在逃逸行为的场景虚拟机进行强制断开网络;
对存在逃逸行为的场景虚拟机进行强制关机操作
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景。
需要说明的是,上述系统各模块之间的信息交互、执行过程等内容,由于与本申请实施例1中的方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
实施例3
本发明实施例3提供一种非暂态计算机可读存储介质,所述计算机可读存储介质中存储有蜜罐防逃逸方法的程序代码,所述程序代码包括用于执行实施例1或其任意可能实现方式的蜜罐防逃逸方法的指令。
计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidState Disk、SSD))等。
实施例4
本发明实施例4提供一种电子设备,包括:存储器和处理器;
所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行实施例1或其任意可能实现方式的蜜罐防逃逸方法。
具体的,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于所述处理器之外,独立存在。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (2)
1.一种蜜罐防逃逸方法,其特征在于,包括:
通过部署在场景虚拟机内的客户端程序提取场景虚拟机的行为关键特征码,客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法;对提取的行为关键特征码信息进行压缩,经过加密隧道将所述行为关键特征码提交到蜜罐数据中心;
若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理;
将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;异常特征库指历史提取累积的关于场景虚拟机被攻击者利用的行为特征,和异常特征库比对成功表明场景虚拟机有被攻击者控制的风险;
当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报;
若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
抽取异常特征的上下文数据及特征码,进行逃逸规则匹配,若触发指定逃逸规则,进行逃逸行为响应;上下文数据包括按照时间序的用户空间,抽取的程序/驱动内容;抽取的程序内容包括程序进程、调用驱动、创建文件、网络进程、修订注册表/系统文件,及操作系统安全监控事件;抽取的驱动内容包括使用次数、依赖模块和调用关系;
逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定;
逃逸行为包括:攻击者掌握场景虚拟机的所有权限,尝试建立同网络的场景虚拟机的链接关系,认定为逃逸;场景虚拟机中存在未知驱动记载,并导致系统的监控进程被中断,认为存在虚拟机层面的逃逸;
逃逸行为响应包括:
对存在逃逸行为的场景虚拟机进行快照保存;
对存在逃逸行为的场景虚拟机进行强制断开网络;
对存在逃逸行为的场景虚拟机进行强制关机操作;
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景。
2.一种蜜罐防逃逸系统,采用权利要求1的蜜罐防逃逸方法,其特征在于,包括:
数据采集模块,用于提取场景虚拟机的行为关键特征码,将所述行为关键特征码提交到蜜罐数据中心;
所述数据采集模块中,通过部署在场景虚拟机内的客户端程序提取所述行为关键特征码;客户端程序采用HOOK技术隐蔽运行在场景虚拟机中,并根据蜜罐数据中心下发的配置任务进行行为关键特征码的采集、处理及上报;蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、处理逻辑、上报方式及异常办法;对提取的行为关键特征码信息进行压缩,经过加密隧道上传到蜜罐数据中心;
偏差数据获取模块,用于将所述行为关键特征码和蜜罐数据中心的缓存信息进行比对得到偏差数据;所述偏差数据获取模块中,当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时,根据取样任务要求,在指定的时间段内,获取基于时间序列的所有信息并自动上报;
偏差数据比对模块,将偏差数据和特征库比对,所述特征库包括正常特征库和异常特征库;
未知特征分析模块,用于若存在未知特征,进行未知特征分析,若未知特征被判定为异常特征,则将判定为异常特征的未知特征加入异常特征库;
逃逸规则匹配模块,用于抽取异常特征的上下文数据及特征码,进行逃逸规则匹配;所述逃逸规则匹配模块中,逃逸规则根据异常特征库中的定义情况进行扩展设计,利用逃逸所用程序的组合、关键特征、置信度进行逃逸综合判定;
逃逸响应模块,用于若触发指定逃逸规则,进行逃逸行为响应;
所述逃逸响应模块中,逃逸行为响应包括:
对存在逃逸行为的场景虚拟机进行快照保存;
对存在逃逸行为的场景虚拟机进行强制断开网络;
对存在逃逸行为的场景虚拟机进行强制关机操作;
对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作,重新建立蜜罐场景;
还包括静默处理模块,用于若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心,进入静默状态,按照预设时间进行尝试链接,并根据数据量情况进行清理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210945864.5A CN115086081B (zh) | 2022-08-08 | 2022-08-08 | 一种蜜罐防逃逸方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210945864.5A CN115086081B (zh) | 2022-08-08 | 2022-08-08 | 一种蜜罐防逃逸方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115086081A CN115086081A (zh) | 2022-09-20 |
| CN115086081B true CN115086081B (zh) | 2023-03-24 |
Family
ID=83244806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210945864.5A Active CN115086081B (zh) | 2022-08-08 | 2022-08-08 | 一种蜜罐防逃逸方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115086081B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115757457A (zh) * | 2022-12-09 | 2023-03-07 | 广州富莱星科技有限公司 | 一种数据比对方法、系统、设备及可存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156621A (zh) * | 2016-06-30 | 2016-11-23 | 北京奇虎科技有限公司 | 一种检测虚拟机逃逸的方法及装置 |
| US11165823B2 (en) * | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| CN114707144A (zh) * | 2022-03-24 | 2022-07-05 | 四川邦辰信息科技有限公司 | 虚拟机逃逸行为检测方法及装置 |
| CN114861168A (zh) * | 2022-05-20 | 2022-08-05 | 上海磐御网络科技有限公司 | 一种防逃逸的攻击行为欺骗蜜罐构建方法 |
-
2022
- 2022-08-08 CN CN202210945864.5A patent/CN115086081B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN115086081A (zh) | 2022-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7544738B2 (ja) | ロギングによる機密データの暴露の検出 | |
| US10893068B1 (en) | Ransomware file modification prevention technique | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| CN102160048B (zh) | 收集和分析恶意软件数据 | |
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
| US8925076B2 (en) | Application-specific re-adjustment of computer security settings | |
| CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US11012449B2 (en) | Methods and cloud-based systems for detecting malwares by servers | |
| US20070260880A1 (en) | System and method for the managed security control of processes on a computer system | |
| US20150381638A1 (en) | System and Method for Identifying Unauthorized Activities on a Computer System using a Data Structure Model | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
| US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
| CN109684833B (zh) | 使程序危险行为模式适应用户计算机系统的系统和方法 | |
| US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| CN113055407A (zh) | 一种资产的风险信息确定方法、装置、设备及存储介质 | |
| US12013942B2 (en) | Rootkit detection based on system dump sequence analysis | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| Vigna et al. | Host-based intrusion detection | |
| US11886585B1 (en) | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution | |
| US20230315848A1 (en) | Forensic analysis on consistent system footprints | |
| TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100094 building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee after: Yongxin Zhicheng Technology Group Co.,Ltd. Address before: 100094 building 6, yard 9, FengHao East Road, Haidian District, Beijing Patentee before: BEIJING YONGXIN ZHICHENG TECHNOLOGY CO.,LTD. |