CN115134098A - 一种黑客信息获取方法、装置、电子设备及存储介质 - Google Patents
一种黑客信息获取方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115134098A CN115134098A CN202110272270.8A CN202110272270A CN115134098A CN 115134098 A CN115134098 A CN 115134098A CN 202110272270 A CN202110272270 A CN 202110272270A CN 115134098 A CN115134098 A CN 115134098A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- hacker
- access request
- information
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000012544 monitoring process Methods 0.000 claims abstract description 21
- 238000004088 simulation Methods 0.000 claims abstract description 21
- 230000015654 memory Effects 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 8
- 235000012907 honey Nutrition 0.000 description 7
- 230000001939 inductive effect Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例适用于网络安全技术领域,提供了一种黑客信息获取方法、装置、电子设备及存储介质,其中,黑客信息获取方法包括:监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种黑客信息获取方法、装置、电子设备及存储介质。
背景技术
相关技术中,企业从网络安全公司或安全网站获取黑客情报信息,例如黑客的互联网协议(IP,InternetProtocolAddress)地址,企业通过屏蔽黑客IP地址等手段进行网络安全防御。网络安全公司或安全网站提供的黑客信息是从全网搜集得到的,黑客信息数量多但是没有针对性,无法准确区分哪些黑客信息是针对哪个企业的。
发明内容
为了解决上述问题,本发明实施例提供了一种黑客信息获取方法、装置、电子设备及存储介质,以至少解决相关技术无法准确区分哪些黑客信息是针对哪个企业的问题。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种黑客信息获取方法,该方法包括:
监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;
从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
上述方案中,所述方法还包括:
创建至少一个第一蜜罐和至少一个第二蜜罐。
上述方案中,所述方法还包括:
将所述至少一个第一蜜罐对应的业务信息发布至至少一个信息源,以使黑客基于所述信息源得到所述业务信息,并基于所述业务信息访问第一蜜罐。
上述方案中,所述黑客信息包括黑客的互联网协议IP地址,所述从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息,包括:
从所述第一访问请求中获取黑客的代理IP地址;和/或,
从所述第二访问请求中获取黑客的真实IP地址。
上述方案中,在从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息时,所述方法包括:
在从所述第一访问请求中获取的第一IP地址存储于设定数据库的情况下,拒绝所述第一访问请求,并向所述第一IP地址发送第一信息;所述第一信息用于提示所述黑客更换IP地址;
在从所述第一访问请求中获取的第一IP地址未存储于设定数据库的情况下,允许所述第一访问请求,并将所述第一IP地址写入所述设定数据库。
上述方案中,在允许所述第一访问请求时,所述方法包括:
监听第二蜜罐中与第一访问请求中请求访问的第一蜜罐对接的访问接口,确定是否监听到第二访问请求。
上述方案中,所述创建所述至少一个第一蜜罐和所述至少一个第二蜜罐,包括:
基于所述发布方在广域网中发布的全球广域网业务和/或所述发布方在广域网中部署的服务器,创建所述至少一个第一蜜罐;所述至少一个第一蜜罐的域名为所述发布方对应的二级域名;
基于所述发布方在所述局域网中部署的业务服务器、数据库和系统服务,创建所述至少一个第二蜜罐;所述至少一个第二蜜罐配置有所述局域网的IP地址。
第二方面,本发明实施例提供了一种黑客信息获取装置,该装置包括:
监听模块,用于监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;
获取模块,用于从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
第三方面,本发明实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本发明实施例第一方面提供的黑客信息获取方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的黑客信息获取方法的步骤。
本发明实施例通过监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求,从第一访问请求和/或第二访问请求中获取黑客的黑客信息。其中,第一蜜罐仿真发布方发布在广域网的业务,第二蜜罐仿真发布方发布在局域网的业务,第一蜜罐提供有访问第二蜜罐的接口。由于第一蜜罐和第二蜜罐是与发布方相关联的,因此获取到的黑客信息具有针对性,是针对该发布方的黑客信息。并且通过第一蜜罐和第二蜜罐可以获取到更加全面的黑客信息。
附图说明
图1是本发明实施例提供的一种黑客信息获取方法的实现流程示意图;
图2是本发明实施例提供的另一种黑客信息获取方法的实现流程示意图;
图3是本发明应用实施例提供的一种黑客信息获取流程的示意图;
图4是本发明应用实施例提供的一种黑客信息获取流程的示意图;
图5是本发明实施例提供的一种黑客信息获取装置的示意图;
图6是本发明一实施例提供的电子设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明实施例提供的一种黑客信息获取方法的实现流程示意图,所述黑客信息获取方法的执行主体为电子设备,电子设备可以为台式电脑、笔记本电脑、服务器等。参考图1,黑客信息获取方法包括:
S101,监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口。
在本发明实施例中,通过至少一个第一蜜罐和至少一个第二蜜罐来采集黑客信息。这里,黑客信息包括互联网协议地址(IP,Internet ProtocolAddress),比如黑客的代理IP地址和真实IP地址。
蜜罐是一种虚拟系统,蜜罐相当于一种情报收集系统,通过蜜罐仿真企业的真实业务和系统,用来当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,收集黑客所用的工具和信息,进而巩固自己的防御系统。
这里,发布方主要指企业,第一蜜罐仿真企业发布在广域网的业务,第二蜜罐仿真企业发布在局域网的业务。通过蜜罐采集黑客信息,相比威胁情报,蜜罐采集的信息更加有针对性,是针对该企业的黑客信息。
在一实施例中,所述方法包括:
创建至少一个第一蜜罐和至少一个第二蜜罐。
其中,所述创建所述至少一个第一蜜罐和所述至少一个第二蜜罐,包括:
基于所述发布方在广域网中发布的全球广域网业务和/或所述发布方在广域网中部署的服务器,创建所述至少一个第一蜜罐;所述至少一个第一蜜罐的域名为所述发布方对应的二级域名。
至少一个第一蜜罐对应发布方在广域网中的全部业务,比如,创建一个第一蜜罐用来仿真发布方在广域网中发布的全球广域网(WEB,WorldWideWeb)业务,一个第一蜜罐仿真发布方在广域网中部署的服务器,比如邮件服务器。这里,第一蜜罐的前端页面需要与发布方的网址页面类似,第一蜜罐的域名需要与发布方使用相同的二级域名,第一蜜罐的IP也在发布方的IP段,从而增加可信度。网络方面,局域网与广域网互通,第一蜜罐与广域网互通,第一蜜罐与对应的第二蜜罐互通。
基于所述发布方在所述局域网中部署的业务服务器、数据库和系统服务,创建所述至少一个第二蜜罐;所述至少一个第二蜜罐配置有所述局域网的IP地址。
至少一个第二蜜罐对应发布方在局域网中的全部业务,比如,创建一个第二蜜罐仿真发布方在局域网中部署的业务服务器,一个第二蜜罐仿真发布方在局域网中部署的数据库和系统服务。第二蜜罐需要使用局域网IP,第二蜜罐需要部署发布方常用的局域网应用,如confluence、jenkins等。在一实施例中,第二蜜罐只能单向访问广域网。
其中,对于仿真具有交互性业务的第一蜜罐或第二蜜罐可以使用高交互蜜罐或低交互蜜罐。高交互蜜罐通常基于真实的应用环境来构建,能提供真实的服务。高交互蜜罐可用来获取大量的信息,能够捕获攻击者多种操作行为,从而具备发现新的攻击方式和漏洞利用方法的能力。由于高交互蜜罐给攻击者提供了一个相对真实的应用环境,因此风险较大,通常会注重数据控制方面的功能。低交互蜜罐通常只提供少量的交互功能,低交互蜜罐在特定端口监听连接并记录数据包,可以用来实现端口扫描和暴力破解的检测。低交互蜜罐结构简单,易于安装部署,由于模拟程度低功能较少,收集信息有限但风险也较低。
在一实施例中,所述方法还包括:
将所述至少一个第一蜜罐对应的业务信息发布至至少一个信息源,以使黑客基于所述信息源得到所述业务信息,并基于所述业务信息访问第一蜜罐。
这里,业务信息包括至少一个第一蜜罐的域名、IP地址、账号密码等信息。信息源指黑客可以获取到业务信息的地方,比如博客或自建网站等能够被搜索引擎检索到的地方、Github等代码托管平台的公开库、通讯工具的网络安全聊天群等。黑客可以通过这些途径获取发布方的业务信息,因为这些业务信息携带有发布方相关的名称、域名、密钥等独有的标签信息,以使黑客能够将信息关联到发布方。
通过将至少一个第一蜜罐对应的业务信息发布至至少一个信息源,既可以增加黑客的可信度,又能让业务信息被尽可能多的黑客发现,从而使得更多的黑客访问至少一个第一蜜罐,获取到更多的黑客信息。而且业务信息是与发布方关联的,获取到的黑客信息具有针对性,是针对该发布方的黑客信息。
在第一蜜罐和第二蜜罐上故意配置已知的漏洞,以便为黑客制定更具诱惑力或明显的目标,引诱黑客攻击蜜罐,从而获取黑客的黑客信息。
S102,从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
这里,如果黑客仅访问了第一蜜罐,则根据第一访问请求获取黑客的黑客信息。如果黑客在访问第一蜜罐后,又访问了第二蜜罐,则根据第一访问请求和第二访问请求获取黑客的黑客信息。
在一实施例中,黑客信息包括黑客的IP地址,所述从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息,包括:
从所述第一访问请求中获取黑客的代理IP地址;和/或,
从所述第二访问请求中获取黑客的真实IP地址。
黑客为了不被发现,通常用代理、VPN软件等来隐藏自己的IP地址,黑客在访问第一蜜罐时,第一蜜罐记录的IP地址通常是黑客使用的代理IP地址,不是黑客真实的IP地址。而第二蜜罐记录的远控端IP地址是真实IP地址,通常是黑客购买的服务器的IP地址。因此,第二蜜罐记录的IP地址价值更高。
参考图2,在一实施例中,在从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息时,所述方法包括:
S201,在从所述第一访问请求中获取的第一IP地址存储于设定数据库的情况下,拒绝所述第一访问请求,并向所述第一IP地址发送第一信息;所述第一信息用于提示所述黑客更换IP地址。
这里,设定数据库中存储有黑客的IP地址,这些IP地址可以是历史获取的,或者是已知黑客的IP地址。
从第一访问请求中获取第一IP地址,如果第一IP地址存储于设定数据库的情况下,说明该IP地址已经访问过第一蜜罐了,拒接第一访问请求,并向第一IP地址发送第一信息,第一信息用于提示所述黑客更换IP地址。第一信息的内容可以是“此IP地址已被屏蔽,请更换IP地址”,从而诱导黑客更换新的IP地址进行访问。
通过屏蔽已收录的IP地址和话术诱导的方式,使得黑客更换IP地址访问第一蜜罐,可以尽量挖掘出黑客手中的IP地址,使得获取的黑客信息更加全面。
S202,在从所述第一访问请求中获取的第一IP地址未存储于设定数据库的情况下,允许所述第一访问请求,并将所述第一IP地址写入所述设定数据库。
如果第一IP地址未存储于设定数据库,说明IP地址是首次访问第一蜜罐,允许第一访问请求,并将第一IP地址写入设定数据库。写入设定数据库的目的是该IP地址在下次访问第一蜜罐时,执行S201步骤,拒绝该IP地址访问,并发送第一信息诱导黑客更换新IP地址访问第一蜜罐,从而获取黑客更多的IP地址。
允许第一访问请求是为了更进一步获取黑客的黑客信息,在一实施例中,在允许所述第一访问请求时,所述方法包括:
监听第二蜜罐中与第一访问请求中请求访问的第一蜜罐对接的访问接口,确定是否监听到第二访问请求。
如果第一访问请求访问的第一蜜罐具有与之对接的第二蜜罐,则监听第二蜜罐中与第一访问请求中请求访问的第一蜜罐对接的访问接口,看是否有第二访问请求从第一蜜罐的访问接口进入对接的第二蜜罐。
如果监听到第二访问请求,则从第二访问请求中获取黑客信息,主要是获取黑客的真实IP地址。
对于首次访问的IP地址,本发明实施例通过第二蜜罐进一步挖掘用户的真实IP地址。对于不是首次访问的IP地址,通过拒绝访问请求和话术诱导的方式,使得黑客更换新的IP地址访问第一蜜罐,可以尽量挖掘出黑客手中的IP地址。
本发明实施例通过监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求,从第一访问请求和/或第二访问请求中获取黑客的黑客信息。其中,第一蜜罐仿真发布方发布在广域网的业务,第二蜜罐仿真发布方发布在局域网的业务,第一蜜罐提供有访问第二蜜罐的接口。由于第一蜜罐和第二蜜罐是与发布方相关联的,因此获取到的黑客信息具有针对性,是针对该发布方的黑客信息。并且通过第一蜜罐和第二蜜罐可以获取到更加全面的黑客信息。
参考图3,图3是本发明应用实施例提供的一种黑客信息获取流程的示意图。首先通过蜜罐仿真企业的公网业务,公网即为广域网。通过公网高交互蜜罐模拟企业部署在公网的业务服务器,通过公网蜜罐模拟暴露公网的服务器,通过公网蜜罐模拟企业的邮件服务器。公网蜜罐的域名需要与企业使用相同的二级域名,IP也在企业的IP段,公网高交互蜜罐的前端页面需要与企业网址页面类似,从而增加可信度。网络方面,公网蜜罐与因特网互通,公网蜜罐与内网蜜罐互通。
通过蜜罐仿真企业的内网业务,内网即为局域网。通过内网高交互蜜罐模拟企业在内网部署的业务服务器,通过内网蜜罐模拟企业的数据库和系统服务。内网蜜罐需要使用局域网IP,内网高交互蜜罐需要部署常用的内网应用,如confluence、jenkins等。网络方面,内网蜜罐只能单向访问因特网。
然后,将仿真公网业务的信息发布到黑客常用信息搜集源,比如将仿真公网业务的域名、IP地址、账密等信息发布到因特网上,比如发布到博客或自建网站等能够被搜索引擎检索到的地方、Github等代码托管平台的公开库、通讯工具的网络安全聊天群等,以供黑客进行信息搜集发现。这些信息需要带有企业相关的名称、域名、密钥等独有的标签信息,以便黑客能够将信息关联到企业。通过公网蜜罐的业务信息发布至黑客常用信息搜集源,既可以增加黑客的可信度,又能让业务信息被尽可能多的黑客发现,从而使得更多的黑客访问公网蜜罐,以获取到更多的黑客信息。而且业务信息是与企业关联的,获取到的黑客信息具有针对性,是针对该企业的黑客信息。
参考图4,图4是本发明应用实施例提供的一种黑客信息获取流程的示意图。黑客信息获取流程包括:
S401,构建公网蜜罐。
这里,构建至少一个公网蜜罐,公网即为广域网。比如,通过公网高交互蜜罐模拟企业部署在公网的业务服务器,通过公网蜜罐模拟暴露公网的服务器,通过公网蜜罐模拟企业的邮件服务器。公网蜜罐的域名需要与企业使用相同的二级域名,IP也在企业的IP段,公网高交互蜜罐的前端页面需要与企业网址页面类似,从而增加可信度。网络方面,公网蜜罐与因特网互通,公网蜜罐与内网蜜罐互通。
S402,构建内网蜜罐。
构建至少一个内网蜜罐,内网即为局域网。比如,通过内网高交互蜜罐模拟企业在内网部署的业务服务器,通过内网蜜罐模拟企业的数据库和系统服务。内网蜜罐需要使用局域网IP,内网高交互蜜罐需要部署常用的内网应用,如confluence、jenkins等。网络方面,内网蜜罐只能单向访问因特网。
S403,将公网蜜罐的信息发布至黑客常用信息搜集源。
然后,将仿真公网业务的信息发布到黑客常用信息搜集源,比如将仿真公网业务的域名、IP地址、账密等信息发布到因特网上,比如发布到博客或自建网站等能够被搜索引擎检索到的地方、Github等代码托管平台的公开库、通讯工具的网络安全聊天群等,以供黑客进行信息搜集发现。这些信息需要带有企业相关的名称、域名、密钥等独有的标签信息,以便黑客能够将信息关联到企业。
S404,在公网蜜罐上放开部分漏洞,诱导黑客攻入,记录IP地址等黑客信息。
例如,在公网高交互蜜罐上放开部门web漏洞,诱导黑客攻入,记录连接的IP地址。
S405,判断是否为新IP地址访问。
判断公网蜜罐获取的IP地址是否是第一次访问,可以通过判断该IP地址是否存储在设定数据库中来判断是否是第一次访问。
是则执行S406,不是则执行S407。
S406,在内网蜜罐上放开部分漏洞,诱导黑客攻入,记录黑客的IP地址等黑客信息。
如果是首次访问,则允许访问公网蜜罐,并将IP地址写入设定数据库。
在内网蜜罐上放开部分漏洞,诱导黑客攻入,记录黑客的IP地址等黑客信息。
黑客为了不被发现,通常用代理、VPN软件等来隐藏自己的IP地址,黑客在访问公网蜜罐时,公网蜜罐记录的IP地址通常是黑客使用的代理IP地址,不是黑客真实的IP地址。而内网蜜罐记录的远控端IP地址是真实IP地址,通常是黑客购买的服务器的IP地址。因此,内网蜜罐记录的IP地址价值更高。
S407,将该IP地址进行屏蔽,并提示黑客更换IP地址。
如果该IP地址不是首次访问公网蜜罐,则拒绝该IP地址访问公网蜜罐,并向黑客发送第一信息,提示黑客更换新IP地址访问公网蜜罐。
通过公网蜜罐的业务信息发布至黑客常用信息搜集源,既可以增加黑客的可信度,又能让业务信息被尽可能多的黑客发现,从而使得更多的黑客访问公网蜜罐,以获取到更多的黑客信息。而且业务信息是与企业关联的,获取到的黑客信息具有针对性,是针对该企业的黑客信息。对于首次访问公网蜜罐的IP地址,本发明应用实施例通过内网蜜罐进一步挖掘用户的真实IP地址。对于不是首次访问公网蜜罐的IP地址,通过拒绝访问请求和话术诱导的方式,诱导黑客更换新的IP地址访问第一蜜罐,以此尽量挖掘出黑客手中的IP地址。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本发明实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
参考图5,图5是本发明实施例提供的一种黑客信息获取装置的示意图,如图5所示,该装置包括:监听模块和获取模块。
监听模块,用于监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;
获取模块,用于从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
所述装置还包括:
创建模块,用于创建至少一个第一蜜罐和至少一个第二蜜罐。
所述装置还包括:
发布模块,用于将所述至少一个第一蜜罐对应的业务信息发布至至少一个信息源,以使黑客基于所述信息源得到所述业务信息,并基于所述业务信息访问第一蜜罐。
所述黑客信息包括黑客的互联网协议IP地址,所述获取模块用于:
从所述第一访问请求中获取黑客的代理IP地址;和/或,
从所述第二访问请求中获取黑客的真实IP地址。
所述装置包括:
发送模块,用于在从所述第一访问请求中获取的第一IP地址存储于设定数据库的情况下,拒绝所述第一访问请求,并向所述第一IP地址发送第一信息;所述第一信息用于提示所述黑客更换IP地址;
写入模块,用于在从所述第一访问请求中获取的第一IP地址未存储于设定数据库的情况下,允许所述第一访问请求,并将所述第一IP地址写入所述设定数据库。
所述监听模块还用于:
监听第二蜜罐中与第一访问请求中请求访问的第一蜜罐对接的访问接口,确定是否监听到第二访问请求。
所述创建模块具体用于:
基于所述发布方在广域网中发布的全球广域网业务和/或所述发布方在广域网中部署的服务器,创建所述至少一个第一蜜罐;所述至少一个第一蜜罐的域名为所述发布方对应的二级域名;
基于所述发布方在所述局域网中部署的业务服务器、数据库和系统服务,创建所述至少一个第二蜜罐;所述至少一个第二蜜罐配置有所述局域网的IP地址。
实际应用时,所述监听模块和获取模块可通过电子设备中的处理器,比如中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,MicrocontrollerUnit)或可编程门阵列(FPGA,Field-Programmable GateArray)等实现。
需要说明的是:上述实施例提供的黑客信息获取装置在进行黑客信息获取时,仅以上述各模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的模块完成,即将装置的内部结构划分成不同的模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的黑客信息获取装置与黑客信息获取方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备。图6为本申请实施例电子设备的硬件组成结构示意图,如图6所示,电子设备包括:
通信接口,能够与其它设备比如网络设备等进行信息交互;
处理器,与所述通信接口连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。
当然,实际应用时,电子设备中的各个组件通过总线系统耦合在一起。可理解,总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线系统。
本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static RandomAccess Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的程序,结合其硬件完成前述方法的步骤。
可选地,所述处理器执行所述程序时实现本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器,上述计算机程序可由电子设备的处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、电子设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本申请实例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种黑客信息获取方法,其特征在于,所述方法包括:
监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;
从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
创建至少一个第一蜜罐和至少一个第二蜜罐。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
将所述至少一个第一蜜罐对应的业务信息发布至至少一个信息源,以使黑客基于所述信息源得到所述业务信息,并基于所述业务信息访问第一蜜罐。
4.根据权利要求1所述的方法,其特征在于,所述黑客信息包括黑客的互联网协议IP地址,所述从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息,包括:
从所述第一访问请求中获取黑客的代理IP地址;和/或,
从所述第二访问请求中获取黑客的真实IP地址。
5.根据权利要求4所述的方法,其特征在于,在从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息时,所述方法包括:
在从所述第一访问请求中获取的第一IP地址存储于设定数据库的情况下,拒绝所述第一访问请求,并向所述第一IP地址发送第一信息;所述第一信息用于提示所述黑客更换IP地址;
在从所述第一访问请求中获取的第一IP地址未存储于设定数据库的情况下,允许所述第一访问请求,并将所述第一IP地址写入所述设定数据库。
6.根据权利要求5所述的方法,其特征在于,在允许所述第一访问请求时,所述方法包括:
监听第二蜜罐中与第一访问请求中请求访问的第一蜜罐对接的访问接口,确定是否监听到第二访问请求。
7.根据权利要求2所述的方法,其特征在于,所述创建所述至少一个第一蜜罐和所述至少一个第二蜜罐,包括:
基于所述发布方在广域网中发布的全球广域网业务和/或所述发布方在广域网中部署的服务器,创建所述至少一个第一蜜罐;所述至少一个第一蜜罐的域名为所述发布方对应的二级域名;
基于所述发布方在所述局域网中部署的业务服务器、数据库和系统服务,创建所述至少一个第二蜜罐;所述至少一个第二蜜罐配置有所述局域网的IP地址。
8.一种黑客信息获取装置,其特征在于,包括:
监听模块,用于监听用于访问第一蜜罐的第一访问请求和用于访问第二蜜罐的第二访问请求;其中,第一蜜罐仿真发布方发布在广域网的业务;第二蜜罐仿真所述发布方发布在局域网的业务;第一蜜罐提供有访问第二蜜罐的接口;
获取模块,用于从所述第一访问请求和/或所述第二访问请求中获取黑客的黑客信息。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的黑客信息获取方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的黑客信息获取方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272270.8A CN115134098B (zh) | 2021-03-12 | 2021-03-12 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110272270.8A CN115134098B (zh) | 2021-03-12 | 2021-03-12 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115134098A true CN115134098A (zh) | 2022-09-30 |
| CN115134098B CN115134098B (zh) | 2024-03-01 |
Family
ID=83373786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110272270.8A Active CN115134098B (zh) | 2021-03-12 | 2021-03-12 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115134098B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028463A1 (en) * | 2005-10-27 | 2008-01-31 | Damballa, Inc. | Method and system for detecting and responding to attacking networks |
| US20150121529A1 (en) * | 2012-09-28 | 2015-04-30 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN109150848A (zh) * | 2018-07-27 | 2019-01-04 | 众安信息技术服务有限公司 | 一种基于Nginx的蜜罐的实现方法及系统 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110995640A (zh) * | 2019-09-19 | 2020-04-10 | 中国银联股份有限公司 | 识别网络攻击的方法及蜜罐防护系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111343174A (zh) * | 2020-02-22 | 2020-06-26 | 上海观安信息技术股份有限公司 | 一种智能学习式自应答工业互联网蜜罐诱导方法及系统 |
| CN112073371A (zh) * | 2020-07-30 | 2020-12-11 | 中国人民解放军战略支援部队信息工程大学 | 一种针对弱监管路由设备的恶意行为检测方法 |
| CN112383538A (zh) * | 2020-11-11 | 2021-02-19 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
-
2021
- 2021-03-12 CN CN202110272270.8A patent/CN115134098B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080028463A1 (en) * | 2005-10-27 | 2008-01-31 | Damballa, Inc. | Method and system for detecting and responding to attacking networks |
| US20150121529A1 (en) * | 2012-09-28 | 2015-04-30 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN109150848A (zh) * | 2018-07-27 | 2019-01-04 | 众安信息技术服务有限公司 | 一种基于Nginx的蜜罐的实现方法及系统 |
| CN110099040A (zh) * | 2019-03-01 | 2019-08-06 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
| CN110995640A (zh) * | 2019-09-19 | 2020-04-10 | 中国银联股份有限公司 | 识别网络攻击的方法及蜜罐防护系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111343174A (zh) * | 2020-02-22 | 2020-06-26 | 上海观安信息技术股份有限公司 | 一种智能学习式自应答工业互联网蜜罐诱导方法及系统 |
| CN112073371A (zh) * | 2020-07-30 | 2020-12-11 | 中国人民解放军战略支援部队信息工程大学 | 一种针对弱监管路由设备的恶意行为检测方法 |
| CN112383538A (zh) * | 2020-11-11 | 2021-02-19 | 西安热工研究院有限公司 | 一种混合式高交互工业蜜罐系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 李莉;常秉;: "蜜罐信息采集技术研究", 网络安全技术与应用, no. 05 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115134098B (zh) | 2024-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jo et al. | Digital forensic practices and methodologies for AI speaker ecosystems | |
| US8789171B2 (en) | Mining user behavior data for IP address space intelligence | |
| US10491621B2 (en) | Website security tracking across a network | |
| CN110620753A (zh) | 反击对用户的计算设备的攻击的系统和方法 | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| US8281394B2 (en) | Phishing notification service | |
| US10440050B1 (en) | Identifying sensitive data on computer networks | |
| Lazarov et al. | Honey sheets: What happens to leaked google spreadsheets? | |
| WO2009032379A1 (en) | Methods and systems for providing trap-based defenses | |
| US11509691B2 (en) | Protecting from directory enumeration using honeypot pages within a network directory | |
| CN104239798B (zh) | 移动办公系统及其杀毒方法和系统中的移动端、服务器端 | |
| CN112242974A (zh) | 基于行为的攻击检测方法、装置、计算设备及存储介质 | |
| Djap et al. | Xb-pot: Revealing honeypot-based attacker’s behaviors | |
| Easttom | Digital forensics, investigation, and response | |
| Kim et al. | A study on the digital forensic investigation method of clever malware in IoT devices | |
| CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
| Pitropakis et al. | If you want to know about a hunter, study his prey: detection of network based attacks on KVM based cloud environments | |
| CN115001789B (zh) | 一种失陷设备检测方法、装置、设备及介质 | |
| CN115134098B (zh) | 一种黑客信息获取方法、装置、电子设备及存储介质 | |
| Massoud | Threat Simulations of Cloud-Native Telecom Applications | |
| KR20150069182A (ko) | 서버를 이용한 모바일 포렌식 무결성입증 및 증거관리 방법 | |
| Amer et al. | Android forensics tools and security mechanism: survey paper | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| Miramirkhani | Methodologies and tools to study malicious ecosystems | |
| Chien et al. | the Nitro attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |