CN115242452B - 一种批量生成高交互蜜罐靶标的策略方法 - Google Patents
一种批量生成高交互蜜罐靶标的策略方法 Download PDFInfo
- Publication number
- CN115242452B CN115242452B CN202210732275.9A CN202210732275A CN115242452B CN 115242452 B CN115242452 B CN 115242452B CN 202210732275 A CN202210732275 A CN 202210732275A CN 115242452 B CN115242452 B CN 115242452B
- Authority
- CN
- China
- Prior art keywords
- targets
- data
- strategy
- honeypot
- interaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及蜜罐领域,具体为一种批量生成高交互蜜罐靶标的策略方法,其包括以下步骤;S1、在真实网络的镜像口进行网络流量采集;S2、对特定应用服务的数据进行过滤和会话重组;S3、解析重组后的数据帧,去除异常数据和空数据帧;S4、对数据会话进行整合排序,对于类似的请求,采用模糊判别的方式提取匹配策略;S5、将生成的匹配策略进行随机数据填充形成靶标,完成特定网络服务的高交互策略。本发明减少了部署构建靶标的时间,实现对高交互靶标的批量生成策略,通过蜜罐和高交互的靶标相结合,从而防止漏掉攻击者的某些攻击过程,且靶标会持续更新,保持其有效性和全面性。
Description
技术领域
本发明涉及蜜罐领域,尤其涉及一种批量生成高交互蜜罐靶标的策略方法。
背景技术
现有的蜜罐系统,为了达到欺骗防御的效果,会故意设定一些漏洞诱饵,便于攻击者攻击。当攻击者利用漏洞诱饵进行攻击时,蜜罐系统会通过流量等方式识别攻击行为。然而,由于现有的蜜罐系统是提前内置好的,难以考虑到所有的业务需求,使得不能完全反映真实的攻击过程,这就需要额外设置一些蜜罐靶标,在请求与靶标匹配时会连接到靶标上,通过将靶标和蜜罐相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,以防止漏掉攻击者的某些攻击过程。但靶标大多通过人为构建的方式来生成,既费时费力,又可能遗漏一些重要的匹配策略,从而遗漏掉攻击者的某些攻击过程,交互度不高。
发明内容
本发明目的是针对背景技术中存在的靶标生成效率低且交互度不高的问题,提出一种批量生成高交互蜜罐靶标的策略方法。
一方面,本发明提出一种批量生成高交互蜜罐靶标的策略方法,包括以下步骤;
S1、在真实网络的镜像口进行网络流量采集,存储为网络流量包文件,该网络流量包文件包含特定应用服务的网络通信过程;
S2、对特定应用服务的数据进行过滤和会话重组;
S3、解析重组后的数据帧,去除异常数据和空数据帧,剩余部分存入数据缓存待二次处理;
S4、对数据会话进行整合排序,对于类似的请求,采用模糊判别的方式提取匹配策略;
S5、将生成的匹配策略进行随机数据填充形成靶标,完成特定网络服务的高交互策略,批量实现高交互蜜罐靶标的策略生成。
优选的,S4中,模糊判别提取到所有的匹配策略后,将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除,保留与现有蜜罐不同的匹配策略。
优选的,S4中,按时间顺序对数据会话进行整合排序,即将相同类型的数据会话进行整合,再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序。
优选的,S4中,按请求数量对数据会话进行整合排序,即将相同类型的数据会话先进行整合,再按照不同类型出现的数据会话的频率进行排序。
优选的,S5中,策略生成时可以根据所需覆盖率或者系统运行情况对匹配策略进行部分提取,例如提取出现次数最多的匹配策略,或者提取出现时间最接近当下时间的一些匹配策略。
优选的,包括步骤S6,S6、定期重复S1-S5,对靶标进行持续更新。
优选的,靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合,人为设定的更新时间间隔为固定值,系统动态调整根据新的请求出现的时间和频率对固定值进行调整。
另一方面,本发明提出一种批量生成高交互蜜罐靶标的策略方法的靶标的生效方法,包括以下步骤:S21、在真实网络的镜像口进行网络流量采集;S22、对采集的流量进行解析,筛选出请求;S23、将请求与蜜罐或者靶标进行匹配;S24、若请求与靶标相匹配,则导通请求输入源与特定靶标之间的网络通信连接;S25、记录请求者在靶标上的行为。
与现有技术相比,本发明具有如下有益的技术效果:通过设置网络镜像口采集所有网络流量,然后根据采集的数据筛选出请求,根据请求提取匹配策略,再进行数据填充,完成靶标的设置,减少了部署构建靶标的时间,实现对高交互靶标的批量生成策略,也减少了物理资源的占用,通过蜜罐和高交互的靶标相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,从而防止漏掉攻击者的某些攻击过程,且靶标会持续更新,保持其有效性和全面性。
附图说明
图1为本发明一种实施例的流程图;
图2为实施例二的流程图;
图3为靶标的生效方法流程图。
具体实施方式
实施例一
如图1-2所示,本发明提出的一种批量生成高交互蜜罐靶标的策略方法,包括以下步骤;
S1、在真实网络的镜像口进行网络流量采集,存储为网络流量包文件,该网络流量包文件包含特定应用服务的网络通信过程;
S2、对特定应用服务的数据进行过滤和会话重组;
S3、解析重组后的数据帧,去除异常数据和空数据帧,剩余部分存入数据缓存待二次处理;
S4、对数据会话进行整合排序,对于类似的请求,采用模糊判别的方式提取匹配策略;模糊判别提取到所有的匹配策略后,将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除,保留与现有蜜罐不同的匹配策略;按时间顺序对数据会话进行整合排序,即将相同类型的数据会话进行整合,再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序,例如,类型一中最近的数据会话早于类型二中最近的数据会话,则类型一排在类型二之前;
S5、将生成的匹配策略进行随机数据填充形成靶标,完成特定网络服务的高交互策略,批量实现高交互蜜罐靶标的策略生成;策略生成时可以根据所需覆盖率或者系统运行情况对匹配策略进行部分提取,例如提取出现次数最多的匹配策略,或者提取出现时间最接近当下时间的一些匹配策略;
S6、定期重复S1-S5,对靶标进行持续更新;靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合,人为设定的更新时间间隔为固定值,系统动态调整根据新的请求出现的时间和频率对固定值进行调整。例如,更新时,数据会话采集后发现出现了较多的新的请求,则缩短下一次更新的时间间隔,若并没有出现新的请求,则保持人为设定的更新时间间隔不变。
本实施例中,通过设置网络镜像口采集所有网络流量,然后根据采集的数据筛选出请求,根据请求提取匹配策略,再进行数据填充,完成靶标的设置,减少了部署构建靶标的时间,实现对高交互靶标的批量生成策略,也减少了物理资源的占用,通过蜜罐和高交互的靶标相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,从而防止漏掉攻击者的某些攻击过程,且靶标会持续更新,保持其有效性和全面性。
实施例二
如图1-2所示,本发明提出的一种批量生成高交互蜜罐靶标的策略方法,包括以下步骤;
S1、在真实网络的镜像口进行网络流量采集,存储为网络流量包文件,该网络流量包文件包含特定应用服务的网络通信过程;
S2、对特定应用服务的数据进行过滤和会话重组;
S3、解析重组后的数据帧,去除异常数据和空数据帧,剩余部分存入数据缓存待二次处理;
S4、对数据会话进行整合排序,对于类似的请求,采用模糊判别的方式提取匹配策略;模糊判别提取到所有的匹配策略后,将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除,保留与现有蜜罐不同的匹配策略;按请求数量对数据会话进行整合排序,即将相同类型的数据会话先进行整合,再按照不同类型出现的数据会话的频率进行排序,例如,类型一中有20个相同的数据会话出现次数,类型二中有15个相同的数据会话出现次数,则类型一排在类型二前面;
S5、将生成的匹配策略进行随机数据填充形成靶标,完成特定网络服务的高交互策略,批量实现高交互蜜罐靶标的策略生成;策略生成时可以根据所需覆盖率或者系统运行情况对匹配策略进行部分提取,例如提取出现次数最多的匹配策略,或者提取出现时间最接近当下时间的一些匹配策略;
S6、定期重复S1-S5,对靶标进行持续更新;靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合,人为设定的更新时间间隔为固定值,系统动态调整根据新的请求出现的时间和频率对固定值进行调整。例如,更新时,数据会话采集后发现出现了较多的新的请求,则缩短下一次更新的时间间隔,若并没有出现新的请求,则保持人为设定的更新时间间隔不变。
本实施例中,通过设置网络镜像口采集所有网络流量,然后根据采集的数据筛选出请求,根据请求提取匹配策略,再进行数据填充,完成靶标的设置,减少了部署构建靶标的时间,实现对高交互靶标的批量生成策略,也减少了物理资源的占用,通过蜜罐和高交互的靶标相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,从而防止漏掉攻击者的某些攻击过程,且靶标会持续更新,保持其有效性和全面性。
实施例三
如图3所示,基于上述一种批量生成高交互蜜罐靶标的策略方法实施例的靶标的生效方法,包括以下步骤:
S21、在真实网络的镜像口进行网络流量采集;
S22、对采集的流量进行解析,筛选出请求;
S23、将请求与蜜罐或者靶标进行匹配;
S24、若请求与靶标相匹配,则导通请求输入源与特定靶标之间的网络通信连接;
S25、记录请求者在靶标上的行为。
本实施例中,通过蜜罐和高交互的靶标相结合,使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求,从而防止漏掉攻击者的某些攻击过程。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于此,在所属技术领域的技术人员所具备的知识范围内,在不脱离本发明宗旨的前提下还可以作出各种变化。
Claims (6)
1.一种批量生成高交互蜜罐靶标的策略方法,其特征在于,包括以下步骤;
S1、在真实网络的镜像口进行网络流量采集,存储为网络流量包文件,该网络流量包文件包含特定应用服务的网络通信过程;
S2、对特定应用服务的数据进行过滤和会话重组;靶标的生效方法包括以下步骤:S21、在真实网络的镜像口进行网络流量采集;S22、对采集的流量进行解析,筛选出请求;S23、将请求与蜜罐或者靶标进行匹配;S24、若请求与靶标相匹配,则导通请求输入源与特定靶标之间的网络通信连接;S25、记录请求者在靶标上的行为;
S3、解析重组后的数据帧,去除异常数据和空数据帧,剩余部分存入数据缓存待二次处理;
S4、对数据会话进行整合排序,对于请求,采用模糊判别的方式提取匹配策略;
S5、将生成的匹配策略进行随机数据填充形成靶标,完成特定网络服务的高交互策略,批量实现高交互蜜罐靶标的策略生成;
S6、定期重复S1-S5,对靶标进行持续更新。
2.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法,其特征在于,S4中,模糊判别提取到所有的匹配策略后,将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除,保留与现有蜜罐不同的匹配策略。
3.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法,其特征在于,S4中,按时间顺序对数据会话进行整合排序,即将相同类型的数据会话进行整合,再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序。
4.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法,其特征在于,S4中,按请求数量对数据会话进行整合排序,即将相同类型的数据会话先进行整合,再按照不同类型出现的数据会话的频率进行排序。
5.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法,其特征在于,S5中,策略生成时根据所需覆盖率或者系统运行情况对匹配策略进行部分提取。
6.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法,其特征在于,靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合,人为设定的更新时间间隔为固定值,系统动态调整根据新的请求出现的时间和频率对固定值进行调整。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210732275.9A CN115242452B (zh) | 2022-06-27 | 2022-06-27 | 一种批量生成高交互蜜罐靶标的策略方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210732275.9A CN115242452B (zh) | 2022-06-27 | 2022-06-27 | 一种批量生成高交互蜜罐靶标的策略方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115242452A CN115242452A (zh) | 2022-10-25 |
| CN115242452B true CN115242452B (zh) | 2023-07-04 |
Family
ID=83668936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210732275.9A Active CN115242452B (zh) | 2022-06-27 | 2022-06-27 | 一种批量生成高交互蜜罐靶标的策略方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242452B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115604207B (zh) * | 2022-12-12 | 2023-03-10 | 成都数默科技有限公司 | 一种面向会话的网络流量存储及索引方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN114285626A (zh) * | 2021-12-21 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐攻击链构建方法及蜜罐系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11050787B1 (en) * | 2017-09-01 | 2021-06-29 | Amazon Technologies, Inc. | Adaptive configuration and deployment of honeypots in virtual networks |
| CN109347830B (zh) * | 2018-10-23 | 2021-04-20 | 中国人民解放军战略支援部队信息工程大学 | 一种网络动态防御系统及方法 |
| CN111224963A (zh) * | 2019-12-30 | 2020-06-02 | 北京安码科技有限公司 | 网络靶场任务复盘方法、系统、电子设备及存储介质 |
| CN111404935B (zh) * | 2020-03-16 | 2020-12-04 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜罐服务端口自适应应用方法及系统 |
| CN111431881B (zh) * | 2020-03-18 | 2020-11-20 | 广州锦行网络科技有限公司 | 一种基于windows操作系统的诱捕节点实现方法及装置 |
| CN111818062A (zh) * | 2020-07-10 | 2020-10-23 | 四川长虹电器股份有限公司 | 基于Docker的CentOS高交互蜜罐系统及其实现方法 |
| CN112751863B (zh) * | 2020-12-30 | 2022-07-22 | 绿盟科技集团股份有限公司 | 一种攻击行为分析方法及装置 |
| CN113794677B (zh) * | 2021-07-28 | 2022-06-17 | 北京永信至诚科技股份有限公司 | 一种高交互蜜罐的控制方法、装置及系统 |
| CN114338423A (zh) * | 2021-12-30 | 2022-04-12 | 贵州国卫信安科技有限公司 | 一种持续迭代的自动化网络靶标构建技术 |
-
2022
- 2022-06-27 CN CN202210732275.9A patent/CN115242452B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN114285626A (zh) * | 2021-12-21 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐攻击链构建方法及蜜罐系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115242452A (zh) | 2022-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011982B (zh) | 一种基于虚拟化的攻击智能诱骗系统与方法 | |
| US7266845B2 (en) | Maintaining virus detection software | |
| CN115242452B (zh) | 一种批量生成高交互蜜罐靶标的策略方法 | |
| CN111343208B (zh) | 基于区块链的数据检测方法、装置及计算机可读存储介质 | |
| CN102811162B (zh) | 用于有效率的网络流数据分析的方法和装置 | |
| CN107222491B (zh) | 一种基于工业控制网络变种攻击的入侵检测规则创建方法 | |
| CN102801738B (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
| CN112491823A (zh) | 基于区块链的DDoS攻击联合防御系统及方法 | |
| CN109587167B (zh) | 一种报文处理的方法和装置 | |
| JP2019506102A (ja) | グローバルルーティングハイジャックを発見するための方法および装置 | |
| CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
| CN107800668B (zh) | 一种分布式拒绝服务攻击防御方法、装置及系统 | |
| CN104660582A (zh) | DDoS识别、防护和路径优化的软件定义的网络架构 | |
| WO2017041656A1 (zh) | 一种流量处理方法、设备和系统 | |
| CN104539595A (zh) | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 | |
| CN112040501A (zh) | 移动网络质量的检测预警方法、装置、设备及存储介质 | |
| CN106936799A (zh) | 报文清洗方法及装置 | |
| CN111541704A (zh) | 区块链与物联网联合防恶意攻击的方法、设备及存储设备 | |
| CN106357666A (zh) | 一种syn flood攻击的清洗方法及系统 | |
| CN115208678B (zh) | 一种智能网络安全防护方法、系统、设备及介质 | |
| CN110222962A (zh) | 用于金融业务风险控制的数据配置方法及装置 | |
| CN113727348B (zh) | 用户设备ue用户数据的检测方法、设备、系统及存储介质 | |
| Liu et al. | Augmenting telephone spam blacklists by mining large cdr datasets | |
| CN113538071B (zh) | 一种提升风控策略效果的方法及装置 | |
| CN115037781A (zh) | 设备连接方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |