CN115242541A - 一种基于蜜罐的网络攻击响应方法、装置及存储介质 - Google Patents
一种基于蜜罐的网络攻击响应方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115242541A CN115242541A CN202210929013.1A CN202210929013A CN115242541A CN 115242541 A CN115242541 A CN 115242541A CN 202210929013 A CN202210929013 A CN 202210929013A CN 115242541 A CN115242541 A CN 115242541A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attack
- stage
- network
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于蜜罐的网络攻击响应方法、装置及存储介质,属于工控系统领域,所述方法包括:对工控网络中的流量进行检测;响应于检测到的异常流量,确定所述异常流量对应的攻击阶段;执行对应所述攻击阶段的响应策略,将所述异常流量导入目标蜜罐。根据异常流量对应的攻击阶段,采取不同的响应策略,以使得能够更细粒度地针对不同攻击利用不同类型的蜜罐进行响应,有效地延长了攻击时间,延缓了攻击进度,有效地保证了工控网络的网络安全性能。
Description
技术领域
本发明涉及工控系统领域,具体地,涉及一种基于蜜罐的网络攻击响应方法、装置及存储介质。
背景技术
在工控系统中,针对工控网络的攻击的不同阶段,蜜罐面临的威胁程度是不同的,也将捕获不同数量和质量的攻击。然而,在现有相关技术中,工控网络在面临不同阶段的攻击时,往往不会对这些攻击进行区分,而是统一对待,导致蜜罐利用率不高,捕获攻击数据少,不仅导致工控网络的网络安全性能较低,还会导致工作人员的对工控网络的安全分析研究带来很大难度与阻碍。
发明内容
提供该发明内容部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
根据本发明第一方面,提供一种基于蜜罐的网络攻击响应方法,所述方法包括:
对工控网络中的流量进行检测;
响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
可选地,所述方法包括:
获取所述工控网络中各个工控设备存在的漏洞信息;
根据所述漏洞信息,建立攻击图;
所述确定所述异常流量对应的攻击阶段包括:
根据所述攻击图,确定所述异常流量对应的攻击阶段。
可选地,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络探测阶段的情况下,确定所述异常流量是否对应所述网络探测阶段下的端口扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的端口扫描子阶段的情况下,将所述异常流量导入低交互蜜罐,以使得所述低交互蜜罐随机生成端口信息返回。
可选地,所述执行对应所述攻击阶段的响应策略还包括:
在确定所述异常流量不对应所述网络探测阶段下的端口扫描子阶段的情况下,确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段的情况下,生成虚假网络拓扑。
可选地,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下,确定所述异常流量对应的协议类型;
根据所述协议类型,将所述异常流量导入对应所述协议类型的中交互蜜罐。
可选地,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络攻击阶段的情况下,将所述异常流量导入对应高交互蜜罐,以使得所述高交互蜜罐捕获攻击数据。
可选地,所述将所述异常流量导入目标蜜罐之前,所述方法还包括:
确定所述目标蜜罐是否存在;
在确定所述目标蜜罐不存在的情况下,确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐;
在确定所述目标蜜罐为低交互蜜罐的情况下,创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息;
在确定所述目标蜜罐为中交互蜜罐的情况下,根据所述异常流量对应的协议类型创建目标中交互蜜罐。
根据本发明第二方面,提供一种基于蜜罐的网络攻击响应装置,所述装置包括:
检测模块,用于对工控网络中的流量进行检测;
确定模块,用于响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
响应模块,用于执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
根据本发明第三方面,提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现本发明提供的第一方面中任一项所述方法的步骤。
根据本发明第四方面,提供一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现本发明提供的第一方面中任一项所述方法的步骤。
通过上述技术方案,通过检测工控网络中的异常流量,并根据异常流量对应的攻击阶段,不同的攻击阶段采取不同的响应策略,以使得能够更细粒度地针对不同攻击利用不同类型的蜜罐进行响应,有效地延长了攻击时间,延缓了攻击进度,有效地保证了工控网络的网络安全性能。
附图说明
结合附图并参考以下具体实施方式,本发明各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。在附图中:
图1是根据一示例性实施例示出的一种基于蜜罐的网络攻击响应方法的流程图;
图2是根据一示例性实施例示出的一种工控网络的拓扑示意图;
图3是根据一示例性实施例示出的一种攻击图的示意图;
图4是根据一示例性实施例示出的一种基于蜜罐的网络攻击响应方法的另一流程图;
图5是根据一示例性实施例示出的一种基于蜜罐的网络攻击响应装置的框图;
图6是根据一示例性实施例示出的一种电子设备的示意图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
应当理解,本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本发明中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
可以理解的是,在使用本发明各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本发明所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
为了使得本领域技术人员更加理解本发明提供的技术方案的改进之处,本发明先对相关技术进行进一步介绍。
蜜罐是一种主动防御机制,可以通过部署诱饵目标,如漏洞主机、模拟服务、价值信息等,主动吸引攻击者与这些虚假资源进行交互,对攻击行为进行监控和记录,在防止有价值的真实资源受到破坏的同时,能够根据收集到的数据,分析攻击者的动机、资源、手段、计划等信息。
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐是故意让攻击者攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道攻击者如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
为了保障工控系统的网络安全,越来越多的工控系统中部署了蜜罐来应对攻击者的攻击,蜜罐例如可以包括低交互蜜罐、中交互蜜罐以及高交互蜜罐。并且,工控系统的中的蜜罐可以是部署虚拟环境中的虚拟蜜罐。
在工控系统中,针对工控网络的攻击的不同阶段,蜜罐面临的威胁程度是不同的,也将捕获不同数量和质量的攻击。然而,在相关技术中,工控网络在面临多阶段的攻击时,往往不会对这些攻击进行区分,而是统一对待,导致蜜罐利用率不高,捕获攻击数据少,不仅导致工控网络的网络安全性能较低,还会导致工作人员的对工控网络的安全分析研究带来很大难度与阻碍。
为了解决相关技术中存在的问题,本发明提供一种基于蜜罐的网络攻击响应方法、装置及存储介质。
图1是根据一示例性实施例示出的一种基于蜜罐的网络攻击响应方法的流程图,该方法的执行主体可以是工控网络中的管理终端,也可以是与工控网络通信连接的服务器,还可以是工控网络中的任意一个工控设备,本发明对此不作具体限定,如图1所示,所述方法包括:
S101、对工控网络中的流量进行检测。
具体地,可以是通过工控网络中的交换机镜像口采集经过该交换机的数据包,并根据采集到的数据包进行处理进而实现流量检测的,例如,通过预先设计的规则库来进行可疑流量筛选,本发明对工控网络中的流量检测方法不作具体限定。
S102、响应于检测到异常流量,确定所述异常流量对应的攻击阶段。
其中,基于上述步骤S101对流量进行检测,当检测到可疑流量后,生成JSON格式预警报告,进而确定检测到异常流量。该异常流量可以是攻击者针对该工控网络发送的用于对工控网络进行攻击的数据包。异常流量对应的攻击阶段例如可以包括网络探测阶段、漏洞利用阶段、网络攻击阶段,其中,网络探测阶段还可以包括拓扑扫描子阶段以及端口扫描子阶段。
S103、执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
可以理解的是,不同的响应策略,可以对应不同的类型的蜜罐,即对应不同的目标蜜罐。
其中,目标蜜罐例如可以包括低交互蜜罐、中交互蜜罐以及高交互蜜罐。可以理解的是,低交互蜜罐相较于中交互蜜罐以及高交互蜜罐,为更加静态的环境,攻击者无法在任何深度上与诱饵系统进行交互。低交互蜜罐通常会模仿少量的互联网协议和网络服务,以欺骗攻击者。高交互蜜罐则由于系统仅作为诱饵出现,因此发现的任何流量都是恶意存在的,因此可以轻松发现威胁并跟踪和跟踪攻击者的行为。通过使用高交互蜜罐,工作人员即可以了解攻击者用于升级权限的工具,或者他们为尝试发现敏感数据而进行的横向移动。示例地,Conpot蜜罐即为低交互蜜罐,Snap7蜜罐以及CryPLH蜜罐即为中交互蜜罐,XPOT蜜罐即为高交互蜜罐。
另外,将异常流量导入不同的蜜罐可以是通过控制交换机的参数,从而实现的对流量的控制。
在本发明实施例中,通过检测工控网络中的异常流量,并根据异常流量对应的攻击阶段,不同的攻击阶段采取不同的响应策略,以使得更细粒度地针对不同攻击利用不同类型的蜜罐进行响应,有效地延长了攻击时间,延缓了攻击进度,有效地保证了工控网络的网络安全性能。
在一种可选地实施例中,所述方法包括:
获取所述工控网络中各个工控设备存在的漏洞信息;根据所述漏洞信息,建立攻击图;
所述确定所述异常流量对应的攻击阶段包括:根据所述攻击图,确定所述异常流量对应的攻击阶段。
其中,可以理解的是,该攻击图可以用于表征漏洞间的依赖关系,进而根据该攻击图能够确定攻击者要达到不同目的的攻击路径。在具体实施时,还可以获取工控网络中各个工控设备的连接关系,以及各个工控设备的设备信息,例如硬件类型、操作系统、可用服务以及端口信息等。
采用上述方案,通过获取工控网络中的各个工控设备的漏洞信息构建攻击图,能够有效地对异常流量的攻击阶段进行区分,提高了异常流量的处理效率,有效地提高了公共网络的整体安全性能,并且,相较于设备构建的攻击图,有效地降低了计算量。
为了使得本领域技术人员更加理解本发明中异常流量对应的攻击阶段的确定方式,本发明进一步进行介绍:
图2是根据一示例性实施例示出的一种工控网络的网络拓扑图,如图2所示,若工控网络中包括交换机210、交换机211、工控设备212、工控设备213以及工控设备214,以及外网的外网设备215。其中,设备212上运行有Web服务器,设备213上运行有FTP服务器,工控设备214为运行有MySQL的Linux服务器。外网的外网设备215能够通过交换机210与工控网络中的设备212以及设备213进行通信,工控网络中的交换机211仅允许Web服务器的访问并屏蔽其他来源的访问。
基于如图2所示的网络拓扑图,若工控设备212包括第一服务,该服务存在漏洞V1,该漏洞V1能够使得攻击者可以利用Web服务器获取用户权限,该第一服务例如可以是Apache Web服务;工控设备213包括第二服务,该服务具备缓冲区溢出漏洞V2,该漏洞V2使得攻击者可以获得用户权限,该第二服务例如可以是ftpd服务;工控设备214为一个运行有MySQL的Linux服务器,MySQL具有一个可远程利用的漏洞V3,Linux内核具有漏洞V4,允许本地用户获得root权限,则能够构建如图3所示的根据一示例性实施例示出的一种攻击图的示意图。
参照图3,包括两种类型的节点,框中的节点表示漏洞利用节点,对应各个工控设备中存在的漏洞;其他椭圆中的节点表示安全条件节点,为某种网络状态或攻击者权限,能够表征攻击的前置条件以及后置条件。
具体地,V1(215,212)则表示从外网设备215利用工控设备212上的漏洞V1,V2(215,212)则表示从外网设备215利用工控设备212上的漏洞V2,V3(215,212)则表示从外网设备215利用工控设备212上的漏洞V3,V4(214)则表示从工控设备214利用工控设备214上的漏洞V4。
进一步,http(215,212)表示工控设备212上的Web服务可以从外网设备215访问,ftp(215,213)表示工控设备213上的ftp服务可以从外网设备215访问,mysql(213,214)表示工控设备214上的MySQL可以从工控设备213访问。
此外,user(215)则表示攻击者具备外网设备215的用户权限,user(213)则表示攻击者具备工控设备213的用户权限,user(212)则表示攻击者具备工控设备212的用户权限,user(214)则表示攻击者具备工控设备214的用户权限,root(214)则表示攻击者具备工控设备212的root权限。
连接漏洞利用节点的有向线段的两端分别表示该漏洞利用的前置条件和后置条件,例如,若需要从工控设备212利用工控设备214上的漏洞V3,则需要满足条件user(212)以及mysql(212,214),并产生后置条件user(214),即需要满足具备攻击者具备工控设备214的用户权限,以及工控设备214上的MySQL可以从工控设备212进行访问的条件,并在漏洞利用之后,则可以得到工控设备214的用户权限。
进一步,基于如图3所示的攻击图,若攻击者需要获取工控设备214的root权限,则可以通过路径V1(215,212)→V3(212,214)→V4(214)和V2(215,213)→V1(213,212)→V3(212,214)→V4(214),即从外网设备215利用工控设备212上的漏洞V1,再从工控设备212利用工控设备214上的漏洞V3,进而从工控设备214利用漏洞V4,最终使得攻击者得到工控设备214的root权限。另一路径的利用方式相似,此处不再赘述。在此基础上,若检测到攻击者已经对漏洞V2进行了利用,且还未利用漏洞V4,则可以确定异常流量对应的攻击阶段为漏洞利用阶段,若检测到漏洞V4已被利用,则可以确定攻击者已经获取了工控设备214的root权限,此时的异常流量对应的攻击阶段为网络攻击阶段。
也就是说,基于如图3所示的漏洞利用依赖的攻击图,则可以容易地列举达得到攻击者要实现目标的不同攻击路径,得到的攻击路径包含不同的攻击阶段,即可以根据攻击图以及采集到的攻击行为,对攻击阶段进行判断,进而能够多段化地对攻击流量进行反应。
在一种可能的实施方式中,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络探测阶段的情况下,确定所述异常流量是否对应所述网络探测阶段下的端口扫描子阶段;在确定所述异常流量对应所述网络探测阶段下的端口扫描子阶段的情况下,将所述异常流量导入低交互蜜罐,以使得所述低交互蜜罐随机生成端口信息返回。
可以理解的是,攻击者在初步对工控网络攻击时,会进行拓扑探测对真实的工控设备进行端口扫描。
采用上述方案,通过在确定异常流量对应的攻击阶段对应的攻击阶段为端口扫描子阶段时,能够将攻击流量导入低交互蜜罐中,以使得低交互蜜罐能够通过修改数据包内容来达到隐藏攻击流量重定向的效果,能够使得攻击者被提供的信息为虚假的网络探测信息,进而保证了工控网络的安全。
进一步,所述执行对应所述攻击阶段的响应策略还包括:
在确定所述异常流量不对应所述网络探测阶段下的端口扫描子阶段的情况下,确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段的情况下,生成虚假网络拓扑。
在一种可能的实施方式中,工作人员可以预先生成的并存储的虚拟拓扑结构文件,在确定异常流量对应拓扑扫描子阶段的情况下,可以基于预先存储的虚假网络拓扑文件,生成虚假的网络拓扑。
采用上述方案,通过在确定异常流量对应的攻击阶段对应的攻击阶段为拓扑扫描子阶段时,则可以生成虚假网络拓扑,以使得攻击者获取到虚假的网络拓扑,误导攻击者以保证工控网络的网络安全。
在又一些可选地实施例中,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下,确定所述异常流量对应的协议类型;
根据所述协议类型,将所述异常流量导入对应所述协议类型的中交互蜜罐。
其中,协议类型可以包括HTTP协议、FTP协议、SSH协议、TCP协议以及ICMP协议等,本发明对此不作具体限定。
示例地,以异常流量包括HTTP协议、FTP协议、SSH协议的数据包为例,则可以将对应的数据包分别导入至WEB蜜罐、FTP蜜罐、SSH蜜罐。进一步,WEB蜜罐的交互方式可以是通过配置代理IP和端口;FTP蜜罐的交互方式可以是连接时候会显示要输入用户名密码,会显示密码错误;SSH蜜罐的交互方式可以是通过SHH进行连接,连接时候会提示输入用户名密码,会一直提示用户名密码不对,不会登陆进去。
采样上述方案,通过在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下,分别使用不同类型的中交互蜜罐模拟不同的协议进行针对性响应,使得攻击方获取不会对工控网络造成直接威胁,有效的保证了工控网络的安全性能。
可选地,在确定攻击者在对应的中交互蜜罐中进行漏洞利用完成后,还可以将攻击者后续的针对对应的中交互蜜罐的异常流量导入至高交互蜜罐,以将攻击者继续诱骗到高交互蜜罐所模拟的系统服务中,以便工作人员对攻击数据进行收集。
在另一些可选地实施方式中,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络攻击阶段的情况下,将所述异常流量导入对应高交互蜜罐,以使得所述高交互蜜罐捕获攻击数据。
其中,高交互蜜罐例如可以包括Ubuntu蜜罐、CentOS蜜罐、Windows蜜罐等。
采用本方案,通过在确定异常流量对应的攻击阶段为网络攻击阶段的情况下,将异常流量导入至高交互蜜罐,以使得高交互蜜罐能够捕获攻击数据,使得工作人员能够根据捕获到的攻击数据,进行观察分析进而确保工控网络的网络安全。
进一步,在高交互蜜罐捕获攻击数据后,可以将攻击数据对应的数据包发送至管理终端,以使得管理终端解析对应的数据包,以获知该数据包的来源IP地址、来源端口、来源端口、数据包长度、数据包信息、上钩时间等等信息。
可选地,所述将所述异常流量导入目标蜜罐之前,所述方法还包括:
确定所述目标蜜罐是否存在;在确定所述目标蜜罐不存在的情况下,确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐;在确定所述目标蜜罐为低交互蜜罐的情况下,创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息;在确定所述目标蜜罐为中交互蜜罐的情况下,根据所述异常流量对应的协议类型创建目标中交互蜜罐。
示例地,若确定需要将异常流量导入至HTTP蜜罐的情况下,若工控网络中并未配置HTTP蜜罐,则可以动态部署新的HTTP蜜罐,以使得能够将异常流量导入至该HTTP蜜罐。
采用本方案,通过检测目标蜜罐是否存在,并在目标蜜罐不存在的情况下,及时地部署对应的目标蜜罐,以使得异常流量能够及时地导入对应的蜜罐中,有效地保障了工控网络的网络安全。
为了使得本领域技术人员更加理解本发明提供的技术方案,本发明还提供如图4所示的根据一示例性实施例示出的一种基于蜜罐的网络攻击响应方法的另一流程图,如图4所示,该方法包括步骤:
S401、获取工控网络中各个工控设备存在的漏洞信息。
S402、根据漏洞信息,建立攻击图。
S403、响应于检测到异常流量,根据攻击图确定异常流量对应的攻击阶段。
S404、判断异常流量对应的攻击阶段是否为网络探测阶段。
在确定异常流量对应的攻击阶段为网络探测阶段的情况下,执行步骤S405;在确定异常流量对应的攻击阶段不为网络探测阶段的情况下,执行步骤S410。
S405、判断异常流量对应的攻击阶段是否为端口扫描子阶段。
在确定异常流量对应的攻击阶段为端口扫描子阶段的情况下,执行步骤S406以及步骤S407;在确定异常流量对应的攻击阶段不为端口扫描子阶段的情况下,执行步骤S408。
S406、将异常流量导入低交互蜜罐。
S407、返回虚假端口信息。
S408、判断异常流量对应的攻击阶段是否为拓扑扫描子阶段。
在确定异常流量对应的攻击阶段为拓扑扫描子阶段的情况下,执行步骤S409。
S409、生成虚假网络拓扑。
S410、判断异常流量对应的攻击阶段是否为漏洞利用阶段。
在确定异常流量对应的攻击阶段为漏洞利用阶段的情况下,执行步骤S411至步骤S413;在确定异常流量对应的攻击阶段不为漏洞利用阶段的情况下,执行步骤S414。
S411、确定异常流量对应的协议类型。
S412、将异常流量导入对应的协议类型对应的中交互蜜罐。
S413、判断漏洞利用是否完成。
在确定中交互蜜罐中漏洞利用完成的情况下,执行步骤S415以及步骤S416,以将后续接收到的异常流量导入高交互蜜罐并捕获攻击数据。
S414、判断异常流量对应的攻击阶段是否为网络攻击阶段。
在确定异常流量对应的攻击阶段为网络攻击阶段的情况下,执行步骤S415以及步骤S416。
S415、将异常流量导入高交互蜜罐。
S416、捕获攻击数据。
此外,在将异常流量导入蜜罐之前,所述方法还包括:
在确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐;
在确定所述目标蜜罐为低交互蜜罐的情况下,创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息;
在确定所述目标蜜罐为中交互蜜罐的情况下,根据所述异常流量对应的协议类型创建目标中交互蜜罐。
关于上述实施例中的方法中的各个步骤的具体执行操作的具体方式已经在有关图1对应的方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于相同的发明构思,图5是根据一示例性实施例示出的一种基于蜜罐的网络攻击响应装置50的框图,如图5所示,所述装置50包括:
检测模块51,用于对工控网络中的流量进行检测;
确定模块52,用于响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
响应模块53,用于执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
可选地,所述装置50还用于:
获取所述工控网络中各个工控设备存在的漏洞信息;
根据所述漏洞信息,建立攻击图;
所述确定所述异常流量对应的攻击阶段包括:
根据所述攻击图,确定所述异常流量对应的攻击阶段。
可选地,所述响应模块53还用于:
在确定所述异常流量对应的攻击阶段为网络探测阶段的情况下,确定所述异常流量是否对应所述网络探测阶段下的端口扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的端口扫描子阶段的情况下,将所述异常流量导入低交互蜜罐,以使得所述低交互蜜罐随机生成端口信息返回。
可选地,所述响应模块53还用于:
在确定所述异常流量不对应所述网络探测阶段下的端口扫描子阶段的情况下,确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段的情况下,生成虚假网络拓扑。
可选地,所述响应模块53还用于:
在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下,确定所述异常流量对应的协议类型;
根据所述协议类型,将所述异常流量导入对应所述协议类型的中交互蜜罐。
可选地,所述响应模块53还用于:
在确定所述异常流量对应的攻击阶段为网络攻击阶段的情况下,将所述异常流量导入对应高交互蜜罐,以使得所述高交互蜜罐捕获攻击数据。
可选地,所述装置50还用于:
确定所述目标蜜罐是否存在;
在确定所述目标蜜罐不存在的情况下,确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐;
在确定所述目标蜜罐为低交互蜜罐的情况下,创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息;
在确定所述目标蜜罐为中交互蜜罐的情况下,根据所述异常流量对应的协议类型创建目标中交互蜜罐。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
下面参考图6,其示出了适于用来实现本发明实施例的电子设备600的结构示意图。本发明实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本发明实施例的方法中限定的上述功能。
需要说明的是,本发明上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:对工控网络中的流量进行检测;
响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定,例如,检测模块还可以被描述为“用于对工控网络中的流量进行检测的模块”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本发明的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本发明的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
Claims (10)
1.一种基于蜜罐的网络攻击响应方法,其特征在于,所述方法包括:
对工控网络中的流量进行检测;
响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:
获取所述工控网络中各个工控设备存在的漏洞信息;
根据所述漏洞信息,建立攻击图;
所述确定所述异常流量对应的攻击阶段包括:
根据所述攻击图,确定所述异常流量对应的攻击阶段。
3.根据权利要求1所述的方法,其特征在于,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络探测阶段的情况下,确定所述异常流量是否对应所述网络探测阶段下的端口扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的端口扫描子阶段的情况下,将所述异常流量导入低交互蜜罐,以使得所述低交互蜜罐随机生成端口信息返回。
4.根据权利要求3所述的方法,其特征在于,所述执行对应所述攻击阶段的响应策略还包括:
在确定所述异常流量不对应所述网络探测阶段下的端口扫描子阶段的情况下,确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段;
在确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段的情况下,生成虚假网络拓扑。
5.根据权利要求1所述的方法,其特征在于,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下,确定所述异常流量对应的协议类型;
根据所述协议类型,将所述异常流量导入对应所述协议类型的中交互蜜罐。
6.根据权利要求1所述的方法,其特征在于,所述执行对应所述攻击阶段的响应策略包括:
在确定所述异常流量对应的攻击阶段为网络攻击阶段的情况下,将所述异常流量导入对应高交互蜜罐,以使得所述高交互蜜罐捕获攻击数据。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述将所述异常流量导入目标蜜罐之前,所述方法还包括:
确定所述目标蜜罐是否存在;
在确定所述目标蜜罐不存在的情况下,确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐;
在确定所述目标蜜罐为低交互蜜罐的情况下,创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息;
在确定所述目标蜜罐为中交互蜜罐的情况下,根据所述异常流量对应的协议类型创建目标中交互蜜罐。
8.一种基于蜜罐的网络攻击响应装置,其特征在于,所述装置包括:
检测模块,用于对工控网络中的流量进行检测;
确定模块,用于响应于检测到异常流量,确定所述异常流量对应的攻击阶段;
响应模块,用于执行对应所述攻击阶段的响应策略,以将所述异常流量导入目标蜜罐。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理装置执行时实现权利要求1-7中任一项所述方法的步骤。
10.一种电子设备,其特征在于,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现权利要求1-7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210929013.1A CN115242541A (zh) | 2022-08-03 | 2022-08-03 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210929013.1A CN115242541A (zh) | 2022-08-03 | 2022-08-03 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115242541A true CN115242541A (zh) | 2022-10-25 |
Family
ID=83677726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210929013.1A Pending CN115242541A (zh) | 2022-08-03 | 2022-08-03 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242541A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN111818077A (zh) * | 2020-07-21 | 2020-10-23 | 北方工业大学 | 一种基于sdn技术的工控混合蜜罐系统 |
| CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
-
2022
- 2022-08-03 CN CN202210929013.1A patent/CN115242541A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN111818077A (zh) * | 2020-07-21 | 2020-10-23 | 北方工业大学 | 一种基于sdn技术的工控混合蜜罐系统 |
| CN112769821A (zh) * | 2021-01-07 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 一种基于威胁情报和att&ck的威胁响应方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王鹃,杨泓远,樊成阳: "一种基于多阶段攻击响应的SDN动态蜜罐", 《信息网络安全》, pages 1 - 14 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Franco et al. | A survey of honeypots and honeynets for internet of things, industrial internet of things, and cyber-physical systems | |
| US11949698B1 (en) | Dynamically remote tuning of a malware content detection system | |
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| Siboni et al. | Advanced security testbed framework for wearable IoT devices | |
| US10133863B2 (en) | Zero-day discovery system | |
| US11509683B2 (en) | System and method for securing a network | |
| US10862926B2 (en) | Cybersecurity threat detection and mitigation system | |
| CN112187825A (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
| CN107222515B (zh) | 蜜罐部署方法、装置及云端服务器 | |
| EP3414663A1 (en) | Automated honeypot provisioning system | |
| D’Orazio et al. | A technique to circumvent SSL/TLS validations on iOS devices | |
| CN112511512A (zh) | 漏洞扫描引擎和威胁检测引擎的风险管理系统 | |
| US20230370439A1 (en) | Network action classification and analysis using widely distributed honeypot sensor nodes | |
| Cambiaso et al. | Slowdroid: Turning a smartphone into a mobile attack vector | |
| Kolli et al. | Remote desktop backdoor implementation with reverse TCP payload using open source tools for instructional use | |
| Chee et al. | IoTSecSim: A framework for modelling and simulation of security in Internet of things | |
| CN115242541A (zh) | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 | |
| US20190098022A1 (en) | Security surveillance system and security surveillance method | |
| CN114285660B (zh) | 蜜网部署方法、装置、设备及介质 | |
| Manfredh | Assessing the security of a Garmin Smartwatch through Ethical hacking | |
| Zhao | Scalable iot network testbed with hybrid device emulation | |
| Shi et al. | Panel Discussion and Audience Dialogue: Sharing Artifacts and Data for Cybersecurity Experimentation | |
| Wagner et al. | An Advanced Persistent Threat Simulation Range for Research of Self-Adaptive Systems | |
| Nobakht | The internet of things: securing devices and user data | |
| Azzi | Vulnerability analysis and security framework for ZigBee communication in IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |