CN115277068B - 一种基于欺骗防御的新型蜜罐系统及方法 - Google Patents

一种基于欺骗防御的新型蜜罐系统及方法 Download PDF

Info

Publication number
CN115277068B
CN115277068B CN202210681557.0A CN202210681557A CN115277068B CN 115277068 B CN115277068 B CN 115277068B CN 202210681557 A CN202210681557 A CN 202210681557A CN 115277068 B CN115277068 B CN 115277068B
Authority
CN
China
Prior art keywords
decryption key
decryptor
attacker
honeypot
environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210681557.0A
Other languages
English (en)
Other versions
CN115277068A (zh
Inventor
王煜林
王金恒
吴国良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Institute of Technology
Original Assignee
Guangzhou Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Institute of Technology filed Critical Guangzhou Institute of Technology
Priority to CN202210681557.0A priority Critical patent/CN115277068B/zh
Publication of CN115277068A publication Critical patent/CN115277068A/zh
Application granted granted Critical
Publication of CN115277068B publication Critical patent/CN115277068B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Abstract

本发明提供了一种基于欺骗防御的新型蜜罐系统及方法,该新型蜜罐系统包括:环境仿真模块,用于构建仿真环境;攻击诱导模块,用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;溯源反制模块,用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。

Description

一种基于欺骗防御的新型蜜罐系统及方法
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种基于欺骗防御的新型蜜罐系统及方法。
背景技术
蜜罐是一种用于诱捕入侵者的安全资源,其价值在于被探测、攻击或攻陷。蜜罐技术是一种通过虚假的资源诱骗入侵者,从而采集入侵者攻击数据和分析入侵者攻击行为,以达到保护真实主机目标的诱骗技术。即是说,蜜罐是一种预先精心配置的系统,用于欺骗黑客对蜜罐进行攻击和入侵。也就是说,蜜罐存在的意义就在于被入侵,任何与蜜罐的交互行为都可以认为是入侵。因此,通过蜜罐可以采集入侵者攻击数据和分析入侵者攻击行为。
在现有技术中,使用的蜜罐技术仅停留在虚拟化层面,由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行。同时,现有技术的蜜罐攻击类别易界定,但攻击身份信息难溯源,因此难以溯源到入侵者的真实身份,缺少威胁处置能力。
发明内容
基于此,为了解决现有技术存在的问题,本发明提供了一种基于欺骗防御的新型蜜罐系统及方法,其具体技术方案如下:
一种基于欺骗防御的新型蜜罐系统,其包括环境仿真模块、攻击诱导模块以及溯源反制模块。
所述环境仿真模块用于构建仿真环境。
所述攻击诱导模块用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
所述溯源反制模块用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
进一步地,所述新型蜜罐系统还包括构建模块。
所述构建模块用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令。
其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。
进一步地,所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序。
其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥。
进一步地,所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。
进一步地,所述反制措施包括WEB反制、扫描反制以及蜜标反制。
一种基于欺骗防御的新型蜜罐方法,其包括如下步骤:
S1,构建仿真环境。
S2,投放诱饵,获取攻击者访问流量。
S3,将访问流量转发至仿真环境。
S4,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
S5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
进一步地,在步骤S3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;
其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。
进一步地,在步骤S3中,通过网络将访问流量转发至仿真环境。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在不同的视图中,相同的附图标记指定对应的部分。
图1是本发明一实施例中一种基于欺骗防御的新型蜜罐系统的整体结构示意图;
图2是本发明一实施例中一种基于欺骗防御的新型蜜罐方法的整体流程示意图。
具体实施方式
为了使得本发明的目的、技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明。应当理解的是,此处所描述的具体实施方式仅用以解释本发明,并不限定本发明的保护范围。
需要说明的是,当元件被称为“固定于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的,并不表示是唯一的实施方式。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明中所述“第一”、“第二”不代表具体的数量及顺序,仅仅是用于名称的区分。
如图1所示,本发明一实施例中的一种基于欺骗防御的新型蜜罐系统,其包括环境仿真模块、攻击诱导模块以及溯源反制模块。
所述环境仿真模块用于构建仿真环境。
所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。
其中,软件仿真在低交互和中交互的优势为资源占用率低,部署简单和运行高效。容器仿真以高交互为主,其优势为支持应用、服务类高交互仿真。虚拟机仿真以高交互为主,支持设备、主机、系统级软件高交互仿真。
所述攻击诱导模块用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
所述溯源反制模块用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
多重所述反制措施包括WEB反制、扫描反制以及蜜标反制。
其中,WEB反制是攻击者在浏览网站或者WEB应用页面时,会下载页面数据、脚本文件在用户本地解析执行、渲染展示。可获取的溯源信息包括:获取攻击者主机操作系统和浏览器的特性信息,包括攻击者主机的操作系统类型、操作系统时区、屏幕分辨率、浏览器指纹、浏览器类型、浏览器版本等信息;通过应用的JSONP漏洞获取攻击者主机上曾经使用过的社交账号、攻击者手机号等个人信息;对攻击者本地端口进行扫描,获取攻击者本机开放端口等数据。
扫描反制是攻击者在实施攻击时大多数情况都会使用扫描器或攻击工具,利用扫描对象、扫描器或攻击工具的漏洞可以在攻击者进行扫描或尝试攻击的同时,反向来获取攻击者的身份信息。
蜜标反制是蜜标文件多采用攻击者感兴趣的文件类型或文件名称,通过代码捆绑等技术向该文件中嵌入特定数据和代码,通过构造场景引诱攻击者去访问、下载蜜标文件,当攻击者下载并在本地打开蜜标文件时,就会触发内嵌代码,记录并回传攻击主机和攻击者特征信息来实现溯源和反制。
首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
在现有技术中,当蜜罐系统被入侵时,往往需要将被入侵的蜜罐系统移出网络并对蜜罐系统中的文件资源进行复制,然后安装在新的一个主机中,以便蜜罐系统能够重新使用。如此一来,当蜜罐系统被攻击者入侵时,将会耗费大量的时间来进行蜜罐系统文件资源的复制以及重新安装。
为了解决上述技术问题,在其中一个实施例中,所述新型蜜罐系统还包括构建模块。
所述构建模块用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令。其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。
通过设置构建模块,可以在每次蜜罐系统被攻击者入侵时,在原来的主机中构建新的仿真环境,进而创建新的蜜罐系统,以采集入侵者攻击数据和分析入侵者攻击行为。
当终端或者主机向外传输加密文件时,若攻击者捕获加密文件并在脱离蜜罐系统环境进行暴力破解,部署在终端或者主机上的蜜罐系统,往往有效捕捉到入侵者的攻击数据以及攻击行为。为了解决这一技术问题,在其中一个实施例中,所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序。
其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥。
所述捕捉程序在获取解密者输入的解密秘钥后,将所述解密秘钥反馈至终端或者主机。
终端或者主机判断解密者输入的解密秘钥与预设的解密秘钥是否一致,若不一致,则判定解密者为疑似攻击者或者入侵者。
但解密者在预设时间长度内输入的解密秘钥与预设的解密秘钥不一致的次数大于预设阈值后,终端或者主机则判断解密者为攻击者,并触发报警。设置预设阈值的目的,是为了更好地区分疑似攻击者与真实攻击者。
如此一来,通过设置加密诱饵数据包与捕捉程序,即便攻击入侵行为发生在蜜罐系统外,还可以有效采集入侵者攻击数据和分析入侵者攻击行为。
在很多时候,非攻击者可能存在忘记部分解密秘钥并尝试多次输入秘钥以对数据包进行解密的情况。如果这个时候,将非攻击者当成疑似攻击者,无疑会降低蜜罐系统的攻击者判断准确度。另外,不同的攻击者,其对解密秘钥的获知程度可能也不相同。
若对不同攻击者采用相同的预设阈值,一来,在预设阈值设定过高的情况下,会浪费判断时间,使得攻击者可以对文件进行多次暴力破解,无法及时获取攻击者信息以及攻击行为,二来,在预设阈值设定过低时,虽然可以及时获取攻击者信息以及攻击行为,但可能会将忘记部分解密秘钥并尝试多次输入秘钥以对数据包进行解密的非攻击者判断为真是攻击者。
为了解决上述问题,在其中一个实施例中,在解密者输入的解密秘钥与预设的解密秘钥不一致的时候,终端或者主机还计算解密者输入的解密秘钥与预设的解密秘钥之间的相似度,根据相似度的大小判断解密者为疑似攻击者或者入侵者的等级高低。相对而言,相似度越小,解密者为疑似攻击者的等级越高;相似度越大,解密者为疑似攻击者的等级越低。
不同的等级,匹配不同的预设阈值。等级越高,预设阈值越小。比如说,相似度在0%-20%时,所述等级设置为五级;相似度在20%-40%时,所述等级设置为四级;在40%-60%时,所述等级设置为三级;在60%-80%时,所述等级设置为二级;在80%-99%时,所述等级设置为一级。
通过根据解密者输入的解密秘钥与预设的解密秘钥之间的相似度大小来设定疑似攻击者的等级高低并匹配不同的预设阈值,可以更好地区分非攻击者、疑似攻击者与真实攻击者,进而及时获取攻击者信息以及攻击行为,提高工作效率。
如图2所示,一种基于欺骗防御的新型蜜罐方法,其包括如下步骤:
S1,构建仿真环境。
S2,投放诱饵,获取攻击者访问流量。
S3,将访问流量转发至仿真环境。
S4,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
S5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
其中,在步骤S3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;
其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。
当然,在步骤S3中,也通过网络将访问流量转发至仿真环境。通过网络将访问流量转发至仿真环境时,需要根据威胁线索,通过动态调整网关设备策略等方式来将异常流量直接导入到仿真环境里。
步骤2中诱饵需具备高甜度诱骗能力,其贴合实际防御网络,通过构建多样化的吸引攻击者的脆弱环境和信息,引诱攻击者不断深入蜜罐场景,暴露其动机和技术手段,延缓攻击者时间,从而使防御方牢牢掌握主动权。
首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (7)

1.一种基于欺骗防御的新型蜜罐系统,其特征在于,所述新型蜜罐系统包括:
环境仿真模块,用于构建仿真环境;
攻击诱导模块,用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;
所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序;
其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥;所述捕捉程序在获取解密者输入的解密秘钥后,将所述解密秘钥反馈至终端或者主机;终端或者主机判断解密者输入的解密秘钥与预设的解密秘钥是否一致,若不一致,则判定解密者为疑似攻击者或者入侵者;解密者在预设时间长度内输入的解密秘钥与预设的解密秘钥不一致的次数大于预设阈值后,终端或者主机则判断解密者为真实攻击者,并触发报警;设置预设阈值的目的,是为了区分疑似攻击者与真实攻击者;
在解密者输入的解密秘钥与预设的解密秘钥不一致的时候,终端或者主机还计算解密者输入的解密秘钥与预设的解密秘钥之间的相似度;通过根据解密者输入的解密秘钥与预设的解密秘钥之间的相似度大小来设定疑似攻击者的等级高低并匹配不同的预设阈值;相似度越小,解密者为疑似攻击者的等级越高,预设阈值越小;
溯源反制模块,用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
2.如权利要求1所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述新型蜜罐系统还包括:
构建模块,用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令;
其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。
3.如权利要求1所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。
4.如权利要求3所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述反制措施包括WEB反制、扫描反制以及蜜标反制。
5.一种基于欺骗防御的新型蜜罐方法,其特征在于,所述新型蜜罐方法包括如下步骤:
S1,构建仿真环境;
S2,投放诱饵,获取攻击者访问流量;
S3,将访问流量转发至仿真环境;
S4,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序;
其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥;所述捕捉程序在获取解密者输入的解密秘钥后,将所述解密秘钥反馈至终端或者主机;终端或者主机判断解密者输入的解密秘钥与预设的解密秘钥是否一致,若不一致,则判定解密者为疑似攻击者或者入侵者;解密者在预设时间长度内输入的解密秘钥与预设的解密秘钥不一致的次数大于预设阈值后,终端或者主机则判断解密者为真实攻击者,并触发报警;设置预设阈值的目的,是为了区分疑似攻击者与真实攻击者;
在解密者输入的解密秘钥与预设的解密秘钥不一致的时候,终端或者主机还计算解密者输入的解密秘钥与预设的解密秘钥之间的相似度;通过根据解密者输入的解密秘钥与预设的解密秘钥之间的相似度大小来设定疑似攻击者的等级高低并匹配不同的预设阈值;相似度越小,解密者为疑似攻击者的等级越高,预设阈值越小;
S5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
6.如权利要求5所述的一种基于欺骗防御的新型蜜罐方法,其特征在于,在步骤S3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;
其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。
7.如权利要求6所述的一种基于欺骗防御的新型蜜罐方法,其特征在于,在步骤S3中,通过网络将访问流量转发至仿真环境。
CN202210681557.0A 2022-06-15 2022-06-15 一种基于欺骗防御的新型蜜罐系统及方法 Active CN115277068B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210681557.0A CN115277068B (zh) 2022-06-15 2022-06-15 一种基于欺骗防御的新型蜜罐系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210681557.0A CN115277068B (zh) 2022-06-15 2022-06-15 一种基于欺骗防御的新型蜜罐系统及方法

Publications (2)

Publication Number Publication Date
CN115277068A CN115277068A (zh) 2022-11-01
CN115277068B true CN115277068B (zh) 2024-02-23

Family

ID=83761745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210681557.0A Active CN115277068B (zh) 2022-06-15 2022-06-15 一种基于欺骗防御的新型蜜罐系统及方法

Country Status (1)

Country Link
CN (1) CN115277068B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115987686B (zh) * 2023-03-17 2023-06-06 北京启天安信科技有限公司 一种基于https代理的威胁检测方法
CN117118708A (zh) * 2023-08-25 2023-11-24 哈尔滨工程大学 混合蜜罐的威胁诱捕过程评估的方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010030169A2 (en) * 2008-09-12 2010-03-18 Mimos Bhd. A honeypot host
EP2713581A1 (en) * 2012-09-28 2014-04-02 Juniper Networks, Inc. Virtual honeypot
CN111885067A (zh) * 2020-07-28 2020-11-03 福建奇点时空数字科技有限公司 一种面向流量的集成式蜜罐威胁数据捕获方法
CN112069485A (zh) * 2020-06-12 2020-12-11 完美世界(北京)软件科技发展有限公司 基于用户行为的安全处理方法、装置及设备
US10992708B1 (en) * 2018-09-14 2021-04-27 Rapid7, Inc. Live deployment of deception systems
CN112738128A (zh) * 2021-01-08 2021-04-30 广州锦行网络科技有限公司 一种新型蜜罐组网方法及蜜罐系统
CN113660246A (zh) * 2021-08-11 2021-11-16 杭州安恒信息技术股份有限公司 蜜罐切换方法、系统、计算机及可读存储介质
CN113992444A (zh) * 2021-12-28 2022-01-28 中孚安全技术有限公司 一种基于主机防御的网络攻击溯源与反制系统
CN114285608A (zh) * 2021-12-09 2022-04-05 北京安天网络安全技术有限公司 一种网络攻击诱捕方法、装置、电子设备及存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10135867B2 (en) * 2015-12-08 2018-11-20 Bank Of America Corporation Dynamically updated computing environments for detecting and capturing unauthorized computer activities
US10462181B2 (en) * 2016-05-10 2019-10-29 Quadrant Information Security Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010030169A2 (en) * 2008-09-12 2010-03-18 Mimos Bhd. A honeypot host
EP2713581A1 (en) * 2012-09-28 2014-04-02 Juniper Networks, Inc. Virtual honeypot
US10992708B1 (en) * 2018-09-14 2021-04-27 Rapid7, Inc. Live deployment of deception systems
CN112069485A (zh) * 2020-06-12 2020-12-11 完美世界(北京)软件科技发展有限公司 基于用户行为的安全处理方法、装置及设备
CN111885067A (zh) * 2020-07-28 2020-11-03 福建奇点时空数字科技有限公司 一种面向流量的集成式蜜罐威胁数据捕获方法
CN112738128A (zh) * 2021-01-08 2021-04-30 广州锦行网络科技有限公司 一种新型蜜罐组网方法及蜜罐系统
CN113660246A (zh) * 2021-08-11 2021-11-16 杭州安恒信息技术股份有限公司 蜜罐切换方法、系统、计算机及可读存储介质
CN114285608A (zh) * 2021-12-09 2022-04-05 北京安天网络安全技术有限公司 一种网络攻击诱捕方法、装置、电子设备及存储介质
CN113992444A (zh) * 2021-12-28 2022-01-28 中孚安全技术有限公司 一种基于主机防御的网络攻击溯源与反制系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Characterizing Honeypot-Captured Cyber Attacks: Statistical Framework and Case Study;Zhenxin Zhan; Maochao Xu; Shouhuai Xu;IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY;第8卷(第11期);1775-1789 *
Nisreen Innab ; Eman Alomairy ; Lamya Alsheddi.Hybrid System Between Anomaly Based Detection System and Honeypot to Detect Zero Day Attack.IEEE.2018,全文. *
Yun Yang ; Hongli Yang ; Jia Mi.Design of distributed honeypot system based on intrusion tracking.IEEE.2011,全文. *
基于网络欺骗的网站防护技术研究;林建宝;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 *

Also Published As

Publication number Publication date
CN115277068A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN110677408B (zh) 攻击信息的处理方法和装置、存储介质及电子装置
Alshamrani et al. A survey on advanced persistent threats: Techniques, solutions, challenges, and research opportunities
CN108259449B (zh) 一种防御apt攻击的方法和系统
CN105915532B (zh) 一种失陷主机的识别方法及装置
CN109495443B (zh) 一种基于主机蜜罐对抗勒索软件攻击的方法和系统
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
CN115277068B (zh) 一种基于欺骗防御的新型蜜罐系统及方法
CN106664297B (zh) 用于检测对连接至通信网络的工作环境的攻击的方法
US11258812B2 (en) Automatic characterization of malicious data flows
CN111917691A (zh) 一种基于虚假响应的web动态自适应防御系统及防御方法
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
Kim et al. Agent-based honeynet framework for protecting servers in campus networks
Ruhani et al. Keylogger: The Unsung Hacking Weapon
Ojugo et al. Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
Chen et al. A proactive approach to intrusion detection and malware collection
Park et al. Identification of bot commands by run-time execution monitoring
Ng et al. Advanced persistent threat detection based on network traffic noise pattern and analysis
Smussenko Cyber kill chain
ZHANG et al. 5-2 A Holistic Perspective on Understanding and Breaking Botnets: Challenges and Countermeasures
Hou et al. Implementation of an IP Management and Risk Assessment System Based on PageRank
Rajbhar Intrusion Detection & Prevention Using Honeypot
Veena et al. A Detection of Malware Embedded into Web Pages Using Client Honeypot
Sirajuddin et al. A Novel Approach for Detection of Malicious Websites using Machine Learning Techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant