CN115632893A - 一种蜜罐生成方法和装置 - Google Patents
一种蜜罐生成方法和装置 Download PDFInfo
- Publication number
- CN115632893A CN115632893A CN202211670884.2A CN202211670884A CN115632893A CN 115632893 A CN115632893 A CN 115632893A CN 202211670884 A CN202211670884 A CN 202211670884A CN 115632893 A CN115632893 A CN 115632893A
- Authority
- CN
- China
- Prior art keywords
- client
- requested
- result
- data
- query
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000004044 response Effects 0.000 claims abstract description 104
- 238000012216 screening Methods 0.000 claims abstract description 100
- 238000000605 extraction Methods 0.000 claims abstract description 17
- 238000005206 flow analysis Methods 0.000 claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000010276 construction Methods 0.000 claims description 7
- 235000012907 honey Nutrition 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 7
- 238000011161 development Methods 0.000 description 5
- 238000004088 simulation Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000008846 dynamic interplay Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请实施例提供了一种蜜罐生成方法和装置,所述方法包括:基于客户端请求的流量数据进行流量解析,获得客户端请求的应用层协议;基于客户端请求的应用层协议,对客户端请求的流量数据进行字段提取,获得客户端请求的字段,基于客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;对所述有效的查询结果进行数据筛选,获得有效的筛选结果;将客户端请求与有效的筛选结果进行响应内容构造,获得新的响应内容;基于客户端请求的应用层协议,将新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。本申请实施例蜜罐生成过程中占用资源少,对虚拟环境要求不高。
Description
技术领域
本申请各实施例属于网络安全及伪装欺骗技术领域,具体而言,涉及一种蜜罐生成方法和装置。
背景技术
蜜罐是基于欺骗伪装的技术理念,以模拟真实业务系统的形式,引诱、监控、分析、溯源攻击行为的一种网络安全防护技术。由于蜜罐没有业务上的用途,所有流量都可视为扫描或攻击行为,因此可以比较好的聚焦于真实威胁,具有低误报的特点。
常见的高交互蜜罐一般使用真实的业务系统,直接部署运行在虚拟机或者容器等虚拟的受限环境中,从而可以完整模拟真实业务系统的交互、业务流程以及漏洞,对于扫描器和真人攻击者均具有较强的欺骗性。但是这种方法存在占用资源大,对虚拟环境要求高,且存在许可授权问题。
低交互蜜罐一般由开发人员专门编写,模拟实现对应业务的通信逻辑和业务流程,以及相关漏洞,并可以对常见扫描器攻击进行专门优化,实现比较完善的欺骗扫描器,这种方法存在人工模拟不全面,不能实现欺骗真人攻击者的目的,且开发时间较长。低交互蜜罐也可以通过人工收集业务的静态资源,使用通用的网站服务器的方法实现,但是该方法无动态交互,无漏洞仿真。
基于此,需要一种新的蜜罐生成方法。
发明内容
本说明书实施例提供一种蜜罐生成方法和装置,以解决部分或者全部问题:蜜罐生成过程中,占用资源大,对虚拟环境要求高,开发时间长,无动态交互等问题。
为解决上述技术问题,本说明书实施例是这样实现的:
本说明书实施例提供一种蜜罐生成方法,所述方法包括:
基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;
基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
本说明书实施例提供一种蜜罐生成装置,所述装置包括:
流量解析模块,基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
字段提取模块,基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;
数据查询模块,基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
数据筛选模块,对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
响应内容构造模块,将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
响应发送模块,基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:通过基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;对所述有效的查询结果进行数据筛选,获得有效的筛选结果;将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端,能够适用于任意业务,由流量数据和算法驱动,可以实现各种丰富的,动态的功能接口,以及各种漏洞仿真;且能够实现程序和数据相互独立,高效易用,具体地,开发者只用关心匹配、筛选和构造算法,无定制开发,可作为通用标品,开发成本低,维护成本低;使用者只用关心流量数据来源,方便使用;整个过程中没有实际攻击利用发生,全模拟,更加安全,对部署使用和虚拟化安全环境要求低;资源占用与原有业务站点无关,高占用业务可以保持低占用蜜罐。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分,本领域技术人员应该理解的是,这些附图未必是按比例绘制的,在附图中:
图1为本说明书实施例提供的一种蜜罐生成方法的框架图;
图2为本说明书实施例提供的一种蜜罐生成方法的示意图;
图3为本说明书实施例提供的一种蜜罐生成方法的流程示意图;
图4为本说明书实施例提供的一种蜜罐生成装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
图1为本说明书实施例提供的一种蜜罐生成方法的框架图。如图1所示,流量解析模块主要用于实现流量的格式统一化,并存储到数据库。具体而言,流量解析模块将不同来源和格式的流量数据转化为便于后续处理及存储的预设格式,并保存到数据库中,以构成预设数据库。流量数据为被抓流量的设备所在的客户端与服务器端通信所产生的流量数据,流量数据可以包括:设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据。由于不同的流量数据具有不同的解析逻辑,一般而言,是根据流量数据对应的流量文件格式进行解析,解析结果也是由流量文件格式而定的,解析结果至少包括传输层协议的数据。
响应内容构造模块接受外部流量,在数据库中查询相似的流量,并将查询结果构造为响应,生成蜜罐。
为了进一步理解本说明书实施例提供的蜜罐生成方法,下面将予以详细说明。
图2为本说明书实施例提供的一种蜜罐生成方法的示意图。如图2所示,蜜罐生成方法包括如下步骤:
步骤S201:基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议。
在本说明书实施例中,所述基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议,具体包括:
对所述客户端请求的流量数据进行转化,获得预设格式的流量数据;
对所述预设格式的流量数据进行解析,获得所述客户端请求的应用层协议。
客户端是向蜜罐发起攻击的设备,客户端请求的流量数据可以为设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据,客户端请求的流量数据的具体类型并不构成对本申请的限定。
在具体实施例中,预设格式是根据流量数据对应的流量文件格式确定的,预设格式的具体形式可以根据不同的流量文件格式进行调整,在此不做限定。
步骤S203:基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段。
由于应用层协议的不同,会导致流量数据所包含的字段的不同。因此,在对流量数据提取时,需要基于应用层协议进行提取。在本说明书的一个实施例中,应用层协议为http协议,则对流量数据的提取,可以提取为时间、请求URL、请求参数、请求头、请求体、响应头、响应体。当然,应用层协议也可以为其他协议,http协议仅为本申请的一个示例性说明。
在本说明书中,客户端请求的字段包括请求时间、请求字段及响应字段。
步骤S205:基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果。
预设数据库是基于不同格式的流量数据构建的,预设数据库的构建包括:
基于流量数据进行流量解析,获得所述流量数据的应用层协议;
基于所述流量数据的应用层协议,对所述流量数据进行字段提取,获得所述流量数据的字段以构成预设数据库。
在具体实施例中,流量数据可以包括:设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据,流量数据的具体类型并不构成对本申请的限定。
在本说明书实施例中,所述基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果,具体包括:
以所述客户端请求的字段作为精确查询条件,在预设数据库中进行精确查询,若所述精确查询结果为空,则对所述客户端请求的字段进行简化或调整以进行简化查询,直至获得有效的查询结果;
所述方法还包括:
若所述精确查询结果为空,则将所述客户端请求的默认响应数据作为有效的查询结果。
预设数据库是根据基于历史流量数据或者已获得的流量数据解析后,进行字段提取后获得的字段的集合。
在具体实施例中,对所述客户端请求的字段进行简化或调整以进行简化查询,可以通过将客户端请求的字段进行缩减,或者选择与客户端请求的字段的字符集相同的字段作为查询条件,也可以选择与客户端请求的字段长度相同的字段作为查询条件。总之,可以通过多种简化或者调整字段的方式进行查询,以获得有效的查询结果。
步骤S207:对所述有效的查询结果进行数据筛选,获得有效的筛选结果。
前述步骤获得的有效的查询结果,可能存在多条结果,需要进一步进行数据筛选,以排除查询不合理的结果。
在本说明书实施例中,对所述有效的查询结果进行数据筛选,获得有效的筛选结果,具体包括:
根据所述客户端请求的字段,对所述有效的数据查询结果进行分类,以数量最多的一类作为疑似筛选结果;
对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
在具体实施例中,以客户端请求的字段为分类标准,针对不同的目标位置,选择相同字段作为一类,字段不同的作为另一类。
在本说明书实施例中,所述对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果,具体包括:
基于所述请求字段及所述请求字段对应的字符集,对所述疑似筛选结果评分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
具体而言,基于所述请求字段中的各个字段的匹配程度,以及请求字段对应的字符集,分别设置字段匹配程序的权重及字符集的权重,对疑似筛选结果进行评分,以评分结果最高的疑似筛选结果作为有效的筛选结果。字段匹配程序的权重及字符集的权重可以根据具体的业务场景而设置,在此不做限定。
步骤S209:将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容。
在本说明书实施例中,所述将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容,具体包括:
将所述客户端请求与所述有效的筛选结果进行交叉比对,获得交叉比对结果;
基于所述交叉比对结果,提取动态字段;
基于所述动态字段,进行响应内容构造,获得新的响应内容。
在本说明书实施例中,所述动态字段包括:请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段;
所述基于所述动态字段,进行响应内容构造,获得新的响应内容,具体包括:
将所述请求响应间有关联的动态字段替换为所述请求内容,从所述响应内有关联的动态字段中,随机选取一组数据作为所述响应数据,从与其他字段无关联的动态字段中,随机选取一个数据,从而获得新的响应内容。
在本说明书实施例中,所述基于所述交叉比对结果,提取动态字段,具体包括:
基于所述交叉比对结果,提取相同项及差异项,获得动态字段。
步骤S211:基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
为了进一步理解本说明书实施例提供的蜜罐生成方法,下面将结合具体的流程示意图予以说明。
图3为本说明书实施例提供的一种蜜罐生成方法的流程示意图。如图3所示,接收客户端请求后,经过字段提取后,进行数据查询以获得有效的查询结果,有效的查询结果经过筛选获得有效的筛选结果。然后根据有效的筛选结果,进行响应内容构造,获得新的响应内容,并将新的响应内容发送至客户端。
为了进一步理解本说明书实施例提供的蜜罐生成方法,下面结合具体的实施例予以说明。
请求中解析提取出相应字段pp_r1,pp_r2,pp_r3,从流量中提取出对应业务IP/域名的数据存入数据库,每条流量解析后提取出4个字段,其中r1,r2,r3是请求字段,s1,s2是响应字段。具体如表1所示。
表1
r1 | r2 | r3 | s1 | s2 | |
1 | p1_r1 | p1_r2 | p1_r3 | p1_s1 | p1_s2 |
2 | p2_r1 | p2_r2 | p2_r3 | p2_s1 | p2_s2 |
... | ... | ... | ... | ... | |
n | pn_r1 | pn_r2 | pn_r3 | pn_s1 | pn_s2 |
基于前述例子,获得客户端请求的字段,例如:请求字段和响应字段,进一步进行数据查询,该数据查询是从预设数据库中进行查询的,以获得有效的查询结果。具体地,从预设数据库中,以客户端请求的字段进行精确查询,查询字段可以表示为r1=pp_r1 & r2=pp_r2 & r3=pp_r3,若能够查到有效的查询结果,则进行下一步数据筛选;如查询结果为空,则进一步简化查询条件,直至查询到有效的查询结果。例如查询r1=pp_r1 & r2=pp_r2,查询r1=pp_r1 & r3=pp_r3,不断调整/简化查询条件。具体地,可以使用更加宽泛的查询条件作为简化查询条件,例如是r1和pp_r1的字符集相同,r3和pp_r3的长度相同等。
由于有效的查询结果可以为多条,需要进一步进行数据筛选。具体地,和前述数据查询的条件类似,对查询的结果进行分类,取数量最多的一类,比如p1_s1=p2_s1,p1和p2应该分为一类,p1_s1!=p3_s1,p3分为另一类;进一步,将结果中的字段进行打分,从而获得有效的筛选数据,比如使用字符相数据似度算法进行打分,可选Simhash,Levenshtein,Hamming等算法,具体打分方法并不构成对本申请的限定。
经过筛选获得的有效的筛选数据,可用于响应构建。例如有如下数据,如表2所示。
表2
id | r1 | s1 | s2 | s3 | s4 | s5 |
1 | 123 | {"id":"4e1c98b8cac5"} | 123 | aaa | abcd | {"abcd":true} |
2 | 456 | {"id":"2bfe52f2e069"} | 456 | aaa | efgh | {"efgh":true} |
对比数据字段,其中:
请求响应间有关联的动态字段:r1与s2;响应内有关联的动态字段:s4与s5;与其他字段无关联的动态字段:s1。
比如客户端发来请求解析得pp_r1=789,根据字段计算规则,即:将所述请求响应间有关联的动态字段替换为所述请求内容,从所述响应内有关联的动态字段中,随机选取一组数据作为所述响应数据,从与其他字段无关联的动态字段中,随机选取一个数据,从而获得新的响应内容。具体到本实施例,r1字段与s2字段关联,替换对应数据;s4与s5关联,随机取其中一组,例如取第二条;s1字段随机取其中一组,例如取第一条。
那么构造出的新的响应内容如表3所示。
表3
s1 | s2 | s3 | s4 | s5 |
{"id":"4e1c98b8cac5"} | 789 | aaa | efgh | {"efgh":true} |
采用本说明书实施例提供的蜜罐生成方法,能够适用于任意业务,由流量数据和算法驱动,可以实现各种丰富的,动态的功能接口,以及各种漏洞仿真;且能够实现程序和数据相互独立,高效易用,具体地,开发者只用关心匹配、筛选和构造算法,无定制开发,可作为通用标品,开发成本低,维护成本低;使用者只用关心流量数据来源,方便使用;整个过程中没有实际攻击利用发生,全模拟,更加安全,对部署使用和虚拟化安全环境要求低;资源占用与原有业务站点无关,高占用业务可以保持低占用蜜罐。
本说明书实施例提供了一种蜜罐生成方法,基于同样的思路,本说明书实施例提供一种蜜罐生成装置。图4为本说明书实施例提供的一种蜜罐生成装置的示意图,如图4所示,该蜜罐生成装置包括:
流量解析模块401,基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
字段提取模块403,基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;
数据查询模块405,基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
数据筛选模块407,对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
响应内容构造模块409,将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
响应发送模块411,基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
在本说明书实施例中,所述基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议,具体包括:
对所述客户端请求的流量数据进行转化,获得预设格式的流量数据;
对所述预设格式的流量数据进行解析,获得所述客户端请求的应用层协议。
在本说明书实施例中,所述基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果,具体包括:
以所述客户端请求的字段作为精确查询条件,对预设数据库进行精确查询,若所述精确查询结果为空,则对所述客户端请求的字段进行简化或调整以进行简化查询,直至获得有效的查询结果;
所述方法还包括:
若所述精确查询结果为空,则将所述客户端请求的默认响应数据作为有效的查询结果。
在本说明书实施例中,对所述有效的查询结果进行数据筛选,获得有效的筛选结果,具体包括:
根据所述客户端请求的字段,对所述有效的数据查询结果进行分类,以数量最多的一类作为疑似筛选结果;
对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
在本说明书实施例中,所述对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果,具体包括:
基于所述请求字段及所述请求字段对应的字符集,对所述疑似筛选结果评分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
在本说明书实施例中,所述将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容,具体包括:
将所述客户端请求与所述有效的筛选结果进行交叉比对,获得交叉比对结果;
基于所述交叉比对结果,提取动态字段;
基于所述动态字段,进行响应内容构造,获得新的响应内容。
在本说明书实施例中,所述动态字段包括:请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段;
所述基于所述动态字段,进行响应内容构造,获得新的响应内容,具体包括:
将所述请求响应间有关联的动态字段替换为所述请求内容,从所述响应内有关联的动态字段中,随机选取一组数据作为所述响应数据,从与其他字段无关联的动态字段中,随机选取一个数据,从而获得新的响应内容。
在本说明书实施例中,所述基于所述交叉比对结果,提取动态字段,具体包括:
基于所述交叉比对结果,提取相同项及差异项,获得动态字段。
本说明书实施例还提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段,所述客户端请求的字段包括请求时间、请求字段及响应字段;
基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
在本说明书实施例中,所述基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议,具体包括:
对所述客户端请求的流量数据进行转化,获得预设格式的流量数据;
对所述预设格式的流量数据进行解析,获得所述客户端请求的应用层协议。
在本说明书实施例中,所述基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果,具体包括:
以所述客户端请求的字段作为精确查询条件,对预设数据库进行精确查询,若所述精确查询结果为空,则对所述客户端请求的字段进行简化或调整以进行简化查询,直至获得有效的查询结果;
所述方法还包括:
若所述精确查询结果为空,则将所述客户端请求的默认响应数据作为有效的查询结果。
在本说明书实施例中,对所述有效的查询结果进行数据筛选,获得有效的筛选结果,具体包括:
根据所述客户端请求的字段,对所述有效的数据查询结果进行分类,以数量最多的一类作为疑似筛选结果;
对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
在本说明书实施例中,所述对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果,具体包括:
基于所述请求字段及所述请求字段对应的字符集,对所述疑似筛选结果评分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
在本说明书实施例中,所述将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容,具体包括:
将所述客户端请求与所述有效的筛选结果进行交叉比对,获得交叉比对结果;
基于所述交叉比对结果,提取动态字段;
基于所述动态字段,进行响应内容构造,获得新的响应内容。
在本说明书实施例中,所述动态字段包括:请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段;
所述基于所述动态字段,进行响应内容构造,获得新的响应内容,具体包括:
将所述请求响应间有关联的动态字段替换为所述请求内容,从所述响应内有关联的动态字段中,随机选取一组数据作为所述响应数据,从与其他字段无关联的动态字段中,随机选取一个数据,从而获得新的响应内容。
在本说明书实施例中,所述基于所述交叉比对结果,提取动态字段,具体包括:
基于所述交叉比对结果,提取相同项及差异项,获得动态字段。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种蜜罐生成方法,其特征在于,所述方法包括:
基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;
基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
2.如权利要求1所述的蜜罐生成方法,其特征在于,所述基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议,具体包括:
对所述客户端请求的流量数据进行转化,获得预设格式的流量数据;
对所述预设格式的流量数据进行解析,获得所述客户端请求的应用层协议。
3.如权利要求1所述的蜜罐生成方法,其特征在于,所述基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果,具体包括:
以所述客户端请求的字段作为精确查询条件,在所述预设数据库中进行精确查询,若所述精确查询结果为空,则对所述客户端请求的字段进行简化或调整以进行简化查询,直至获得有效的查询结果;
所述方法还包括:
若所述精确查询结果为空,则将所述客户端请求的默认响应数据作为有效的查询结果。
4.如权利要求1所述的蜜罐生成方法,其特征在于,对所述有效的查询结果进行数据筛选,获得有效的筛选结果,具体包括:
根据所述客户端请求的字段,对所述有效的数据查询结果进行分类,以数量最多的一类作为疑似筛选结果;
对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
5.如权利要求4所述的蜜罐生成方法,其特征在于,所述对所述疑似筛选结果进行打分,以评分结果最高的疑似筛选结果作为有效的筛选结果,具体包括:
基于所述请求字段及所述请求字段对应的字符集,对所述疑似筛选结果评分,以评分结果最高的疑似筛选结果作为有效的筛选结果。
6.如权利要求1所述的蜜罐生成方法,其特征在于,所述将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容,具体包括:
将所述客户端请求与所述有效的筛选结果进行交叉比对,获得交叉比对结果;
基于所述交叉比对结果,提取动态字段;
基于所述动态字段,进行响应内容构造,获得新的响应内容。
7.如权利要求6所述的蜜罐生成方法,其特征在于,所述动态字段包括:请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段;
所述基于所述动态字段,进行响应内容构造,获得新的响应内容,具体包括:
将所述请求响应间有关联的动态字段替换为请求内容,从所述响应内有关联的动态字段中,随机选取一组数据作为响应数据,从与其他字段无关联的动态字段中,随机选取一个数据,从而获得新的响应内容。
8.如权利要求6所述的蜜罐生成方法,其特征在于,所述基于所述交叉比对结果,提取动态字段,具体包括:
基于所述交叉比对结果,提取相同项及差异项,获得动态字段。
9.如权利要求1所述的蜜罐生成方法,其特征在于,所述预设数据库是基于不同格式的流量数据构建的,所述预设数据库的构建包括:
基于流量数据进行流量解析,获得所述流量数据的应用层协议;
基于所述流量数据的应用层协议,对所述流量数据进行字段提取,获得所述流量数据的字段以构成所述预设数据库。
10.一种蜜罐生成装置,其特征在于,所述装置包括:
流量解析模块,基于客户端请求的流量数据进行流量解析,获得所述客户端请求的应用层协议;
字段提取模块,基于所述客户端请求的应用层协议,对所述客户端请求的流量数据进行字段提取,获得所述客户端请求的字段;
数据查询模块,基于所述客户端请求的字段,在预设数据库中进行精确查询,若所述精确查询结果为空,则采用简化查询,直至获得有效的查询结果;
数据筛选模块,对所述有效的查询结果进行数据筛选,获得有效的筛选结果;
响应内容构造模块,将所述客户端请求与所述有效的筛选结果进行响应内容构造,获得新的响应内容;
响应发送模块,基于所述客户端请求的应用层协议,将所述新的响应内容构建成符合所述应用层协议的数据包,发送至所述客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211670884.2A CN115632893B (zh) | 2022-12-26 | 2022-12-26 | 一种蜜罐生成方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211670884.2A CN115632893B (zh) | 2022-12-26 | 2022-12-26 | 一种蜜罐生成方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115632893A true CN115632893A (zh) | 2023-01-20 |
CN115632893B CN115632893B (zh) | 2023-03-10 |
Family
ID=84910019
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211670884.2A Active CN115632893B (zh) | 2022-12-26 | 2022-12-26 | 一种蜜罐生成方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115632893B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240634A (zh) * | 2023-11-16 | 2023-12-15 | 中国科学技术大学 | 一种面向MySQL协议的智能安全蜜罐方法、系统及设备 |
CN118368145A (zh) * | 2024-06-19 | 2024-07-19 | 深圳大学 | 一种基于全局比对算法的Web蜜罐响应生成方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200177630A1 (en) * | 2018-12-03 | 2020-06-04 | Citrix Systems, Inc. | Detecting attacks using handshake requests systems and methods |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
CN114422254A (zh) * | 2022-01-21 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质 |
-
2022
- 2022-12-26 CN CN202211670884.2A patent/CN115632893B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200177630A1 (en) * | 2018-12-03 | 2020-06-04 | Citrix Systems, Inc. | Detecting attacks using handshake requests systems and methods |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
CN114422254A (zh) * | 2022-01-21 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240634A (zh) * | 2023-11-16 | 2023-12-15 | 中国科学技术大学 | 一种面向MySQL协议的智能安全蜜罐方法、系统及设备 |
CN117240634B (zh) * | 2023-11-16 | 2024-03-29 | 中国科学技术大学 | 一种面向MySQL协议的智能安全蜜罐方法、系统及设备 |
CN118368145A (zh) * | 2024-06-19 | 2024-07-19 | 深圳大学 | 一种基于全局比对算法的Web蜜罐响应生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115632893B (zh) | 2023-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115632893B (zh) | 一种蜜罐生成方法和装置 | |
US12019745B2 (en) | Cyberanalysis workflow acceleration | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
WO2022083417A1 (zh) | 一种数据包处理方法、装置、电子设备、计算机可读存储介质以及计算机程序产品 | |
CN110213212A (zh) | 一种设备的分类方法和装置 | |
JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
US11568277B2 (en) | Method and apparatus for detecting anomalies in mission critical environments using word representation learning | |
CN107634931A (zh) | 异常数据的处理方法、云端服务器、网关及终端 | |
US11757901B2 (en) | Malicious homoglyphic domain name detection and associated cyber security applications | |
CN107360198B (zh) | 可疑域名检测方法及系统 | |
CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
US20230350966A1 (en) | Communicating url categorization information | |
CN111585956A (zh) | 一种网址防刷验证方法与装置 | |
US8910281B1 (en) | Identifying malware sources using phishing kit templates | |
US20240259427A1 (en) | Domain squatting detection | |
CN112583827B (zh) | 一种数据泄露检测方法及装置 | |
CN112788065B (zh) | 一种基于蜜罐和沙箱的物联网僵尸网络追踪方法及装置 | |
US11580163B2 (en) | Key-value storage for URL categorization | |
US20230112092A1 (en) | Detecting visual similarity between dns fully qualified domain names | |
Nguyen Quoc et al. | Detecting DGA Botnet based on Malware Behavior Analysis | |
CN109508548B (zh) | 一种基于仿真器技术的威胁行为搜集系统及方法 | |
CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 | |
CN117811836B (zh) | 一种流量转发与检测方法及装置 | |
Cafuta et al. | Special Characters in Domain's Name as Possible Indication of Compromitation Status | |
Timko et al. | Smishing Dataset I: Phishing SMS Dataset from Smishtank. com |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |