CN115834231A - 一种蜜罐系统的识别方法、装置、终端设备及存储介质 - Google Patents
一种蜜罐系统的识别方法、装置、终端设备及存储介质 Download PDFInfo
- Publication number
- CN115834231A CN115834231A CN202211645404.7A CN202211645404A CN115834231A CN 115834231 A CN115834231 A CN 115834231A CN 202211645404 A CN202211645404 A CN 202211645404A CN 115834231 A CN115834231 A CN 115834231A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- target
- attack
- asset
- target asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种蜜罐系统的识别方法、装置、终端设备及存储介质,通过对目标网络进行资产搜索操作,在获得若干个目标资产后,对搜索获得的所有目标资产进行蜜罐特征判断、业务响应时间的方差均值判断、以及攻击反馈结果判断,从而对所有目标资产分别进行第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的识别,在所有目标资产中,对同时标记了第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的目标资产,识别为目标蜜罐系统,从而完成了目标蜜罐系统的识别。相较于现有技术通过提取蜜罐特征进行推理识别,本发明通过对蜜罐特征、业务应用场景和安全防御三个维度进行蜜罐的识别,能够大大提高蜜罐识别的准确性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种蜜罐系统的识别方法、装置、终端设备及存储介质。
背景技术
蜜罐是一种对网络攻击者进行诱捕的设备,通过故意暴露的带有漏洞的系统引诱攻击者攻击,从而获取攻击者的IP、攻击载荷、攻击工具等信息。在进行攻防演习时,防御方常常通过蜜罐来收集攻击方的信息,从而直接封掉攻击方的IP地址。为了降低蜜罐带来的损失,有效识别蜜罐并停止对蜜罐的进一步渗透攻击是非常有必要的,然而现有的识别方法主要通过开源蜜罐的特征如Dionaea、Conpot、t-pot等特征,或者针对工业控制系统蜜罐提取特定的属性特征后根据工控业务模型推理后获得结果,这些方法不能针对通用蜜罐或反侦测做的较好的蜜罐系统,因此,现有技术对蜜罐系统的识别准确性较低。
因此,亟需蜜罐系统的识别策略,来解决当前识别蜜罐系统准确性低的问题。
发明内容
本发明实施例提供种蜜罐系统的识别方法、装置、终端设备及存储介质,以提高当前识别蜜罐系统的准确性。
为了解决上述问题,本发明一实施例提供一种蜜罐系统的识别方法,包括:
对目标网络进行资产搜索操作,获得若干个目标资产;
提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组;
通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组;
根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
作为上述方案的改进,所述提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,具体为:
提取每个所述目标资产的系统版本号、中间件版本号和开放端口数,并根据每个所述目标资产的系统版本号、中间件版本号和开放端口数,对所有所述目标资产进行均值方差聚类,获得第一聚类资产和第二聚类资产;其中,所述系统特征数据,包括:系统版本号、中间件版本号和开放端口数。
作为上述方案的改进,所述根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述聚类结果包括:第一聚类资产和第二聚类资产;
对所述聚类结果进行蜜罐特征判断操作,对所述聚类结果中目标资产的系统特征数据进行识别;
若第一聚类资产中所有目标资产的开放端口数大于端口数阈值,第一聚类资产中所有目标资产的中间件版本号不同数值的数量大于种类阈值,且第一聚类资产中存在有目标资产的中间件版本号与低版本中间件版本号数据库匹配的情况,则第一聚类资产所对应的目标资产判断为第一蜜罐系统组;
若第二聚类资产中所有目标资产的开放端口数大于端口数阈值,第二聚类资产中所有目标资产的中间件版本号不同数值的数量大于种类阈值,且第二聚类资产中存在有目标资产的中间件版本号与低版本中间件版本号数据库匹配的情况,则第二聚类资产所对应的目标资产判断为第一蜜罐系统组。
作为上述方案的改进,所述通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,具体为:
对每个所述目标资产执行带有表单提交功能的业务探测操作,在预设的业务探测时间内,获得每个所述目标资产的业务响应时间;
根据每个所述目标资产的业务响应时间,计算获得每个所述目标资产的业务响应时间的方差;
根据每个所述目标资产的业务响应时间的方差,计算获得所有所述目标资产的业务响应时间的方差均值。
作为上述方案的改进,所述通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,具体为:
通过带有明文的攻击载荷,对每个所述目标资产进行攻击探测,并在完成攻击探测后,通过执行攻击探测的攻击载荷对每个所述目标资产进行攻击反馈结果的扫描,获得每个所述目标资产的攻击反馈结果。
作为上述方案的改进,所述根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组,具体为:
根据每个所述目标资产的攻击反馈结果,执行攻击反馈结果判断操作;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷未被防火墙封禁,则判断为攻击反馈结果为空;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷被防火墙封禁,则判断为攻击反馈结果为非空,并标记攻击反馈结果为非空的目标资产为第三蜜罐系统组。
相应的,本发明一实施例还提供了一种蜜罐系统的识别装置,包括:数据获取模块、第一蜜罐识别模块、第二蜜罐识别模块、第三蜜罐识别模块和结果生成模块;
所述数据获取模块,用于对目标网络进行资产搜索操作,获得若干个目标资产;
所述第一蜜罐识别模块,用于提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述第二蜜罐识别模块,用于通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组;
所述第三蜜罐识别模块,用于通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组;
所述结果生成模块,用于根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
作为上述方案的改进,所述提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,具体为:
提取每个所述目标资产的系统版本号、中间件版本号和开放端口数,并根据每个所述目标资产的系统版本号、中间件版本号和开放端口数,对所有所述目标资产进行均值方差聚类,获得第一聚类资产和第二聚类资产;其中,所述系统特征数据,包括:系统版本号、中间件版本号和开放端口数。
作为上述方案的改进,所述根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述聚类结果包括:第一聚类资产和第二聚类资产;
根据所述第一聚类资产的开放端口数和所述第二聚类资产的开放端口数,对所述聚类结果进行蜜罐特征判断操作,将开放端口数最大所对应的聚类结果判断为蜜罐特征,并标记为第一蜜罐系统组。
作为上述方案的改进,所述通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,具体为:
对每个所述目标资产执行带有表单提交功能的业务探测操作,在预设的业务探测时间内,获得每个所述目标资产的业务响应时间;
根据每个所述目标资产的业务响应时间,计算获得每个所述目标资产的业务响应时间的方差;
根据每个所述目标资产的业务响应时间的方差,计算获得所有所述目标资产的业务响应时间的方差均值。
作为上述方案的改进,所述通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,具体为:
通过带有明文的攻击载荷,对每个所述目标资产进行攻击探测,并在完成攻击探测后,通过执行攻击探测的攻击载荷对每个所述目标资产进行攻击反馈结果的扫描,获得每个所述目标资产的攻击反馈结果。
作为上述方案的改进,所述根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组,具体为:
根据每个所述目标资产的攻击反馈结果,执行攻击反馈结果判断操作;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷未被防火墙封禁,则判断为攻击反馈结果为空;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷被防火墙封禁,则判断为攻击反馈结果为非空,并标记攻击反馈结果为非空的目标资产为第三蜜罐系统组。
相应的,本发明一实施例还提供了一种计算机终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如本发明所述的一种蜜罐系统的识别方法。
相应的,本发明一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如本发明所述的一种蜜罐系统的识别方法。
由上可见,本发明具有如下有益效果:
本发明提供了一种蜜罐系统的识别方法,通过对目标网络进行资产搜索操作,在获得若干个目标资产后,对搜索获得的所有目标资产进行蜜罐特征判断、业务响应时间的方差均值判断、以及攻击反馈结果判断,从而对所有目标资产分别进行第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的识别,在所有目标资产中,对同时标记了第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的目标资产,识别为目标蜜罐系统,从而完成了目标蜜罐系统的识别。相较于现有技术通过提取蜜罐特征进行推理识别,本发明通过对蜜罐特征、业务应用场景和安全防御三个维度进行蜜罐的识别,能够大大提高蜜罐识别的准确性。
附图说明
图1是本发明一实施例提供的蜜罐系统的识别方法的流程示意图;
图2是本发明一实施例提供的蜜罐系统的识别装置的结构示意图;
图3是本发明一实施例提供的一种终端设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
参见图1,图1是本发明一实施例提供的一种蜜罐系统的识别方法的流程示意图,如图1所示,本实施例包括步骤101至步骤105,各步骤具体如下:
步骤101:对目标网络进行资产搜索操作,获得若干个目标资产。
在一具体的实施例中,通过脆弱性扫描引擎,对目标网络的资产发现和资产脆弱性扫描功能,包括返回所发现资产的系统版本、中间件版本、开放的端口,为进一步的蜜罐识别提供基础信息。
步骤102:提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组。
在本实施例中,提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,具体为:
提取每个所述目标资产的系统版本号、中间件版本号和开放端口数,并根据每个所述目标资产的系统版本号、中间件版本号和开放端口数,对所有所述目标资产进行均值方差聚类,获得第一聚类资产和第二聚类资产;其中,所述系统特征数据,包括:系统版本号、中间件版本号和开放端口数。
在一具体的实施例中,计算所有目标资产中以系统版本号、中间件版本号、开放端口数,以这些数据作为特征,输入到聚类模型中,执行K均值方差聚类(现有的聚类方法);其中,K为需要聚类获得的目标种类数,通过K均值方差聚类,能够将系统版本号、中间件版本号和开放端口数相近的目标资产划分为一类。
在本实施例中,所述根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述聚类结果包括:第一聚类资产和第二聚类资产;
根据所述第一聚类资产的开放端口数和所述第二聚类资产的开放端口数,对所述聚类结果进行蜜罐特征判断操作,将开放端口数最大所对应的聚类结果判断为蜜罐特征,并标记为第一蜜罐系统组。
在一具体的实施例中,由于蜜罐系统组的开放端口数较多,而正常资产的开放端口数较少,通过对聚类后的目标资产进行开放端口数的比较,能够很好的区分蜜罐系统组。
在另一具体的实施例中,执行蜜罐特征评估:对聚类结果进行识别:
若第一聚类资产的开放端口词向量的数量较少(即开放端口词向量的数量小于端口阈值,端口阈值的设置根据用户的需求进行调整),中间件版本词向量的种类统一(即不同种类数量小于种类阈值,种类阈值的设置根据用户的需求进行调整),且中间件版本词向量的种类为高版本(即中间件版本词向量的种类与高版本中间件数据库匹配),则认为是正常资产;
若第一聚类资产的开放端口词向量的数量较多(即即本发明权要所述的开放端口词向量的数量大于端口阈值,端口阈值的设置根据用户的需求进行调整),中间件版本词向量的种类不统一(即本发明权要所述的不同种类数量大于种类阈值,种类阈值的设置根据用户的需求进行调整),且中间件版本词向量的种类存在低版本(即本发明权要所述的中间件版本词向量的种类与低版本中间件数据库匹配),则认为是第一蜜罐系统组。
步骤103:通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组。
在本实施例中,所述通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,具体为:
对每个所述目标资产执行带有表单提交功能的业务探测操作,在预设的业务探测时间内,获得每个所述目标资产的业务响应时间;
根据每个所述目标资产的业务响应时间,计算获得每个所述目标资产的业务响应时间的方差;
根据每个所述目标资产的业务响应时间的方差,计算获得所有所述目标资产的业务响应时间的方差均值。
在一具体的实施例中,执行业务一致性评估:对所有目标资产执行24小时(即本发明权要所述的业务探测时间)的业务探测,每10分钟执行一次,记录业务响应时间,计算每小时响应时间的均值,计算24小时中每小时的响应时间的方差,计算所有目标资产的业务响应时间方差均值,将大于均值和小于均值的资产分为两组;
大于均值则为正常资产,小于均值则为第二蜜罐系统组。
步骤104:通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组。
在本实施例中,所述通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,具体为:
通过带有明文的攻击载荷,对每个所述目标资产进行攻击探测,并在完成攻击探测后,通过执行攻击探测的攻击载荷对每个所述目标资产进行攻击反馈结果的扫描,获得每个所述目标资产的攻击反馈结果。
在本实施例中,所述根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组,具体为:
根据每个所述目标资产的攻击反馈结果,执行攻击反馈结果判断操作;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷未被防火墙封禁,则判断为攻击反馈结果为空;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷被防火墙封禁,则判断为攻击反馈结果为非空,并标记攻击反馈结果为非空的目标资产为第三蜜罐系统组。
在一具体的实施例中,执行安全防御强度一致性评估:对所有目标资产执行攻击探测,使用明文的攻击载荷进行攻击探测,包括SQL注入、webshell连接、远程控制端口连接等探测方式,攻击探测后,再使用与进行攻击探测的攻击载荷相同的IP,对每个目标资产进行扫描,以确定该IP是否被防火墙封禁,并记录攻击反馈结果;
对攻击反馈结果进行攻击反馈结果判断操作,将发生防御封堵的标记为第三蜜罐系统组,未发生防御封堵的分为正常资产。
步骤105:根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
在一具体的实施例中,为更好地说明,举出以下例子进行说明:
对目标网络进行资产发现和资产脆弱性扫描;
设发现了20个资产,资产A~资产T,并且这些资产都是web服务器;
提取资产的系统特征,并基于系统特征进行聚类,将资产聚成两类,其中A~J为组1,K~T为组2;
通过分析,发现组1的资产中所开放端口数量较少,且所使用中间件的版本统一且高,组2的资产中所开发端口数量较多,使用中间件的版本不统一,存在低版本,将组2标记为疑似蜜罐系统组;
对所有资产执行带有表单提交功能的业务探测,该功能需要单独编写,由系统的业务探测引擎进行调用,并执行24小时后,记录业务响应时间;
计算业务响应时间的方差并基于方差均值将所有资产分为两组,记大于方差的为组3,小于方差的为组4;
对所有资产执行webshell连接、SQL注入攻击的探测,再使用相同IP进行一次资产扫描测试是否能够取得返回结果;
将不能取得返回结果的资产记为组5,能够取得返回结果的记为组6;
计算组2、组4、组6的交集,将交集的资产标记为蜜罐。
本实施例通过对目标网络进行资产搜索操作,在获得若干个目标资产后,对搜索获得的所有目标资产进行蜜罐特征判断、业务响应时间的方差均值判断、以及攻击反馈结果判断,从而对所有目标资产分别进行第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的识别,在所有目标资产中,对同时标记了第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的目标资产,识别为目标蜜罐系统,从而完成了目标蜜罐系统的识别。本实施例基于业务一致性评估能够对蜜罐中不能完全仿真业务流时序特征的蜜罐系统进行识别;基于安全防御强度一致性评估能够对蜜罐系统往往不具备常规安全防御手段的特性进行捕获;本实施例还适用于通用性系统的蜜罐识别。
实施例二
参见图2,图2是本发明一实施例提供的一种蜜罐系统的识别装置的结构示意图,包括:数据获取模块201、第一蜜罐识别模块202、第二蜜罐识别模块203、第三蜜罐识别模块204和结果生成模块205;
所述数据获取模块201,用于对目标网络进行资产搜索操作,获得若干个目标资产;
所述第一蜜罐识别模块202,用于提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述第二蜜罐识别模块203,用于通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组;
所述第三蜜罐识别模块204,用于通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组;
所述结果生成模块205,用于根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
作为上述方案的改进,所述提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,具体为:
提取每个所述目标资产的系统版本号、中间件版本号和开放端口数,并根据每个所述目标资产的系统版本号、中间件版本号和开放端口数,对所有所述目标资产进行均值方差聚类,获得第一聚类资产和第二聚类资产;其中,所述系统特征数据,包括:系统版本号、中间件版本号和开放端口数。
作为上述方案的改进,所述根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述聚类结果包括:第一聚类资产和第二聚类资产;
根据所述第一聚类资产的开放端口数和所述第二聚类资产的开放端口数,对所述聚类结果进行蜜罐特征判断操作,将开放端口数最大所对应的聚类结果判断为蜜罐特征,并标记为第一蜜罐系统组。
作为上述方案的改进,所述通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,具体为:
对每个所述目标资产执行带有表单提交功能的业务探测操作,在预设的业务探测时间内,获得每个所述目标资产的业务响应时间;
根据每个所述目标资产的业务响应时间,计算获得每个所述目标资产的业务响应时间的方差;
根据每个所述目标资产的业务响应时间的方差,计算获得所有所述目标资产的业务响应时间的方差均值。
作为上述方案的改进,所述通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,具体为:
通过带有明文的攻击载荷,对每个所述目标资产进行攻击探测,并在完成攻击探测后,通过执行攻击探测的攻击载荷对每个所述目标资产进行攻击反馈结果的扫描,获得每个所述目标资产的攻击反馈结果。
作为上述方案的改进,所述根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组,具体为:
根据每个所述目标资产的攻击反馈结果,执行攻击反馈结果判断操作;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷未被防火墙封禁,则判断为攻击反馈结果为空;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷被防火墙封禁,则判断为攻击反馈结果为非空,并标记攻击反馈结果为非空的目标资产为第三蜜罐系统组。
本实施例通过数据获取模块获取目标资产,通过第一蜜罐识别模块对目标资产进行蜜罐特征判断,标记第一蜜罐系统组,通过第二蜜罐识别模块对目标资产进行业务响应时间方差计算,标记第二蜜罐系统组,通过第三蜜罐识别模块对目标资产进行攻击反馈结果的扫描,标记第三蜜罐系统组,最后通过结果生成模块将同时标记为第一蜜罐系统组、第二蜜罐系统组和第三蜜罐系统组的目标资产识别为目标蜜罐系统。相较于现有技术通过提取蜜罐特征进行推理识别,本发明通过对蜜罐特征、业务应用场景和安全防御三个维度进行蜜罐的识别,能够大大提高蜜罐识别的准确性。
实施例三
参见图3,图3是本发明一实施例提供的终端设备结构示意图。
该实施例的一种终端设备包括:处理器301、存储器302以及存储在所述存储器302中并可在所述处理器301上运行的计算机程序。所述处理器301执行所述计算机程序时实现上述各个蜜罐系统的识别方法在实施例中的步骤,例如图1所示的蜜罐系统的识别方法的所有步骤。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块的功能,例如:图2所示的蜜罐系统的识别装置的所有模块。
另外,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上任一实施例所述的蜜罐系统的识别方法。
本领域技术人员可以理解,所述示意图仅仅是终端设备的示例,并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器301可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器301是所述终端设备的控制中心,利用各种接口和线路连接整个终端设备的各个部分。
所述存储器302可用于存储所述计算机程序和/或模块,所述处理器301通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器302内的数据,实现所述终端设备的各种功能。所述存储器302可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,所述终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (9)
1.一种蜜罐系统的识别方法,其特征在于,包括:
对目标网络进行资产搜索操作,获得若干个目标资产;
提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组;
通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组;
根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
2.根据权利要求1所述的蜜罐系统的识别方法,其特征在于,所述提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,具体为:
提取每个所述目标资产的系统版本号、中间件版本号和开放端口数,并根据每个所述目标资产的系统版本号、中间件版本号和开放端口数,对所有所述目标资产进行均值方差聚类,获得第一聚类资产和第二聚类资产;其中,所述系统特征数据,包括:系统版本号、中间件版本号和开放端口数。
3.根据权利要求2所述的蜜罐系统的识别方法,其特征在于,所述根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述聚类结果包括:第一聚类资产和第二聚类资产;
根据所述第一聚类资产的开放端口数和所述第二聚类资产的开放端口数,对所述聚类结果进行蜜罐特征判断操作,将开放端口数最大所对应的聚类结果判断为蜜罐特征,并标记为第一蜜罐系统组。
4.根据权利要求1所述的蜜罐系统的识别方法,其特征在于,所述通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,具体为:
对每个所述目标资产执行带有表单提交功能的业务探测操作,在预设的业务探测时间内,获得每个所述目标资产的业务响应时间;
根据每个所述目标资产的业务响应时间,计算获得每个所述目标资产的业务响应时间的方差;
根据每个所述目标资产的业务响应时间的方差,计算获得所有所述目标资产的业务响应时间的方差均值。
5.根据权利要求1所述的蜜罐系统的识别方法,其特征在于,所述通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,具体为:
通过带有明文的攻击载荷,对每个所述目标资产进行攻击探测,并在完成攻击探测后,通过执行攻击探测的攻击载荷对每个所述目标资产进行攻击反馈结果的扫描,获得每个所述目标资产的攻击反馈结果。
6.根据权利要求5所述的蜜罐系统的识别方法,其特征在于,所述根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组,具体为:
根据每个所述目标资产的攻击反馈结果,执行攻击反馈结果判断操作;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷未被防火墙封禁,则判断为攻击反馈结果为空;
若目标资产的攻击反馈结果为执行攻击探测的攻击载荷被防火墙封禁,则判断为攻击反馈结果为非空,并标记攻击反馈结果为非空的目标资产为第三蜜罐系统组。
7.一种蜜罐系统的识别装置,其特征在于,包括:数据获取模块、第一蜜罐识别模块、第二蜜罐识别模块、第三蜜罐识别模块和结果生成模块;
所述数据获取模块,用于对目标网络进行资产搜索操作,获得若干个目标资产;
所述第一蜜罐识别模块,用于提取每个所述目标资产的系统特征数据,并对每个系统特征数据进行聚类,继而根据聚类结果,通过蜜罐特征判断操作,标记判断为蜜罐特征所对应的目标资产为第一蜜罐系统组;
所述第二蜜罐识别模块,用于通过预设的业务探测操作,对每个所述目标资产进行业务响应时间的方差计算,继而根据所有所述目标资产的业务响应时间的方差均值,标记业务响应时间的方差小于方差均值所对应的目标资产为第二蜜罐系统组;
所述第三蜜罐识别模块,用于通过预设的攻击探测操作,对每个所述目标资产进行攻击反馈结果的扫描,继而根据扫描获得的攻击反馈结果,通过攻击反馈结果判断操作,标记攻击反馈结果为非空所对应的目标资产为第三蜜罐系统组;
所述结果生成模块,用于根据所述第一蜜罐系统组、所述第二蜜罐系统组和所述第三蜜罐系统组,选取同时标记为所述第一蜜罐系统组、所述第二蜜罐系统和所述第三蜜罐系统的目标资产,并确定为目标蜜罐系统。
8.一种计算机终端设备,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述的一种蜜罐系统的识别方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至6中任意一项所述的一种蜜罐系统的识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211645404.7A CN115834231A (zh) | 2022-12-19 | 2022-12-19 | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211645404.7A CN115834231A (zh) | 2022-12-19 | 2022-12-19 | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115834231A true CN115834231A (zh) | 2023-03-21 |
Family
ID=85517231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211645404.7A Pending CN115834231A (zh) | 2022-12-19 | 2022-12-19 | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115834231A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094847A (zh) * | 2023-04-11 | 2023-05-09 | 中国工商银行股份有限公司 | 蜜罐识别方法、装置、计算机设备和存储介质 |
-
2022
- 2022-12-19 CN CN202211645404.7A patent/CN115834231A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094847A (zh) * | 2023-04-11 | 2023-05-09 | 中国工商银行股份有限公司 | 蜜罐识别方法、装置、计算机设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
CN109949154B (zh) | 客户信息分类方法、装置、计算机设备和存储介质 | |
CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
CN111385309B (zh) | 在线办公设备的安全检测方法、系统及终端 | |
CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
CN109547393B (zh) | 恶意号码识别方法、装置、设备和存储介质 | |
CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
CN114972827A (zh) | 资产识别方法、装置、设备及计算机可读存储介质 | |
CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
CN110445772B (zh) | 一种基于主机关系的互联网主机扫描方法及系统 | |
CN112769635B (zh) | 多粒度特征解析的服务识别方法及装置 | |
CN111885011B (zh) | 一种业务数据网络安全分析挖掘的方法及系统 | |
CN113065748A (zh) | 业务风险评估方法、装置、设备及存储介质 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN111901137A (zh) | 一种利用蜜罐告警日志挖掘多步攻击场景的方法 | |
CN116248397A (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN114925765A (zh) | 对抗性集成分类模型的构建方法、装置、设备及存储介质 | |
CN115098864A (zh) | 一种图像识别模型的评测方法、装置、介质及电子设备 | |
CN114221824B (zh) | 一种私域网络的安全访问控制方法、系统和可读存储介质 | |
CN115174275B (zh) | 基于云端的远程控制方法及装置 | |
CN113972994B (zh) | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 | |
CN117014217A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
CN118095821A (zh) | 风险社区识别方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |