CN116232641A - 防御多方位网络探测攻击的蜜罐部署方法、系统及介质 - Google Patents
防御多方位网络探测攻击的蜜罐部署方法、系统及介质 Download PDFInfo
- Publication number
- CN116232641A CN116232641A CN202211581313.1A CN202211581313A CN116232641A CN 116232641 A CN116232641 A CN 116232641A CN 202211581313 A CN202211581313 A CN 202211581313A CN 116232641 A CN116232641 A CN 116232641A
- Authority
- CN
- China
- Prior art keywords
- service
- attacker
- port
- honeypot
- confusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防御多方位网络探测攻击的蜜罐部署方法、系统及介质,所述方法包括:将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。本发明克服了传统蜜罐跟业务主机系统分开部署,当攻击者精准攻击业务主机IP,蜜罐无感知的技术缺陷,解决了企业为了增加捕获攻击者的概率而大量部署蜜罐、诱捕节点的问题,为企业提供更加精准、高效、低成本网络安全防护;同时,还克服了攻击者由网关进入企业内网而蜜罐难以感知的技术缺陷,为企业提供更加全面的网络安全防护。
Description
技术领域
本发明涉及一种防御多方位网络探测攻击的蜜罐部署方法、系统及介质,属于网络安全领域。
背景技术
传统蜜罐及诱捕节点,具有如下缺点:
1.传统蜜罐及诱捕节点部署在用户的非业务主机上,需要给其分配IP。如果攻击者精准攻击了业务主机的IP,没有访问到蜜罐IP,此时蜜罐就无法发挥攻击发现和欺骗攻击者的作用,即没能做到精准防护。
2.传统蜜罐及诱捕节点由于跟业务系统分开部署,当真实业务系统的服务端口被攻击时,也无法发挥攻击发现和欺骗攻击者的作用。
3.传统蜜罐部署在企业内网,当攻击者从外网对企业的出口网关进行攻击,试图通过网关进入内网时,企业内部的蜜罐无法感知,不能起到攻击预警的作用。
4.传统的网关、防火墙基于规则来处置连接、判断是否放行IP,自身没有分析是否为恶意IP的能力。
发明内容
有鉴于此,本发明提供了一种防御多方位网络探测攻击的蜜罐部署方法、系统、计算机设备及存储介质,其针对上述问题并基于蜜罐装置/系统,为多方位网络探测攻击下的企业提供一体化防御规划。
本发明的第一个目的在于提供一种防御多方位网络探测攻击的蜜罐部署方法。
本发明的第二个目的在于提供一种防御多方位网络探测攻击的蜜罐部署系统。
本发明的第三个目的在于提供一种计算机设备。
本发明的第四个目的在于提供一种存储介质。
本发明的第一个目的可以通过采取如下技术方案达到:
一种防御多方位网络探测攻击的蜜罐部署方法,所述方法包括:
将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
进一步的,所述配置服务端口混淆,以拖延攻击者,包括:
根据业务主机的端口状态和与业务主机服务相近的端口,绑定蜜罐装置的服务端口,得到混淆端口;
根据混淆端口,混淆攻击业务主机IP的攻击者。
进一步的,所述根据混淆端口,混淆攻击业务主机IP的攻击者,具体包括:
当攻击者对业务主机IP进行端口探测扫描时,若扫描到混淆端口,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时,蜜罐服务对端口探测扫描进行服务响应。
进一步的,所述业务系统为使用web方式提供服务的业务系统;
所述配置接口路径混淆,以拖延攻击者,包括:
根据业务系统的接口路径使用情况,配置具有诱惑性的接口路径,绑定蜜罐装置的web服务,得到诱饵接口路径;
根据诱饵接口路径,混淆攻击业务系统的攻击者。
进一步的,所述根据诱饵接口路径,混淆攻击业务系统的攻击者,具体包括:
当攻击者对业务系统的web服务端口进行路径扫描时,若扫描到诱饵接口路径,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时,蜜罐服务对路径扫描进行服务响应。
进一步的,所述方法还包括:
将蜜罐装置与业务系统的登录接口功能结合,以检测是否存在恶意登录,并输出检测结果;
若检测结果为是,则根据恶意登录的请求,通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时蜜罐服务向攻击者返回虚假的登录成功页面。
进一步的,所述配置服务端口混淆,以封堵攻击者,包括:
在网关/防火墙上设置配置端口;
根据配置端口,设置配置端口转发规则,与蜜罐装置的服务端口绑定;
根据绑定后的配置端口,封堵攻击网关/防火墙的攻击者。
进一步的,所述根据绑定后的配置端口,封堵攻击网关/防火墙的攻击者,具体包括:
若网关/防火墙接收到配置端口的访问流量,则将访问流量转发到蜜罐装置,并由蜜罐装置对访问流量进行恶意攻击分析;
若访问流量为恶意攻击类型,则触发报警并联动网关/防火墙对攻击者进行封堵。
本发明的第二个目的可以通过采取如下技术方案达到:
一种防御多方位网络探测攻击的蜜罐部署系统,所述系统包括:
第一部署单元,用于将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
第二部署单元,用于将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
第三部署单元,用于将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
本发明的第三个目的可以通过采取如下技术方案达到:
一种计算机设备,包括处理器以及用于存储处理器可执行程序的存储器,所述处理器执行存储器存储的程序时,实现上述的防御多方位网络探测攻击的蜜罐部署方法。
本发明的第四个目的可以通过采取如下技术方案达到:
一种存储介质,存储有程序,所述程序被处理器执行时,实现上述的防御多方位网络探测攻击的蜜罐部署方法。
本发明相对于现有技术具有如下的有益效果:
本发明实施例将蜜罐装置部署在业务主机IP和业务系统上,并设置陷阱以混淆对应的攻击者,增大攻击者的攻击难度和时间成本,从而有效地拖延攻击者,其中,克服了传统蜜罐跟业务主机系统分开部署,当攻击者精准攻击业务主机IP,蜜罐无感知的技术缺陷,解决了企业为了增加捕获攻击者的概率而大量部署蜜罐、诱捕节点的问题,为企业提供更加精准、高效、低成本网络安全防护;同时,还克服了攻击者由网关进入企业内网而蜜罐难以感知的技术缺陷,为企业提供更加全面的网络安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明实施例1的防御多方位网络探测攻击的蜜罐部署方法的流程图。
图2为本发明实施例2的防御多方位网络探测攻击的蜜罐部署系统的结构框图。
图3为本发明实施例3的计算机设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:
如图1所示,本实施例提供了一种防御多方位网络探测攻击的蜜罐部署方法,该方法包括以下步骤:
S101、将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者。
需要说明的是,蜜罐装置跟业务主机结合,不需要额外分配IP。
本步骤中,所述配置服务端口混淆,以拖延攻击者,包括:
S1011、根据业务主机的端口状态和与业务主机服务相近的端口,绑定蜜罐装置的服务端口,得到混淆端口(已配置的混淆端口,简称混淆端口)。
本步骤中,端口状态为端口空闲。
实际应用中,根据业务主机系统和提供的服务,选择混淆端口,比如:业务主机系统是linux系统,提供web服务;如果web服务使用80端口,那么混淆端口可以配成8080端口,因为8080端口也是常用的web服务端口;当扫描到这两个服务端口时,攻击者第一时间是不知道哪个是真的,或者以为都是真的,只能继续逐一研究,即达到端口混淆的目的;再因为是linux系统,混淆端口还可以增加linux系统常用的端口,如:ssh服务默认的22端口,如果22端口已经被占用,又想用来混淆攻击者,可以将业务主机的ssh服务换一个端口,把22端口空闲出来用作混淆端口,绑定蜜罐的ssh服务;多配置几个混淆端口,攻击者就会被混淆,达到拖延时间的目的。若业务主机系统是windows系统,混淆端口可以配windows常见的445,3389端口等。
S1012、根据混淆端口,混淆攻击业务主机IP的攻击者。
本步骤具体包括:
当攻击者对业务主机IP进行端口探测扫描时,若扫描到混淆端口,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以第一时间发现攻击和触发报警,同时,蜜罐服务对端口探测扫描进行服务响应,即返回混淆攻击者的数据;其中,攻击信息由蜜罐装置的转发模块转发。
值得注意的是,S101中,攻击者不知道哪些端口是真实的业务主机端口,需要逐一尝试,大大增加了攻击难度和时间成本,从而有效地拖延了攻击者;进行服务响应是为了混淆和欺骗攻击者,让其误以为这个端口是存在的,可以进行下一步攻击渗透;如果不进行服务响应,对于攻击者来说,这个服务端口是不存在的,也就没起到端口混淆的作用,就不能引诱攻击者继续攻击。返回混淆攻击者的数据,例如:由蜜罐装置web服务返回虚假的登录页面,此时攻击者不断尝试登录,可以收集攻击者常用的账号密码。
值得注意的是,S101中,还克服了传统蜜罐跟业务主机系统分开部署,当攻击者精准攻击业务主机系统IP时,蜜罐无感知,未能发挥发现攻击和欺骗攻击者作用的技术缺陷,企业不再需要为了增加捕获攻击者的概率而大量部署蜜罐、诱捕节点,为企业提供更加精准、高效、低成本网络安全防护。
S102、将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者。
本实施例中,所述业务系统为使用web方式提供服务的业务系统。
本步骤中,所述配置接口路径混淆,以拖延攻击者,包括:
S1021、根据业务系统的web服务的接口路径使用情况,配置具有诱惑性的接口路径,绑定蜜罐装置的web服务,得到诱饵接口路径。
本实施例中,对具有诱惑性的接口路径作如下说明:
Web服务是通过接口路径来提供对应的服务和资源的,也就是常说的统一资源标识符(Uniform Resource Identifier,URI),比如:通常提供登录功能的接口路径可以叫做login,当访问者使用web登录功能时,访问了http://×××××/login,login即为接口路径。当攻击者发现web端口存在并进行渗透时,会尝试扫描有什么接口路径,以判断是否具有入侵价值,例如:配置一个叫manager的接口路径,对攻击者来说,如果存在后台管理并且能拿下,就相当于攻破了这个网站。可见,这类接口路径是极具诱惑性的。
本步骤中,诱饵接口路径为web服务未使用的接口路径,诱饵接口路径由蜜罐装置配置。
S1022、根据诱饵接口路径,混淆攻击业务系统的攻击者。
本步骤具体包括:
当攻击者对业务系统的web服务端口进行路径扫描时,若扫描到诱饵接口路径,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以第一时间发现攻击和触发报警,同时,蜜罐服务对路径扫描进行服务响应,即返回混淆攻击者的数据;其中,攻击信息由蜜罐装置的转发模块转发。
本实施例中,发现攻击和触发报警均由蜜罐装置执行。
值得注意的是,S102中,可以混淆攻击者,大大增加了攻击难度和时间成本,实现了对业务系统已有web服务的保护。
S103、将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
本步骤中,所述配置服务端口混淆,以封堵攻击者,包括:
S1031、在网关/防火墙上设置配置端口。
S1032、根据配置端口,设置配置端口转发规则,与蜜罐装置的服务端口绑定。
S1033、根据绑定后的配置端口,封堵攻击网关/防火墙的攻击者。
本步骤,具体包括:
S10331、若网关/防火墙接收到配置端口的访问流量,则将访问流量转发到蜜罐装置,并由蜜罐装置对访问流量进行恶意攻击分析。
S10332、若访问流量为恶意攻击类型,则触发报警并联动网关/防火墙对攻击者进行封堵。
本步骤中,可以根据装置设置联动网关/防火墙对攻击者(攻击IP)进行封堵。
本实施例中,对恶意攻击类型作示例性说明:
网关/防火墙配置了ssh服务的22端口并作为混淆端口;当攻击者对混淆端口,即22端口进行多次暴力破解登录时,蜜罐装置可以判断此行为为恶意攻击(正常访问不会去暴力破解)。
值得注意的是,S103中,通过蜜罐装置与网关/防火墙联动,克服了攻击者由网关进入企业内网而蜜罐难以感知的技术缺陷,为企业提供更加全面的网络安全防护。
另外,对于上述的业务系统,登录功能往往容易遭受暴力破解。为此本实施例将蜜罐装置和业务系统的登录接口功能结合,以克服恶意登录,具体参考步骤S1-S2。
S1、将蜜罐装置与业务系统的登录接口功能结合,以检测是否存在恶意登录,并输出检测结果。
本实施例中,对所述将蜜罐装置与业务系统的登录接口功能结合作如下说明:
上述业务系统自带登录接口功能模块;本实施例在原有的登录接口功能模块里面增加判断是否为恶意登录的功能,即在原有的登录接口功能模块中添加部分蜜罐装置的功能;如果检测到是恶意登录的请求,就将该登录请求转发给蜜罐装置;如果检测到是正常登录的请求,原登录功能就正常响应。
S2、若检测结果为是,则根据恶意登录的请求,通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时蜜罐服务向攻击者返回虚假的登录成功页面。
本领域技术人员可以理解,实现上述实施例的方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成,相应的程序可以存储于计算机可读存储介质中。
应当注意,尽管在附图中以特定顺序描述了上述实施例的方法操作,但是这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
实施例2:
如图2所示,本实施例提供了一种防御多方位网络探测攻击的蜜罐部署系统,该系统包括第一部署单元201、第二部署单元202和第三部署单元203,各个单元的具体功能如下:
第一部署单元201,用于将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
第二部署单元202,用于将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
第三部署单元203,用于将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
实施例3:
如图3所示,本实施例提供了一种计算机设备,其包括通过系统总线301连接的处理器302、存储器、输入装置303、显示装置304和网络接口305。其中,处理器302用于提供计算和控制能力,存储器包括非易失性存储介质306和内存储器307,该非易失性存储介质306存储有操作系统、计算机程序和数据库,该内存储器307为非易失性存储介质306中的操作系统和计算机程序的运行提供环境,计算机程序被处理器302执行时,实现上述实施例1的防御多方位网络探测攻击的蜜罐部署方法,如下:
将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
实施例4:
本实施例提供一种存储介质,该存储介质为计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时,实现上述实施例1的防御多方位网络探测攻击的蜜罐部署方法,如下:
将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
需要说明的是,本实施例的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读存储介质可以以一种或多种程序设计语言或其组合来编写用于执行本实施例的计算机程序,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Python、C++,还包括常规的过程式程序设计语言—诸如C语言或类似的程序设计语言。程序可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
综上所述,本发明实施例将蜜罐装置部署在业务主机IP和业务系统上,并设置陷阱以混淆对应的攻击者,增大攻击者的攻击难度和时间成本,从而有效地拖延攻击者,其中,克服了传统蜜罐跟业务主机系统分开部署,当攻击者精准攻击业务主机IP,蜜罐无感知的技术缺陷,解决了企业为了增加捕获攻击者的概率而大量部署蜜罐、诱捕节点的问题,为企业提供更加精准、高效、低成本网络安全防护;同时,还克服了攻击者由网关进入企业内网而蜜罐难以感知的技术缺陷,为企业提供更加全面的网络安全防护。
以上所述,仅为本发明专利较佳的实施例,但本发明专利的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明专利所公开的范围内,根据本发明专利的技术方案及其发明构思加以等同替换或改变,都属于本发明专利的保护范围。
Claims (10)
1.一种防御多方位网络探测攻击的蜜罐部署方法,其特征在于,所述方法包括:
将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
2.根据权利要求1所述方法,其特征在于,所述配置服务端口混淆,以拖延攻击者,包括:
根据业务主机的端口状态和与业务主机服务相近的端口,绑定蜜罐装置的服务端口,得到混淆端口;
根据混淆端口,混淆攻击业务主机IP的攻击者。
3.根据权利要求2所述方法,其特征在于,所述根据混淆端口,混淆攻击业务主机IP的攻击者,具体包括:
当攻击者对业务主机IP进行端口探测扫描时,若扫描到混淆端口,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时,蜜罐服务对端口探测扫描进行服务响应。
4.根据权利要求1所述方法,其特征在于,所述业务系统为使用web方式提供服务的业务系统;
所述配置接口路径混淆,以拖延攻击者,包括:
根据业务系统的接口路径使用情况,配置具有诱惑性的接口路径,绑定蜜罐装置的web服务,得到诱饵接口路径;
根据诱饵接口路径,混淆攻击业务系统的攻击者。
5.根据权利要求4所述方法,其特征在于,所述根据诱饵接口路径,混淆攻击业务系统的攻击者,具体包括:
当攻击者对业务系统的web服务端口进行路径扫描时,若扫描到诱饵接口路径,则通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时,蜜罐服务对路径扫描进行服务响应。
6.根据权利要求4所述方法,其特征在于,所述方法还包括:
将蜜罐装置与业务系统的登录接口功能结合,以检测是否存在恶意登录,并输出检测结果;
若检测结果为是,则根据恶意登录的请求,通过蜜罐装置,将攻击信息转发到蜜罐服务,以发现攻击和触发报警,同时蜜罐服务向攻击者返回虚假的登录成功页面。
7.根据权利要求1所述方法,其特征在于,所述配置服务端口混淆,以封堵攻击者,包括:
在网关/防火墙上设置配置端口;
根据配置端口,设置配置端口转发规则,与蜜罐装置的服务端口绑定;
根据绑定后的配置端口,封堵攻击网关/防火墙的攻击者。
8.根据权利要求7所述方法,其特征在于,所述根据绑定后的配置端口,封堵攻击网关/防火墙的攻击者,具体包括:
若网关/防火墙接收到配置端口的访问流量,则将访问流量转发到蜜罐装置,并由蜜罐装置对访问流量进行恶意攻击分析;
若访问流量为恶意攻击类型,则触发报警并联动网关/防火墙对攻击者进行封堵。
9.一种防御多方位网络探测攻击的蜜罐部署系统,其特征在于,所述系统包括:
第一部署单元,用于将蜜罐装置部署在业务主机IP上,配置服务端口混淆,以拖延攻击者;
第二部署单元,用于将蜜罐装置部署在业务系统上,配置接口路径混淆,以拖延攻击者;
第三部署单元,用于将蜜罐装置部署在网关/防火墙上,配置服务端口混淆,以封堵攻击者。
10.一种存储介质,存储有程序,其特征在于,所述程序被处理器执行时,实现权利要求1-8任一项所述方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211581313.1A CN116232641A (zh) | 2022-12-09 | 2022-12-09 | 防御多方位网络探测攻击的蜜罐部署方法、系统及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211581313.1A CN116232641A (zh) | 2022-12-09 | 2022-12-09 | 防御多方位网络探测攻击的蜜罐部署方法、系统及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116232641A true CN116232641A (zh) | 2023-06-06 |
Family
ID=86581324
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211581313.1A Pending CN116232641A (zh) | 2022-12-09 | 2022-12-09 | 防御多方位网络探测攻击的蜜罐部署方法、系统及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116232641A (zh) |
-
2022
- 2022-12-09 CN CN202211581313.1A patent/CN116232641A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11271907B2 (en) | Smart proxy for a large scale high-interaction honeypot farm | |
US9848016B2 (en) | Identifying malicious devices within a computer network | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
US20120023572A1 (en) | Malicious Attack Response System and Associated Method | |
US11290424B2 (en) | Methods and systems for efficient network protection | |
US20150326587A1 (en) | Distributed system for bot detection | |
US20070214504A1 (en) | Method And System For Network Intrusion Detection, Related Network And Computer Program Product | |
CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
CN103746956A (zh) | 虚拟蜜罐 | |
US20040030931A1 (en) | System and method for providing enhanced network security | |
CN114866361A (zh) | 一种检测网络攻击的方法、装置、电子设备及介质 | |
KR100769221B1 (ko) | 제로데이 공격 대응 시스템 및 방법 | |
Kim et al. | Agent-based honeynet framework for protecting servers in campus networks | |
CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
CN112688933A (zh) | 用于IPv6的攻击类型分析方法、装置、设备及介质 | |
AlZoubi et al. | The effect of using honeypot network on system security | |
CN116232641A (zh) | 防御多方位网络探测攻击的蜜罐部署方法、系统及介质 | |
Resmi et al. | Intrusion detection system techniques and tools: A survey | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
Sulaiman et al. | Exploitation prevention on network printer with signature-based Suricata on PfSense | |
Felix et al. | Framework for Analyzing Intruder Behavior of IoT Cyber Attacks Based on Network Forensics by Deploying Honeypot Technology | |
Movva et al. | Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
Alharkan | IDSaaS: Intrusion Detection system as a Service in public clouds | |
Foo | Network Isolation and Security Using Honeypot |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |