CN116389125A - 一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 - Google Patents
一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 Download PDFInfo
- Publication number
- CN116389125A CN116389125A CN202310374598.XA CN202310374598A CN116389125A CN 116389125 A CN116389125 A CN 116389125A CN 202310374598 A CN202310374598 A CN 202310374598A CN 116389125 A CN116389125 A CN 116389125A
- Authority
- CN
- China
- Prior art keywords
- terminal
- monitoring
- bait
- agentless
- technology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 45
- 238000005516 engineering process Methods 0.000 title claims abstract description 28
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000000903 blocking effect Effects 0.000 title claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 4
- 238000005266 casting Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 abstract description 8
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法,通过建立服务器与携带有虚拟资源的终端互相连接的监控信息通道,继而采集本地端的诱饵资源数据,继而构建诱饵系统,采集外部请求进入的参数,并对触发诱饵系统的请求进行分类,针对分类的请求参数,判断是否具有危险,并对具有威胁的请求,通过报警的方式通知管理员,同时该IP终端收到威胁上传至服务器的各个节点,并切断其所请求的IP通讯连接。本发明通过使用Agentless技术在终端投放与终端业务高匹配的仿真诱饵,不占用系统资源,利用终端系统原生系统程序以用户无感知的方式对诱饵进行监控,当终端诱饵被触碰后,自动上报威胁行为,自动阻断威胁行为,达到保护终端安全的目的。
Description
技术领域
本发明涉及信息安全技术领域,更具体的说是涉及一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法。
背景技术
随着信息技术的发展,软件复杂度不断增加,系统漏洞、应用软件漏洞也随着增多,黑客针对主机、终端的apt攻击频发,安全威胁高速演进,为高效准确发现并阻断阻断攻击,终端安全防护技术方法也需不断跟进。
传统终端防御系统采取在终端系统中安装Agent,使用特征码匹配及基于行为判断的方式对终端进行防护。由于agent的存在,占用系统资源,影响用户使用,且易于被攻击者或恶意程序发现,特别是物联网(IoT)终端设备系统资源有限不具备装agent条件,因此采用agentless监控方法是一种最佳选择。基于特征码扫描匹配的检测方式无法对未知恶意程序进行识别,基于行为的判断有一定的误报率,通过部署诱饵来进行威胁检测是一种很好的补充。
因此,如何提供一种,而且的一种智能家居系统是本领域技术人员亟需解决的问题。
发明内容
有鉴于此,本发明提供了一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法。
为实现上述目的,本发明提供如下技术方案,包括如下步骤:
步骤1:建立服务器与携带有虚拟资源的终端互相连接的监控信息通道;
步骤2:采集本地端的诱饵资源数据;
步骤3:构建诱饵系统,采集外部请求进入的参数,并对触发诱饵系统的请求进行分类;
步骤4:针对分类的请求参数,判断是否具有危险,并对具有威胁的请求,通过报警的方式通知管理员,同时该IP终端收到威胁上传至服务器的各个节点,并切断其所请求的IP通讯连接。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述诱饵资源数据包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述构建诱饵系统为通过利用Agent less主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统,进而模拟携带有虚拟资源的终端的网络拓扑结构。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述虚拟的数据库系统当监控到某个IP点试图进入虚拟的数据库系统时,对该数据请求进行分类,并传至服务器,触发警告命令,对该数据请求下发阻断命令。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述Agent less主节通过标准的协议应用于主机上。这些包括主机使用等,以及应用使用的等。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述协议包括的SNMP、Telnet、SSH、WMI、JMX、JDBC、ODBC其中一种或几种的组合。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述服务器中还设有记录模块,便于存储具有威胁的IP,便于后续使用中快速识别和跟踪监控。
优选的,在上述一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法中,所述记录模块为数据库,可将监控对象服务器中提取的所有指标均存储在监控数据库中。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,本发明通过使用Agent less技术在终端投放与终端业务高匹配的仿真诱饵,不占用系统资源,利用终端系统原生系统程序以用户无感知的方式对诱饵进行监控,当终端诱饵被触碰后,自动上报威胁行为,自动阻断威胁行为,达到保护终端安全的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明的工作原理逻辑示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅附图1,为本发明公开的一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法。
本发明,包括如下步骤:
步骤1:建立服务器与携带有虚拟资源的终端互相连接的监控信息通道;
步骤2:采集本地端的诱饵资源数据;
步骤3:构建诱饵系统,采集外部请求进入的参数,并对触发诱饵系统的请求进行分类;
步骤4:针对分类的请求参数,判断是否具有危险,并对具有威胁的请求,通过报警的方式通知管理员,同时该IP终端收到威胁上传至服务器的各个节点,并切断其所请求的IP通讯连接。
为了进一步优化上述技术方案,诱饵资源数据包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。
为了进一步优化上述技术方案,构建诱饵系统为通过利用Agent less主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统,进而模拟携带有虚拟资源的终端的网络拓扑结构。
为了进一步优化上述技术方案,虚拟的数据库系统当监控到某个IP点试图进入虚拟的数据库系统时,对该数据请求进行分类,并传至服务器,触发警告命令,对该数据请求下发阻断命令。
为了进一步优化上述技术方案,Agent less主节通过标准的协议应用于主机上。这些包括主机使用等,以及应用使用的等。
为了进一步优化上述技术方案,协议包括的SNMP、Telnet、SSH、WMI、JMX、JDBC、ODBC其中一种或几种的组合。
为了进一步优化上述技术方案,所述服务器中还设有记录模块,便于存储具有威胁的IP,便于后续使用中快速识别和跟踪监控。
为了进一步优化上述技术方案,记录模块为数据库,可将监控对象服务器中提取的所有指标均存储在监控数据库中。
为了进一步优化上述技术方案,列举下属实施例进行举证:
通过三台本地虚机还原监控对象:一台为携带有虚拟资源的终端,另两台为可接入监控服务的服务器。
使用Java管理开发环境,执行C语言命令,通过平台开启并配置监控服务器,即通过SNMP、Telnet、SSH、WMI、JMX、JDBC、ODBC协议进行协调配置,服务器植入监控后设置核验密钥。
监控服务器配置完成后,创建数据库,同时虚拟资源的终端开始采集来自服务器的用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据,构建虚拟网络拓扑结构,而监控服务器实时跟踪和监控用户的指令请求,并对指令请求进行分析和分类;
当检测到具有威胁的用户指令请求时,携带有虚拟资源的终端传至服务器并对当前用户的IP进行记录和储存,同时关闭该用户中所用的端口。
服务器中还设有采集模块和显示模块,所述采集模块根据各个协议来采集携带有虚拟资源的终端以及服务器中各项指标数据,已达到实时监控、储存和采集的效果。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,包括如下步骤:
步骤1:建立服务器与携带有虚拟资源的终端互相连接的监控信息通道;
步骤2:采集本地端的诱饵资源数据;
步骤3:构建诱饵系统,采集外部请求进入的参数,并对触发诱饵系统的请求进行分类;
步骤4:针对分类的请求参数,判断是否具有危险,并对具有威胁的请求,通过报警的方式通知管理员,同时该IP终端收到威胁上传至服务器的各个节点,并切断其所请求的IP通讯连接。
2.根据权利要求1所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述诱饵资源数据包括:用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。
3.根据权利要求1所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述构建诱饵系统为通过利用Agentless主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统,进而模拟携带有虚拟资源的终端的网络拓扑结构。
4.根据权利要求3所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述虚拟的数据库系统当监控到某个IP点试图进入虚拟的数据库系统时,对该数据请求进行分类,并传至服务器,触发警告命令,对该数据请求下发阻断命令。
5.根据权利要求3所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述Agentless主节通过标准的协议应用于主机上,这些包括主机使用等,以及应用使用的等。
6.根据权利要求5所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述协议包括的SNMP、Telnet、SSH、WMI、JMX、JDBC、ODBC其中一种或几种的组合。
7.根据权利要求4所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述服务器中还设有记录模块,便于存储具有威胁的IP,便于后续使用中快速识别和跟踪监控。
8.根据权利要求7所述的一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法,其特征在于,所述记录模块为数据库,可将监控对象服务器中提取的所有指标均存储在监控数据库中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310374598.XA CN116389125A (zh) | 2023-04-10 | 2023-04-10 | 一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310374598.XA CN116389125A (zh) | 2023-04-10 | 2023-04-10 | 一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116389125A true CN116389125A (zh) | 2023-07-04 |
Family
ID=86967203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310374598.XA Pending CN116389125A (zh) | 2023-04-10 | 2023-04-10 | 一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116389125A (zh) |
-
2023
- 2023-04-10 CN CN202310374598.XA patent/CN116389125A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8458301B1 (en) | Automated configuration of network devices administered by policy enforcement | |
US9438616B2 (en) | Network asset information management | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
CN107347047B (zh) | 攻击防护方法和装置 | |
CN106850690B (zh) | 一种蜜罐构造方法及系统 | |
US20050229255A1 (en) | System and method for scanning a network | |
CN109462599A (zh) | 一种蜜罐管理系统 | |
US8909798B2 (en) | Method and apparatus of matching monitoring sets to network devices | |
CN102857388A (zh) | 云探安全管理审计系统 | |
CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
CN104702603A (zh) | 面向移动互联网的多视角安全审计系统 | |
US20060143717A1 (en) | Computer network monitoring method and device | |
CN113783880A (zh) | 网络安全检测系统及其网络安全检测方法 | |
KR101658450B1 (ko) | 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치. | |
KR101658456B1 (ko) | 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
AU2003241523A1 (en) | System and method for managing wireless network activity | |
KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
KR101650475B1 (ko) | 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
KR20020012855A (ko) | 통합로그 분석 및 관리 시스템 및 그 방법 | |
Haseeb et al. | Iot attacks: Features identification and clustering | |
CN116389125A (zh) | 一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法 | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
CN112003853B (zh) | 一种支持ipv6的网络安全应急响应系统 | |
Chou et al. | An Assessment of Practical Hands-On Lab Activities in Network Security Management |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |