CN116506214A - 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 - Google Patents
蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 Download PDFInfo
- Publication number
- CN116506214A CN116506214A CN202310645297.6A CN202310645297A CN116506214A CN 116506214 A CN116506214 A CN 116506214A CN 202310645297 A CN202310645297 A CN 202310645297A CN 116506214 A CN116506214 A CN 116506214A
- Authority
- CN
- China
- Prior art keywords
- client
- bait
- terminal
- access
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 83
- 235000012907 honey Nutrition 0.000 claims description 55
- 230000015654 memory Effects 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 17
- 238000002347 injection Methods 0.000 claims description 6
- 239000007924 injection Substances 0.000 claims description 6
- 239000000523 sample Substances 0.000 description 32
- 238000010586 diagram Methods 0.000 description 14
- 238000012545 processing Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 9
- 239000000243 solution Substances 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种蜜罐引流系统及蜜罐引流方法、相关设备及存储介质,其中,方法包括:客户端根据诱饵策略,在运行所述客户端的终端中部署终端诱饵,以及拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种蜜罐引流系统及蜜罐引流方法、相关设备及存储介质。
背景技术
针对网络接入场景(比如零信任网络接入场景),所谓零信任网络接入场景指采用了零信任安全理念的访问控制系统,主要针对网络边界上的用户和设备进行身份验证和授权,需要经过身份认证后,才能访问业务系统;并且零信任理念主张:“从不信任,持续验证”,会对访问过程中的环境、身份状态、操作行为进行持续而动态的监控检测,如果发现异常,则及时处置,从而保障访问的安全性。
下面以零信任接入场景为例来说明。相关技术中,将蜜罐(Honeypot)服务作为诱饵,通过零信任访问控制系统下发给终端,流量探针将网络攻击者点击蜜罐服务的资源图标时产生的网络流量,重定向至蜜罐服务,诱导网络攻击者攻击蜜罐服务,以通过蜜罐服务对攻击行为进行取证和溯源。但是,流量探针通常部署于业务系统主机或关键网络区域的流量探针设备,存在流量探针部署困难,较难实现蜜罐引流的问题;并且,零信任访问控制系统在下发蜜罐服务的资源图标时,会导致正常用户误点而引发误报,但如果隐藏资源图标,则又对攻击者的欺骗性和吸引力不足,导致无法成功诱捕恶意流量。
发明内容
有鉴于此,本申请实施例提供一种蜜罐引流系统及蜜罐引流方法、相关设备及存储介质,以解决背景技术中所描述的至少一个技术问题。
为达到上述目的,本申请的技术方案是这样实现的:
本申请实施例还提供了一种蜜罐引流方法,应用于客户端,所述方法包括:
根据诱饵策略,在运行所述客户端的终端中部署终端诱饵;
拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
上述方案中,所述诱饵策略用于指示客户端部署以下至少一种终端诱饵:
第一诱饵,所述第一诱饵表征在终端的路由表中添加设定的虚假路由信息;
第二诱饵,所述第二诱饵表征在终端的浏览器中注入设定的虚假统一资源定位符(URL,Uniform Resource Locator);
第三诱饵,所述第三诱饵表征在目标路径中创建设定的虚假文件;
第四诱饵,所述第四诱饵表征在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。
上述方案中,所述向网关或蜜罐服务发送所述访问请求,包括:
通过所述客户端与所述网关之间建立的第一隧道,向所述网关发送所述访问请求;或者
通过所述客户端与蜜罐服务之间建立的第二隧道,向蜜罐服务发送所述访问请求。
上述方案中,所述方法还包括:
接收访问控制系统下发的所述诱饵策略。
本申请实施例还提供了一种蜜罐引流方法,应用于访问控制系统,所述方法包括:
接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息;
根据所述用户身份信息,确定用户属性;
下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
上述方案中,所述方法还包括:
基于所述客户端发送的访问流量,调整所述客户端对应访问者的安全风险属性;
基于调整后的安全风险属性调整针对所述访问者的诱饵策略;
将调整后的诱饵策略发送至所述客户端,以指示所述客户端根据调整后的诱饵策略调整注入的诱饵。
上述方案中,所述方法还包括:
接收用户在管理控制台设置的与诱饵策略相关的配置信息。
上述方案中,所述还包括:
接收用户在管理控制台设置的引流策略,其中,所述引流策略用于指示网关引流至蜜罐服务时要遵守的设定条件;所述设定条件包括以下至少一项:
访问请求包含设定信息;
访问请求是设定业务场景下的访问请求;
发送访问请求的客户端所属的应用类型为设定的业务类型。上述方案中,所述设定信息包括以下至少一项:
设定的网际协议(IP,Internet Protocol)地址;
设定域名;
设定端口号;
设定URL。
本申请实施例还提供了一种蜜罐引流系统,包括:
访问控制系统,用于接收客户端发送的登录认证请求,根据用户身份信息,确定用户属性,下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵;其中,所述登录认证请求中包括用户身份信息;
客户端,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵,以及拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源。
本申请实施例还提供了一种蜜罐引流装置,包括:
部署单元,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵;
拦截单元,用于拦截访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源;
第一发送单元,用于向网关或蜜罐服务发送所述访问请求;其中,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
本申请实施例还提供了一种蜜罐引流装置,包括:
第一接收单元,用于接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息;
确定单元,用于根据所述用户身份信息,确定用户属性;
第二发送单元,用于下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
本申请实施例还提供了一种用于运行客户端的终端,包括:第一处理器和用于存储能够在第一处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行上述客户端侧任一项所述方法的步骤。
本申请实施例还提供了一种用于运行访问控制系统的电子设备,包括:第二处理器和用于存储能够在第二处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行上述访问控制系统侧任一项所述方法的步骤。
由此可见,本申请实施例提供了一种应用于客户端的引流方法,通过该客户端获取诱饵策略,并根据诱饵策略的指示来在终端本地上部署相关诱饵。这样攻击者可以通过部署的相关诱饵来访问蜜罐服务,所以,本申请的诱饵部署方式无需给用户在访问控制界面上呈现可访问的资源图标,一方面由于正常用户在访问控制界面上不可见到这些终端诱饵,因此避免了用户误点击误报,另一方面也具备对攻击者足够的吸引力。
另一方面,本申请提供了访问控制系统,通过该访问控制系统获取用户的身份信息,由此根据用户属性来针对性下发诱饵策略。比如,针对财务部的员工以及研发部的员工下发不同的诱饵策略,以实现针对性的攻击者吸引策略。
此外,可以看出,在本申请实施例中,客户端可以抓取恶意流量,并将抓取的恶意流量引流至蜜罐服务或网关,以使网关将客户端抓取的恶意流量引流至蜜罐服务,引流方式采用访问控制系统已有的客户端或网关设备,所以在进行蜜罐引流时不需要再单独额外部署用于引流蜜罐的流量探针设备,也不需要在业务系统主机上额外部署用于引流蜜罐的流量探针,不会入侵现有业务系统和网络环境,降低了探针部署难度,降低了蜜罐引流方案的实施难度。
附图说明
图1为本申请实施例蜜罐引流系统架构示例图;
图2为本申请实施例诱饵策略的配置界面示例图;
图3为本申请实施例引流策略的配置界面示例图;
图4为本申请实施例一种蜜罐引流方法的实现流程示意图;
图5为本申请实施例另一种蜜罐引流方法的实现流程示意图;
图6为本申请实施例的蜜罐引流方法的交互流程示意图;
图7为本申请实施例一种蜜罐引流装置结构示意图;
图8为本申请实施例另一种蜜罐引流装置结构示意图;
图9为本申请实施例终端结构示意图;
图10为本申请实施例电子设备结构示意图。
具体实施方式
蜜罐服务是一种安全资源,是诱骗攻击者进入的虚拟服务,负责收集攻击者的行为信息,并通过分析收集到的行为信息来识别和应对网络安全威胁。相关技术中的蜜罐引流方案,流量探针部署困难主要体现在以下两方面:
一、需要在现有的网络区域中单独部署流量探针设备,单独部署流量探针设备的成本较高,且会改变现有的路由转发规则以及入侵现有的网络环境;
二、需要在业务系统主机上额外部署流量探针,也称或流量探针代理(Agent),在大型网络中的海量业务主机上部署流量探针的工程量巨大,且流量探针本身运行在业务系统主机上,容易影响业务系统的正常运行。
另外,针对零信任网络接入场景,相关技术中的蜜罐引流方案,将蜜罐服务作为诱饵,存在诱饵欺骗性差和容易被误点的问题,诱饵可以理解为用于吸引和欺骗网络攻击者的虚假信息。具体而言,如果终端用户可以在零信任客户端上看到蜜罐服务的资源图标,容易导致正常用户(非攻击者)误点资源图标而引发误报;如果在零信任客户端上隐藏蜜罐服务的资源图标,对攻击者的欺骗性和吸引力不足,导致无法成功诱捕攻击者的恶意流量。恶意流量可以理解为恶意的网络流量,例如网络攻击、账号攻击、恶意攻击、流量欺诈和恶意爬虫等。
基于此,本申请的各个实施例中,访问控制系统接收客户端发送的登录认证请求,根据所述登录认证请求携带的用户身份信息,确定用户属性,下发与所述用户属性相关的诱饵策略至所述客户端;客户端根据诱饵策略,在运行所述客户端的终端中部署终端诱饵,以及拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源。可以看出,在本申请实施例中,客户端可以抓取恶意流量,并将抓取的恶意流量引流至蜜罐服务或网关,以使网关将客户端抓取的恶意流量引流至蜜罐服务,不需要单独部署流量探针设备,也不需要在业务系统主机上额外部署流量探针,不会入侵现有业务系统和网络环境,降低了探针部署难度,降低了蜜罐引流方案的实施难度。
下面结合附图及实施例对本申请再作进一步详细的描述。
为了便于更好地理解本申请实施例,首先,给出本申请实施例的蜜罐引流系统架构示例。如图1所示,蜜罐引流系统包括:访问控制系统101、至少一个客户端102和网关103。其中,访问控制系统101也可以理解为服务端,访问控制系统101可以与多个客户端102进行通信,网关103也可以与多个客户端102进行通信。
访问控制系统101,用于接收客户端102发送的登录认证请求,根据所述登陆认证请求携带的用户身份信息确定用户属性,下发与所述用户属性相关的诱饵策略至客户端102,以指示客户端102根据所述诱饵策略在终端中部署相应诱饵;
客户端101,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵,以及拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源;
网关103,用于获取由客户端102拦截的访问请求,通过网关103中的设定原生探针,将所述访问请求引流至蜜罐服务。
这里,客户端102的用户在客户端102的用户界面上输入用户身份信息,例如用户名(账号)和密码,触发客户端102向访问控制系统101发送登陆认证请求,登陆认证请求中包含或携带用户身份信息。访问控制系统101接收客户端102发送的登陆认证请求,根据登陆认证请求携带的用户身份信息进行身份验证,在身份验证通过的情况下,允许客户端102登陆访问控制系统101;访问控制系统101根据登陆认证请求携带的用户身份信息确定用户属性,确定用户属性相关或对应的诱饵策略,并将确定出的诱饵策略下发至客户端102。具体地,访问控制系统101可以在客户端102首次成功登陆访问控制系统101,或者,客户端102对应的诱饵策略发生变更且客户端102成功登陆访问控制系统101的情况下,向客户端102下发诱饵策略。其中,用户属性可以反映出用户特征,用户属性可以包括安全风险属性和/或用户身份属性,安全风险属性可以包括安全风险等级和/或安全风险倾向类型,安全风险倾向可以理解为用户使用的终端可能有被爆破攻击或恶意攻击的倾向。用户属性可以根据组织架构、部门、用户角色、用户岗位等至少一个维度来设置;不同的用户属性对应的诱饵策略可以相同,也可以不同。实际应用时,访问控制系统101支持针对不同用户属性动态制定或设置对应的诱饵策略,以提高网络威胁或恶意攻击的捕获率。诱饵策略可以称为诱饵欺骗策略或终端诱饵欺骗策略,诱饵策略可以理解为部署终端诱饵的具体方式。诱饵策略可以携带或指示设定的虚假信息,并指示待部署的终端诱饵的类型和/或注入设定的虚假信息的方式;设定的虚假信息包括以下至少一种:虚假服务、虚假端口、虚假的IP地址、虚假的URL、虚假路由信息、虚假文件、虚假会话等。需要说明的是,本申请以及相关系列案中所描述的终端诱饵为:位于终端侧的包含虚假资源信息的载体,但不包括以正常用户(非攻击者)可见形式(如:可见的资源访问列表)呈现的载体。虚假资源信息包括上述设定的虚假信息。
客户端102在接收到诱饵策略的情况下,根据诱饵策略在运行客户端的终端中部署相应的终端诱饵,以及拦截用于请求访问或获取终端诱饵指示的虚假资源的访问请求,并向网关103或蜜罐服务发送拦截的访问请求。
网关103在获取到由客户端102拦截的访问请求的情况下,通过网关103中的设定原生探针,将访问请求引流至蜜罐服务。这里,网关103调用设定原生探针,通过设定原生探针将获取到的访问请求引流至蜜罐服务。其中,设定原生探针用于将由客户端102拦截的访问请求重定向至蜜罐服务,设定原生探针可以理解为欺骗探针、诱饵探针或流量探针等。原生探针是网关103出厂时自带的,并非网关103出厂后额外设置的探针。欺骗探针可以理解为访问控制系统发布的虚假易受攻击的资源,欺骗探针负责记录攻击者的访问行为,并将恶意流量引导到的蜜罐服务或其他防御设施上进行分析和处理。
网关103可以将由客户端102拦截的所有访问请求都引流至同一个蜜罐服务,也可以对客户端102拦截的访问请求进行分类,根据分类结果,将属于不同分类的访问请求对应引流至不同的蜜罐服务。也就是说,网关103中的设定原生探针支持不同类型和/或不同业务场景的引流方式,例如,设定原生探针可以采用以下至少一种引流方式进行蜜罐引流:
第一引流方式,第一引流方式表征IP级的引流方式,用于将包含设定IP地址的访问请求引流至蜜罐服务;
第二引流方式,第二引流方式表征域名级的引流方式,用于将包含设定域名的访问请求引流至蜜罐服务;
第三引流方式,第三引流方式表征端口级的引流方式,用于将包含设定端口号的访问请求引流至蜜罐服务;
第四引流方式,第四引流方式表征URL级的引流方式,用于将包含设定URL的访问请求引流至蜜罐服务。
设定IP地址包括终端诱饵指示的虚假IP地址,和/或,设定终端或设定服务器等电子设备的IP地址。设定端口号可以包括终端诱饵指示的虚假端口号,和/或,高危的服务端口号,例如,高危的服务端口号可以包括22、3389、3306中的至少一个。设定URL包括终端诱饵中的虚假URL,和/或,高危的URL,高危的URL例如,包含/admin、/login等的URL。
在一实施例中,访问控制系统101,还用于向网关103下发引流策略,引流策略用于指示网关将访问请求引流至蜜罐服务时要遵守的设定条件。网关103将客户端102拦截的访问请求引流至蜜罐服务,包括:
通过网关103中的设定原生探针,根据引流策略,将客户端102拦截的访问请求引流至蜜罐服务。
这里,网关103可以根据引流策略,确定出引流规则,并根据引流规则,将满足设定条件的访问请求引流至对应的蜜罐服务。不同的设定条件对应的蜜罐服务可以相同,也可以不同。
其中,引流策略可以理解为蜜罐引流的方式,引流策略可以包含引流规则,引流规则表征将满足设定条件的访问请求引流至对应的蜜罐服务,蜜罐服务可以与设定信息的类型。设定条件至少根据诱饵策略携带或指示的设定的虚假信息进行设置,当然还可以根据被攻击次数较多的设备和/或服务的相关信息进行设置,此处不做限制。设定条件可以包括以下至少一项:访问请求包含设定信息、访问请求是设定业务场景下的访问请求、发送访问请求的客户端所属的应用类型为设定的业务类型。不同的设定条件可以对应不同的蜜罐服务,不同的设定信息可以对应不同的蜜罐服务,不同的业务场景可以对应不同的蜜罐服务,不同的应用类型可以对应不同的蜜罐服务。业务场景可以根据客户端所属的应用类型、域名、端口号、URL、IP地址中的至少一项来划分。
例如,网关103可以根据引流策略,将包含设定信息的访问请求引流至同一蜜罐服务。进一步地,设定信息包括以下至少一项:
设定的网际协议IP地址;
设定域名;
设定端口号;
设定URL。
再例如,网关103可以根据设定信息所属的类别与蜜罐服务之间的设定对应关系,对接收到的访问请求进行蜜罐引流;网关103可以将包含不同类别的设定信息的访问请求对应引流至不同的蜜罐服务。比如,网关103将包含设定IP地址的访问请求引流至第一蜜罐服务,将包含设定域名的访问请求引流至第二蜜罐服务,将包含设定端口的访问请求引流至第三蜜罐服务,将包含设定URL的访问请求引流至第四蜜罐服务。第一蜜罐服务、第二蜜罐服务、第三蜜罐服务和第四蜜罐服务均各不相同。
再例如,根据发送访问请求的客户端102所属的应用类型与蜜罐服务之间的设定对应关系,对接收到的访问请求进行蜜罐引流。应用类型可以是网页应用、数据库应用等。不同的应用类型对应的蜜罐服务可以相同,也可以不同。不同的应用类型可以对应不同的业务场景。
需要说明的是,在零信任网络接入场景下,访问控制系统101为零信任访问控制系统,也可以称为零信任控制中心等;客户端102为零信任客户端,网关103为零信任代理网关。访问控制系统101每次接收到客户端102的登陆请求时,都对客户端102进行身份验证,在客户端102身份验证通过的情况下,允许客户端102登陆访问控制系统101。
实际应用时,安全管理员可以登陆零信任访问控制系统的管理控制台,例如WEB控制台,在管理控制台的配置界面,根据实际需求动态设置与诱饵策略相关的配置信息,以及设置引流策略,例如,对不同用户属性的客户端102设置相应的诱饵策略,以使得访问控制系统101能够根据诱饵策略相关的配置信息,向不同用户使用的终端中的客户端102下发对应的诱饵策略,以及向网关103下发引流策略。其中,图2示出了针对诱饵策略的配置界面示例图;
图3示出了针对引流策略的配置界面示例图。图3中定义了设定的IP地址和端口号,也就是说,网关103需要将包含设定的IP地址和/或端口号的访问请求引流至对应的蜜罐服务。
安全管理员还可以在零信任访问控制系统的管理控制台上,按用户、组织架构或部门,灵活设置诱饵策略的发布范围,以使访问控制系统101按照诱饵策略的发布范围下发诱饵策略,例如,向单个用户使用的终端中的客户端102下发诱饵策略,或者,向同一个组织架构或部门中的部分或全部用户使用的终端中的客户端102下发诱饵策略。
上文介绍了蜜罐引流系统架构,下面详细介绍蜜罐引流系统中客户端和访问控制系统的蜜罐引流方法的实现过程。
基于上文实施例的相关描述,对应地,本申请实施例还提供了一种蜜罐引流方法,应用于图1示出的蜜罐引流系统中的访问控制系统。参照图4,所述方法包括:
步骤401:接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息。
步骤402:根据所述用户身份信息,确定用户属性。
步骤403:下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
这里,部署相应诱饵可以理解为部署与诱饵策略相对应的终端诱饵。
考虑到使用客户端的用户的网络风险是动态变化的,为了提高网络安全威胁的捕获率,访问控制系统可以动态更新诱饵策略,并将更新后的诱饵策略下发至对应的客户端。基于此,在一实施例中,所述方法还包括:
基于所述客户端发送的访问流量,调整所述客户端对应访问者的安全风险属性;
基于调整后的安全风险属性调整针对所述访问者的诱饵策略;
将调整后的诱饵策略发送至所述客户端,以指示所述客户端根据调整后的诱饵策略调整注入的诱饵。
这里,访问控制系统可以监测客户端发送的访问流量,确定访问流量中的恶意流量,恶意流量包括用于请求访问或获取所述终端诱饵指示的虚假资源的访问请求;根据访问流量中的恶意流量的百分比,不断调整客户端对应访问者的安全风险属性;基于调整后的安全风险属性调整针对访问者的诱饵策略,例如根据安全风险属性与诱饵策略之间的设定对应关系,调整针对访问者的诱饵策略;将调整后的诱饵策略发送至客户端,以指示客户端根据调整后的诱饵策略调整注入的诱饵。其中,恶意流量的百分比越大,客户端对应访问者的安全风险属性表征的安全风险等级越高,客户端根据调整后的诱饵策略调整注入的诱饵更容易成功捕获恶意流量。
访问控制系统向客户端下发在一实施例中,所述方法还包括:
接收用户在管理控制台设置的与诱饵策略相关的配置信息。
这里,接收管理控制台发送的与诱饵策略相关的配置信息,并根据与诱饵策略相关的配置信息,确定出与用户属性相关的诱饵策略,向客户端下发与用户属性相关的诱饵策略。其中,用户可以是安全管理员,用户可以定期或不定期更新与诱饵策略相关的配置信息,以提高网络安全威胁的捕获。
在一实施例中,所述方法还包括:
接收用户在管理控制台设置的引流策略,其中,所述引流策略用于指示网关引流至蜜罐服务时要遵守的设定条件;其中,所述设定条件包括以下至少一项:
访问请求包含设定信息;
访问请求是设定业务场景下的访问请求;
发送访问请求的客户端所属的应用类型为设定的业务类型。
这里,接收管理控制台发送的引流策略,向网关下发引流策略,以使网关根据引流策略将客户端拦截的访问请求引流至蜜罐服务。
实际应用时,用户可以动态更新引流策略,从而更灵活、更准确地对恶意流量进行引流。
在一实施例中,所述设定信息包括以下至少一项:
设定的IP地址;
设定域名;
设定端口号;
设定URL。
基于上文实施例的相关描述,对应地,本申请实施例还提供了一种蜜罐引流方法,应用于图1示出的蜜罐引流系统中的客户端,该客户端可以是零信任客户端;当然,该方法也可以应用于运行客户端的终端。参照图5,所述方法包括:
步骤501:根据诱饵策略,在运行所述客户端的终端中部署终端诱饵。
这里,如上文所述,诱饵策略可以携带或指示设定的虚假信息,并指示待部署的终端诱饵的类型和/或注入设定的虚假信息的方式,因此,可以根据诱饵策略,确定出诱饵策略携带或指示设定的虚假信息,以及确定出待部署的终端诱饵的类型和/或注入设定的虚假信息的方式,并根据确定出的信息,在运行客户端的终端中部署终端诱饵。注入设定的虚假信息的方式用于指示在设定位置注入虚假信息,例如,在路由表中注入设定的虚假路由信息,在浏览器中注入设定的虚假URL,在用户关键路径中创建设定的虚假文件,在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。设定的虚假路由信息可以包括虚假的端口号和/或虚假的IP地址。终端诱饵的类型包括第一诱饵、第二诱饵、第三诱饵和第四诱饵中的至少一种。
为了能够灵活部署多种终端诱饵,以提高网络安全威胁的捕获率,在一实施例中,所述诱饵策略用于指示客户端部署以下至少一种终端诱饵:
第一诱饵,所述第一诱饵表征在终端的路由表中添加设定的虚假路由信息;
第二诱饵,所述第二诱饵表征在终端的浏览器中注入设定的虚假URL;
第三诱饵,所述第三诱饵表征在目标路径中创建设定的虚假文件;
第四诱饵,所述第四诱饵表征在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。
这里,根据诱饵策略,在运行客户端的终端中部署终端诱饵包括以下至少一项:
在运行客户端的终端的路由表中添加设定的虚假路由信息,以部署第一诱饵;
在运行客户端的终端的浏览器的收藏夹、历史访问记录、密码管理器、cookies中的至少一项中注入设定的虚假URL,以部署第二诱饵;
在运行客户端的终端的目标路径中创建设定的虚假文件,以部署第三诱饵,目标路径包括用户访问关键路径;
在运行客户端的终端的远程访问工具中,注入设定的虚假会话和/或设定的虚假服务,以部署第四诱饵。
需要说的是,远程访问工具可以是远程文件传输工具、远程文件管理工具或远程连接工具。实际应用时,远程访问工具可以是WinSCP、文件传输协议(FTP,File TransferProtocol)客户端。WinSCP是一个Windows环境下使用安全外壳协议(SSH,Secure Shell)的开源图形化安全文件传送协议(SFTP,SSH File Transfer Protocol/Secret FileTransfer Protocol)客户端。
第一诱饵可以理解为路由诱饵,第二诱饵可以为浏览器诱饵,第三诱饵可以理解为文件诱饵,第四诱饵可以理解为会话诱饵。其中,第一诱饵、第二诱饵、第三诱饵和第四诱饵具备正常用户(非攻击者)不可见、对攻击者欺骗性强的特点,能够有效吸引攻击者访问或获取零信任系统发布的虚假资源,提升了诱饵的欺骗性,还可以防止正常用户误点中的诱饵,以减少蜜罐服务的数据处理量。虚假资源包括虚假服务、虚假端口、虚假文件、虚假会话对应的资源和虚假URL中的至少一项。
为了提高网络安全威胁的捕获率,访问控制系统可以动态更新诱饵策略,并将更新后的诱饵策略下发至对应的客户端。基于此,在一实施例中,在步骤401之前,所述方法还包括:
接收访问控制系统下发的所述诱饵策略。
这里,诱饵策略可以在客户端首次成功登陆访问控制系统时下发,也可以在客户端对应的诱饵策略发生变更,且客户端成功登陆访问控制系统的情况下下发。不同用户使用的终端中的客户端对应的诱饵策略可以相同,也可以不同。
实际应用时,不同网络安全风险的用户或用户组使用的终端中的客户端对应的诱饵策略不同,以提高网络安全威胁的捕获率。用户组可以按照组织架构、部门、用户角色、用户岗位等至少一个维度来划分;不同用户的安全风险或网络安全风险可以相同,也可以不同。
步骤502:拦截访问请求,并向网关或蜜罐服务发送所述访问请求。
其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
这里,攻击者通过终端钓鱼控制运行客户端的终端后,通过扫描浏览器记录、本地文件扫描等方式收集敏感信息,发现终端诱饵;攻击者通过终端诱饵发起访问请求,以尝试访问或获取终端诱饵指示的虚假资源。虚假资源可以是终端诱饵中的虚假服务、虚假端口、虚假URL、虚假路由信息、虚假文件、虚假会话等。
客户端拦截终端中通过部署的终端诱饵触发的访问请求,即,拦截用于请求访问或获取终端诱饵指示的虚假资源的访问请求;之后,可以向网关发送拦截的访问请求,以将拦截的访问请求引流至网关,也可以直接向蜜罐服务发送拦截的访问请求,以将拦截的访问请求引流至蜜罐服务。
蜜罐服务可以是本地蜜罐服务、云端蜜罐服务和第三方蜜罐服务中的至少一种。本地蜜罐服务可以理解为部署于零信任访问控制系统的蜜罐服务。云端蜜罐服务可以理解为部署于云端的蜜罐服务;云端蜜罐服务可以根据攻击者的指纹信息、工具、手法、攻击轨迹等,生成攻击者画像。
实际应用时,客户端可以通过客户端中的引流模块或引流功能,识别或抓取包含第一信息的访问请求,得到用于请求访问或获取终端诱饵指示的虚假资源的访问请求。第一信息表征客户端部署的终端诱饵中的虚假信息或虚假信息的相关信息,例如,第一信息可以是终端诱饵中设定的虚假路由信息、设定的虚假URL、设定的虚假服务的相关信息(比如服务名称、服务地址)、设定的虚假会话的相关信息、设定的虚假文件的相关信息。
为了提高访问请求的传输效率,客户端可以通过隧道传输拦截的访问请求,基于此,在一实施例中,所述向网关或蜜罐服务发送所述访问请求,包括:
通过所述客户端与所述网关之间建立的第一隧道,向所述网关发送所述访问请求;或者
通过所述客户端与蜜罐服务之间建立的第二隧道,向蜜罐服务发送所述访问请求。
这里,不同的终端中的客户端与网关之间建立的第一隧道不同,同一客户端与不同类型的蜜罐服务之间建立的第二隧道不同。
为了提高数据传输的安全性和高效性,第一隧道和第二隧道可以是加密隧道或零信任加密隧道。
下面以零信任网络接入场景为例,进一步地结合交互流程示意图,对本申请实施例方案进行说明。图6所示的蜜罐引流方法包括:
步骤1:终端用户在终端的零信任客户端上输入帐号和密码,以尝试登录;终端的零信任客户端向零信任服务端(零信任控制中心)发送登陆认证请求,登录认证请求携带帐号和密码。
步骤2:零信任访问控制系统对接收到的登陆认证请求携带的账号和密码进行验证,验证通过时,允许零信任客户端登陆零信任访问控制系统,并根据登陆认证请求携带的用户身份信息(例如账号,或者账号和密码)确定用户属性,下发与用户属性相关的诱饵策略至零信任客户端,以指示零信任客户端根据所述诱饵策略在终端中部署相应诱饵。
步骤3:零信任客户端根据接收到的诱饵策略,在运行零信任客户端的终端中部署对应的终端诱饵。
零信任客户端部署终端诱饵的实现过程请参照上文的相关描述,此处不赘述。
步骤4:攻击者通过终端钓鱼控制终端后,通过扫描终端的浏览记录、本地文件扫描等方式收集敏感信息,发现终端诱饵。
步骤5:攻击者尝试访问或获取终端诱饵指示的虚假资源,零信任客户端抓取恶意流量,恶意流量包括用于请求访问或获取终端诱饵指示的虚假资源的访问请求。
步骤6:零信任客户端将抓取的恶意流量,封装至零信任客户端与零信任代理网关之间的零信任加密隧道,通过该零信任加密隧道将恶意流量传输至零信任代理网关。
步骤7:零信任代理网关通过设定的原生探针,根据引流策略,将恶意流量重向至对应的蜜罐服务。
这里,步骤7中的具体实现过程,请参照上文中网关将访问请求引流至蜜罐服务的相关描述,此处不赘述。需要说明的是,在步骤7之前,零信任代理网关还接收零信任访问控制系统下发的引流策略。
为实现本申请实施例客户端侧的蜜罐引流方法,本申请实施例还提供了一种蜜罐引流装置,设置在客户端上,如图7所示,该蜜罐引流装置包括:
部署单元701,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵;
拦截单元702,用于拦截访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源;
第一发送单元703,用于向网关或蜜罐服务发送所述访问请求;其中,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
在一实施例中,所述诱饵策略用于指示客户端部署以下至少一种终端诱饵:
第一诱饵,所述第一诱饵表征在终端的路由表中添加设定的虚假路由信息;
第二诱饵,所述第二诱饵表征在终端的浏览器中注入设定的虚假统一资源定位符URL;
第三诱饵,所述第三诱饵表征在目标路径中创建设定的虚假文件;
第四诱饵,所述第四诱饵表征在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。
在一实施例中,所述向网关或蜜罐服务发送所述访问请求,包括:
通过所述客户端与所述网关之间建立的第一隧道,向所述网关发送所述访问请求;或者
通过所述客户端与蜜罐服务之间建立的第二隧道,向蜜罐服务发送所述访问请求。
在一实施例中,该装置还包括:
第二接收单元,用于接收访问控制系统下发的所述诱饵策略。
为实现本申请实施例网关侧的蜜罐引流方法,本申请实施例还提供了一种蜜罐引流装置,设置在访问控制系统上,如图8所示,该蜜罐引流装置包括:
第一接收单元801,用于接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息;
确定单元802,用于根据所述用户身份信息,确定用户属性;
第二发送单元803,用于下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
在一实施例中,该装置还包括:
第一调整单元,用于基于所述客户端发送的访问流量,调整所述客户端对应访问者的安全风险属性;
第二调整单元,用于基于调整后的安全风险属性调整针对所述访问者的诱饵策略;
第二发送单元803,具体用于将调整后的诱饵策略发送至所述客户端,以指示所述客户端根据调整后的诱饵策略调整注入的诱饵。
在一实施例中,该装置还包括:
第三接收单元,用于接收用户在管理控制台设置的与诱饵策略相关的配置信息。
在一实施例中,该装置还包括:
第四接收单元,用于接收用户在管理控制台设置的引流策略,其中,所述引流策略用于指示网关引流至蜜罐服务时要遵守的设定条件;其中,所述设定条件包括以下至少一项:
访问请求包含设定信息;
访问请求是设定业务场景下的访问请求;
发送访问请求的客户端所属的应用类型为设定的业务类型。
在一实施例中,所述设定信息包括以下至少一项:
设定的IP地址;
设定域名;
设定端口号;
设定URL。
需要说明的是:上述各个实施例提供的蜜罐引流装置在进行蜜罐引流时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的蜜罐引流装置与蜜罐引流方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例客户端侧的蜜罐引流方法,本申请实施例还提供了一种用于运行客户端的终端。图9为本申请实施例终端的硬件组成结构示意图,如图9所示,终端900包括:
第一通信接口901,能够与其它设备比如网络设备等进行信息交互;
第一处理器902,与所述第一通信接口901连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述应用于客户端侧的一个或多个技术方案提供的蜜罐引流方法。而所述计算机程序存储在第一存储器903上。
需要说明的是:第一处理器902和第一通信接口901的具体处理过程可参照上述方法理解。
当然,实际应用时,终端900中的各个组件通过总线系统904耦合在一起。可理解,总线系统904用于实现这些组件之间的连接通信。总线系统904除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统904。
本申请实施例中的第一存储器903用于存储各种类型的数据以支持终端900中的客户端的操作。这些数据的示例包括:用于在终端900上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于第一处理器902中,或者由第一处理器902实现。第一处理器902可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过第一处理器902中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器902可以是通用处理器、中央处理器(CPU,Central ProcessingUnit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)、可编程门阵列(FPGA,Field-Programmable Gate Array),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第一处理器902可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器903,第一处理器902读取第一存储器903中的程序,结合其硬件完成前述方法的步骤。
可选地,所述第一处理器902执行所述程序时实现本申请实施例的各个方法中由客户端实现的相应流程,为了简洁,在此不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例访问控制系统侧的蜜罐引流方法,本申请实施例还提供了一种用于运行访问控制系统的电子设备,电子设备可以是服务器,也可以是多台服务器组成的服务器集群等,如图10所示,电子设备1000包括:
第二通信接口1001,能够与其他网络节点进行信息交互;
第二处理器1002,与所述第二通信接口1001连接,以实现与其他网络节点进行信息交互,用于运行计算机程序时,执行上述访问控制系统侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器1003上。
需要说明的是:第二处理器1002和第二通信接口1001的具体处理过程可参照上述方法理解。
当然,实际应用时,电子设备1000中的各个组件通过总线系统1004耦合在一起。可理解,总线系统1004用于实现这些组件之间的连接通信。总线系统1004除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10中将各种总线都标为总线系统1004。
本申请实施例中的第二存储器1003用于存储各种类型的数据以支持电子设备1000操作。这些数据的示例包括:用于在电子设备1000上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于第二处理器1002中,或者由所述第二处理器1002实现。第二处理器1002可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过第二处理器1002中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第二处理器1002可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。第二处理器92可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器1003,第二处理器1002读取第二存储器1003中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,电子设备1000可以被一个或多个ASIC、DSP、PLD、CPLD、FPGA、通用处理器、控制器、MCU、Microprocessor、或其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例的存储器(第一存储器903和第二存储器1003)可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,ProgrammableRead-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically ErasableProgrammable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic randomaccess memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,StaticRandom Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static RandomAccess Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic RandomAccess Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced SynchronousDynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLinkDynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct RambusRandom Access Memory)。本申请实施例描述的旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器903,上述计算机程序可由终端900的第一处理器902执行,以完成前述终端中的客户端侧方法所述步骤。再比如包括存储计算机程序的第二存储器1003,上述计算机程序可由电子设备1000的第二处理器1002执行,以完成前述网关侧方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
需要说明的是,本申请实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多个中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种蜜罐引流方法,其特征在于,应用于客户端,所述方法包括:
根据诱饵策略,在运行所述客户端的终端中部署终端诱饵;
拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
2.根据权利要求1所述的方法,其特征在于,所述诱饵策略用于指示客户端部署以下至少一种终端诱饵:
第一诱饵,所述第一诱饵表征在终端的路由表中添加设定的虚假路由信息;
第二诱饵,所述第二诱饵表征在终端的浏览器中注入设定的虚假统一资源定位符URL;
第三诱饵,所述第三诱饵表征在目标路径中创建设定的虚假文件;
第四诱饵,所述第四诱饵表征在远程访问工具中注入设定的虚假会话和/或设定的虚假服务。
3.根据权利要求1所述的方法,其特征在于,所述向网关或蜜罐服务发送所述访问请求,包括:
通过所述客户端与所述网关之间建立的第一隧道,向所述网关发送所述访问请求;或者
通过所述客户端与蜜罐服务之间建立的第二隧道,向蜜罐服务发送所述访问请求。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
接收访问控制系统下发的所述诱饵策略。
5.一种蜜罐引流方法,其特征在于,应用于访问控制系统,所述方法包括:
接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息;
根据所述用户身份信息,确定用户属性;
下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
基于所述客户端发送的访问流量,调整所述客户端对应访问者的安全风险属性;基于调整后的安全风险属性调整针对所述访问者的诱饵策略;
将调整后的诱饵策略发送至所述客户端,以指示所述客户端根据调整后的诱饵策略调整注入的诱饵。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收用户在管理控制台设置的与诱饵策略相关的配置信息。
8.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收用户在管理控制台设置的引流策略,其中,所述引流策略用于指示网关引流至蜜罐服务时要遵守的设定条件;
其中,所述设定条件包括以下至少一项:
访问请求包含设定信息;
访问请求是设定业务场景下的访问请求;
发送访问请求的客户端所属的应用类型为设定的业务类型。
9.根据权利要求8所述的方法,其特征在于,所述设定信息包括以下至少一项:
设定的网际协议IP地址;
设定域名;
设定端口号;
设定URL。
10.一种蜜罐引流系统,其特征在于,包括:
访问控制系统,用于接收客户端发送的登录认证请求,根据用户身份信息,确定用户属性,下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵;其中,所述登录认证请求中包括用户身份信息;
客户端,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵,以及拦截访问请求,并向网关或蜜罐服务发送所述访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源。
11.一种蜜罐引流装置,其特征在于,包括:
部署单元,用于根据诱饵策略,在运行所述客户端的终端中部署终端诱饵;
拦截单元,用于拦截访问请求;其中,所述访问请求用于请求访问或获取所述终端诱饵指示的虚假资源;
第一发送单元,用于向网关或蜜罐服务发送所述访问请求;其中,所述网关用于将由客户端拦截的访问请求引流至蜜罐服务。
12.一种蜜罐引流装置,其特征在于,包括:
第一接收单元,用于接收客户端发送的登录认证请求,其中,所述登录认证请求中包括用户身份信息;
确定单元,用于根据所述用户身份信息,确定用户属性;
第二发送单元,用于下发与所述用户属性相关的诱饵策略至所述客户端,以指示所述客户端根据所述诱饵策略在终端中部署相应诱饵。
13.一种用于运行客户端的终端,其特征在于,包括:第一处理器和用于存储能够在第一处理器上运行的计算机程序的第一存储器,
其中,所述第一处理器用于运行所述计算机程序时,执行权利要求1至4任一项所述方法的步骤。
14.一种用于运行访问控制系统的电子设备,其特征在于,包括:第二处理器和用于存储能够在第二处理器上运行的计算机程序的第二存储器,
其中,所述第二处理器用于运行所述计算机程序时,执行权利要求5至9任一项所述方法的步骤。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一项所述方法的步骤,或实现权利要求5至9任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310645297.6A CN116506214A (zh) | 2023-05-31 | 2023-05-31 | 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310645297.6A CN116506214A (zh) | 2023-05-31 | 2023-05-31 | 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116506214A true CN116506214A (zh) | 2023-07-28 |
Family
ID=87318487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310645297.6A Pending CN116506214A (zh) | 2023-05-31 | 2023-05-31 | 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116506214A (zh) |
-
2023
- 2023-05-31 CN CN202310645297.6A patent/CN116506214A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888897B2 (en) | Implementing decoys in a network environment | |
CN110381045B (zh) | 攻击操作的处理方法和装置、存储介质及电子装置 | |
US9942270B2 (en) | Database deception in directory services | |
US20190354709A1 (en) | Enforcement of same origin policy for sensitive data | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
Sinha et al. | Information Security threats and attacks with conceivable counteraction | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
EP2611106A1 (en) | System for automated prevention of fraud | |
Lam et al. | Puppetnets: Misusing web browsers as a distributed attack infrastructure | |
Bao et al. | Research on network security of defense based on Honeypot | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
Karthikeyan et al. | Honeypots for network security | |
Jeyanthi | Internet of things (iot) as interconnection of threats (iot) | |
Zeid et al. | Investigating the darknet | |
Vasylyshyn et al. | A model of decoy system based on dynamic attributes for cybercrime investigation | |
CN116471121A (zh) | 安全防御方法、网关代理设备及存储介质 | |
Veena et al. | Implementing file and real time based intrusion detections in secure direct method using advanced honeypot | |
Oktivasari et al. | Analysis of effectiveness of iptables on web server from slowloris attack | |
Kaushik et al. | a novel approach for an automated advanced MITM attack on IoT networks | |
CN116506214A (zh) | 蜜罐引流系统及蜜罐引流方法、相关设备及存储介质 | |
Musambo et al. | Identifying Botnets Intrusion & Prevention –A Review | |
Chiu et al. | Detecting DoS and DDoS attacks by using CuSum algorithm in 5G networks | |
Jayasekara | Security operations & incident management: Case study analysis | |
Ramakrishnan et al. | Pandora: An IOT Based Intrusion Detection Honeypot with Real-time Monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |