CN116668187A - 一种蜜罐识别的方法、装置及电子设备 - Google Patents
一种蜜罐识别的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN116668187A CN116668187A CN202310890594.7A CN202310890594A CN116668187A CN 116668187 A CN116668187 A CN 116668187A CN 202310890594 A CN202310890594 A CN 202310890594A CN 116668187 A CN116668187 A CN 116668187A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- network
- detection
- message
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000001514 detection method Methods 0.000 claims abstract description 220
- 235000012907 honey Nutrition 0.000 claims abstract description 117
- 238000004088 simulation Methods 0.000 claims abstract description 77
- 230000004044 response Effects 0.000 claims description 66
- 238000002372 labelling Methods 0.000 claims description 10
- 238000000605 extraction Methods 0.000 claims description 9
- 239000000523 sample Substances 0.000 claims description 8
- 230000003993 interaction Effects 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000004083 survival effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种蜜罐识别的方法、装置及电子设备。在本实施例中,通过网络中部署的至少一个蜜罐探测装置主动向网络中的网络设备发送蜜罐探测报文,以得到蜜罐识别结果,实现了蜜罐识别,便于用户了解网络中的蜜罐资产的分布情况,以使得风险扫描设备在进行扫描时不对蜜罐设备进行扫描,提高扫描效率;通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置对网络中的网络设备进行分布式扫描,即按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,可以有效的实现对复杂蜜罐进行扫描;若网络设备提供的服务为指定服务时,向该网络设备发送指定服务匹配的仿真探测报文,实现了对仿真蜜罐的探测。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种蜜罐识别的方法、装置及电子设备。
背景技术
为了应对网络安全问题,常在网络中配置风险扫描设备以对网络的各个网络设备进行扫描,得到各个网络设备中存在的安全风险。但是网络中的网络设备包括蜜罐,所谓蜜罐,是一种提供网络主动防御技术的设备,其为安全设备,不需要进行扫描,若风险扫描设备对网络中的所有网络设备进行扫描,会因为扫描蜜罐设备而影响扫描效率。故亟待提出一种蜜罐识别的方法以识别出网络中的蜜罐设备,避免风险扫描设备扫描蜜罐设备而导致的扫描效率低的问题。
发明内容
有鉴于此,本申请实施例提供一种蜜罐识别的方法、装置及电子设备,以实现蜜罐设备识别,避免风险扫描设备扫描蜜罐设备而导致的扫描效率低的问题。
根据本申请实施例的第一方面,提供一种蜜罐识别的方法,所述方法应用于待进行蜜罐识别的网络;所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置;所述方法包括:
通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文;
通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文,若依据所述服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送所述指定服务匹配的仿真探测报文,若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐;
通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果;所述蜜罐识别结果包括:所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
根据本申请实施例的第二方面,提供一种蜜罐识别的装置,所述装置应用于待进行蜜罐识别的网络;所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置;所述装置包括:
探测报文发送模块,用于通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文;
第一蜜罐识别模块,用于通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文,若依据所述服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送所述指定服务匹配的仿真探测报文,若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐;
第二蜜罐识别模块,用于通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果;所述蜜罐识别结果包括:所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
根据本申请实施例的第三方面,提供一种电子设备,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如第一方面所述的方法。
本申请实施例提供的技术方案可以包括以下有益效果:
在本实施例中,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置主动向网络中的网络设备发送蜜罐探测报文,以依据网络设备基于蜜罐探测报文返回的蜜罐响应报文,得到蜜罐识别结果,实现了蜜罐识别,便于用户了解网络中的蜜罐资产的分布情况,以使得风险扫描设备在进行风险扫描时不对蜜罐设备进行扫描,避免风险扫描设备扫描蜜罐而导致的扫描效率低的问题;
进一步地,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置对网络中的网络设备进行分布式扫描,即按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,可以有效的实现对复杂蜜罐进行扫描;
再进一步地,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置向网络中的网络设备发送端口服务探测报文,以在确定出该网络设备提供的服务为指定服务时,向该网络设备发送指定服务匹配的仿真探测报文,实现了对仿真蜜罐的探测,避免了仿真蜜罐被认为为真实的设备进行管控而导致的资产管理量大的问题。
附图说明
图1是本申请实施例示出的一种蜜罐识别的方法的流程图。
图2是本申请实施例示出的一种蜜罐识别的实例图。
图3是本申请实施例示出的一种蜜罐识别的装置的框图。
图4是本申请实施例示出的一种电子设备的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图1所示,图1是本申请实施例示出的一种蜜罐识别的方法的流程图,该蜜罐识别的方法应用于待进行蜜罐识别的网络,这里,待进行蜜罐识别的网络可以为局域网、也可以为广域网,本申请实施例并不具体限定。
在本实施例中,为了实现对网络中的蜜罐设备进行识别,该网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置,该蜜罐探测装置以旁路部署的方式部署在网络中,与网络中的交换机连接。
在本实施例中,蜜罐探测装置可以为专门的探测工具、也可以为其他被用作蜜罐探测的设备,本申请实施例并不具体限定。
作为一个实施例,当蜜罐探测装置为一个时,该蜜罐探测装置上可部署有至少两个网卡;作为另一个实施例,当蜜罐探测装置为至少2个时,每个蜜罐探测装置上部署的网卡的数量为至少一个。
如图1所示,包括以下步骤:
S110:通过网络中被部署的蜜罐探测装置向网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文。
示例性地,在本实施例中,网络中的网络设备可以包括:终端设备、交换机等等,本申请实施例并不具体限定。
在本实施例中,端口服务探测报文用于探测网络中的网络设备可提供的服务,为了实现对仿真蜜罐的识别,向网络中的网络设备发送端口服务探测报文,以探测网络设备提供的服务。
在本实施例中,向网络中的网络设备发送端口服务探测报文以及蜜罐探测报文,可以是定时发送的,例如每个月发送一次,也可以是接收到探测指令后发送,本申请实施例对探测报文的发送时机并不具体限定。
示例性地,在本实施例中,按照时间分布式探测方式向网络中的网络设备发送蜜罐探测报文具体可以为:在不同时间点通过网络中被部署的蜜罐探测装置向网络中的网络设备发送蜜罐探测报文。
这里,不同时间点包括但不限于在一分钟、一小时、一天、一周内的不同时间点,在不同时间点向网络中的网络设备发送蜜罐探测报文时,可以由同一台蜜罐探测装置或者不同的蜜罐探测装置向网络中的网络设备发送蜜罐探测报文,本申请实施例并不具体限定。
按照空间分布式探测方式向网络中的网络设备发送蜜罐探测报文具体可以为:
在同一时间点通过网络中被部署的各个蜜罐探测装置或者至少一个蜜罐探测装置上的各个网卡,向网络中的网络设备发送蜜罐探测报文。
示例性地,在本实施例中,各蜜罐探测装置可以是处于同一IP段的装置,也可以是处于不同IP网段但是可以进行相互通信的装置,本申请实施例并不具体限定。
S120:通过网络中被部署的蜜罐探测装置接收到网络中的网络设备基于端口服务探测报文返回的服务响应报文,若依据服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送指定服务匹配的仿真探测报文,若接收到的该网络设备基于仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐。
在对网络中的网络设备进行管理的过程中,蜜罐设备的特殊性会影响到网络管理人员的管理,例如在网络中放置一台仿真摄像头,该仿真摄像头的WEB界面、开发服务都与真实摄像头一致,但是该仿真摄像头不具备真正视频拍摄和视频传输功能,若该仿真摄像头被识别为真实网络设备,当该仿真摄像头出现故障(例如,被攻击)时,网络管理人员需要通知检修人员进行检修,检修过程中会出现无法找到该仿真摄像头所处地理位置,或该仿真摄像头所处IP地址段是部署在边境线、大山深处、海域等险要位置等,均会导致排查过程复杂、繁琐,并且排查结果为蜜罐设备,排查过程浪费了大量的人力物力。基于此,需要将网络中的仿真蜜罐设备识别出来,具体识别方法参见上述步骤S120。
示例性地,在本实施例中,服务响应报文中携带网络设备提供的服务,在接收到网络中的网络设备基于端口服务探测报文返回的服务响应报文后,对该服务响应报文进行解析,得到服务响应报文中携带网络设备提供的服务。
在本实施例中,指定服务为需要进一步探测网络设备是否为仿真蜜罐的服务,其为提前定义好的,这里的指定服务例如可以为,实时流传输协议(Real Time StreamingProtocol,RTSP)、Modbus协议(一种串行通信协议)等等,本申请实施例并不具体限定。
在本实施例中,本步骤S120中,若网络设备提供的服务为指定服务,则向该网络设备发送指定服务匹配的仿真探测报文,在本实施例中,仿真探测报文依据如下步骤得到:以指定服务为关键字,从预设仿真蜜罐交互库中查找与该网络设备提供的指定服务匹配的仿真探测规则,基于查找到的仿真探测规则构建仿真探测报文,并将构建好的仿真探测报文发送至网络设备。
例如,当服务为RTSP协议时,仿真探测规则为获取网络设备采集的视频流,在得到仿真探测规则后,依据仿真探测规则构建用于获取网络设备采集的视频流的仿真探测报文。
若接收到的该网络设备基于仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐,这里,指定字段可以为空或者默认值(例如,0),本申请实施例并不具体限定。
例如,当服务为RTSP协议时,则若仿真响应报文中指定字段为空,即未携带视频流,就认为该网络设备为仿真蜜罐。
本申请实施例在识别蜜罐时,使用模拟真实的情景交互和分析,如对IPC蜜罐先进行弱口令爆破而后进视频流分析,可以对仿真蜜罐进行识别。
S130:通过网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果。
示例性地,在本实施例中,蜜罐识别结果包括:网络设备被识别为蜜罐、网络设备被识别为疑似蜜罐或者网络设备被识别为非蜜罐,本申请实施例并不具体限定。
在本实施例中,在接收到网络中的各网络设备返回的蜜罐响应报文后,记录各网络设备返回的蜜罐响应报文,记录方式包括但不限于文件记录、数据库记录等。
在本实施例中,对蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果具体可以为:提取蜜罐响应报文的特征,依据预设特征库对报文特征进行匹配,得到蜜罐识别结果。
这里,提取蜜罐响应报文的特征可以为基于预设特征提取规则库对接收到的蜜罐响应报文进行解析,得到报文特征,其中,预设特征提取规则库用于存储特征提取规则,在本实施例中,可以利用预设特征提取规则库每一特征提取规则都对蜜罐响应报文进行特征提取,得到报文特征。
在本实施例中,报文特征可以包括:报文长度、报文title特征等等,本申请实施例并不具体限定。
示例性地,在本实施例中,预设特征库可以包括:预设蜜罐信息特征库以及预设差异特征信息库等,本申请实施例并不具体限定。
其中,预设蜜罐信息特征库用于存储蜜罐的特征信息;预设差异特征信息库用于存储不同时间收到报文的差异信息(例如,字段的位置差异、字段的内容差异等等)。
依据预设特征库对报文特征进行匹配,得到蜜罐识别结果具体可以为:若匹配率大于或等于第一指定匹配阈值,确定蜜罐识别结果为:网络设备被识别为蜜罐;若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值,则确定蜜罐识别结果为:网络设备被识别为疑似蜜罐;若匹配率小于第二指定匹配阈值,则确定蜜罐识别结果为:网络设备被识别为非蜜罐;第一指定匹配阈值大于第二指定匹配阈值。
示例性地,在本实施例中,上述第一指定匹配阈值和第二指定匹配阈值均为提前设置好的任意数值,例如,第一指定匹配阈值为95%,第二指定阈值为60%,本申请实施例并不具体限定,只要保证第一指定匹配阈值大于第二指定匹配阈值即可。
在本实施例中,匹配率指的是匹配的报文特征与所有的报文特征的比值,若匹配率大于或等于第一指定匹配阈值,确定蜜罐识别结果为:网络设备被识别为蜜罐;若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值,则确定蜜罐识别结果为:网络设备被识别为疑似蜜罐;若匹配率小于第二指定匹配阈值,则确定蜜罐识别结果为:网络设备被识别为非蜜罐。
需要说明的是,在得到报文特征后,还可以对报文特征进行指定处理,这里的指定处理可以包括但不限于哈希计算、报文长度计算、报文偏差计算等等,基于指定处理后的信息与预设特征库中存储的特征进行匹配。
至此,完成图1所示流程。
通过图1所示流程可以看出,本实施例中,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置主动向网络中的网络设备发送蜜罐探测报文,以依据网络设备基于蜜罐探测报文返回的蜜罐响应报文,得到蜜罐识别结果,实现了蜜罐识别,便于用户了解网络中的蜜罐资产的分布情况,以使得风险扫描设备在进行风险扫描时不对蜜罐设备进行扫描,避免风险扫描设备扫描蜜罐而导致的扫描效率低的问题;
进一步地,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置对网络中的网络设备进行分布式扫描,即按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,可以有效的实现对复杂蜜罐进行扫描;
再进一步地,通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置向网络中的网络设备发送端口服务探测报文,以在确定出该网络设备提供的服务为指定服务时,向该网络设备发送指定服务匹配的仿真探测报文,实现了对仿真蜜罐的探测,避免了仿真蜜罐被认为为真实的设备进行管控而导致的资产管理量大的问题。
在本实施例中,网络中包含的网络设备中可能有发生故障的网络设备,为了减少网络中传输的报文数量,降低网络负载,蜜罐探测装置不需要向故障的网络设备发送上述探测报文(包括端口服务探测报文以及蜜罐探测报文),因此,在执行步骤S110之前,还需要确定出网络内的存活的网络设备(即在线网络设备),具体地:
通过网络中被部署的蜜罐探测装置向网络内的网络设备广播存活探测报文,当接收到网络设备基于存活探测报文反馈的存活响应报文时,就认为该网络设备是存活的网络设备。
作为本申请实施例一个可选实施方式,若蜜罐识别结果为网络设备被识别为疑似蜜罐,则该蜜罐识别方法还包括:
首先,获得网络设备的蜜罐标注信息;
其次,若依据蜜罐标注信息确定网络设备为蜜罐,则将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到预设特征库。
示例性地,在本实施例中,对于蜜罐识别结果为网络设备被识别为疑似蜜罐,人工对该网络设备进行标注,得到人工标注的蜜罐标注信息,这里蜜罐标注信息可以为蜜罐或非蜜罐,也可以为传统蜜罐、复杂蜜罐、仿真蜜罐或非蜜罐,本申请实施例并不具体限定。
在本实施例中,本步骤中,若依据蜜罐标注信息确定网络设备为蜜罐(这里,蜜罐可以为:传统蜜罐、复杂蜜罐或仿真蜜罐)时,将将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到预设特征库中,以实现对预设特征库的更新。
在本实施例中,在对预设特征库进行更新后,返回执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文,通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果的步骤,在所述蜜罐响应报文进行蜜罐识别时,利用更新后的预设特征库进行特征匹配,直到各个网络设备的蜜罐识别结果中不包括疑似蜜罐停止,提高对网络中蜜罐识别的准确性。
需要说明的是,在重复执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文的步骤时,可以不向人工标注为非蜜罐的网络设备发送蜜罐探测报文,减少网络中的报文数量,降低网络负载。
进一步地,当蜜罐识别结果中存在疑似蜜罐时,结合人工对疑似蜜罐标注的结果,对预设特征库进行更新,不断增加蜜罐特征信息,以可以检测更加广泛的对蜜罐进行识别。
图2是本申请实施例示出的一种蜜罐识别的实例图,下面结合图2对本申请实施例提供的蜜罐识别的方法的过程进行描述,具体地:
1.网络中IP为192.168.0.100的蜜罐探测装置对IP地址为192.168.0.10的网络设备被部署为传统SSH(安全外壳协议)蜜罐、IP地址为192.168.0.20的网络设备被部署为仿真IPC(Inter-Process Communication,进程间通信)蜜罐、IP地址为192.168.0.30的WEB服务复杂蜜罐进行分布式(空间分布式、时间分布式)扫描;
特别地,对IP地址为192.168.0.20的仿真IPC蜜罐过程细化为先进行主动扫描获取仿真蜜罐提供的服务,从预设仿真蜜罐交互库中获取与该服务匹配的仿真探测报文进行扫描。
2.网络设备在接收到扫描后,返回自身对应的信息特征;
3.蜜罐探测装置中的扫描结果处理模块、扫描结果记录模块对网络设备返回的信息进行分析、处理、记录;
4. 扫描结果处理模块结合预设蜜罐信息特征库、预设差异信息特征库对扫描结果进行分析,输出蜜罐、疑似蜜罐、非蜜罐的蜜罐识别结果,部分以192.168.0.10为代表的传统蜜罐、以192.168.0.30为代表的复杂蜜罐在本轮中可以识别出,以192.168.0.20为代表的仿真蜜罐可以全部识别出;
5. 将步骤4中识别的疑似蜜罐通过人工标注模块进行标注,得到蜜罐标注结果;
6. 若确认为蜜罐,则将该疑似蜜罐的特征信息加入到预设蜜罐信息特征库中,提高预设蜜罐信息特征库的特征数量同时在下次扫描时可以识别同类型的蜜罐;
7. 对人工标注为非蜜罐、扫描结果分析为非蜜罐进行汇总;
8. 蜜罐探测装置再次进行分布式(时间分布式、空间分布式)扫描;
9.蜜罐在接收到扫描后,再次返回自身对应的信息特征;
10.蜜罐探测装置中的扫描结果处理模块、扫描结果记录模块对蜜罐设备返回的信息进行分析、处理、记录,并重复上述步骤直至无疑似蜜罐结果输出。
与前述方法的实施例相对应,本说明书还提供了装置及其所应用的终端的实施例。
如图3所示,图3是本申请实施例示出的一种蜜罐识别的装置的框图,上述蜜罐识别的装置应用于待进行蜜罐识别的网络,网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置;上述蜜罐识别的装置包括:
探测报文发送模块,用于通过网络中被部署的蜜罐探测装置向网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文;
第一蜜罐识别模块,用于通过网络中被部署的蜜罐探测装置接收到网络中的网络设备基于端口服务探测报文返回的服务响应报文,若依据服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送指定服务匹配的仿真探测报文,若接收到的该网络设备基于仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐;
第二蜜罐识别模块,用于通过网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果;蜜罐识别结果包括:网络设备被识别为蜜罐、网络设备被识别为疑似蜜罐或者网络设备被识别为非蜜罐。
作为本申请实施例一个可选实施方式,按照时间分布式探测方式向网络中的网络设备发送蜜罐探测报文,包括:
在不同时间点通过网络中被部署的蜜罐探测装置向网络中的网络设备发送蜜罐探测报文;
和/或,按照空间分布式探测方式向网络中的网络设备发送蜜罐探测报文,包括:
在同一时间点通过网络中被部署的各个蜜罐探测装置或者至少一个蜜罐探测装置上的各个网卡,向网络中的网络设备发送蜜罐探测报文。
作为本申请实施例一个可选实施方式,仿真响应报文携带的指定字段为空或者默认值。
作为本申请实施例一个可选实施方式,第二蜜罐识别模块具体用于:
基于预设特征提取规则库对接收到的蜜罐响应报文进行解析,得到报文特征;
基于预设特征库对报文特征进行匹配,若匹配率大于或等于第一指定匹配阈值,确定蜜罐识别结果为:网络设备被识别为蜜罐;若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值,则确定蜜罐识别结果为:网络设备被识别为疑似蜜罐;若匹配率小于第二指定匹配阈值,则确定蜜罐识别结果为:网络设备被识别为非蜜罐;第一指定匹配阈值大于第二指定匹配阈值。
作为本申请实施例一个可选实施方式,若蜜罐识别结果为网络设备被识别为疑似蜜罐,则该蜜罐识别的装置还包括:
标注信息获得模块,用于获得网络设备的蜜罐标注信息;
预设特征库更新模块,用于若依据蜜罐标注信息确定网络设备为蜜罐,则将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到预设特征库。
作为本申请实施例一个可选方式,在更新预设特征库之后,所述装置还包括:
重复探测模块,用于返回执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文,通过网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果的步骤,直到蜜罐识别结果中不包括疑似蜜罐。
作为本申请实施例一个可选实施方式,在向该网络设备发送指定服务匹配的仿真探测报文之前,该蜜罐识别的装置还包括:
仿真探测规则查找模块,用于以指定服务为关键字,在预设仿真蜜罐交互库中查找与指定服务匹配的仿真探测规则;
仿真探测报文构建模块,用于基于查找到的仿真探测规则构建仿真探测报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
至此,完成图3所示装置的描述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对应地,本申请实施例还提供了图3所示装置的硬件结构图,具体如图4所示,该电子设备可以为上述实施方法的设备。如图4所示,该硬件结构包括:处理器和存储器。
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如上所示的所对应的蜜罐识别的方法实施例。
作为一个实施例,存储器可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储器可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,存储器可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示电子设备的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (10)
1.一种蜜罐识别的方法,其特征在于,所述方法应用于待进行蜜罐识别的网络;所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置;所述方法包括:
通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文;
通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文,若依据所述服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送所述指定服务匹配的仿真探测报文,若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐;
通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果;所述蜜罐识别结果包括:所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
2.根据权利要求1所述的方法,其特征在于,按照时间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,包括:
在不同时间点通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送蜜罐探测报文;
和/或,按照空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,包括:
在同一时间点通过所述网络中被部署的各个蜜罐探测装置或者至少一个蜜罐探测装置上的各个网卡,向所述网络中的网络设备发送蜜罐探测报文。
3.根据权利要求1所述的方法,其特征在于,所述仿真响应报文携带的指定字段为空或者默认值。
4.根据权利要求1所述的方法,其特征在于,所述对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果,包括:
基于预设特征提取规则库对接收到的蜜罐响应报文进行解析,得到报文特征;
基于预设特征库对所述报文特征进行匹配,若匹配率大于或等于第一指定匹配阈值,确定蜜罐识别结果为:所述网络设备被识别为蜜罐;若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值,则确定蜜罐识别结果为:所述网络设备被识别为疑似蜜罐;若匹配率小于第二指定匹配阈值,则确定蜜罐识别结果为:所述网络设备被识别为非蜜罐;所述第一指定匹配阈值大于所述第二指定匹配阈值。
5.根据权利要求4所述的方法,其特征在于,若蜜罐识别结果为所述网络设备被识别为疑似蜜罐,则所述方法还包括:
获得所述网络设备的蜜罐标注信息;
若依据蜜罐标注信息确定所述网络设备为蜜罐,则将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到所述预设特征库。
6.根据权利要求5所述的方法,其特征在于,在更新预设特征库之后,所述方法还包括:
返回执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文,通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果的步骤,直到所述蜜罐识别结果中不包括疑似蜜罐。
7.根据权利要求1所述的方法,其特征在于,在所述向该网络设备发送所述指定服务匹配的仿真探测报文之前,所述方法还包括:
以所述指定服务为关键字,在预设仿真蜜罐交互库中查找与所述指定服务匹配的仿真探测规则;
基于查找到的仿真探测规则构建仿真探测报文。
8.一种蜜罐识别的装置,其特征在于,所述装置应用于待进行蜜罐识别的网络;所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置;所述装置包括:
探测报文发送模块,用于通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文;以及,按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文;
第一蜜罐识别模块,用于通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文,若依据所述服务响应报文确定该网络设备提供的服务为指定服务,则向该网络设备发送所述指定服务匹配的仿真探测报文,若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段,则确定该网络设备为仿真蜜罐;
第二蜜罐识别模块,用于通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果;所述蜜罐识别结果包括:所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
9.根据权利要求8所述的装置,其特征在于,所述探测报文发送模块具体用于:
在不同时间点通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送蜜罐探测报文;
和/或,按照空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文,包括:
在同一时间点通过所述网络中被部署的各个蜜罐探测装置或者至少一个蜜罐探测装置上的各个网卡,向所述网络中的网络设备发送蜜罐探测报文;
所述仿真响应报文携带的指定字段为空或者默认值;
所述第二蜜罐识别模块具体用于:
基于预设特征提取规则库对接收到的蜜罐响应报文进行解析,得到报文特征;
基于预设特征库对所述报文特征进行匹配,若匹配率大于或等于第一指定匹配阈值,确定蜜罐识别结果为:所述网络设备被识别为蜜罐;若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值,则确定蜜罐识别结果为:所述网络设备被识别为疑似蜜罐;若匹配率小于第二指定匹配阈值,则确定蜜罐识别结果为:所述网络设备被识别为非蜜罐;所述第一指定匹配阈值大于所述第二指定匹配阈值;
若蜜罐识别结果为所述网络设备被识别为疑似蜜罐,则所述装置还包括:
标注信息获得模块,用于获得所述网络设备的蜜罐标注信息;
预设特征库更新模块,用于若依据蜜罐标注信息确定所述网络设备为蜜罐,则将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到所述预设特征库;
在更新预设特征库之后,所述装置还包括:
重复探测模块,用于返回执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文,通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文,对所述蜜罐响应报文进行蜜罐识别,得到蜜罐识别结果的步骤,直到所述蜜罐识别结果中不包括疑似蜜罐;
在向该网络设备发送指定服务匹配的仿真探测报文之前,该蜜罐识别的装置还包括:
仿真探测规则查找模块,用于以指定服务为关键字,在预设仿真蜜罐交互库中查找与指定服务匹配的仿真探测规则;
仿真探测报文构建模块,用于基于查找到的仿真探测规则构建仿真探测报文。
10.一种电子设备,其特征在于,电子设备包括:处理器和存储器;
其中,所述存储器,用于存储机器可执行指令;
所述处理器,用于读取并执行所述存储器存储的机器可执行指令,以实现如权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310890594.7A CN116668187B (zh) | 2023-07-19 | 2023-07-19 | 一种蜜罐识别的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310890594.7A CN116668187B (zh) | 2023-07-19 | 2023-07-19 | 一种蜜罐识别的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116668187A true CN116668187A (zh) | 2023-08-29 |
| CN116668187B CN116668187B (zh) | 2023-11-03 |
Family
ID=87709988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310890594.7A Active CN116668187B (zh) | 2023-07-19 | 2023-07-19 | 一种蜜罐识别的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116668187B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL230800A0 (en) * | 2014-02-03 | 2014-09-30 | Yuval Elovici | A router-based honeytrap for advanced persistent threat detection |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、系统、装置及介质 |
| CN114221804A (zh) * | 2021-12-12 | 2022-03-22 | 中国电子科技集团公司第十五研究所 | 一种基于特征识别和交互验证的蜜罐识别方法 |
| CN114826663A (zh) * | 2022-03-18 | 2022-07-29 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
-
2023
- 2023-07-19 CN CN202310890594.7A patent/CN116668187B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL230800A0 (en) * | 2014-02-03 | 2014-09-30 | Yuval Elovici | A router-based honeytrap for advanced persistent threat detection |
| CN110677414A (zh) * | 2019-09-27 | 2020-01-10 | 北京知道创宇信息技术股份有限公司 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、系统、装置及介质 |
| CN114221804A (zh) * | 2021-12-12 | 2022-03-22 | 中国电子科技集团公司第十五研究所 | 一种基于特征识别和交互验证的蜜罐识别方法 |
| CN114826663A (zh) * | 2022-03-18 | 2022-07-29 | 烽台科技(北京)有限公司 | 蜜罐识别方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
| CN117061253B (zh) * | 2023-10-12 | 2023-12-22 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116668187B (zh) | 2023-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9178899B2 (en) | Detecting automated site scans | |
| CN116668187B (zh) | 一种蜜罐识别的方法、装置及电子设备 | |
| CN108206972B (zh) | 直播间人气处理方法、装置、服务器及存储介质 | |
| CN108200068A (zh) | 端口监控方法、装置、计算机设备及存储介质 | |
| US10659335B1 (en) | Contextual analyses of network traffic | |
| CN109618236A (zh) | 视频评论处理方法和装置 | |
| CN108924258A (zh) | 后台信息推送方法、装置、计算机设备和存储介质 | |
| CN105392178A (zh) | 一种用于获取无线接入点的接入信息的方法与设备 | |
| CN107734081B (zh) | 联系人标签的确定方法、介质、装置和计算设备 | |
| CN113810408A (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN109670112A (zh) | 一种用户画像id的生成方法、装置、存储介质及终端 | |
| CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN110895602B (zh) | 身份验证方法、装置、电子设备及存储介质 | |
| CN117828047A (zh) | 基于大数据的智能交互会话安全分析方法、介质及系统 | |
| CN117493671A (zh) | 信息处理方法、装置、电子设备及计算机存储介质 | |
| CN116996262A (zh) | 低资源高仿真漏洞蜜罐方法及系统 | |
| CN115834231A (zh) | 一种蜜罐系统的识别方法、装置、终端设备及存储介质 | |
| CN103220327B (zh) | 用户信息存储方法及装置 | |
| CN112734254B (zh) | 变电站施工的风险预警方法、装置和计算机设备 | |
| CN112131374B (zh) | 文本的识别方法、装置和服务器 | |
| CN108959879A (zh) | 应用程序的数据获取方法、装置、电子设备及服务器 | |
| CN107509083B (zh) | 直播人数真实性检测方法、存储介质、电子设备及系统 | |
| CN113438503A (zh) | 视频文件还原方法、装置、计算机设备和存储介质 | |
| CN107733909B (zh) | 一种数据存储方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |