CN116827633A - 蜜罐部署的方法、装置、设备及存储介质 - Google Patents

蜜罐部署的方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116827633A
CN116827633A CN202310779362.4A CN202310779362A CN116827633A CN 116827633 A CN116827633 A CN 116827633A CN 202310779362 A CN202310779362 A CN 202310779362A CN 116827633 A CN116827633 A CN 116827633A
Authority
CN
China
Prior art keywords
honeypot
script
service
honey
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310779362.4A
Other languages
English (en)
Inventor
贾涛
贺俊超
谢继刚
李广聚
裴艺杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Unicom Digital Technology Co Ltd
China Unicom Western Innovation Research Institute Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Unicom Digital Technology Co Ltd
China Unicom Western Innovation Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd, Unicom Digital Technology Co Ltd, China Unicom Western Innovation Research Institute Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202310779362.4A priority Critical patent/CN116827633A/zh
Publication of CN116827633A publication Critical patent/CN116827633A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种蜜罐部署的方法、装置、设备及存储介质。该方法包括:接收用户发送的蜜罐部署请求,根据蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,根据环境初始化结果以及预设的蜜罐库,获取蜜罐,将蜜罐接入伪装流量,生成蜜罐服务脚本,控制蜜罐服务脚本在初始化后的目的探针进行运行。通过上述方法使蜜罐部署成规模化,操作简易化,实时掌握蜜罐状态,结合对于业务理解和威胁的认知,提供多维蜜罐仿真程度,增强蜜罐真实性,实现更高的欺骗性。

Description

蜜罐部署的方法、装置、设备及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种蜜罐部署的方法、装置、设备及存储介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在现有技术中,蜜罐部署主要分为代理模式和无代理模式,其中,代理模式主要是中心和客户端组合的模式,通过客户端将流量代理到蜜场,同时利用中间设备等手段对攻击进行监控、阻断和反制等。无代理模式主要是通过构建完全模拟的蜜罐,直接部署到蜜网中,蜜罐将直接面向攻击者,其监控反制的手段主要是通过各个蜜罐本身来实现,但是随着网络越来越复杂,攻防对抗愈发激烈,常规的蜜罐部署已经不能满足复杂化网络的需求。
综上所述,如何简易的实现多维蜜罐部署是本领域亟需解决的问题。
发明内容
本申请提供一种蜜罐部署的方法、装置、设备及存储介质,用以解决如何简易的实现多维蜜罐部署的问题。
第一方面,本申请提供一种蜜罐部署的方法,应用于与蜜罐部署平台,包括:
接收用户发送的蜜罐部署请求,所述蜜罐部署请求中包括所述用户选择的目的探针;
根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,所述环境初始化结果中包括初始化后的目的探针;
根据所述环境初始化结果以及预设的蜜罐库,获取蜜罐,所述蜜罐库中包括预先配置的多个蜜罐;
将所述蜜罐接入伪装流量,生成蜜罐服务脚本,所述蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本;
控制所述蜜罐服务脚本在所述初始化后的目的探针进行运行。
结合第一方面,在一些实施例中,所述将所述蜜罐接入伪装流量,生成蜜罐服务脚本,包括:
根据所述蜜罐,调节所述伪装流量的动态参数,生成动态蜜罐;
在ansiable模块中部署蜜罐服务指令,所述蜜罐服务指令包括蜜罐启动指令,所述ansiable模块为所述蜜罐部署平台内部设置的;
根据所述动态蜜罐,所述蜜罐服务指令,生成所述蜜罐服务脚本。
结合第一方面,在一些实施例中,所述根据所述蜜罐部署请求,预设的蜜罐库,获取蜜罐,包括:
向所述ansiable模块指示蜜罐获取指令,并通过所述ansiable模块根据所述蜜罐获取指令,从所述蜜罐库中获取所述蜜罐,所述蜜罐获取指令中包括所述蜜罐的服务名。
结合第一方面,在一些实施例中,所述将所述蜜罐接入伪装流量的接入方式包括邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个。
结合第一方面,在一些实施例中,根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,包括:
向所述ansiable模块指示环境初始化指令,并通过ansiable模块根据所述环境初始化指令生成环境初始化脚本,所述环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本;
控制所述环境初始化脚本在所述目的探针进行运行,得到所述环境初始化结果。
结合第一方面,在一些实施例中,所述蜜罐服务脚本还包括蜜罐服务监控脚本,所述方法还包括:
获取所述初始化后的目的探针实时提供的蜜罐参数,所述蜜罐参数包括健康状态,流量,探针性能;
根据所述蜜罐参数生成蜜罐实时信息,所述蜜罐实时信息包括所述蜜罐和所述初始化后的目的探针的运行状态、网络流量、受攻击信息。
第二方面,本申请提供一种蜜罐部署的装置,包括:
接收模块,用于接收用户发送的蜜罐部署请求,所述蜜罐部署请求中包括所述用户选择的目的探针;
初始化模块,用于根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,所述环境初始化结果中包括初始化后的目的探针;
第一获取模块,用于根据所述环境初始化结果以及预设的蜜罐库,获取蜜罐,所述蜜罐库中包括预先配置的多个蜜罐;
脚本生成模块,用于将所述蜜罐接入伪装流量,生成蜜罐服务脚本,所述蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本;
脚本运行模块,用于控制所述蜜罐服务脚本在所述初始化后的目的探针进行运行。
结合第二方面,在一些实施例中,所述脚本生成模块,包括:
动态调整单元,用于根据所述蜜罐,调节所述伪装流量的动态参数,生成动态蜜罐;
指令部署单元,用于在ansiable模块中部署蜜罐服务指令,所述蜜罐服务指令包括蜜罐启动指令,所述ansiable模块为所述蜜罐部署平台内部设置的;
脚本生成单元,用于根据所述动态蜜罐,所述蜜罐服务指令,生成所述蜜罐服务脚本。
结合第二方面,在一些实施例中,所述第一获取模块,包括:
获取单元,用于向所述ansiable模块指示蜜罐获取指令,并通过所述ansiable模块根据所述蜜罐获取指令,从所述蜜罐库中获取所述蜜罐,所述蜜罐获取指令中包括所述蜜罐的服务名。
结合第二方面,在一些实施例中,所述将所述蜜罐接入伪装流量的接入方式包括邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个。
结合第二方面,在一些实施例中,所述初始化模块,包括:
脚本生成单元,用于向所述ansiable模块指示环境初始化指令,并通过ansiable模块根据所述环境初始化指令生成环境初始化脚本,所述环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本;
脚本运行单元,用于控制所述环境初始化脚本在所述目的探针进行运行,得到所述环境初始化结果。
结合第二方面,在一些实施例中,所述蜜罐服务脚本还包括蜜罐服务监控脚本,所述装置还包括:
第二获取模块,用于获取所述初始化后的目的探针实时提供的蜜罐参数,所述蜜罐参数包括健康状态,流量,探针性能;
信息生成模块,用于根据所述蜜罐参数生成蜜罐实时信息,所述蜜罐实时信息包括所述蜜罐和所述初始化后的目的探针的运行状态、网络流量、受攻击信息。
第三方面,本申请提供一种电子设备,包括:存储器,处理器,显示器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现上述任一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现上述任一方面所述的蜜罐部署的方法。
本申请提供的蜜罐部署的方法、装置、设备及存储介质,根据接收的用户发送的蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,再根据环境初始化结果以及预设的蜜罐库,获取蜜罐,最后将蜜罐接入伪装流量,生成蜜罐服务脚本,并控制蜜罐服务脚本在初始化后的目的探针进行运行。通过上述方法使蜜罐部署成规模化,操作简易化,实时掌握蜜罐状态,结合对于业务理解和威胁的认知,提供多维蜜罐仿真程度,增强蜜罐真实性,实现更高的欺骗性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的蜜罐部署的方法的应用场景图;
图2为本申请实施例提供的蜜罐部署的方法实施例一的流程示意图;
图3为本申请实施例提供的蜜罐部署的方法实施例二的流程示意图;
图4为本申请实施例提供的蜜罐部署的方法实施例三的流程示意图;
图5为本申请实施例提供的蜜罐部署的方法实施例四的流程示意图;
图6为本申请实施例提供的蜜罐部署的方法实施例五的流程示意图;
图7为本申请实施例提供的蜜罐部署的装置实施例一的结构示意图;
图8为本申请实施例提供的蜜罐部署的装置实施例二的结构示意图;
图9为本申请实施例提供的蜜罐部署的装置实施例三的结构示意图;
图10为本申请实施例提供的蜜罐部署的装置实施例四的结构示意图;
图11为本申请实施例提供的蜜罐部署的装置实施例五的结构示意图;
图12为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
随着网络攻击对抗的升级,传统的单向边界防御技术愈发不能满足企业对于高级未知威胁的需求,蜜罐是一种通过工具诱骗攻击者,令安全人员得以观察攻击者的主动网络防御技术,它从概念到落地是从1998年开始的,该技术发展初期主要通过虚拟的操作系统和网络服务,对于入侵者实施欺骗,对于蜜罐的部署主要分为代理模式和无代理模式,其中,代理模式主要是中心和客户端组合的模式,通过客户端将流量代理到蜜场,同时利用中间设备等手段对攻击进行监控、阻断和反制等。无代理模式主要是通过构建完全模拟的蜜罐,直接部署到蜜网中,蜜罐将直接面向攻击者,其监控反制的手段主要是通过各个蜜罐本身来实现,但是随着网络越来越复杂,攻防对抗愈发激烈,常规的蜜罐部署已经不能满足复杂化网络的需求。
针对上述问题,本申请提供的蜜罐部署的方法、装置、设备及存储介质,实现了简易化,规模化的蜜罐部署,具体的,对于蜜罐部署,通过客户端将流量代理到蜜场,同时利用中间设备等手段对攻击进行监控、阻断和反制等,又或者是通过构建完全模拟的蜜罐,直接部署到蜜网中,蜜罐将直接面向攻击者,其监控反制的手段主要是通过各个蜜罐本身来实现,常规的部署方法,部署过程复杂,需要专业技术人员,大规模的部署任务需要耗费大量人力、物力,并且无法实现实时监测,其仿真度也已经无法达到诱捕的效果。考虑到这些问题,发明人研究了是否可以基于ansiable使蜜罐技术部署成规模化,操作简易化,实时掌握蜜罐状态,结合对于业务理解和威胁的认知,提供多维蜜罐仿真程度,增强蜜罐真实性,基于此,提出本申请的技术方案。
图1为本申请实施例提供的蜜罐部署的方法的应用场景图,如图1所示,本申请提供的蜜罐部署的方法主要应用于蜜罐部署场景,其主要包括蜜罐部署平台,蜜罐部署平台可以是任意可进行数据处理,数据通信的电子设备,例如大型服务器设备,在该平台中配置有用于蜜罐部署的ansiable模块,用于蜜罐监控的监控模块,预先配置的蜜罐库和探针库以及为接入伪装流量的流量伪装模块,还可以配置有显示屏供用户进行操作,对于用户对该平台的操作方式可以是通过触屏操作,也可以是通过预先设定的控件操作,具体的操作方式本申请不做具体限定,以上各个模块之间均可实现数据通信,并且对于上述实体设备形态不做具体限定。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例提供的蜜罐部署的方法实施例一的流程示意图,如图2所示,本申请实施例提供的蜜罐部署的方法蜜罐部署平台,具体包括:
S101:接收用户发送的蜜罐部署请求。
在本步骤中,为实现蜜罐的规模化部署,用户通过设备操作向蜜罐部署平台发送蜜罐部署请求,蜜罐部署平台接收用户发送的蜜罐部署请求,其中,蜜罐部署请求包括用户选择的目的探针。
具体的,用户可直接通过蜜罐部署平台显示器操作发送蜜罐部署请求,或者是通过第三方设备遥控,通过无线信号的方式向蜜罐部署平台发送蜜罐部署请求,本申请对于用户向蜜罐部署平台发送蜜罐部署请求的具体方式不做限定。用户可通过探针库选择目的探针,其中探针库中包括预先配置的多个目的探针,并且用户选择目的探针可以是选择一个,也可以是多个。
S102:根据蜜罐部署请求,进行探针环境初始化,得到环境初始化结果。
在本步骤中,为了提高目的探针的利用率,使得本申请方法更加通用,兼容性更好,在经过上述步骤接收了户发送的蜜罐部署请求后,根据蜜罐部署请求,对目的探针的探针环境进行环境初始化,得到环境初始化结果,其中环境初始化结果包括初始化后的目的探针。
具体的,向ansiable模块指示环境初始化指令,并通过ansiable模块根据环境初始化指令生成环境初始化脚本,控制环境初始化脚本在目的探针进行运行,得到环境初始化结果。
S103:根据环境初始化结果以及预设的蜜罐库,获取蜜罐。
在本步骤中,在上述步骤对目标探针初始化后,根据环境初始化结果,在预设的蜜罐库中,获取蜜罐,其中,蜜罐库中包括预先配置的多个蜜罐。
具体的,向ansiable模块指示蜜罐获取指令,并通过ansiable模块根据蜜罐获取指令,从蜜罐库中获取蜜罐,为了实现蜜罐部署规模化,获取的蜜罐可以为多个蜜罐。
S104:将蜜罐接入伪装流量,生成蜜罐服务脚本。
在本步骤中,为了使得蜜罐更加真实,进而提高对攻击者的欺骗性,将蜜罐接入伪装流量,进而生成用于蜜罐部署的蜜罐服务脚本,其中,蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本。
具体的,根据蜜罐,调节伪装流量的动态参数,生成动态蜜罐,在ansiable模块中部署蜜罐服务指令,根据动态蜜罐,蜜罐服务指令,生成蜜罐服务脚本。
S105:控制蜜罐服务脚本在初始化后的目的探针进行运行。
在本步骤中,在上述步骤生成了蜜罐服务脚本,为了实现蜜罐部署的简易化,蜜罐部署平台控制蜜罐服务脚本在初始化后的目的探针运行,进而完成蜜罐的部署。
具体的,蜜罐部署平台向ansiable模块中部署蜜罐服务指令,ansiable模块根据指令内容以及动态蜜罐,生成蜜罐服务脚本,再将蜜罐服务脚本发送至初始化后的目的探针,蜜罐服务脚本中的蜜罐启动命令运行,将蜜罐服务脚本中动态蜜罐部署在初始化后的目的探针中并启动使用。
本实施例提供的蜜罐部署的方法,接收用户发送的蜜罐部署请求,根据蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,根据环境初始化结果以及预设的蜜罐库,获取蜜罐,将蜜罐接入伪装流量,生成蜜罐服务脚本,控制蜜罐服务脚本在初始化后的目的探针进行运行。通过上述方法使蜜罐部署成规模化,操作简易化,实时掌握蜜罐状态,结合对于业务理解和威胁的认知,提供多维蜜罐仿真程度,增强蜜罐真实性,实现更高的欺骗性。
图3为本申请实施例提供的蜜罐部署的方法实施例二的流程示意图,如图3所示,在上述实施例一的基础上,步骤S104具体包括:
S1041:根据蜜罐,调节伪装流量的动态参数,生成动态蜜罐。
在本步骤中,为了提高蜜罐的仿真度,使得蜜罐更加真实,将蜜罐接入伪装流量,并根据蜜罐,调节伪装流量的动态参数,生成动态蜜罐,其中,动态参数包括流量大小、请求时间、请求频率等参数,可以根据实际系统情况,对动态参数进行调节,使得蜜罐与真实作业系统更加相似,增加蜜罐的真实性。
具体的,将蜜罐接入伪装流量的方式可以是邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个,本申请对蜜罐接入伪装流量的接入方式不做限定。
S1042:在ansiable模块中部署蜜罐服务指令。
在本步骤中,通过上述步骤对蜜罐进行了伪装流量接入生成动态蜜罐后,为了能够简易化部署,通过设定ansiable模块实现,具体的,蜜罐部署平台在ansiable模块中部署蜜罐服务指令,其中,蜜罐服务指令包括蜜罐启动指令。蜜罐服务指令还可以包括蜜罐服务监控,ansiable模块作为中间模块接收蜜罐部署平台下发的指令,并根据指令生成相应的脚本,进而通过控制脚本在目的探针运行。
S1043:根据动态蜜罐,蜜罐服务指令,生成蜜罐服务脚本。
在本步骤中,为了简化,规模化部署蜜罐,在上述步骤得到动态蜜罐后,根据动态蜜罐以及在ansiable模块中部署蜜罐服务指令,生成蜜罐服务脚本。
具体的,ansiable模块在接收到蜜罐部署平台部署的蜜罐服务指令后,由于ansiable模块本身就具有简化部署的功能,则将蜜罐服务指令和动态蜜罐翻译为蜜罐服务脚本,其中,蜜罐服务脚本包括蜜罐启动脚本和动态蜜罐,也可以包括蜜罐服务监控脚本,蜜罐服务脚本可用于控制初始化后的目的探针进行脚本运行,进而实现蜜罐的部署启动以及监控。
本实施例提供的蜜罐部署的方法,根据蜜罐,调节伪装流量的动态参数,生成动态蜜罐,在ansiable模块中部署蜜罐服务指令,根据动态蜜罐,蜜罐服务指令,生成蜜罐服务脚本,通过将蜜罐接入伪装流量,使得蜜罐更加真实,提高了蜜罐的仿真度,增强了蜜罐真实性,进而实现了更高的欺骗性。
图4为本申请实施例提供的蜜罐部署的方法实施例三的流程示意图,如图4所示,在前述实施例的基础上,步骤S103具体包括:
S1031:向ansiable模块指示蜜罐获取指令,并通过ansiable模块根据蜜罐获取指令,从蜜罐库中获取蜜罐。
在本步骤中,为了节省人力物力,提高兼容性进而实现大规模的蜜罐部署,采用ansiable模块实现蜜罐部署,摒弃了传统的借助其他设备进行的方式,蜜罐部署平台直接向ansiable模块下发指示蜜罐获取指令,根据蜜罐获取指令,ansiable模块直接在蜜罐库中获取蜜罐,其中,蜜罐库中包括预先配置的多个蜜罐。
具体的,蜜罐获取指令中包括蜜罐的服务名,蜜罐部署平台可实现批量化的蜜罐部署,因此获取的蜜罐可以是一个也可以是多个,根据蜜罐的服务名,在蜜罐库中查找相应的服务名,查找到相应服务名后,从蜜罐库中获取相应的蜜罐。
本实施例提供的蜜罐部署的方法,向ansiable模块指示蜜罐获取指令,并通过ansiable模块根据蜜罐获取指令,从蜜罐库中获取蜜罐,通过设定ansiable模块,节省了大量的实体设备,使得蜜罐部署更加简易化,节省了人力物力。
图5为本申请实施例提供的蜜罐部署的方法实施例四的流程示意图,如图5所示,在前述实施例的基础上,步骤S102具体包括:
S1021:向ansiable模块指示环境初始化指令,并通过ansiable模块根据环境初始化指令生成环境初始化脚本。
在本步骤中,为了提高目的探针资源利用率,并且提高兼容性,对目的探针进行预处理,使其探针环境初始化。
具体的,蜜罐部署平台向ansiable模块指示环境初始化指令,然后ansiable模块将环境初始化指令翻译为环境初始化脚本,环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本。
S1022:控制环境初始化脚本在目的探针进行运行,得到环境初始化结果。
在本步骤中,在上述步骤生成环境初始化脚本后,为了能将探针环境初始化,ansiable模块将环境初始化脚本下发至目的探针运行,进而实现部署装置默认端口关闭、网络通畅、残余安装包删除、无关服务关闭等操作,最后得到环境初始化结果,环境初始化结果中包括初始化后的目的探针。
本实施例提供的蜜罐部署的方法,向ansiable模块指示环境初始化指令,并通过ansiable模块根据环境初始化指令生成环境初始化脚本,控制环境初始化脚本在目的探针进行运行,得到环境初始化结果,通过对探针环境的初始化,通过ansiable模块实现指令编译和任务分发,提高了探针资源的利用率,使得本申请提出的方法实用性更强,兼容性更优。
图6为本申请实施例提供的蜜罐部署的方法实施例五的流程示意图,如图6所示,本申请实施例提供的蜜罐部署的方法还包括:
S106:获取初始化后的目的探针实时提供的蜜罐参数。
在本步骤中,为了能够实现对蜜罐状态的实时监测,在蜜罐部署平台设定监控模块,蜜罐服务脚本中还包括蜜罐服务监控脚本,蜜罐部署平台向ansiable模块指示蜜罐服务监控指令,ansiable模块将蜜罐服务监控指令翻译为蜜罐服务监控脚本,并将蜜罐服务监控脚本分发至初始化后的目的探针,控制蜜罐服务监控脚本在初始化后的目的探针运行,实现实时对蜜罐的监测,监控模块获取初始化后的目的探针实时提供的蜜罐参数,其中,蜜罐参数包括健康状态,流量,探针性能。
具体的,蜜罐服务监控脚本在初始化后的目的探针中运行,进而将蜜罐参数推送至kafka,然后载通过flink通道,将蜜罐参数传输至蜜罐部署平台的监控模块,其中,kafka为手机日志信息的工具,flink可实现对流式数据的处理。
S107:根据蜜罐参数生成蜜罐实时信息。
在本步骤中,为了能够使用户实时了解初始化后的目的探针和蜜罐的情况,进而使用户能分析出攻击者的主动网络防御技术,在获取了蜜罐参数后,根据蜜罐参数生成蜜罐实时信息,并将蜜罐实时信息在显示屏上显示,供用户方便查看,其中,蜜罐实时信息包括蜜罐和初始化后的目的探针的运行状态、网络流量、受攻击信息。
本实施例提供的蜜罐部署的方法,获取目的探针实时提供的蜜罐参数,根据蜜罐参数生成蜜罐实时信息,通过对蜜罐状态的实时监测,并将检测参数汇聚成实时信息供用户查看,使得用户更加敏捷的感知攻击者行为。
图7为本申请实施例提供的蜜罐部署的装置实施例一的结构示意图,如图7所示,蜜罐部署的装置200包括:
接收模块201,用于接收用户发送的蜜罐部署请求,蜜罐部署请求中包括用户选择的目的探针。
初始化模块202,用于根据蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,环境初始化结果中包括初始化后的目的探针。
第一获取模块203,用于根据环境初始化结果以及预设的蜜罐库,获取蜜罐,蜜罐库中包括预先配置的多个蜜罐。
脚本生成模块204,用于将蜜罐接入伪装流量,生成蜜罐服务脚本,蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本。
脚本运行模块205,用于控制蜜罐服务脚本在初始化后的目的探针进行运行。
图8为本申请实施例提供的蜜罐部署的装置实施例二的结构示意图,如图8所示,脚本生成模块204,包括:
动态调整单元2041,用于根据蜜罐,调节伪装流量的动态参数,生成动态蜜罐。
指令部署单元2042,用于在ansiable模块中部署蜜罐服务指令,蜜罐服务指令包括蜜罐启动指令,ansiable模块为蜜罐部署平台内部设置的。
脚本生成单元2043,用于根据动态蜜罐,蜜罐服务指令,生成蜜罐服务脚本。
图9为本申请实施例提供的蜜罐部署的装置实施例三的结构示意图,如图9所示,第一获取模块203,包括:
获取单元2031,用于向ansiable模块指示蜜罐获取指令,并通过ansiable模块根据蜜罐获取指令,从蜜罐库中获取蜜罐,蜜罐获取指令中包括蜜罐的服务名。
本申请实施例提供的蜜罐部署的装置,将蜜罐接入伪装流量的接入方式包括邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个。
图10为本申请实施例提供的蜜罐部署的装置实施例四的结构示意图,如图10所示,初始化模块202,包括:
脚本生成单元2021,用于向ansiable模块指示环境初始化指令,并通过ansiable模块根据环境初始化指令生成环境初始化脚本,环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本。
脚本运行单元2022,用于控制环境初始化脚本在目的探针进行运行,得到环境初始化结果。
图11为本申请实施例提供的蜜罐部署的装置实施例五的结构示意图,如图11所示,蜜罐部署的装置200还包括:
第二获取模块206,用于获取初始化后的目的探针实时提供的蜜罐参数,蜜罐参数包括健康状态,流量,探针性能。
信息生成模块207,用于根据蜜罐参数生成蜜罐实时信息,蜜罐实时信息包括蜜罐和初始化后的目的探针的运行状态、网络流量、受攻击信息。
本实施例提供的蜜罐部署的装置,用于执行前述任一方法实施例中蜜罐部署的方法,其实现原理和技术效果类似,在此不再赘述。
图12为本申请实施例提供的电子设备的结构示意图。如图12所示,电子设备300包括:存储器301,处理器302,显示器303;
存储器301存储计算机执行指令。
处理器302执行存储器301存储的计算机执行指令,以实现上述任一项实施例中的技术方案。
显示器303用于显示蜜罐实时信息。
应理解,处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于可读取存储器中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储器(存储介质)包括:只读存储器(read-only memory,ROM)、RAM、快闪存储器、硬盘、固态硬盘、磁带(magnetic tape)、软盘(floppy disk)、光盘(optical disc)及其任意组合。
本申请实施例提供的电子设备,用于执行前述任一方法实施例中的技术方案,其实现原理和技术效果类似,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现任一项实施例中的方法。
上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器,电可擦除可编程只读存储器,可擦除可编程只读存储器,可编程只读存储器,只读存储器,磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
可选的,将可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中,至少一个处理器可以从该计算机可读存储介质中读取该计算机程序,至少一个处理器执行计算机程序时可实现上述任一方法实施例提供的技术方案。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (14)

1.一种蜜罐部署的方法,其特征在于,应用于蜜罐部署平台,包括:
接收用户发送的蜜罐部署请求,所述蜜罐部署请求中包括所述用户选择的目的探针;
根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,所述环境初始化结果中包括初始化后的目的探针;
根据所述环境初始化结果以及预设的蜜罐库,获取蜜罐,所述蜜罐库中包括预先配置的多个蜜罐;
将所述蜜罐接入伪装流量,生成蜜罐服务脚本,所述蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本;
控制所述蜜罐服务脚本在所述初始化后的目的探针进行运行。
2.根据权利要求1所述的方法,其特征在于,所述将所述蜜罐接入伪装流量,生成蜜罐服务脚本,包括:
根据所述蜜罐,调节所述伪装流量的动态参数,生成动态蜜罐;
在ansiable模块中部署蜜罐服务指令,所述蜜罐服务指令包括蜜罐启动指令,所述ansiable模块为所述蜜罐部署平台内部设置的;
根据所述动态蜜罐,所述蜜罐服务指令,生成所述蜜罐服务脚本。
3.根据权利要求2所述的方法,其特征在于,所述根据所述蜜罐部署请求,预设的蜜罐库,获取蜜罐,包括:
向所述ansiable模块指示蜜罐获取指令,并通过所述ansiable模块根据所述蜜罐获取指令,从所述蜜罐库中获取所述蜜罐,所述蜜罐获取指令中包括所述蜜罐的服务名。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述将所述蜜罐接入伪装流量的接入方式包括邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个。
5.根据权利要求3所述的方法,其特征在于,根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,包括:
向所述ansiable模块指示环境初始化指令,并通过ansiable模块根据所述环境初始化指令生成环境初始化脚本,所述环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本;
控制所述环境初始化脚本在所述目的探针进行运行,得到所述环境初始化结果。
6.根据权利要求1所述的方法,其特征在于,所述蜜罐服务脚本还包括蜜罐服务监控脚本,所述方法还包括:
获取所述初始化后的目的探针实时提供的蜜罐参数,所述蜜罐参数包括健康状态,流量,探针性能;
根据所述蜜罐参数生成蜜罐实时信息,所述蜜罐实时信息包括所述蜜罐和所述初始化后的目的探针的运行状态、网络流量、受攻击信息。
7.一种蜜罐部署的装置,其特征在于,包括:
接收模块,用于接收用户发送的蜜罐部署请求,所述蜜罐部署请求中包括所述用户选择的目的探针;
初始化模块,用于根据所述蜜罐部署请求,进行探针环境初始化,得到环境初始化结果,所述环境初始化结果中包括初始化后的目的探针;
第一获取模块,用于根据所述环境初始化结果以及预设的蜜罐库,获取蜜罐,所述蜜罐库中包括预先配置的多个蜜罐;
脚本生成模块,用于将所述蜜罐接入伪装流量,生成蜜罐服务脚本,所述蜜罐服务脚本包括动态蜜罐和蜜罐启动脚本;
脚本运行模块,用于控制所述蜜罐服务脚本在所述初始化后的目的探针进行运行。
8.根据权利要求7所述的装置,其特征在于,所述脚本生成模块,包括:
动态调整单元,用于根据所述蜜罐,调节所述伪装流量的动态参数,生成动态蜜罐;
指令部署单元,用于在ansiable模块中部署蜜罐服务指令,所述蜜罐服务指令包括蜜罐启动指令,所述ansiable模块为所述蜜罐部署平台内部设置的;
脚本生成单元,用于根据所述动态蜜罐,所述蜜罐服务指令,生成所述蜜罐服务脚本。
9.根据权利要求8所述的装置,其特征在于,所述第一获取模块,包括:
获取单元,用于向所述ansiable模块指示蜜罐获取指令,并通过所述ansiable模块根据所述蜜罐获取指令,从所述蜜罐库中获取所述蜜罐,所述蜜罐获取指令中包括所述蜜罐的服务名。
10.根据权利要求7至9任一项所述的装置,其特征在于,所述将所述蜜罐接入伪装流量的接入方式包括邮件系统,信息技术IT系统,数据库服务,应用服务以及网站服务器web服务中的任一个。
11.根据权利要求9所述的装置,其特征在于,所述初始化模块,包括:
脚本生成单元,用于向所述ansiable模块指示环境初始化指令,并通过ansiable模块根据所述环境初始化指令生成环境初始化脚本,所述环境初始化脚本包括部署装置默认端口关闭脚本、网络通畅脚本、残余安装包删除脚本、无关服务关闭脚本;
脚本运行单元,用于控制所述环境初始化脚本在所述目的探针进行运行,得到所述环境初始化结果。
12.根据权利要求7所述的装置,其特征在于,所述蜜罐服务脚本还包括蜜罐服务监控脚本,所述装置还包括:
第二获取模块,用于获取所述初始化后的目的探针实时提供的蜜罐参数,所述蜜罐参数包括健康状态,流量,探针性能;
信息生成模块,用于根据所述蜜罐参数生成蜜罐实时信息,所述蜜罐实时信息包括所述蜜罐和所述初始化后的目的探针的运行状态、网络流量、受攻击信息。
13.一种电子设备,其特征在于,包括:存储器,处理器,显示器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1至6中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至6任一项所述的蜜罐部署的方法。
CN202310779362.4A 2023-06-28 2023-06-28 蜜罐部署的方法、装置、设备及存储介质 Pending CN116827633A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310779362.4A CN116827633A (zh) 2023-06-28 2023-06-28 蜜罐部署的方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310779362.4A CN116827633A (zh) 2023-06-28 2023-06-28 蜜罐部署的方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116827633A true CN116827633A (zh) 2023-09-29

Family

ID=88116221

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310779362.4A Pending CN116827633A (zh) 2023-06-28 2023-06-28 蜜罐部署的方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116827633A (zh)

Similar Documents

Publication Publication Date Title
CN108769071B (zh) 攻击信息处理方法、装置和物联网蜜罐系统
US10567432B2 (en) Systems and methods for incubating malware in a virtual organization
CN107682333B (zh) 基于云计算环境的虚拟化安全防御系统及方法
CA3013171C (en) System and method for analyzing unauthorized intrusion into a computer network
CN112685737A (zh) 一种app的检测方法、装置、设备及存储介质
US20050166072A1 (en) Method and system for wireless morphing honeypot
CN112751864B (zh) 网络攻击反制系统、方法、装置和计算机设备
US9866575B2 (en) Management and distribution of virtual cyber sensors
US20240007487A1 (en) Asset Remediation Trend Map Generation and Utilization for Threat Mitigation
CN103701816B (zh) 执行拒绝服务攻击的服务器的扫描方法和扫描装置
US20230418938A1 (en) Attack kill chain generation and utilization for threat analysis
CN103761479A (zh) 恶意程序的扫描方法和装置
CN112738071A (zh) 一种攻击链拓扑的构建方法及装置
US11805147B2 (en) Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures
CN113949520A (zh) 欺骗诱捕的方法、装置、计算机设备和可读存储介质
CN114826662B (zh) 一种自定义规则防护方法、装置、设备及可读存储介质
Djap et al. Xb-pot: Revealing honeypot-based attacker’s behaviors
CN113645242B (zh) 一种蜜罐溯源方法、装置及相关设备
CN116827633A (zh) 蜜罐部署的方法、装置、设备及存储介质
Betts et al. Developing a state of the art methodology and toolkit for ICS SCADA forensics
CN114884744A (zh) 一种攻击行为的分析方法及电子设备
Aarya et al. Web scanning: existing techniques and future
Mayukha et al. Reconnaissance for penetration testing using active scanning of mitre att&ck
CN114666128B (zh) 蜜罐威胁情报共享方法、装置、设备及可读存储介质
Mugisha Android Application Malware Analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination