CN117220968A - 一种蜜点域名优化部署方法、系统、设备及存储介质 - Google Patents
一种蜜点域名优化部署方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN117220968A CN117220968A CN202311232089.XA CN202311232089A CN117220968A CN 117220968 A CN117220968 A CN 117220968A CN 202311232089 A CN202311232089 A CN 202311232089A CN 117220968 A CN117220968 A CN 117220968A
- Authority
- CN
- China
- Prior art keywords
- honey
- domain name
- sub
- points
- dictionary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 141
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000005422 blasting Methods 0.000 claims abstract description 34
- 230000004927 fusion Effects 0.000 claims abstract description 28
- 238000004088 simulation Methods 0.000 claims abstract description 13
- 238000007781 pre-processing Methods 0.000 claims abstract description 10
- 230000003993 interaction Effects 0.000 claims description 7
- 235000009508 confectionery Nutrition 0.000 claims description 6
- 238000004140 cleaning Methods 0.000 claims description 4
- 238000005070 sampling Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 14
- 230000008569 process Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005457 optimization Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种蜜点域名优化部署方法、系统、设备及存储介质,蜜点域名优化部署方法包括:获取预设的多个子域名爆破字典和多个子域名;对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频;计算被保护系统与各所述子域名的相关度,根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点;定期获取所述仿真网页蜜点的踩中数据,根据所述踩中数据对所述仿真网页蜜点进行更新。本发明根据攻击者的攻击倾向性,能够生成相应的虚假子域名,从而进行蜜点部署,能够更加全面及精准的对攻击者进行防御,提高蜜点的有效性及可持续性,可广泛应用于网络安全领域。
Description
技术领域
本发明涉及网络安全领域,尤其是一种蜜点域名优化部署方法、系统、设备及存储介质。
背景技术
随着互联网技术的飞速发展,网络信息安全变得越来越重要,现有技术中,网络安全人员通常使用蜜罐来实施主动防御。蜜罐通常分为低交互型和高交互型,低交互型蜜罐主要对系统或应用服务进行简单的模拟,能捕获的攻击行为非常有限;高交互型蜜罐或蜜网一般模拟真实的系统业务,需要投入大量的资源,成本高,通常很难在业务网络中部署大量的高交互型蜜罐,但单一的且少量的蜜罐节点又很难发挥蜜罐的作用,防护范围不够全面。因此蜜罐技术在实际运用中存在部署难度较大的问题。
蜜点是利用仿真技术和陷阱技术来构建用于被保护系统警戒的仿真系统,其不需模拟被保护系统的全部功能,能够感知可疑的攻击,有效阻挡攻击者进入被保护系统而不会影响用户的正常使用,资源消耗低且能进行相对大量的批次部署,轻量级的蜜点技术不同于蜜罐技术,蜜点只被动检测攻击,而不像蜜罐一样进行主动诱捕,因此误报率极低。但现有的蜜点技术一方面缺乏针对攻击者信息行为的蜜点部署策略,导致对攻击者的防御不够全面和精准,无法有效干扰攻击者的信息收集活动;另一方面其一般是随机生成蜜点且蜜点固定不变,难以应对攻击者的变化策略,蜜点的针对性及有效性低,对攻击者的误导效果低。
发明内容
为解决上述技术问题,本发明的目的在于:提供一种蜜点域名优化部署方法、系统、设备及存储介质,能够提高蜜点的有效性和可持续性,并更加全面及精准地对攻击者进行防御。
本发明一方面所采取的技术方案是:
一种蜜点域名优化部署方法,包括以下步骤:
获取预设的多个子域名爆破字典和多个子域名;
对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频;
计算被保护系统与各所述子域名的相关度,根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点;
定期获取所述仿真网页蜜点的踩中数据,根据所述踩中数据对所述仿真网页蜜点进行更新。
进一步,所述仿真网页蜜点用于对所述被保护系统的外观和交互流程进行模拟。
进一步,所述对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频这一步骤,其具体包括:
对各所述子域名爆破字典进行去重和清理,得到多个第一字典;
对各所述第一字典进行归一化处理,得到字典列表;
将所述字典列表进行融合,得到所述融合字典;
计算各所述子域名在所述融合字典中出现的频率,得到所述词频。
进一步,所述计算被保护系统与各所述子域名的相关度这一步骤,其具体包括:
获取所述被保护系统的关键词和业务信息,进而根据所述关键词和所述业务信息得到第一语义信息;
对各所述子域名进行语义分析,得到第二语义信息,进而根据所述第一语义信息和所述第二语义信息得到所述相关度。
进一步,所述根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点这一步骤,其具体包括:
根据所述相关度和所述词频得到所述子域名的重要性值;
将所述重要性值作为所述子域名的权重值,进而通过加权抽样方法得到所述虚假子域名;
在预设网址中根据所述虚假子域名部署所述仿真网页蜜点。
进一步,所述根据所述踩中数据对所述仿真网页蜜点进行更新这一步骤,其具体包括:
当所述仿真网页蜜点被攻击者踩中,将所述仿真网页蜜点进行保留;
当所述仿真网页蜜点在预设的第一时长内未被攻击者踩中,重新计算所述相关度并根据新的所述相关度生成新的所述仿真网页蜜点。
本发明另一方面所采取的技术方案是:
一种蜜点域名优化部署系统,包括:
子域名获取模块,用于获取预设的多个子域名爆破字典和多个子域名;
字典融合模块,用于对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频;
蜜点部署模块,用于计算被保护系统与各所述子域名的相关度,根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点;
蜜点更新模块,用于定期获取所述仿真网页蜜点的踩中数据,根据所述踩中数据对所述仿真网页蜜点进行更新。
进一步,所述仿真网页蜜点用于对所述被保护系统的外观和交互流程进行模拟。
本发明另一方面所采取的技术方案是:
一种计算机设备,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现前面所述的蜜点域名优化部署方法。
本发明另一方面所采取的技术方案是:
一种计算机可读存储介质,其中存储有处理器可执行的程序,其特征在于,所述处理器可执行的程序在由所述处理器执行时用于实现前面所述的蜜点域名优化部署方法。
本发明的有益效果是:本发明的蜜点域名优化部署方法、系统、设备及存储介质,一方面通过获取攻击者常用的多个子域名爆破字典和子域名,能够生成与被保护系统相关的虚假子域名,进而根据虚假子域名进行大量的仿真网页蜜点部署,从而更加全面及精准的对攻击者进行防御;另一方面通过定期获取蜜点踩中数据,并对长期没有被踩中的蜜点进行重新生成和部署,能够提高蜜点的有效性和可持续性,增大对攻击者的捕获效率。
附图说明
图1为本发明实施例提供的一种蜜点域名优化部署方法的步骤流程图;
图2为本发明实施例提供的一种蜜点域名优化部署方法的字典融合流程图;
图3为本发明实施例提供的一种蜜点域名生成示意图;
图4为本发明实施例提供的一种蜜点域名优化部署方法的处理流程图;
图5为本发明实施例提供的一种蜜点域名优化部署系统的结构示意图;
图6为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
随着互联网技术的飞速发展,网络信息安全变得越来越重要,蜜点是利用仿真技术和陷阱技术来构建用于被保护系统警戒的仿真系统,其不需模拟被保护系统的全部功能,能够感知可疑的攻击,有效阻挡攻击者进入被保护系统而不会影响用户的正常使用,资源消耗低且能进行相对大量的批次部署,轻量级的蜜点技术不同于蜜罐技术,蜜点只被动检测攻击,而不像蜜罐一样进行主动诱捕,因此误报率极低。但现有的蜜点技术一方面缺乏针对攻击者信息行为的蜜点部署策略,导致对攻击者的防御不够全面和精准,无法有效干扰攻击者的信息收集活动;另一方面其一般是随机生成蜜点且蜜点固定不变,难以应对攻击者的变化策略,蜜点的针对性及有效性低,对攻击者的误导效果低。
为此,本发明实施例提出了一种蜜点域名优化部署方法,一方面通过获取攻击者常用的多个子域名爆破字典和子域名,能够生成与被保护系统相关的虚假子域名,进而根据虚假子域名进行大量的仿真网页蜜点部署,更加全面及精准的对攻击者进行防御;另一方面通过定期获取蜜点踩中数据,并对长期没有被踩中的蜜点进行重新生成和部署,能够提高蜜点的有效性和可持续性,增大对攻击者的捕获效率。
本发明实施例提出一种蜜点域名优化部署方法,如图1所示,该方法包括步骤S101至S104:
S101、获取预设的多个子域名爆破字典和多个子域名;
具体地,通过研究和分析攻击者常用的多个子域名爆破工具,例如SubGDC、Dumb、ksubdomain以及DN-Scan等,从而收集这些子域名爆破工具所使用的内置字典,还可以通过开源字典、安全社区贡献的字典、互联网上公开的域名数据等获取攻击者常用的多个子域名爆破字典,这些字典包含了攻击者通常使用的常见子域名。
S102、对多个子域名爆破字典进行预处理,得到融合字典,进而计算各子域名在融合字典中对应的词频;
参照图2,进一步作为可选的实施方式,对多个子域名爆破字典进行预处理,得到融合字典,进而计算各子域名在融合字典中对应的词频这一步骤可以划分为以下步骤S1021至S1024:
S1021、对各子域名爆破字典进行去重和清理,得到多个第一字典;
具体地,由于单个子域名爆破字典内部会存在重复数据以及不合规字符等情况,因此为保证字典的干净和一致性需要对获取的各子域名爆破字典进行去重和数据清理,得到多个第一字典。
S1022、对各第一字典进行归一化处理,得到字典列表;
具体地,归一化处理的目的在于将不同来源的第一字典进行统一处理,使其具有相同的特征、单位和数据格式,以便后续进行处理和融合,归一化处理后得到字典列表D=[D1,D2,...Dn]。
S1023、将字典列表进行融合,得到融合字典;
具体地,将字典列表D=[D1,D2,...Dn]进行融合成为融合字典,并将融合字典导入到数据库当中。
S1024、计算各子域名在融合字典中出现的频率,得到词频。
具体地,在将融合字典导入到数据库的过程中,统计各子域名在融合字典中出现的词频f(d),词频可以衡量子域名在数据源中出现的次数,频率较高的子域名可能更为重要。
S103、计算被保护系统与各子域名的相关度,根据相关度和词频得到虚假子域名,进而根据虚假子域名部署仿真网页蜜点;
其中,仿真网页蜜点用于对被保护系统的外观和交互流程进行模拟,其不必实现被保护系统的全部功能,而蜜罐技术需要实现真实系统的全部功能和服务,且部署和配置过程较为复杂,需要更多的系统资源和时间,因此蜜点的部署相对蜜罐技术较简单且资源消耗较低。
具体地,利用攻击者常用的子域名爆破字典等数据源生成攻击者所使用爆破频次高的子域名作为蜜点域名,能够根据攻击者的攻击倾向性,诱使攻击者踩中蜜点。
进一步作为可选的实施方式,计算被保护系统与各子域名的相关度这一步骤可以进一步划分为以下步骤S1031和S1032:
S1031、获取被保护系统的关键词和业务信息,进而根据关键词和业务信息得到第一语义信息;
具体地,根据被保护系统的关键词k和业务信息获得被保护系统相关的第一语义信息K。
S1032、对各子域名进行语义分析,得到第二语义信息,进而根据第一语义信息和第二语义信息得到相关度;
具体地,计算各子域名d包含被保护系统相关语义的概率,使用下式表示子域名d与被保护系统关键词k的公共子串长度P(k∩d):
P(k∩d)=LCS(k,d)/(L(k)+L(d))
其中,LCS(k,d)表示关键词k和子域名d的最长公共子序列的长度,L(k)表示关键词k的长度,L(d)表示子域名d的长度,且k∈K。
接着,根据下式计算被保护系统相关的语义信息K在子域名d中的条件概率P(K|d),则每个子域名d与被保护系统的相关度R(d)为P(K|d):
P(K|d)=ΣP(k|d)
进一步作为可选的实施方式,根据相关度和词频得到虚假子域名,进而根据虚假子域名部署仿真网页蜜点这一步骤可以进一步划分为以下步骤S1033和S1035:
S1033、根据相关度和词频得到子域名的重要性值;
具体地,根据下式得到子域名d的重要性值I(d):
I(d)=f(d)*R(d)
其中,I(d)是词频f(d)和相关度R(d)的乘积,通过对词频f(d)和相关度R(d)进行乘积运算,可以综合考虑子域名d在数据源中出现的频率以及与被保护系统的关联程度,从而得到子域名d的重要性。
S1034、将重要性值作为子域名的权重值,进而通过加权抽样方法得到虚假子域名;
具体地,首先根据每个子域名d的重要性值I(d)计算出所有子域名d的权重总和,接着通过下式计算每个子域名d的权重值占权重总和的比例P(d),进而生成一个0到1之间的随机数r,遍历所有子域名d,累加其权重值占比,直到累加值大于r,从而返回对应的子域名d作为虚假子域名:
使用加权抽样方法可以使得重要性值I(d)较高的子域名d被选中的概率更加高,同时也不会丢失生成的虚假子域名的多样性。
S1035、在预设网址中根据虚假子域名部署仿真网页蜜点.
具体地,如图3为蜜点域名生成示意图,将生成的虚假子域名与被保护系统常用网页目录随机组合生成的蜜点网址传输给蜜点域名生成器,在被保护系统周边部署相应的仿真网页蜜点,该蜜点页面从外观和交互方式上来看与真实的业务页面无差别,从而增加攻击者对攻击者的误导效果。
S104、定期获取仿真网页蜜点的踩中数据,根据踩中数据对仿真网页蜜点进行更新。
进一步作为可选的实施方式,步骤S104可以进一步划分为以下步骤S1041和S1042:
S1041、当仿真网页蜜点被攻击者踩中,将仿真网页蜜点进行保留;
具体地,若部署的仿真网页蜜点被攻击者踩中,则系统能够无感记录攻击者的探测行为,说明该仿真网页蜜点为攻击者常用的爆破子域名,将其保留进而持续检测攻击者的探测行为。
S1042、当仿真网页蜜点在预设的第一时长内未被攻击者踩中,重新计算相关度并根据新的相关度生成新的仿真网页蜜点;
具体地,若仿真网页蜜点在预设的第一时长内没有检测到攻击者的探测行为,说明该仿真网页蜜点长期未被攻击者踩中,非攻击者常用的爆破子域名,进而重新计算获取的每个子域名与被保护系统的相关度,并根据该新的相关度生成新的仿真网页蜜点,以此保证蜜点的有效性和可持续性。
如前所述,蜜点域名优化部署方法的过程如图4所示:
第1步,获取攻击者常用的子域名爆破字典;
第2步,对字典进行融合优化并获取词频;
第3步,生成爆破频率高且与被保护系统相关的虚假子域名;
第4步,部署高仿真网页蜜点;
第5步,定期更新高仿真网页蜜点。
上述对本发明实施例的蜜点域名优化部署构建方法进行了说明。可以认识到,与现有的蜜点部署方法相比,本发明实施例一方面通过获取攻击者常用的多个子域名爆破字典和子域名,将多个字典进行融合并计算每个子域名在字典中对应的词频,能够根据词频和被保护系统与每个子域名的相关度生成虚假子域名,进而根据虚假子域名进行大量的仿真网页蜜点部署,根据攻击者的攻击倾向性更加全面及精准的对攻击者进行防御;另一方面通过定期获取蜜点踩中数据,并对长期没有被踩中的蜜点进行重新生成和部署,能够提高蜜点的有效性和可持续性,增大对攻击者的捕获效率;另外,与传统的蜜罐部署方法相比,本发明实施例生成的仿真网页蜜点只需对被保护系统的外观和交互流程进行模拟,部署过程更加简单且资源消耗较低。
参照图5,本发明实施例还提供了一种蜜点域名优化部署系统,包括:
子域名获取模块,用于获取预设的多个子域名爆破字典和多个子域名;
字典融合模块,用于对多个子域名爆破字典进行预处理,得到融合字典,进而计算各子域名在融合字典中对应的词频;
蜜点部署模块,用于计算被保护系统与各子域名的相关度,根据相关度和词频得到虚假子域名,进而根据虚假子域名部署仿真网页蜜点;
蜜点更新模块,用于定期获取仿真网页蜜点的踩中数据,根据踩中数据对仿真网页蜜点进行更新。
上述蜜点域名优化部署方法实施例中的内容均适用于本蜜点域名优化部署系统实施例中,本蜜点域名优化部署系统实施例所具体实现的功能与上述蜜点域名优化部署方法实施例相同,并且达到的有益效果与上述蜜点域名优化部署方法实施例所达到的有益效果也相同。
参照图6,本发明实施例还提供了一种计算机设备,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当至少一个程序被至少一个处理器执行,使得至少一个处理器实现图1所示的蜜点域名优化部署方法。
上述蜜点域名优化部署方法实施例中的内容均适用于本计算机设备实施例中,本计算机设备实施例所具体实现的功能与上述蜜点域名优化部署方法实施例相同,并且达到的有益效果与上述蜜点域名优化部署方法实施例所达到的有益效果也相同。
本发明实施例还提供了一种计算机可读存储介质,其中存储有处理器可执行的程序,处理器可执行的程序在由处理器执行时用于实现图1所示的蜜点域名优化部署方法。
本发明实施例的一种计算机可读存储介质,可执行本发明方法实施例所提供的蜜点域名优化部署方法,可执行方法实施例的任意组合实施步骤,具备该方法相应的功能和有益效果。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图1所示的方法。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或上述方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,上述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
上述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印上述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得上述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的上述描述中,参考术语“一个实施方式/实施例”、“另一实施方式/实施例”或“某些实施方式/实施例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施方式,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施方式进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (10)
1.一种蜜点域名优化部署方法,其特征在于,包括以下步骤:
获取预设的多个子域名爆破字典和多个子域名;
对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频;
计算被保护系统与各所述子域名的相关度,根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点;
定期获取所述仿真网页蜜点的踩中数据,根据所述踩中数据对所述仿真网页蜜点进行更新。
2.根据权利要求1所述的一种蜜点域名优化部署方法,其特征在于,所述仿真网页蜜点用于对所述被保护系统的外观和交互流程进行模拟。
3.根据权利要求1所述的一种蜜点域名优化部署方法,其特征在于,所述对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频这一步骤,其具体包括:
对各所述子域名爆破字典进行去重和清理,得到多个第一字典;
对各所述第一字典进行归一化处理,得到字典列表;
将所述字典列表进行融合,得到所述融合字典;
计算各所述子域名在所述融合字典中出现的频率,得到所述词频。
4.根据权利要求1所述的一种蜜点域名优化部署方法,其特征在于,所述计算被保护系统与各所述子域名的相关度这一步骤,其具体包括:
获取所述被保护系统的关键词和业务信息,进而根据所述关键词和所述业务信息得到第一语义信息;
对各所述子域名进行语义分析,得到第二语义信息,进而根据所述第一语义信息和所述第二语义信息得到所述相关度。
5.根据权利要求1所述的一种蜜点域名优化部署方法,其特征在于,所述根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点这一步骤,其具体包括:
根据所述相关度和所述词频得到所述子域名的重要性值;
将所述重要性值作为所述子域名的权重值,进而通过加权抽样方法得到所述虚假子域名;
在预设网址中根据所述虚假子域名部署所述仿真网页蜜点。
6.根据权利要求1所述的一种蜜点域名优化部署方法,其特征在于,所述根据所述踩中数据对所述仿真网页蜜点进行更新这一步骤,其具体包括:
当所述仿真网页蜜点被攻击者踩中,将所述仿真网页蜜点进行保留;
当所述仿真网页蜜点在预设的第一时长内未被攻击者踩中,重新计算所述相关度并根据新的所述相关度生成新的所述仿真网页蜜点。
7.一种蜜点域名优化部署系统,其特征在于:包括:
子域名获取模块,用于获取预设的多个子域名爆破字典和多个子域名;
字典融合模块,用于对多个所述子域名爆破字典进行预处理,得到融合字典,进而计算各所述子域名在所述融合字典中对应的词频;
蜜点部署模块,用于计算被保护系统与各所述子域名的相关度,根据所述相关度和所述词频得到虚假子域名,进而根据所述虚假子域名部署仿真网页蜜点;
蜜点更新模块,用于定期获取所述仿真网页蜜点的踩中数据,根据所述踩中数据对所述仿真网页蜜点进行更新。
8.根据权利要求7所述的一种蜜点域名优化部署系统,其特征在于,所述仿真网页蜜点用于对所述被保护系统的外观和交互流程进行模拟。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其中存储有处理器可执行的程序,其特征在于,所述处理器可执行的程序在由所述处理器执行时用于实现权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311232089.XA CN117220968A (zh) | 2023-09-21 | 2023-09-21 | 一种蜜点域名优化部署方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311232089.XA CN117220968A (zh) | 2023-09-21 | 2023-09-21 | 一种蜜点域名优化部署方法、系统、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117220968A true CN117220968A (zh) | 2023-12-12 |
Family
ID=89050782
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311232089.XA Pending CN117220968A (zh) | 2023-09-21 | 2023-09-21 | 一种蜜点域名优化部署方法、系统、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117220968A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118101333A (zh) * | 2024-04-22 | 2024-05-28 | 广州大学 | 一种多策略融合的蜜点域名优化部署方法 |
-
2023
- 2023-09-21 CN CN202311232089.XA patent/CN117220968A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118101333A (zh) * | 2024-04-22 | 2024-05-28 | 广州大学 | 一种多策略融合的蜜点域名优化部署方法 |
CN118101333B (zh) * | 2024-04-22 | 2024-07-12 | 广州大学 | 一种多策略融合的蜜点域名优化部署方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Orabi et al. | Detection of bots in social media: a systematic review | |
US20210019674A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
Peng et al. | Modeling and predicting extreme cyber attack rates via marked point processes | |
CN107707545B (zh) | 一种异常网页访问片段检测方法、装置、设备及存储介质 | |
Perdisci et al. | Alarm clustering for intrusion detection systems in computer networks | |
US9215240B2 (en) | Investigative and dynamic detection of potential security-threat indicators from events in big data | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN113486334A (zh) | 网络攻击预测方法、装置、电子设备及存储介质 | |
CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
CN103918222A (zh) | 用于检测拒绝服务攻击的系统和方法 | |
CN110351280A (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
CN107437026B (zh) | 一种基于广告网络拓扑的恶意网页广告检测方法 | |
CN106534146A (zh) | 一种安全监测系统及方法 | |
CN105224691B (zh) | 一种信息处理方法及装置 | |
Do Xuan | Detecting APT attacks based on network traffic using machine learning | |
CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
Lande et al. | OSINT as a part of cyber defense system | |
EP3913888A1 (en) | Detection method for malicious domain name in domain name system and detection device | |
CN117220968A (zh) | 一种蜜点域名优化部署方法、系统、设备及存储介质 | |
Luo et al. | Dgasensor: Fast detection for dga-based malwares | |
Agarwal et al. | Detection and mitigation of fraudulent resource consumption attacks in cloud using deep learning approach | |
Sree et al. | HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce | |
US20240241752A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN109948339A (zh) | 一种基于机器学习的恶意脚本检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |