本申请涉及利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法,装置包括虚拟蜜罐、中央控制系统和云部署平台;本发明专利技术利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击特征上传到中央控制系统;中央控制系统对上传的攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。本发明专利技术采用低交互性蜜罐与基于漏洞服务或系统的高交互性蜜罐配合,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或系统的高交互蜜罐,与基于漏洞服务或系统的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。
【技术实现步骤摘要】
利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法
本专利技术属于计算机网络安全领域,具体地是涉及一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。
技术介绍
蜜罐就是指那些经过精心设计和部署的计算机设备,用于吸引入侵者来搜集信息进行研究分析或者延长攻击者的攻击意图。蜜罐按交互能力分为低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐的主要特点是模拟,欺骗技术采用模拟操作系统和服务来实现,攻击者与蜜罐只有少量的交互行为,因而获取的攻击信息相对比较少,比较合适用于捕获自动攻击工具或网络蠕虫等发动的攻击活动,低交互蜜罐一般采用虚拟方式部署。高交互蜜罐是一般采用真实系统来构建,蜜罐和攻击者的交互程度较高,系统承担的风险比较大,但是可以获得大量有用攻击信息。另外高交互蜜罐主要利用真实的机器来实现,资源要求较高,且一旦遭到破坏,攻击者可以利用此设备对本地网络资源或者互联网资源发起攻击。恶意代码的传播手段可以分为两大类:一类是利用漏洞传播,另一类是利用社会工程学传播。社会工程学传播是通过对受害者本能反应、好奇心、信任、贪婪等弱点进行分析利用,达到欺骗入侵的目的,其传播过程需要用户的参与。利用漏洞传播不需要与受害者进行交互即可完成传播,如2017年的“WannaCry”勒索软件的传播。当前利用漏洞攻击越来越多,有漏洞的系统和服务越来越多,然而现有的恶意样本获取技术至少存在以下不足:第一、现有的恶意样本获取技术难以实现对大量漏洞服务或系统的仿真;当同时有多台PC扩散恶意样本时,有可能存在大量的相同或者不同的攻击特征同时发生,现有技术很难对同时攻击的多种恶意样本进行全部捕获。第二、现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或系统的高交互蜜罐,现有技术中由于高交互蜜罐中没有相关的漏洞,因此高交互蜜罐无法保证能被正确感染,进而难于捕获基于漏洞攻击的恶意样本。第三、现有技术无法针对攻击所使用的漏洞来动态的部署。第四、现有的恶意样本的捕获需要占用大量的计算资源,大规模的部署高交互蜜罐成本很高。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。根据本申请实施例的第一方面,提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,所述装置包括虚拟蜜罐、中央控制系统和云部署平台;所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制系统;所述中央控制系统用于控制虚拟蜜罐的运行、监控内部云的运行;所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或系统的高交互性蜜罐,所述云部署平台根据中央控制系统指令,启动对应恶意样本的高交互蜜罐。进一步的,漏洞利用特征数据库,所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库,针对已知的攻击特征来加快分析结果。进一步的,所述中央控制系统还用于实现对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对,中央控制系统在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;中央控制系统发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。根据本申请实施例的第二方面,提供一种利用蜜罐有针对性的动态部署捕获恶意样本的方法,该方法采用上述的装置,所述方法包括:利用虚拟蜜罐捕获攻击活动及攻击特征;所述虚拟蜜罐将捕获到的攻击特征上传到中央控制系统;所述中央控制系统对上传的攻击特征进行分析;所述云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。进一步的,所述中央控制系统对上传的攻击特征进行分析,包括:所述中央控制系统对虚拟蜜罐所发送的攻击特征与数据漏洞利用特征数据库进行比对;比对分析接收到的攻击特征是否为已知攻击特征;若为已知攻击特征,则通过中央控制系统在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;若为未知攻击特征,则需对该未知攻击特征做进一步判断。进一步的,对该未知攻击特征做进一步判断方法如下:进一步判断该未知攻击特征是否为新的漏洞利用特征;若是,则通过中央控制系统在云部署平台中快速部署含有该新的漏洞利用特征对应漏洞的高交互蜜罐;若不是,则结束。本专利技术中中央控制系统根据利用漏洞利用特征,发起指令部署基于该利用漏洞利用特征漏洞的高交互性蜜罐,基于漏洞服务或系统的高交互蜜罐配置强出站规则;攻击特征中包含了攻击方所使用的端口号,在将攻击流量导入到高交互蜜罐之前,中央控制系统部署高交互蜜罐时将设置高交互蜜罐中对所有设备的该端口号出站连接进行禁用,防止部署的高交互蜜罐被攻击者利用。优选的,将含有攻击特征的流量导入高交互性蜜罐具体方法如下:中央控制系统发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。进一步的,还包括在高交互蜜罐中部署监控软件,监测高交互蜜罐受到感染之后,立即通知中央控制系统将高交互蜜罐进行隔离,并通知信息安全人员对该设备进行恶意样本的取样分析。进一步的,当虚拟蜜罐同时接收到大量的相同或者不同的攻击特征,利用中央控制系统控制云部署平台开启多个高交互蜜罐,中央控制系统将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况。本申请的实施例提供的技术方案,利用虚拟蜜罐捕获攻击活动及攻击特征;虚拟蜜罐将捕获到的攻击活动及攻击特征上传到中央控制系统;中央控制系统对上传的攻击特征进行分析;云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。本专利技术解决了基于漏洞利用的恶意样本难于发现的问题。采用低交互性蜜罐与基于漏洞服务或系统的高交互性蜜罐配合,利用低交互蜜罐第一时间发现的攻击特征、中央控制系统对攻击特征比对、控制云部署平台开启、转发到基于该漏洞的高交互性蜜罐等一系列步骤,利用低交互蜜罐来快速发现存在恶意样本问题,利用云部署平台来快速部署基于漏洞服务或系统的高交互蜜罐,与基于漏洞服务或系统的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。利用本专利技术提供的技术方案能够实现对大量漏洞服务或系统的仿真;当大量的相同或者不同的攻击特征同时发生,本专利技术中央控制系统将不同的攻击特征控制分流导入到不同高交互蜜罐,实现处理大量攻击同时到达的情况,将攻击的多种恶意病毒进行全部捕获。现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或系统的高交互蜜罐,本专利技术中央控制系统发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。事先在云部署平台中部署基于该攻击特征对应漏洞的高交互蜜罐;实现精准导流,确保能被正确感染,有效的捕获基于漏洞攻击的恶意样本。本专利技术针对攻击所使用的漏洞来动态的部署;最大价值在于利用云计算有效的节约了计算资源,只在问题发生时部署基于漏洞的高交互蜜罐,并且由于高交互蜜罐在云端减少了发现感染设备的查找的时间。应当理解的是,以上的一般描述本文档来自技高网...
【技术保护点】
1.一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,其特征在于:所述装置包括虚拟蜜罐、中央控制系统和云部署平台;所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制系统;所述中央控制系统用于控制虚拟蜜罐的运行、监控内部云的运行;所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或系统的高交互性蜜罐,所述云部署平台根据中央控制系统指令,启动对应恶意样本的高交互蜜罐。
【技术特征摘要】
1.一种利用蜜罐有针对性的动态部署捕获恶意样本的装置,其特征在于:所述装置包括虚拟蜜罐、中央控制系统和云部署平台;所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征,并将攻击情况上报给中央控制系统;所述中央控制系统用于控制虚拟蜜罐的运行、监控内部云的运行;所述云部署平台含有一个以上的高交互蜜罐,利用云来快速部署基于漏洞服务或系统的高交互性蜜罐,所述云部署平台根据中央控制系统指令,启动对应恶意样本的高交互蜜罐。2.根据权利要求1所述的装置,其特征在于:还包括:漏洞利用特征数据库,所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库,针对已知的攻击特征来加快分析结果。3.根据权利要求2所述的装置,其特征在于:所述中央控制系统还用于实现对虚拟蜜罐所发送的攻击特征与漏洞利用特征数据库进行比对,中央控制系统在云部署平台中快速部署含有该攻击特征对应漏洞的高交互蜜罐;中央控制系统发送指令给低交互蜜罐,将低交互蜜罐的端口映射到高交互性蜜罐所对应的端口中,将低交互蜜罐对应端口所有含有该攻击特征的入站流量数据转发给高交互蜜罐。4.一种利用蜜罐有针对性的动态部署捕获恶意样本的方法,其特征在于:该方法采用上述权利要求1至3任一项所述的装置,所述方法包括:利用虚拟蜜罐捕获攻击活动及攻击特征;所述虚拟蜜罐将捕获到的攻击特征上传到中央控制系统;所述中央控制系统对上传的攻击特征进行分析;所述云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐;将虚拟蜜罐流量导入已启动的高交互蜜罐中,相对应的高交互蜜罐被感染。5.根据权利要求4所述的方法,其特征在于:所述中央控制系统对上传的攻击特征进行分析包括:所述中央控制系统对虚拟蜜罐所发送的攻击特征与数据漏洞利用特征数据库进行比对;比对分析接收到的攻击特征是否为已知攻击特征;若为已知攻击特征,则通过中央控制系统在云部署平台中快速部署含有该...
【专利技术属性】
技术研发人员:李春强,丘国伟,于磊,
申请(专利权)人:北京经纬信安科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。