本发明专利技术提出了一种面向物联网终端设备的蜜罐捕获系统的设计方法,蜜罐通过开放常用端口及服务,管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序,本发明专利技术可起到捕获大量攻击样本的效果,分析攻击者的入侵手段和攻击方法,可用于提高物联网终端设备的安全性。
Design method of honeypot capture system for Internet of things terminal equipment
【技术实现步骤摘要】
面向物联网终端设备的蜜罐捕获系统的设计方法
本专利技术涉及一种物联网终端设备,具体的说是一种蜜罐捕获系统,属于物联网终端设备安全保护
技术介绍
随着网络科技时代的来临,新兴的物联网产业的发展势不可挡,迅速融入日常生活的方方面面,在国民产业中占据着重要的地位。在物联网体系结构中,物联网终端设备作为该体系的重要组成部分,受到越来越多的关注。现如今物联网设备已经随处可见,和人们日常生活联系越来越紧密,很大程度上方便了大众生活,常见的物联网设备包括摄像头、路由器、树莓派、智能家居等。同时,物联网设备的数量也越来越多,根据Statista门户网站最新统计发布的数据显示,到2020年物联网设备数量估计将会突破300亿。科技是一把双刃剑,发展的同时不可避免地会带来各种需要解决的问题。物联网行业迅速兴起的同时,物联网安全问题也日益突出,尤其是物联网终端设备存在的一系列安全隐患,成为物联网行业继续发展的一大阻碍。由于很多物联网设备在出厂时制造商忽略了产品的安全防护设置问题,攻击者趁虚而入利用设备自身存在的漏洞对物联网设备发起大规模网络攻击,造成的危害性极大。2016年美国发生的大规模Mirai僵尸网络事件,几乎使大半个美国的网络系统瘫痪。此次攻击的主要目标是物联网设备智能摄像头和路由器,黑客利用这些设备中存在的漏洞发起大规模僵尸网络攻击。近年来物联网设备中存在的漏洞类型主要为拒绝服务、权限绕过、信息泄露、跨站等,其中权限绕过类型漏洞占比例最大。物联网终端设备存在的各种安全问题严重阻碍了物联网产业的发展,同时威胁着广大用户的生命财产安全。所以,目前急需进一步在构建物联网终端设备安全防护体系领域有所突破,提高物联网终端设备的安全性。从构建安全防御体系的角度出发,可通过在物联网终端设备中部署蜜罐的方式,迷惑攻击者,引诱攻击者对其发动攻击。通过部署物联网终端蜜罐,一方面可以减慢攻击者对物联网终端设备发起攻击的速度,为安全研究人员赢得足够的应对时间,制定有效措施保护真正的物联网终端设备;另一方面可利用攻击者留下的痕迹捕获攻击者的有用数据信息,例如IP地址,MAC地址,登录使用的用户名和密码等等,分析攻击者的入侵手段和具体流程,从而改进自身的安全防护配置,构建更为有效的物联网终端设备安全防御体系。
技术实现思路
本专利技术的目的是提供一种面向物联网终端设备的蜜罐捕获系统的设计方法,可以加强物联网终端设备的防护能力,有效提高物联网终端设备的安全性。本专利技术的目的是这样实现的:一种面向物联网终端设备的蜜罐捕获系统的设计方法,用于设计基于Telnet、SSH、HTTP协议的物联网终端蜜罐,所述Telnet和SSH协议物联网终端蜜罐系统设计方法如下:Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序;所述HTTP协议物联网终端蜜罐系统设计方法如下:HTTP蜜罐通过开放80号端口,实现HTTP协议;攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐,登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录;攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作,同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。作为本专利技术的进一步限定,所述Telnet和SSH协议物联网终端蜜罐系统设计方法具体包括:a1.攻击者和Telnet、SSH协议蜜罐的21或22端口建立连接;a2.攻击者使用Ubuntu自带的ssh,尝试连接蜜罐;a3.蜜罐系统使用系统自带的Nmap对攻击者进行反向扫描,获取攻击者开放的端口信息及运行的服务;a4.蜜罐系统结合自身的字典文件进行反复尝试登录,使用弱口令登录攻击者主机;a5.蜜罐成功登录攻击者主机的Telnet服务后,开始在攻击者主机上执行相关命令,通过执行命令蜜罐在攻击者主机上下载一些后门程序,下载完成后蜜罐在攻击者主机上执行这些后门程序,成功执行完后门程序后关闭对攻击者主机Telnet服务的连接;a6.蜜罐完成反向渗透后,攻击者在登录界面输入和配置文件相匹配的用户名和密码,通过弱口令方式登录蜜罐,攻击者成功登录后可接收到蜜罐系统显示的设备信息;a7.攻击者对蜜罐执行事先配置过和未配置的命令,蜜罐对攻击者的命令做出回应,命令已配置则向攻击者返回命令文件中的内容,命令未配置则向攻击者返回此命令无法使用;a8.攻击者退出对方的ssh连接。作为本专利技术的进一步限定,所述HTTP协议物联网终端蜜罐系统设计方法具体包括:b1.攻击者使用浏览器访问HTTP协议蜜罐的80端口,向蜜罐系统发出http请求;b2.HTTP蜜罐接受攻击者的http请求,同时使用UTF-8格式对请求头和内容字符、响应头和内容字符进行编码;随即返回需要输入用户名和密码的登录界面给攻击者;b3.攻击者在登录界面尝试输入用户名和密码,弱口令登录HTTP蜜罐。蜜罐获取攻击者提交的包含用户名和密码的表单;b4.HTTP蜜罐获取攻击者主机上的session数据,如果session数据为空值,则跳转到b6,如果session数据不为空,则跳转到b5;b5.将攻击者提交的用户名和密码表单和b4中获取的session数据进行比较,判断攻击者输入的用户名和密码是否和第一次输入的用户名密码相同;如果本次登录输入的用户名和密码与第一次成功登录输入的完全一致,则可实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果本次登录输入的用户名和密码与第一次成功登录输入的用户名和密码不一致,则提示用户名和密码输入错误的信息,并返回给攻击者;b6.在session数据为空的情况下,可判断出此次为攻击者第一次登录该HTTP蜜罐,将攻击者此次提交的用户名和密码与预先配置好的蜜罐的用户名密码库进行匹配,如果攻击者此次输入的用户名和密码在配置好的蜜罐的用户名密码库中,则实现成功登录HTTP蜜罐,攻击者进入到预先设置的模拟场景中;如果攻击者输入的用户名和密码不在蜜罐的用户名和密码库中,则提示用户名和密码输入错误的信息,并返回给攻击者;b7.攻击者成功登录进入到预先设置好的模拟场景中后,开始在此场景中执行相关本文档来自技高网...
【技术保护点】
1.一种面向物联网终端设备的蜜罐捕获系统的设计方法,用于设计基于Telnet、SSH、HTTP协议的物联网终端蜜罐,其特征在于:/n所述Telnet和SSH协议物联网终端蜜罐系统设计方法如下:Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序;/n所述HTTP协议物联网终端蜜罐系统设计方法如下:HTTP蜜罐通过开放80号端口,实现HTTP协议;攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐,登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录;攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作,同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。/n...
【技术特征摘要】
1.一种面向物联网终端设备的蜜罐捕获系统的设计方法,用于设计基于Telnet、SSH、HTTP协议的物联网终端蜜罐,其特征在于:
所述Telnet和SSH协议物联网终端蜜罐系统设计方法如下:Telnet和SSH协议蜜罐分别通过开放21和22端口,在管理员对所要使用的用户名和密码库进行配置后,攻击者在登录界面尝试输入用户名和密码,输入正确后攻击者成功登录蜜罐;此时蜜罐将返回协议及相关设备信息给攻击者,这些信息由管理员事先根据配置文件来进行配置,攻击者可发送命令给蜜罐,蜜罐会做出相应的回应;然后蜜罐将使用自带的Nmap对攻击者进行反向渗透扫描,获得攻击者开放的端口和运行的服务;蜜罐对攻击者主机进行弱口令登录成功后,在攻击者主机上执行命令下载并执行后门程序;
所述HTTP协议物联网终端蜜罐系统设计方法如下:HTTP蜜罐通过开放80号端口,实现HTTP协议;攻击者从浏览器访问蜜罐系统的80端口后返回需要输入用户名和密码的登录界面,管理员可实现对蜜罐登录系统的用户名和密码库的修改,事先配置好用户名和密码库,让攻击者成功实现弱口令登录HTTP蜜罐,登录成功的用户名和密码是唯一的,攻击者如果使用其他的用户名和密码则无法实现登录;攻击者在输入用户名和密码验证成功登录蜜罐后,将会进入管理员预先在蜜罐系统中设计好的模拟场景中,此模拟场景的设计用来迷惑和欺骗攻击者,让攻击者误以为自己这是进入了真实的场景中,随后攻击者可能会在当前进入的场景环境当中执行另外一些操作,同时,HTTP蜜罐能对攻击者的行为操作进行详细地记录。
2.根据权利要求1所述的面向物联网终端设备的蜜罐捕获系统的设计方法,其特征在于,所述Telnet和SSH协议物联网终端蜜罐系统设计方法具体包括:
a1.攻击者和Telnet、SSH协议蜜罐的21或22端口建立连接;
a2.攻击者使用Ubuntu自带的ssh,尝试连接蜜罐;
a3.蜜罐系统使用系统自带的Nmap对攻击者进行反向扫描,获取攻击者开放的端口信息及运行的服务;
a4.蜜罐系统结合自身的字典文件进行反复尝试登录,使用弱口令登录攻击者主机;
a5.蜜罐成功登录攻击者主机的Telnet服务后,开始在攻击者主机上执行相关命令,通过执行命令蜜罐在攻击者主机上下载一些后门程序,下载完成后蜜罐在攻击者主机上执行这些后...
【专利技术属性】
技术研发人员:肖甫,陈玉,沙乐天,黄海平,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。