【技术实现步骤摘要】
一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质
[0001]本专利技术涉及物联网安全领域,尤其是涉及一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质。
技术介绍
[0002]物联网(Internet of Things,IoT)设备在各领域的爆发增长使其成为黑客攻击的重灾区,而其繁杂异构的特点也给安全防御带来很大挑战。
[0003]蜜罐(Honeypot)作为主动防御的重要手段,既可服务于物联网安全,也可利用物联网设备作载体。现有技术中,传统的物联网蜜罐通常是针对某一种服务的特定漏洞设计的、或针对特定应用层服务设计的,这使得一个物联网蜜罐只能用于一种服务的特定漏洞,或一个物联网蜜罐需要独占特定应用层服务对应的一个端口。
[0004]然而,在实际的物联网环境中,物联网设备的种类、型号都十分繁杂,应用层协议、漏洞数量也十分繁多,要实现物联网的安全防御就需要针对每种服务、每种协议、每个漏洞设计对应的物联网蜜罐,进而导致物联网蜜罐数量非常庞大,对于蜜罐部署、运营而言,难度高、运营工作量大。
[0005]同时,由于每种物联网蜜罐都需要占用一个单独的端口,当不同应用层的物联网蜜罐所占用的端口发生冲突时,只能将不同物联网蜜罐部署到不同的主机上,这又增加了主机的数量,进一步加大了部署、运营的难度和工作量,同时还拉高了运营的经济成本。
[0006]此外,僵尸网络对于相同漏洞的利用往往不会集中在同一个端口上,但受服务器性能限制,不能在一台服务器上无限制地将同种蜜罐部署到所有端口上,这往往导致物联网蜜 ...
【技术保护点】
【技术特征摘要】
1.一种蜜罐交互的方法,其特征在于,包括:确定攻击者踏入的陷阱端口,并获取所述陷阱端口对应的路由表;其中,所述路由表用于穷举所述陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型,每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中;根据所述攻击者的流量特征信息与所述路由表中流量特征过滤规则的命中结果,确定所述流量特征信息对应的实际交互类型;获取与所述实际交互类型对应的交互规则,生成符合所述攻击者的交互意图的交互欺骗信息,并返回给所述攻击者。2.如权利要求1所述的方法,其特征在于,确定攻击者踏入的陷阱端口,包括:从虚拟端口接收所述攻击者的流量数据;其中,所述虚拟端口用于接收从各个陷阱端口通过流量重定向发送的流量数据,一个陷阱端口用于仿真一个服务端口或漏洞端口,每个陷阱端口预配置有对应的路由表;对所述攻击者的流量数据进行连接追踪,确定所述攻击者踏入的陷阱端口。3.如权利要求2所述的方法,其特征在于,对所述攻击者的流量数据进行连接追踪,确定所述攻击者踏入的陷阱端口,包括:从所述攻击者的流量数据中,获取唯一标识所述击者身份的身份信息;根据所述身份信息对所述流量数据进行连接追踪,确定所述攻击者踏入的陷阱端口。4.如权利要求1所述的方法,其特征在于,根据所述攻击者的流量特征信息与所述路由表中流量特征过滤规则的命中结果,确定所述流量特征对应的实际交互类型,包括:将所述流量特征信息与所述路由表中的标准流量特征进行逐一匹配,直至匹配成功或全部匹配完毕;当所述特征信息与任一条标准流量特征匹配成功时,从所述路由表中获取匹配成功的标准流量特征对应的标准交互类型,作为所述实际交互类型;当所述流量特征信息与所述路由表中的全部标准流量特征均匹配完毕后,仍未匹配成功,将所述路由表中默认的流量特征过滤规则对应的标准交互类型作为所述实际交互类型。5.如权利要求4所述的方法,其特征在于,所述标准交互类型,包括:静态交互、动态交互、解析器交互。6.如权利要求5所述的方法,其特征在于,获取与所述实际交互类型对应的交互规则,包括:当所述实际交互类型对应的标准交互类型为所述静态交互时,获取的交互规则为调用静态交互组件将符合所述交互意图的固定文本信息,作为所述交互欺骗信息;当所述实际交互类型对应的标准交互类型为所述动态交互时,获取的交互规则为调用动态交互组件对所述流量特征信息进行处理,根据处理结果生成符合所述交互意图的交互欺骗信息;其中,所述处理结果中包含复杂命令时,调用动态交互沙箱在真实的沙箱环境中执行所述复杂命令,并将执行结果作为对应的交互欺骗信息;当所述实际交互类型对应的标准交互类型为所述解析器交互时,获取的交互规则为调用与所述流量特征信息对应的解析器交互框架对所述流量特征信息进行解析,根据解析结果生成符合所述交互意图的交互欺骗信息;其中,所述解析结果中包含复杂命令时,调用所
述动态交互沙箱在真实...
【专利技术属性】
技术研发人员:魏佩儒,兰星,李玉杰,吴铁军,范敦球,
申请(专利权)人:北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。