本申请公开了一种蜜罐攻击溯源方法、装置、设备、存储介质,涉及网络安全技术领域,包括:当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息;判断终端是否存在蜜罐服务;若终端不存在蜜罐服务,则产生告警数据并断开与攻击者的连接;若终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将攻击流量转发至对应的蜜罐服务端口,以便蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台,并将MAC信息与部分攻击者信息进行整合,生成完整的攻击者信息。使用终端伪服务的方式触发蜜罐的告警,提高蜜罐告警概率;通过抓包匹配的方式,抓取MAC地址,并匹配溯源到真实的攻击者。者。者。
【技术实现步骤摘要】
一种蜜罐攻击溯源方法、装置、设备、存储介质
[0001]本专利技术涉及网络安全
,特别涉及一种蜜罐攻击溯源方法、装置、设备、存储介质。
技术介绍
[0002]互联网的攻击事件越来越多,可以使用蜜罐来收集攻击的方法与漏洞,检测业务系统的漏洞。蜜罐的使用方法也越来越多样化,蜜罐对了解攻击方的攻击工具和方法有非常大的作用,能有效的提高了安全防护能力,蜜罐的诱发条件苛刻。常见的蜜罐部署方案中,蜜罐的诱发率极低。而使用终端伪服务流量代理的方式,能代理所有的TCP(Transmission Control Protocol,传输控制协议)/UDP(User Datagram Protocol,用户数据报协议)流量,但是蜜罐告警的攻击者都识别为终端,这样会丢失真正的攻击者信息。有些解决方案,会在终端流量转发的时候做一次封装,这样蜜罐能够获取到攻击者的IP和端口信息,仍然无法获取到攻击者MAC地址。现有技术中往往蜜罐的诱发率极低。基于单纯的伪服务流量转发的方式,蜜罐无法溯源到真实的攻击者信息,更无法获取到攻击者MAC地址。针对现有的一些相关解决方案,都是对终端流量进行包装,带上攻击者信息。该方案对蜜罐改动非常大,需要流量转发者,流量接收者,蜜罐更需要区分转发流量与真实流量。告警入库也需要做区分。
[0003]综上,如何提高蜜罐诱发概率,在不改变蜜罐底层代码的前提下确定攻击者的详细信息,确定攻击者身份是本领域有待解决的技术问题。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种蜜罐攻击溯源方法、装置、设备、存储介质,能够提高蜜罐诱发概率,在不改变蜜罐底层代码的前提下确定攻击者的详细信息,确定攻击者身份。其具体方案如下:
[0005]第一方面,本申请公开了一种蜜罐攻击溯源方法,包括:
[0006]当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息;
[0007]判断所述终端是否存在蜜罐服务;
[0008]若所述终端不存在蜜罐服务,则产生告警数据并断开与所述攻击者的连接;
[0009]若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,以便所述蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台,并将所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息。
[0010]可选的,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息之前,还包括:
[0011]预先在终端安装伪服务,并动态开启所述伪服务,以便接收攻击者发起的流量攻
击。
[0012]可选的,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息,包括:
[0013]当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap抓取攻击者的MAC信息。
[0014]可选的,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap抓取攻击者的MAC信息,包括:
[0015]当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap对本地服务端口进行握手和挥手的抓包操作,抓取攻击者的MAC信息。
[0016]可选的,所述若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,包括:
[0017]若所述终端存在蜜罐服务,则确定所述攻击流量攻击的本地服务端口,并基于蜜罐服务端口与本地服务端口的对应关系从关系列表中确定对应的蜜罐服务端口;
[0018]将所述攻击流量转发至对应的蜜罐服务端口。
[0019]可选的,所述确定所述攻击流量攻击的本地服务端口,并基于蜜罐服务端口与本地服务端口的对应关系从关系列表中确定对应的蜜罐服务端口之前,还包括:
[0020]预先绑定本地服务端口与对应的蜜罐服务端口,以生成对应的关系列表。
[0021]可选的,所述将所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息,包括:
[0022]将所述MAC信息上传至蜜罐中心平台;
[0023]当收到部分攻击者信息时,将对应的所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息。
[0024]第二方面,本申请公开了一种蜜罐攻击溯源装置,包括:
[0025]信息抓取模块,用于当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息;
[0026]服务判断模块,用于判断所述终端是否存在蜜罐服务;
[0027]连接断开模块,用于若所述终端不存在蜜罐服务,则产生告警数据并断开与所述攻击者的连接;
[0028]信息生成模块,用于若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,以便所述蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台,并将所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息。
[0029]第三方面,本申请公开了一种电子设备,包括:
[0030]存储器,用于保存计算机程序;
[0031]处理器,用于执行所述计算机程序,以实现前述公开的蜜罐攻击溯源方法的步骤。
[0032]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的蜜罐攻击溯源方法的步骤。
[0033]由此可见,本申请公开了一种蜜罐攻击溯源方法,包括:当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息;判断所述终端是否存在蜜罐服
务;若所述终端不存在蜜罐服务,则产生告警数据并断开与所述攻击者的连接;若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,以便所述蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台,并将所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息。可见,使用终端伪服务的方式,所有开启了伪服务的节点,都可以触发蜜罐的告警,提高蜜罐告警概率;通过抓包匹配的方式,抓取MAC地址,并在蜜罐中心平台接收告警溯源信息,告警入库时匹配添加攻击溯源信息能溯源到真实的攻击者,并且在没有蜜罐服务时,也能发现非法的端口嗅探,并及时断开连接。
附图说明
[0034]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0035]图1为本申请公开的一种蜜罐攻击溯源方法流程图;
[0036]图2为本申请公开的一种告警入库方法流程图;<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜罐攻击溯源方法,其特征在于,包括:当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息;判断所述终端是否存在蜜罐服务;若所述终端不存在蜜罐服务,则产生告警数据并断开与所述攻击者的连接;若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,以便所述蜜罐服务端口将包含攻击者IP信息在内的部分攻击者信息发送至蜜罐中心平台,并将所述MAC信息与所述部分攻击者信息进行整合,生成完整的攻击者信息。2.根据权利要求1所述的蜜罐攻击溯源方法,其特征在于,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息之前,还包括:预先在终端安装伪服务,并动态开启所述伪服务,以便接收攻击者发起的流量攻击。3.根据权利要求1所述的蜜罐攻击溯源方法,其特征在于,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,抓取攻击者的MAC信息,包括:当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap抓取攻击者的MAC信息。4.根据权利要求3所述的蜜罐攻击溯源方法,其特征在于,所述当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap抓取攻击者的MAC信息,包括:当监测到安装伪服务的终端接收到攻击者发送的攻击流量时,通过libpcap对本地服务端口进行握手和挥手的抓包操作,抓取攻击者的MAC信息。5.根据权利要求1所述的蜜罐攻击溯源方法,其特征在于,所述若所述终端存在蜜罐服务,则基于蜜罐服务端口与本地服务端口的对应关系将所述攻击流量转发至对应的蜜罐服务端口,包括:若所述终端存在蜜罐服务,则确定所述攻击流量攻击的本地服务端口,并基于蜜罐服务端口与本地服务端...
【专利技术属性】
技术研发人员:杨万年,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。