本发明专利技术实施例公开了一种对多个攻击行为信息获取的方法,包括:接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块,本发明专利技术公开的技术方案可以达到在多节点管理的情况下完整地记录、还原攻击时间线的效果。
A method, device and system for detecting multiple attacks
【技术实现步骤摘要】
一种对多个攻击行为检测的方法、装置及系统
本专利技术涉及攻击检测
,具体涉及一种对多个攻击行为检测的方法、装置及系统。
技术介绍
网络安全领域中的伪装欺骗技术是一种通过欺骗、诱骗的手段来阻止攻击者的入侵。典型的实现形式即蜜罐,通过运行高仿真的服务,在不影响任何真实业务的情况下,引诱攻击者进入蜜罐,达到延缓攻击、记录行为路径、分析攻击手法和意图的效果。伪装欺骗技术近年来备受瞩目,但从技术概念实际落地时,仍存在一些难题。从技术原理上讲,蜜罐最重要的目的是欺骗攻击者、记录行为、分析攻击意图,所以蜜罐越仿真、记录的行为越详细越好。因此早期的蜜罐都比较完备,比如将实际的硬件设备作为蜜罐,诱捕到攻击者后,管理员查看设备操作历史。但实际落地时,系统管理员最需要的是统一的全局监控、高效的部署维护方法,结构化、可读性高的数据。这和蜜罐的完备程度是有所冲突的,多个蜜罐、多个攻击源和各类结构各异的攻击行为,如何由一个管理中心全局监控,让管理员及时、清晰地监控到所有攻击者的行为路径,是一个需要解决的问题。目前的实现方案一般是舍弃攻击行为的详细程度,管理员只能看到孤立的攻击信息,尤其是SSH、websocket这类行为复杂的tcp长连接,很难将每个告警事件对应到攻击者哪一次的攻击行为。
技术实现思路
本申请的目的在于克服上述问题或者至少部分地解决或缓减解决上述问题。本专利技术公开的技术方案使得攻击者对蜜罐系统入侵的记录,能在统一的监控平台进行监控和记录以解决
技术介绍
无法在多节点管理的情况下完整地记录、还原攻击时间线的问题。根据本申请的第一个方面,提供了一种对多个攻击行为信息获取的方法,包括:接收攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;通过第一端口将其中一个攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存;接收根据暂存的攻击者标识信息与第一端口的映射关系通过对应的第一端口发送的流量解析结果。与现有技术相比,本专利技术提供的技术方案能在一个大体量的蜜罐管理系统中,即含多个攻击来源和多种类蜜罐,区分开每一条攻击者造成的tcp连接,以整合出每次攻击的tcp连接中丰富的信息,更好地做到统计分析、快速排查、实时告警的功能。第二方面,提供了一种对多个攻击行为信息获取的装置,包括:第一接收模块,用于接收攻击者信息、攻击者流量信息及根据攻击者信息创建的多个对应的攻击者标识信息;转发模块,用于通过第一端口将其中一个攻击者流量信息转发给蜜罐,并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存;第一接收模块,用于接收根据暂存的攻击者标识信息与第一端口的映射关系通过对应的第一端口发送的流量解析结果。与现有技术相比,本专利技术提供的一种对多个攻击行为信息获取的装置的有益效果与上述技术方案所述一种对多个攻击行为信息获取的方法的有益效果相同,在此不做赘述。第三方面,提供了一种对多个攻击行为检测的系统,包括:探针模块,用于获取攻击者信息和攻击者流量并负责记录攻击者信息;消息处理模块,用于负责处理探针模块与蜜罐之间的消息,用于判断连接状态、上报连接建立/断开事件;系统服务模块,用于整合和存储攻击日志的数据,并用于创建攻击者标识信息;蜜罐,用于实际运行伪装服务并给予攻击者反馈,解析攻击流量,上报具体的攻击事件并暂存攻击者标识信息。与现有技术相比,本专利技术提供的与现有技术相比,本专利技术提供的一种对多个攻击行为信息获取的系统的有益效果与上述技术方案所述一种对多个攻击行为信息获取的方法的有益效果相同,在此不做赘述。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解的是,这些附图未必是按比例绘制的。在附图中:图1为本专利技术实施例中公开的一种对多个攻击行为信息获取的方法流程示意图;图2为具体的获取攻击者信息的流程图;图3为SSH蜜罐的具体工作过程的流程图;图4为本专利技术实施例中公开的一种对多个攻击行为信息获取的装置结构示意图;图5为本专利技术实施例中公开的一种对多个攻击行为信息获取的系统结构示意图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。如图1所示,图1为本专利技术实施例一种对多个攻击行为信息获取的方法流程示意图;本专利技术公开的一种对多个攻击行为信息获取的方法包括如下步骤:步骤S01,接收至少一个攻击者信息、攻击者流量信息及根据至少一个攻击者信息创建的多个对应的攻击者标识信息;需要说明的是,监控平台可以监控多个攻击者的入侵行为,同时设置多个探针模块,通过探针模块记录攻击者信息,攻击者的信息包括攻击者的源信息,如源IP端口、目的IP端口、协议、设备指纹等等,攻击者流量为攻击者在单位时间内的攻击者的数量,另外本专利技术实施例中的探针模块为一个或者多个,本专利技术对此不作限制,当探针模块探测到攻击者信息后,会将攻击者信息发送至消息处理模块,消息处理模块根据攻击者的信息创建对应的唯一攻击者标识信息uuid,然后将攻击者标识信息uuid发送至监控平台系统服务模块。在步骤S01之前,包括:攻击者攻击事件是否建立连接,如果建立连接,则根据攻击者信息创建与之对应的攻击者标识信息。步骤S02,通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块;需要说明的是,消息处理模块通过第一端口将攻击者流量转发给蜜罐,通过第二端口将攻击者标识信息与第一端口的映射关系发送至模块并进行暂存,系统服务模块发送攻击者流量与一个攻本文档来自技高网...
【技术保护点】
1.一种对多个攻击行为信息获取的方法,其特征在于,包括:/n接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;/n通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块。/n
【技术特征摘要】
1.一种对多个攻击行为信息获取的方法,其特征在于,包括:
接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息;
通过第一端口将攻击者流量信息转发给蜜罐,并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存,蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块。
2.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之前,包括:
需判断攻击者攻击事件是否建立连接,如果建立连接,则根据攻击者信息创建与之对应的攻击者标识信息。
3.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之后,包括:
系统服务模块根据攻击者标识信息创建一个未结束的攻击时间流,等待后续攻击事件的上报。
4.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述通过第一端口将攻击者流量信息转发给蜜罐,包括:
选择一个可用的第一端口并根据攻击者标识信息创建代理转发进程,将攻击者流量转发到蜜罐,所述攻击者标识信息会存储在进程的内存中。
5.如权利要求1所述的一种对多个攻击行为检测的方法,其特征在于,所述蜜罐根据暂存的攻击者标识信息与第一端口的映射关系,将流量解析结果发送给系统服务模块之前,包括:
蜜罐运行仿真服务...
【专利技术属性】
技术研发人员:刘超,朱文雷,王龙泽,万雄波,罗晶晶,王大鼎,刘玉仙,樊骏,张嘉欢,
申请(专利权)人:北京长亭未来科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。