本发明涉及网络技术领域,尤其涉及一种基于蜜罐技术的溯源方法、装置及蜜罐设备。
背景技术:
蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
然而,现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御。
技术实现要素:
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种基于蜜罐技术的溯源方法、装置及蜜罐设备,用以解决现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
第一方面,本发明实施例提供一种基于蜜罐技术的溯源方法,应用于蜜罐设备,包括:
获取疑似恶意攻击行为的相关信息;
根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
若存在,则向所述恶意主机进行主动探测,并获得探测结果;
根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,所述获取疑似恶意攻击行为的相关信息的步骤之前,所述方法还包括:
当探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
所述获取疑似恶意攻击行为的相关信息,包括:
从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
优选地,所述向所述恶意主机进行主动探测,并获得探测结果,包括:
获取被攻击信息库中所述恶意主机对应的ip地址和端口;
根据所述ip地址和端口对所述恶意主机进行web漏洞扫描,并判断所述持续恶意攻击行为是否由web应用发起;
若所述持续恶意攻击行为由web应用发起,则所述根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,包括:
判断所述web应用是否存在高危漏洞;
若存在所述高危漏洞,则利用所述高危漏洞向所述恶意主机上传远程执行脚本,获取关键溯源信息。
优选地,所述判断所述持续恶意攻击行为是否由web应用发起,包括:
根据所述ip地址和端口向所述恶意主机请求尝试web连接;
若web连接成功,则判断所述持续恶意攻击行为由web应用发起。
优选地,所述获取关键溯源信息,包括:
获取所述恶意主机的系统日志和web应用日志;
所述获取关键溯源信息的步骤之后,所述方法还包括:
根据所述系统日志和web应用日志判断所述恶意主机是否存在上一级攻击源;
若存在,则对所述上一级攻击源进行二级溯源。
第二方面,本发明实施例提供一种基于蜜罐技术的溯源装置,包括事件触发器和主动溯源模块,所述事件触发器包括:
获取单元,用于获取疑似恶意攻击行为的相关信息;
判断单元,与所述获取单元连接,用于根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元,与所述判断单元连接,用于在所述判断单元判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
所述主动溯源模块包括:
主动探测单元,与所述发送单元连接,用于根据所述发送单元发送的主动溯源请求向所述恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元,与所述主动探测单元连接,用于根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,还包括被攻击信息库,所述事件触发器还包括:
保存单元,与所述被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至所述被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
所述获取单元,与所述被攻击信息库连接,用于从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
优选地,所述主动探测单元包括:
地址获取单元,用于获取被攻击信息库中所述恶意主机对应的ip地址和端口;
漏洞扫描单元,用于根据所述ip地址和端口对所述恶意主机进行web漏洞扫描,并判断所述持续恶意攻击行为是否由web应用发起;若所述持续恶意攻击行为由web应用发起,则进一步判断所述web应用是否存在高危漏洞;
所述溯源信息获取单元,用于在存在所述高危漏洞时,利用所述高危漏洞向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
优选地,所述主动探测单元还包括:
连接单元,用于根据所述ip地址和端口向所述恶意主机请求尝试web连接,并在web连接成功时,判断所述持续恶意攻击行为由web应用发起。
第三方面,本发明实施例提供一种蜜罐设备,包括第二方面所述的基于蜜罐技术的溯源装置。
本发明实施例提供的基于蜜罐技术的溯源方法、装置及蜜罐设备,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的web防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
附图说明
图1:为本发明实施例1的一种基于蜜罐技术的溯源方法的流程图;
图2:为本发明实施例2的一种基于蜜罐技术的溯源装置的结构示意图;
图3:为本发明实施例2的一种基于蜜罐技术的溯源装置的溯源交互示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
实施例1:
本实施例提供一种基于蜜罐技术的溯源方法,如图1所示,该方法包括:
步骤s102:获取疑似恶意攻击行为的相关信息。
在本实施例中,疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口、事件、访问次数、攻击者主机信息等。
可选地,获取疑似恶意攻击行为的相关信息的步骤之前,方法还可以包括:
当探测到疑似恶意攻击行为时,将疑似恶意攻击行为的相关信息保存至被攻击信息库,疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
获取疑似恶意攻击行为的相关信息,可以包括:
从被攻击信息库中获取疑似恶意攻击行为的相关信息。
步骤s104:根据疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机。
在本实施例中,通过记录的持续恶意攻击报文的攻击信息,进行分析后可以明确确定某主机的恶意攻击行为,其中,恶意攻击行为可以是sql注入,xss,高危漏洞利用等等,例如,请求中携带a'or'1=1—或者admin–等即为典型sql注入。
步骤s106:若存在,则向恶意主机进行主动探测,并获得探测结果。
可选地,向恶意主机进行主动探测,并获得探测结果,可以包括:
获取被攻击信息库中恶意主机对应的ip地址和端口;
根据ip地址和端口对恶意主机进行web漏洞扫描,并判断持续恶意攻击行为是否由web应用发起。
在本实施例中,主动探测是根据记录的访问的源ip加源端口,然后对对方的服务器进行端口web侧漏洞扫描,以确定恶意攻击主机上的攻击请求是由web应用发起。
若持续恶意攻击行为由web应用发起,则根据探测结果向恶意主机上传远程执行脚本,获取关键溯源信息,可以包括:
判断web应用是否存在高危漏洞;
若存在高危漏洞,则利用高危漏洞向恶意主机上传远程执行脚本,获取关键溯源信息。
在本实施例中,根据恶意主机的ip地址和端口(即被攻击信息库中的源ip和源端口)请求尝试web连接,如果web连接成功则判断持续恶意攻击行为由web应用发起。
在本实施例中,高危漏洞可以是针对web文件上传等高危漏洞,比如sql注入文件上传、jsp、php等前端语言文件上传漏洞、tomcat、weblogic、apache等中间件的文件上传漏洞。
步骤s108:根据探测结果向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,获取关键溯源信息,可以包括:
获取恶意主机的系统日志和web应用日志;
在本实施例中,关键溯源信息可以包括系统日志和web应用日志,当确定web应用存在可以直接利用的高危漏洞时,上传远程执行脚本,将对方系统日志、web应用日志等信息爬取回来,根据系统日志、web应用日志能够获取到用户登录信息列表,web应用操作日志,主机操作日志等等。从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的web防护以及主动恶意攻击的溯源需要。
获取关键溯源信息的步骤之后,方法还可以包括:
根据系统日志和web应用日志判断恶意主机是否存在上一级攻击源;
若存在,则对上一级攻击源进行二级溯源。
在本实施例中,通过对恶意主机的系统日志和web应用日志进行分析,能够找出入侵当前web应用的恶意攻击信息,比如攻击ip、端口(源ip和源端口),即恶意主机的上一级攻击源的相关信息,即可以执行类似上述流程的二次溯源操作。
本发明实施例提供的基于蜜罐技术的溯源方法,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的web防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
实施例2:
如图2所示,本实施例提供一种基于蜜罐技术的溯源装置,用于执行上述基于蜜罐技术的溯源方法,包括事件触发器30和主动溯源模块31,其中,事件触发器30包括:
获取单元301,用于获取疑似恶意攻击行为的相关信息;
判断单元302,与获取单元301连接,用于根据疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元303,与判断单元302连接,用于在判断单元302判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
主动溯源模块31包括:
主动探测单元311,与发送单元303连接,用于根据发送单元303发送的主动溯源请求向恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元312,与主动探测单元311连接,用于根据探测结果向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,还可以包括被攻击信息库,事件触发器30还可以包括:
保存单元,与被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将疑似恶意攻击行为的相关信息保存至被攻击信息库,疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
获取单元301,与被攻击信息库连接,用于从被攻击信息库中获取疑似恶意攻击行为的相关信息。
可选地,主动探测单元311可以包括:
地址获取单元,用于获取被攻击信息库中恶意主机对应的ip地址和端口;
漏洞扫描单元,用于根据ip地址和端口对恶意主机进行web漏洞扫描,并判断持续恶意攻击行为是否由web应用发起;若持续恶意攻击行为由web应用发起,则进一步判断web应用是否存在高危漏洞;
溯源信息获取单元312,用于在存在高危漏洞时,利用高危漏洞向恶意主机上传远程执行脚本,以获取关键溯源信息。
可选地,主动探测单元311还包括:
连接单元,用于根据ip地址和端口向恶意主机请求尝试web连接,并在web连接成功时,判断持续恶意攻击行为由web应用发起。
在本实施例中,被攻击信息库用于将疑似攻击行为的相关信息保存起来,包括攻击ip、端口、事件、访问次数、攻击者主机信息等;事件触发器用于当疑似恶意攻击发生时,根据情形判断是进行记录还是在记录的同时进行主动溯源操作;主动溯源模块用于进行溯源操作。
具体地,参考图2,示出了本发明实施例提供的一种基于蜜罐技术的溯源装置的溯源交互示意图,在本实施例中,该溯源方法包括如下步骤:
步骤s201:事件触发器向被攻击信息库发送获取疑似恶意攻击信息请求;
步骤s202:被攻击信息库向事件触发器批量返回疑似恶意攻击信息;
步骤s203:事件触发器判断是否存在持续恶意攻击行为的恶意主机;
步骤s204:在判断存在持续恶意攻击行为的恶意主机时,事件触发器向主动溯源模块发送主动溯源请求;
步骤s205:主动溯源模块向恶意主机发起主动探测;
在本实施例中,主动探测是根据记录的访问的源ip加源端口,然后对对方的服务器进行端口web侧漏洞扫描,以确定恶意攻击主机上的攻击请求是由web应用发起。
步骤s206:主动溯源模块接收恶意主机反馈的探测结果;
步骤s207:主动溯源模块根据探测结果上传远程执行脚本;
步骤s208:主动溯源模块获取关键溯源信息,完成溯源取证。
在本实施例中,若确定恶意攻击行为由web应用发起,则进一步判断该web应用是否存在高危漏洞,若存在高危漏洞,则利用高危漏洞向该恶意主机上传远程执行脚本,获取关键溯源信息。
实施例3:
本实施例提供一种蜜罐设备,包括实施例2所述的基于蜜罐技术的溯源装置。
在本实施例中,蜜罐设备可以是主机或服务器,包括了实施例2所述的基于蜜罐技术的溯源装置。
实施例2至实施例3提供的基于蜜罐技术的溯源装置及蜜罐设备,根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机,并在存在持续发出恶意攻击行为的恶意主机时,向所述恶意主机进行主动探测,获得探测结果,以及根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,从而能够实现对攻击源的溯源取证,即可用于攻防网络靶场建设的防守方案,也可以满足公安、政府、企业等的web防护以及主动恶意攻击的溯源需要。解决了现有的蜜罐技术仅可以感知到恶意攻击,除了记录攻击行为日志以外,只能被动防御的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
1.一种基于蜜罐技术的溯源方法,应用于蜜罐设备,其特征在于,包括:
获取疑似恶意攻击行为的相关信息;
根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
若存在,则向所述恶意主机进行主动探测,并获得探测结果;
根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
2.根据权利要求1所述的基于蜜罐技术的溯源方法,其特征在于,所述获取疑似恶意攻击行为的相关信息的步骤之前,所述方法还包括:
当探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
所述获取疑似恶意攻击行为的相关信息,包括:
从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
3.根据权利要求2所述的基于蜜罐技术的溯源方法,其特征在于,所述向所述恶意主机进行主动探测,并获得探测结果,包括:
获取被攻击信息库中所述恶意主机对应的ip地址和端口;
根据所述ip地址和端口对所述恶意主机进行web漏洞扫描,并判断所述持续恶意攻击行为是否由web应用发起;
若所述持续恶意攻击行为由web应用发起,则所述根据所述探测结果向所述恶意主机上传远程执行脚本,获取关键溯源信息,包括:
判断所述web应用是否存在高危漏洞;
若存在所述高危漏洞,则利用所述高危漏洞向所述恶意主机上传远程执行脚本,获取关键溯源信息。
4.根据权利要求3所述的基于蜜罐技术的溯源方法,其特征在于,所述判断所述持续恶意攻击行为是否由web应用发起,包括:
根据所述ip地址和端口向所述恶意主机请求尝试web连接;
若web连接成功,则判断所述持续恶意攻击行为由web应用发起。
5.根据权利要求4所述的基于蜜罐技术的溯源方法,其特征在于,所述获取关键溯源信息,包括:
获取所述恶意主机的系统日志和web应用日志;
所述获取关键溯源信息的步骤之后,所述方法还包括:
根据所述系统日志和web应用日志判断所述恶意主机是否存在上一级攻击源;
若存在,则对所述上一级攻击源进行二级溯源。
6.一种基于蜜罐技术的溯源装置,其特征在于,包括事件触发器和主动溯源模块,所述事件触发器包括:
获取单元,用于获取疑似恶意攻击行为的相关信息;
判断单元,与所述获取单元连接,用于根据所述疑似恶意攻击行为的相关信息判断是否存在持续发出恶意攻击行为的恶意主机;
发送单元,与所述判断单元连接,用于在所述判断单元判断存在持续发出恶意攻击行为的恶意主机时发送主动溯源请求;
所述主动溯源模块包括:
主动探测单元,与所述发送单元连接,用于根据所述发送单元发送的主动溯源请求向所述恶意主机进行主动探测,并获得探测结果;
溯源信息获取单元,与所述主动探测单元连接,用于根据所述探测结果向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
7.根据权利要求6所述的基于蜜罐技术的溯源装置,其特征在于,还包括被攻击信息库,所述事件触发器还包括:
保存单元,与所述被攻击信息库连接,用于在探测到疑似恶意攻击行为时,将所述疑似恶意攻击行为的相关信息保存至所述被攻击信息库,所述疑似恶意攻击行为的相关信息包括恶意主机的ip地址、端口及事件;
所述获取单元,与所述被攻击信息库连接,用于从所述被攻击信息库中获取疑似恶意攻击行为的相关信息。
8.根据权利要求7所述的基于蜜罐技术的溯源装置,其特征在于,所述主动探测单元包括:
地址获取单元,用于获取被攻击信息库中所述恶意主机对应的ip地址和端口;
漏洞扫描单元,用于根据所述ip地址和端口对所述恶意主机进行web漏洞扫描,并判断所述持续恶意攻击行为是否由web应用发起;若所述持续恶意攻击行为由web应用发起,则进一步判断所述web应用是否存在高危漏洞;
所述溯源信息获取单元,用于在存在所述高危漏洞时,利用所述高危漏洞向所述恶意主机上传远程执行脚本,以获取关键溯源信息。
9.根据权利要求8所述的基于蜜罐技术的溯源装置,其特征在于,所述主动探测单元还包括:
连接单元,用于根据所述ip地址和端口向所述恶意主机请求尝试web连接,并在web连接成功时,判断所述持续恶意攻击行为由web应用发起。
10.一种蜜罐设备,包括如权利要求6-9中任一项所述的基于蜜罐技术的溯源装置。
技术总结