一種高級可持續(xù)威脅誘捕系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全領(lǐng)域���,特別涉及一種高級可持續(xù)威脅誘捕系統(tǒng)及方法����。
【背景技術(shù)】
[0002]高級可持續(xù)威脅是在傳統(tǒng)攻擊威脅的基礎(chǔ)上����,進(jìn)一步升級為定向目標(biāo)的攻擊,可以長期潛伏的攻擊����,大多威脅到企業(yè)、政府���、軍隊或工廠等重要單位��。當(dāng)前反高級可持續(xù)威脅攻擊的主要方法是對未知惡意代碼的自動化分析和判定上����,并將捕獲的源頭假設(shè)在關(guān)鍵服務(wù)器和網(wǎng)關(guān)上���,但存在的問題是�����,無法全面捕獲到未知程序���,并且對于在內(nèi)網(wǎng)的攻擊者是無法檢測出來的�。并且由于在實際業(yè)務(wù)服務(wù)器中進(jìn)行未知程序的跟蹤分析���,代價較高����,難于實施����。被動對未知惡意代碼進(jìn)行檢測,而無法主動獲取可疑數(shù)據(jù)��。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種高級可持續(xù)威脅誘捕系統(tǒng)及方法�����,能夠解決上述所存在的問題���,通過本發(fā)明可以主動誘導(dǎo)未知惡意程序的攻擊��,并能夠?qū)ζ涔暨^程進(jìn)行監(jiān)控記錄���,便于進(jìn)行取證和分析����,同時能夠分擔(dān)對正常業(yè)務(wù)系統(tǒng)的安全威脅�����。
[0004]一種高級可持續(xù)威脅誘捕系統(tǒng)�,包括:
應(yīng)用型蜜罐�����,用于根據(jù)要模擬的應(yīng)用服務(wù)器����,建立相同服務(wù)器應(yīng)用及應(yīng)用環(huán)境的應(yīng)用型蜜罐,設(shè)置所述應(yīng)用型蜜罐的登陸賬戶與要模擬的應(yīng)用服務(wù)器相同�����,并設(shè)置登錄賬戶口令為弱口令����;設(shè)置弱口令���,降低應(yīng)用型蜜罐的賬戶密碼口令難度,可以使應(yīng)用型蜜罐更容易受到攻擊�,同時分擔(dān)正常業(yè)務(wù)系統(tǒng)受到攻擊的概率;
將所述要模擬的應(yīng)用服務(wù)器中的可公開信息��,拷貝到所述應(yīng)用型蜜罐中��;通過真實的應(yīng)用服務(wù)器中的信息�,能夠迷惑攻擊者認(rèn)為應(yīng)用型蜜罐為真實的應(yīng)用服務(wù)器;
設(shè)置所述應(yīng)用型蜜罐的IP地址與要模擬的應(yīng)用服務(wù)器IP地址相鄰或相近���;能夠便于攻擊者掃描到應(yīng)用型蜜罐����;
所述應(yīng)用型蜜罐檢測從應(yīng)用客戶端代理模塊獲取的可疑數(shù)據(jù)�;
應(yīng)用數(shù)據(jù)捕獲模塊,用于部署在交換機(jī)���、安全數(shù)據(jù)過濾產(chǎn)品中或后臺審計系統(tǒng)中���,將數(shù)據(jù)重定向到應(yīng)用客戶端代理模塊中�����;通過該模塊�����,能夠把直接進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)或被過濾掉的數(shù)據(jù)����,最終再定向到應(yīng)用型蜜罐中��,使得攻擊者能夠?qū)⒚酃拚`以為是應(yīng)用服務(wù)器���,進(jìn)而進(jìn)行潛伏或攻擊,便于對攻擊行為進(jìn)行監(jiān)控并記錄�;
應(yīng)用客戶端代理模塊,用于將收到的數(shù)據(jù)代理提交到應(yīng)用型蜜罐當(dāng)中��,并保存數(shù)據(jù)來源�����。
[0005]所述的系統(tǒng)中����,所述應(yīng)用型蜜罐還用于�����,直接獲取攻擊者的訪問數(shù)據(jù)�����,并根據(jù)IP地址來源�,確認(rèn)所獲取的數(shù)據(jù)來源于應(yīng)用客戶端代理模塊�,或攻擊者,如果來源于攻擊者����,則報警并輸出日志信息。通過該方法����,來自于內(nèi)網(wǎng)的攻擊,便可以直接獲取到相應(yīng)信息�;
所述的系統(tǒng)中,所述應(yīng)用型蜜罐還用于���,當(dāng)確定所述可疑數(shù)據(jù)為惡意時����,將所述可疑數(shù)據(jù)上報到指定的安全事件上報服務(wù)器或定期在本地保存,并進(jìn)行告警���。
[0006]所述的系統(tǒng)中��,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在交換機(jī)中�����,則根據(jù)IP端口鏡像功能�,將流量定向到協(xié)議解析模塊中�����,在協(xié)議解析模塊中將流量還原為數(shù)據(jù)�����,發(fā)送到應(yīng)用客戶端代理模塊中����。
[0007]所述的系統(tǒng)中�����,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在安全數(shù)據(jù)過濾產(chǎn)品中,則設(shè)定將屬于所述安全數(shù)據(jù)過濾產(chǎn)品的非白名單的數(shù)據(jù)定向到應(yīng)用客戶端代理模塊中���。在安全數(shù)據(jù)過濾產(chǎn)品���,如防火墻或UTM等中部署該模塊后,可以將可疑數(shù)據(jù)投放到應(yīng)用型蜜罐中進(jìn)行進(jìn)一步驗證��。
[0008]所述的系統(tǒng)中���,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在后臺審計系統(tǒng)中����,則獲取所述后臺審計系統(tǒng)的全部數(shù)據(jù)����,并發(fā)送到應(yīng)用客戶端代理模塊中。
[0009]一種高級可持續(xù)威脅誘捕方法��,包括:
根據(jù)要模擬的應(yīng)用服務(wù)器����,建立相同服務(wù)器應(yīng)用及應(yīng)用環(huán)境的應(yīng)用型蜜罐���;
設(shè)置所述應(yīng)用型蜜罐的登陸賬戶與要模擬的應(yīng)用服務(wù)器相同,并設(shè)置登錄賬戶口令為弱口令����;
將所述要模擬的應(yīng)用服務(wù)器中的可公開信息,拷貝到所述應(yīng)用型蜜罐中����;
設(shè)置所述應(yīng)用型蜜罐的IP地址與要模擬的應(yīng)用服務(wù)器IP地址相鄰或相近;
所述應(yīng)用型蜜罐檢測從應(yīng)用客戶端代理獲取的可疑數(shù)據(jù)����;
應(yīng)用數(shù)據(jù)捕獲模塊部署在交換機(jī)、安全數(shù)據(jù)過濾產(chǎn)品中或后臺審計系統(tǒng)中���,將數(shù)據(jù)重定向到應(yīng)用客戶端代理模塊中��;
應(yīng)用客戶端代理將收到的數(shù)據(jù)代理提交到應(yīng)用型蜜罐當(dāng)中,并保存數(shù)據(jù)來源���。
[0010]所述的方法中���,所述應(yīng)用型蜜罐還用于�,直接獲取攻擊者的訪問數(shù)據(jù)����,并根據(jù)IP地址來源,確認(rèn)所獲取的數(shù)據(jù)來源于應(yīng)用客戶端代理模塊�����,或攻擊者����,如果來源于攻擊者,則報警并輸出日志信息����。
[0011]所述的方法中,所述應(yīng)用型蜜罐還用于�����,當(dāng)確定所述可疑數(shù)據(jù)為惡意時���,將所述可疑數(shù)據(jù)上報到指定的安全事件上報服務(wù)器或定期在本地保存�,并向管理員報警�。
[0012]所述的方法中���,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在交換機(jī)中,則根據(jù)IP端口鏡像功能�����,將流量定向到協(xié)議解析模塊中�,在協(xié)議解析模塊中將流量還原為數(shù)據(jù),發(fā)送到應(yīng)用客戶端代理中�����。
[0013]所述的方法中���,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在安全數(shù)據(jù)過濾產(chǎn)品中����,則設(shè)定將屬于所述安全數(shù)據(jù)過濾產(chǎn)品的非白名單的數(shù)據(jù)定向到應(yīng)用客戶端代理中����。
[0014]所述的方法中,如果所述應(yīng)用數(shù)據(jù)捕獲模塊部署在后臺審計系統(tǒng)中�����,則獲取所述后臺審計系統(tǒng)的全部數(shù)據(jù)��,并發(fā)送到應(yīng)用客戶端代理中��。
[0015]本發(fā)明提出了一種高級可持續(xù)威脅的誘捕系統(tǒng)及方法����,所述系統(tǒng)包括應(yīng)用型蜜罐、應(yīng)用數(shù)據(jù)捕獲模塊和應(yīng)用客戶端代理模塊�����。本發(fā)明通過將應(yīng)用數(shù)據(jù)捕獲模塊部署到交換機(jī)����、安全數(shù)據(jù)過濾產(chǎn)品或后臺審計系統(tǒng)中,將可疑數(shù)據(jù)或流量定向到應(yīng)用客戶端代理模塊�����,再由應(yīng)用客戶端代理模塊將數(shù)據(jù)發(fā)送給應(yīng)用型蜜罐��,所述應(yīng)用型蜜罐由于其接近于真實業(yè)務(wù)系統(tǒng)服務(wù)器����,因此能夠較好的迷惑攻擊者���,使其在系統(tǒng)中長期存在,便于對高級可持續(xù)威脅進(jìn)行分析及取證�����,同時分擔(dān)正常業(yè)務(wù)服務(wù)器系統(tǒng)的威脅����。
【附圖說明】
[0016]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖����。
[0017]圖1為本發(fā)明一種高級可持續(xù)威脅誘捕系統(tǒng)結(jié)構(gòu)示意圖;
圖2為本發(fā)明一種高級可持續(xù)威脅誘捕方法流程圖�����。
【具體實施方式】
[0018]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案,并使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂�����,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明�����。
[0019]本發(fā)明提供了一種高級可持續(xù)威脅誘捕系統(tǒng)及方法���,能夠解決上述所存在的問題,通過本發(fā)明可以主動誘導(dǎo)未知惡意程序的攻擊�����,并能夠?qū)ζ涔暨^程進(jìn)行監(jiān)控記錄�,便于進(jìn)行取證和分析,同時能夠分擔(dān)對正常業(yè)務(wù)系統(tǒng)的安全威脅���。
[0020]—種高級可持續(xù)威脅誘捕系統(tǒng),如圖1所示,包括:
應(yīng)用型蜜罐101�����,用于根據(jù)要模擬的應(yīng)用服務(wù)器��,建立相同服務(wù)器應(yīng)用及應(yīng)用環(huán)境的應(yīng)用型蜜罐�,設(shè)置所述應(yīng)用型蜜罐的登陸賬戶與要模擬的應(yīng)用服務(wù)器相同,并設(shè)置登錄賬戶口令為弱口令��;設(shè)置弱口令���,降低應(yīng)用型蜜罐的賬戶密碼口令難度����,可以使應(yīng)用型蜜罐更容易受到攻擊�����,同時分擔(dān)正常業(yè)務(wù)系統(tǒng)受到攻擊的概率�����;
將所述要模擬的應(yīng)用服務(wù)器中的可公開信息���,拷貝到所述應(yīng)用型蜜罐中��;通過真實的應(yīng)用服務(wù)器中的信息�,能夠迷惑攻擊者認(rèn)為應(yīng)用型蜜罐為真實的應(yīng)用服務(wù)器;
設(shè)置所述應(yīng)用型蜜罐的IP地址與要模擬的應(yīng)用服務(wù)器IP地址相鄰或相近�����;能夠便于攻擊者掃描到應(yīng)用型蜜罐��;
所述應(yīng)用型蜜罐檢測從應(yīng)用客戶端代理模塊獲取的可疑數(shù)據(jù)�;
應(yīng)用數(shù)據(jù)捕獲模塊102�����,用于部署在交換機(jī)���、安全數(shù)據(jù)過濾產(chǎn)品中或后臺審計系統(tǒng)中���,將數(shù)據(jù)重定向到應(yīng)用客戶端代理模塊中;通過該模塊���,能夠把直接進(jìn)入應(yīng)用服務(wù)器的數(shù)據(jù)或被過濾掉的數(shù)據(jù)���,最終再定向到應(yīng)用型蜜罐中�,使得攻擊者能夠?qū)⒚酃拚`以為是應(yīng)用服務(wù)器����,進(jìn)而進(jìn)行潛伏或攻擊,便于對攻擊行為進(jìn)行監(jiān)控并記錄����;
應(yīng)用客戶端代理模塊103,用于將收到的數(shù)據(jù)代理提交到應(yīng)用型蜜罐當(dāng)中�����,并保存數(shù)據(jù)來源���。
[0021]所述的系統(tǒng)中�,所述應(yīng)用型蜜罐還用于�,直接獲取攻擊者的訪問數(shù)據(jù),并根據(jù)IP地址來源����,確認(rèn)所獲取的數(shù)據(jù)來源于應(yīng)用客戶端代理模塊,或攻擊者��,如果來源于攻擊者�,則報警并輸出日志信息�。通過該