蜜罐

摘要： 面对日益增长的网络威胁和复杂化的攻击手段,网络安全工作人员需要应用更多的新技术,更多的结合攻击方视角来审视所要维护的网络环境,通过建立模型量化网络安全威胁并由被动防御的防御模式更多的转向主动防御,从原先的受到攻击作出反应转为在攻击前预先进行防御措施的布置。攻击图就是其中一种主动防御的协助手段。文中介绍了攻击图的分类、构建及优化方式,工控网络环境下的网络威胁以及攻击图在工控网络场景下的脆弱性加固和蜜罐部署两种具体应用方式。

摘要： 作为一种主动对抗攻击者的手段,网络欺骗防御技术得到了学术界和产业界的广泛关注,其中攻击诱捕技术是网络欺骗防御的核心所在。其基本理念是通过建立虚假的网络和业务系统环境,引诱攻击者对诱捕系统发起攻击而达到监控分析攻击行为的目的。着眼于面向攻击诱捕的网络欺骗防御技术研究,讨论了攻击诱捕技术的基本概念及典型架构,并从决策控制和欺骗环境构建两个方面对攻击诱捕机制的实现机理进行了探讨。总结了攻击诱捕技术在欺骗防御场景中的作用,在此基础上从传统诱捕机制、虚拟化诱捕机制以及智能诱捕决策等方面分析了攻击诱捕技术的研究现状及关键技术,为欺骗诱捕系统的设计提供了一定的思路,总结分析了现有研究存在的问题,并展望了未来的发展方向和面临的挑战。

摘要： 工业控制系统蜜罐存在系统信息容易被攻击者嗅探,安全性不能满足要求的问题。针对此问题,提出一种改进的Conpot蜜罐方案,针对Conpot蜜罐设计时存在指纹信息的缺陷,对配置文件中序列号等指纹进行擦除和替换,并依据实际PLC指纹对蜜罐XML配置文件重新配置以仿真S7-400设备。为使生成序列号与真实PLC在面对攻击者扫描时格式一致,在对PLC命名规则分析基础上,采用格式保持加密算法进行相关字段的生成,从而提高安全性。验证了所提方案可有效提高Conpot蜜罐的安全性。

摘要： 面对日益严峻的网络安全威胁,只有主动发现存在的漏洞和风险,才能最大限度地减少损失。然而主流的杀毒软件、防火墙等都属于被动防御技术,而蜜罐技术的出现弥补了之前技术的不足,变被动为主动。本文基于Docker和Python,设计实现了针对MySQL恶意攻击的蜜罐系统,系统包括MySQL服务器模拟模块、日志模块、捕获模块、管理模块和Docker模块。使用本系统可以捕获攻击者信息,追踪和分析黑客,达到主动防御网络威胁的目的。

摘要： SaaS云中的多租户共存和资源共享模式会带来严重的安全隐患。一方面逻辑上命名空间的软隔离容易被绕过或突破,另一方面由于共享宿主机操作系统和底层物理资源容易遭受同驻攻击,对容器云中数据可用性、完整性、机密性产生严重威胁。针对SaaS云服务容易遭受容器逃逸、侧信道等同驻攻击的问题,网络欺骗技术通过隐藏执行体的业务功能和特征属性,增加云环境的不确定度,降低攻击的有效性。针对容器易遭受同驻攻击的安全威胁,结合动态迁移、虚拟蜜罐等安全技术,研究经济合理的网络欺骗方法降低同驻攻击带来的安全威胁。具体而言,提出一种基于信号博弈的容器迁移与蜜罐部署策略。依据容器面临的安全威胁分析,使用容器迁移和蜜罐两种技术作为防御方法,前者基于移动目标防御的思想提高系统的不可探测性,后者通过布置诱饵容器或提供虚假服务来迷惑攻击者;鉴于网络嗅探是网络攻击链的前置步骤,将攻防过程建模为双人不完整信息的信号博弈,发送者根据自己类型选择释放一个信号,接收者仅能够获取到发送者释放的信号,而不能确定其类型。对这个完全但不完美的信息动态博弈构建博弈树,设置攻防双方不同策略组合的开销和收益;对攻防模型进行均衡分析确定最优的欺骗策略。实验结果表明,所提策略能够有效提高系统安全性,同时能够降低容器迁移频率和防御开销。

摘要： 针对云平台上蜜罐服务的部署不精确、计算资源开销大等问题,论文提出了一种基于BERT的云蜜罐服务编排方法。该方法基于深度学习模型BERT对云上流量进行识别和分类,依据网络攻击与蜜罐捕获能力之间的关联策略进行蜜罐服务自动化编排,以提升蜜罐系统的隐蔽性和针对性,降低计算资源开销。实验结果显示,在云平台下应用论文所述方法进行蜜罐服务编排,在平均威胁捕获率为89.11%的情况下,云平台的计算资源消耗量和消耗时长均有下降,验证了论文方法的有效性。

摘要： 作为一种典型的欺骗防御手段,蜜罐技术在主动诱捕攻击者方面具有重要意义。然而现有设计方法主要通过博弈模型来优化蜜罐的诱捕决策,忽略了攻击者的信念对双方博弈决策的影响,存在自适应优化决策能力弱、易被攻击者识破并利用等不足。为此,提出了基于信念的蜜罐博弈机制(Belief Based Honeypot Game Mechanism, BHGM)。BHGM基于攻击者完成任务的多轮博弈过程,重点关注蜜罐采取动作对攻击者信念的影响以及信念对攻击者是否继续攻击的影响。同时,基于树上限置信区间(Upper Confidence Bound Apply to Tree, UCT)设计了信念驱动的攻防最优策略求解算法。仿真实验结果表明,信念驱动的攻击方策略能基于当前信念选择继续攻击或及时止损以获得最大收益,而信念驱动的蜜罐策略在考虑风险的情况下能尽量降低攻击方怀疑,以诱骗其继续攻击,从而获得更大收益。

摘要： 在广电行业媒体融合深度发展、数字化改革不断深入的背景下,网络和信息化安全工作的重要性日益突出。本文分析了“威胁情报”在广电行业网络安全体系中的应用,提出了“蜜罐+威胁情报中心+现有安全平台/安全设备”组成的“内生情报”框架,通过构建广电行业“自循环、高质量”的“内生情报”运营体系,实现对威胁的快速响应及研判处置,有效支撑实战攻防演习和重大活动安全保障,为智慧广电、融媒生产及数字化改革的稳定推进保驾护航。

摘要： 随着互联网技术应用的快速发展,人们对网络信息依赖程度越来越高,信息安全显得尤为重要,通过对常见的网络安全防护技术的分析与研究,提出基于LCS算法的网络攻击行为分析与防护技术,并搭建了蜜罐系统进行实验与测试,实现了对黑客攻击行为进行监控与分析的功能,使网络安全性能得到较大的提升。

摘要： 工业控制蜜罐区别于普通蜜罐的主要标志是使用蜜罐的场景不同,在工业控制蜜罐中,使用场景为工业控制系统,工业控制设备进行通讯时所采用的工控协议不同于普通的互联网协议。工业控制蜜罐诱捕能力主要依靠其仿真交互水平,模仿协议通讯交互情况决定了诱捕环境的真实性。通过对真实发电厂控制系统的考察,提出结合沙盒技术,将发电厂控制系统置于沙盒中以还原蜜罐高仿真度。采用协议逆向分析技术,深度解析EGD工控协议掌握协议特征,及时感知异常工控流量数据和异常协议数据包。使用开源cuckoo沙盒框架,在部署蜜罐的同时采用主客机部署机制,防止因攻击者识别蜜罐借此为跳板而逃逸或其他破坏行为。然后将蜜罐捕获的所有疑似攻击数据进行分析并提交至cuckoo主机端进行二次分析,最后对认为是攻击的数据采取相应处理措施。为网络安全管理员提供可靠数据,为发电厂提供更安全的主动防御网络环境。

摘要： 针对目前网络普遍存在的漏洞和攻击手段的多样化，网络通信的安全面临着越来越大的威胁，本文提出利用ARP欺骗建立网络监听，监听网络间的数据通信，并且在监听网络中引入蜜罐系统，主动分析网络间通信的数据，以实现对目标网络的保护。

摘要： 蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.

摘要： 本文提出了如何建立一个基于蜜罐的并具有行为分析的病毒样本采集系统.系统被放置于网络环境中并暴露出各种漏洞以吸引病毒的攻击，系统监视病毒在本机上的各种操作，并将病毒的样本和操作的分析结果提交给病毒研究人员。文章阐述了如何从监测点收集样本，在网络中传输病毒样本和在管理平台接收病毒样本的整个过程，并给出系统总体方案设计、系统功能模块组成和系统的实现。

摘要： 本文简要地介绍了网络蠕虫及蜜罐的相关基础知识,讨论了常见的蠕虫检测技术。同时,针对蠕虫的传播特点,将蜜罐技术与NIPS、KA-filter(已知攻击过滤器)相结合,给出了一个基于蜜罐技术的未知蠕虫检測方案,文章最后还对该方案存在的潜在问题进行了分析。

摘要： 作为一种主动防御技术，蜜罐有其特有的优势，可以研究未知攻击，消耗攻击者资源，在安全防护领域扮演着重要的角色。本文首先综合论述了蜜罐的当前研究现状，然后剖析了蜜罐定义，讨论了蜜罐工作原理和在安全防护中的作用，接着阐述了蜜罐类型，归纳总结了蜜罐的关键技术，探讨了蜜罐应用时需考虑的问题。文章最后对蜜罐的发展趋势进行了展望。

摘要： 利用蜜罐技术监控网络恶意行为从而分析网络安全趋势和对攻击行为进行早期预警已成为网络安全领域的一个新研究方向. 在网络中合理部署蜜罐是有效搜集恶意行为信息面对的首要问题. 首先对蜜罐部署的研究层面进行阐述,然后对与蜜罐部署相关的交互度、位置、数量、模式等诸多因素进行详尽分析,从理论上推导出均匀分布下蜜罐部署数量与网络资源总数的中间合适比值,据此比值给出IPv4和IPv6网络中蜜罐数目的极限值. 最后对实际部署的基于honeyd的低交互度蜜罐技术采集数据进行统计分析,为蜜罐部署研究提供实际佐证.

摘要： 为解决大多数传统的、采用集中式分析引擎的入侵检测系统误报率、漏报率高且容易产生“瓶颈效应”的缺点，也为了解决传统入侵检测的单点失效，可配置、扩展性差等问题，提出了一种新型的基于Agent技术及Honeypot技术的入侵检测系统。该系统采用多层次、多Agent结构对网络数据进行检测，可移植性、可扩展性好。

摘要： 为解决大多数传统的、采用集中式分析引擎的入侵检测系统误报率、漏报率高且容易产生“瓶颈效应”的缺点，也为了解决传统入侵检测的单点失效，可配置、扩展性差等问题，提出了一种新型的基于Agent技术及Honeypot技术的入侵检测系统。该系统采用多层次、多Agent结构对网络数据进行检测，可移植性、可扩展性好。

摘要： 为解决大多数传统的、采用集中式分析引擎的入侵检测系统误报率、漏报率高且容易产生“瓶颈效应”的缺点，也为了解决传统入侵检测的单点失效，可配置、扩展性差等问题，提出了一种新型的基于Agent技术及Honeypot技术的入侵检测系统。该系统采用多层次、多Agent结构对网络数据进行检测，可移植性、可扩展性好。

摘要： 为解决大多数传统的、采用集中式分析引擎的入侵检测系统误报率、漏报率高且容易产生“瓶颈效应”的缺点，也为了解决传统入侵检测的单点失效，可配置、扩展性差等问题，提出了一种新型的基于Agent技术及Honeypot技术的入侵检测系统。该系统采用多层次、多Agent结构对网络数据进行检测，可移植性、可扩展性好。

摘要： 本发明提供一种社会工程学蜜罐部署方法、蜜罐系统及存储介质，该方法包括以下步骤：社工蜜罐管理子系统，其用于进行人的客观属性配置和/或直观属性配置，并基于配置的属性构建多个社工AI人；社工AI人模拟模块，其用于基于构建的属性自动生成社工AI人的社交信息，并在社交平台上发布所述社交信息；接收来自社交平台上的网络用户针对社工AI人的交互信息，基于接收的交互信息和社工AI人的客观属性配置和/或直观属性配置自动生成响应信息，以与网络用户自动进行社交交互并识别网络用户的社工行为；以及社工平台支撑模块，其用于提供与社交平台的通信接口；社工蜜罐管理子系统记录社工AI人与网络用户的交互状态，并记录社工行为。

摘要： 本发明提供了一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统，属于网络安全技术领域。本发明提供了一种蜜罐系统服务自适应的方法，通过主动探测攻击者主机环境，匹配其攻击工具，针对真人攻击且不是傀儡机的有价值攻击，通过主动式蜜罐部署执行系统根据攻击者主机开放的服务和端口，自适应提供伪装应用服务和操作系统，提升蜜罐系统可被利用率、攻破率。本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务，能够提升蜜罐系统的安全性，不会让攻击者对探测行为怀疑，快速变换伪装服务，提升蜜罐系统的仿真性；设置了多重判定条件，可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱捕其进入蜜罐系统，大大提升蜜罐系统的价值。

摘要： 本申请涉及一种高交互蜜罐系统和蜜罐防护方法，其中，该高交互蜜罐系统包括：蜜罐服务模块和代理模块；其中，蜜罐服务模块设置于容器和/或虚拟机中，用于提供蜜罐服务，蜜罐服务模块和代理模块相互隔离，蜜罐服务模块和代理模块相互隔离；代理模块包括依次耦接的消息传输端口、解析器以及编码器，解析器和编码器均与蜜罐服务模块耦接，消息传输端口用于传输客户端与蜜罐服务模块之间的消息，解析器用于根据预设解析格式解析消息，编码器用于根据预设编码格式编码经过解析之后的消息，其中，消息包括：发往蜜罐服务模块的请求消息，发往客户端的响应消息。本申请解决了高交互蜜罐的安全性能低的问题，提升了高交互蜜罐的安全性。

摘要： 本发明提供了一种新型蜜罐组网方法及蜜罐系统，属于网络安全技术领域。本发明提供了一种蜜罐组网方法，列出真实业务主机的闲置服务，再列出攻击者常用服务，根据攻击者常用服务，从真实业务主机闲置的服务中选择一些闲置服务部署为诱捕节点，被选择的闲置服务每个部署一个诱捕节点，再将诱捕节点与蜜罐进行绑定，当攻击者访问闲置服务时，将攻击者访问流量引入蜜罐，蜜罐系统分析攻击者访问流量，并自动下载反制程序，对攻击者进行反制。本发明将诱捕节点部署在真实业务主机的闲置服务上，节省了大量的专用服务器或在闲置服务器上创建的专用虚拟机用于部署诱捕节点，捕获效率高，闲置业务得到了利用。

摘要： 本发明公开了基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统。所述方法包括：接收请求者发送的远程过程调用RPC请求；查找与所述RPC请求匹配的响应规则；根据与所述匹配的响应规则对应的响应模板，为所述RPC请求生成模拟响应内容；向请求者返回生成的模拟响应内容。该技术方案的有益效果在于，能够针对向区块链发起的RPC类型的请求，并根据响应模板进行有效的响应，使疑似攻击的请求方被欺骗认为访问的是真实的RPC端口，从而实现了有效获取攻击信息，便于后续进行分析和防御。

摘要： 本发明的实施例提供了一种基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器，涉及网络技术领域。该基于蜜罐的防御方法，应用于蜜罐管理服务器，包括：确定设置有监听模块的蜜罐设备，该蜜罐设备是处于现实应用场景的且未处于虚拟机环境的实体设备；基于设置有监听模块的蜜罐设备对攻击者的入侵行为进行监听。因此，本发明实施例提供的技术方案，是一种基于现实环境的蜜罐技术，能够缓解现有的蜜罐技术存在辨识难度系数较低易被攻击者识破的问题，提高攻击者的辨识难度系数，有利于提高诱捕效果和成功率。

摘要： 本发明的实施例提供了一种蜜罐攻击链构建方法及蜜罐系统，涉及网络安全技术领域。该方法应用于蜜罐系统，蜜罐系统包括蜜罐、靶标、数据网关及处理平台。该方法包括：数据网关获取攻击者发送的每个请求。数据网关将每个请求发送至蜜罐和靶标。蜜罐根据每个请求，分别获得第一攻击信息，并将第一攻击信息发送至处理平台。靶标根据每个请求，分别获得第二攻击信息，并将第二攻击信息发送至处理平台。处理平台根据获取的所有与攻击者相关的第一攻击信息和第二攻击信息，还原攻击者的攻击链。如此，通过设置相应靶标以满足蜜罐所不具备的业务需求，获得靶标和蜜罐返回的攻击信息，还原攻击者真实的攻击链，即攻击过程。

摘要： 本发明属于工控系统防御技术领域，特别涉及一种基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐，收集工控系统上位机和工业控制器PLC之间的通信数据，解析获取通信数据中的协议相关数据；依据工程配置文件和协议相关数据来构建PLC虚拟内存仿真器；并建立用于模拟工控系统控制逻辑及其变化过程的工控内存数据模型，生成相关内存配置文件添加到内存配置文件库中；利用对应内存配置文件将工控系统控制逻辑及其变化过程映射到PLC虚拟内存仿真器中，通过PLC虚拟内存仿真器模拟控制逻辑动态变化来应对攻击者请求。本发明能够提高工控蜜罐系统仿真模拟功能，有效避免攻击者识别，便于捕获更多、更复杂的工控系统攻击行为，保证工控系统的安全稳定性。

摘要： 本发明公开了一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质，用以解决现有技术中存在的物联网蜜罐的交互程度低、端口兼容性差、以及部署难度大、成本高的技术问题，该方法包括：确定攻击者踏入的陷阱端口，并获取陷阱端口对应的路由表；其中，路由表用于穷举陷阱端口包含的各种漏洞对应的标准流量特征及对应的标准交互类型，每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路由表中；根据攻击者的流量特征信息与路由表中流量特征过滤规则的命中结果，确定流量特征信息对应的实际交互类型；获取与实际交互类型对应的交互规则，生成符合攻击者的交互意图的交互欺骗信息，并返回给攻击者。

摘要： 本申请实施例提出一种云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质，涉及计算机网络安全领域。云蜜罐服务器在接收到第一客户端发送的域名和目标蜜罐服务类型之后，会根据目标蜜罐服务类型和对应关系得到目标端口，然后将目标端口与域名的映射关系进行存储，并将域名发送至云DNS服务器进行域名解析，最后在接收到云DNS服务器发送的解析完成信息后，将域名发送至所述探针服务器以完成云蜜罐的部署。与现有技术相比，本申请实施例通过在探针服务器中部署云蜜罐探针并通过域名和目标蜜罐服务类型来完成对云蜜罐的部署，在简化云蜜罐部署过程的同时也降低了成本，使得云蜜罐的部署更加方便快捷。