方法,来自于内网的攻击,便可以直接获取到相应信息;
所述的系统中,所述应用型蜜罐还用于,当确定所述可疑数据为恶意时,将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存,并进行告警。
[0022]所述的系统中,如果所述应用数据捕获模块部署在交换机中,则根据IP端口镜像功能,将流量定向到协议解析模块中,在协议解析模块中将流量还原为数据,发送到应用客户端代理模块中。
[0023]所述的系统中,如果所述应用数据捕获模块部署在安全数据过滤产品中,则设定将属于所述安全数据过滤产品的非白名单的数据定向到应用客户端代理模块中。在安全数据过滤产品,如防火墙或UTM等中部署该模块后,可以将可疑数据投放到应用型蜜罐中进行进一步验证。
[0024]所述的系统中,如果所述应用数据捕获模块部署在后台审计系统中,则获取所述后台审计系统的全部数据,并发送到应用客户端代理模块中。
[0025]—种高级可持续威胁诱捕方法,如图2所示,包括:
5201:根据要模拟的应用服务器,建立相同服务器应用及应用环境的应用型蜜罐;
5202:设置所述应用型蜜罐的登陆账户与要模拟的应用服务器相同,并设置登录账户口令为弱口令;
5203:将所述要模拟的应用服务器中的可公开信息,拷贝到所述应用型蜜罐中;
5204:设置所述应用型蜜罐的IP地址与要模拟的应用服务器IP地址相邻或相近;
5205:应用数据捕获模块部署在交换机、安全数据过滤产品中或后台审计系统中,将数据重定向到应用客户端代理模块中;
5206:应用客户端代理将收到的数据代理提交到应用型蜜罐当中,并保存数据来源;
5207:所述应用型蜜罐检测从应用客户端代理获取的可疑数据。
[0026]所述的方法中,所述应用型蜜罐还用于,直接获取攻击者的访问数据,并根据IP地址来源,确认所获取的数据来源于应用客户端代理模块,或攻击者,如果来源于攻击者,则报警并输出日志信息。
[0027]所述的方法中,所述应用型蜜罐还用于,当确定所述可疑数据为恶意时,将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存,并向管理员报警。
[0028]所述的方法中,如果所述应用数据捕获模块部署在交换机中,则根据IP端口镜像功能,将流量定向到协议解析模块中,在协议解析模块中将流量还原为数据,发送到应用客户端代理中。
[0029]所述的方法中,如果所述应用数据捕获模块部署在安全数据过滤产品中,则设定将属于所述安全数据过滤产品的非白名单的数据定向到应用客户端代理中。
[0030]所述的方法中,如果所述应用数据捕获模块部署在后台审计系统中,则获取所述后台审计系统的全部数据,并发送到应用客户端代理中。
[0031]本发明提出了一种高级可持续威胁的诱捕系统及方法,所述系统包括应用型蜜罐、应用数据捕获模块和应用客户端代理模块。本发明通过将应用数据捕获模块部署到交换机、安全数据过滤产品或后台审计系统中,将可疑数据或流量定向到应用客户端代理模块,再由应用客户端代理模块将数据发送给应用型蜜罐,所述应用型蜜罐由于其接近于真实业务系统服务器,因此能够较好的迷惑攻击者,使其在系统中长期存在,便于对高级可持续威胁进行分析及取证,同时分担正常业务服务器系统的威胁。
[0032]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0033]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种高级可持续威胁诱捕系统,其特征在于,包括: 应用型蜜罐,用于根据要模拟的应用服务器,建立相同服务器应用及应用环境的应用型蜜罐,设置所述应用型蜜罐的登陆账户与要模拟的应用服务器相同,并设置登录账户口令为弱口令; 将所述要模拟的应用服务器中的可公开信息,拷贝到所述应用型蜜罐中; 设置所述应用型蜜罐的IP地址与要模拟的应用服务器IP地址相邻或相近; 所述应用型蜜罐检测从应用客户端代理模块获取的可疑数据; 应用数据捕获模块,用于部署在交换机、安全数据过滤产品中或后台审计系统中,将数据重定向到应用客户端代理模块中; 应用客户端代理模块,用于将收到的数据代理提交到应用型蜜罐当中,并保存数据来源。2.如权利要求1所述的系统,其特征在于,所述应用型蜜罐还用于,直接获取攻击者的访问数据,并根据IP地址来源,确认所获取的数据来源于应用客户端代理模块,或攻击者,如果来源于攻击者,则报警并输出日志信息。3.如权利要求1所述的系统,其特征在于,所述应用型蜜罐还用于,当确定所述可疑数据为恶意时,将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存,并向管理员报警。4.如权利要求1所述的系统,其特征在于,如果所述应用数据捕获模块部署在交换机中,则根据IP端口镜像功能,将流量定向到协议解析模块中,在协议解析模块中将流量还原为数据,发送到应用客户端代理模块中。5.如权利要求1所述的系统,其特征在于,如果所述应用数据捕获模块部署在安全数据过滤产品中,则设定将属于所述安全数据过滤产品的非白名单的数据定向到应用客户端代理模块中。6.如权利要求1所述的系统,其特征在于,如果所述应用数据捕获模块部署在后台审计系统中,则获取所述后台审计系统的全部数据,并发送到应用客户端代理模块中。7.一种高级可持续威胁诱捕方法,其特征在于,包括: 根据要模拟的应用服务器,建立相同服务器应用及应用环境的应用型蜜罐; 设置所述应用型蜜罐的登陆账户与要模拟的应用服务器相同,并设置登录账户口令为弱口令; 将所述要模拟的应用服务器中的可公开信息,拷贝到所述应用型蜜罐中; 设置所述应用型蜜罐的IP地址与要模拟的应用服务器IP地址相邻或相近; 所述应用型蜜罐检测从应用客户端代理获取的可疑数据; 应用数据捕获模块部署在交换机、安全数据过滤产品中或后台审计系统中,将数据重定向到应用客户端代理模块中; 应用客户端代理将收到的数据代理提交到应用型蜜罐当中,并保存数据来源。8.如权利要求7所述的方法,其特征在于,所述应用型蜜罐还用于,直接获取攻击者的访问数据,并根据IP地址来源,确认所获取的数据来源于应用客户端代理模块,或攻击者,如果来源于攻击者,则报警并输出日志信息。9.如权利要求7所述的方法,其特征在于,所述应用型蜜罐还用于,当确定所述可疑数据为恶意时,将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存,并向管理员报警。10.如权利要求7所述的方法,其特征在于,如果所述应用数据捕获模块部署在交换机中,则根据IP端口镜像功能,将流量定向到协议解析模块中,在协议解析模块中将流量还原为数据,发送到应用客户端代理中。11.如权利要求7所述的方法,其特征在于,如果所述应用数据捕获模块部署在安全数据过滤产品中,则设定将属于所述安全数据过滤产品的非白名单的数据定向到应用客户端代理中。12.如权利要求7所述的方法,其特征在于,如果所述应用数据捕获模块部署在后台审计系统中,则获取所述后台审计系统的全部数据,并发送到应用客户端代理中。
【专利摘要】本发明提出了一种高级可持续威胁的诱捕系统及方法,所述系统包括应用型蜜罐、应用数据捕获模块和应用客户端代理模块。本发明通过将应用数据捕获模块部署到交换机、安全数据过滤产品或后台审计系统中,将可疑数据或流量定向到应用客户端代理模块,再由应用客户端代理模块将数据发送给应用型蜜罐,所述应用型蜜罐由于其接近于真实业务系统服务器,因此能够较好的迷惑攻击者,使其在系统中长期存在,便于对高级可持续威胁进行分析及取证,同时分担正常业务服务器系统的威胁。
【IPC分类】H04L29/06
【公开号】CN104980423
【申请号】CN201410688861
【发明人】王维, 肖新光
【申请人】哈尔滨安天科技股份有限公司
【公开日】2015年10月14日
【申请日】2014年11月26日