一种应用型蜜罐的实现方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机安全领域,特别涉及一种应用型蜜罐的实现方法及装置。
【背景技术】
[0002]蜜罐技术,是一种通过伪装成有利用价值并带有BUG或缺陷的主机和服务,吸引攻击者或恶意代码入侵,从而分析该攻击者或恶意代码的行为动机和技术细节,用于研究及防御等。
[0003]目前网络安全业界对于蜜罐技术的一般分为低交互蜜罐和高交互蜜罐两类:低交互蜜罐一般采用低层模拟技术实现很初级的交互,所捕获的网络行为也十分有限,典型代表为HoneyD, Nepenthes, D1naea ;高交互蜜罐所采用的一般是全功能的服务或修改后伪装的服务,在网络安装代理或流量分析模块或在系统后台安装行为监控模块。
[0004]但随着网络功放技术的演进,对于蜜罐服务的探测技术也随之演进,目前攻击者所追求的利益更倾向于商业秘密或政府后台数据,由于蜜罐技术已经全面公开,一般在入侵成功后,攻击者首先探测当前主机上的资源价值,如果具有价值,在拿到所有数据后,便进行潜伏,以保证日后可持续获取更多数据。而当前蜜罐技术或产品进提供基本服务模拟,或在虚拟机上运行真实服务,但所承载的数据非常简单,因此很容易被感知当前系统为蜜罐,从而无法获取到攻击者的真正意图和进行取证。
【发明内容】
[0005]基于上述问题,本发明提供了一种应用型蜜罐的实现方法及装置,通过采用处理过的真实应用服务及真实数据,解决现有蜜罐技术中服务及数据过于简单,容易被感知到为蜜罐的问题,同时保证蜜罐中数据的活跃性,达到了能够吸引攻击者或恶意代码在蜜罐中运行的目的。
[0006]一种应用型蜜罐实现方法,包括:
获取所要模拟的应用服务及其属性信息和应用环境,并部署相同的应用服务及应用环境到蜜罐中;即用真实的服务搭建蜜罐;
设置所述蜜罐的应用服务的登陆账户与所要模拟的应用服务相同,并开放至少一个应用服务的已知可控制的安全漏洞;根据通常对蜜罐系统的要求,主机用于蜜罐维护和管理的安全配置要尽可能设置得高;用于暴露出来的蜜罐服务的安全策略要尽量设置低,因此还应当保证蜜罐所在设备不应低于真实业务系统设备的安全级别,且蜜罐的应用服务设置相应可控安全漏洞,以便使攻击者能够较容易访问蜜罐中的数据;
设置所述蜜罐的应用服务为全日制记录,且所述日志仅管理员具有修改权限;即记录详细的交互日志,并将其读取和修改的权限控制在安全范围内。
[0007]根据用户标记,对所述应用服务中的全部业务数据进行脱密处理,并运用混淆算法将全部业务数据变形处理后,导入到蜜罐的应用服务中;
根据预设时间,定期或实时向蜜罐的应用服务中导入新增的业务数据。
[0008]所述的方法中,所述蜜罐采用与所要模拟的应用服务相同的设备。
[0009]所述的方法中,将蜜罐所在设备的防火墙设置为仅允许蜜罐服务及蜜罐管理所需要的外联请求,禁止其他访问行为,并对产生的其他访问行为进行记录。对于其他服务请求的端口均应当关闭,阻断未知进入和外联请求。
[0010]所述的方法中,将所述蜜罐中应用服务设置为最小可运行权限。
[0011]所述的方法中,还包括对蜜罐的应用服务进行攻击监控,如果进程丢失,则确定出现漏洞事件。
[0012]一种应用型蜜罐实现装置,包括:
应用部署模块,用于获取所要模拟的应用服务及其属性信息和应用环境,并部署相同的应用服务及应用环境到蜜罐中;
设置控制模块,用于设置所述蜜罐的应用服务的登陆账户与所要模拟的应用服务相同,并开放至少一个应用服务的已知可控制的安全漏洞;设置所述蜜罐的应用服务为全日制记录,且所述日志仅管理员具有修改权限;
数据导入模块,用于根据用户标记,对所述应用服务中的全部业务数据进行脱密处理,并运用混淆算法将全部业务数据变形处理后,导入到蜜罐的应用服务中;
更新模块,用于根据预设时间,定期或实时向蜜罐的应用服务中导入新增的业务数据。
[0013]所述的装置中,所述蜜罐采用与所要模拟的应用服务相同的设备。
[0014]所述的装置中,所述设置控制模块还将蜜罐所在设备的防火墙设置为仅允许蜜罐服务及蜜罐管理所需要的外联请求,禁止其他访问行为,并对产生的其他访问行为进行记录。
[0015]所述的装置中,所述设置控制模块还用于将所述蜜罐中应用服务设置为最小可运行权限。
[0016]所述的装置中,还包括监控模块,用于对蜜罐的应用服务进行攻击监控,如果进程丢失,则确定出现漏洞事件。
[0017]本发明的优势在于,通过部署在真实主机上的真实应用服务,使扫描工具无法区别该设备为真实业务设备或蜜罐设备,使攻击者认为当前设备即为其入侵目标;并且通过后续对业务数据的补充,使蜜罐成为活跃主机,使攻击者更加愿意潜伏在主机中。并且通过对应用服务中的全部业务数据进行脱密处理,既保证了蜜罐中数据的可信度,又保证了数据信息不会被泄露。本发明实现的蜜罐,将在应对网络扫描和攻击威胁方面较传统的蜜罐更容易迷惑攻击者,有助于更深的发觉攻击者的行为意图和分析取证。
[0018]本发明提供了一种应用型蜜罐实现方法及装置所述方法,包括:获取所要模拟的应用服务及其属性信息和应用环境,并部署相同的应用服务及应用环境到蜜罐中;并对蜜罐的相应属性进行设置,如设置所述蜜罐的应用服务的登陆账户与所要模拟的应用服务相同,并开放至少一个应用服务的已知可控制的安全漏洞;根据用户标记,对所述应用服务中的全部业务数据进行脱密处理,并运用混淆算法将全部业务数据变形处理后,导入到蜜罐的应用服务中;并能定期或实时向蜜罐的应用服务中导入新增的业务数据。本发明还提出相应的设备,通过本发明的应用级蜜罐,能够结合用户的真实业务数据,最大程度的迷惑攻击者,使其认为蜜罐即为用户的真实应用服务数据。
【附图说明】
[0019]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本发明一种应用型蜜罐的实现方法流程图;
图2为本发明一种应用型蜜罐的实现装置结构图。
【具体实施方式】
[0021]为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0022]本发明提供了一种应用型蜜罐的实现方法及装置,通过采用处理过的真实应用服务及真实数据,解决现有蜜罐技术中服务及数据过于简单,容易被感知到为蜜罐的问题,同时保证蜜罐中数据的活跃性,达到了能够吸引攻击者或恶意代码在蜜罐中运行的目的。
[0023]一种应用型蜜罐实现方法,如图1所示,包括:
SlOl:获取所要模拟的应用服务及其属性信息和应用环境,并部署相同的应用服务及应用环境到蜜罐中;即用真实的服务搭建蜜罐;
S102:设置所述蜜罐的应用服务的登陆账户与所要模拟的应用服务相同,并开放至少一个应用服务的已知可控制的安全漏洞;根据通常对蜜罐系统的要求,主机用于蜜罐维护和管理的安全配置要尽可能设置得高;用于暴露出来的蜜罐服务的安全策略要尽量设置低,因此还应当保证蜜罐所在设备不应低于真实业务系统设备的安全级别,且蜜罐的应用服务设置相应可控安全漏洞,以便使攻击者能够较容易访问蜜罐中的数据;已知可控的安全漏洞如账户弱口令,IP连接限制等,使攻击者比较容易能够访问到蜜罐中的数据;
S103:设置所述蜜罐的应用服务为全日制记录,且所述日志仅管理员具有修改权限;即记录详细的交互日志,并将其读取和修改的权限控制在安全范围内,如可以采用syslog等通道进行数据交互。
[0024]S104:根据用户标记,对所述应用服务中的全部业务数据进行脱密处理,并运用混淆算法将全部业务