一種應(yīng)用型蜜罐的實(shí)現(xiàn)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域,特別涉及一種應(yīng)用型蜜罐的實(shí)現(xiàn)方法及裝置。
【背景技術(shù)】
[0002]蜜罐技術(shù),是一種通過偽裝成有利用價(jià)值并帶有BUG或缺陷的主機(jī)和服務(wù),吸引攻擊者或惡意代碼入侵,從而分析該攻擊者或惡意代碼的行為動(dòng)機(jī)和技術(shù)細(xì)節(jié),用于研究及防御等。
[0003]目前網(wǎng)絡(luò)安全業(yè)界對(duì)于蜜罐技術(shù)的一般分為低交互蜜罐和高交互蜜罐兩類:低交互蜜罐一般采用低層模擬技術(shù)實(shí)現(xiàn)很初級(jí)的交互,所捕獲的網(wǎng)絡(luò)行為也十分有限,典型代表為HoneyD, Nepenthes, D1naea ;高交互蜜罐所采用的一般是全功能的服務(wù)或修改后偽裝的服務(wù),在網(wǎng)絡(luò)安裝代理或流量分析模塊或在系統(tǒng)后臺(tái)安裝行為監(jiān)控模塊。
[0004]但隨著網(wǎng)絡(luò)功放技術(shù)的演進(jìn),對(duì)于蜜罐服務(wù)的探測技術(shù)也隨之演進(jìn),目前攻擊者所追求的利益更傾向于商業(yè)秘密或政府后臺(tái)數(shù)據(jù),由于蜜罐技術(shù)已經(jīng)全面公開,一般在入侵成功后,攻擊者首先探測當(dāng)前主機(jī)上的資源價(jià)值,如果具有價(jià)值,在拿到所有數(shù)據(jù)后,便進(jìn)行潛伏,以保證日后可持續(xù)獲取更多數(shù)據(jù)。而當(dāng)前蜜罐技術(shù)或產(chǎn)品進(jìn)提供基本服務(wù)模擬,或在虛擬機(jī)上運(yùn)行真實(shí)服務(wù),但所承載的數(shù)據(jù)非常簡單,因此很容易被感知當(dāng)前系統(tǒng)為蜜罐,從而無法獲取到攻擊者的真正意圖和進(jìn)行取證。
【發(fā)明內(nèi)容】
[0005]基于上述問題,本發(fā)明提供了一種應(yīng)用型蜜罐的實(shí)現(xiàn)方法及裝置,通過采用處理過的真實(shí)應(yīng)用服務(wù)及真實(shí)數(shù)據(jù),解決現(xiàn)有蜜罐技術(shù)中服務(wù)及數(shù)據(jù)過于簡單,容易被感知到為蜜罐的問題,同時(shí)保證蜜罐中數(shù)據(jù)的活躍性,達(dá)到了能夠吸引攻擊者或惡意代碼在蜜罐中運(yùn)行的目的。
[0006]一種應(yīng)用型蜜罐實(shí)現(xiàn)方法,包括:
獲取所要模擬的應(yīng)用服務(wù)及其屬性信息和應(yīng)用環(huán)境,并部署相同的應(yīng)用服務(wù)及應(yīng)用環(huán)境到蜜罐中;即用真實(shí)的服務(wù)搭建蜜罐;
設(shè)置所述蜜罐的應(yīng)用服務(wù)的登陸賬戶與所要模擬的應(yīng)用服務(wù)相同,并開放至少一個(gè)應(yīng)用服務(wù)的已知可控制的安全漏洞;根據(jù)通常對(duì)蜜罐系統(tǒng)的要求,主機(jī)用于蜜罐維護(hù)和管理的安全配置要盡可能設(shè)置得高;用于暴露出來的蜜罐服務(wù)的安全策略要盡量設(shè)置低,因此還應(yīng)當(dāng)保證蜜罐所在設(shè)備不應(yīng)低于真實(shí)業(yè)務(wù)系統(tǒng)設(shè)備的安全級(jí)別,且蜜罐的應(yīng)用服務(wù)設(shè)置相應(yīng)可控安全漏洞,以便使攻擊者能夠較容易訪問蜜罐中的數(shù)據(jù);
設(shè)置所述蜜罐的應(yīng)用服務(wù)為全日制記錄,且所述日志僅管理員具有修改權(quán)限;即記錄詳細(xì)的交互日志,并將其讀取和修改的權(quán)限控制在安全范圍內(nèi)。
[0007]根據(jù)用戶標(biāo)記,對(duì)所述應(yīng)用服務(wù)中的全部業(yè)務(wù)數(shù)據(jù)進(jìn)行脫密處理,并運(yùn)用混淆算法將全部業(yè)務(wù)數(shù)據(jù)變形處理后,導(dǎo)入到蜜罐的應(yīng)用服務(wù)中;
根據(jù)預(yù)設(shè)時(shí)間,定期或?qū)崟r(shí)向蜜罐的應(yīng)用服務(wù)中導(dǎo)入新增的業(yè)務(wù)數(shù)據(jù)。
[0008]所述的方法中,所述蜜罐采用與所要模擬的應(yīng)用服務(wù)相同的設(shè)備。
[0009]所述的方法中,將蜜罐所在設(shè)備的防火墻設(shè)置為僅允許蜜罐服務(wù)及蜜罐管理所需要的外聯(lián)請求,禁止其他訪問行為,并對(duì)產(chǎn)生的其他訪問行為進(jìn)行記錄。對(duì)于其他服務(wù)請求的端口均應(yīng)當(dāng)關(guān)閉,阻斷未知進(jìn)入和外聯(lián)請求。
[0010]所述的方法中,將所述蜜罐中應(yīng)用服務(wù)設(shè)置為最小可運(yùn)行權(quán)限。
[0011]所述的方法中,還包括對(duì)蜜罐的應(yīng)用服務(wù)進(jìn)行攻擊監(jiān)控,如果進(jìn)程丟失,則確定出現(xiàn)漏洞事件。
[0012]一種應(yīng)用型蜜罐實(shí)現(xiàn)裝置,包括:
應(yīng)用部署模塊,用于獲取所要模擬的應(yīng)用服務(wù)及其屬性信息和應(yīng)用環(huán)境,并部署相同的應(yīng)用服務(wù)及應(yīng)用環(huán)境到蜜罐中;
設(shè)置控制模塊,用于設(shè)置所述蜜罐的應(yīng)用服務(wù)的登陸賬戶與所要模擬的應(yīng)用服務(wù)相同,并開放至少一個(gè)應(yīng)用服務(wù)的已知可控制的安全漏洞;設(shè)置所述蜜罐的應(yīng)用服務(wù)為全日制記錄,且所述日志僅管理員具有修改權(quán)限;
數(shù)據(jù)導(dǎo)入模塊,用于根據(jù)用戶標(biāo)記,對(duì)所述應(yīng)用服務(wù)中的全部業(yè)務(wù)數(shù)據(jù)進(jìn)行脫密處理,并運(yùn)用混淆算法將全部業(yè)務(wù)數(shù)據(jù)變形處理后,導(dǎo)入到蜜罐的應(yīng)用服務(wù)中;
更新模塊,用于根據(jù)預(yù)設(shè)時(shí)間,定期或?qū)崟r(shí)向蜜罐的應(yīng)用服務(wù)中導(dǎo)入新增的業(yè)務(wù)數(shù)據(jù)。
[0013]所述的裝置中,所述蜜罐采用與所要模擬的應(yīng)用服務(wù)相同的設(shè)備。
[0014]所述的裝置中,所述設(shè)置控制模塊還將蜜罐所在設(shè)備的防火墻設(shè)置為僅允許蜜罐服務(wù)及蜜罐管理所需要的外聯(lián)請求,禁止其他訪問行為,并對(duì)產(chǎn)生的其他訪問行為進(jìn)行記錄。
[0015]所述的裝置中,所述設(shè)置控制模塊還用于將所述蜜罐中應(yīng)用服務(wù)設(shè)置為最小可運(yùn)行權(quán)限。
[0016]所述的裝置中,還包括監(jiān)控模塊,用于對(duì)蜜罐的應(yīng)用服務(wù)進(jìn)行攻擊監(jiān)控,如果進(jìn)程丟失,則確定出現(xiàn)漏洞事件。
[0017]本發(fā)明的優(yōu)勢在于,通過部署在真實(shí)主機(jī)上的真實(shí)應(yīng)用服務(wù),使掃描工具無法區(qū)別該設(shè)備為真實(shí)業(yè)務(wù)設(shè)備或蜜罐設(shè)備,使攻擊者認(rèn)為當(dāng)前設(shè)備即為其入侵目標(biāo);并且通過后續(xù)對(duì)業(yè)務(wù)數(shù)據(jù)的補(bǔ)充,使蜜罐成為活躍主機(jī),使攻擊者更加愿意潛伏在主機(jī)中。并且通過對(duì)應(yīng)用服務(wù)中的全部業(yè)務(wù)數(shù)據(jù)進(jìn)行脫密處理,既保證了蜜罐中數(shù)據(jù)的可信度,又保證了數(shù)據(jù)信息不會(huì)被泄露。本發(fā)明實(shí)現(xiàn)的蜜罐,將在應(yīng)對(duì)網(wǎng)絡(luò)掃描和攻擊威脅方面較傳統(tǒng)的蜜罐更容易迷惑攻擊者,有助于更深的發(fā)覺攻擊者的行為意圖和分析取證。
[0018]本發(fā)明提供了一種應(yīng)用型蜜罐實(shí)現(xiàn)方法及裝置所述方法,包括:獲取所要模擬的應(yīng)用服務(wù)及其屬性信息和應(yīng)用環(huán)境,并部署相同的應(yīng)用服務(wù)及應(yīng)用環(huán)境到蜜罐中;并對(duì)蜜罐的相應(yīng)屬性進(jìn)行設(shè)置,如設(shè)置所述蜜罐的應(yīng)用服務(wù)的登陸賬戶與所要模擬的應(yīng)用服務(wù)相同,并開放至少一個(gè)應(yīng)用服務(wù)的已知可控制的安全漏洞;根據(jù)用戶標(biāo)記,對(duì)所述應(yīng)用服務(wù)中的全部業(yè)務(wù)數(shù)據(jù)進(jìn)行脫密處理,并運(yùn)用混淆算法將全部業(yè)務(wù)數(shù)據(jù)變形處理后,導(dǎo)入到蜜罐的應(yīng)用服務(wù)中;并能定期或?qū)崟r(shí)向蜜罐的應(yīng)用服務(wù)中導(dǎo)入新增的業(yè)務(wù)數(shù)據(jù)。本發(fā)明還提出相應(yīng)的設(shè)備,通過本發(fā)明的應(yīng)用級(jí)蜜罐,能夠結(jié)合用戶的真實(shí)業(yè)務(wù)數(shù)據(jù),最大程度的迷惑攻擊者,使其認(rèn)為蜜罐即為用戶的真實(shí)應(yīng)用服務(wù)數(shù)據(jù)。
【附圖說明】
[0019]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0020]圖1為本發(fā)明一種應(yīng)用型蜜罐的實(shí)現(xiàn)方法流程圖;
圖2為本發(fā)明一種應(yīng)用型蜜罐的實(shí)現(xiàn)裝置結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0021]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0022]本發(fā)明提供了一種應(yīng)用型蜜罐的實(shí)現(xiàn)方法及裝置,通過采用處理過的真實(shí)應(yīng)用服務(wù)及真實(shí)數(shù)據(jù),解決現(xiàn)有蜜罐技術(shù)中服務(wù)及數(shù)據(jù)過于簡單,容易被感知到為蜜罐的問題,同時(shí)保證蜜罐中數(shù)據(jù)的活躍性,達(dá)到了能夠吸引攻擊者或惡意代碼在蜜罐中運(yùn)行的目的。
[0023]一種應(yīng)用型蜜罐實(shí)現(xiàn)方法,如圖1所示,包括:
SlOl:獲取所要模擬的應(yīng)用服務(wù)及其屬性信息和應(yīng)用環(huán)境,并部署相同的應(yīng)用服務(wù)及應(yīng)用環(huán)境到蜜罐中;即用真實(shí)的服務(wù)搭建蜜罐;
S102:設(shè)置所述蜜罐的應(yīng)用服務(wù)的登陸賬戶與所要模擬的應(yīng)用服務(wù)相同,并開放至少一個(gè)應(yīng)用服務(wù)的已知可控制的安全漏洞;根據(jù)通常對(duì)蜜罐系統(tǒng)的要求,主機(jī)用于蜜罐維護(hù)和管理的安全配置要盡可能設(shè)置得高;用于暴露出來的蜜罐服務(wù)的安全策略要盡量設(shè)置低,因此還應(yīng)當(dāng)保證蜜罐所在設(shè)備不應(yīng)低于真實(shí)業(yè)務(wù)系統(tǒng)設(shè)備的安全級(jí)別,且蜜罐的應(yīng)用服務(wù)設(shè)置相應(yīng)可控安全漏洞,以便使攻擊者能夠較容易訪問蜜罐中的數(shù)據(jù);已知可控的安全漏洞如賬戶弱口令,IP連接限制等,使攻擊者比較容易能夠訪問到蜜罐中的數(shù)據(jù);
S103:設(shè)置所述蜜罐的應(yīng)用服務(wù)為全日制記錄,且所述日志僅管理員具有修改權(quán)限;即記錄詳細(xì)的交互日志,并將其讀取和修改的權(quán)限控制在安全范圍內(nèi),如可以采用syslog等通道進(jìn)行數(shù)據(jù)交互。
[0024]S104:根據(jù)用戶標(biāo)記,對(duì)所述應(yīng)用服務(wù)中的全部業(yè)務(wù)數(shù)據(jù)進(jìn)行脫密處理,并運(yùn)用混淆算法將全部業(yè)務(wù)