一种发现网络内潜在威胁的方法、系统、装置及存储介质转让专利
申请号 : CN201810503136.2
文献号 : CN108737421B
文献日 : 2022-01-21
发明人 : 高群凯
申请人 : 深信服科技股份有限公司
摘要 :
本申请公开了一种发现网络内潜在威胁的方法,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改对外的一些参数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平台结合全网的当前安全状态综合统筹各终端需要进行如何伪装以在整体上实现更好的伪装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,实际使用效果更佳。本申请还同时公开了一种发现网络内潜在威胁的系统、装置及计算机可读存储介质,具有上述有益效果。
权利要求 :
1.一种发现网络内潜在威胁的方法,其特征在于,包括:利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
根据接收到的参数信息确定全网的当前安全状况;
在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则;
向各所述终端下发与所述伪装规则对应的伪装参数,以使各所述伪装程序利用接收到的伪装参数对对应终端的参数进行伪装,相同伪装规则对应的伪装参数对下层的各所述终端相同或不同,且各所述终端在进行参数伪装时存在联系;
利用各完成参数伪装操作的终端发现全网内潜在的威胁;
其中,伪装程序安装在各终端上,在不影响各终端正常使用的情况下,通过修改对外的部分参数诱骗恶意攻击者上钩。
2.根据权利要求1所述的方法,其特征在于,利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息,包括:为全网内所有所述终端均安装所述伪装程序;
利用所述伪装程序收集对应终端的参数信息;其中,所述参数信息包括:操作系统、IP地址、通信端口、FTP服务内容、Web服务内容中的至少一项;
根据预设的参数信息发送规则发送所述参数信息。
3.根据权利要求2所述的方法,其特征在于,根据接收到的参数信息确定全网的当前安全状况,包括:
汇总接收到的参数信息,得到汇总信息;
利用预设的安全等级分类模型确定所述汇总信息对应的全网安全等级。
4.根据权利要求3所述的方法,其特征在于,在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则,包括:
在所述全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则。
5.根据权利要求4所述的方法,其特征在于,向各所述终端下发与所述伪装规则对应的伪装参数,包括:
建立与安装在各所述终端上的伪装程序间的IPC通信隧道;
利用各所述IPC通信隧道向各所述伪装程序下发所述伪装规则对应的伪装参数。
6.根据权利要求1至5任一项所述的方法,其特征在于,还包括:所述伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
若不一致,则先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
若一致,则无需修改原有的伪装参数。
7.根据权利要求6所述的方法,其特征在于,还包括:当所述伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
8.一种发现网络内潜在威胁的系统,其特征在于,包括:终端参数信息获取单元,用于利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
当前安全状况确定单元,用于根据接收到的参数信息确定全网的当前安全状况;
伪装规则匹配单元,用于在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则;
伪装参数下发及实施单元,用于向各所述终端下发与所述伪装规则对应的伪装参数,以使各所述伪装程序利用接收到的伪装参数对对应终端的参数进行伪装,相同伪装规则对应的伪装参数对下层的各所述终端相同或不同,且各所述终端在进行参数伪装时存在联系;
潜在威胁发现单元,用于利用各完成参数伪装操作的终端发现全网内潜在的威胁;
其中,伪装程序安装在各终端上,在不影响各终端正常使用的情况下,通过修改对外的部分参数诱骗恶意攻击者上钩。
9.根据权利要求8所述的系统,其特征在于,所述终端参数信息获取单元包括:伪装程序安装子单元,用于为全网内所有所述终端均安装所述伪装程序;
参数信息收集子单元,用于利用所述伪装程序收集对应终端的参数信息;其中,所述参数信息包括:操作系统、IP地址、通信端口、FTP服务内容、Web服务内容中的至少一项;
参数信息发送子单元,用于根据预设的参数信息发送规则发送所述参数信息。
10.根据权利要求9所述的系统,其特征在于,所述当前安全状况确定单元包括:信息汇总子单元,用于汇总接收到的参数信息,得到汇总信息;
安全等级确定子单元,用于利用预设的安全等级分类模型确定所述汇总信息对应的全网安全等级。
11.根据权利要求10所述的系统,其特征在于,所述伪装规则匹配单元包括:等级规则匹配子单元,用于在所述全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则。
12.根据权利要求11所述的系统,其特征在于,所述伪装参数下发及实施单元包括:IPC通信隧道建立子单元,用于建立与安装在各所述终端上的伪装程序间的IPC通信隧道;
伪装参数下发子单元,用于利用各所述IPC通信隧道向各所述伪装程序下发所述伪装规则对应的伪装参数。
13.根据权利要求8至12任一项所述的系统,其特征在于,还包括:伪装状态修改判断单元,用于所述伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
伪装状态修改单元,用于当两者不一致时,先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
伪装状态保持单元,用于当两者一致时,保持原有的伪装参数不变。
14.根据权利要求13所述的系统,其特征在于,还包括:信息反馈单元,用于当所述伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
15.一种网络内潜在威胁发现装置,其特征在于,包括:存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的发现网络内潜在威胁的方法的步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的发现网络内潜在威胁的方法的步骤。
说明书 :
一种发现网络内潜在威胁的方法、系统、装置及存储介质
技术领域
[0001] 本申请涉及蜜罐(伪装)技术领域,特别涉及一种发现网络内潜在威胁的方法、系统、装置及计算机可读存储介质。
背景技术
[0002] 随着信息化时代的到来,人们能够基于网络完成各式各样的工作和任务,不仅高效且十分便捷,以2进制方式存储起来的信息虽然更便于保存,但同时也方便了不怀好意的
人盗取,因此,为保证企业网络安全,网络安全设备应运而生。
人盗取,因此,为保证企业网络安全,网络安全设备应运而生。
[0003] 传统的网络安全设备主要由防火墙、IPS(Intrusion Prevention System,入侵防御系统)组成,这些仅基于固定的威胁检测规则或行为模式来对潜在的网络威胁进行识别,
在被攻击者识破检测手段后,很容易针对性的使用变异的恶意文件或其它手段绕过传统网
络安全设备的安全检测。
在被攻击者识破检测手段后,很容易针对性的使用变异的恶意文件或其它手段绕过传统网
络安全设备的安全检测。
[0004] 针对此种情况以及基于伪装技术的发展,新出现了一种基于欺骗、伪装技术的蜜罐技术,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、
网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了
解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面
对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了
解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面
对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
[0005] 现有技术中,用于构建蜜罐或蜜网(由多个蜜罐构成)的计算资源需要由额外的硬件提供,且通常采用一步到位的方式布置在真实网络前方,使其先于真实网络捕捉攻击信
息,这一方式使其需要高昂的部署成本和变化成本,因为需要繁琐的初期设置步骤,还导致
使其不易变更伪装方式和具体参数,灵活性较差,同时还存在与真实网络融合不紧密导致
被攻击方识破的可能性。
息,这一方式使其需要高昂的部署成本和变化成本,因为需要繁琐的初期设置步骤,还导致
使其不易变更伪装方式和具体参数,灵活性较差,同时还存在与真实网络融合不紧密导致
被攻击方识破的可能性。
[0006] 因此,如何克服现有基于欺骗、伪装技术的蜜罐或蜜网部署技术存在的各种缺陷,提供一种无需增设额外硬件、与真实网络贴合更紧密、伪装更真实、变更伪装参数更加灵活
的网络内潜在威胁发现机制是本领域技术人员亟待解决的问题。
的网络内潜在威胁发现机制是本领域技术人员亟待解决的问题。
发明内容
[0007] 本申请的目的是提供一种发现网络内潜在威胁的方法,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改对外的一些参数,以诱骗恶意攻击者
上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参数,且只是给外界营造一
个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平台结合全网的当前安全
状态综合统筹各终端需要进行如何伪装以在整体上实现更好的伪装效果,由于各伪装程序
只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,实际使用效果更佳。
上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参数,且只是给外界营造一
个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平台结合全网的当前安全
状态综合统筹各终端需要进行如何伪装以在整体上实现更好的伪装效果,由于各伪装程序
只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,实际使用效果更佳。
[0008] 本申请的另一目的在于提供了一种发现网络内潜在威胁的系统、装置及计算机可读存储介质。
[0009] 为实现上述目的,本申请提供一种发现网络内潜在威胁的方法,包括:
[0010] 利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
[0011] 根据接收到的参数信息确定全网的当前安全状况;
[0012] 在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则;
[0013] 向各所述终端下发与所述伪装规则对应的伪装参数,以使各所述伪装程序利用接收到的伪装参数对对应终端的参数进行伪装;
[0014] 利用各完成参数伪装操作的终端发现全网内潜在的威胁。
[0015] 可选的,利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息,包括:
[0016] 为全网内所有所述终端均安装所述伪装程序;
[0017] 利用所述伪装程序收集对应终端的参数信息;其中,所述参数信息包括:操作系统、IP地址、通信端口、FTP服务内容、Web服务内容中的至少一项;
[0018] 根据预设的参数信息发送规则发送所述参数信息。
[0019] 可选的,根据接收到的参数信息确定全网的当前安全状况,包括:
[0020] 汇总接收到的参数信息,得到汇总信息;
[0021] 利用预设的安全等级分类模型确定所述汇总信息对应的全网安全等级。
[0022] 可选的,在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则,包括:
[0023] 在所述全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则。
[0024] 可选的,向各所述终端下发与所述伪装规则对应的伪装参数,包括:
[0025] 建立与安装在各所述终端上的伪装程序间的IPC通信隧道;
[0026] 利用各所述IPC通信隧道向各所述伪装程序下发所述伪装规则对应的伪装参数。
[0027] 可选的,该方法还包括:
[0028] 所述伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
[0029] 若不一致,则先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
[0030] 若一致,则无需修改原有的伪装参数。
[0031] 可选的,该方法还包括:
[0032] 当所述伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
[0033] 为实现上述目的,本申请还提供了一种发现网络内潜在威胁的系统,该系统包括:
[0034] 终端参数信息获取单元,用于利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
[0035] 当前安全状况确定单元,用于根据接收到的参数信息确定全网的当前安全状况;
[0036] 伪装规则匹配单元,用于在全网伪装规则库中匹配与所述当前安全状况对应的伪装规则;
[0037] 伪装参数下发及实施单元,用于向各所述终端下发与所述伪装规则对应的伪装参数,以使各所述伪装程序利用接收到的伪装参数对对应终端的参数进行伪装;
[0038] 潜在威胁发现单元,用于利用各完成参数伪装操作的终端发现全网内潜在的威胁。
[0039] 可选的,所述终端参数信息获取单元包括:
[0040] 伪装程序安装子单元,用于为全网内所有所述终端均安装所述伪装程序;
[0041] 参数信息收集子单元,用于利用所述伪装程序收集对应终端的参数信息;其中,所述参数信息包括:操作系统、IP地址、通信端口、FTP服务内容、Web服务内容中的至少一项;
[0042] 参数信息发送子单元,用于根据预设的参数信息发送规则发送所述参数信息。
[0043] 可选的,所述当前安全状况确定单元包括:
[0044] 信息汇总子单元,用于汇总接收到的参数信息,得到汇总信息;
[0045] 安全等级确定子单元,用于利用预设的安全等级分类模型确定所述汇总信息对应的全网安全等级。
[0046] 可选的,所述安全伪装规则匹配单元包括:
[0047] 等级规则匹配子单元,用于在所述全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则。
[0048] 可选的,所述伪装参数下发及实施单元包括:
[0049] IPC通信隧道建立子单元,用于建立与安装在各所述终端上的伪装程序间的IPC通信隧道;
[0050] 伪装参数下发子单元,用于利用各所述IPC通信隧道向各所述伪装程序下发所述伪装规则对应的伪装参数。
[0051] 可选的,该系统还包括:
[0052] 伪装状态修改判断单元,用于所述伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
[0053] 伪装状态修改单元,用于当两者不一致时,先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
[0054] 伪装状态保持单元,用于当两者一致时,保持原有的伪装参数不变。
[0055] 可选的,该系统还包括:
[0056] 信息反馈单元,用于当所述伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
[0057] 为实现上述目的,本申请还提供了一种网络内潜在威胁发现装置,该装置包括:
[0058] 存储器,用于存储计算机程序;
[0059] 处理器,用于执行所述计算机程序时实现如上述内容所描述的发现网络内潜在威胁的方法的步骤。
[0060] 为实现上述目的,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述内容所描述的发
现网络内潜在威胁的方法的步骤。
现网络内潜在威胁的方法的步骤。
[0061] 显然,本申请所提供的一种发现网络内潜在威胁的方法,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改对外的一些参数,以诱骗恶意攻击
者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参数,且只是给外界营造
一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平台结合全网的当前安
全状态综合统筹各终端需要进行如何伪装以在整体上实现更好的伪装效果,由于各伪装程
序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,实际使用效果更佳。本
申请同时还提供了一种发现网络内潜在威胁的系统、装置及计算机可读存储介质,具有上
述有益效果,在此不再赘述。
者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参数,且只是给外界营造
一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平台结合全网的当前安
全状态综合统筹各终端需要进行如何伪装以在整体上实现更好的伪装效果,由于各伪装程
序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,实际使用效果更佳。本
申请同时还提供了一种发现网络内潜在威胁的系统、装置及计算机可读存储介质,具有上
述有益效果,在此不再赘述。
附图说明
[0062] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
[0063] 图1为本申请所提供的一种发现网络内潜在威胁的方法的流程图;
[0064] 图2为本申请所提供的另一种发现网络内潜在威胁的方法的流程图;
[0065] 图3为本申请所提供的一种发现网络内潜在威胁的系统的结构框图;
[0066] 图4为本申请所提供的一种基于集中管理平台和各终端伪装程序构成的网络内潜在威胁发现装置的组成结构示意图。
具体实施方式
[0067] 本申请的核心是提供一种发现网络内潜在威胁的方法、系统、装置及计算机可读存储介质,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改
对外的一些参数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服
务等常见参数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的
集中管理平台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实
现更好的伪装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变
更更加灵活,实际使用效果更佳。
对外的一些参数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服
务等常见参数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的
集中管理平台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实
现更好的伪装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变
更更加灵活,实际使用效果更佳。
[0068] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员
在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
[0069] 以下结合图1,图1为本申请所提供的一种发现网络内潜在威胁的方法的流程图。
[0070] 其具体包括以下步骤:
[0071] S101:利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
[0072] 在构成目标网络的所有终端上安装伪装程序,该伪装程序用于根据接收到的指令对所在终端的一些参数进行伪装,因此还需要其兼具获取到所在终端参数信息的功能,在
具备此功能后,才能够在进行参数伪装时知道修改何处的参数、以何种方式在不影响正常
工作的前提下进行伪装等任务。
具备此功能后,才能够在进行参数伪装时知道修改何处的参数、以何种方式在不影响正常
工作的前提下进行伪装等任务。
[0073] 具体的,该伪装程序可以为一种数据探针,用于采集信息和根据下发的指令执行相应的参数伪装操作。而从这些伪装程序处获取到其收集来的参数信息的主体应为上层的
集中管理平台,即构建如图4所示的上下层结构关系:下层为安装有伪装程序的终端,各伪
装程序会将自身所在终端的参数信息收集起来发送至上层的集中管理平台,以供集中管理
平台根据接收到的参数信息结合其它信息确定之后如何对下层各终端进行参数伪装。
集中管理平台,即构建如图4所示的上下层结构关系:下层为安装有伪装程序的终端,各伪
装程序会将自身所在终端的参数信息收集起来发送至上层的集中管理平台,以供集中管理
平台根据接收到的参数信息结合其它信息确定之后如何对下层各终端进行参数伪装。
[0074] S102:根据接收到的参数信息确定全网的当前安全状况;
[0075] 在S101的基础上,本步骤旨在由上层的集中管理平台根据接收到的参数信息确定全网的当前安全状况。由于实际情况十分复杂,不同的应用场景确定了不同网络内的安全
状况往往具有较大的差异性,且不同实际场景下也可能对安全状况的定义不甚相同,例如,
可以简单的将全网的当前安全状况定义为危险、一般、安全三挡,也可以在存在更高要求
时,将其划分出更多、更细致的等级等等。
状况往往具有较大的差异性,且不同实际场景下也可能对安全状况的定义不甚相同,例如,
可以简单的将全网的当前安全状况定义为危险、一般、安全三挡,也可以在存在更高要求
时,将其划分出更多、更细致的等级等等。
[0076] 同时,如何根据接收到的参数信息确定全网的当前安全状况的方式也多种多样,例如,结合自身对网络安全状况的需求制定相应的安全等级分级模型,以根据接收到的参
数信息结合该安全等级分级模型得到当前的全网安全等级;也可以设定某些触发规则,当
检测到存在能够触发这些规则的参数时就说明处于某种安全状况下;还可以根据能够接收
到发来参数信息的终端数判断是否有些终端因某些因素掉线或失联,以此实现对全网安全
状况的判定等方式,此处并不对安全状况和如何确定出当前安全状况进行具体限定,根据
实际情况的不同、所有可能存在的特殊要求等进行综合选择。
数信息结合该安全等级分级模型得到当前的全网安全等级;也可以设定某些触发规则,当
检测到存在能够触发这些规则的参数时就说明处于某种安全状况下;还可以根据能够接收
到发来参数信息的终端数判断是否有些终端因某些因素掉线或失联,以此实现对全网安全
状况的判定等方式,此处并不对安全状况和如何确定出当前安全状况进行具体限定,根据
实际情况的不同、所有可能存在的特殊要求等进行综合选择。
[0077] S103:在全网伪装规则库中匹配与当前安全状况对应的伪装规则;
[0078] 在S102的基础上,本步骤旨在由上层的集中管理平台确定与当前安全状态对应的伪装规则,具体的,可以在预设的全网伪装规则库中进行匹配,即该预设的全网伪装规则库
中包含各等级安全状况分别对应的伪装规则,以便根据该伪装规则确定具体应对下层的各
终端的哪些参数进行伪装和进行何种程度的伪装。
中包含各等级安全状况分别对应的伪装规则,以便根据该伪装规则确定具体应对下层的各
终端的哪些参数进行伪装和进行何种程度的伪装。
[0079] S104:向各终端下发与伪装规则对应的伪装参数,以使各伪装程序利用接收到的伪装参数对对应终端的参数进行伪装;
[0080] 在S103确定了出合适的伪装规则的基础上,本步骤旨在由集中管理平台向下层的各终端下发与该伪装规则对应的伪装参数,以使安装在各终端上的伪装程序根据各自接收
到的伪装参数对所在终端进行参数伪装。
到的伪装参数对所在终端进行参数伪装。
[0081] 需要说明的是,相同伪装规则对应的伪装参数对下层的各终端来说并非都是同样的,之所以由下层各终端与上层的集中管理平台作为实现所本申请目的的基础,就是想要
借助该集中管理平台实现统一管理、综合统筹,以便从更高的层面决定如何实现与真实网
络贴合度更高、伪装部署更快速、变换更灵活的伪装目的。
借助该集中管理平台实现统一管理、综合统筹,以便从更高的层面决定如何实现与真实网
络贴合度更高、伪装部署更快速、变换更灵活的伪装目的。
[0082] 简单来说,通过此种的方式将原先高度集中一体化完成的伪装任务拆解为每个参与终端分别执行的伪装任务,集中管理平台只需要将各自终端负责完成的伪装任务下发给
对应的终端集中,每个终端上伪装程序只负责自身所在的终端,打破了原先一口气在一处
完成所有伪装参数的部署机制,灵活度更高,集中管理平台只需下发指令,将具体执行操作
分解在各终端,由于整个伪装任务被拆解,也只会占用少量的计算资源,变更伪装方式和参
数时也更加快速。
对应的终端集中,每个终端上伪装程序只负责自身所在的终端,打破了原先一口气在一处
完成所有伪装参数的部署机制,灵活度更高,集中管理平台只需下发指令,将具体执行操作
分解在各终端,由于整个伪装任务被拆解,也只会占用少量的计算资源,变更伪装方式和参
数时也更加快速。
[0083] 其中,采用何种方式下发伪装参数,方法多种多样,例如通过专门制定的数据传输协议或物理线路,也可以通过IPC(Inter‑Process Communication,进程间通信)的方式,该
方式提供了各种进程间通信的方法,此处并不做具体限定,可以实际情况的不同结合所有
可能存在的特殊要求综合选择。
方式提供了各种进程间通信的方法,此处并不做具体限定,可以实际情况的不同结合所有
可能存在的特殊要求综合选择。
[0084] 进一步的,在各伪装程序接收到下发的伪装参数后,还可以结合当前的伪装状态判定是否需要使用刚接收到的伪装参数重新进行伪装,若两者一致,则无需重复执行;若两
者不一致,还需要按照预定规则重新进行伪装。
者不一致,还需要按照预定规则重新进行伪装。
[0085] 更进一步的,在各伪装程序完成了对所在终端的参数伪装操作后,还可以向上层的集中管理平台返回一个信号,以告知参数伪装操作的执行情况,以便于集中管理平台确
定下层所处状态。
定下层所处状态。
[0086] S105:利用各完成参数伪装操作的终端发现全网内潜在的威胁。
[0087] 在S104的基础上,本步骤旨在利用各完成参数伪装操作的终端发现全网内潜在的威胁。结合在S104中阐述的内容,举个例子,当一个网络由10台下层终端、一台上层集中管
理服务器组成,当确定的某个伪装规则指示使用该10台下层中的8台搭建一个蜜网时,那就
只需要对其中的8台终端进行参数伪装,且每台终端在进行参数伪装时还需要存在某种联
系,以使让恶意攻击方认为某个网络就是由该8台终端构建的错觉,使其在后续攻击时实际
已经掉入了陷阱中,因此也就能够发现原先潜在的威胁。
理服务器组成,当确定的某个伪装规则指示使用该10台下层中的8台搭建一个蜜网时,那就
只需要对其中的8台终端进行参数伪装,且每台终端在进行参数伪装时还需要存在某种联
系,以使让恶意攻击方认为某个网络就是由该8台终端构建的错觉,使其在后续攻击时实际
已经掉入了陷阱中,因此也就能够发现原先潜在的威胁。
[0088] 基于上述技术方案,本申请实施例提供的一种发现网络内潜在威胁的方法,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改对外的一些参
数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参
数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平
台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实现更好的伪
装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,
实际使用效果更佳。
数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参
数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平
台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实现更好的伪
装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,
实际使用效果更佳。
[0089] 以下结合图2,图2为本申请所提供的另一种发现网络内潜在威胁的方法的流程图。
[0090] S201:为全网内所有终端均安装伪装程序,并利用伪装程序收集对应终端的参数信息;
[0091] S202:根据预设的参数信息发送规则发送参数信息;
[0092] 由于下层通常会存在多个终端,因此为防止多个终端同时向集中管理平台发送参数信息导致出现信息堵塞的现象,还需要提前设定信息的发送规则,避免出现此种情况。
[0093] 与本步骤目的相同,本申请还提供另一个种方式实现集中管理平台获取到下层各终端参数信息的目的,S202给出的是由下层主动在采集完成后向上层发送,另一种方式则
是由上层的集中管理平台按照某种顺序依次遍历下层各终端,即当遍历到某个下层终端
时,该下层终端响应于集中管理平台的遍历请求,将采集到的参数信息随请求返回。
是由上层的集中管理平台按照某种顺序依次遍历下层各终端,即当遍历到某个下层终端
时,该下层终端响应于集中管理平台的遍历请求,将采集到的参数信息随请求返回。
[0094] 基于第二种方式可建立一个与本实施例目的相同但方式相异的另一可行的实施例。
[0095] S203:汇总接收到的参数信息,得到汇总信息,并利用预设的安全等级分类模型确定汇总信息对应的全网安全等级;
[0096] 在S202的基础上,本步骤首先需要将各终端的参数信息进行汇总,以便根据汇总信息结合预设的安全等级分类模型确定与之对应的全网安全等级。
[0097] S204:在全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则;
[0098] S205:建立与安装在各终端上的伪装程序间的IPC通信隧道;
[0099] S206:利用各IPC通信隧道向各伪装程序下发伪装规则对应的伪装参数,以利用接收到的伪装参数对对应终端的参数进行伪装;
[0100] 本实施例采用了在各伪装程序与集中管理平台间建立IPC通信隧道来实现伪装参数的下发。
[0101] S207:伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
[0102] S208:先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
[0103] 本步骤建立在S207的判断结果为接收到的伪装参数与当前的伪装参数不一致的基础上,因此可以先卸载原有的伪装参数,再修改为最新接收到的伪装参数,以实现伪装参
数的修改。
数的修改。
[0104] S209:保持原有的伪装参数不变;
[0105] 本步骤建立在S207的判断结果为接收到的伪装参数与当前的伪装参数一致的基础上,因此可保持原有的伪装参数不变。
[0106] S210:当伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
[0107] 基于上述技术方案,本申请实施例提供的一种发现网络内潜在威胁的方法,直接将伪装程序安装在各终端上,直接在不影响各终端正常使用的情况下修改对外的一些参
数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参
数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平
台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实现更好的伪
装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,
实际使用效果更佳。
数,以诱骗恶意攻击者上钩,由于进行伪装的参数通常仅限于IP、端口以及服务等常见参
数,且只是给外界营造一个假象,占用的计算资源可忽略不计,同时使用上层的集中管理平
台结合全网的当前安全状态综合统筹各终端需要如何进行伪装以在整体上实现更好的伪
装效果,由于各伪装程序只需对自身所在的终端进行参数伪装,伪装部署和变更更加灵活,
实际使用效果更佳。
[0108] 在实施例一的基础上,本实施例具体采用了建立安全等级分类模型的方式来根据各参数信息得到当前的全网安全等级,并确定与之对应的伪装规则,且建立IPC通信隧道实
现伪装参数的下发,效果更好,分级制度更合理,同时还增加是否需要修改当前伪装状态的
判断,能够有效减少因执行相同伪装操作所浪费的计算资源,最终向集中管理平台返回每
次的伪装实施结果,能够使上层的集中管理平台确定下层终端的伪装状态,更加保险。
现伪装参数的下发,效果更好,分级制度更合理,同时还增加是否需要修改当前伪装状态的
判断,能够有效减少因执行相同伪装操作所浪费的计算资源,最终向集中管理平台返回每
次的伪装实施结果,能够使上层的集中管理平台确定下层终端的伪装状态,更加保险。
[0109] 因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,
应均在本申请的保护范围内。
应均在本申请的保护范围内。
[0110] 下面请参见图3,图3为本申请所提供的一种发现网络内潜在威胁的系统的结构框图,该系统可以包括:
[0111] 终端参数信息获取单元100,用于利用安装在全网内所有终端上的伪装程序获取对应终端的参数信息;
[0112] 当前安全状况确定单元200,用于根据接收到的参数信息确定全网的当前安全状况;
[0113] 伪装规则匹配单元300,用于在全网伪装规则库中匹配与当前安全状况对应的伪装规则;
[0114] 伪装参数下发及实施单元400,用于向各终端下发与伪装规则对应的伪装参数,以使各伪装程序利用接收到的伪装参数对对应终端的参数进行伪装;
[0115] 潜在威胁发现单元500,用于利用各完成参数伪装操作的终端发现全网内潜在的威胁。
[0116] 其中,终端参数信息获取单元100包括:
[0117] 伪装程序安装子单元,用于为全网内所有终端均安装伪装程序;
[0118] 参数信息收集子单元,用于利用伪装程序收集对应终端的参数信息;其中,参数信息包括:操作系统、IP地址、通信端口、FTP服务内容、Web服务内容中的至少一项;
[0119] 参数信息发送子单元,用于根据预设的参数信息发送规则发送参数信息。
[0120] 其中,当前安全状况确定单元200包括:
[0121] 信息汇总子单元,用于汇总接收到的参数信息,得到汇总信息;
[0122] 安全等级确定子单元,用于利用预设的安全等级分类模型确定汇总信息对应的全网安全等级。
[0123] 其中,安全伪装规则匹配单元300包括:
[0124] 等级规则匹配子单元,用于在全网伪装规则库中寻找与确定的全网安全等级对应的伪装规则。
[0125] 其中,伪装参数下发及实施单元400包括:
[0126] IPC通信隧道建立子单元,用于建立与安装在各终端上的伪装程序间的IPC通信隧道;
[0127] 伪装参数下发子单元,用于利用各IPC通信隧道向各伪装程序下发伪装规则对应的伪装参数。
[0128] 进一步的,该系统还可以包括:
[0129] 伪装状态修改判断单元,用于伪装程序判断接收到的伪装参数是否与当前的伪装参数相一致;
[0130] 伪装状态修改单元,用于当两者不一致时,先卸载原有的伪装参数,再修改为最新接收到的伪装参数;
[0131] 伪装状态保持单元,用于当两者一致时,保持原有的伪装参数不变;
[0132] 信息反馈单元,用于当伪装程序完成参数的伪装操作后,通过预设路径返回伪装实施结果及最终使用的伪装参数。
[0133] 基于上述实施例,本申请还提供了一种网络内潜在威胁发现装置,该装置可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器调用该存储器中的计算机
程序时,可以实现上述实施例所提供的步骤。当然,该装置还可以包括各种必要的网络接
口、电源以及其它零部件等。图4是其另一种表现形式。
程序时,可以实现上述实施例所提供的步骤。当然,该装置还可以包括各种必要的网络接
口、电源以及其它零部件等。图4是其另一种表现形式。
[0134] 本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U
盘、移动硬盘、只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access
Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
盘、移动硬盘、只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access
Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0135] 说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而
言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明
即可。
言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明
即可。
[0136] 专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和
软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些
功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业
技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应
认为超出本申请的范围。
软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些
功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业
技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应
认为超出本申请的范围。
[0137] 本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,
在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也
落入本申请权利要求的保护范围内。
在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也
落入本申请权利要求的保护范围内。
[0138] 还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作
之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意
在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那
些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者
设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排
除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意
在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那
些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者
设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排
除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。