[發(fā)明專利]一種防逃逸的攻擊行為欺騙蜜罐構建方法在審
| 申請?zhí)枺?/td> | 202210548403.4 | 申請日: | 2022-05-20 |
| 公開(公告)號: | CN114861168A | 公開(公告)日: | 2022-08-05 |
| 發(fā)明(設計)人: | 黃龍飛;劉可漁 | 申請(專利權)人: | 上海磐御網絡科技有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F9/445;G06F9/48 |
| 代理公司: | 北京中政聯科專利代理事務所(普通合伙) 11489 | 代理人: | 秦佩 |
| 地址: | 201400 上海*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 逃逸 攻擊行為 欺騙 蜜罐 構建 方法 | ||
1.一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,方法如下:
S1、建立管理平臺;通過管理平臺創(chuàng)建不同功能的蜜罐容器,并在系統(tǒng)環(huán)境中布置多個誘捕節(jié)點;
S2、蜜罐容器對誘捕節(jié)點進行一一隔離,蜜罐容器內布置守護進程;
S3、將蜜罐一一部署在蜜罐容器內,與誘捕節(jié)點以及守護進程進行綁定;運行蜜罐、蜜罐容器以及系統(tǒng);
S4、當守護進程發(fā)現系統(tǒng)執(zhí)行的工作進程被停止或啟動了不明進程時,蜜罐容器自動關閉;當安裝、配置合法程序或啟動任一程序時,守護進程進行校驗;
S5、校驗成功,程序正常啟動;校驗失敗,程序被寫入報警日志,并被鎖定在蜜罐容器中。
2.根據權利要求1所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,管理平臺包括鏡像模塊、蜜罐容器、鏡像倉庫、守護模塊、控制模塊和校驗模塊。
3.根據權利要求2所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,鏡像模塊除了提供蜜罐容器運行時所需的程序、庫、資源、配置文件外,還包含為蜜罐容器運行時準備的配置參數。
4.根據權利要求2所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,蜜罐容器上設置有數據接口;數據接口設置有檢測單元和截斷單元;守護進程連接檢測單元和截斷單元。
5.根據權利要求2所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,校驗模塊包括數據采集單元、白名單存儲庫、校驗單元和反饋單元,用于提前采集用戶行為數據,建立白名單,并將系統(tǒng)中的進程與白名單對比,判斷是否為允許的工作進程。
6.根據權利要求5所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,采集單元對正常行為數據和異常行為數據進行收集,分別提取上述數據包的特征值序列,并分類存儲;白名單為正常行為數據的特征值序列合集。
7.根據權利要求6所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,守護進程進行校驗會對當前執(zhí)行的進程進行白名單校驗,只有在白名單內的程序可以啟動。
8.根據權利要求7所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,白名單校驗方法為:需要當前執(zhí)行的進程特征值序列與預先存儲的正常行為數據的特征值序列合集匹配,判斷為校驗合格。
9.根據權利要求1所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,安裝、配置合法程序或啟動任一程序時,守護進程采用sha256對宿主文件進行校驗,需要輸入Hash函數之前的數據和通過Hash函數處理過后得到的編號必須一一對應;需要每一個編號的長度都是固定的;且無法通過編號倒推出數據的內容。
10.根據權利要求1所述的一種防逃逸的攻擊行為欺騙蜜罐構建方法,其特征在于,守護進程同時會校驗其它程序的啟動代碼參數,該啟動參數由系統(tǒng)隨機生成且固定,若攻擊者通過代碼溢出的程序啟動該通信程序,因為不知道啟動代碼參數,所以也無法正常啟動,同時蜜罐寫入報警日志。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海磐御網絡科技有限公司,未經上海磐御網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210548403.4/1.html,轉載請聲明來源鉆瓜專利網。
