一种基于Agentless技术的终端诱饵投放监控及阻断威胁的方法与流程

一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法
技术领域
1.本发明涉及信息安全技术领域,更具体的说是涉及一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法。


背景技术：

2.随着信息技术的发展，软件复杂度不断增加，系统漏洞、应用软件漏洞也随着增多，黑客针对主机、终端的apt攻击频发，安全威胁高速演进，为高效准确发现并阻断阻断攻击，终端安全防护技术方法也需不断跟进。
3.传统终端防御系统采取在终端系统中安装agent，使用特征码匹配及基于行为判断的方式对终端进行防护。由于agent的存在，占用系统资源，影响用户使用，且易于被攻击者或恶意程序发现，特别是物联网(iot)终端设备系统资源有限不具备装agent条件，因此采用agentless监控方法是一种最佳选择。基于特征码扫描匹配的检测方式无法对未知恶意程序进行识别，基于行为的判断有一定的误报率，通过部署诱饵来进行威胁检测是一种很好的补充。
4.因此，如何提供一种，而且的一种智能家居系统是本领域技术人员亟需解决的问题。


技术实现要素：

5.有鉴于此，本发明提供了一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法。
6.为实现上述目的，本发明提供如下技术方案，包括如下步骤：
7.步骤1：建立服务器与携带有虚拟资源的终端互相连接的监控信息通道；
8.步骤2：采集本地端的诱饵资源数据；
9.步骤3：构建诱饵系统，采集外部请求进入的参数，并对触发诱饵系统的请求进行分类；
10.步骤4：针对分类的请求参数，判断是否具有危险，并对具有威胁的请求，通过报警的方式通知管理员，同时该ip终端收到威胁上传至服务器的各个节点，并切断其所请求的ip通讯连接。
11.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述诱饵资源数据包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。
12.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述构建诱饵系统为通过利用agent less主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统，进而模拟携带有虚拟资源的终端的网络拓扑结构。
13.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法
中，所述虚拟的数据库系统当监控到某个ip点试图进入虚拟的数据库系统时，对该数据请求进行分类，并传至服务器，触发警告命令，对该数据请求下发阻断命令。
14.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述agent less主节通过标准的协议应用于主机上。这些包括主机使用等，以及应用使用的等。
15.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述协议包括的snmp、telnet、ssh、wmi、jmx、jdbc、odbc其中一种或几种的组合。
16.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述服务器中还设有记录模块，便于存储具有威胁的ip，便于后续使用中快速识别和跟踪监控。
17.优选的，在上述一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法中，所述记录模块为数据库，可将监控对象服务器中提取的所有指标均存储在监控数据库中。
18.经由上述的技术方案可知，与现有技术相比，本发明公开提供了一种基于agent less技术的终端诱饵投放监控及阻断威胁的方法，本发明通过使用agent less技术在终端投放与终端业务高匹配的仿真诱饵，不占用系统资源，利用终端系统原生系统程序以用户无感知的方式对诱饵进行监控，当终端诱饵被触碰后，自动上报威胁行为，自动阻断威胁行为，达到保护终端安全的目的。
附图说明
19.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
20.图1为本发明的工作原理逻辑示意图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.请参阅附图1，为本发明公开的一种基于agentless技术的终端诱饵投放、监控及阻断威胁的方法。
23.本发明，包括如下步骤：
24.步骤1：建立服务器与携带有虚拟资源的终端互相连接的监控信息通道；
25.步骤2：采集本地端的诱饵资源数据；
26.步骤3：构建诱饵系统，采集外部请求进入的参数，并对触发诱饵系统的请求进行分类；
27.步骤4：针对分类的请求参数，判断是否具有危险，并对具有威胁的请求，通过报警
的方式通知管理员，同时该ip终端收到威胁上传至服务器的各个节点，并切断其所请求的ip通讯连接。
28.为了进一步优化上述技术方案，诱饵资源数据包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。
29.为了进一步优化上述技术方案，构建诱饵系统为通过利用agent less主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统，进而模拟携带有虚拟资源的终端的网络拓扑结构。
30.为了进一步优化上述技术方案，虚拟的数据库系统当监控到某个ip点试图进入虚拟的数据库系统时，对该数据请求进行分类，并传至服务器，触发警告命令，对该数据请求下发阻断命令。
31.为了进一步优化上述技术方案，agent less主节通过标准的协议应用于主机上。这些包括主机使用等，以及应用使用的等。
32.为了进一步优化上述技术方案，协议包括的snmp、telnet、ssh、wmi、jmx、jdbc、odbc其中一种或几种的组合。
33.为了进一步优化上述技术方案，所述服务器中还设有记录模块，便于存储具有威胁的ip，便于后续使用中快速识别和跟踪监控。
34.为了进一步优化上述技术方案，记录模块为数据库，可将监控对象服务器中提取的所有指标均存储在监控数据库中。
35.为了进一步优化上述技术方案，列举下属实施例进行举证：
36.通过三台本地虚机还原监控对象：一台为携带有虚拟资源的终端，另两台为可接入监控服务的服务器。
37.使用java管理开发环境，执行c语言命令，通过平台开启并配置监控服务器，即通过snmp、telnet、ssh、wmi、jmx、jdbc、odbc协议进行协调配置，服务器植入监控后设置核验密钥。
38.监控服务器配置完成后，创建数据库，同时虚拟资源的终端开始采集来自服务器的用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据，构建虚拟网络拓扑结构，而监控服务器实时跟踪和监控用户的指令请求，并对指令请求进行分析和分类；
39.当检测到具有威胁的用户指令请求时，携带有虚拟资源的终端传至服务器并对当前用户的ip进行记录和储存，同时关闭该用户中所用的端口。
40.服务器中还设有采集模块和显示模块，所述采集模块根据各个协议来采集携带有虚拟资源的终端以及服务器中各项指标数据，已达到实时监控、储存和采集的效果。
41.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
42.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明
将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征：
1.一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，包括如下步骤：步骤1：建立服务器与携带有虚拟资源的终端互相连接的监控信息通道；步骤2：采集本地端的诱饵资源数据；步骤3：构建诱饵系统，采集外部请求进入的参数，并对触发诱饵系统的请求进行分类；步骤4：针对分类的请求参数，判断是否具有危险，并对具有威胁的请求，通过报警的方式通知管理员，同时该ip终端收到威胁上传至服务器的各个节点，并切断其所请求的ip通讯连接。2.根据权利要求1所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述诱饵资源数据包括：用户行为数据、应用使用数据、网络环境数据、登录凭据数据、文件数据和流量数据。3.根据权利要求1所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述构建诱饵系统为通过利用agentless主节技术同时结合诱饵资源数据构建一个虚拟的数据库系统，进而模拟携带有虚拟资源的终端的网络拓扑结构。4.根据权利要求3所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述虚拟的数据库系统当监控到某个ip点试图进入虚拟的数据库系统时，对该数据请求进行分类，并传至服务器，触发警告命令，对该数据请求下发阻断命令。5.根据权利要求3所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述agentless主节通过标准的协议应用于主机上，这些包括主机使用等，以及应用使用的等。6.根据权利要求5所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述协议包括的snmp、telnet、ssh、wmi、jmx、jdbc、odbc其中一种或几种的组合。7.根据权利要求4所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述服务器中还设有记录模块，便于存储具有威胁的ip，便于后续使用中快速识别和跟踪监控。8.根据权利要求7所述的一种基于agentless技术的终端诱饵投放监控及阻断威胁的方法，其特征在于，所述记录模块为数据库，可将监控对象服务器中提取的所有指标均存储在监控数据库中。

技术总结
本发明公开了一种基于Agentless技术的终端诱饵投放、监控及阻断威胁的方法，通过建立服务器与携带有虚拟资源的终端互相连接的监控信息通道，继而采集本地端的诱饵资源数据，继而构建诱饵系统，采集外部请求进入的参数，并对触发诱饵系统的请求进行分类，针对分类的请求参数，判断是否具有危险，并对具有威胁的请求，通过报警的方式通知管理员，同时该IP终端收到威胁上传至服务器的各个节点，并切断其所请求的IP通讯连接。本发明通过使用Agentless技术在终端投放与终端业务高匹配的仿真诱饵，不占用系统资源，利用终端系统原生系统程序以用户无感知的方式对诱饵进行监控，当终端诱饵被触碰后，自动上报威胁行为，自动阻断威胁行为，达到保护终端安全的目的。达到保护终端安全的目的。


技术研发人员：石永栓 任俊博
受保护的技术使用者：北京元支点信息安全技术有限公司
技术研发日：2023.04.10
技术公布日：2023/7/7