CN107547546B - 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** - Google Patents
基于卡片电脑的轻量级高交互蜜网数据传输方法、*** Download PDFInfo
- Publication number
- CN107547546B CN107547546B CN201710792134.5A CN201710792134A CN107547546B CN 107547546 B CN107547546 B CN 107547546B CN 201710792134 A CN201710792134 A CN 201710792134A CN 107547546 B CN107547546 B CN 107547546B
- Authority
- CN
- China
- Prior art keywords
- card
- intrusion behavior
- computer
- card computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于卡片电脑的轻量级高交互蜜网数据传输方法、***,***由若干卡片电脑组成,在卡片电脑上连接有无线网卡,卡片电脑通过无线网卡组建WiFi网络;在所述WiFi网络中接入若干靶机,每一靶机设置不同的安全漏洞,用于伪装成入侵者,攻击卡片电脑;为每一卡片电脑烧录制作***镜像,且每一卡片电脑的***均包含高交互监测模块,卡片电脑通过与具有不同操作***的靶机进行交互,发现并分析入侵行为。
Description
技术领域
本发明涉及一种基于卡片电脑的轻量级高交互蜜网数据传输方法、***。
背景技术
随着WiFi技术快速发展和应用,无线网络极大地方便了人们的工作和生活需求,提高了社会工作效率。然而,对于普通用户来讲,由于缺乏安全防护意识和措施,且无线传输媒介的广播性,WiFi用户经常受到假冒用户的欺诈,甚至遭受恶意攻击。另一方面,WiFi等无线互联技术的发展给企业用户带来了前所未有的便利,企业用户不仅可以为内部员工提供无线网络服务,也可以给其他客户、游客等提供无线网络服务。然而内网访问权限混乱、访问边界划分混乱的企业,面临着巨大的安全风险。虽然大部分企业都有着各自的防护措施,但是薄弱的防护措施失效后造成的损失是企业无法承受的。
蜜罐是用于攻击检测、分析和研究的安全技术,通过部署严格监控的安全环境,可以有效地捕获未知的攻击方式和方法,有着极为优越的性能。相较于传统工具的被动防御,蜜罐的最大的特点是能够主动地检测和响应网络入侵和攻击,针对攻击者的行为模式进行分析。而相较于简单的发现攻击行为的低交互蜜罐,高交互的蜜网可以极大程度地逼真模拟真实环境,有效迷惑攻击者和粘制攻击者。
在无线安全领域,目前关于高交互无线蜜网的部署和设计方案几乎是空白,相关产品人员并不清楚应该选择怎样的设备作为核心设备,怎样去部署设备能更有效地捕获攻击者的行为特征,目前已有的相关发明仅能提供一种低交互蜜罐的设计方案,只能够发现攻击行为,但攻击者攻破无线***后,能够轻易发现进入了蜜罐***,且数据和日志报文处理能力薄弱,因此不能满足当前需求。
发明内容
针对现有技术中存在的不足,本发明提供基于卡片电脑的轻量级高交互WIFI蜜网***,通过快速部署高交互的蜜网***,及时捕获入侵者的攻击手段和攻击模式。
本发明的技术方案为:
一种基于卡片电脑的轻量级高交互WIFI蜜网***,包括:
若干卡片电脑,在卡片电脑上连接有无线网卡,所述卡片电脑通过无线网卡组建WiFi网络;在所述WiFi网络中接入若干靶机,每一靶机设置不同的安全漏洞,用于伪装成入侵者,攻击卡片电脑;
为每一卡片电脑烧录制作***镜像,且每一卡片电脑的***均包含高交互监测模块,卡片电脑通过与具有不同操作***的靶机进行交互,发现并分析入侵行为。
进一步的,所述高交互监测模块至少包括:
流量监控模块,用于监控所有流经WiFi网络内部的流量;
靶机交互模块,用于使得接入WiFi网络的若干靶机与卡片电脑进行通信;
攻击检测模块,用于定时检测入侵行为,提取入侵行为的特征;
匹配模块,用于将被检测的入侵行为特征与已知的入侵行为样本进行匹配映射,根据匹配映射结果确定是否为不明入侵。
可疑流量存储模块,用于将流量监控模块中的突变流量数据进行单独提取存储;
流量清空模块,用于定时清空流量监控模块与可疑流量存储模块。
进一步的,所述卡片电脑的数量大于或等于靶机数量。
进一步的,所述靶机至少同时包括IOS***型移动终端、Android***型移动终端和Windows***型移动终端。
进一步的,所述高交互监测模块还包括一无线网卡监听模块,用于获取不经过无线接入点的攻击行为,为蜜网捕获的数据作有效补充。
本发明还提供了一种轻量级高交互蜜网数据传输方法,包括:
采用卡片电脑、无线网卡组件WiFi网络,在WiFi网络中接入若干靶机,靶机与所述卡片电脑进行通信,通信内容至少包括:发起Wed请求、开启邮件服务、即时通信、SSH连接;
卡片电脑中的高交互监测模块存储所有流经WiFi网络内部的流量,检测WiFi网络是否遭受不明入侵,若发现入侵行为,将该入侵行为作为样本录入数据库,用于分析,并重新烧录镜像;若没有发生入侵行为,则清空数据库,时刻保持存储空间的盈余。
进一步的,分析所述流经WiFi网络内部的流量,当流量产生突变时,标记此时入侵行为;对该入侵行为进行定时检测,提取入侵行为的特征,采用匹配映射算法生成该入侵行为的映射结果,根据映射结果判断该入侵行为是否为不明入侵。
进一步的,开启无线网卡的监听模式,无线网卡的监听模式无需与无线接入点连接,用于获取不经过无线接入点的攻击行为,为蜜网捕获的数据作有效补充。
进一步的,用于获取不经过无线接入点的攻击行为采用Aircrack-ng技术或破解无线攻击方法。
进一步的,对所述通信内容进行分布式加密存储,采用对称加密算法对所述通信内容进行加密。
本发明的有益效果:
(1)本发明所提出的蜜网搭建方法,价格低廉,便于大范围部署,同时烧录镜像安装和还原极方便快捷,同时能够实现快速部署。同时,该发明方法的数据包存储和处理以分布式为特征,充分发挥微型卡片电脑的存储和处理能力,仅上报和存储可疑攻击数据,不占用网络带宽使用,且部署方便,可充分体现轻量级优势。
(2)本发明提出的架构可以捕获附近无论是路由节点内的还是无线网络外的所有的相关数据包,可以发现入侵者对智能设备的全部攻击操作。因为无线网络与有线网络不同,部分入侵方式根本不需要连入WiFi网络,不会在网络内部有流量数据,而其他相似无线蜜罐仅仅能捕获在网络内的流量变化,无法捕获无线网络外的攻击手段。
(3)相较于简单的发现攻击行为的低交互无线蜜罐,入侵者极易发现该网络无交互情况,可以判断已进入蜜罐***,入侵者便会清理自己的入侵痕迹并停止攻击行为。而高交互的蜜网设计一般较为复杂,但是本发明极大地降低了高交互蜜网的部署难度,可以极大程度地逼真模拟真实环境,有效迷惑攻击者和粘制攻击者,捕获攻击样本。
附图说明
图1为本发明的基于卡片电脑的轻量级高交互WIFI蜜网***原理图
具体实施方式:
下面结合附图与实施例对本发明作进一步说明:
应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
本发明的一种典型实施例是基于卡片电脑的轻量级高交互WIFI蜜网***,如图1所示,为了分析入侵行为,我们首先搭建蜜网***,也就是交互伪装层,包包括若干微型卡片电脑、若干伪装成用户的靶机、若干无线网卡;无线网卡插接在卡片电脑上,可开启监听模式或搭建无线AP,形成WiFi网络。
微型卡片电脑与无线网卡作为无线AP,共同搭建WiFi网络,提供整个区域的网络覆盖,靶机可连入该无线网络,并实现模拟通信。
微型卡片电脑中有高交互监测模块,用于与靶机设备进行交互,它又包括流量监控模块,用于监控所有流经WiFi网络内部的流量;包括本地流量监听和无线流量监听;
靶机交互模块,用于使得接入WiFi网络的若干靶机与卡片电脑进行通信,提供靶机网络服务;
同时卡片电脑还包括各层级路由器,用于提供卡片电脑的网络服务,且存储流量的流量。
在数据分析层,卡片电脑具有攻击检测模块,用于定时检测入侵行为,提取入侵行为的特征;攻击检测模块采用人工分析结合自动检测的方法,自动检测侧泳匹配模块,将被检测的入侵行为特征与已知的入侵行为样本进行匹配映射,根据匹配映射结果确定是否为不明入侵,获得是否接入异常的检测。
人工分析是采用人工方法对入侵行为进行分析,以及流量的判断。
另外高交互监测模块还具有可疑流量存储模块,用于将流量监控模块中的突变流量数据进行单独提取存储;流量清空模块,用于定时清空流量监控模块与可疑流量存储模块;无线网卡监听模块,用于获取不经过无线接入点的攻击行为,为蜜网捕获的数据作有效补充。
我们再回到交互伪装层上,实验中靶机有数种类型的***,且每种***中应该有可同微型卡片电脑通信的各类基础服务模块;且靶机中有事先部署好的安全漏洞。
在本实施例中选用若干树莓派卡片电脑搭建轻量级高交互蜜网,其中mac OS***手机和不同版本的Android手机作为靶机,具体步骤见下:
(一)轻量级高交互蜜网快速部署;
(1)为树莓派微型电脑(5台)烧录配置好镜像***文件,镜像***文件中包含:WiFi热点搭建模块、WiFi监听模块、靶机交互模块、攻击检测模块、匹配模块、可疑流量存储模块和流量清空模块;
(2)启动WiFi热点搭建模块,树莓派微型电脑调用无线网卡,搭建WiFi网络,提供基础的WiFi网络服务;
(3)树莓派微型电脑存储所有流经内部的流量;
(4)将不同***(每种***各3台)的靶机连入搭建的蜜网,并启动基础服务,同树莓派中靶机交互模块实现交互,实现交互的方法包含但不限于:定时发起Web请求、开启邮件服务、即时通信软件、SSH连接等;
步骤(二)发现入侵行为;
(5)树莓派微型电脑中启动攻击检测模块,检测WiFi网络是否遭受不明入侵,检测攻击的方法包括但不限于:流量分析、特征检测、陌生设备连接等;
(6)开启微型卡片电脑中的无线监听网卡,监听空气中传输的全部数据包,分析不经过无线AP的攻击行为和方法,为蜜网捕获的数据作有效的补充,监听无线网络的方法包括但不限于:Aircrack-ng捕获空气中的无线数据包,匹配无线攻击工具方法;
步骤(三)针对入侵行为的响应;
(7)采用分布式加密存储技术,对流经本地树莓派微型电脑的数据包和通过无线网卡监听捕获的未连接WiFi的数据包进行加密存储,加密的方法包括但不限于:文件隐藏技术、文件加密技术、对称加密算法等,存储技术包括但不限于:上传云端存储,本地存储等;
(8)入侵者结束入侵后,重新烧录镜像,防止入侵者留有后门。
(9)将入侵行为样本录入数据库,供安全人员和科研人员分析。
(10)若未发生入侵,则定时清空所有数据包,防止存储空间被占满。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
本发明所提出的蜜网数据传输方法基于边际的蜜网组建方案,价格低廉,便于大范围部署,同时烧录镜像安装和还原极方便快捷,同时能够实现快速部署。同时,该发明方法的数据包存储和处理以分布式为特征,充分发挥微型卡片电脑的存储和处理能力,仅上报和存储可疑攻击数据,不占用网络带宽使用,且部署方便,可充分体现轻量级优势。
另一方面,发明提出的架构可以捕获附近无论是路由节点内的还是无线网络外的所有的相关数据包,较于简单的发现攻击行为的低交互无线蜜罐,入侵者极易发现该网络无交互情况,可以判断已进入蜜罐***,入侵者便会清理自己的入侵痕迹并停止攻击行为。而高交互的蜜网设计一般较为复杂,但是本发明极大地降低了高交互蜜网的部署难度,可以极大程度地逼真模拟真实环境,有效迷惑攻击者和粘制攻击者,捕获攻击样本。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (7)
1.一种基于卡片电脑的轻量级高交互WiFi蜜网***,其特征在于,包括:
若干卡片电脑,在卡片电脑上连接有无线网卡,所述卡片电脑通过无线网卡组建WiFi网络;在所述WiFi网络中接入若干靶机,每一靶机设置不同的安全漏洞,用于伪装成入侵者,攻击卡片电脑;
为每一卡片电脑烧录制作***镜像,且每一卡片电脑的***均包含高交互监测模块,卡片电脑通过与具有不同操作***的靶机进行交互,发现并分析入侵行为,入侵者结束入侵后,重新烧录镜像,防止入侵者留有后门;
所述高交互监测模块至少包括:
流量监控模块,用于监控所有流经WiFi网络内部的流量;
靶机交互模块,用于使得接入WiFi网络的若干靶机与卡片电脑进行通信;
攻击检测模块,用于定时检测入侵行为,提取入侵行为的特征;
匹配模块,用于将被检测的入侵行为特征与已知的入侵行为样本进行匹配映射,根据匹配映射结果确定是否为不明入侵;
可疑流量存储模块,用于将流量监控模块中的突变流量数据进行单独提取存储;
流量清空模块,用于定时清空流量监控模块与可疑流量存储模块;
所述高交互监测模块还包括一无线网卡监听模块,用于获取不经过无线接入点的攻击行为,为蜜网捕获的数据作有效补充。
2.根据权利要求1所述的***,其特征在于,所述卡片电脑的数量大于或等于靶机数量。
3.根据权利要求1所述的***,其特征在于,所述靶机至少同时包括IOS***型移动终端、Android***型移动终端和Windows***型移动终端。
4.一种基于权利要求1的轻量级高交互蜜网数据传输方法,其特征在于,包括:
采用卡片电脑、无线网卡组件WiFi网络,在WiFi网络中接入若干靶机,靶机与所述卡片电脑进行通信,通信内容至少包括:发起Wed请求、开启邮件服务、即时通信、SSH连接;
卡片电脑中的高交互监测模块存储所有流经WiFi网络内部的流量,检测WiFi网络是否遭受不明入侵,若发现入侵行为,将该入侵行为作为样本录入数据库,用于分析,并重新烧录镜像;若没有发生入侵行为,则清空数据库,时刻保持存储空间的盈余;
开启无线网卡的监听模式,无线网卡的监听模式无需与无线接入点连接,用于获取不经过无线接入点的攻击行为,为蜜网捕获的数据作有效补充。
5.根据权利要求4所述的方法,其特征在于,分析所述流经WiFi网络内部的流量,当流量产生突变时,标记此时入侵行为;对该入侵行为进行定时检测,提取入侵行为的特征,采用匹配映射算法生成该入侵行为的映射结果,根据映射结果判断该入侵行为是否为不明入侵。
6.根据权利要求4所述的方法,其特征在于,用于获取不经过无线接入点的攻击行为采用Aircrack-ng技术或破解无线攻击方法。
7.根据权利要求4所述的方法,其特征在于,对所述通信内容进行分布式加密存储,采用对称加密算法对所述通信内容进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710792134.5A CN107547546B (zh) | 2017-09-05 | 2017-09-05 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710792134.5A CN107547546B (zh) | 2017-09-05 | 2017-09-05 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547546A CN107547546A (zh) | 2018-01-05 |
| CN107547546B true CN107547546B (zh) | 2019-11-12 |
Family
ID=60958190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710792134.5A Active CN107547546B (zh) | 2017-09-05 | 2017-09-05 | 基于卡片电脑的轻量级高交互蜜网数据传输方法、*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547546B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112447076A (zh) * | 2020-11-05 | 2021-03-05 | 贵州数安汇大数据产业发展有限公司 | 一种风险可控的实网攻防演练*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
-
2017
- 2017-09-05 CN CN201710792134.5A patent/CN107547546B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御*** |
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| CN104410617A (zh) * | 2014-11-21 | 2015-03-11 | 西安邮电大学 | 一种云平台的信息安全攻防体系架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547546A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| CN106534195B (zh) | 一种基于攻击图的网络攻击者行为分析方法 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和*** | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| CN106657025A (zh) | 网络攻击行为检测方法及装置 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及*** | |
| CN107070929A (zh) | 一种工控网络蜜罐*** | |
| CN103297433B (zh) | 基于网络数据流的http僵尸网络检测方法及*** | |
| CN108289088A (zh) | 基于业务模型的异常流量检测***及方法 | |
| CN106131023A (zh) | 一种信息安全风险强力识别*** | |
| CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
| CN106034056A (zh) | 一种业务安全分析的方法和*** | |
| CN102594620A (zh) | 一种基于行为描述的可联动分布式网络入侵检测方法 | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、***、介质和设备 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及*** | |
| CN105049232B (zh) | 网络信息日志审计*** | |
| CN106685984A (zh) | 一种基于数据包捕获技术的网络威胁分析***及方法 | |
| KR101991737B1 (ko) | 공격자 가시화 방법 및 장치 | |
| CN107911244A (zh) | 一种云网结合的多用户蜜罐终端***及其实现方法 | |
| CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其*** | |
| CN104009870A (zh) | Wlan无线入侵告警聚合方法 | |
| CN108833425A (zh) | 一种基于大数据的网络安全***及方法 | |
| CN115134166B (zh) | 一种基于蜜洞的攻击溯源方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |