CN110011982B - 一种基于虚拟化的攻击智能诱骗***与方法 - Google Patents
一种基于虚拟化的攻击智能诱骗***与方法 Download PDFInfo
- Publication number
- CN110011982B CN110011982B CN201910206624.1A CN201910206624A CN110011982B CN 110011982 B CN110011982 B CN 110011982B CN 201910206624 A CN201910206624 A CN 201910206624A CN 110011982 B CN110011982 B CN 110011982B
- Authority
- CN
- China
- Prior art keywords
- attack
- honeypot
- attacker
- honeypots
- special
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Biophysics (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于虚拟化的攻击智能诱骗***,通过在SDN网络中构建两级蜜罐,实现对攻击者的智能诱骗。第一级为侦察蜜罐,提供真实服务,当攻击者对***进行扫描和攻击者时,侦察蜜罐与攻击者进行初步交互得到攻击数据。对初步攻击数据进行分析识别攻击者的攻击目标以及预测攻击者的攻击意图,结合场景知识库,启动相应的第二级蜜罐,即特种蜜罐,并且将攻击流量迁移到特种蜜罐中,使攻击者与其进行深度交互,攻击结束后保存特种蜜罐状态以供后续分析。
Description
技术领域
本发明属于互联网安全技术领域,涉及蜜罐***,具体涉及一种基于虚拟化的攻击智能诱骗***与方法。
背景技术
现有能对攻击者进行很好地欺骗的技术是蜜罐技术,通过布置一些诱饵地主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。蜜罐也可以看作是情报收集***,其故意暴露让人攻击的目标,引诱黑客前来攻击,攻击者入侵后,我们就可以知道他是如何进行攻击的,从而了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
然而传统的蜜罐***主要为硬件服务器部署的方式,这样一方面蜜罐结构很难根据攻击行为进行动态的调整,即无法动态改变诱骗场景,达到智能诱骗的效果,另一方面,大量的物理基础设施用来进行蜜罐***的部署运行,安全防护成本较高。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种基于虚拟化的攻击智能诱骗***与方法,使用轻量级虚拟化工具Docker和云端虚拟主机提供两级蜜罐结构——侦察蜜罐和特种蜜罐。侦察蜜罐与攻击者进行初步交互捕获攻击者的攻击数据,从而识别攻击者的攻击目标,预测其攻击行为。特种蜜罐根据识别结果即时启动,并将攻击者的流量迁移到特种蜜罐中,特种蜜罐与攻击者进行深度交互,并记录下与攻击者的深度交互数据。本发明能够提供丰富的场景来诱骗攻击者,同时能够根据攻击需求进行动态调整,捕获攻击者的攻击行为,挖掘攻击特征,并产生相应的防御策略,从而为现有的***提供保障,具有很高的实用价值。另外,本发明以虚拟化的方式提供蜜罐,可以以少量的资源仿真更多的服务,同时能够根据攻击者的攻击行为进行动态调整蜜罐结构,达到智能诱骗的效果且安全防护成本较低。
为了实现上述目的,本发明采用的技术方案是:
一种基于虚拟化的攻击智能诱骗***,包括:
两级蜜罐结构,包括第一级蜜罐和第二级蜜罐,其中,第一级蜜罐为侦察蜜罐,第二级蜜罐为特种蜜罐;所述侦察蜜罐主要提供每种服务的某一个特定版本,以使攻击者能够初步与蜜罐进行交互,从而捕获并分析攻击流量信息;特种蜜罐相对于侦察蜜罐服务更加全面,更加有针对性,提供特定版本和特定配置的服务,以提供和攻击者的深度交互;
攻击意图识别模块,进行攻击流量捕获和攻击意图识别,先粗筛识别出攻击类型,再细筛识别出攻击者最可能攻击的蜜罐,从而识别出其攻击意图;
蜜罐调度模块,用于调度蜜罐,形成特定的蜜罐,先根据收到的粗筛结果,开启所有在对应端口的服务,即常用版本,再根据收到的细筛结果,开启攻击目标蜜罐服务的所有版本,实现与攻击者的深度交互。
优选地,所述蜜罐是以虚拟化容器技术(例如,Docker容器技术)为基础构建服务形成的,对于每种服务,尽可能收集公众仍在使用的所有版本,并将它们制作为蜜罐;所述蜜罐调度模块基于容器编排技术(例如,kubernetes技术)。
优选地,所述侦察蜜罐和特种蜜罐基于容器和云端虚拟主机,在有限资源的情况下尽量提供丰富种类的真实服务;在一个服务器主机上提供多个蜜罐,每个蜜罐分配公网IP,并设置流量重定向规则以模拟多个主机服务,以有限资源提供尽可能多的网络供攻击者扫描及攻击。
优选地,所述攻击意图识别模块捕获所有进入***的流量,根据进流量的目的端口进行分类,针对于某一个端口的攻击定义为同一类型的攻击,将攻击粗筛为某一特定攻击类型;确定攻击类型之后,进一步捕获攻击者与蜜罐的交互流量,根据攻击者在某个蜜罐上停留的时间,以及攻击请求和回应请求的内容,进一步细筛出攻击者最可能攻击的蜜罐,从而识别出其攻击意图;所述攻击意图识别模块设定间隔时间,每隔一段时间,对在该时间段内的攻击进行特征分析和提取,包括攻击频率、攻击目标和攻击请求特点,补充场景知识库,以提升攻击意图识别效果,并改进蜜罐调度策略;所述蜜罐调度模块通过网络虚拟化技术给蜜罐绑定浮动IP使蜜罐能够被外网攻击者所访问,以达到每个蜜罐都是一个单独主机的效果。
优选地,可根据网上公开的中英文资料库,查找已公布的攻击方式,并进行攻击实验,获取攻击中产生的数据。
所述场景知识库具体包括:
对攻击中产生的数据进行分析,得到攻击类型、攻击目标、攻击数据特征、响应数据特征、目标版本信息、目标镜像名以及上传文件后缀名等在内的特征,并形成攻击特征知识库;
根据实际需求提前得到或自行制作蜜罐元数据,存放于镜像仓库中,形成响应攻击行为库;
攻击特征知识库与响应攻击行为库组合成为场景知识库。
进一步地,***还包括:
蜜罐监控模块,包括监控模块和防火墙模块,监控模块用于对蜜罐状态的监控,以维持蜜罐的高可用状态;对于攻击过程中的蜜罐状态包括内存、网络、文件等进行监控,给攻击意图识别模块提取攻击特征,补充场景知识库;防火墙模块用于防止攻击者将蜜罐作为跳板,危害正常的主机;利用***的防火墙,如linux的iptables,设置一定的规则,让被攻击者攻陷的蜜罐访问正常服务的请求过滤掉;同时监控***的网络情况,对于网络流量很大的情况下,对网络速度及并发会话等情况进行限制;
Web***界面,提供管理员操作界面,包括用户认证、蜜罐状态显示、蜜罐网络管理、蜜罐生命周期管理、***日志监控以及蜜罐镜像管理等功能,以达到对***的全面管理。
本发明还提供了基于所述基于虚拟化的攻击智能诱骗***的攻击智能诱骗方法,包括:
攻击者进行攻击时,侦察蜜罐前期与攻击者进行交互,初步捕获攻击者的攻击数据;
攻击过程中,根据初步捕获到的数据同步识别攻击者的攻击目标并预测攻击行为;
根据攻击行为的识别和预测结果,启动特种蜜罐,将攻击者的攻击流量迁移至特种蜜罐中,使攻击者与特种蜜罐进行深度交互。
优选地,在所述攻击过程中,对侦察蜜罐与攻击者进行初步交互的数据进行攻击类型上的粗筛;调度部分蜜罐之后让攻击者与其进行进一步的交互,然后对捕获到的攻击数据进行进一步的细粒度识别,同时结合场景知识库,判定其攻击目标,选择需要的蜜罐元数据;并在一定时间段内对攻击数据进行汇总分析,提取特征,补充场景知识库,优化蜜罐调度决策。
优选地,所述特种蜜罐以蜜罐元数据为基础启动,并在攻击者的攻击者结束之后,重新保存为元数据,存放至镜像仓库中,以便于后续管理员进行攻击现场的恢复与分析。
与现有技术相比,本发明的有益效果是:
1.结合容器与SDN网络,通过虚拟化的方式以更少的资源提供更多种类的蜜罐。
本***利用轻量级虚拟化容器技术Docker提供真实服务,每个蜜罐启动所需资源极小,同时每个蜜罐有自己的IP和端口,相当于一个虚拟机或者主机。现代蜜罐技术倾向于提供多场景的蜜罐服务,以便诱捕网络中的新型未知攻击。但是这些***的工作机制都是基于“规模部署—被动响应—主动捕获”的方式。尽管这种方式确实提高了捕获的攻击数目与类型,但是,由于资源与规模的限制,这些***提供的蜜罐种类与版本不够丰富,无法满足诱骗新型网络攻击的需求。故而在SDN网络上采用虚拟化Docker容器技术,可以大量定制化构建蜜罐,提高蜜罐的“甜度”。
2.颠覆传统蜜罐结构,“主动式”诱骗攻击者。
本***提供两级蜜罐结构,传统蜜罐一旦部署之后就固定下来了,无法根据实时需求进行更改,侦察蜜罐常驻服务器中,用于和攻击者进行初步交互,从而判断出攻击类型;特种蜜罐基于攻击目标动态生成,以求最大程度上符合攻击者的需求,从而捕获已有或者新型的网络攻击类型;该两级蜜罐结构配合攻击意图识别模块,颠覆了以往被动捕获的模式,主动提供合适的蜜罐,让攻击者进行攻击,使攻击者深陷其中,达到智能诱骗的目的。
附图说明
图1为本发明***整体结构图。
图2为本发明蜜罐调度模块原理图。
图3为本发明蜜罐调度模块物理结构分布图。
图4为本发明攻击意图识别模块流程图。
图5为本发明攻击意图识别模块数据备份功能结构图。
图6为本发明蜜罐监控模块文件监控部分工作原理图。
图7为本发明***最终效果图。
具体实施方式
下面结合附图和实施例详细说明本发明的实施方式。
如图1所示,本***由五个模块组成,分别是多种蜜罐构成的两级蜜罐,攻击意图识别模块,蜜罐调度模块,蜜罐监控模块和Web管理平台。该五个模块以两级蜜罐为中心,最终的操作均是依靠改变蜜罐的状态来实现智能诱骗,而如何改变蜜罐的状态则是通过蜜罐调度模块实现的,这是该***的基本功能,也就是说,本发明的主要功能由两级蜜罐,攻击意图识别模块和蜜罐调度模块即可实现。
具体地:
两级蜜罐,包括第一级蜜罐和第二级蜜罐,以Docker容器技术为基础构建服务形成的,对于每种服务,尽可能收集公众仍在使用的所有版本,并将它们制作为蜜罐。其中,第一级蜜罐为侦察蜜罐,第二级蜜罐为特种蜜罐;侦察蜜罐和特种蜜罐基于容器和云端虚拟主机,在有限资源的情况下尽量提供丰富种类的真实服务。侦察蜜罐主要提供每种服务的某一个特定版本,以使攻击者能够初步与蜜罐进行交互,从而捕获并分析攻击流量信息;特种蜜罐相对于侦察蜜罐服务更加全面,更加有针对性,提供特定版本和特定配置的服务,以提供和攻击者的深度交互。
攻击意图识别模块,进行攻击流量捕获和攻击意图识别,捕获所有进入***的流量,根据进流量的目的端口进行分类,针对于某一个端口的攻击定义为同一类型的攻击,将攻击粗筛为某一特定攻击类型;确定攻击类型之后,进一步捕获攻击者与蜜罐的交互流量,根据攻击者在某个蜜罐上停留的时间,以及攻击请求和回应请求的内容,进一步细筛出攻击者最可能攻击的蜜罐,从而识别出其攻击意图;攻击意图识别模块设定间隔时间,每隔一段时间,对在该时间段内的攻击进行特征分析和提取,包括攻击频率、攻击目标和攻击请求特点,补充场景知识库,以提升攻击意图识别效果,并改进蜜罐调度策略。场景知识库具体包括:对攻击中产生的数据进行分析,得到攻击类型、攻击目标、攻击数据特征、响应数据特征、目标版本信息、目标镜像名以及上传文件后缀名等在内的特征,并形成攻击特征知识库;根据实际需求提前得到或自行制作蜜罐元数据,存放于镜像仓库中,形成响应攻击行为库;攻击特征知识库与响应攻击行为库组合成为场景知识库。
蜜罐调度模块,用于调度蜜罐,形成特定的蜜罐分布结构,基于kubernetes技术,先根据收到的粗筛结果,开启所有在对应端口的服务,即常用版本,再根据收到的细筛结果,开启攻击目标蜜罐服务的所有版本,实现与攻击者的深度交互。同时,通过网络虚拟化技术给蜜罐绑定浮动IP使蜜罐能够被外网攻击者所访问,以达到每个蜜罐都是一个单独主机的效果。
蜜罐监控模块,包括监控模块和防火墙模块,监控模块用于对蜜罐状态的监控,以维持蜜罐的高可用状态;对于攻击过程中的蜜罐状态包括内存、网络、文件等进行监控,给攻击意图识别模块提取攻击特征,补充场景知识库;防火墙模块用于防止攻击者将蜜罐作为跳板,危害正常的主机;利用***防火墙,如linux的iptables,设置一定的规则,让被攻击者攻陷的蜜罐访问正常服务的请求过滤掉;同时监控***的网络情况,对于网络流量很大的情况下,对网络速度及并发会话等情况进行限制;
Web***界面,提供管理员操作界面,包括用户认证、蜜罐状态显示、蜜罐网络管理、蜜罐生命周期管理、***日志监控以及蜜罐镜像管理等功能,以达到对***的全面管理。
本发明可在一个服务器主机上提供多个蜜罐,每个蜜罐分配公网IP,并设置流量重定向规则以模拟多个主机服务,以有限资源提供尽可能多的网络供攻击者扫描及攻击。并可根据网上公开的中英文资料库,查找已公布的攻击方式,并进行攻击实验,获取攻击中产生的数据。
在本发明的一个实施例中,由三个以上主机节点组成蜜罐集群,根据已有的服务制作所需要的蜜罐,并在服务器上搭建一个蜜罐镜像仓库,***中所有蜜罐节点的蜜罐镜像都可以通过该仓库进行下载,当攻击者攻击结束之后,节点会将对应的蜜罐重新制作为镜像,重命名之后上传至蜜罐镜像仓库,后期可对该镜像进行分析,还原攻击现场,提取攻击特征。
蜜罐调度模块提供一个Restful API,将攻击意图识别模块发出的请求,转到相应handler进行处理,每个handler都会根据请求并结合当前的调度策略进行蜜罐调度,如图2为蜜罐调度模块的具体工作原理,集群中以Master节点为中心,管理多个Slave节点,即蜜罐节点。管理员发送请求给API接口,API接口接收指令,调度Master节点对蜜罐状态进行更改。首先启动该蜜罐时会初始化蜜罐数据库,更新所有蜜罐的状态;攻击意图识别模块发送请求过来之后,该模块会生成需要调度的蜜罐总列表,然后查询蜜罐数据库得到当前应当启动的蜜罐列表,并启动对应蜜罐;同时该蜜罐调度模块会联合场景知识库,场景知识库更新时,蜜罐调度策略也会对应更新。蜜罐调度模块还为用户管理该***提供了API接口,当管理员需要手动改变该***的蜜罐状态时,发送请求给该接口,该接口会对蜜罐进行需要的操作。
图3为蜜罐调度模块物理结构分布图,一般蜜罐服务调度模块接口层和调度器都位于Master节点上,蜜罐服务调度模块的执行器都位于蜜罐的Slave节点,实时管理蜜罐的状态。蜜罐监控模块中监控网络部分放置于网关即Network-Slave节点,用于管理蜜罐的网络状态以及监听***的网络流量。
攻击意图识别模块的基本工作流程如图4所示,该模块识别了攻击者的攻击意图,并决定了哪些蜜罐需要被调度。该模块包括流量监控部分和意图识别部分以及攻击数据备份模块,流量监控部分运行于***网关处,监听所有进出***的流量;对于初入***的攻击流量,流量监控部分将攻击事件发送给意图识别部分;意图识别部分根据攻击者攻击的目的端口将攻击粗分为大类,然后将类型发送至蜜罐调度模块;流量监控部分继续监控该攻击者的流量,并将收集到的信息(请求内容,与蜜罐交互时间,请求频率等等)发送给意图识别部分;意图识别部分根据这些信息并结合场景知识库分析,并识别出攻击者最可能的攻击目标,将识别结果发送给蜜罐调度模块。除了实时的意图识别之外,该模块会把攻击数据备份存储起来,如图5攻击意图识别模块的攻击数据备份模块所示,该模块将所有的攻击数据备份在一台服务器上,然后设置一个间隔时间,每到时间之后,意图识别部分将这段时间内所有的攻击数据进行分析,根据日志、流量、文件等信息生成攻击场景,并补充到场景知识库中;同时为管理员提供一个接口,可以对攻击数据存储情况进行一定程度上的管理。
蜜罐监控模块,运行在每个蜜罐节点,主要用于监控蜜罐的日志、文件、网络等***资源,以及对蜜罐进行健康检查,并将监控到的信息显示在Web管理平台;图6显示了蜜罐文件监控原理,采用Inotify机制实现。设置Inotify的监控目录为/var/lib/docker/aufs/diff/,然后设置相应的监控事件,比如IN_CREATE为文件创建操作,IN_DELETE为文件删除操作等等,运行Inotify直到有操作触发Inotify,最后Inotify将这些对文件***的操作行为记录到日志中,供后续分析和用户查看。
除了监控功能,该模块还在网关处设置iptables,过滤所有从蜜罐到本地业务网的请求,防止攻击者将蜜罐作为跳板,攻击正常服务;同时,当检测到蜜罐有疑似被作为跳板的情况,如蜜罐访问***之外非攻击者的IP,向管理员发送信息警告,管理员视情况决定是否要进一步采取措施限制攻击者的行为。
Web管理平台,用于向管理员展示当前***的状态和管理蜜罐。该平台收集各个节点的流量、日志、文件改动、内存占用情况等进行处理之后展示在前端;平台提供管理员操作界面,包含用户认证、蜜罐镜像管理、蜜罐管理等操作;平台在攻击者到来时会发送警告给管理员,并记录下攻击事件和攻击者的行为,展示在平台中;最后平台将提供一个蜜罐防火墙管理界面,管理员和通过该页面实时修改防火墙的规则。
图7为本发明最终效果图,当攻击者对本***进行攻击时,经过网关和交换机到达侦察蜜罐,在***的监控下与侦察蜜罐进行初步交互,在交互过程中,***会对交互流量进行捕获和分析,识别攻击者的攻击目标和预测攻击者的下一步行为。然后***会将攻击者的流量迁移至特种蜜罐,使攻击者与特种蜜罐进行深度交互。
Claims (9)
1.一种基于虚拟化的攻击智能诱骗***,其特征在于,包括:
两级蜜罐结构,包括一级蜜罐和二级蜜罐,所述蜜罐是以Docker容器技术为基础构建服务形成的,对于每种服务,尽可能收集公众仍在使用的所有版本,并将它们制作为蜜罐;其中,第一级蜜罐为侦察蜜罐,第二级蜜罐为特种蜜罐;所述侦察蜜罐主要提供每种服务的某一个特定版本,以使攻击者能够初步与蜜罐进行交互,从而捕获并分析攻击流量信息;特种蜜罐相对于侦察蜜罐服务更加全面,更加有针对性,提供特定版本和特定配置的服务,以提供和攻击者的深度交互;所述侦察蜜罐和特种蜜罐基于容器和云端虚拟主机,在有限资源的情况下尽量提供丰富种类的真实服务;在一个服务器主机上提供多个蜜罐,每个蜜罐分配公网IP,并设置流量重定向规则以模拟多个主机服务,以有限资源提供尽可能多的网络资源供攻击者扫描及攻击;
攻击意图识别模块,进行攻击流量捕获和攻击意图识别,捕获所有进入***的流量,根据进流量的目的端口进行分类,针对于某一个端口的攻击定义为同一类型的攻击,将攻击粗筛为某一特定攻击类型;确定攻击类型之后,进一步捕获攻击者与蜜罐的交互流量,根据攻击者在某个蜜罐上停留的时间,以及攻击请求和回应请求的内容,进一步细筛出攻击者最可能攻击的蜜罐,从而识别出其攻击意图;
蜜罐调度模块,用于调度蜜罐,形成特定的蜜罐分布结构,先根据收到的粗筛结果,开启所述侦察蜜罐提供的每种服务的某一个特定版本,再根据收到的细筛结果,开启攻击目标蜜罐服务中特种蜜罐提供的特定版本,实现与攻击者的深度交互。
2.根据权利要求1所述基于虚拟化的攻击智能诱骗***,其特征在于,所述蜜罐调度模块基于容器编排技术。
3.根据权利要求1所述基于虚拟化的攻击智能诱骗***,其特征在于,所述攻击意图识别模块设定间隔时间,每隔一段时间,对在该时间段内的攻击进行特征分析和提取,包括攻击频率、攻击目标和攻击请求特点,补充场景知识库,以提升攻击意图识别效果,并改进蜜罐调度策略;所述蜜罐调度模块通过网络虚拟化技术给蜜罐绑定浮动IP使蜜罐能够被外网攻击者所访问,以达到每个蜜罐都是一个单独主机的效果。
4.根据权利要求3所述基于虚拟化的攻击智能诱骗***,其特征在于,所述场景知识库具体包括:
对攻击中产生的数据进行分析,得到攻击类型、攻击目标、攻击数据特征、响应数据特征、目标版本信息、目标镜像名以及上传文件后缀名在内的特征,并形成攻击特征知识库;
根据实际需求提前得到或自行制作蜜罐元数据,存放于镜像仓库中,形成响应攻击行为库;
攻击特征知识库与响应攻击行为库组合成为场景知识库。
5.根据权利要求1所述基于虚拟化的攻击智能诱骗***,其特征在于,根据网上公开的中英文资料库,查找已公布的攻击方式,并进行攻击实验,获取攻击中产生的数据。
6.根据权利要求1所述基于虚拟化的攻击智能诱骗***,其特征在于,还包括:
蜜罐监控模块,包括监控模块和防火墙模块,监控模块用于对蜜罐状态的监控,以维持蜜罐的高可用状态;对于攻击过程中的蜜罐状态进行监控,给攻击意图识别模块提取攻击特征,补充场景知识库;防火墙模块用于防止攻击者将蜜罐作为跳板,危害正常的主机;通过***的防火墙设置一定的规则,让被攻击者攻陷的蜜罐访问正常服务的请求过滤掉;同时监控***的网络情况,对于网络流量很大的情况下,对网络速度及并发会话情况进行限制;
Web***界面,提供管理员操作界面,包括用户认证、蜜罐状态显示、蜜罐网络管理、蜜罐生命周期管理、***日志监控以及蜜罐镜像管理功能,以达到对***的全面管理。
7.基于权利要求1所述基于虚拟化的攻击智能诱骗***的攻击智能诱骗方法,其特征在于,包括:
攻击者进行攻击时,侦察蜜罐前期与攻击者进行交互,初步捕获攻击者的攻击数据;
攻击过程中,根据初步捕获到的数据同步识别攻击者的攻击目标并预测攻击行为;
根据攻击行为的识别和预测结果,启动特种蜜罐,将攻击者的攻击流量迁移至特种蜜罐中,使攻击者与特种蜜罐进行深度交互。
8.根据权利要求7所述攻击智能诱骗方法,其特征在于,在所述攻击过程中,对侦察蜜罐与攻击者进行初步交互的数据进行攻击类型上的粗筛;调度部分蜜罐之后让攻击者与其进行进一步的交互,然后对捕获到的攻击数据进行进一步的细粒度识别,同时结合场景知识库,判定其攻击目标,选择需要的蜜罐元数据;并在一定时间段内对攻击数据进行汇总分析,提取特征,补充场景知识库,优化蜜罐调度决策。
9.根据权利要求7所述攻击智能诱骗方法,其特征在于,所述特种蜜罐以蜜罐元数据为基础启动,并在攻击者的攻击者结束之后,重新保存为元数据,存放至镜像仓库中,以便于后续管理员进行攻击现场的恢复与分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206624.1A CN110011982B (zh) | 2019-03-19 | 2019-03-19 | 一种基于虚拟化的攻击智能诱骗***与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910206624.1A CN110011982B (zh) | 2019-03-19 | 2019-03-19 | 一种基于虚拟化的攻击智能诱骗***与方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110011982A CN110011982A (zh) | 2019-07-12 |
| CN110011982B true CN110011982B (zh) | 2020-08-25 |
Family
ID=67167425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910206624.1A Active CN110011982B (zh) | 2019-03-19 | 2019-03-19 | 一种基于虚拟化的攻击智能诱骗***与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110011982B (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及*** |
| CN110798482B (zh) * | 2019-11-11 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的***级蜜罐网络隔离*** |
| CN113132293B (zh) * | 2019-12-30 | 2022-10-04 | ***通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐*** |
| CN111212092B (zh) * | 2020-02-28 | 2022-06-14 | 太仓红码软件技术有限公司 | 一种基于虚拟诱导的网络安全防火墙*** |
| CN111431881B (zh) * | 2020-03-18 | 2020-11-20 | 广州锦行网络科技有限公司 | 一种基于windows操作***的诱捕节点实现方法及装置 |
| CN111526132B (zh) * | 2020-04-08 | 2022-04-29 | 上海沪景信息科技有限公司 | 攻击转移方法、装置、设备及计算机可读存储介质 |
| CN113761520B (zh) * | 2020-06-01 | 2024-04-12 | 中移(苏州)软件技术有限公司 | 一种检测防御方法、服务器和存储介质 |
| CN111783929B (zh) * | 2020-07-06 | 2023-05-05 | 中国科学院信息工程研究所 | 一种基于机器学习的智能Web攻击捕获方法及电子装置 |
| CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN112019545B (zh) * | 2020-08-28 | 2022-08-12 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
| CN112187825B (zh) * | 2020-10-13 | 2022-08-02 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
| CN114531258B (zh) * | 2020-11-05 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114531261A (zh) * | 2020-11-09 | 2022-05-24 | 奇安信科技集团股份有限公司 | 应对网络攻击的信息处理方法、装置、***、介质及程序 |
| CN112363983A (zh) * | 2020-11-10 | 2021-02-12 | 北京思特奇信息技术股份有限公司 | 一种集群主机的文件核查方法和*** |
| CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
| CN114765553B (zh) * | 2021-01-11 | 2024-04-30 | 腾讯科技(深圳)有限公司 | 访问数据的安全管理方法、装置、计算机设备和存储介质 |
| CN112748987B (zh) * | 2021-01-19 | 2021-08-06 | 北京智仁智信安全技术有限公司 | 一种基于虚拟主机的行为安全处理方法及设备 |
| CN113691504B (zh) * | 2021-08-04 | 2022-06-10 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及*** |
| CN113794699B (zh) * | 2021-08-30 | 2022-06-07 | 西安交通大学 | 一种网络分析处理方法 |
| CN113872973B (zh) * | 2021-09-29 | 2023-07-07 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114143096A (zh) * | 2021-12-02 | 2022-03-04 | 北京神州新桥科技有限公司 | 安全策略配置方法、装置、设备、存储介质及程序产品 |
| CN114598512B (zh) * | 2022-02-24 | 2024-02-06 | 烽台科技(北京)有限公司 | 一种基于蜜罐的网络安全保障方法、装置及终端设备 |
| CN114844666B (zh) * | 2022-03-16 | 2023-06-06 | 西安交通大学 | 网络流量分析与重构方法及装置 |
| CN114448731B (zh) * | 2022-04-07 | 2022-08-05 | 广州锦行网络科技有限公司 | 蜜罐部署方法、装置、设备及计算机可读介质 |
| CN114866285B (zh) * | 2022-04-07 | 2023-10-27 | 水利部信息中心 | 一种统一指挥的漏洞全生命周期自动化智能*** |
| CN114866344B (zh) * | 2022-07-05 | 2022-09-27 | 佛山市承林科技有限公司 | 信息***数据安全防护方法、***及云平台 |
| CN114866353B (zh) * | 2022-07-06 | 2022-09-30 | 广州锦行网络科技有限公司 | 高速公路网络的攻击者诱捕方法、装置以及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561004B (zh) * | 2013-10-22 | 2016-10-12 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署*** |
| US9794287B1 (en) * | 2016-10-31 | 2017-10-17 | International Business Machines Corporation | Implementing cloud based malware container protection |
| CN109257326B (zh) * | 2017-07-14 | 2021-05-04 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及*** |
-
2019
- 2019-03-19 CN CN201910206624.1A patent/CN110011982B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
Non-Patent Citations (1)
| Title |
|---|
| 网络欺骗技术综述;贾召鹏;《通信学报》;20171231;第38卷(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110011982A (zh) | 2019-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011982B (zh) | 一种基于虚拟化的攻击智能诱骗***与方法 | |
| CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
| CN112738128B (zh) | 一种新型蜜罐组网方法及蜜罐*** | |
| CN114257386B (zh) | 检测模型的训练方法、***、设备及存储介质 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
| CN109462599B (zh) | 一种蜜罐管理*** | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御*** | |
| CN110677438A (zh) | 一种攻击链构建方法、装置、设备、介质 | |
| CN112134857A (zh) | 一种蜜罐***多个节点绑定一个蜜罐的方法 | |
| CN113328992A (zh) | 一种基于流量分析的动态蜜网*** | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 | |
| CN113098906B (zh) | 微蜜罐在现代家庭中的应用方法 | |
| CN114157498B (zh) | 一种基于人工智能的web高交互蜜罐***及防攻击方法 | |
| CN107454068B (zh) | 一种结合免疫危险理论的蜜网安全态势感知方法 | |
| CN115134166B (zh) | 一种基于蜜洞的攻击溯源方法 | |
| Nijim et al. | FastDetict: A data mining engine for predecting and preventing DDoS attacks | |
| Rutherford et al. | Using an improved cybersecurity kill chain to develop an improved honey community | |
| CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
| CN115587357A (zh) | 一种基于大数据的威胁场景分析方法及*** | |
| CN112134833B (zh) | 一种虚实融合的流欺骗防御方法 | |
| CN113792076A (zh) | 一种数据审计*** | |
| KR101224994B1 (ko) | 봇넷 탐지 정보의 분석 시스템 및 방법 | |
| Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
| CN114666128B (zh) | 蜜罐威胁情报共享方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |