CN110990115A - 针对蜜罐的容器化部署管理***及其方法 - Google Patents

针对蜜罐的容器化部署管理***及其方法 Download PDF

Info

Publication number
CN110990115A
CN110990115A CN201911145134.1A CN201911145134A CN110990115A CN 110990115 A CN110990115 A CN 110990115A CN 201911145134 A CN201911145134 A CN 201911145134A CN 110990115 A CN110990115 A CN 110990115A
Authority
CN
China
Prior art keywords
service module
honeypot
probe
container
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201911145134.1A
Other languages
English (en)
Inventor
傅涛
邓勇
郑轶
王力
王路路
杨正合
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bozhi Safety Technology Co Ltd
Original Assignee
Bozhi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bozhi Safety Technology Co Ltd filed Critical Bozhi Safety Technology Co Ltd
Priority to CN201911145134.1A priority Critical patent/CN110990115A/zh
Publication of CN110990115A publication Critical patent/CN110990115A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • G06F9/4451User profiles; Roaming
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Programmable Controllers (AREA)

Abstract

一种针对蜜罐的容器化部署管理***及其方法,包括对蜜罐***进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子***。结合其它结构或方法有效避免了现有技术中将蜜罐***直接部署到host机中而使得攻击方采用大流量攻击蜜罐***会导致整个主机无法使用、导致部署的其它蜜罐探针也无法使用的缺陷。

Description

针对蜜罐的容器化部署管理***及其方法
技术领域
本发明涉及计算机信息技术领域,具体涉及一种针对蜜罐的容器化部署管理***及其方法,尤其涉及一种应用于蜜罐管理的docker容器管理技术、CPU、内存、带宽等主机物理资源限制方法。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。
目前蜜罐***底层大多数是采用C、C++编写的库,如果将蜜罐***直接部署到host机中,攻击方采用大流量攻击蜜罐***会导致整个主机无法使用,从而导致部署的其它蜜罐探针也无法使用,即单个蜜罐探针被攻击失效后拖累了其它正常运行的蜜罐探针。
发明内容
为解决上述问题,本发明提供了一种针对蜜罐的容器化部署管理***及其方法,有效避免了现有技术中将蜜罐***直接部署到host机中而使得攻击方采用大流量攻击蜜罐***会导致整个主机无法使用、导致部署的其它蜜罐探针也无法使用的缺陷。
为了克服现有技术中的不足,本发明提供了一种针对蜜罐的容器化部署管理***及其方法的解决方案,具体如下:
一种针对蜜罐的容器化部署管理***,包括对蜜罐***进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。
所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子***。
所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个***响应变慢。
所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用。
所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作。
所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐***部署后的效果。
所述针对蜜罐的容器化部署管理***的方法,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击;
步骤4:输入蜜罐探针需要的资源参数,验证程序会验证资源参数的合法性;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对***资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
本发明的有益效果为:
本发明针对蜜罐的容器化部署管理***及其方法用于替代探针直接部署到host层上。采用容器化的方法动态地部署指定协议的探针,并根据协议的被攻击频次多少来分配CPU、内存、带宽值,让探针运行在合理的物理资源需求范围内,具体有益效果如下:
1.动态调整蜜罐探针对物理资源的需求。
2.对主机资源(CPU、内存、带宽等)进行了保护。
3.蜜罐探针具有可移植性。
附图说明
图1为本发明的针对蜜罐的容器化部署管理***的方法的流程图。
具体实施方式
目前蜜罐需要模拟许多的工控协议探针出来,这些探针都是直接运行于主机中,如果外部攻击到某个蜜罐探针,会导致被攻击的蜜罐探针大量占用主机CPU、内存、带宽等资源。一但主机上的某个蜜罐探针被攻击方突破,则整个主机上部署的蜜罐***将无法正常使用。
本发明是一种针对蜜罐的容器化部署管理***及其方法可以有效避免该情况的发生,同时提高了蜜罐***部署、探针管理的方便性及安全性。
下面将结合附图和实施例对本发明做进一步地说明。
如图1所示,针对蜜罐的容器化部署管理***,包括对蜜罐***进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子***。各服务模块的容器部署方案包括:所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个***响应变慢。所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用,由于lsprobe、lsagent是由C/C++编写,尽管测试充分也不能保证程序不会因为异常情况而将***资源消耗过多。所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作,由于日志采用比较消耗资源,所以需要将其容器化,并限制CPU、内存的使用,防止数据采集服务将***响应变慢。所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐***部署后的效果。后端程序由于会处理大量的业务逻辑,存在将***资源耗尽的潜在风险,因此也需要部署在容器中,对其CPU、内存物理资源进行限制。
所述针对蜜罐的容器化部署管理***的方法,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;plc的一些基本信息描述可以是plc指令或者plc的型号。
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击,蜜罐探针的运行都是启动在公知端口处,不能自己私自设定,否则攻击方将不会来攻击;
步骤4:输入蜜罐探针需要的资源参数,如:CPU为2核心,内存容量为16GB。验证程序会验证资源参数的合法性,比如***无法分配出对应的资源出来,则提示重新修改资源参数,将资源参数调整到合理范围即可;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对***资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
本发明的针对蜜罐的容器化部署管理***及其方法用于替代探针直接部署到host层上。采用容器化的方法动态地部署指定协议的探针,并根据协议的被攻击频次多少来分配CPU、内存、带宽值,让探针运行在合理的物理资源需求范围内。主要解决了蜜罐***直接部署在host上时,某个探针被大流量攻击后,导致***资源耗尽,影响其它探针的正常运行的问题。在部署新的蜜罐探针时,合理分配相应的CPU、内存资源给该探针使用,如果该蜜罐探针被大流量攻击时,影响的只有该探针本身,从而保证了其它蜜罐探针的正常运行。
以上以用实施例说明的方式对本发明作了描述,本领域的技术人员应当理解,本公开不限于以上描述的实施例,在不偏离本发明的范围的情况下,可以做出各种变化、改变和替换。

Claims (7)

1.一种针对蜜罐的容器化部署管理***,其特征在于,包括对蜜罐***进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。
2.根据权利要求1所述的针对蜜罐的容器化部署管理***,其特征在于,所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子***。
3.根据权利要求1所述的针对蜜罐的容器化部署管理***,其特征在于,所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个***响应变慢。
4.根据权利要求1所述的针对蜜罐的容器化部署管理***,其特征在于,所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用。
5.根据权利要求1所述的针对蜜罐的容器化部署管理***,其特征在于,所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作。
6.根据权利要求1所述的针对蜜罐的容器化部署管理***,其特征在于,所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐***部署后的效果。
7.一种针对蜜罐的容器化部署管理***的方法,其特征在于,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击;
步骤4:输入蜜罐探针需要的资源参数,验证程序会验证资源参数的合法性;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对***资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
CN201911145134.1A 2019-11-21 2019-11-21 针对蜜罐的容器化部署管理***及其方法 Withdrawn CN110990115A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911145134.1A CN110990115A (zh) 2019-11-21 2019-11-21 针对蜜罐的容器化部署管理***及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911145134.1A CN110990115A (zh) 2019-11-21 2019-11-21 针对蜜罐的容器化部署管理***及其方法

Publications (1)

Publication Number Publication Date
CN110990115A true CN110990115A (zh) 2020-04-10

Family

ID=70085427

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911145134.1A Withdrawn CN110990115A (zh) 2019-11-21 2019-11-21 针对蜜罐的容器化部署管理***及其方法

Country Status (1)

Country Link
CN (1) CN110990115A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN111818062A (zh) * 2020-07-10 2020-10-23 四川长虹电器股份有限公司 基于Docker的CentOS高交互蜜罐***及其实现方法
CN112039717A (zh) * 2020-06-29 2020-12-04 微梦创科网络科技(中国)有限公司 一种基于蜜罐的实时监控方法及***
CN112104613A (zh) * 2020-08-24 2020-12-18 广州锦行网络科技有限公司 基于数据流量包分析的蜜网测试***及其测试方法
CN114285599A (zh) * 2021-11-23 2022-04-05 中国人民解放军战略支援部队信息工程大学 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN111651757B (zh) * 2020-06-05 2024-04-09 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质
CN112039717A (zh) * 2020-06-29 2020-12-04 微梦创科网络科技(中国)有限公司 一种基于蜜罐的实时监控方法及***
CN111818062A (zh) * 2020-07-10 2020-10-23 四川长虹电器股份有限公司 基于Docker的CentOS高交互蜜罐***及其实现方法
CN112104613A (zh) * 2020-08-24 2020-12-18 广州锦行网络科技有限公司 基于数据流量包分析的蜜网测试***及其测试方法
CN114285599A (zh) * 2021-11-23 2022-04-05 中国人民解放军战略支援部队信息工程大学 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐
CN114285599B (zh) * 2021-11-23 2023-08-01 中国人民解放军战略支援部队信息工程大学 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐

Similar Documents

Publication Publication Date Title
CN110990115A (zh) 针对蜜罐的容器化部署管理***及其方法
US11902120B2 (en) Synthetic data for determining health of a network security system
US9166988B1 (en) System and method for controlling virtual network including security function
US8910129B1 (en) Scalable control system for test execution and monitoring utilizing multiple processors
US8112521B2 (en) Method and system for security maintenance in a network
CN109800160B (zh) 机器学习***中的集群服务器故障测试方法和相关装置
CN106911648B (zh) 一种环境隔离方法及设备
US9363145B2 (en) Programmatically simulating system conditions
CN111698283B (zh) 分布式集群主机的管控方法、装置、设备及存储介质
US9817970B2 (en) Method for detecting attacks on virtual machines
CN104392175A (zh) 一种云计算***中云应用攻击行为处理方法、装置及***
CN112989330B (zh) 容器的入侵检测方法、装置、电子设备及存储介质
US9245147B1 (en) State machine reference monitor for information system security
CN106650425B (zh) 一种安全沙箱的控制方法及装置
KR102088308B1 (ko) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN109120599A (zh) 一种外联管控***
KR102160950B1 (ko) 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
CN110880983A (zh) 基于场景的渗透测试方法及装置、存储介质、电子装置
CN112187533B (zh) 一种虚拟网络设备防御方法、装置、电子设备和介质
CN104219211A (zh) 一种云计算网络中网络安全的检测方法及装置
CN114500039A (zh) 基于安全管控的指令下发方法及***
CN113672912A (zh) 基于计算机硬件指征和行为分析的网络安全监控***
WO2016106661A1 (zh) 一种存储装置的访问控制方法、存储装置以及控制***
CN116192495B (zh) 电力监控***蜜场的设计方法、***、设备和介质
US20230168816A1 (en) Systems, methods and computer readable media for software defined storage security protection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20200410