CN112187825B - 一种基于拟态防御的蜜罐防御方法、***、设备及介质 - Google Patents
一种基于拟态防御的蜜罐防御方法、***、设备及介质 Download PDFInfo
- Publication number
- CN112187825B CN112187825B CN202011091422.6A CN202011091422A CN112187825B CN 112187825 B CN112187825 B CN 112187825B CN 202011091422 A CN202011091422 A CN 202011091422A CN 112187825 B CN112187825 B CN 112187825B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- mimicry
- defense
- honeypots
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于拟态防御的蜜罐防御方法、***、设备及介质,应用于网络安全技术领域,所述蜜罐***中在控制应用层内设置虚拟化管理子***,虚拟化管理子***包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器,镜像管理模块通过KVM虚拟机镜像技术构建拟态蜜罐镜像,获取若干个虚拟高交互的蜜罐及拟态蜜罐***,蜜罐均为拟态蜜罐;蜜罐管理模块对蜜罐进行管理操作和监控蜜罐状态;虚拟网络管理模块控制蜜罐***进行数据访问与网络通信;控制调度器根据拟态蜜罐的输出裁决结果,对拟态蜜罐和网络进行动态切换。本发明通过将拟态防御与蜜罐***相结合,提高网络空间安全防御的安全性和可控性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于拟态防御的蜜罐防御方法、***、设备及介质。
背景技术
互联网一直以来受到各种各样的网络安全威胁,网络攻击方式层出不穷、手段多变且攻击目标各异。在攻防过程中,即使一个微小的设计疏忽都可能产生严重的***漏洞,攻击者利用这些漏洞攻击***可能产生严重的危害。而防御者则需要将***或者节点的防御做到万无一失,才能保证完全的安全。同时防御者对于可以来自网络中任意地方的攻击者一无所知,而***或者节点则通过网络完全暴露在攻击者的面前。在这样的攻防博弈环境中,攻击者占据着绝对优势的主动地位,而防御者只能处于被动地位。
因此,主动防御技术逐渐引起学界和工业界的广泛关注和重视。主动实时防护模型与技术的战略目标是通过态势感知,风险评估、安全检测等手段对当前网络安全态势进行判断,并依据判断结果实施网络主动防御的主动安全防护体系。主动防御技术不单是某一种或者某一类防御技术,更是一种防御体系,目的在于对未知的攻击行为和攻击手段进行预测和识别,自动进行防御响应,或者预先对可能存在的脆弱点进行加固,完成前瞻性的防御。常见的主动防御技术手段包括入侵检测技术、蜜罐技术、拟态防御技术以及移动目标防御等。
入侵检测技术可以分为基于规则异常和基于异常检测两类主动防御技术。基于规则异常的入侵检测技术主要针对已知恶意程序的特征或者行为进行规则匹配,实现在攻击发生前展开对其的阻断、溯源等防御手段。而基于异常检测的入侵检测技术则可以针对未知攻击进行检测。蜜网技术是一种主流的主动防御技术,用于诱惑攻击者探测、攻击或者攻陷的虚假网络资源。它是将蜜罐***与防火墙、入侵检测设备、报警模块、入侵行为记录模块等组合而成的网络资源集合,可以实现对攻击者的主动捕获。拟态防御技术是一种内生的安全架构技术,对架构内的未知漏洞、后门甚至一些未知的病毒和木马具有自然免疫力,与现有的被动防御手段的有效融合可以形成对抗网络空间已知或未知攻击的能力。总之,拟态防御对现有网络空间安全防御体制具有互补性、融合性、可控性。
发明内容
技术目的:针对现有技术中蜜网技术对网络空间中未知攻击的主动防御能力较低的缺陷,本发明公开了一种基于拟态防御的蜜罐防御方法、***、设备及介质,通过对拟态蜜罐的响应信息进行分析,对已被攻陷的拟态蜜罐做回滚处理,提高网络空间安全防御的安全性、互补性、融合性、可控性。
技术方案:为实现上述技术目的,本发明采用以下技术方案。
一种基于拟态防御的蜜罐防御方法,包括以下步骤:
S1、构建拟态蜜罐:构建异构蜜罐镜像,将所述异构蜜罐镜像通过KVM虚拟机镜像技术生成拟态蜜罐及拟态蜜罐***;
S2、拟态蜜罐数据采集:在拟态蜜罐接收外部流量后,采集拟态蜜罐的响应结果;
S3、拟态蜜罐响应结果监控:对所有的响应结果进行裁决,并输出裁决结果,裁决结果中包括判定为已被攻陷的拟态蜜罐信息;
S4、拟态蜜罐管理:根据裁决结果,对拟态蜜罐和拟态蜜罐***进行动态切换,包括将判定为已被攻陷的拟态蜜罐切换为未被攻陷的拟态蜜罐,对判定为已被攻陷的拟态蜜罐执行回滚操作,将拟态蜜罐对应的拟态蜜罐***进行调度切换。
优选地,所述步骤S1中镜像管理模块构建异构蜜罐镜像,其具体过程为:
构建异构蜜罐环境:制作上层应用相同而底层基础架构不同的异构蜜罐环境,实现异构性;
异构蜜罐环境镜像化:将所述异构蜜罐环境镜像化处理,转换为qcow2镜像格式。
优选地,所述底层基础架构包括操作***、数据库、Web中间件、***服务和综合服务,在构建异构蜜罐环境时,在底层基础架构中采用不同的操作***、数据库、Web中间件、***服务以及综合服务,确保通过不同异构蜜罐环境生成的拟态蜜罐之间具有异构性。
优选地,所述步骤S2中拟态蜜罐数据采集的具体过程为:
S21、中间人程序接收外部流量:在控制应用层的虚拟化管理子***中,虚拟网络管理模块的中间人程序接收外部流量;
S22、拟态蜜罐接收流量访问:中间人程序接收外部流量,通过虚拟网桥下发至对应拟态蜜罐***中的每一个节点,所述每个节点都是一个拟态蜜罐;
S23、拟态蜜罐数据采集:拟态蜜罐接收外部流量后,虚拟化管理子***中的虚拟网络管理模块控制采集层的数据采集子***采集拟态蜜罐的响应结果。
一种基于拟态防御的蜜罐防御***,包括:表示层、控制应用层、数据层和采集层;
所述采集层包括若干拟态蜜罐***和数据采集子***,数据采集子***用于采集拟态蜜罐***中拟态蜜罐的内部信息,所述内部信息包括响应结果;
所述数据层包括数据预处理子***、数据分析子***和数据存储子***;数据预处理子***接收数据采集子***发送的拟态蜜罐的内部信息,并对拟态蜜罐的内部信息进行初步处理,数据预处理子***将初步处理结果发送至数据分析子***和数据存储子***;数据存储子***用于实现数据库中数据的存储、检索和更新;数据分析子***用于对拟态蜜罐的访问流程进行分析并获取分析结果;
所述控制应用层包括相互连接的业务中心子***和虚拟化管理子***,所述业务中心子***用于业务配置、数据组合和管理调度配置,具体包括查询、管理数据存储子***的数据以及读取分析数据分析子***中的拟态蜜罐访问流程分析结果;虚拟化管理子***用于实现拟态蜜罐虚拟化资源的配置与管理;
所述表示层包括图形界面交互式***,图形界面交互式***与业务中心子***连接,图形界面交互式***用于用户操作、查看数据和配置***。
优选地,所述虚拟化管理子***包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器,所述镜像管理模块用于通过KVM虚拟机镜像技术构建拟态蜜罐镜像,获取若干个虚拟高交互的拟态蜜罐及拟态蜜罐***;所述蜜罐管理模块用于对蜜罐的管理操作和监控蜜罐状态;所述虚拟网络管理模块用于控制拟态蜜罐***进行数据访问与网络通信;所述控制调度器用于根据拟态蜜罐的输出裁决结果,对拟态蜜罐和拟态蜜罐***进行动态切换。
优选地,所述镜像管理模块包括依次连接的拟态蜜罐镜像功能模块、导入导出功能模块和实例化功能模块;所述拟态蜜罐镜像功能模块用于搭建拟态蜜罐环境并对其进行镜像化,其中,拟态蜜罐环境包括Web应用环境、操作***、数据库、Web中间件、***服务和综合服务;所述导入导出功能模块用于实现镜像的导入导出、拟态蜜罐环境的修改以及多个拟态蜜罐***间蜜罐环境的复用;所述实例化功能模块用于通过KVM虚拟机镜像技术将制作好的镜像进行实例化,获取若干个虚拟高交互蜜罐及拟态蜜罐***。
优选地,所述业务中心子***包括行为捕获模块、威胁分析模块、诱捕态势分析模块和***管理模块,所述行为捕获模块用于捕获来自外部非法攻击行为的相关数据,具体包括蜜罐访问、命令执行、原始流量、文件变动;威胁分析模块用于通过行为分析引擎深度分析蜜罐捕获到的所有攻击会话,以攻击时间轴展示蜜罐与攻击者的交互命令;诱捕态势分析模块用于利用关联分析技术构建诱捕分析模型,实时监看整体诱捕攻击态势;***管理模块用
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于拟态防御的蜜罐防御方法。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于拟态防御的蜜罐防御方法。
有益效果:本发明将拟态防御融入到蜜罐***中,通过对拟态蜜罐的响应信息进行分析,对已被攻陷的拟态蜜罐做回滚处理,提高网络空间安全防御的安全性、互补性、融合性、可控性。
附图说明
图1为本发明的***结构示意图;
图2为本发明的虚拟网络管理模块示意图;
图3为本发明的拟态蜜罐网络拓扑运行示意图;
图4为本发明的中间人程序响应切换示意图;
图5为本发明的数据采集子***运行示意图;
图6为本发明的数据预处理子***运行示意图;
图7为图6中数据预处理子***功能结构图;
图8为本发明的总方法流程图。
具体实施方式
本发明公开了一种基于拟态防御的蜜罐防御方法、***、设备及介质,以下结合附图和实施例对本方案做进一步的说明和解释。
如附图1所示,一种基于拟态防御的蜜罐防御***,包括:表示层、控制应用层、数据层和采集层;
采集层包括数据采集子***,数据采集子***用于采集若干蜜罐中的数据;数据采集子***实现过程如附图5所示,数据采集子***主要依靠蜜罐内部部署的采集监控程序或在蜜罐内部搭载的应用程序中部署,实现对蜜罐的访问、命令执行、文件变动、应用变动等情况进行数据采集。另外,***对蜜罐的所有访问流量也都实现流量分包存储,通过流量采集模块实现访问流量的封装存储,并且将原始流量数据转发给流量分析引擎对其威胁行为进行专项分析。采集层主要对蜜罐中的数据进行采集,采集方法主要包括内置采集服务、埋点应用服务、流量采集服务三种。内置采集服务是在蜜罐装置中预置软件服务,对蜜罐内部情况的变化进行数据采集;埋点应用服务是在蜜罐的应用软件环境中埋点,对蜜罐中的应用数据进行收集;流量采集服务接受经过中间人程序分发的外部流量,对蜜罐的所有来往数据进行采集、修改以及分发;其中,中间人程序接收外部流量,分发至拟态蜜罐***,流量采集服务采集所有流向拟态蜜罐***的流量,即中间人程序分发的流量。
内置采集监控程序:在蜜罐中内置隐藏采集监控程序,对蜜罐中***运行状态、***日志、服务运气情况、文件变动、命令执行情况等信息进行采集。
应用部署:高交互蜜罐中需要对外开放高交互的Web应用、数据库等软件环境。为了获取最准确的应用内部运行信息,需要对其中开源的软件环境进行代码修改以及重新编译,将应用信息对接至内置采集服务中。
流量采集:流量采集模块将所有访问蜜罐的原始流量采集留存下来,封装成PCAP格式的流量包,可用于回放、分析。并且,所有的原始流量,可以转发给数据分析子***中的流量分析模块,进行恶意行为的分析。
数据层包括数据预处理子***、数据分析子***和数据存储子***;数据预处理子***接收数据采集子***发送的蜜罐数据,并对蜜罐数据进行初步处理,数据预处理子***将初步处理后的蜜罐数据发送至数据分析子***和数据存储子***;数据预处理子***是将数据采集子***中采集的数据,进行初步处理的板块,处理的相关数据如附图6和附图7所示。
数据存储子***用于实现数据库中数据的存储、检索和更新;数据分析子***用于对拟态蜜罐的访问流程进行分析并获取分析结果;数据分析子***包括以下模块:
(1)流量分析模块:基于分析策略对所有蜜罐的访问流量进行流量分析,输出威胁告警并将流量拆分、存储为PCAP包。
(2)行为分析模块:采集分析捕获蜜罐访问、命令执行、原始流量、文件变动等来自外部非法攻击行为的相关数据。***不仅能够监听蜜罐模拟服务的连接,直接获取外来连接数据,包括:攻击IP、攻击端口、目的IP、目的端口、协议类型等网络信息,也能够捕获完整的攻击行为,即从攻击者扫描开始,到攻击者尝试认证、渗透,再到渗透成功之后的上传文件样本,以及对外连接的完整过程。
(3)威胁分析模块:***通过行为分析引擎深度分析蜜罐捕获到的所有攻击会话,以攻击时间轴分析蜜罐与攻击者的交互命令。当命中分析策略时,会给出对应的风险分析,便于用户及时了解存在的风险。原始的攻击流量包、文件样本等内容均支持下载。***利用关联分析引擎将蜜罐捕获到的攻击进行关联分析,可识别出攻击IP、MAC地址、地理位置、执行命令、凭证信息、渗透请求数据、文件操作信息、进程信息等内容。并通过构建杀伤链,将攻击者入侵的每一环节直观地呈现出来,并支持回放攻击路径,提供相应的风险分析和处理建议。
(4)输出裁决模块:对上层应用相同底层架构不同的异构蜜罐,进行实时数据采集,并对其进行分析,确定是否有可能导致蜜罐失陷的动作发生。比对中的异构蜜罐至少为3个,比对内容主要为行为记录、告警数据。分析比对后,进行判断结果,随机将未失陷蜜罐的反馈结果发送给中间人程序,并告知虚拟化管理子***中的蜜罐管理模块拟态蜜罐是否需要回滚。
控制应用层包括相互连接的业务中心子***和虚拟化管理子***,业务中心子***用于业务配置、数据组合和管理调度配置,具体包括查询、管理数据存储子***的数据以及读取分析数据分析子***中的拟态蜜罐访问流程分析结果;
业务中心子***包括行为捕获模块、威胁分析模块、诱捕态势分析模块和***管理模块,行为捕获模块用于捕获来自外部非法攻击行为的相关数据,具体包括蜜罐访问、命令执行、原始流量、文件变动;威胁分析模块用于通过行为分析引擎深度分析蜜罐捕获到的所有攻击会话,以攻击时间轴展示蜜罐与攻击者的交互命令;诱捕态势分析模块用于利用关联分析技术构建诱捕分析模型,实时监看整体诱捕攻击态势;***管理模块用于实现用户对蜜罐节点的管理和蜜罐网络的动态展示。具体内容如下:
(1)行为捕获:调取分析***采集捕获到的蜜罐访问、命令执行、原始流量、文件变动等来自外部非法攻击行为的相关数据。***不仅能够监听蜜罐模拟服务的连接,直接获取外来连接数据,包括:攻击IP、攻击端口、目的IP、目的端口、协议类型等网络信息,也能够捕获完整的攻击行为,即从攻击者扫描开始,到攻击者尝试认证、渗透,再到渗透成功之后的上传文件样本,以及对外连接的完整过程。
(2)威胁分析:***通过行为分析引擎深度分析蜜罐捕获到的所有攻击会话,以攻击时间轴展示蜜罐与攻击者的交互命令。当命中分析策略时,会给出对应的风险分析,便于用户及时了解存在的风险。原始的攻击流量包、文件样本等内容均支持下载。***利用关联分析引擎将蜜罐捕获到的攻击进行关联分析,可识别出攻击IP、MAC地址、地理位置、执行命令、凭证信息、渗透请求数据、文件操作信息、进程信息等内容。并通过构建杀伤链,将攻击者入侵的每一环节直观地呈现出来,并支持回放攻击路径,提供相应的风险分析和处理建议。
(3)诱捕态势分析:***利用关联分析技术构建诱捕分析模型,直观动态地分析、展示全球攻击源态势、全国攻击源态势、蜜罐网络拓扑、攻击类型占比、蜜罐捕获流量趋势、最新捕获行为和告警信息等,从多维度、多视角实时监看整体诱捕攻击态势,有效提高可读性,攻防动态一目了然。
(4)***管理:***提供蜜罐管理模块,支持查看蜜罐的部署信息、网络连接和进程状态等,支持对已部署蜜罐节点的运行、重启、暂停、停止等和设置定时访问蜜罐节点产生业务流量、定时更新仿真web页面的时间、更新伪装业务***内数据等操作,方便用户对蜜罐节点的管理。***提供网络拓扑可视化窗口,可以手动画出蜜罐网络部署图,并生成蜜网拓扑,实现蜜罐网络的动态展示。***提供白名单功能,可自行配置攻击IP和可疑文件的白名单,配置成功后,***将不会记录攻击IP和可疑文件信息,方便自行规划告警机制。
虚拟化管理子***用于实现虚拟化资源的配置与管理,拟态蜜罐技术中的蜜罐部分主要实现的是高交互蜜罐,基于KVM虚拟化技术,将实体硬件进行虚拟化后实现的。将资源转化为虚拟机并进行蜜罐化后,还要进行网络配置管理,并按照拟态蜜罐的技术要求,实现动态控制调度。为实现以上功能,虚拟化管理子***需具备镜像管理模块、蜜罐管理模块、虚拟网络管理模块、控制调度器4个主要部分。
虚拟化管理子***包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器,镜像管理模块用于通过KVM虚拟机镜像技术构建拟态蜜罐镜像,获取若干个虚拟高交互的蜜罐及拟态蜜罐***,蜜罐均为拟态蜜罐;镜像管理是基于KVM虚拟机镜像技术实现而成,主要由异构蜜罐镜像、导入导出、实例化三个主要功能构成,镜像管理模块包括依次连接的拟态蜜罐镜像功能模块、导入导出功能模块和实例化功能模块。
(1)异构蜜罐镜像:拟态蜜罐技术的实现,首先需要制作上层应用相同而底层基础架构不同的异构蜜罐。本次设计考虑上层构建相同的Web应用,而底层采用不同的操作***、中间件,进而实现异构。拟态蜜罐环境包括Web应用环境、操作***、数据库、Web中间件、***服务和综合服务;在一些实施例中,Web应用环境包括仿真OA、Docker仓库和WordPress;操作***包括Windows和Linux;数据库包括MS SQL、MySQL、MongoDB和Redis;Web中间件包括Weblogic、Tomcat和Struct2;***服务包括SSH、Telnet和RDP;综合服务包括RESP协议、HTTP协议和Mongo Wire协议。在构建异构蜜罐环境时,在底层基础架构中采用不同的操作***、数据库、Web中间件、***服务以及综合服务,确保通过不同异构蜜罐环境生成的拟态蜜罐之间具有异构性。
在一些实施例中,异构蜜罐的搭建环境如表1所示:
从表格1中可以看出,以上环境中,对外统一的Web应用为CMS***(Catfishv4.8.54版本,运行时库PHP v5.4.16)。对在蜜罐中的具体环境(操作***、数据库、Web中间件)进行异构处理。当异构蜜罐环境搭建好后,对其进行镜像化,转换成KVM技术中的qcow2镜像格式,便于复用。
(2)导入导出:实现镜像的导入导出功能,用于蜜罐基础环境的修改以及多个拟态蜜罐***间蜜罐环境的复用。
(3)实例化:制作蜜罐镜像的过程本质上属于开发阶段的工作,在***配置、运行的阶段,需要将提前制作好的镜像进行实例化,也就是变成多个虚拟高交互蜜罐主机,并通过虚拟网络管理模块进行组网。而实例化的过程,就是将***资源(CPU、内存、硬盘、网卡等)通过KVM转化成虚拟机。通过实例化功能,可以将预先制作好的镜像转化为高交互蜜罐。
蜜罐管理模块用于对蜜罐的管理操作和监控蜜罐状态;蜜罐管理模块进行的具体操作包括:蜜罐删除、蜜罐启动、挂起、停止、蜜罐快照、蜜罐回滚、蜜罐定时访问和蜜罐设置。蜜罐删除:实现停止蜜罐,并删除,释放其所占用资源。蜜罐启动、挂起、停止:支持将挂起、停止状态的蜜罐恢复到活跃状态;支持将活跃状态的蜜罐暂停,挂起,挂起后的蜜罐不可访问;支持将活跃状态蜜罐关机停止。蜜罐快照:对蜜罐当前的状态进行拍摄快照保存,并且可以将蜜罐重置到已保存的某个快照状态。蜜罐回滚:对蜜罐已保存的某个历史快照,进行回滚操作,可以重置到历史状态。蜜罐定时访问:蜜罐创建好后,如果长时间没有访问信息,攻击者登陆后会更容易被怀疑。该模块提供对Web界面提供访问或对操作***提供访问流量。蜜罐设置:对创建好的蜜罐,可以修改其设置,例如启停其上应用及其对应端口。
如附图2所示,虚拟网络管理模块用于控制蜜罐***进行数据访问与网络通信,具体详细介绍如下:
(1)物理网卡en192,与交换机或路由设备相连,如果需要使用vlan功能,需要将与物理网线相连接的端口设置为trunk属性,并允许所有分配的vlan透过。对于非vlan1的默认网段由交换机配置打上PVID。
(2)Openvswitch对接融合所有通用蜜罐的虚拟网卡和宿主机的物理网卡,确保通用蜜罐能够被外部访问。
(3)通用蜜罐群中每一个蜜罐节点底层都是一台虚拟机,虚拟机对应虚拟网卡接入到openvswitch中实现蜜罐网络的连通性。每一台虚拟机的网卡从宿主机上看都是一个tun/tap设备,一端通过驱动接入到虚拟机中即为“物理网卡”。在虚拟机中的一端即为虚拟网卡并接入到ovs中。虚拟机(蜜罐)即能够被外部访问。例外,所有的蜜罐与外部交互的流量从蜜罐内的“物理网卡”到宿主机的虚拟机网卡,再通过ovs发送到物理网卡ens192上转发出去。ovs将中转所有蜜罐的流量,可以通过flow规则进行蜜罐的流量控制,防止蜜罐被攻陷后被用来进行横向扩展,有效保护真实资产。
(4)虚拟网桥:为拟态蜜罐群中的蜜罐节点提供内部网络连通,确保宿主机与每一个拟态蜜罐的网络能够通过内部网络通信。
(5)拟态蜜罐节点:拟态蜜罐节点之间能够通过网桥相互通信也能够与网桥所在的宿主机通信,但是拟态蜜罐不会直接被外部所访问。
中间人程序的实现过程如附图3和附图4所示,具体详细介绍如下:
中间人程序接收到外部的流量,将流量通过虚拟网桥分别下发至拟态蜜罐群中的所有节点。通过数据采集子***对蜜罐内部的重要状态信息进行采集,并发送至数据分析子***的输出裁决模块。经输出裁决模块分析判断后,蜜罐的响应结果将在未失陷的蜜罐中随机挑选,并返回给攻击者。
假设当拟态蜜罐A被攻陷时(由输出裁决模块进行分析研判),中间人程序将切换为把拟态蜜罐B(也可能是C,切换动作取决于输出裁决模块能够分析出未被攻陷的蜜罐,根据其结果进行切换回馈)的相应信息发送返回给攻击者,拟态蜜罐A会被快速回滚至初始状态并重新参加对攻击者请求的响应。同理可知,当拟态蜜罐B被攻陷时,中间人程序会只将拟态蜜罐C的响应信息返回给终端,并对拟态蜜罐B进行快速回滚至初始状态。回滚后的拟态蜜罐仍会接收到中间人分发的报文,参加对攻击者请求的执行。如果遇到极端情况,即多个蜜罐均被输出裁决模块认定为被攻陷,此时操作将为多个蜜罐均进行回滚操作,上下文信息将被重置。回滚动作由输出裁决模块发起,由蜜罐管理模块执行。中间人程序进对攻击者输入指令进行分发,对反馈结果进行切换。
控制调度器根据输出裁决模块的分析结果,对拟态蜜罐进行动态切换。将已被攻陷的拟态蜜罐下线,切换为未被攻陷的蜜罐,对拟态蜜罐的网络进行调度切换。下线的拟态蜜罐由蜜罐管理模块进行回滚。
表示层包括图形界面交互式***,图形界面交互式***与业务中心子***连接,图形界面交互式***用于用户操作、查看数据和配置***。
如附图8所示,一种基于拟态防御的蜜罐防御方法,应用于以上所述的一种基于拟态防御的蜜罐防御***中,包括以下步骤:
S1、构建拟态蜜罐:在控制应用层的虚拟化管理子***中,镜像管理模块构建异构蜜罐镜像,将所述异构蜜罐镜像通过KVM虚拟机镜像技术生成拟态蜜罐及拟态蜜罐***;
S2、拟态蜜罐数据采集:在控制应用层的虚拟化管理子***中,虚拟网络管理模块控制采集层的数据采集子***采集拟态蜜罐的响应结果;
S3、拟态蜜罐响应结果监控:所有拟态蜜罐接收外部流量后,通过数据层的数据预处理子***向数据分析子***输出各自的响应结果,数据分析子***中的输出裁决模块对所有的响应结果进行裁决,分析并判定已被攻陷的拟态蜜罐后输出裁决结果,将裁决结果发送至控制应用层的业务中心子***中的控制调度器;
S4、拟态蜜罐管理:控制调度器根据裁决结果,对拟态蜜罐和拟态蜜罐***进行动态切换,包括将已被攻陷的拟态蜜罐切换为未被攻陷的拟态蜜罐,将已被攻陷的拟态蜜罐通过蜜罐管理模块执行回滚操作,将拟态蜜罐对应的拟态蜜罐***进行调度切换。
步骤S1中镜像管理模块构建异构蜜罐镜像,其具体过程为:
构建异构蜜罐环境:制作上层应用相同而底层基础架构不同的异构蜜罐环境,实现异构性;所述上层应用包括Web应用环境,所述Web应用环境包括仿真OA、Docker仓库和WordPress;所述底层基础架构包括操作***、数据库、Web中间件、***服务和综合服务,其中,操作***包括Windows和Linux,数据库包括MS SQL、MySQL、MongoDB和Redis;Web中间件包括Weblogic、Tomcat和Struct2;***服务包括SSH、Telnet和RDP;综合服务包括RESP协议、HTTP协议和Mongo Wire协议。
异构蜜罐环境镜像化:将所述异构蜜罐环境镜像化处理,转换为qcow2镜像格式。
步骤S2中拟态蜜罐数据采集的具体过程为:
S21、中间人程序接收外部流量:在控制应用层的虚拟化管理子***中,虚拟网络管理模块的中间人程序接收外部流量;
S22、拟态蜜罐接收流量访问:中间人程序接收外部流量,通过虚拟网桥下发至对应拟态蜜罐***中的每一个节点,所述每个节点都是一个拟态蜜罐;对应拟态蜜罐***的选取依据是流量的目标地址;
S23、拟态蜜罐数据采集:拟态蜜罐接收外部流量后,虚拟化管理子***中的虚拟网络管理模块控制采集层的数据采集子***采集拟态蜜罐的响应结果。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上任一所述的一种基于拟态防御的蜜罐防御方法。存储器可为各种类型的存储器,可为随机存储器、只读存储器、闪存等。处理器可为各种类型的处理器,例如,中央处理器、微处理器、数字信号处理器或图像处理器等。
一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行以上任一所述的一种基于拟态防御的蜜罐防御方法。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种基于拟态防御的蜜罐防御方法,其特征在于,包括以下步骤:
S1、构建拟态蜜罐:构建异构蜜罐镜像,将所述异构蜜罐镜像通过KVM虚拟机镜像技术生成拟态蜜罐及拟态蜜罐***;
S2、拟态蜜罐数据采集:在拟态蜜罐接收外部流量后,采集拟态蜜罐的响应结果;
S3、拟态蜜罐响应结果监控:对所有的响应结果进行裁决,并输出裁决结果,裁决结果中包括判定为已被攻陷的拟态蜜罐信息;
S4、拟态蜜罐管理:根据裁决结果,对拟态蜜罐和拟态蜜罐***进行动态切换,包括将判定为已被攻陷的拟态蜜罐切换为未被攻陷的拟态蜜罐,对判定为已被攻陷的拟态蜜罐执行回滚操作,将拟态蜜罐对应的拟态蜜罐***进行调度切换。
2.根据权利要求1所述的一种基于拟态防御的蜜罐防御方法,其特征在于:所述步骤S1中镜像管理模块构建异构蜜罐镜像,其具体过程为:
构建异构蜜罐环境:制作上层应用相同而底层基础架构不同的异构蜜罐环境,实现异构性;
异构蜜罐环境镜像化:将所述异构蜜罐环境镜像化处理,转换为qcow2镜像格式。
3.根据权利要求2所述的一种基于拟态防御的蜜罐防御方法,其特征在于:所述底层基础架构包括操作***、数据库、Web中间件、***服务和综合服务,在构建异构蜜罐环境时,在底层基础架构中采用不同的操作***、数据库、Web中间件、***服务以及综合服务,确保通过不同异构蜜罐环境生成的拟态蜜罐之间具有异构性。
4.根据权利要求1所述的一种基于拟态防御的蜜罐防御方法,其特征在于:所述步骤S2中拟态蜜罐数据采集的具体过程为:
S21、中间人程序接收外部流量:在控制应用层的虚拟化管理子***中,虚拟网络管理模块的中间人程序接收外部流量;
S22、拟态蜜罐接收流量访问:中间人程序接收外部流量,通过虚拟网桥下发至对应拟态蜜罐***中的每一个节点,所述每一个节点都是一个拟态蜜罐;
S23、拟态蜜罐数据采集:拟态蜜罐接收外部流量后,虚拟化管理子***中的虚拟网络管理模块控制采集层的数据采集子***采集拟态蜜罐的响应结果。
5.一种基于拟态防御的蜜罐防御***,其特征在于,包括:表示层、控制应用层、数据层和采集层;
所述采集层包括若干拟态蜜罐***和数据采集子***,数据采集子***用于采集拟态蜜罐***中拟态蜜罐的内部信息,所述内部信息包括响应结果;
所述数据层用于接收数据采集子***发送的拟态蜜罐的内部信息,对拟态蜜罐的内部信息进行初步处理以及对拟态蜜罐的访问流程进行分析并获取分析结果;
所述控制应用层包括相互连接的业务中心子***和虚拟化管理子***,所述业务中心子***用于业务配置、数据组合和管理调度配置,具体包括查询、管理数据存储子***的数据以及读取分析数据分析子***中的拟态蜜罐访问流程分析结果;虚拟化管理子***用于实现拟态蜜罐虚拟化资源的配置与管理;
所述表示层包括图形界面交互式***,图形界面交互式***与业务中心子***连接,图形界面交互式***用于用户操作、查看数据和配置***。
6.根据权利要求5所述的一种基于拟态防御的蜜罐防御***,其特征在于:所述虚拟化管理子***包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器,所述镜像管理模块用于通过KVM虚拟机镜像技术构建拟态蜜罐镜像,获取若干个虚拟高交互的拟态蜜罐及拟态蜜罐***;所述蜜罐管理模块用于对蜜罐的管理操作和监控蜜罐状态;所述虚拟网络管理模块用于控制拟态蜜罐***进行数据访问与网络通信;所述控制调度器用于根据拟态蜜罐的输出裁决结果,对拟态蜜罐和拟态蜜罐***进行动态切换。
7.根据权利要求6所述的一种基于拟态防御的蜜罐防御***,其特征在于:所述镜像管理模块包括依次连接的拟态蜜罐镜像功能模块、导入导出功能模块和实例化功能模块;
所述拟态蜜罐镜像功能模块用于搭建拟态蜜罐环境并对其进行镜像化,其中,拟态蜜罐环境包括Web应用环境、操作***、数据库、Web中间件、***服务和综合服务;
所述导入导出功能模块用于实现镜像的导入导出、拟态蜜罐环境的修改以及多个拟态蜜罐***间蜜罐环境的复用;所述实例化功能模块用于通过KVM虚拟机镜像技术将制作好的镜像进行实例化,获取若干个虚拟高交互蜜罐及拟态蜜罐***。
8.根据权利要求5所述的一种基于拟态防御的蜜罐防御***,其特征在于:所述业务中心子***包括行为捕获模块、威胁分析模块、诱捕态势分析模块和***管理模块,所述行为捕获模块用于捕获来自外部非法攻击行为的相关数据,具体包括蜜罐访问、命令执行、原始流量、文件变动;威胁分析模块用于通过行为分析引擎深度分析蜜罐捕获到的所有攻击会话,以攻击时间轴展示蜜罐与攻击者的交互命令;诱捕态势分析模块用于利用关联分析技术构建诱捕分析模型,实时监看整体诱捕攻击态势;***管理模块用于实现用户对蜜罐节点的管理和蜜罐网络的动态展示。
9.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1-4任一所述的一种基于拟态防御的蜜罐防御方法。
10.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1-4任一所述的一种基于拟态防御的蜜罐防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011091422.6A CN112187825B (zh) | 2020-10-13 | 2020-10-13 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011091422.6A CN112187825B (zh) | 2020-10-13 | 2020-10-13 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112187825A CN112187825A (zh) | 2021-01-05 |
CN112187825B true CN112187825B (zh) | 2022-08-02 |
Family
ID=73951120
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011091422.6A Active CN112187825B (zh) | 2020-10-13 | 2020-10-13 | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112187825B (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112383573B (zh) * | 2021-01-18 | 2021-04-06 | 南京联成科技发展股份有限公司 | 一种基于多个攻击阶段的安全入侵回放设备 |
CN112929208B (zh) * | 2021-01-25 | 2022-02-11 | 浙江大学 | 一种拟态虚拟交换机的同分异构体裁决方法 |
CN112839052B (zh) * | 2021-01-25 | 2023-02-03 | 北京六方云信息技术有限公司 | 虚拟网络的安全防护***、方法、服务器及可读存储介质 |
CN112860378B (zh) * | 2021-02-23 | 2022-07-29 | 哈尔滨工业大学(威海) | 一种计算回放流量所需最少虚拟资源的方法、***、设备及存储介质 |
CN113422779B (zh) * | 2021-07-02 | 2022-06-21 | 南京联成科技发展股份有限公司 | 一种基于集中管控的积极的安全防御的*** |
CN113609483B (zh) * | 2021-07-16 | 2024-05-03 | 山东云海国创云计算装备产业创新中心有限公司 | 一种服务器病毒处理的方法、装置、设备及可读介质 |
CN113660246B (zh) * | 2021-08-11 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 蜜罐切换方法、***、计算机及可读存储介质 |
CN113872973B (zh) * | 2021-09-29 | 2023-07-07 | 武汉众邦银行股份有限公司 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
CN114095234B (zh) * | 2021-11-17 | 2023-10-13 | 北京知道创宇信息技术股份有限公司 | 蜜罐生成方法、装置、服务器和计算机可读存储介质 |
CN114205127A (zh) * | 2021-11-29 | 2022-03-18 | 中国铁路北京局集团有限公司北京通信段 | 一种针对铁路的网络安全监测方法及*** |
CN114338203B (zh) * | 2021-12-31 | 2023-10-03 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测***及方法 |
CN114531297A (zh) * | 2022-03-08 | 2022-05-24 | 四川中电启明星信息技术有限公司 | 一种面向边缘计算的容器安全风险评估方法 |
CN114785594B (zh) * | 2022-04-22 | 2023-06-27 | 国家工业信息安全发展研究中心 | 一种工业控制***的安全防御方法及*** |
CN115174218B (zh) * | 2022-07-04 | 2024-04-09 | 云南电网有限责任公司 | 一种基于高仿真虚拟蜜罐技术进行电网安全防护的方法 |
CN115174227A (zh) * | 2022-07-05 | 2022-10-11 | 云南电网有限责任公司 | 一种针对电网主厂站蜜罐镜像技术的方法 |
CN115296909B (zh) * | 2022-08-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐***的方法、装置、介质和攻击响应方法 |
CN115834140B (zh) * | 2022-10-31 | 2023-11-10 | 中国国家铁路集团有限公司 | 铁路网络安全管理方法、装置、电子设备及存储介质 |
CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御*** |
CN115499322B (zh) * | 2022-11-14 | 2023-03-24 | 网络通信与安全紫金山实验室 | 拟态设备集群的管理***、方法和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御*** |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗***与方法 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及*** |
CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、***及计算机可读存储介质 |
-
2020
- 2020-10-13 CN CN202011091422.6A patent/CN112187825B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御*** |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗***与方法 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及*** |
CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、***及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112187825A (zh) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 | |
Baykara et al. | A novel honeypot based security approach for real-time intrusion detection and prevention systems | |
Zhang et al. | An IoT honeynet based on multiport honeypots for capturing IoT attacks | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
Roschke et al. | Intrusion detection in the cloud | |
US9262635B2 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
US20150229663A1 (en) | Network infrastructure obfuscation | |
CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 | |
JP2014506045A (ja) | ネットワーク刺激エンジン | |
CN113676449B (zh) | 网络攻击处理方法及装置 | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
US11425150B1 (en) | Lateral movement visualization for intrusion detection and remediation | |
Chovancová et al. | Securing distributed computer systems using an advanced sophisticated hybrid honeypot technology | |
Song et al. | Cooperation of intelligent honeypots to detect unknown malicious codes | |
CN110198300B (zh) | 一种蜜罐操作***指纹隐蔽方法及装置 | |
CN115242466A (zh) | 一种基于高仿真虚拟环境的入侵主动诱捕***和方法 | |
CN112688933A (zh) | 用于IPv6的攻击类型分析方法、装置、设备及介质 | |
Zhang et al. | Xen-based virtual honeypot system for smart device | |
WO2020255185A1 (ja) | 攻撃グラフ加工装置、方法およびプログラム | |
Hirata et al. | INTERCEPT+: SDN support for live migration-based honeypots | |
Frederick | Testing a low-interaction honeypot against live cyber attackers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |