CN112600822A - 一种基于自动化引流工具的网络安全***及方法 - Google Patents

一种基于自动化引流工具的网络安全***及方法 Download PDF

Info

Publication number
CN112600822A
CN112600822A CN202011430262.3A CN202011430262A CN112600822A CN 112600822 A CN112600822 A CN 112600822A CN 202011430262 A CN202011430262 A CN 202011430262A CN 112600822 A CN112600822 A CN 112600822A
Authority
CN
China
Prior art keywords
attacker
automatic drainage
attack
drainage tool
safety protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011430262.3A
Other languages
English (en)
Inventor
杨旭东
吕磊
黄林
许珂
陈龙
刘萧
黄昆
蒋天宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Sichuan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Sichuan Electric Power Co Ltd
Original Assignee
State Grid Sichuan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Sichuan Electric Power Co Ltd filed Critical State Grid Sichuan Electric Power Co Ltd
Priority to CN202011430262.3A priority Critical patent/CN112600822A/zh
Publication of CN112600822A publication Critical patent/CN112600822A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开基于自动化引流工具的网络安全***及方法,包括:互联网入口、基于防火墙NAT技术的自动化引流工具、安全防护设备和模拟***;当攻击者通过互联网入口向安全防护设备发起攻击行为时,安全防护设备向自动化引流工具进行告警;自动化引流工具将攻击者的攻击流量通过互联网入口引流至模拟***;模拟***记录攻击者的攻击路径同时追溯攻击者的个人信息;自动化引流工具还将攻击者的攻击流量牵引至伪装的VPN页面进行反制。通过模拟***实现在攻击链的信息收集阶段掌握攻击者信息及动向,对攻击者进行跟踪观察,并结合自动化引流工具进行溯源;实现了在攻击链最初的阶段介入并对攻击者进行反制,降低公司网络安全风险,做到先发制人。

Description

一种基于自动化引流工具的网络安全***及方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种基于自动化引流工具的网络安全***及方法。
背景技术
网络攻防不平衡的现状由来已久,从被动防守到主动对抗,以“欺骗”防“黑客”,也许是应对攻击的另一种新的思路。
欺骗伪装(Deception)技术的本质是针对性地伪装网络、应用、重点关和数据,欺骗攻击者,尤其大概攻击者使用各种特征识别工具市,是工具时效、扰乱攻击者的实现,将其引入死胡同从而实现延缓攻击,为公司应急响应争取宝贵的时间。若实现该业务目标,首先要能够“诱导”攻击者将目标转向“假”目标,其次要求仿真模拟服务能够“骗”过攻击者,且具备较高的交互性,不能轻易被攻击者识别。
洛克希德马丁公司引入入侵杀伤链来描述网络攻击行动,攻击者在执行攻击行为的各个阶段会暴露出不同的行为特征。防守方通过网络欺骗技术识别出攻击者时,可以通过分析其行为特征而判断其下一步的行动计划,从而针对性采取反制措施。网络攻防本质上是双方人员从技术、战术和心理多方位的角逐,当防守方占据了先机,就要根据攻击方所表现出的行为特征而采取反制措施,因此需要完整记录攻击方的操作行为,以便于防守方安全人员进行分析,判断其攻击意图和下步计划。
防守方搜集到足够多攻击者信息时,能够借助基础信息库对攻击者进行追踪和溯源,例如恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等,从而定位攻击者实体,借助法律手段,追究攻击者责任。
发明内容
为解决上述技术问题,本发明提供一种基于自动化引流工具的网络安全***及方法。
本发明通过下述技术方案实现:
本方案提供一种基于自动化引流工具的网络安全***,包括:互联网入口、基于防火墙NAT技术的自动化引流工具、安全防护设备和模拟***;
当攻击者通过互联网入口向安全防护设备发起攻击行为时,安全防护设备向基于防火墙NAT技术的自动化引流工具进行告警;
基于防火墙NAT技术的自动化引流工具将攻击者的攻击流量通过互联网入口引流至模拟***;
模拟***记录攻击者的攻击路径同时追溯攻击者的个人信息;
基于防火墙NAT技术的自动化引流工具还将攻击者的攻击流量牵引至伪装的VPN页面进行反制。
进一步优化方案为,还包括真实***和数据库,普通用户通过互联网入口、安全防护设备后访问真实***和数据库。
进一步优化方案为,模拟***页面与真实***页面一致,但模拟***是基于实事热点部署的与真实***完全无关联的伪装***。
进一步优化方案为,模拟***还对来自互联网的恶意扫描行为进行记录,在记录到恶意扫描行为之后对攻击者进行跟踪观察,并结合自动化引流工具进行溯源。
进一步优化方案为,被记录、溯源的攻击者进一步攻击动作时,基于防火墙NAT技术的自动化引流工具和安全防护设备对其进行封禁。
进一步优化方案为,伪装的VPN页面进行反制方法为:当攻击者访问至伪装的VPN页面时,伪装的VPN页面会提示攻击者下载相应的登录插件,当攻击者下载插件并运行时,已部署好的远控程序自动上线并对攻击者使用的电脑进行远程控制。
进一步优化方案为,所述远控程序部署在公有云ECS上。这里选择公有云ECS而非本地主机,主要是防止攻击者利用其他手段,直接通过本地主机对公司的信息化***发起攻击。
基于上述方案提供一种基于自动化引流工具的网络安全***本发明还提供一种基于自动化引流工具的网络安全方法,包括步骤:
T1,当攻击者通过互联网入口向安全防护设备发起攻击行为时,安全防护设备向基于防火墙NAT技术的自动化引流工具进行告警;
T2,基于防火墙NAT技术的自动化引流工具将攻击者的攻击流量通过互联网入口引流至模拟***;基于防火墙NAT技术的自动化引流工具还将攻击者的攻击流量牵引至伪装的VPN页面进行反制;
T3,模拟***记录攻击者的攻击路径同时追溯攻击者的个人信息;
T4,被记录、溯源的攻击者进一步攻击动作时,基于防火墙NAT技术的自动化引流工具和安全防护设备对其进行封禁。
攻击者第一次发起攻击行为被检测到以后,自动化引流工具将攻击者后续攻击引流到外网影子***(模拟***),模拟***页面与真实***页面一致,具有记录攻击者攻击路径以及追溯攻击者个人信息的功能。
模拟***实现了在“攻击链”的“侦察(信息收集)”阶段掌握攻击者信息及动向,而是基于实事热点部署的与公司业务***完全无关联的伪装页面。模拟***能够对来自互联网的恶意扫描行为进行记录,在记录到恶意扫描行为之后,对攻击者进行跟踪观察,并结合自动化引流工具进行溯源。在攻击者有进一步的攻击动作时,联动网关类设备对其进行封禁;这样,就实现了在“攻击链”最初的阶段介入,并进行综合分析研判以及处置,降低公司网络安全风险,做到“先发制人”。
本发明结合自动化引流工具,建立了一个攻击诱捕、攻击溯源以及攻击反制的安全闭环管理体系,实现整体网络安全运营能力的提升。
本发明与现有技术相比,具有如下的优点和有益效果:
1.本发明提出的基于自动化引流工具的网络安全***及方法,通过模拟***实现了在“攻击链”的“侦察(信息收集)”阶段掌握攻击者信息及动向,对攻击者进行跟踪观察,并结合自动化引流工具进行溯源;在攻击者有进一步的攻击动作时,及时对其进行封禁;实现了在“攻击链”最初的阶段介入,并对攻击者进行反制,降低公司网络安全风险,做到“先发制人”。
2.本发明提出的基于自动化引流工具的网络安全***及方法,建立了一个攻击诱捕、攻击溯源以及攻击反制的安全闭环管理体系,实现了整体网络安全运营能力的提升。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。
图1是基于自动化引流工具的网络安全***结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例1
在开展模拟***技术研究、测试与部署工作中,目前在公司内外网分别部署模拟***以及若干陷阱节点诱捕公司内外网的黑客攻击行为,其中在公司外网DMZ区部署模拟节点用于捕获互联网的黑客攻击行为,且该节点捕获到的攻击行为最多,每周捕获大约10起黑客攻击行为。然而,公司互联网应用每天遭受数百起高危攻击,远大于DMZ区模拟***节点捕获的攻击行为。
如图1所示,使用本发明提出的基于自动化引流工具的网络安全***,攻击者第一次发起攻击行为被检测到以后,自动化引流工具将攻击者后续攻击引流到外网模拟***,模拟***页面与真实***页面一致,具有记录攻击者攻击路径以及追溯攻击者个人信息的功能。
在“攻击链”的“侦查阶段”掌握攻击信息及动向,为了能够在“攻击链”的“侦察(信息收集)”阶段掌握攻击者信息及动向,在公司的互联网大区部署了伪装的业务***,即模拟***,该伪装业务***并非公司真实业务***的模拟***,而是基于实事热点部署的与公司业务***完全无关联的伪装页面;该伪装页面能够对来自互联网的恶意扫描行为进行记录,在记录到恶意扫描行为之后,对攻击者进行跟踪观察,并结合自动化引流工具进行溯源。
在攻击者有进一步的攻击动作时,联动网关类设备对其进行封禁。这样,就实现了在“攻击链”最初的阶段介入,并进行综合分析研判以及处置,降低公司网络安全风险,做到“先发制人”。
实施例2
提升攻击反制能力:
为了提升公司在攻击反制方面的能力,结合安全攻防能力模型,对自动化引流工具进行了进一步的优化。当检测到攻击者的攻击行为之后,自动化引流工具将攻击者后续的攻击流量牵引至伪装的VPN页面,该页面会提示攻击者下载相应的登录插件,但该插件实为免杀木马。当攻击者下载插件并运行时,部署在公有云ECS上的远控程序自动上线,对攻击者使用的电脑进行远程控制。这里选择公有云ECS而非本地主机,主要是防止攻击者利用其他手段,直接通过本地主机对公司的信息化***发起攻击。
以上,结合自动化引流工具,建立了一个攻击诱捕、攻击溯源以及攻击反制的安全闭环管理体系,实现公司整体安全运营能力的提升。该工具在2020年攻防演练期间,成功监测发现到数十起攻击事件,以及溯源5名“攻击队员”的身份信息。结合自动化引流工具记录的“攻击队员”攻击路径和溯源信息,输出相应的溯源报告并上报公司。
该自动化引流工具,作为四川省电力公司信息通信公司安全攻防能力模型中的一个重要环节,能够实现攻击诱捕能力、攻击溯源能力和攻击反制能力的闭环。从而降低公司信息化***的安全风险,减缓公司所面临的的安全威胁。进一步为公司的安全体系建设节省分人力成本,减少在安全攻防能力方面的开支。
通过对该工具的实践,引导行业及社会各单位,建立完整的安全攻防能力模型;同时能够具备攻击诱捕、攻击溯源和攻击反制的安全能力闭环。进而实现公司对社会及国家在网络安全层面的价值输出。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于自动化引流工具的网络安全***,其特征在于,包括:互联网入口、基于防火墙NAT技术的自动化引流工具、安全防护设备和模拟***;
当攻击者通过互联网入口向安全防护设备发起攻击行为时,安全防护设备向基于防火墙NAT技术的自动化引流工具进行告警;
基于防火墙NAT技术的自动化引流工具将攻击者的攻击流量通过互联网入口引流至模拟***;
模拟***记录攻击者的攻击路径同时追溯攻击者的个人信息;
基于防火墙NAT技术的自动化引流工具还将攻击者的攻击流量牵引至伪装的VPN页面进行反制。
2.根据权利要求1所述的一种基于自动化引流工具的网络安全***,其特征在于,还包括真实***和数据库,普通用户通过互联网入口、安全防护设备后访问真实***和数据库。
3.根据权利要求2所述的一种基于自动化引流工具的网络安全***,其特征在于,模拟***页面与真实***页面一致,但模拟***是基于实事热点部署的与真实***完全无关联的伪装***。
4.根据权利要求3所述的一种基于自动化引流工具的网络安全***,其特征在于,模拟***还对来自互联网的恶意扫描行为进行记录,在记录到恶意扫描行为之后对攻击者进行跟踪观察,并结合自动化引流工具进行溯源。
5.根据权利要求4所述的一种基于自动化引流工具的网络安全***,其特征在于,被记录、溯源的攻击者进一步攻击动作时,基于防火墙NAT技术的自动化引流工具和安全防护设备对其进行封禁。
6.根据权利要求1所述的一种基于自动化引流工具的网络安全***,其特征在于,伪装的VPN页面进行反制方法为:当攻击者访问至伪装的VPN页面时,伪装的VPN页面提示攻击者下载相应的登录插件,当攻击者下载登录插件并运行时,已部署好的远控程序自动上线并对攻击者使用的电脑进行远程控制。
7.根据权利要求6所述的一种基于自动化引流工具的网络安全***,其特征在于,所述远控程序部署在公有云ECS上。
8.一种基于自动化引流工具的网络安全方法,其特征在于,包括步骤:
T1,当攻击者通过互联网入口向安全防护设备发起攻击行为时,安全防护设备向基于防火墙NAT技术的自动化引流工具进行告警;
T2,基于防火墙NAT技术的自动化引流工具将攻击者的攻击流量通过互联网入口引流至模拟***;基于防火墙NAT技术的自动化引流工具还将攻击者的攻击流量牵引至伪装的VPN页面进行反制;
T3,模拟***记录攻击者的攻击路径同时追溯攻击者的个人信息;
T4,被记录、溯源的攻击者进一步攻击动作时,基于防火墙NAT技术的自动化引流工具和安全防护设备对其进行封禁。
CN202011430262.3A 2020-12-09 2020-12-09 一种基于自动化引流工具的网络安全***及方法 Pending CN112600822A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011430262.3A CN112600822A (zh) 2020-12-09 2020-12-09 一种基于自动化引流工具的网络安全***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011430262.3A CN112600822A (zh) 2020-12-09 2020-12-09 一种基于自动化引流工具的网络安全***及方法

Publications (1)

Publication Number Publication Date
CN112600822A true CN112600822A (zh) 2021-04-02

Family

ID=75191374

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011430262.3A Pending CN112600822A (zh) 2020-12-09 2020-12-09 一种基于自动化引流工具的网络安全***及方法

Country Status (1)

Country Link
CN (1) CN112600822A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157454A (zh) * 2021-11-16 2022-03-08 中国工商银行股份有限公司 攻击反制方法、装置、计算机设备和存储介质
CN115022077A (zh) * 2022-06-30 2022-09-06 绿盟科技集团股份有限公司 网络威胁防护方法、***及计算机可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御***
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
KR20170059279A (ko) * 2015-11-20 2017-05-30 (주)유엠로직스 클라우드 가상화를 이용한 apt 공격감내 시스템 및 그 방법
CN107819731A (zh) * 2016-09-13 2018-03-20 北京长亭科技有限公司 一种网络安全防护***及相关方法
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现***及方法
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御***及方法
CN110266650A (zh) * 2019-05-23 2019-09-20 中国科学院信息工程研究所 Conpot工控蜜罐的识别方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139184A (zh) * 2011-12-02 2013-06-05 中国电信股份有限公司 智能网络防火墙设备及网络攻击防护方法
CN102790778A (zh) * 2012-08-22 2012-11-21 常州大学 一种基于网络陷阱的DDoS攻击防御***
KR20170059279A (ko) * 2015-11-20 2017-05-30 (주)유엠로직스 클라우드 가상화를 이용한 apt 공격감내 시스템 및 그 방법
CN107819731A (zh) * 2016-09-13 2018-03-20 北京长亭科技有限公司 一种网络安全防护***及相关方法
CN108134797A (zh) * 2017-12-28 2018-06-08 广州锦行网络科技有限公司 基于蜜罐技术的攻击反制实现***及方法
CN108540441A (zh) * 2018-02-07 2018-09-14 广州锦行网络科技有限公司 一种基于真实性虚拟网络的主动防御***及方法
CN110266650A (zh) * 2019-05-23 2019-09-20 中国科学院信息工程研究所 Conpot工控蜜罐的识别方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157454A (zh) * 2021-11-16 2022-03-08 中国工商银行股份有限公司 攻击反制方法、装置、计算机设备和存储介质
CN114157454B (zh) * 2021-11-16 2024-04-02 中国工商银行股份有限公司 攻击反制方法、装置、计算机设备和存储介质
CN115022077A (zh) * 2022-06-30 2022-09-06 绿盟科技集团股份有限公司 网络威胁防护方法、***及计算机可读存储介质
CN115022077B (zh) * 2022-06-30 2023-05-16 绿盟科技集团股份有限公司 网络威胁防护方法、***及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN110430190B (zh) 基于att&ck的欺骗性防御***、构建方法及全链路防御实现方法
CN109462599B (zh) 一种蜜罐管理***
CN108768917B (zh) 一种基于网络日志的僵尸网络检测方法及***
Yaacoub et al. Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations
CN104978519A (zh) 一种应用型蜜罐的实现方法及装置
CN112751864B (zh) 网络攻击反制***、方法、装置和计算机设备
CN105024976A (zh) 一种高级持续威胁攻击识别方法及装置
CN112600822A (zh) 一种基于自动化引流工具的网络安全***及方法
CN111885067A (zh) 一种面向流量的集成式蜜罐威胁数据捕获方法
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
Choi et al. An analytics framework for heuristic inference attacks against industrial control systems
Yasinsac et al. Honeytraps, a network forensic tool
CN115549943B (zh) 一种基于四蜜的一体化网络攻击检测方法
Mahajan et al. Performance analysis of honeypots against flooding attack
CN115694965A (zh) 一种电力行业网络安全密网***
CN114884744A (zh) 一种攻击行为的分析方法及电子设备
Chamiekara et al. Autosoc: A low budget flexible security operations platform for enterprises and organizations
Asgarkhani et al. A strategic approach to managing security in SCADA systems
CN114024740A (zh) 一种基于密签诱饵的威胁诱捕方法
Alromaih et al. Continuous compliance to ensure strong cybersecurity posture within digital transformation in smart cities
Asante et al. DIGITAL FORENSIC READINESS FRAMEWORK BASED ON HONEYPOT AND HONEYNET FOR BYOD
Colombini et al. Cyber threats monitoring: Experimental analysis of malware behavior in cyberspace
Adarsh et al. Capturing attacker identity with biteback honeypot
Nizam et al. Forensic analysis on false data injection attack on IoT environment
Asante et al. Digital Forensic Readiness Framework Based on Honeypot Technology for BYOD

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210402

RJ01 Rejection of invention patent application after publication