CN114666096A - 一种基于动态服务链的智能蜜网***及其实现方法 - Google Patents
一种基于动态服务链的智能蜜网***及其实现方法 Download PDFInfo
- Publication number
- CN114666096A CN114666096A CN202210172515.4A CN202210172515A CN114666096A CN 114666096 A CN114666096 A CN 114666096A CN 202210172515 A CN202210172515 A CN 202210172515A CN 114666096 A CN114666096 A CN 114666096A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- service
- chain
- attack
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 175
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004808 supercritical fluid chromatography Methods 0.000 claims abstract description 33
- 230000006870 function Effects 0.000 claims description 63
- 238000004088 simulation Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 10
- 239000000523 sample Substances 0.000 claims description 9
- 230000007123 defense Effects 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 7
- 230000005012 migration Effects 0.000 claims description 5
- 238000013508 migration Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 238000013486 operation strategy Methods 0.000 claims description 4
- 230000008447 perception Effects 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 230000009471 action Effects 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000012800 visualization Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000013481 data capture Methods 0.000 description 4
- 230000003044 adaptive effect Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000033001 locomotion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于动态服务链的智能蜜网***及其实现方法,其至少包括基础资源层、蜜网服务管理层;蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;其中,蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC,本发明引入动态服务链技术,进而基于蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制,实现蜜网的动态部署。
Description
技术领域
本发明属于蜜网技术领域,具体涉及一种基于动态服务链的智能蜜网***及其实现方法。
背景技术
蜜网本质上是高交互蜜罐***形态,由多个蜜罐组成的模拟网络,在一个网络中配置多个蜜罐主机。当网络将多个蜜罐连接在一起时,就可以组成一个大型的虚假业务网络,把其中一部分主机用来吸引攻击者入侵,通过监测攻击者的入侵过程,一方面能够收集攻击者的攻击行为,另一方面还可以更新相关的安全防护策略。蜜网将多个蜜罐组合,在网关后形成一个类似于真实业务网络的诱捕网络,对所有进入体系架构的流量进行全面捕获和监控,网络设置高度可控,功能主机丰富多样,能对各种类型的攻击信息采集和抽样。
蜜网***经过多年的发展,目前运用最广泛的是第三代蜜网体系结构。第三代蜜网体系结构主要包含多台蜜罐主机组成的蜜网和蜜网网关,蜜网网关连接了蜜网与外部网络,但它并不对转发的网络数据包进行按照生存时间递减,也不进行网络路由,所以攻击者几乎无法发现蜜网网关的存在。网关连接远程服务器,比如日志服务器,将存储的日志作为后续分析的依据。由于所有进出蜜网的访问都要经过蜜网网关,所以可以通过蜜网网关实现对网络访问的控制和数据的捕获。
第三代蜜网的核心功能有三个:数据控制、数据捕获和数据分析。数据控制提供了进入***的攻击者进行向外发起攻击的安全保障,主要是为了防止攻击者利用蜜网对第三方网络发起攻击,但同时蜜网又不能对攻击者做太多自由限制,否则很容易被发觉,于是就要求蜜网***给攻击者提供自由的同时又要限制攻击者的对外连接,需要在二者之间找到平衡点。
数据控制的下一步就是数据捕获,由于后期要分析攻击者的活动,所以数据捕获是非常重要的一步,第三代蜜网体系结构中包含了网络流监控、基于网络的入侵检测***、数据包截获分析、被动操作***识别器、基于主机的入侵检测***等多重技术来实现对攻击者数据进行多层次、全方位的捕获。
数据分析是蜜网工作中最后也是最重要的一步,第三代蜜网体系结构为我们提供了自动报警和辅助分析的功能。自动报警功能可以通过它来对防火墙过滤规则和数据捕获所记录的文件进行匹配,如果发现指定的非安全特征,则自动对安全人员发出报警信息。并且提供可视化界面来对各种捕获的数据进行展示,以便安全人员快速了解发生的非安全事件。
然而,传统蜜网受物理资源的限制,无法快速构建复杂的、大规模的蜜网环境;蜜网本身也存在着难以扩展、配置复杂、部署不灵活等缺陷,使得蜜网迷惑性不强。目前,有文章、专利提出基于软件定义技术的新一代蜜网,在一定程度上解决了传统蜜网部署难的问题,但在有效伪装和主动诱骗方面能力有限,面对高级别的攻击者仍然存在暴露风险。
如申请公布号为CN 112637250 A的专利“一种动态智能自适应蜜网的实现方法”公开了一种基于SDN的智能自适应蜜网的解决方法,能够通过多种引擎相互配置配合,针对用户网络动态生成蜜网,适配用户网络,提升蜜网的灵活性和黑客诱捕概率,降低了维护难度和成本。但由于缺乏有效的伪装和主动诱骗机制,使得上述技术中蜜罐和蜜网本身诱骗攻击者的能力也比较有限,在面对高级别的攻击者仍存在暴露风险。并且,在针对大型网络开展防护时,由于直接依照用户网络进行蜜网生成时会占用大量资源。
发明内容
本发明的目的是针对现有技术提出的至少部分技术问题,提供一种基于动态服务链的智能蜜网***及其实现方法,利用动态服务链技术实现蜜网的快速部署以及动态调整,有效解决了传统网络防御技术无法快速部署蜜网,蜜网按需定制、快速重构难等问题。
一方面,本发明提供的一种基于动态服务链的智能蜜网***,其至少还包括基础资源层、蜜网服务管理层;
其中,所述基本资源层包括攻击捕获层及网络模拟层,其内设有蜜罐、节点分类器、蜜罐节点转发器、蜜网功能链分类器、蜜网功能链转发器;
所述蜜网服务管理层用于基于动态服务链实现蜜网的动态部署,其内设有蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器;所述蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;所述蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;
其中,所述蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC,基于所述蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制,实现蜜网的动态部署。
进一步可选地,所述蜜罐外部部署探针,所述探针用于监测所述蜜罐。
进一步可选地,所述智能蜜网***还包括:流量管理层,所述流量管理层包括攻击感知模块和流量牵引模块,所述攻击感知模块基于对蜜网进行监控,识别蜜网中的不正常行为;所述流量迁引模块在发现了攻击事件后,切断相对应的访问业务网络的流量。
进一步可选地,所述智能蜜网***还包括:智能决策层,用于基于攻击感知数据、事件提取、智能推理生成服务链编排重构信息,并反馈至所述蜜网服务管理层。
第二方面,本发明提供的一种基于上述智能蜜网***的实现方法,其包括:
监测业务网络访问流量数据;
若攻击捕获层感知到网络攻击,判断是否需要重新部署蜜网;
若需要,根据攻击感知数据、事件提取、智能推理生成服务链部署重构信息,并通过所述蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制功能动态生成新的蜜网服务功能链;其中,具体是基于如下动态功能链的架构实现蜜网服务功能链的动态部署:
所述蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;所述蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;其中,所述蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC。
进一步可选地,若攻击捕获层感知到的网络攻击为低等级攻击,则暂不重新部署蜜网,继续进行攻击吸引至流量停止或后续进行流量截断。
进一步可选地,基于主动防御的运行策略构成蜜网服务链的部署原则,具体为:
初期以所保护的业务网络服务、节点、拓扑属性为模板,参考攻击捕获层所感知的攻击态势,在网络模拟层中动态生成蜜网,并且对网络模拟层中攻击进行实时跟踪;
再对蜜网中攻击者的下一步行为进行预测进而对蜜网中的资源进行动态调整和扩展。
第三方面,本发明提供一种可读存储介质,其存储了计算机程序,所述计算机程序被处理器调用以实现:
一种基于动态服务链的智能蜜网***的实现方法的步骤。
有益效果
1.本发明提供的一种基于动态服务链的智能蜜网***及其实现方法,其引入了动态服务链技术至蜜网领域,实现了蜜网的快速部署以及动态调整,有效解决了传统网络防御技术无法快速部署蜜网,蜜网按需定制、快速重构难等问题。其基于SDN/SFC等技术的应用,全面实现了蜜网的拓扑及服务的软件定义,进一步实现蜜网软硬件的解耦,虚拟网络和物理网络得以分离,在物理网络之上构建虚拟网络层,且各虚拟网络层具有解耦、隔离等特性,使得服务功能的增添、删除或移动不再依赖于物理拓扑,增加了数据流量的灵活性和服务功能的可拓展,实现蜜网策略的重构。
2.本发明基于动态服务链的智能蜜网***,进而在智能蜜网运行时,能够动态根据当前网络攻击程度、安全情况动态调整蜜网,进而本发明进一步提供了主动防御的运行策略,即对攻击者行为进行智能预测并动态调整蜜网以欺骗攻击者留在蜜网中并继续开展进一步攻击,这种方法提高了蜜网主动诱骗攻击者的能力,使得蜜网在不易被攻击者发现同时也能不断的诱导攻击者进行深入攻击,达到迟滞、诱惑、溯源、取证等目的,保护真正的目标***免受攻击。同时,这种方法不需要一次性的对业务网络进行完全重现,因此在面对大型网络防护任务时,与现有方案相比能够更好的节约资源,提高资源应用效率。
附图说明
图1是本发明实施例提供的智能蜜网***架构的一个示意图;
图2是本发明实施例提供的智能蜜网***架构的另一个示意图;
图3是本发明实施例提供的智能蜜网***的蜜网动态部署的架构示意图;
图4是本发明实施例提供的服务链的示意图;
图5是本发明实施例提供的一种智能蜜网***实现方法的流程示意图。
具体实施方式
本发明提供一种基于动态服务链的智能蜜网***及其实现方法,是在基于SDN的新一代蜜网构架上引入了动态服务功能链技术(Service Function Chaining,SFC),提出了一种基于动态服务链的智能蜜网***新架构,用于实现蜜网的快速部署以及动态调整,有效解决了传统网络防御技术无法快速部署蜜网,蜜网按需定制、快速重构难等问题。下面将结合实施例对本发明做进一步的说明。
实施例1:
如图1所示,本实施例提供一种基于动态服务链的智能蜜网***,其包括:基础资源层、流量管理层、蜜网服务管理层、智能决策层和可视化与交互层。
其中,基础资源层由攻击捕获层及网络模拟层构成,具体是包含组成攻击捕获层及网络模拟层的各类虚拟化蜜罐、蜜罐服务功能体以及支持openflow协议的交换设备;其中,攻击捕获层对所要保护业务网络中服务进行全覆盖,主要用于过滤低等级的攻击行为,避免造成资源浪费。其中,攻击捕获层主要部署一些中低交互蜜罐,完整覆盖所要保护的业务网络中所部署业务服务类型,主要用于捕获过滤一些低等级的攻击行为,避免造成资源浪费。攻击捕获层在实现上既可采用硬件蜜罐、交换机也可采用虚拟的蜜罐、交换机资源。
网络模拟层主要基于动态SFC实现,是一个能够根据所保护业务网络和网络中攻击行为主动进行动态重构的智能蜜网,可以粘住高等级的攻击者,在保护业务网络同时诱导并捕获记录未知攻击行为。如图2所示,其内设有蜜罐、节点分类器、蜜罐节点转发器、蜜网功能链分类器、蜜网功能链转发器。蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC。
本实施例中基于OpenStack搭建承载,蜜罐被部署成一个个的虚机,也就是服务功能链中的SFI(Service Function Instance,是一个Service Function的实例,可以是个进程,也可以就是一个server)。使用OVS作为服务功能链中的转发器SFF(Service FunctionForwarder,提供服务层的转发。SFF接收带有SFC Header的网络包,利用SFC Header,将网络包转发给相应的SFI。在某些场合,SFF也可以不基于SFC Header),对攻击流量进行动态牵引,并提供高精度数据控制功能;在OVS基础上添加修改后的DPI实现服务功能链中的分类器(Classifier,是进入Service Chain的第一个点,Classifier映射Traffic进入Service Chain,并将Traffic封装到VXLAN-GPE-NSH tunnel中。可以通过Matching来实现Classifier,例如简单的如ACL,复杂的如PCRF,DPI等),识别网络流量,给网络流量包加上一个ID作为识别符,并将其分配到不同的SFC或SF(SF提供特定的网络服务,例如Firewall,NAT,QoS,DPI等。在OPNFV中,SF指提供虚拟网络功能的设备)。在基础资源层,为了实现对攻击事件精准捕获,采用Inotify机制,在蜜罐外部署探针,对蜜罐变化进行高效率、异步地监控,实现对攻击行为细粒度捕获,并将所记录攻击行为与流量管理等模块进行实时交互。
蜜网服务管理层包括针对蜜罐自身的服务聚合模块,针对蜜网的功能编排模块,蜜罐及蜜网的模板管理模块和蜜网部署与动态重构模块。本实施例中蜜网服务管理层是基于Python实现的应用程序,包括针对蜜罐自身的服务聚合,针对蜜网的功能编排,蜜罐及蜜网的模板管理和蜜网部署与动态重构功能等。其中,服务聚合是将不同的服务功能组成蜜罐,蜜网功能编排是将不同蜜罐组成蜜网,蜜罐及蜜网的模板是预定义的蜜罐或蜜网构成,蜜网部署和动态重构功能是基于SDN/SFC控制器对蜜罐组成和节点的动态生成和调整。为实现上述功能,在Openstack平台上基于ODL实现了SDN/SFC控制器,对基础资源层中网络模拟层的转发器(SFF)、分类器(Classifer)进行控制,动态控制数据流量通过不同服务功能体,使得不同功能体能够动态组成不同的蜜网服务功能链(SFC),通过这样的方式,可以方便的将SFC需要的网络控制功能下发到基础资源层中的Classifier,SFF和SFI,这也就是借助SDN overlay技术,将虚拟网络和物理网络得以分离,在物理网络之上构建虚拟网络层,且各虚拟网络层具有解耦、隔离等特性,使得服务功能的增添、删除或移动不再依赖于物理拓扑,增加了数据流量的灵活性和服务功能的可拓展,从而也就实现了蜜网的按需定制、快速动态重构。
综上所述,结合图2以及图3可知,本发明通过蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制作用,将组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC;再组合各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC。其中,动态部署过程中,根据蜜罐服务的动态组合,生成/调整节点分类器,部署转发器等形成新的服务链。其中,分类器和转发器本质都是一个负责判断发到哪然后打标签,一个负责根据标签转发,链的转发分类是判断流到哪个链(蜜网),节点转发分类是判断流到哪个蜜罐功能体。具体的,节点分类器是部署在蜜罐节点上的流分类器,主要对数据流进行识别分类,将经过相同服务功能体的流打上相同的标签,从而蜜罐节点转发器会根据节点分类器添加的流标签将不同的数据流路由到不同的蜜罐服务功能体。同样的,蜜网功能链分类器同样是对数据流进行识别分类,将经过相同蜜网的流打上相同的标签,进而蜜网功能链转发器会根据蜜网功能链分类器添加的流标签将不同的数据流路由到不同的蜜网服务功能链。
流量管理层包括对蜜网中流量、***、文件等进行监控的攻击感知模块和对交换机处访问流量进行管理的流量牵引模块。本实施例中,流量管理层是基于Python实现的应用程序,包括攻击感知模块和流量牵引模块。攻击感知模块基于探针收集到的信息对蜜网中流量、***、文件等行为进行监控,识别蜜网中的不正常行为,感知网络攻击,并将感知到的相关数据传递给智能决策层;流量迁引模块在攻击感知模块和智能决策层控制下实现对交换机处访问流量进行管理,当在蜜网中的镜像流量发现了攻击事件后,随即通过该模块则切断相对应的访问业务网络的流量,将流量在硬件SDN交换机不同端口间切换时,也是基于该模块实现的。应当理解,本发明不约束攻击事件的鉴别标准,其适用于本领域的常规标准或者最新鉴别标准。
智能决策层包括安全事件提取,基于安全知识库的智能推理和蜜网策略生成,以及用于维护知识库动态更新的知识生成模块。本实施例中,智能决策层是基于Python实现的应用程序。在流量管理层传递过来的攻击感知数据基础上,基于事件提取、智能推理生成服务链编排重构信息,并通过蜜网服务管理层向SDN/SFC控制器进行实时反馈。在***运行过程中,智能决策层会推理可能的下一个攻击目标或者攻击行为,从而控制蜜网服务管理层调配基础资源层的资源,生成或者动态重构蜜罐、蜜网。智能决策层的智能推理是基于安全知识库完成的,这里知识库的动态更新是通过该层的知识生成模块完成的。应当理解,蜜网部署规则以及要求并非本发明的重点,本发明不约束具体的部署规则,致力于保护本发明引入动态服务链的智能蜜网***以及实现方法,适用于满足应用需求的任何蜜网部署规则。
可视化与交互层包括蜜网状态信息可视化与交互以及蜜网事件信息可视化与交互。应当理解,本模块是用于实现可视化交互,是利用现有技术来实现的,因此对其不进行具体陈述。
综上所述,本实施例中流量管理层对蜜网中流量、***、文件等进行监控,感知攻击,并由智能决策层进行安全决策,若需要调整蜜网,则通过蜜网服务管理层对基础资源层内的蜜罐等进行组合,实现蜜网的动态部署。应当理解,本发明构建的基础资源层、蜜网服务管理层的架构基础上,对流量管理层、智能决策层进行的调整,均属于本发明的保护范围。
实施例2:
本实施例是基于上述智能蜜网***的实现方法,其包括:
监测业务网络访问流量数据;
若攻击捕获层感知到网络攻击,判断是否需要重新编排蜜网。其中,动态部署蜜网的基础是构建了实施例1所述的基础资源层、蜜网服务管理层的架构,即蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;所述蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;其中,所述蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC。
为了更加有效保护***安全以及捕获更为彻底的攻击信息,如图5所示,提供一种基于主动防御的运行策略的智能蜜网***的实现方法,过程如下:
步骤1:当入口蜜网转发器接收到业务网络访问流量时,在流量管理层控制下将流量传递至业务网络同时镜像至蜜网攻击捕获层;
步骤2:流量管理层对攻击捕获层中攻击进行感知,如果感知到网络攻击,则通过控制SDN控制器切断流量和业务网络之间的连接关系,并由智能决策层进行事件提取;
步骤3:智能决策层根据提取的事件判断是否属于低等级攻击,对于低等级、大范围则留在攻击捕获层进行攻击吸引至流量停止或根据情况进行流量截断,对于可能由高等级黑客发起的不属于低等级攻击的行为,智能决策层下发指令至流量管理层,由流量管理层控制SDN交换机将其导向至网络模拟层;
步骤4:网络模拟层在智能决策层控制下生成适配所保护业务网络及当前安全情况的蜜网编排策略;
步骤5:蜜网服务管理层根据蜜网编排策略控制蜜网及蜜罐节点SDN/NFV控制器,调用蜜网功能体动态生成蜜网服务功能链;
步骤6:流量管理层通过探针对网络模拟层中的蜜网服务功能链进行实时监控,并且将感知到的攻击事件交给智能决策层进行事件提取和智能推理;即流量管理层通过探针对调整后蜜网服务功能链持续监控,并记录并通过攻击粘性,所捕获攻击行为能力等评估编排策略的效果对安全知识库进行持续升级。
其中,最开始的蜜网服务功能链编排策略是以所保护业务网络为模板与基于当前攻击态势生成,并不会复现受保护网络全貌,随着攻击事件的逐步推进,则由智能决策层依据安全知识库对攻击者下一步攻击行为进行推理,结合博弈论理论针对不同蜜网重构方案的变形代价与预期效果之间找到最优方案,在必要时候重新生成编排策略,并控制流量管理层和蜜网服务管理层进行蜜网的动态重构,实现蜜网的因攻而变。
应当理解,上述描述了基于动态服务功能链技术构建的蜜网如何动态调整组成和结构以达到的吸引攻击者、保护业务网络,在保护大型、复杂网络时,采用1比1复现原有网络的方式不仅会占用大量资源,同时,也会产生大量的监控数据,为攻击事件的感知分析带来负担。因此,在实施例中借助动态服务功能链灵活的服务编排能力,在初期,以所保护的业务网络服务、节点、拓扑等属性为模板,参考攻击捕获层所感知的攻击态势,在网络模拟层中动态生成蜜网,并且对网络模拟层中攻击进行实时跟踪,基于智能决策层对蜜网中攻击者的下一步行为进行预测并且对蜜网中的资源进行动态调整和扩展。本发明采用这样的方式就可以在节约资源同时构造一个可以动态拓展蜜网。从攻击者视角看,是一个层层递进的目标网络,随着攻击的一步步展开,可以逐步看见网络的不同部分,增加了攻击者的攻击兴趣,在不断的攻击过程中,既可以获得攻击成功的成就感也会不断发现新的目标。因此,这样的策略增加了对攻击者的粘性,黏住攻击者,也就延缓了攻击者的攻击进程,保护了业务网络。同时,这样逐步展开的蜜网生成方式也有助于捕获更多的攻击行为数据,并从中发现新型攻击手段、模式。
实施例3:
本实施例提供一种可读存储介质,其存储了计算机程序,所述计算机程序被处理器调用以实现:
一种基于动态服务链的智能蜜网***的实现方法的步骤。
各个步骤的具体实现过程请参照前述方法的阐述。
所述可读存储介质为计算机可读存储介质,其可以是前述任一实施例所述的控制器的内部存储单元,例如控制器的硬盘或内存。所述可读存储介质也可以是所述控制器的外部存储设备,例如所述控制器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述可读存储介质还可以既包括所述控制器的内部存储单元也包括外部存储设备。所述可读存储介质用于存储所述计算机程序以及所述控制器所需的其他程序和数据。所述可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要强调的是,本发明所述的实例是说明性的,而不是限定性的,因此本发明不限于具体实施方式中所述的实例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,不脱离本发明宗旨和范围的,不论是修改还是替换,同样属于本发明的保护范围。
Claims (8)
1.一种基于动态服务链的智能蜜网***,其特征在于:至少包括基础资源层、蜜网服务管理层;
其中,所述基本资源层包括攻击捕获层及网络模拟层,其内包括蜜罐、节点分类器、蜜罐节点转发器、蜜网功能链分类器、蜜网功能链转发器;
所述蜜网服务管理层用于基于动态服务链实现蜜网的动态部署,其内设有蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器;所述蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;所述蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;
其中,所述蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC,基于所述蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制,实现蜜网的动态部署。
2.根据权利要求1所述的智能蜜网***,其特征在于:所述蜜罐外部部署探针,所述探针用于监测所述蜜罐。
3.根据权利要求1所述的智能蜜网***,其特征在于:还包括:流量管理层,所述流量管理层包括攻击感知模块和流量牵引模块,所述攻击感知模块基于对蜜网进行监控,识别蜜网中的不正常行为;所述流量迁引模块在发现了攻击事件后,切断相对应的访问业务网络的流量。
4.根据权利要求1所述的智能蜜网***,其特征在于:还包括智能决策层,用于基于攻击感知数据、事件提取、智能推理生成服务链编排重构信息,并反馈至所述蜜网服务管理层。
5.一种基于权利要求1-4任一项所述智能蜜网***的实现方法,其特征在于:包括:
监测业务网络访问流量数据;
若攻击捕获层感知到网络攻击,判断是否需要重新部署蜜网;
若需要,根据攻击感知数据、事件提取、智能推理生成服务链部署重构信息,并通过所述蜜罐节点SDN/SFC控制器和蜜罐功能链SDN/SFC控制器的控制功能动态生成新的蜜网服务功能链;其中,具体是基于如下动态功能链的架构实现蜜网服务功能链的动态部署:
所述蜜罐功能链SDN/SFC控制器用于控制蜜网功能链分类器、蜜网功能链转发器以及蜜罐节点SDN/SFC控制器;所述蜜罐节点SDN/SFC控制器用于控制单蜜罐SFC内蜜罐服务SFI、节点分类器、蜜罐节点转发器;其中,所述蜜罐作为动态服务链上的蜜罐服务SFI,组合不同所述蜜罐服务SFI并协同节点分类器、蜜罐节点转发器构成单蜜罐SFC,各类单蜜罐SFC协同蜜网功能链转发器构成蜜网SFC。
6.根据权利要求5所述的实现方法,其特征在于;若攻击捕获层感知到的网络攻击为低等级攻击,则暂不重新部署蜜网,继续进行攻击吸引至流量停止或后续进行流量截断。
7.根据权利要求5所述的实现方法,其特征在于:基于主动防御的运行策略构成蜜网服务链的部署原则,具体为:
初期以所保护的业务网络服务、节点、拓扑属性为模板,参考攻击捕获层所感知的攻击态势,在网络模拟层中动态生成蜜网,并且对网络模拟层中攻击进行实时跟踪;
再对蜜网中攻击者的下一步行为进行预测,进而对蜜网中的资源进行动态调整和扩展。
8.一种可读存储介质,其特征在于:存储了计算机程序,所述计算机程序被处理器调用以实现:
权利要求5所述的一种基于动态服务链的智能蜜网***的实现方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210172515.4A CN114666096A (zh) | 2022-02-24 | 2022-02-24 | 一种基于动态服务链的智能蜜网***及其实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210172515.4A CN114666096A (zh) | 2022-02-24 | 2022-02-24 | 一种基于动态服务链的智能蜜网***及其实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114666096A true CN114666096A (zh) | 2022-06-24 |
Family
ID=82027186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210172515.4A Pending CN114666096A (zh) | 2022-02-24 | 2022-02-24 | 一种基于动态服务链的智能蜜网***及其实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114666096A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护***及方法 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及*** |
| CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及*** |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网*** |
-
2022
- 2022-02-24 CN CN202210172515.4A patent/CN114666096A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护***及方法 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及*** |
| CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及*** |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110011982B (zh) | 一种基于虚拟化的攻击智能诱骗***与方法 | |
| CN107370756B (zh) | 一种蜜网防护方法及*** | |
| US7770223B2 (en) | Method and apparatus for security management via vicarious network devices | |
| CN104618321B (zh) | 用于计算机网络的企业任务管理的***及方法 | |
| CN109617865A (zh) | 一种基于移动边缘计算的网络安全监测与防御方法 | |
| WO2014063110A1 (en) | Network infrastructure obfuscation | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御*** | |
| CN103561004A (zh) | 基于蜜网的协同式主动防御*** | |
| CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现***及方法 | |
| Machado et al. | ANSwer: Combining NFV and SDN features for network resilience strategies | |
| CN114499982B (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
| CN114024747A (zh) | 基于软件定义nfv的安全服务链编排部署方法及*** | |
| Nekovee et al. | Towards AI-enabled microservice architecture for network function virtualization | |
| Muzafar et al. | Ddos attack detection approaches in on software defined network | |
| CN107454068A (zh) | 一种结合免疫危险理论的蜜网安全态势感知方法 | |
| Pradeepa et al. | IPR: Intelligent Proactive Routing model toward DDoS attack handling in SDN | |
| CN114666096A (zh) | 一种基于动态服务链的智能蜜网***及其实现方法 | |
| CN108712427A (zh) | 一种动态主动防御的网络安全方法及*** | |
| Mamun et al. | Policy based intrusion detection and response system in hierarchical WSN architecture | |
| Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
| Berger et al. | A colored Petri net model for a naval command and control system | |
| Liu et al. | Leverage SDN for Cyber‐Security Deception in Internet of Things | |
| US10659484B2 (en) | Hierarchical activation of behavioral modules on a data plane for behavioral analytics | |
| Minjiao et al. | A Dynamic Deceptive Honeynet System with A Hybrid of Virtual and Real Devices | |
| WO2020069741A1 (en) | Network surveillance system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |