CN215300664U - 一种基于分布式蜜罐的入侵检测系统 - Google Patents
一种基于分布式蜜罐的入侵检测系统 Download PDFInfo
- Publication number
- CN215300664U CN215300664U CN202121579310.5U CN202121579310U CN215300664U CN 215300664 U CN215300664 U CN 215300664U CN 202121579310 U CN202121579310 U CN 202121579310U CN 215300664 U CN215300664 U CN 215300664U
- Authority
- CN
- China
- Prior art keywords
- honeypot
- intrusion detection
- module
- distributed
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本实用新型实施例公开了一种基于分布式蜜罐的入侵检测系统。该系统包括:分布式蜜罐模块,用于采集攻击数据,所述分布式蜜罐模块包括web蜜罐和数据库蜜罐;入侵检测模块,与所述分布式蜜罐模块连接,用于根据所述攻击数据确定入侵检测结果;入侵显示模块,与所述入侵检测模块连接,用于统计并显示所述入侵检测结果。本实用新型实施例利用了蜜罐对网络攻击的诱导和捕获能力,通过专用网络线路连接的分布式蜜罐模块形成了与真实网络服务相同的的蜜罐群,增强了对未知网络攻击的捕获能力,增强了入侵检测系统的检测能力,提高了网络环境的安全系数。
Description
技术领域
本实用新型属于网络安全技术领域,尤其涉及一种基于分布式蜜罐的入侵检测系统。
背景技术
目前黑客开发攻击工具越来越容易,且破坏能力越来越强,这给网络安全带来了巨大的危害。网络的安全性已经成为阻碍互联网发展的重要因素之一。为此,人们不断提出各种安全防御技术来保护网络的安全。
以往的入侵检测系统其采用的入侵检测方式是指依照一定的安全策略,通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄露、篡改和破坏,通过对入侵行为进行行为匹配,将每个异常检测事件的攻击模式定义为一个单独的特征,进行特征匹配来检测入侵,虽然提高了系统和网络的安全性,但依赖于专家经验,且只能检测已知攻击特征的入侵,而对于未知攻击特征的入侵行为则无法应对。有鉴于此目前出现了一种基于蜜罐的入侵检测方式,蜜罐是一类安全资源,它没有任何业务上的用途,其本质是对攻击方进行欺骗,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,以便于防御方清晰地了解自身所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐可以检测到未知的攻击,并且收集入侵信息,记录入侵行为,分析入侵者的水平、目的、所用工具和入侵手段等。与其他网络安全技术相比,蜜罐使用方便容易部署,无需更新规则库,只需将蜜罐部署到自己的网络或系统中,然后静待入侵。传统的蜜罐部署于某个节点或主机上,收集到的数据有限,而蜜罐的价值大小是通过它收集到数据的有用性决定的,蜜罐收集到的可利用数据越多,蜜罐的价值就越大,单个蜜罐对于系统的防护性是有局限性的。
发明内容
有鉴于此,本实用新型提供了一种基于分布式蜜罐的入侵检测系统,以通过分布是部署的web蜜罐和数据库蜜罐采集全面数据,实现全面入侵检测,能够针对未知攻击进行检测。
第一方面,本实用新型提供了一种基于分布式蜜罐的入侵检测系统,包括:
分布式蜜罐模块,用于采集攻击数据,所述分布式蜜罐模块包括web蜜罐和数据库蜜罐;
入侵检测模块,与所述分布式蜜罐模块连接,用于根据所述攻击数据确定入侵检测结果;
入侵显示模块,与所述入侵检测模块连接,用于统计并显示所述入侵检测结果。
可选的,在一个实施例中,所述分布式蜜罐模块还包括蜜罐控制中心,所述蜜罐控制中心与所述web蜜罐、数据库蜜罐以及所述入侵检测模块连接。
可选的,在一个实施例中,还包括交换机和防火墙,所述交换机与所述分布式蜜罐模块连接,所述防火墙与所述交换机以及外部网络连接。
可选的,在一个实施例中,所述入侵显示模块包括显示单元和告警单元,所述显示单元用于可视化显示所述入侵检测结果,所述告警单元用于根据所述入侵检测结果发出入侵警告。
可选的,在一个实施例中,所述告警单元包括扬声器和/或指示灯。
可选的,在一个实施例中,所述告警单元包括通信单元,用于向预设终端发送警告信息。
可选的,在一个实施例中,所述分布式蜜罐模块还包括存储服务器,用于记录所述攻击数据,所述存储服务器与所述web蜜罐和数据库蜜罐连接,还与所述入侵检测模块连接。
可选的,在一个实施例中,所述入侵检测模块包括数据处理单元和数据旁路单元,所述数据处理单元用于根据所述攻击数据确定入侵检测结果,所述数据旁路单元用于处理非攻击数据。
可选的,在一个实施例汇总,所述入侵显示模块还包括交互组件,用于获取工作人员的操作,已根据所述操作显示对应的入侵检测结果。
本实用新型提供的一种基于分布式蜜罐的入侵检测系统,基于web蜜罐和数据库蜜罐组成了分布式蜜罐模块,以获取全面的攻击数据,再由与分布式蜜罐模块直接连接的入侵检测模块对攻击数据进行处理确定入侵检测结果,最终由入侵显示模块从入侵检测模块获取入侵检测结果并可视化展示给工作人员,该系统利用了蜜罐对网络攻击的诱导和捕获能力,通过专用网络线路连接的分布式蜜罐模块形成了与真实网络服务相同的的蜜罐群,增强了对未知网络攻击的捕获能力,增强了入侵检测系统的检测能力,提高了网络环境的安全系数,并且以入侵显示模块的可视化展示功能使得工作人员可以快速发现入侵攻击,提高了检测效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见的,下面描述中的附图仅仅是本申请的部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本实用新型实施例一提供的基于分布式蜜罐的入侵检测系统的结构示意图;
图2为本实用新型实施例二提供的一个基于分布式蜜罐的入侵检测系统的结构示意图;
图3为本实用新型实施例二提供的又一个基于分布式蜜罐的入侵检测系统的结构示意图;
图4为本实用新型实施例二提供的另一基于分布式蜜罐的入侵检测系统的结构示意图。
具体实施方式
下面结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述。可以理解的是,此处所描述的具体实施例仅仅是本申请一部分实施例,而不是全部的实施例,仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
除非另有定义,本文所使用的所有的技术和科学术语与属于本实用新型的技术领域的技术人员通常理解的含义相同。本文中在本实用新型的说明书中使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本实用新型。本文所使用的术语“和/或”包括一个或多个相关的所列项目的任意的和所有的组合。
此外,术语“第一”、“第二”等可在本文中用于描述各种方向、动作、步骤或元件等,但这些方向、动作、步骤或元件不受这些术语限制。这些术语仅用于将第一个方向、动作、步骤或元件与另一个方向、动作、步骤或元件区分。举例来说,在不脱离本实用新型的范围的情况下,可以将第一区域称为第二区域,且类似地,可将第二区域称为第一区域。第一区域和第二区域两者都是区域,但其不是同一区域。术语“第一”、“第二”等而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实用新型的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。需要说明的是,当一个部被称为“固定于”另一个部,它可以直接在另一个部上也可以存在居中的部。当一个部被认为是“连接”到另一个部,它可以是直接连接到另一个部或者可能同时存在居中部。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述,只是为了说明的目的,并不表示是唯一的实施方式。
实施例一
本实施例提供了一种基于分布式蜜罐的入侵检测系统,用于基于分布式蜜罐进行入侵检测,提高网络安全性,具体的,如图1所示,基于分布式蜜罐的入侵检测系统包括分布式蜜罐模块110、入侵检测模块120和入侵显示模块130,其中:
分布式蜜罐模块110,用于采集攻击数据,所述分布式蜜罐模块110包括web蜜罐111和数据库蜜罐112。
分布式蜜罐模块110表示基于网络系统(包括互联网和/或子网)部署的多个蜜罐,用于采集更全面的如入侵数据。分布式蜜罐模块110基于网络系统的特殊架构根据路由进行划分、部署蜜罐,包括多种不同类型的蜜罐,具体的,本实施例中分布式蜜罐模块110包括web蜜罐111和数据库蜜罐112。其中,web蜜罐111设置于web服务网段,通常为网络系统中的客户端主机,web蜜罐111用于基于客户端主机模拟真实系统的web界面以及web服务,从而捕获针对客户端主机的网络攻击,采集攻击数据;数据库蜜罐112设置于数据库服务网段,通常为与客户端主机连接的服务器,数据库蜜罐112用于捕获针对数据库的渗透攻击。本实施例中,通过分布式蜜罐模块110设计了一个分布式的蜜罐架构,基于完整的、真实的网络运行环境,而并非单纯通过模拟诱导网络攻击,其可以捕获未知攻击,采集的攻击数据更全面真实。
入侵检测模块120,与所述分布式蜜罐模块110连接,用于根据所述攻击数据确定入侵检测结果。
入侵检测模块120实际是一个数据处理模块,其可以基于计算机设备实现,用于对分布式蜜罐模块110采集的攻击数据进行精确检测,具体可以通过预设算法提取服务类型、攻击载荷等反映攻击的有效特征进行检测。入侵检测模块120的设置目的在于通过对攻击数据的检测处理确定真正的攻击行为,其输入端与分布式蜜罐模块11的输出端连接,具体可以通过有线连接或无线连接,通过入侵检测模块120与分布式蜜罐模块110的直接连接可以快速对攻击数据进行处理,得到入侵检测结果。
入侵显示模块130,与所述入侵检测模块120连接,用于统计并显示所述入侵检测结果。
入侵显示模块130用于将入侵检测结果统计并以图形界面显示,具体的,入侵显示模块130可以为各种具备图形输出功能的电子设备,例如手机、平板、计算机设备等。入侵显示模块130与入侵检测模块120直接连接,二者同样可以基于有线或无线的方式连接。
可选的,在一些实施例中,入侵显示模块130还包括交互组件,用于获取工作人员的操作,已根据所述操作显示对应的入侵检测结果。可以理解的是,本实施例提供的基于分布式蜜罐的入侵检测系统能够捕获多种攻击,相应的入侵检测结果也包括多种攻击信息,简单的一个界面难以完全提供展示,因此入侵显示模块130往往是显示的简略信息(对入侵检测结果进行统计总结得到),工作人员需要查看相应的详细信息时能够通过交互组件进行操作,示例性的,交互组件包括触摸屏、物理按键等。
本实用新型实施例提供了一种基于分布式蜜罐的入侵检测系统,基于web蜜罐和数据库蜜罐组成了分布式蜜罐模块,以获取全面的攻击数据,再由与分布式蜜罐模块直接连接的入侵检测模块对攻击数据进行处理确定入侵检测结果,最终由入侵显示模块从入侵检测模块获取入侵检测结果并可视化展示给工作人员,该系统利用了蜜罐对网络攻击的诱导和捕获能力,通过专用网络线路连接的分布式蜜罐模块形成了与真实网络服务相同的的蜜罐群,增强了对未知网络攻击的捕获能力,增强了入侵检测系统的检测能力,提高了网络环境的安全系数,并且以入侵显示模块的可视化展示功能使得工作人员可以快速发现入侵攻击,提高了检测效率。
实施例二
本实施例在上述实施例的基础上,提供了一种基于分布式蜜罐的入侵检测系统,对实施例一中的部分内容作了进一步解释和举例,例如本实施例中分布式蜜罐模块110还包括蜜罐控制中心113。具体的,本实施例中:
如图2所示,所述分布式蜜罐模块110还包括蜜罐控制中心113,所述蜜罐控制中心113与所述web蜜罐111、数据库蜜罐112以及所述入侵检测模块120连接。
本实施例中web蜜罐111和数据库蜜罐112是基于实际网络架构设置的,因而实际上web蜜罐111和数据库蜜罐112的数量非常多,其需要一个统一的管理中心,因此本实施例设置了蜜罐控制中心113,蜜罐控制中心113设置于整个系统中的安全区域,具体可以通过计算机设备实现蜜罐控制中心113的功能,蜜罐控制中心113与分布式蜜罐模块110中的每一个web蜜罐111和数据库蜜罐112均保持连接,且具备相应的管理权限,工作人员可以通过蜜罐控制中心113在分布式蜜罐模块110中进行蜜罐的添加和删除,即能够对web蜜罐111和数据库蜜罐112进行增加和删除。更具体的,在一些实施例中web蜜罐111和数据库蜜罐112在与蜜罐控制中心113保持连接时还会上报自身的运行状态,工作人员能够通过蜜罐控制中心113查看运行状态。
可选的,在一些实施例中,如图3所示,基于分布式蜜罐的入侵检测系统中还包括交换机140和防火墙150,所述交换机140与所述分布式蜜罐模块110连接,所述防火墙150与所述交换机140以及外部网络160连接。具体的,交换机140与web蜜罐111和数据库蜜罐112连接,用于提供路由转换服务负责分布式蜜罐模块110与外部网络160的连接,防火墙150为物理防火墙,用于保障基于分布式蜜罐的入侵检测系统的安全和稳定。
可选的,在一些实施例中,所述入侵显示模块130包括显示单元和告警单元,所述显示单元用于可视化显示所述入侵检测结果,所述告警单元用于根据所述入侵检测结果发出入侵警告。显示单元即前述所指的用于实现入侵检测结果可视化功能的结构,并且为了进一步完善系统的功能,还设置了告警单元,以使得工作人员可以不需要时时刻刻关注显示单元,只需要在告警单元发出入侵警告时通过显示单元查看入侵检测结果即可。更具体的,在一些实施例中,所述告警单元包括扬声器和/或指示灯,扬声器用于以语音形式发出入侵警告,指示灯用于以灯光形式发出入侵警告。
可选的,在一些实施例中,所述告警单元包括通信单元,用于向预设终端发送警告信息。考虑到工作人员可能不在入侵显示模块130附近的情况,本实施例特意设置了用于远程通知的通信单元,其可以通过短信、电话和邮件等形式向预设终端发送告警信息,预设终端包括但不限于手机、电脑等终端设备。
可选的,在一些实施例中,所述分布式蜜罐模块110还包括存储服务器,用于记录所述攻击数据,所述存储服务器与所述web蜜罐111和数据库蜜罐112连接,还与所述入侵检测模块120连接。存储服务器用于记录web蜜罐111和数据库蜜罐112采集的攻击数据,并将攻击数据标记后发送给入侵检测模块120。
可选的,在一些实施例中,如图4所示,所述入侵检测模块120包括数据处理单元121和数据旁路单元122,所述数据处理单元121用于根据所述攻击数据确定入侵检测结果,所述数据旁路单元122用于处理非攻击数据。理论上认为任何与蜜罐(包括web蜜罐111和数据库蜜罐112)建立连接的尝试都是攻击,但是本实施例中web蜜罐111和数据库蜜罐112是基于真实网络架构的,在偶然情况下,使用网络服务的普通用户也有可能对分布式蜜罐模块进行无意访问,因而可能出现非攻击数据也被采集,入侵检测模块120同样要对其进行识别处理,因此本实施例中设置了数据旁路单元122用于对非攻击数据处理,以过滤掉普通用户的无意访问,进而由数据处理单元121进行攻击数据处理。
本实施例在前述实施例的基础上,进一步提供了交换机和防火墙,完善了基于分布式蜜罐的入侵检测系统的整体结构,保障了系统的稳定性和安全性,并进一步给出了分布式蜜罐模块、入侵检测模块和入侵显示模块的具体结构和功能,提高了入侵检测的准确性和高效性。
注意,上述仅为本实用新型的较佳实施例及所运用技术原理。本领域技术人员会理解,本实用新型不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本实用新型的保护范围。因此,虽然通过以上实施例对本实用新型进行了较为详细的说明,但是本实用新型不仅仅限于以上实施例,在不脱离本实用新型构思的情况下,还可以包括更多其他等效实施例,而本实用新型的范围由所附的权利要求范围决定。
Claims (9)
1.一种基于分布式蜜罐的入侵检测系统,其特征在于,包括:
分布式蜜罐模块,用于采集攻击数据,所述分布式蜜罐模块包括web蜜罐和数据库蜜罐;
入侵检测模块,与所述分布式蜜罐模块连接,用于根据所述攻击数据确定入侵检测结果;
入侵显示模块,与所述入侵检测模块连接,用于统计并显示所述入侵检测结果。
2.根据权利要求1所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述分布式蜜罐模块还包括蜜罐控制中心,所述蜜罐控制中心与所述web蜜罐、数据库蜜罐以及所述入侵检测模块连接。
3.根据权利要求1所述的基于分布式蜜罐的入侵检测系统,其特征在于:
还包括交换机和防火墙,所述交换机与所述分布式蜜罐模块连接,所述防火墙与所述交换机以及外部网络连接。
4.根据权利要求2所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述入侵显示模块包括显示单元和告警单元,所述显示单元用于可视化显示所述入侵检测结果,所述告警单元用于根据所述入侵检测结果发出入侵警告。
5.根据权利要求4所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述告警单元包括扬声器和/或指示灯。
6.根据权利要求4所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述告警单元包括通信单元,用于向预设终端发送警告信息。
7.根据权利要求1所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述分布式蜜罐模块还包括存储服务器,用于记录所述攻击数据,所述存储服务器与所述web蜜罐和数据库蜜罐连接,还与所述入侵检测模块连接。
8.根据权利要求1所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述入侵检测模块包括数据处理单元和数据旁路单元,所述数据处理单元用于根据所述攻击数据确定入侵检测结果,所述数据旁路单元用于处理非攻击数据。
9.根据权利要求1所述的基于分布式蜜罐的入侵检测系统,其特征在于:
所述入侵显示模块还包括交互组件,用于获取工作人员的操作,已根据所述操作显示对应的入侵检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202121579310.5U CN215300664U (zh) | 2021-07-12 | 2021-07-12 | 一种基于分布式蜜罐的入侵检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202121579310.5U CN215300664U (zh) | 2021-07-12 | 2021-07-12 | 一种基于分布式蜜罐的入侵检测系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN215300664U true CN215300664U (zh) | 2021-12-24 |
Family
ID=79521927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202121579310.5U Active CN215300664U (zh) | 2021-07-12 | 2021-07-12 | 一种基于分布式蜜罐的入侵检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN215300664U (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978767A (zh) * | 2022-07-05 | 2022-08-30 | 云南电网有限责任公司 | 一种基于多源蜜罐的集中监控系统 |
-
2021
- 2021-07-12 CN CN202121579310.5U patent/CN215300664U/zh active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978767A (zh) * | 2022-07-05 | 2022-08-30 | 云南电网有限责任公司 | 一种基于多源蜜罐的集中监控系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
EP2080317B1 (en) | Apparatus and a security node for use in determining security attacks | |
KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
CN105556526B (zh) | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 | |
US20020066034A1 (en) | Distributed network security deception system | |
US11601457B2 (en) | Network traffic correlation engine | |
CN107347047A (zh) | 攻击防护方法和装置 | |
CN102857388A (zh) | 云探安全管理审计系统 | |
KR20190028076A (ko) | 공격자 가시화 방법 및 장치 | |
Tolubko et al. | Method for determination of cyber threats based on machine learning for real-time information system | |
CN215300664U (zh) | 一种基于分布式蜜罐的入侵检测系统 | |
Song et al. | Visualization of security event logs across multiple networks and its application to a CSOC | |
JPWO2019142348A1 (ja) | ネットワーク制御装置およびネットワーク制御方法 | |
KR101991736B1 (ko) | 공격자 상관정보 가시화 방법 및 장치 | |
CN115643096A (zh) | 一种可进行态势感知安全威胁预警的联动分析系统及方法 | |
CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
Anbar et al. | Statistical cross-relation approach for detecting TCP and UDP random and sequential network scanning (SCANS) | |
Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
Song et al. | Visualization of intrusion detection alarms collected from multiple networks | |
CN114338175B (zh) | 数据收集管理系统及数据收集管理方法 | |
Petersen et al. | An ideal internet early warning system | |
KR101498647B1 (ko) | 보안관리 시스템 및 이를 이용한 보안 관리 방법 | |
KR102267411B1 (ko) | 컴플라이언스를 이용한 데이터 보안 관리 시스템 | |
EP4361861A1 (en) | Method and device for enhancing electronic content security | |
Hunter et al. | Tartarus: A honeypot based malware tracking and mitigation framework. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |