CN106850690B - 一种蜜罐构造方法及系统 - Google Patents

一种蜜罐构造方法及系统 Download PDF

Info

Publication number
CN106850690B
CN106850690B CN201710202686.6A CN201710202686A CN106850690B CN 106850690 B CN106850690 B CN 106850690B CN 201710202686 A CN201710202686 A CN 201710202686A CN 106850690 B CN106850690 B CN 106850690B
Authority
CN
China
Prior art keywords
honeypot
construction
deployment
service
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710202686.6A
Other languages
English (en)
Other versions
CN106850690A (zh
Inventor
夏飞
周静
王毅
张立强
余伟
吴立斌
张明明
李鹏
季晓凯
蒋铮
王艳青
彭轼
魏桂臣
丁一新
张利
李萌
黄高攀
汤雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201710202686.6A priority Critical patent/CN106850690B/zh
Publication of CN106850690A publication Critical patent/CN106850690A/zh
Application granted granted Critical
Publication of CN106850690B publication Critical patent/CN106850690B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种蜜罐构造方法及系统,该系统包括流量分析装置,由协议处理服务装置和主机模拟服务装置构成的蜜罐构造装置,身份认证装置,蜜罐部署装置和日志存储装置,其中,流量分析装置分析获得可疑数据流并发送至蜜罐构造装置,蜜罐构造装置根据可疑流量的属性启动协议处理服务装置或主机模拟服务装置对所述可疑流量进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置。实现了能够自动按需部署蜜罐系统的目的。

Description

一种蜜罐构造方法及系统
技术领域
本发明涉及网络安全技术领域,特别是涉及采用微服务架构的蜜罐自动构造方法及系统。
背景技术
根据360互联网安全中心发布的《2016年中国网站安全漏洞形势分析报告》中的数据表明,对各类网站进行扫描发现存在漏洞的网站数量较高,这就显示出公共互联网络面临着严重的安全威胁,网络安全问题日益成为一个全球性的突出问题,如何保证网络安全和避免黑客攻击成为了重要的课题。
由于黑客无处不在,而安全也没有一个绝对意义上的标准。所以诱骗网络入侵者成为了很好的遏制黑客攻击的途径,通过记录其攻击流,并在此基础上进行分析整理,调查其入侵方式,掌握其规律,来保证计算机网络的正常安全地运行,就显得尤为必要了。相对于传统的数据鉴别、防火墙、数据加密和认证等安全防护技术在手段上的较为被动,蜜罐系统能够主动防御网络攻击,它通过伪造攻击目标,诱骗攻击者攻击,从而实现保护实际目标的目的。可以通过对蜜罐配置任意数量的服务或者任何种类的操作系统。高交互蜜罐模拟一个具有完整服务的操作系统环境,而低交互蜜罐通常模拟一些易遭受攻击的服务,比如网络堆栈。
但是传统的蜜罐系统很可能是一个又大又复杂的单体式应用,任何单个开发者对其开发都会存在一定的困难,修正漏洞和正确地添加新功能也会变得非常困难并且比较耗时。并且高交互蜜罐系统如果被攻击者完全攻陷而不被察觉,攻击者就可以对系统进行任意的攻击,而低交互蜜罐系统只允许攻击者对齐设定的服务进行访问攻击,容易被攻击者识破。所以在现有的蜜罐系统中无论构造成高交互蜜罐还是低交互蜜罐都存在着一定的缺点。
发明内容
针对于上述问题,本发明提供一种蜜罐构造方法及系统,实现了能够自动按需部署蜜罐系统的目的。
为了实现上述目的,根据本发明的第一方面,提供了一种蜜罐构造方法,该方法适用于蜜罐构造系统,所述系统包括流量分析装置,由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置,身份认证装置,蜜罐部署装置和日志存储装置,所述蜜罐构造方法包括:
所述流量分析装置接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置中的协议处理服务装置;
所述协议处理服务装置模拟易受攻击的协议服务对所述可疑流量进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置;
当所述攻击流不能满足所设安全阈值时,则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;
所述身份认证装置判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置;
所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置;
所述主机模拟服务装置模拟操作系统的服务对所述可疑流量进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置;
所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。
优选的,所述状态监听装置包括删除单元和部署单元,该方法还包括:
当所述蜜罐构造装置接收到的可疑流量较低时,所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑流量增多时,所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。
优选的,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置,该方法还包括:
当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述对外流量控制装置制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
优选的,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置还包括判断单元,该方法还包括:
所述判断单元接收所述用户请求,并在在用户数据库中查找所述用户信息,判断所述用户是否为合法用户,如果是,则将所述蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。
优选的,其特征在于,当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐构造系统还包括计费装置和计费数据库,该方法还包括:
当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐部署装置将产生的计费信息发送至所述计费装置;
所述计费装置将所述计费信息生成计费统计表存储在所述计费数据库中。
优选的,所述蜜罐构造系统包括日志分析装置,该方法包括:
所述日志分析装置分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置。
根据本发明的第二方面,提供了一种蜜罐构造系统,该系统包括流量分析装置,由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置,身份认证装置,蜜罐部署装置和日志存储装置,其中,
所述流量分析装置,用于接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置中的协议处理服务装置;
所述协议处理服务装置,用于模拟易受攻击的协议服务对所述可疑流量进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置;
当所述攻击流不能满足所设安全阈值时,则所述协议处理服务装置,用于将蜜罐部署申请发送至所述身份认证装置,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;
所述身份认证装置,用于判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置;
所述蜜罐部署装置,用于将蜜罐部署信息发送至所述主机模拟服务装置;
所述主机模拟服务装置,用于模拟操作系统的服务对所述可疑流量进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置;
所述状态监听装置,用于对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。
优选的,所述状态监听装置包括删除单元和部署单元,其中,
当所述蜜罐构造装置接收到的可疑流量较低时,所述删除单元,用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑流量增多时,所述部署单元,用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。
优选的,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置,其中,
所述对外流量控制装置,用于制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
优选的,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置还包括判断单元,其中,
所述判断单元,用于接收所述用户请求,并在在用户数据库中查找所述用户信息,判断所述用户是否为合法用户,如果是,则将所述蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置,用于将蜜罐部署信息发送至所述蜜罐构造装置。
优选的,所述蜜罐构造系统包括计费装置和计费数据库,其中,
当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐部署装置将产生的计费信息发送至所述计费装置;
所述计费装置,用于将所述计费信息生成计费统计表存储在所述计费数据库中。
优选的,所述蜜罐构造系统包括日志分析装置,其中,
所述日志分析装置,用于分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置。
相较于现有技术,本发明将蜜罐构造系统划分为具有多个可以实现微小功能的模块,并且各个装置模块可以独立进行设置构造,然后完成对整体蜜罐系统的构造。具体的,所述蜜罐构造装置根据可疑流量的属性进行蜜罐系统的按需构造,可以通过协议处理服务装置和主机模拟服务装置对所述可疑流量进行响应,并可以通过身份认证装置对蜜罐部署请求进行验证,进而构造蜜罐系统,最终实现了能够自动按需部署蜜罐系统的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例一提供的一种蜜罐构造系统的结构示意图;
图2为本发明实施例一提供的一种蜜罐构造方法的流程示意图;
图3为本发明实施例二提供的一种蜜罐构造系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
实施例一
参见图1和图2,其中,图1为本发明实施例一提供的一种蜜罐构造系统的结构示意图,图2为为本发明实施例一提供的一种蜜罐构造方法的流程示意图。所述蜜罐构造方法适用于蜜罐构造系统,所述系统包括流量分析装置1,由协议处理服务装置21、主机模拟服务装置22和状态监听装置23构成的蜜罐构造装置2,身份认证装置3,蜜罐部署装置4和日志存储装置5,所述蜜罐构造方法包括以下步骤:
S11、所述流量分析装置1接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置2中的协议处理服务装置21;
具体的,来自互联网用户的数据流首先要进行分析和分流,所述的外部网络数据流可以流向三个区域,即业务系统、交叉区域和蜜罐系统。相应的,所述业务系统只能实现业务系统的各种服务,所述交叉区域可承载业务系统的服务又可以实现蜜罐系统的服务,所述蜜罐系统只能实现蜜罐系统的服务。
S12、所述协议处理服务装置21模拟易受攻击的协议服务对所述可疑流量进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置5;
具体的,所述蜜罐构造装置包括协议处理服务装置和主机模拟服务装置。当可疑数据流进入所述蜜罐构造装置时,先由所述协议处理服务装置模拟真实的主机系统服务对所述可疑数据流做出回应,实现低交互蜜罐。可以按照需要,实现和部署应用层、传输层和网络层的各种协议处理服务。当然,这种低交互蜜罐所能获取的攻击信息是非常有限的,如果需要获取到更多的攻击信息则需要通过步骤S13实现。
S13、当所述攻击流不能满足所设安全阈值时,则所述蜜罐构造装置2将蜜罐部署申请发送至所述身份认证装置3,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;
具体的,当通过上述的协议处理服务装置实现低交互蜜罐时,所获取到的攻击流有限,即不能满足预设安全阈值时,则蜜罐构造装置可以通过身份认证装置传递蜜罐部署申请,主动申请部署更多的系统服务,甚至可以申请构造服务模拟出完整的操作系统,来实现高交互蜜罐。
安全阈值的设定可以根据实际中进行蜜罐部署的背景和领域进行设置,如果需要的安全性能级别较高,可以将安全阈值设定为较大的值。
S14、所述身份认证装置3判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置4;
S15、所述蜜罐部署装置4将蜜罐部署信息发送至所述主机模拟服务装置22;
S16、所述主机模拟服务装置22模拟操作系统的服务对所述可疑流量进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置5。
具体的,所述日志存储装置对应蜜罐构造系统,与其同时被部署,并且保证每个蜜罐构造系统至少有两个日志存储装置进行工作,可以将其中一个部署在交叉区域系统中,另一个部署在蜜罐系统中。
S17、所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。
通过本发明实施例一公开的技术方案,当可疑流量进入到蜜罐构造系统时,可以先进入协议处理服务装置,如果所述协议服务处理装置实现的低交互蜜罐无法满足需求时,则所述蜜罐构造装置向身份认证装置发送部署请求,身份认证装置判断该请求合法时,将申请发送至蜜罐部署装置,所述蜜罐部署装置将启动蜜罐构造装置中的主机模拟服务装置,实现高交互蜜罐,由此可见该蜜罐构造方法可以将低交互性蜜罐和高交互性蜜罐相结合,实现了能够自动按需部署蜜罐系统的目的。
实施例二
参照本发明实施例一和图2中所描述的方法过程,并参见图3,图3为本发明实施例二提供的一种蜜罐构造系统的结构示意图,具体的,
所述状态监听装置23包括删除单元和部署单元,该方法还包括:
当所述蜜罐构造装置接收到的可疑流量较低时,所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑流量增多时,所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。
可以理解的是,所述蜜罐构造系统中存在状态监听装置,执行状态监听服务,当蜜罐系统遭受的攻击流量降低或者没有攻击流量时,也向身份认证装置传递申请信息,认证通过后,便可以撤离这些蜜罐系统的资源。本系统可以将低交互性蜜罐和高交互性蜜罐相结合,部署能够模拟操作系统和服务的低交互性蜜罐来吸引攻击者,也可将流向低交互性蜜罐的攻击流重定向到高交互性蜜罐,利用高交互性蜜罐中部署的真实服务与攻击者交互,实现更好的欺骗性。状态监听装置可以部署在交叉区域或蜜罐区域。
相应的,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置6,该方法还包括:
所述对外流量控制装置6制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
具体的,所述蜜罐构造装置可以向业务系统发送反馈信息,更真实的交互信息使得蜜罐系统更具迷惑性。但是出于安全性的考虑,将会对这些流量进行严格控制,由对外流量控制装置所制定的策略约束。这样既增加了与攻击者的交互性,同时能够有效的减少蜜罐系统对其他网络设备的危害,减少攻击者以蜜罐作为跳板对其他系统实施攻击的危害。对外流量控制装置只允许部署在交叉区域。
相应的,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置还包括判断单元,该方法还包括:
所述判断单元接收所述用户请求,并在在用户数据库中查找所述用户信息,判断所述用户是否为合法用户,如果是,则将所述蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。
可以理解的是,所述身份认证装置,实现了对蜜罐服务的自适应申请和用户的直接部署申请认证,身份认证装置只允许部署在交叉区域,而对应的用户数据库位于业务系统中。
相应的,当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐构造系统包括计费装置7和计费数据库8,该方法还包括:
所述蜜罐部署装置将产生的计费信息发送至所述计费装置7;
所述计费装置7将所述计费信息生成计费统计表存储在所述计费数据库8中。
具体的,所述计费装置从蜜罐部署装置和日志分析装置中获得计费信息,生成计费统计表并存储在计费数据库中。计费装置和计费数据库均部署在业务系统中。
相应的,所述蜜罐构造系统包括日志分析装置9,该方法包括:
所述日志分析装置9分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置7。
具体的,日志分析装置用于分析大量的日志数据,可以分析得到用户的动态计费数据,从而向计费服务提交计费信息存入数据库,也可以实现更多分析服务可以实现不同的功能。日志分析装置部署在业务系统区域中。
根据本发明实施例二公开的技术方案,将所述的蜜罐构造系统采用微服务架构进行设计,即将蜜罐构造系统分解为多个管理装置分支,每个装置可以很容易进行开发、理解和维护,并且每个分支可以独立部署,不会因为某个分支的故障而影响整个系统。并且根据所述的蜜罐构造方法,通过可疑流量的属性进行蜜罐系统的按需构造,可以通过协议处理服务装置和主机模拟服务装置对所述可疑流量进行响应,并可以通过身份认证装置对蜜罐部署请求进行验证,进而构造蜜罐系统,最终实现了能够自动按需部署蜜罐系统的目的。
实施例三
与本发明实施例一和实施例二所公开的蜜罐构造方法相对应,本发明的实施例三还提供了一种蜜罐构造系统,参见图3,该系统包括:流量分析装置1,由协议处理服务装置21、主机模拟服务装置22和状态监听装置23构成的蜜罐构造装置2,身份认证装置3,蜜罐部署装置4和日志存储装置5,其中,
所述流量分析装置1,用于接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置2中的协议处理服务装置21;
所述协议处理服务装置21,用于模拟易受攻击的协议服务对所述可疑流量进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置5;
当所述攻击流不能满足所设安全阈值时,则所述蜜罐构造装置2,用于将蜜罐部署申请发送至所述身份认证装置,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;
所述身份认证装置3,用于判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置;
所述蜜罐部署装置4,用于将蜜罐部署信息发送至所述主机模拟服务装置;
所述主机模拟服务装置22,用于模拟操作系统的服务对所述可疑流量进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置5。
所述状态监听装置23,用于对所述协议处理服务装置21和主机模拟服务装置22中的响应状态进行监听。
相应的,所述状态监听装置23还包括删除单元和部署单元,其中,
当所述蜜罐构造装置接收到的可疑流量较低时,所述删除单元,用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑流量增多时,所述部署单元,用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。
优选的,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置6,其中,
所述对外流量控制装置6,用于制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
相应的,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置3还包括判断单元,其中,
所述判断单元,用于接收所述用户请求,并在在用户数据库中查找所述用户信息,判断所述用户是否为合法用户,如果是,则将所述蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置4,用于将蜜罐部署信息发送至所述蜜罐构造装置。
相应的,所述蜜罐构造系统包括计费装置7和计费数据库8,其中,
当所述蜜罐部署装置4将蜜罐部署信息发送至所述蜜罐构造装置2时,所述蜜罐部署装置2将产生的计费信息发送至所述计费装置7;
所述计费装置7,用于将所述计费信息生成计费统计表存储在所述计费数据库8中。
相应的,所述蜜罐构造系统包括日志分析装置9,其中,
所述日志分析装置9,用于分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置7。
在本发明的实施例三中,将所述的蜜罐构造系统采用微服务架构进行设计,即将蜜罐构造系统分解为多个管理装置分支,每个装置可以很容易进行开发、理解和维护,并且每个分支可以独立部署,不会因为某个分支的故障而影响整个系统。并且当流量分析装置将可疑流量发送至所述蜜罐构造装置时,所述蜜罐构造装置可以按需进行蜜罐部署与构造,并将产生的日志信息进行存储与分析,最终实现了能够自动按需部署蜜罐系统的目的。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (12)

1.一种蜜罐构造方法,其特征在于,该方法适用于蜜罐构造系统,所述系统包括流量分析装置,由协议处理服务装置、主机模拟服务装置和状态监听装置构成的蜜罐构造装置,身份认证装置,蜜罐部署装置和日志存储装置,所述蜜罐构造方法包括:
所述流量分析装置接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置中的协议处理服务装置;
所述协议处理服务装置模拟易受攻击的协议服务对所述可疑数据流进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置;具体为:当可疑数据流进入蜜罐构造装置时,先由所述协议处理服务装置模拟真实的主机系统服务对所述可疑数据流做出回应,实现低交互蜜罐,按照需要实现和部署应用层、传输层和网络层的各种协议处理服务;
当所述攻击流不能满足所设安全阈值时,则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;具体为,当通过上述的协议处理服务装置实现低交互蜜罐时,所获取到的攻击流有限,即不能满足预设安全阈值时,则蜜罐构造装置通过身份认证装置传递蜜罐部署申请,主动申请部署更多的系统服务,申请构造服务模拟出完整的操作系统,来实现高交互蜜罐;
所述身份认证装置判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置;
所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置;
所述主机模拟服务装置模拟操作系统的服务对所述可疑数据流进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置;
所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。
2.根据权利要求1所述的方法,其特征在于,所述状态监听装置包括删除单元和部署单元,该方法还包括:
当所述蜜罐构造装置接收到的可疑数据流流量较低时,所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑数据流流量增多时,所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。
3.根据权利要求1所述的方法,其特征在于,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置,该方法还包括:
当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述对外流量控制装置制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
4.根据权利要求1所述的方法,其特征在于,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置还包括判断单元,该方法还包括:
所述判断单元接收所述用户请求,并在用户数据库中查找用户信息,判断所述用户是否为合法用户,如果是,则将蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。
5.根据权利要求4所述的方法,其特征在于,当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐构造系统还包括计费装置和计费数据库,该方法还包括:
当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时,所述蜜罐部署装置将产生的计费信息发送至所述计费装置;
所述计费装置将所述计费信息生成计费统计表存储在所述计费数据库中。
6.根据权利要求5所述的方法,其特征在于,所述蜜罐构造系统包括日志分析装置,该方法包括:
所述日志分析装置分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置。
7.一种蜜罐构造系统,其特征在于,所述系统包括流量分析装置,由协议处理服务装置、主机模拟服务装置和状态监听装置构成的蜜罐构造装置,身份认证装置,蜜罐部署装置和日志存储装置,其中,
所述流量分析装置,用于接收外部网络数据流,对所述外部网络数据流进行分析,将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统,所述第一业务系统为所述正常的数据流要访问的业务系统,将可疑数据流发送至蜜罐构造装置中的协议处理服务装置;
所述协议处理服务装置,用于模拟易受攻击的协议服务对所述可疑数据流进行响应,获取所述可疑数据流的攻击流,生成日志信息存储至所述日志存储装置;具体为:当可疑数据流进入蜜罐构造装置时,先由所述协议处理服务装置模拟真实的主机系统服务对所述可疑数据流做出回应,实现低交互蜜罐,按照需要实现和部署应用层、传输层和网络层的各种协议处理服务;
当所述攻击流不能满足所设安全阈值时,则所述协议处理服务装置,用于将蜜罐部署申请发送至所述身份认证装置,其中,所述安全阈值为根据实际情况设定的所要截获的攻击流;具体为,当通过上述的协议处理服务装置实现低交互蜜罐时,所获取到的攻击流有限,即不能满足预设安全阈值时,则蜜罐构造装置通过身份认证装置传递蜜罐部署申请,主动申请部署更多的系统服务,申请构造服务模拟出完整的操作系统,来实现高交互蜜罐;
所述身份认证装置,用于判断所述蜜罐部署请求是否为合法请求,如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置;
所述蜜罐部署装置,用于将蜜罐部署信息发送至所述主机模拟服务装置;
所述主机模拟服务装置,用于模拟操作系统的服务对所述可疑数据流进行响应,将响应结果生成对应的日志信息存储至所述日志存储装置;
所述状态监听装置,用于对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。
8.根据权利要求7所述的系统,其特征在于,所述状态监听装置包括删除单元和部署单元,其中,
当所述蜜罐构造装置接收到的可疑数据流流量较低时,所述删除单元,用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息;
当所述蜜罐构造装置接收到的可疑数据流流量增多时,所述部署单元,用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。
9.根据权利要求7所述的系统,其特征在于,当所述蜜罐构造装置对所述业务系统发送反馈数据流时,所述蜜罐构造系统还包括对外流量控制装置,其中,
所述对外流量控制装置,用于制定约束策略,根据所述约束策略对所述反馈数据流进行限制,将限制后的数据流发送至所述业务系统。
10.根据权利要求7所述的系统,其特征在于,当所述业务系统中的用户发出进行蜜罐构造的用户请求时,所述身份认证装置还包括判断单元,其中,
所述判断单元,用于接收所述用户请求,并在用户数据库中查找用户信息,判断所述用户是否为合法用户,如果是,则将蜜罐构造请求发送至所述蜜罐部署装置;
所述蜜罐部署装置,用于将蜜罐部署信息发送至所述蜜罐构造装置。
11.根据权利要求10所述的系统,其特征在于,所述蜜罐构造系统包括计费装置和计费数据库,其中,
所述计费装置,用于将计费信息生成计费统计表存储在所述计费数据库中。
12.根据权利要求11所述的系统,其特征在于,所述蜜罐构造系统包括日志分析装置,其中,
所述日志分析装置,用于分析所述日志存储装置中的日志信息,并根据所述日志信息获取到相应的计费信息,并将所述计费信息发送至所述计费装置。
CN201710202686.6A 2017-03-30 2017-03-30 一种蜜罐构造方法及系统 Active CN106850690B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710202686.6A CN106850690B (zh) 2017-03-30 2017-03-30 一种蜜罐构造方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710202686.6A CN106850690B (zh) 2017-03-30 2017-03-30 一种蜜罐构造方法及系统

Publications (2)

Publication Number Publication Date
CN106850690A CN106850690A (zh) 2017-06-13
CN106850690B true CN106850690B (zh) 2020-07-24

Family

ID=59141557

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710202686.6A Active CN106850690B (zh) 2017-03-30 2017-03-30 一种蜜罐构造方法及系统

Country Status (1)

Country Link
CN (1) CN106850690B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107493303A (zh) * 2017-09-28 2017-12-19 北京云衢科技有限公司 网络安全防护系统、网络安全防护方法以及存储介质
CN111355691A (zh) * 2018-12-24 2020-06-30 国网信息通信产业集团有限公司 一种异构冗余干扰的关键节点拟态隐匿的方法
CN110198300B (zh) * 2019-03-13 2022-01-14 腾讯科技(深圳)有限公司 一种蜜罐操作系统指纹隐蔽方法及装置
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备
CN110391937B (zh) * 2019-07-25 2022-03-04 哈尔滨工业大学 一种基于soap服务模拟的物联网蜜网系统
CN114650153B (zh) * 2020-12-17 2024-04-05 浙江宇视科技有限公司 一种视频网络安全风险防范系统及防范方法
CN112788043B (zh) * 2021-01-18 2022-06-14 广州锦行网络科技有限公司 一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统
CN113328992B (zh) * 2021-04-23 2023-03-24 国网辽宁省电力有限公司电力科学研究院 一种基于流量分析的动态蜜网系统
CN114157498B (zh) * 2021-12-07 2022-08-16 上海交通大学 一种基于人工智能的web高交互蜜罐系统及防攻击方法
CN114285628A (zh) * 2021-12-22 2022-04-05 北京知道创宇信息技术股份有限公司 一种蜜罐部署方法、装置、系统及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102957704A (zh) * 2012-11-09 2013-03-06 北京神州绿盟信息安全科技股份有限公司 一种确定mitm攻击的方法、装置及系统
CN104980423A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种高级可持续威胁诱捕系统及方法
CN106357637A (zh) * 2016-09-13 2017-01-25 国家电网公司 一种针对智慧能源终端数据的主动防御系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102957704A (zh) * 2012-11-09 2013-03-06 北京神州绿盟信息安全科技股份有限公司 一种确定mitm攻击的方法、装置及系统
CN104980423A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种高级可持续威胁诱捕系统及方法
CN106357637A (zh) * 2016-09-13 2017-01-25 国家电网公司 一种针对智慧能源终端数据的主动防御系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
蜜罐技术研究与应用进展;诸葛建伟等;《软件学报》;20130430;第24卷(第4期);正文第834-835页 *

Also Published As

Publication number Publication date
CN106850690A (zh) 2017-06-13

Similar Documents

Publication Publication Date Title
CN106850690B (zh) 一种蜜罐构造方法及系统
Kumari et al. A comprehensive study of DDoS attacks over IoT network and their countermeasures
US9848016B2 (en) Identifying malicious devices within a computer network
Akhunzada et al. Secure and dependable software defined networks
Scott-Hayward et al. SDN security: A survey
US10560434B2 (en) Automated honeypot provisioning system
Nazir et al. Survey on wireless network security
US7409714B2 (en) Virtual intrusion detection system and method of using same
Mairh et al. Honeypot in network security: a survey
Achbarou et al. Securing cloud computing from different attacks using intrusion detection systems
CN113422779A (zh) 一种基于集中管控的积极的安全防御的系统
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
KR101598187B1 (ko) DDoS 공격 차단 방법 및 장치
Mack Cyber security
Gomez et al. Hands-on lab on smart city vulnerability exploitation
Chiu et al. Detecting DoS and DDoS attacks by using CuSum algorithm in 5G networks
JP2018098727A (ja) サービスシステム、通信プログラム、及び通信方法
Kaur et al. Intrusion detection system using honeypots and swarm intelligence
Hassani et al. SDN Security: A Survey
ULANC et al. Deliverable D4. 2
Dao Research and deploy a network attack detection and warning system using snort
Foo Network Isolation and Security Using Honeypot
CN118316634A (zh) 报文检测方法、靶场系统、安全检测设备及报文检测系统
CN115499198A (zh) 蜜罐管理方法、装置、蜜罐防御系统及存储介质
Saxena Next Generation Intelligent Network Intrusion Prevention System

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant after: State Grid Co., Ltd.

Applicant after: Information and communication branch of Jiangsu Electric Power Co., Ltd.

Address before: 100031 Xicheng District West Chang'an Avenue, No. 86, Beijing

Applicant before: State Grid Corporation

Applicant before: INFORMATION COMMUNICATION BRANCH, STATE GRID JIANGSU ELECTRIC POWER COMPANY

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant