CN108429762A - 一种基于服务角色变换的动态蜜罐防御方法 - Google Patents
一种基于服务角色变换的动态蜜罐防御方法 Download PDFInfo
- Publication number
- CN108429762A CN108429762A CN201810329274.3A CN201810329274A CN108429762A CN 108429762 A CN108429762 A CN 108429762A CN 201810329274 A CN201810329274 A CN 201810329274A CN 108429762 A CN108429762 A CN 108429762A
- Authority
- CN
- China
- Prior art keywords
- service
- host
- transformation
- ser
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于服务角色变换的动态蜜罐防御方法,该方法通过竞选机制使蜜罐服务器机群的变换控制伪随机化,生成多种服务角色数量与位置的随机变换信息,形成一种亦真亦假的动态蜜罐陷阱,迷惑攻击者。内部变换种类数量随主机数增加而呈现类似指数函数的趋势,该数量空间保证了攻击者无法获取具体的变换信息,服务器将通过加密的方式传输真实服务信息至合法客户端,从而使其建立与真实服务端口的有效连接,同时,利用sniffer监听端口访问流量,任何对蜜罐服务端口的访问都将被标记为非法访问,实现攻击流量迅速识别,保护防御方资源,达到主动防御的目的。
Description
技术领域
本发明为网络安全领域,涉及一种基于服务角色变换的动态蜜罐防御方法,通过构建动态变换的蜜罐阵列,形成亦真亦假的攻击诱骗陷阱,迅速识别攻击请求,实现对服务器真实资源的主动防护。
背景技术
信息时代下的网络安全问题尤为突出,其中,针对服务器端系统资源的各种攻击手段层出不穷,传统的网络防御技术一直处于被动防护状态,占据主动性的攻击方利用各种漏洞发起攻击,实施系统资源非法获取或恶意破坏。而蜜罐作为一种具有诱骗性质的资源工具,协助防御方达到欺骗攻击者、消耗攻击资源的目的,因此,蜜罐是网络安全领域内的一种主动防御技术。然而传统的蜜罐技术较为单一,其诱骗特征易被敌手识别。
蜜罐系统诱骗与蜜罐攻击识别形成了对立博弈关系,在防御方利用各种仿真工具或虚拟系统构建诱骗资源的同时,攻击者也在尝试学习蜜罐诱骗特征,并形成了反蜜罐技术体系,用于准确识别蜜罐系统,避开诱骗陷阱,从而破坏真实系统资源,达到某种攻击目的。在攻击者具备蜜罐识别能力的前提下进行真实系统防御成为防御者防护方案的基础必要条件。
当前存在的多数蜜罐技术方案中,将攻击者的识别技术作为一种防御对抗目标,利用各种手段提高伪装诱骗性,如利用真实系统构建蜜罐诱骗环境、动态调整蜜罐系统内部参数等,这些方案降低了攻击者的蜜罐识别度,然而被保护系统仍旧处于部署位置静态不变的状态,这种静态性使防御方的价值性资源易受到攻击损坏。
发明内容
本发明为解决静态服务部署系统的弱防护问题,以提高受保护服务端的安全性,提出了一种基于服务角色变换的动态蜜罐防御方法,通过对多种服务角色的不断变化,形成真假服务组合,迅速识别攻击流量。由于多服务角色变换的存在,将对攻击者形成一种迷惑,无法获知真实资源与虚假资源的确定性信息,实施反向打击。其特征在于以下步骤:
(1)在对外提供服务的服务器端部署n台服务主机,即Seri∈{Ser0,Ser1,…,Sern-1},构建P2P网络拓扑结构,各个主机具有平等性,担任服务器机群通信过程的信息发送方和接收方,同时作为通信的服务器与客户端;
(2)于每台服务主机中部署m种不同的服务,即Srvj∈{Srv0,Srv1,…,Srvm-1},这些服务将对外开放,用以保障合法用户的正常访问和恶意请求识别;
(3)在n台主机中伪随机竞选出某个主机Seri,生成下一T期间的服务变换信息;
(4)主机Seri将服务变换信息分别发送给其它n-1台主机,在服务器主机集群内部进行一次服务变换,每个主机都将根据变换信息对服务实施开启、关闭操作;
(5)向合法客户端发送利用非对称加密技术加密后的真实服务IP,保证合法用户对真实资源的访问请求,客户端利用私钥进行解密操作,并建立合法连接;
(6)在每台主机内利用sniffer监听端口访问情况,对于访问蜜罐服务端口的流量标记为恶意外部攻击;
(7)下一T周期开始前,利用伪随机策略竞选出新的主机,进入新一轮的循环。
本发明具有以下有益技术效果:
较之其它位置固定的对外蜜罐服务或真实服务,此方法综合考虑到敌手的识别技术,通过伪随机的服务变换,构成两种蜜罐保护层,分别为服务主机内部不同服务蜜罐保护和不同服务主机之间同种服务蜜罐保护,在保证合法用户正常连接的情况下,迅速识别蜜罐恶意访问,使攻击者无法在多变的真假服务中实现针对性资源攻击。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面结合附图与具体实施方案对本发明做进一步说明:
图1为发明公开的基于服务角色变换的动态蜜罐防御方法单次服务变换流程图;
图2为发明公开的基于服务角色变换的动态蜜罐防御方法内部服务架构示例图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
本发明采用服务角色数量与种类变换的方式实现服务器集群中真实服务与蜜罐服务的动态调整,在这种动态的蜜罐系统中,具备识别能力的攻击者亦无法区分真假服务。此外,通过对端口的监听,可迅速进行非法访问请求判断。该发明主要包含以下几个步骤:
a.在对外提供服务的服务器端部署n台服务主机,即Seri∈{Ser0,Ser1,…,Sern-1},构建P2P网络拓扑结构,各个主机具有平等性,担任服务器机群通信过程的信息发送方和接收方,同时作为通信的服务器与客户端;
b.于每台服务主机中部署m种不同的服务,即Srvj∈{Srv0,Srv1,…,Srvm-1},这些服务将对外开放,用以保障合法用户的正常访问和恶意请求识别,在这种模式下,对于单个服务主机提供多服务的情况,各个主机具有2m-1种服务变换选择,即 在这种情况下,具有种(服务器,服务类型)组合,为保证对合法用户提供全部服务,需剔除每行Type′0∪Type′1∪…∪Type′n-1中服务总数小于m的情况,数量为extrNum,Type′i表示每行中被选中的服务类型;
c.在n台主机中伪随机竞选出某个主机Seri,生成下一T期间的服务变换信息,若某台主机出现故障,根据竞选机制对于主机运行状态的要求,将自动退出竞选;
d.主机Seri根据P2P网络中的IP列表,将服务变换加密信息分别发送给其它n-1台主机,其中,变换信息首行是由服务编号SerNo与二进制01编码组成,接收方在解密信息之后,将编号1-n与01编码按位比对,1编码表示开启该编号对应服务,0编码表示关闭该编号对应服务,获取具体开关服务信息SerNo′,判断SerNo与SerNo′是否相等,相等则表示接收了正确的变换信息,接收方将根据此信息对服务实施开启、关闭操作,在服务器主机集群内部进行一次服务变换;
e.向合法客户端发送利用非对称加密技术加密后的真实服务IP,保证合法用户对真实资源的访问请求,客户端利用私钥进行解密操作,并与获取到的IP建立合法连接;
f.在每台主机内利用sniffer监听端口访问情况,由于服务器端将每次变换之后的真实服务IP发送至合法客户端,保证了合法用户与真实服务资源的同步,即合法用户将访问真实服务而非蜜罐服务,其中变换种类的数量为(2m-1)n-extrNum种,随服务主机数量的增加而呈现似指数级的增长,数量空间大,加之存在伪随机变换,攻击者无法获知具体变换信息,因此,任何访问蜜罐服务端口的流量将被标记为恶意外部攻击,实现了外部攻击流量的快速识别;
g.服务变换以周期间隔进行,在下一周期开始前,利用伪随机策略竞选出新的主机,进入新一轮的循环。
本发明主要针对服务器端蜜罐与真实服务静态易识别问题提出多种服务角色变换的蜜罐主动性防御方法,通过亦真亦假的服务变换,能够迷惑攻击者,使其无法发起精准攻击。在这种变换模式下,通过合法客户端同步通信,保证合法用户与真实服务的连接,由于变换模式的伪随机性和类似指数函数趋势增长的空间数量,攻击者无法获取具体变换数据,通过端口监听,任何对蜜罐服务的访问都将被识别,保证防御方服务器安全性。
Claims (4)
1.一种基于服务角色变换的动态蜜罐防御方法,其特征在于包含以下步骤:
a.在对外提供服务的服务器端部署n台服务主机,即Seri∈{Ser0,Ser1,…,Sern-1},构建P2P网络拓扑结构,各个主机具有平等性,担任服务器机群通信过程的信息发送方和接收方,同时作为通信的服务器与客户端;
b.于每台服务主机中部署m种不同的服务,即Srvj∈{Srv0,Srv1,…,Srvm-1},这些服务将对外开放,用以保障合法用户的正常访问和恶意请求识别;
c.在n台主机中伪随机竞选出某个主机Seri,生成下一T期间的服务变换信息;
d.主机Seri将服务变换信息分别发送给其它n-1台主机,在服务器主机集群内部进行一次服务变换,每个主机都将根据变换信息对服务实施开启、关闭操作;
e.向合法客户端发送利用非对称加密技术加密后的真实服务IP,保证合法用户对真实资源的访问请求,客户端利用私钥进行解密操作,并建立合法连接;
f.在每台主机内利用sniffer监听端口访问情况,对于访问蜜罐服务端口的流量标记为恶意外部攻击;
g.下一T周期开始前,利用伪随机策略竞选出新的主机,进入新一轮的循环。
2.根据权利要求1所述的一种基于服务角色变换的动态蜜罐防御方法,其特征在于:
所述步骤b中对于单个服务主机提供多服务的情况,各个主机具有2m-1种服务变换选择,即在这种情况下,具有种(服务器,服务类型)组合,为保证对合法用户提供全部服务,需剔除每行Type′0∪Type′1∪…∪Type′n-1中服务总数小于m的情况,数量为extrNum,Type′i表示每行中被选中的服务类型。
3.根据权利要求1所述的一种基于服务角色变换的动态蜜罐防御方法,其特征在于:
所述步骤d中,主机Seri根据P2P网络中的IP列表,将服务变换加密信息分别发送给其它n-1台主机,其中,变换信息首行是由服务编号SerNo与二进制01编码组成,接收方在解密信息之后,将编号1-n与01编码按位比对,1编码表示开启该编号对应服务,0编码表示关闭该编号对应服务,获取具体开关服务信息SerNo′,判断SerNo与SerNo′是否相等,相等则表示接收了正确的变换信息,接收方将根据此信息对服务实施开启、关闭操作,在服务器主机集群内部进行一次服务变换。
4.根据权利要求1所述的一种基于服务角色变换的动态蜜罐防御方法,其特征在于:
所述步骤f中,由于服务器端将每次变换之后的真实服务IP发送至合法客户端,保证了合法用户与真实服务资源的同步,即合法用户将访问真实服务而非蜜罐服务,其中变换种类的数量为(2m-1)n-extrNum种,随服务主机数量的增加而呈现类似指数级的增长,数量空间大,加之存在伪随机变换,攻击者无法获知具体变换信息,因此,任何访问蜜罐服务端口的流量将被标记为恶意外部攻击,实现了外部攻击流量的快速识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810329274.3A CN108429762B (zh) | 2018-04-13 | 2018-04-13 | 一种基于服务角色变换的动态蜜罐防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810329274.3A CN108429762B (zh) | 2018-04-13 | 2018-04-13 | 一种基于服务角色变换的动态蜜罐防御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108429762A true CN108429762A (zh) | 2018-08-21 |
CN108429762B CN108429762B (zh) | 2020-09-01 |
Family
ID=63160863
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810329274.3A Expired - Fee Related CN108429762B (zh) | 2018-04-13 | 2018-04-13 | 一种基于服务角色变换的动态蜜罐防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108429762B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113365A (zh) * | 2019-06-05 | 2019-08-09 | 中国石油大学(华东) | 一种用于Web服务的移动目标防御系统协同控制方法 |
CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐系统 |
CN112637226A (zh) * | 2020-12-28 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 站点访问响应方法、装置及电子设备 |
WO2022111268A1 (en) * | 2020-11-25 | 2022-06-02 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102387151A (zh) * | 2011-11-01 | 2012-03-21 | 天津大学 | 一种p2p网络中基于块的病毒检测方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
US8726379B1 (en) * | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
CN104683346A (zh) * | 2015-03-06 | 2015-06-03 | 西安电子科技大学 | 基于流量分析的p2p僵尸网络检测装置及方法 |
CN106663172A (zh) * | 2014-07-23 | 2017-05-10 | 高通股份有限公司 | 用于检测以移动设备的行为安全机制为目标的恶意软件和攻击的方法和系统 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
-
2018
- 2018-04-13 CN CN201810329274.3A patent/CN108429762B/zh not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8726379B1 (en) * | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
CN102387151A (zh) * | 2011-11-01 | 2012-03-21 | 天津大学 | 一种p2p网络中基于块的病毒检测方法 |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN103384240A (zh) * | 2012-12-21 | 2013-11-06 | 北京安天电子设备有限公司 | 一种p2p主动防御方法及系统 |
CN106663172A (zh) * | 2014-07-23 | 2017-05-10 | 高通股份有限公司 | 用于检测以移动设备的行为安全机制为目标的恶意软件和攻击的方法和系统 |
CN104683346A (zh) * | 2015-03-06 | 2015-06-03 | 西安电子科技大学 | 基于流量分析的p2p僵尸网络检测装置及方法 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
Non-Patent Citations (3)
Title |
---|
李婕: "基于动态阵列蜜罐的协同式网络防御研究", 《万方》 * |
石乐义,李婕,刘昕: "基于动态阵列蜜罐的协同网络防御策略研究", 《通信学报》 * |
谢静,谭良: "蜜罐先知型半分布式P2P Botnet的构建及检测方法", 《计算机工程与应用》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110113365A (zh) * | 2019-06-05 | 2019-08-09 | 中国石油大学(华东) | 一种用于Web服务的移动目标防御系统协同控制方法 |
CN111541670A (zh) * | 2020-04-17 | 2020-08-14 | 广州锦行网络科技有限公司 | 一种新型动态蜜罐系统 |
WO2022111268A1 (en) * | 2020-11-25 | 2022-06-02 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
GB2616389A (en) * | 2020-11-25 | 2023-09-06 | Ibm | Defense of targeted database attacks through dynamic honeypot database response generation |
US11824894B2 (en) | 2020-11-25 | 2023-11-21 | International Business Machines Corporation | Defense of targeted database attacks through dynamic honeypot database response generation |
CN112637226A (zh) * | 2020-12-28 | 2021-04-09 | 成都知道创宇信息技术有限公司 | 站点访问响应方法、装置及电子设备 |
CN116132090A (zh) * | 2022-11-09 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
CN116132090B (zh) * | 2022-11-09 | 2024-04-02 | 中国电子科技集团公司第三十研究所 | 一种面向Web安全防护的欺骗防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108429762B (zh) | 2020-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108429762A (zh) | 一种基于服务角色变换的动态蜜罐防御方法 | |
Masdari et al. | A survey and taxonomy of DoS attacks in cloud computing | |
CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
Loukas et al. | Protection against denial of service attacks: A survey | |
Peng et al. | Survey of network-based defense mechanisms countering the DoS and DDoS problems | |
Gupta et al. | Bandwidth spoofing and intrusion detection system for multistage 5G wireless communication network | |
Shi et al. | Dynamic distributed honeypot based on blockchain | |
CN101345753B (zh) | 一种p2p网络中面向资源的信任评价方法 | |
Fenil et al. | Survey on DDoS defense mechanisms | |
CN111464503A (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
Tripathi et al. | Analysis of various ARP poisoning mitigation techniques: A comparison | |
Jajula et al. | Review of Detection of Packets Inspection and Attacks in Network Security | |
He et al. | How effective are the prevailing attack-defense models for cybersecurity anyway? | |
Aamir et al. | Ddos attack and defense: Review of some traditional and current techniques | |
Chehida et al. | Exploration of impactful countermeasures on IoT attacks | |
CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
CN102325132B (zh) | 一种系统层安全dns防护方法 | |
Swati et al. | Design and analysis of DDoS mitigating network architecture | |
Gao et al. | A cyber deception defense method based on signal game to deal with network intrusion | |
CN110601878B (zh) | 一种构建隐身网络的方法 | |
Kalangi et al. | A Hybrid IP Trace Back Mechanism to Pinpoint the Attacker | |
Marcillo et al. | Trends on computer security: cryptography, user authentication, denial of service and intrusion detection | |
Chang et al. | A Virtual Network Topology Spoofing Defense Method Based On DCGAN | |
Bhoyar et al. | A novel approach to detect jamming attack by means of game theory | |
Ilyas et al. | Security Mechanisms for attacks on MAC Layer of Wireless Mesh Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200901 |
|
CF01 | Termination of patent right due to non-payment of annual fee |