CN110071929B - 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 - Google Patents
一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 Download PDFInfo
- Publication number
- CN110071929B CN110071929B CN201910350588.6A CN201910350588A CN110071929B CN 110071929 B CN110071929 B CN 110071929B CN 201910350588 A CN201910350588 A CN 201910350588A CN 110071929 B CN110071929 B CN 110071929B
- Authority
- CN
- China
- Prior art keywords
- virtualization
- host
- bait
- virtual
- defense system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法,包括如下步骤:在虚拟化平台通过虚拟化技术设计专用的虚拟化交换防御系统,并组建网桥br0;在虚拟化平台创建若干虚拟主机;通过专用的虚拟化交换防御系统自动在虚拟化平台自动创建分布式虚拟化交换机;将虚拟主机通过虚拟网卡连接到虚拟交换机完成接入层部署;将专用的虚拟化交换防御系统连接到分布式虚拟化交换机;在内网中,专用的虚拟化交换防御系统进行ARP Ping存活探测;专用的虚拟化交换防御系统虚拟出诱饵主机;黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击;抵御黑客或者勒索病毒的攻击。本发明可以结合基于软件定义网络,部署在基于虚拟化技术的各类平台中,具有广泛的应用前景。
Description
技术领域
本发明涉及计算机网络及虚拟化平台防护领域,具体涉及一种基于虚拟化平台的大量部署诱饵主机探测拦截内部攻击源的防御方法。
背景技术
“南北”向流量指由外网流向内网的流量,一般防火墙部署在网络的出口处,用于“南北”向流量的安全防护。“东西”向流量指网络内部服务器彼此相互访问所产生的内部流量,据统计,目前数据中心75%以上的流量为“东西”向流量。无论是窃取私人信息还是破坏他人声誉,无论是摧毁政府关键基础设施还是让企业处于风险之中,当今的网络犯罪分子正在不断试探网络的安全性和适应性的底线。
尽管技术的发展,随着计算能力、存储能力的大幅度提升,同时“南北”向流量通过边界安全防护已经得到极大的保护,但是“东西”流量(内部边界)的安全,始终是安全防护最薄弱的地方。近期的勒索病毒、黑客的内网渗透,更是撕开了“东西”向流量防护的缺口,任意攻击破坏,给内网安全带来了极大的风险。
(1)传统内网安全防护是采用安全域划分的方式,一般通过划分VLAN/子网的方式进行隔离,并通过防火墙进行控制,这样传统的管理方式带来了以下几个问题:
a)主机数量的增加,使得过大的VLAN/子网划分会给攻击者提供较大的攻击范围,一旦有一台主机被控制,东西流量的防护就会彻底奔溃;
b)安全域的细分,部署大量的防火墙做内网访问控制,是很难实现的,尤其是在虚拟化平台;
c)在新增或者改变原有业务的时候,安全人员必须手动修改安全策略,容易造成配置错误;
d)网络拓扑体量大了以后,防火墙的配置容易出错;
e)0day新发现的安全漏洞的每天更新,导致了传统的防护措施不能及时更新,会导致攻击、病毒大量传播;
f)内部人员的外部访问、带来的外部U盘导致外部病毒、木马在内部网络传播无法得到有效的控制。
(2)传统的蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。部署蜜罐存在以下无法解决的问题:
a)蜜罐大多通过虚拟化技术创建,一个蜜罐即需要创建一台虚拟机,如果需要大批量部署蜜罐,需要消耗大量的计算和存储资源,因此,在实际应用环境中不可能在虚拟化平台部署大量的蜜罐,高密度海量部署也只是停留在技术理论层面。而通过本发明,只需要一台普通虚拟机的资源即可创建出海量的陷阱主机(vTrap)来完成原本蜜罐达到的目的。
b)大多在虚拟化平台上部署蜜罐主机的数量与真实主机的数量比例为1:10~100,攻击者进入蜜罐环境的概率很低,而通过本发明在虚拟化平台上创建的陷阱主机(vTrap)数量与真实主机的数量比例至少为10~100:1,捕获攻击者和恶意程序的几率可以无限接近于100%。
c)部署一个蜜罐或蜜网时,保密极为重要。如果攻击者知道这是一个陷阱,除一些自动化的攻击工具(如一些蠕虫)外,攻击者不会尝试攻击它;
d)一些低交互性的蜜罐,其模拟的服务,会很容易被攻击者识别出蜜罐的身份。对于一个复杂系统的任何模仿总与真实的系统有不同点;
e)如果一个高交互性的蜜罐被破坏或利用,那么攻击者会尝试将它用作一个破坏或控制其它系统的中转跳板;
f)由于内网的交换环境是一个完全放行的环境,蜜罐无法快速对内网的攻击者做出快速的拦截措施;
因此,需要一种能够解决当前虚拟化平台上的东西向流量安全防护问题的方法。
发明内容
为了克服现有技术中存在的不足,提供了一种基于虚拟化平台的大量部署诱饵主机探测拦截内网攻击源的防御方法,是一种防止勒索病毒爆发和阻止黑客渗透的攻击发现和安全防护技术,解决了内网中网络攻击难以发现和拦截的问题。
为实现上述目的,本发明提供了一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法,包括如下步骤:
步骤1:在虚拟化平台通过虚拟化技术设计虚拟化交换防御系统,并通过虚拟化交换防御系统组建网桥br0;
步骤2:基于部署各类操作系统和软件,在虚拟化平台创建若干虚拟主机;
步骤3:基于连接虚拟主机和虚拟交换防御系统,通过虚拟化交换防御系统自动在虚拟化平台自动创建分布式虚拟化交换机;
步骤4:将虚拟主机通过虚拟网卡连接到分布式虚拟化交换机完成接入层部署;
步骤5:将虚拟化交换防御系统连接到分布式虚拟化交换机;
步骤6:在内网中,虚拟化交换防御系统进行ARP Ping存活探测;
步骤7:虚拟化交换防御系统虚拟出诱饵主机(vTrap);
步骤8:黑客进入内网,进行内网渗透,黑客探测到诱饵主机(vTrap),并进行攻击;
步骤9:抵御黑客或者勒索病毒的攻击。
进一步改进,所述的步骤1的具体步骤如下:
1-1:在虚拟化平台创建一台虚拟机,该虚拟机配备4核cpu,4G内存,10G存储空间,2块虚拟网卡;
1-2:虚拟机安装Linux操作系统,并在操作系统中部署虚拟化交换防御软件,形成一套虚拟化交换防御系统;
1-3:虚拟化交换防御系统将接收到的流量去除Vlan TAG,同时生成与Vlan相同数量的vNIC;
1-4:虚拟化交换防御系统生成与vNIC数量相同的vPort,vPort与vNIC连接,接收流量并进行转发和处理;
1-5:将多个vPort组成一个网桥br0,并给网桥br0绑定一个内网地址。
进一步改进,所述步骤3的具体步骤为:
在虚拟化交换防御系统中输入虚拟化平台控制端IP,用户名,密码,需要生成的vPort数量,虚拟化交换防御系统即可按需求自动运行脚本在虚拟化平台中生成分布式虚拟化交换机。
进一步改进,所述步骤4的具体步骤为:
将步骤2创建的虚拟主机接入步骤3创建的分布式虚拟交换机的VLAN,每个主机连接一个VLAN。
进一步改进,所述步骤5的具体步骤为:在虚拟化平台中将专用的虚拟化交换防御系统的1块虚拟网卡与虚拟化平台的虚拟分布式交换机通过trunk方式连接;另外1块虚拟网卡连接到外部网络。
进一步改进,所述步骤6的具体步骤为:
6-1:虚拟化交换防御系统通过网桥br0的内网地址向整个内网发送ARP Ping广播报文;
6-2:虚拟化交换防御系统通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址。
进一步改进,所述步骤7的具体步骤为:
7-1:虚拟化交换防御系统在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为虚拟诱饵主机的IP和MAC地址;
7-2:虚拟诱饵主机上面开启监听常用网络端口,作为诱饵端口;
7-3:虚拟化交换防御系统在网络里面虚拟产生超过1万台虚拟诱饵主机。
进一步改进,所述步骤8的具体步骤为:当攻击者访问到虚拟诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,虚拟诱饵主机立即记录攻击者的IP。
进一步改进,所述步骤9的具体步骤为:
9-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
9-2:诱饵主机受到攻击并到达3次以上的攻击次数,诱饵主机会通知专用的虚拟化交换防御系统攻击机的IP地址,虚拟化交换防御系统会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机,从而抵御黑客或者勒索病毒的攻击。
进一步改进,所述虚拟化交换防御软件包括:
虚拟网卡:由虚拟化平台创建虚拟机时生成;
TRUNK TAG处理模块:用于从虚拟网卡中获取带TAG的TRUNK数据,将TRUNK数据中的VLAN TAG剥离,并生成多个vNIC;
虚拟网桥模块:用于建立网桥br0,并将多个vNIC加入网桥br0,开启网桥br0;
诱饵主机群模块包括2个子模块:诱饵主机生成模块、存活虚拟主机探测模块;
所述诱饵主机生成模块:用于生成诱饵主机,包括产生IP地址和服务TCP端口;所述存活虚拟主机探测模块:用于通过ARP PING探测网络中已经被使用的IP地址;
访问分析与阻断模块:用于对诱饵主机的访问进行分析,并告知网桥br0丢弃相应数据包。
该专用的虚拟化交换防御系统部署在内网中,通过对整个内网发送ARP PING(ARP,Address Resolution Protocol,是根据IP地址获取物理地址的一个TCP/IP协议)广播报文,确认内网存活的真实主机IP地址;接着,在不存活主机的IP地址中投放大量的虚拟的诱饵主机;该专用的虚拟化交换防御系统通过CPU和内存在网络层虚拟出可达真实主机1万倍数量的诱饵主机(比如真实主机100台,诱饵主机为100万台);诱饵主机有虚拟的IP地址和TCP端口,内部或者外部设备可以PING通并可以访问这些诱饵主机开放端口。
当黑客进行内网渗透或者勒索病毒进行传播感染时,首先会全网扫描存活IP得治及其开放端口,然后对内网中存活的IP进行尝试连接和攻击,因此,一旦诱饵主机受到扫描或尝试连接并到达一定次数,诱饵主机会通知专用的虚拟化交换防御系统攻击机的IP地址,专用的虚拟化交换防御系统会立刻对该攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机,从而抵御黑客或者勒索病毒的攻击。
与现有技术相比,本发明的有益效果在于:
本发明提供了一种有效地进行虚拟化平台中虚拟机之间(“东西”向流量)的安全防护,提高了引诱攻击者进入诱饵主机的概率,降低了攻击者访问到真实主机的概率,能用于解决勒索病毒爆发、黑客进行内网渗透的安全问题,而且能准确定位攻击主机的IP地址,并有效封锁。本发明是基于软件定义网络技术的专用虚拟化交换防御系统,可以部署在基于虚拟化平台的所有系统中,具有广泛的应用前景。
附图说明
图1为本发明防御系统的功能模块总体示意图;
图2为本发明的TRUNK TAG处理模块示意图;
图3为本发明的虚拟网桥模块示意图;
图4为本发明的存活虚拟主机探测子模块示意图;
图5为本发明的诱饵主机生成子模块示意图;
图6为本发明的访问分析与阻断模块示意图;
图7为本发明防御方法的虚拟化部署图;
图8为本发明的软件架构图。
具体实施方式
下面结合附图和具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
实施例1:
如图1-6所示,一种虚拟化交换防御软件,该系统包括:
虚拟网卡:由虚拟化平台创建虚拟机时生成;
TRUNK TAG处理模块:用于从虚拟网卡中获取带TAG的TRUNK数据,将TRUNK数据中的VLAN TAG剥离,并生成多个vNIC;
虚拟网桥模块:用于建立网桥br0,并将多个vNIC加入网桥br0,开启网桥br0;
诱饵主机群模块包括2个子模块:诱饵主机生成模块、存活虚拟主机探测模块;
所述诱饵主机生成模块:用于生成诱饵主机,包括产生IP地址和服务TCP端口;所述存活虚拟主机探测模块:用于通过ARP PING探测网络中已经被使用的IP地址;
访问分析与阻断模块:用于对诱饵主机的访问进行分析,并告知网桥br0丢弃相应数据包。
实施例2:
如图7-8所示,一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法,
步骤1:在虚拟化平台通过虚拟化技术设计虚拟化交换防御系统,并通过虚拟化交换防御系统组建网桥br0;具体为:
1-1:在虚拟化平台创建一台虚拟机,该虚拟机配备4核cpu,4G内存,10G存储空间,2块虚拟网卡;
1-2:虚拟机安装Linux操作系统,并在操作系统中部署虚拟化交换防御软件,形成一套虚拟化交换防御系统;
1-3:虚拟化交换防御系统将接收到的流量去除Vlan TAG,同时生成与Vlan相同数量的vNIC;
1-4:虚拟化交换防御系统生成与vNIC数量相同的vPort,vPort与vNIC连接,接收流量并进行转发和处理;
1-5:将多个vPort组成一个网桥br0,并给网桥br0绑定一个内网地址;
步骤2:基于部署各类操作系统和软件,在虚拟化平台创建若干虚拟主机;
步骤3:基于连接虚拟主机和虚拟交换防御系统,通过虚拟化交换防御系统自动在虚拟化平台自动创建分布式虚拟化交换机;具体为:在虚拟化交换防御系统中输入虚拟化平台控制端IP,用户名,密码,需要生成的vPort数量,虚拟化交换防御系统即可按需求自动运行脚本在虚拟化平台中生成分布式虚拟化交换机;
步骤4:将虚拟主机通过虚拟网卡连接到分布式虚拟化交换机完成接入层部署;具体步骤为:将步骤2创建的虚拟主机接入步骤3创建的分布式虚拟交换机的VLAN,每个主机连接一个VLAN;
步骤5:将虚拟化交换防御系统连接到分布式虚拟化交换机;具体为:在虚拟化平台中将虚拟化交换防御系统的1块虚拟网卡与虚拟分布式交换机通过trunk方式连接,在步骤1-3中trunk用于接收流量;另外1块虚拟网卡连接到外部网络;
步骤6:在内网中,虚拟化交换防御系统进行ARP Ping存活探测;具体为:
6-1:虚拟化交换防御系统通过网桥br0的内网地址向整个内网发送ARP Ping广播报文;
6-2:虚拟化交换防御系统通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址;
步骤7:虚拟化交换防御系统虚拟出诱饵主机;具体为:
7-1:虚拟化交换防御系统在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为虚拟诱饵主机的IP和MAC地址;
7-2:虚拟诱饵主机上面开启监听常用网络端口,作为诱饵端口;
7-3:虚拟化交换防御系统在网络里面虚拟产生超过1万台虚拟诱饵主机;
步骤8:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击;具体为:当攻击者访问到虚拟诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,虚拟诱饵主机立即记录攻击者的IP;
步骤9:抵御黑客或者勒索病毒的攻击;具体为:
9-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
9-2:诱饵主机受到攻击并到达3次以上的攻击次数,诱饵主机会通知虚拟化交换防御系统攻击机的IP地址,虚拟化交换防御系统会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
实施例3:
一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:具体操作步骤如下:
步骤1):在虚拟化平台创建一台虚拟机,该虚拟机配备4核cpu,4G内存,10G存储空间,2块虚拟网卡;
步骤2):虚拟机安装Linux操作系统,并在操作系统中部署实施例1中的虚拟化交换防御软件,形成一套虚拟化交换防御系统;
步骤3):该虚拟化交换防御软件中的TRUNK TAG处理模块从虚拟网卡中获取带TAG的TRUNK数据,将TRUNK数据中的VLAN TAG剥离,同时生成与Vlan相同数量的vNIC;
步骤4):通过虚拟化交换防御软件中的诱饵主机生成模块生成与vNIC数量相同的vPort,vPort与vNIC连接,接收流量并进行转发和处理;
步骤5):通过虚拟化交换防御软件中的虚拟网桥模块将多个vPort组成一个网桥br0,并给网桥br0绑定一个内网地址;
步骤6):在虚拟化平台创建若干虚拟主机,用于部署各类操作系统和软件;
步骤7):在虚拟化交换防御系统中输入虚拟化平台控制端IP,用户名,密码,需要生成的vPort数量,虚拟化交换防御系统即可按需求自动运行脚本在虚拟化平台中生成分布式虚拟化交换机;
步骤8):将步骤6):中创建的虚拟主机与步骤7):中创建的分布式虚拟交换机的VLAN对接,每个虚拟主机连接一个VLAN;
步骤9):在虚拟化平台中将虚拟化交换防御系统的1块虚拟网卡与虚拟化平台的虚拟分布式交换机通过trunk方式连接,1块虚拟网卡连接到外部网络;
步骤10):在内网中,存活虚拟主机探测模块先读取IP生成陷进主机地址段,在通过网桥br0的内网地址向整个内网发送ARP Ping广播报文,通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址;
步骤11):诱饵主机生成模块在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为虚拟诱饵主机(vTrap)的IP和MAC地址;
在虚拟诱饵主机(vTrap)上面开启监听常用网络端口,如22/139/445/1433/1521/3389等常用端口,作为诱饵端口;
虚拟化交换防御系统通过CPU和内存在网络里面可以虚拟产生超过1万台虚拟诱饵主机(vTrap),那么攻击者在进行攻击时,有极大的概率访问到诱饵主机;
步骤12):当攻击者访问到虚拟诱饵主机(vTrap)的诱饵端口,通过病毒或木马进行攻击,来获取控制权,虚拟诱饵主机(vTrap)立即记录攻击者的IP;
步骤13):访问分析与阻断模块读取攻击者的IP,统计相同源IP访问次数,到达3次以上(诱饵主机受到攻击并到达3次以上的攻击次数,该次数可以自定义,默认为3次),在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;然后诱饵主机会通知虚拟化交换防御系统攻击机的IP地址,虚拟化交换防御系统会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
实施例4:
某单位虚拟化平台有5台物理主机,安装了Vmware Exsi 6.7,部署有40台虚拟主机,操作系统有Windows 2018,Windows 2012,Linux,SentOS,Ubuntu等等,通过TCP/IP协议进行连接,之前通过Vmware中的VDS组成局域网;整个局域网IP地址段为192.168.0.0/16;Vmware控制台IP为192.168.1.1;现利用本申请的方法,在Vmware Exsi 6.7中部署实施例1中的专用的虚拟化交换防御软件,形成一套专用的虚拟化交换防御系统,该系统的主要工作原理、步骤如下:
1)在虚拟化交换防御系统的配置界面输入Vmware的控制端IP、用户名、密码,生成的VLAN数量为40;配置应用后,虚拟化交换防御系统会向Vmware发送指令,Vmware接收到指令后,生成一台全新的分布式虚拟化交换机,上面有40个Vlan;
2)将40台虚拟主机分别接入到步骤1生成的40个Vlan中;
3)在虚拟化平台中将虚拟化交换防御系统的1块虚拟网卡与步骤1生成的虚拟分布式交换机通过trunk方式连接,1块虚拟网卡连接到外部网络;
4)先通过虚拟化交换防御系统中的TRUNK TAG处理模块从物理主机的虚拟网卡中获取带TAG的TRUNK数据,将TRUNK数据中的VLAN TAG剥离,并生成多个vNIC;
5)再通过虚拟化交换防御系统中的虚拟网桥模块将多个vNIC组成一个网桥br0,开启网桥br0,并给网桥br0绑定一个内网地址(192.168.5.2),然后虚拟化交换防御系统中的存活虚拟主机探测模块通过ARP Ping探测到40台虚拟主机的IP和MAC;
6)通过虚拟化交换防御系统中的诱饵主机生成模块在网络层虚拟出500000个具有虚拟的IP和MAC的诱饵主机(vTrap),并在网桥br0上面批量绑定;
7)当40台虚拟主机中有一台虚拟主机(192.168.5.88)被黑客控制,成为肉鸡,黑客利用肉鸡作为跳板,利用工具软件对内网进行探测,黑客探测后发现IP为192.168.6.55的诱饵主机(vTrap),并对该IP的445,3389,1433端口进行连接尝试;
8)当诱饵主机(vTrap)(192.168.6.55)通过访问分析与阻断模块感知到自己开放的端口:445,3389,1433有被连接的行为,并受到黑客攻击的次数达到3次以后,通过网桥br0告知专用的虚拟化交换防御系统攻击者的计算机IP(192.168.5.42);
9)虚拟化交换防御系统中的访问分析与阻断模块会立即对攻击者的计算机(192.168.5.88)阻断并封锁所有端口,黑客无法进行端口探测或攻击;
10)黑客攻击失败,虚拟化平台内部东西向流量安全得到了保障。
上述方法有效地进行虚拟化平台内部流量(“东西”向流量)的安全防护,提高了引诱攻击者进入诱饵主机的概率,降低了攻击者访问到真实虚拟机机的概率,能用于解决勒索病毒爆发、黑客进行虚拟化平台内部渗透的安全问题,而且能准确定位攻击主机的IP地址,并有效封锁。本发明是基于软件定义网络技术的专用虚拟化交换防御系统,可以部署在基于虚拟化平台的所有系统中,具有广泛的应用前景。
以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干变型和改进,这些也应视为属于本发明的保护范围。
Claims (7)
1.一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:包括如下步骤:
步骤1:在虚拟化平台通过虚拟化技术设计虚拟化交换防御系统,并通过虚拟化交换防御系统组建网桥br0:具体步骤如下:
1-1:在虚拟化平台创建一台虚拟机,该虚拟机配备4核cpu,4G内存,10G存储空间,2块虚拟网卡;
1-2:虚拟机安装Linux操作系统,并在操作系统中部署虚拟化交换防御软件,形成一套虚拟化交换防御系统;
1-3:虚拟化交换防御系统将接收到的流量去除Vlan TAG,同时生成与Vlan相同数量的vNIC;
1-4:虚拟化交换防御系统生成与vNIC数量相同的vPort,vPort与vNIC连接,接收流量并进行转发和处理;
1-5:将多个vPort组成一个网桥br0,并给网桥br0绑定一个内网地址;
步骤2:基于部署各类操作系统和软件,在虚拟化平台创建若干虚拟主机;
步骤3:基于连接虚拟主机和虚拟交换防御系统,通过虚拟化交换防御系统自动在虚拟化平台自动创建分布式虚拟化交换机;
步骤4:将虚拟主机通过虚拟网卡连接到分布式虚拟化交换机完成接入层部署:具体步骤为:将步骤2创建的虚拟主机接入步骤3创建的分布式虚拟交换机的VLAN,每个虚拟主机连接一个VLAN;
步骤5:将虚拟化交换防御系统连接到分布式虚拟化交换机;
步骤6:在内网中,虚拟化交换防御系统进行ARP Ping存活探测;
步骤7:虚拟化交换防御系统虚拟出诱饵主机:具体步骤为:
7-1:虚拟化交换防御系统在网桥br0上面批量绑定没有存活主机的IP和MAC地址,作为虚拟诱饵主机的IP和MAC地址;
7-2:虚拟诱饵主机上面开启监听常用网络端口,作为诱饵端口;
7-3:虚拟化交换防御系统在网络里面虚拟产生超过1万台虚拟诱饵主机;
步骤8:黑客进入内网,进行内网渗透,黑客探测到诱饵主机,并进行攻击;
步骤9:抵御黑客或者勒索病毒的攻击。
2.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:所述步骤3的具体步骤为:
在虚拟化交换防御系统中输入虚拟化平台控制端IP,用户名,密码,需要生成的vPort数量,虚拟化交换防御系统即可按需求自动运行脚本在虚拟化平台中生成分布式虚拟化交换机。
3.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:所述步骤5的具体步骤为:在虚拟化平台中将虚拟化交换防御系统的1块虚拟网卡与虚拟分布式交换机通过trunk方式连接,在步骤1-3中trunk用于接收流量;另外1块虚拟网卡连接到外部网络。
4.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:所述步骤6的具体步骤为:
6-1:虚拟化交换防御系统通过网桥br0的内网地址向整个内网发送ARP Ping广播报文;
6-2:虚拟化交换防御系统通过ARP Ping判断内网存活的主机,并记录没有存活主机的IP和MAC地址。
5.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:所述步骤8的具体步骤为:当攻击者访问到虚拟诱饵主机的诱饵端口,通过病毒或木马进行攻击,来获取控制权,虚拟诱饵主机立即记录攻击者的IP。
6.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:所述步骤9的具体步骤为:
9-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包,阻止内网黑客攻击或者勒索病毒的传播;
9-2:诱饵主机受到攻击并到达3次以上的攻击次数,诱饵主机会通知虚拟化交换防御系统攻击机的IP地址,虚拟化交换防御系统会立刻对该黑客攻击主机进行阻断并封锁所有端口,避免攻击主机去攻击其它真实主机或诱饵主机,从而抵御黑客或者勒索病毒的攻击。
7.根据权利要求1所述的基于虚拟化平台的海量诱饵捕获攻击源的防御方法,其特征在于:该虚拟化交换防御软件包括:
虚拟网卡:由虚拟化平台创建虚拟机时生成;
TRUNK TAG处理模块:用于从虚拟网卡中获取带TAG的TRUNK数据,将TRUNK数据中的VLAN TAG剥离,并生成多个vNIC;
虚拟网桥模块:用于建立网桥br0,并将多个vNIC加入网桥br0,开启网桥br0;
诱饵主机群模块包括2个子模块:诱饵主机生成模块、存活虚拟主机探测模块;
所述诱饵主机生成模块:用于生成诱饵主机,包括产生IP地址和服务TCP端口;所述存活虚拟主机探测模块:用于通过ARP PING探测网络中已经被使用的IP地址;
访问分析与阻断模块:用于对诱饵主机的访问进行分析,并告知网桥br0丢弃相应数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910350588.6A CN110071929B (zh) | 2019-04-28 | 2019-04-28 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910350588.6A CN110071929B (zh) | 2019-04-28 | 2019-04-28 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110071929A CN110071929A (zh) | 2019-07-30 |
| CN110071929B true CN110071929B (zh) | 2021-03-16 |
Family
ID=67369427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910350588.6A Active CN110071929B (zh) | 2019-04-28 | 2019-04-28 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110071929B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798412B (zh) * | 2019-10-18 | 2023-05-23 | 北京浪潮数据技术有限公司 | 组播业务处理方法、装置、云平台、设备及可读存储介质 |
| CN111814144B (zh) * | 2020-07-14 | 2023-11-07 | 深信服科技股份有限公司 | 一种泄露数据处理方法、装置、设备及介质 |
| CN112019545B (zh) * | 2020-08-28 | 2022-08-12 | 杭州安恒信息安全技术有限公司 | 一种蜜罐网络部署方法、装置、设备及介质 |
| CN112118577B (zh) * | 2020-09-18 | 2023-10-13 | 国网山东省电力公司青岛供电公司 | 基于SDN虚拟蜜罐的IoT网络攻击消减系统及方法 |
| CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
| CN112637250A (zh) * | 2021-03-10 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种动态智能自适应蜜网的实现方法 |
| CN113660282A (zh) * | 2021-08-23 | 2021-11-16 | 公安部第三研究所 | 一种基于可信计算的勒索病毒防御方法、系统及相关设备 |
| CN114024740A (zh) * | 2021-11-03 | 2022-02-08 | 长春嘉诚信息技术股份有限公司 | 一种基于密签诱饵的威胁诱捕方法 |
| CN114157454B (zh) * | 2021-11-16 | 2024-04-02 | 中国工商银行股份有限公司 | 攻击反制方法、装置、计算机设备和存储介质 |
| CN114285608B (zh) * | 2021-12-09 | 2024-05-14 | 北京安天网络安全技术有限公司 | 一种网络攻击诱捕方法、装置、电子设备及存储介质 |
| CN114006772B (zh) * | 2021-12-30 | 2022-04-12 | 北京微步在线科技有限公司 | 一种反制黑客攻击的方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN104702571A (zh) * | 2013-12-06 | 2015-06-10 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
| CN108183901A (zh) * | 2017-12-28 | 2018-06-19 | 湖南大唐先科技有限公司 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9020801B2 (en) * | 2003-08-11 | 2015-04-28 | Scalemp Inc. | Cluster-based operating system-agnostic virtual computing system |
| US9973472B2 (en) * | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US10868737B2 (en) * | 2016-10-26 | 2020-12-15 | Arizona Board Of Regents On Behalf Of Arizona State University | Security policy analysis framework for distributed software defined networking (SDN) based cloud environments |
-
2019
- 2019-04-28 CN CN201910350588.6A patent/CN110071929B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
| CN104702571A (zh) * | 2013-12-06 | 2015-06-10 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下网络数据的入侵检测方法 |
| CN108183901A (zh) * | 2017-12-28 | 2018-06-19 | 湖南大唐先科技有限公司 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
| CN108540441A (zh) * | 2018-02-07 | 2018-09-14 | 广州锦行网络科技有限公司 | 一种基于真实性虚拟网络的主动防御系统及方法 |
| CN109495440A (zh) * | 2018-09-06 | 2019-03-19 | 国家电网有限公司 | 一种内网动态防御的随机方法 |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| An Adaptive Honeypot Configuration, Deployment and Maintenance Strategy;Daniel Fraunholz et al;《ICACT2017》;20170228;全文 * |
| 虚拟分布式蜜罐技术在入侵检测中的应用;刘世世;《中国优秀硕士学位论文全文库信息科技辑》;20050115;全文 * |
| 虚拟蜜网的设计与实现;胡义召等;《 计算机工程与科学》;20091231;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110071929A (zh) | 2019-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110071929B (zh) | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 | |
| CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
| US10091238B2 (en) | Deception using distributed threat detection | |
| US10193924B2 (en) | Network intrusion diversion using a software defined network | |
| Jiang et al. | Collapsar: A VM-Based Architecture for Network Attack Detention Center. | |
| EP2570954B1 (en) | Method, device and system for preventing distributed denial of service attack in cloud system | |
| WO2019179375A1 (zh) | 一种防御网络攻击的方法及装置 | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US10440055B2 (en) | Apparatus and method for implementing network deception | |
| Jiang et al. | Collapsar: A VM-based honeyfarm and reverse honeyfarm architecture for network attack capture and detention | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| CN110881052A (zh) | 网络安全的防御方法、装置及系统、可读存储介质 | |
| CN112398844A (zh) | 基于内外网实时引流数据的流量分析实现方法 | |
| Li et al. | Evaluation of security vulnerabilities by using ProtoGENI as a launchpad | |
| Narayanan et al. | Mitigation of security attacks in the SDN data plane using P4-enabled switches | |
| Rahman et al. | Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm | |
| Narwal et al. | Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud | |
| Zemene et al. | Implementing high interaction honeypot to study SSH attacks | |
| Dodia et al. | Poster: SDN-based system to filter out DRDoS amplification traffic in ISP networks | |
| Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
| Adenuga-Taiwo et al. | Security analysis of onos software-defined network platform | |
| Gautam et al. | Optimized virtual honeynet with implementation of host machine as honeywall | |
| Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
| CN115225297B (zh) | 一种阻断网络入侵的方法及装置 | |
| Sqalli et al. | Towards Simulating a Virtual Distributed Honeynet at KFUPM: A Case Study |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |