CN110784361A

CN110784361A - 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质

Info

Publication number: CN110784361A
Application number: CN201911063107.XA
Authority: CN
Inventors: 李斌; 王丹; 韩伟; 宋闯; 吴坡; 薛盖超; 李翔硕; 周冰; 徐小传
Original assignee: Taian Wangxin Technology Beijing Co Ltd; State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
Current assignee: Taian Wangxin Technology Beijing Co Ltd; State Grid Corp of China SGCC; Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
Priority date: 2019-10-31
Filing date: 2019-10-31
Publication date: 2020-02-11

Abstract

本申请涉及一种虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质，包括：(1)生成多个Docker虚拟机；(2)创建蜜罐引擎；(3)提交创建蜜网的配置参数；(4)生成蜜罐镜像模板库，对各Docker虚拟机的配置参数进行调整；(5)将所述蜜罐镜像模板库中的镜像文件分发到各Docker虚拟机的容器中，形成多个蜜罐；对各蜜罐对应的Docker虚拟机进行网络配置，组成蜜网。本发明配置简单、启动速度快，同时降低工业系统中蜜罐部署在物理主机硬件资源方面的成本，可以解决传统虚拟化技术存在的配置繁琐、启动速度慢、硬件资源浪费等问题。

Description

虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质

技术领域

本申请属于工业网络安全技术领域，特别设计蜜罐技术，尤其是涉及一种虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质。

背景技术

网络安全就是借助于一定安全策略,使信息在网络环境中的保密性、完整性及可用性受到保护,其主要目标是确保经网络传输的信息到达目的计算机后没有任何改变或丢失,以及只有授权者可以获取响应信息。因此，必须确保所有组网部件能根据需求提供必要的功能。

每一种安全服务和机制有可能由不同种的安全技术来实现,每一种安全技术也有可能为不同的安全策略所用。蜜罐好比是情报收集系统，蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

目前，蜜罐系统大多部署在物理实体机上，对系统的底层存储和计算资源造成很大负担，存在价格高、稳定性差、规模有限、迁移性差等问题。其次，提供真实服务操作系统的高交互蜜罐一旦被攻击，存在较大的安全风险。因此，已有研究结合虚拟化技术，在互联网不同位置上进行多点部署，可以有效提升安全威胁监测的覆盖面。

李京京等人开发了一款支持多种协议的低交互工控蜜罐，能够实现对24种工控协议攻击数据的捕获与实时远程推送。FANW,

D,and DU Z公开发表的文献《Adaptive and flexible virtual honeynet》中，公开了通过动态创建、配置、部署高低交互蜜罐，模拟多种操作系统而形成一种适应性蜜网方案，其核心模块包括决策和重定向两部分，决策引擎用以捕捉特定网络流量，并将其引导至低交互蜜罐中，重定向引擎将低交互蜜罐流量重定向至高交互蜜场中。FAN W,

D,and DU Z公开发表的文献《Versatile virtual honey net management framework》中，针对当前缺乏多种蜜网部署统一化平台工具的问题，提出多元化虚拟蜜网管理架构。

但是传统的虚拟化技术存在诸如配置繁琐、启动速度慢、硬件资源浪费等问题。

发明内容

本发明要解决的技术问题是：为解决现有技术中传统的虚拟化技术存在配置繁琐、启动速度慢、硬件资源浪费等问题，提供一种基于Docker技术的虚拟化云蜜网部署方法。

本发明解决其技术问题所采用的技术方案是：

本发明的第一方面提供了一种基于Docker技术的虚拟化云蜜网部署方法，包括如下步骤：

S1:在用户设备所处的网络中，生成多个Docker虚拟机；

S2:将蜜罐的运行环境和应用构建到各Docker虚拟机的镜像中，创建蜜罐引擎；

S3:访问蜜罐引擎，提交创建蜜网的配置参数；

S4:根据蜜网的配置参数生成蜜罐镜像模板库，并对各Docker虚拟机的配置参数进行调整；

S5:将所述蜜罐镜像模板库中的镜像文件分发到各Docker虚拟机的容器中，形成多个蜜罐；

S6:依据蜜罐镜像模板库配置中的网络需求，对各蜜罐对应的Docker虚拟机进行网络配置，组成蜜网。

进一步地，根据本发明第一方面所述的虚拟化云蜜网部署方法，创建蜜罐引擎主要分为三个阶段：

(1)创建本地蜜罐镜像；

(2)启动Docker容器，加载本地蜜罐镜像，将蜜罐的运行环境和应用构建到Docker镜像中；

(3)以端口映射的方式提供蜜罐服务，创建蜜罐引擎。

所述蜜罐引擎针对不同权限的用户提供不同的服务，蜜网系统完整地记录用户的个人及服务信息，以保证用户服务的安全性。

进一步地，根据本发明第一方面所述的虚拟化云蜜网部署方法，每个Docker虚拟机作为一个独立的蜜罐，对每个蜜罐分配IP地址和MAC地址。

本发明的第二方面提供了一种虚拟化云蜜网部署系统，包括：

虚拟机生成模块，用于在用户设备所处的网络中，生成多个Docker虚拟机；

蜜罐引擎创建模块，用于将蜜罐的运行环境和应用构建到各Docker虚拟机的镜像中，创建蜜罐引擎；

参数调整模块，访问蜜罐引擎，提交创建蜜网的配置参数，并根据蜜网的配置参数生成蜜罐镜像模板库，对各Docker虚拟机的配置参数进行调整；

蜜罐创建模块，用于将所述蜜罐镜像模板库中的镜像文件分发到各Docker虚拟机的容器中，形成多个蜜罐；

网络配置模块，用于依据蜜罐镜像模板库配置中的网络需求，对各蜜罐对应的Docker虚拟机进行网络配置，组成蜜网。

进一步地，根据本发明第二方面所述的虚拟化云蜜网部署系统，蜜罐引擎创建模块包括：

本地蜜罐镜像模块，用于创建本地蜜罐镜像；

镜像构建模块，用于启动Docker容器，加载本地蜜罐镜像，将蜜罐的运行环境和应用构建到Docker镜像中；

蜜罐服务提供模块，用于以端口映射的方式提供蜜罐服务，创建蜜罐引擎。

本发明第三方面提供了一种基于Docker技术的虚拟化云蜜网部署装置，包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时用于实现：

(1)在用户设备所处的网络中，生成多个Docker虚拟机；

(2)将蜜罐的运行环境和应用构建到各Docker虚拟机的镜像中，创建蜜罐引擎；

(3)访问蜜罐引擎，提交创建蜜网的配置参数；

(4)根据蜜网的配置参数生成蜜罐镜像模板库，并对各Docker虚拟机的配置参数进行调整；

(5)将所述蜜罐镜像模板库中的镜像文件分发到各Docker虚拟机的容器中，形成多个蜜罐；

(6)依据蜜罐镜像模板库配置中的网络需求，对各蜜罐对应的Docker虚拟机进行网络配置，组成蜜网。

本发明第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理执行时，实现如权利要求1至5任一项所述方法的步骤。

本发明的有益效果是：本发明通过传统蜜罐与协议蜜罐相结合的方式，基于Docker技术，将蜜罐的运行环境和应用构建到一个Docker镜像中，并快速运行和分发Docker容器，达到资源的最大化利用，降低工业系统中蜜罐部署在物理主机硬件资源方面的成本。

附图说明

下面结合附图和实施例对本申请的技术方案进一步说明。

图1是本申请实施例的虚拟化云蜜网部署方法流程图；

图2是本申请实施例的虚拟机快速部署方法流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本申请的技术方案。

蜜罐是一种软件应用系统，用来充当入侵诱饵，引诱黑客前来攻击。攻击者入侵后，通过监测与分析，就可以知道是如何入侵的，随时了解针对组织服务器发动的最新的攻击和漏洞。蜜罐还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

当多个蜜罐被网络连接在一起时，利用其中一部分主机吸引黑客入侵，通过监测、观察入侵过程，一方面调查入侵者的来源，另一方面考察用于防护的安全措施是否有效，这种由多个蜜罐组成的模拟网络就称为蜜网。

Docker(应用容器引擎)，由镜像、容器和仓库三部分组成，镜像除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数。用户基于镜像来运行自己的容器，可以把镜像认为是容器“源代码”，镜像是只读的。容器是基于镜像启动的，并且每个容器都是相互隔离的，仓库用于存放镜像。

实施例1

本实施例提供一种基于Docker(应用容器引擎)技术的虚拟化云蜜网部署方法，首先在用户设备的周围，也即用户设备所处的网络中，批量地生成Docker虚拟机，每一个Docker虚拟机可以作为一个独立的蜜罐。

蜜罐网络的部署主要包括创建蜜罐引擎、Docker虚拟机的快速部署和Docker虚拟机网络配置等操作，通过本实施例的方法可以实现蜜罐网络部署，减轻用户系统对硬件资源的要求。

本实施例的虚拟化云蜜网部署方法具体包括：

1，创建蜜罐引擎

本实施例中，基于Docker技术创建蜜罐引擎主要分为三个阶段：

(1)通过Docker工具，从镜像服务器上下载蜜罐服务镜像，创建本地蜜罐镜像；

(3)以端口映射的方式提供蜜罐服务，创建蜜罐引擎。

2，虚拟机的快速部署

蜜罐引擎创建之后，用户通过用户界面接口获得蜜罐的Docker虚拟机配置参数，并向数据库传输Docker虚拟机配置参数，并且发出快速配置命令，蜜罐系统会根据数据库中的Docker虚拟机配置参数自动部署蜜罐服务。具体部署工作流程如图2所示：

步骤1：用户以客户端或Web的形式访问蜜罐引擎；

步骤2：蜜罐引擎针对不同权限的用户(例如：游客、普通用户、管理员等)提供不同的服务，蜜罐系统将完整地记录用户的个人及服务信息，保证用户服务的安全性；

步骤3：用户登录蜜罐引擎后，提交创建蜜网的配置，并将配置请求发送给蜜罐引擎；

步骤4：蜜罐引擎接收用户的配置请求，依据蜜网配置，对Docker虚拟机的配置参数(例如：操作系统、内存、磁盘大小、选择的启动的蜜罐服务类型等)自动进行调整，用户可以非常便捷的选择适合自己需要的服务请求；

步骤5：根据用户本次所需的蜜网配置相关参数，生成蜜罐镜像模板库；

步骤6：通过调用Docker的应用程序接口，依据用户创建蜜网的请求，将蜜罐镜像模板库中的镜像文件分发到Docker容器中，完成Docker虚拟机的部署。

3，Doceker虚拟机网络配置

依据镜像模板配置中的网络需求，对多个蜜罐容器组成的虚拟蜜网进行网络配置，即：对虚拟蜜网系统分配IP地址和MAC地址，将多个蜜罐进行网络连接，组成蜜网。

构成蜜网的每个蜜罐都需要拥有一个独立的IP，每个虚拟机作为一个独立的蜜罐，分别被分配一个IP，即，每个IP均绑定一台独立的虚拟机。由此一来，大量的蜜罐混杂在真实的用户网络中，形成蜜网，使用户的真实资产不易被发现。

在虚拟蜜网部署完成之后，Doceker虚拟机的主进程会监听宿主机指定网卡的流量，通过捕获所有经过的数据包，攻击者访问Doceker虚拟机IP的行为都会被记录与分析。

本发明基于Docker容器技术，构建了一种自动化、易管理、高可用的云蜜网部署方法，充分利用Docker技术下服务装箱，下载即用的特点，快速实现蜜网的部署，缩短了部署时间，提高了部署效率，同时有效捕获攻击者的行为。

实施例2：

本实施2提供了一种虚拟化云蜜网部署系统，包括：

本地蜜罐镜像模块，用于创建本地蜜罐镜像；

实施例3：

本实施例提供一种基于Docker技术的虚拟化云蜜网部署装置，该实施例的蜜网的部署装置包括:处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，例如虚拟化云蜜网的部署程序。

所述处理器执行所述计算机程序时实现上述实施例1中的蜜网部署方法的步骤。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或多个模块/单元被存储在所述存储器中，并由所述处理器执行，以完成本发明的蜜网部署。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述蜜网的部署系统中的执行过程，该执行过程包括实施例1中的部署过程。

本实施例虚拟化云蜜网的部署系统可以是计算机、笔记本、掌上电脑及云端服务器等计算设备，可以将上述计算设备作为宿主机，在其中生成多个Docker虚拟机。

本实施例虚拟化云蜜网的部署系统可以包括但不限于处理器和存储器，本领域技术人员可以理解，本实施例虚拟化云蜜网的部署系统只是一种示例，并不构成对蜜网部署系统的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件，例如还可以包括输入输出设备、网络接入设备、总线等。

本实施例的处理器可以是中央处理器，还可以是其他通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本实施例的存储器可以是所述虚拟化云蜜网的部署系统的内部存储单元，例如虚拟化云蜜网的部署系统的硬盘或者内存。

所述存储器也可以是虚拟化云蜜网的部署系统的外部存储设备，例如所述虚拟化云蜜网的部署系统上配备的插接式硬盘，智能存储卡，安全数字卡，闪存卡等。

所述存储器还可以既包括所述虚拟化云蜜网的部署系统的内部存储单元也包括外部存储设备。所述存储器用于存储所述计算机程序以及所述虚拟化云蜜网的部署系统所需的其他程序和数据。

所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

实施例4:

基于上述实施例3，本发明还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有蜜网部署程序，该蜜网部署程序被处理器执行时实现上述实施例1和实施例2中所述的方法步骤。

本实施例的计算机可读存储介质包括但不限于磁盘存储器、CD-ROM、光学存储器等。

以上述依据本申请的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项申请技术思想的范围内，进行多样的变更以及修改。本项申请的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims

1.一种虚拟化云蜜网部署方法，其特征在于，包括如下步骤：

S1:在用户设备所处的网络中，生成多个Docker虚拟机；

S3:访问蜜罐引擎，提交创建蜜网的配置参数；

2.根据权利要求1所述的虚拟化云蜜网部署方法，其特征在于，创建蜜罐引擎分为三个阶段：

(1)创建本地蜜罐镜像；

(3)以端口映射的方式提供蜜罐服务，创建蜜罐引擎。

3.根据权利要求1所述的虚拟化云蜜网部署方法，其特征在于，对各蜜罐对应的Docker虚拟机进行网络配置包括：将每个Docker虚拟机作为一个独立的蜜罐，对每个蜜罐分配IP地址和MAC地址。

4.一种虚拟化云蜜网部署系统，其特征在于，包括：

5.根据权利要求4所述的虚拟化云蜜网部署系统，其特征在于，蜜罐引擎创建模块包括：

本地蜜罐镜像模块，用于创建本地蜜罐镜像；

6.根据权利要求4所述的虚拟化云蜜网部署系统，其特征在于，所述网络配置模块用于将每个Docker虚拟机作为一个独立的蜜罐，对每个蜜罐分配IP地址和MAC地址。

7.一种虚拟化云蜜网部署装置，包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时用于实现：

(1)在用户设备所处的网络中，生成多个Docker虚拟机；

(3)访问蜜罐引擎，提交创建蜜网的配置参数；

8.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现如权利要求1至3任一项所述方法的步骤。