CN110798482A - 基于linux网络过滤器的系统级蜜罐网络隔离系统 - Google Patents
基于linux网络过滤器的系统级蜜罐网络隔离系统 Download PDFInfo
- Publication number
- CN110798482A CN110798482A CN201911093879.8A CN201911093879A CN110798482A CN 110798482 A CN110798482 A CN 110798482A CN 201911093879 A CN201911093879 A CN 201911093879A CN 110798482 A CN110798482 A CN 110798482A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- target
- service
- network
- honeynet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种基于linux网络过滤器的系统级蜜罐网络隔离系统,涉及网络安全技术领域,对应的方法包括:确定出向流量,所述出向流量包括目标IP;判断所述目标IP是否在所述蜜罐IP集合内;如果否,则判断所述目标IP是否在所述业务IP集合内;如果否,则将所述出向流量丢弃。解决了对于现有的蜜罐具有业务系统被入侵的风险,威胁到正常业务安全的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种基于linux网络过滤器的系统级蜜罐网络隔离系统。
背景技术
蜜罐技术是一种基于欺骗防御的理念发展而来的网络安全技术。它与传统网络安全技术不同的是,传统网络安全设备通常是接入交换机,防火墙在上流对网络流量进行监控。而蜜罐网络安全一般定位于用户的业务网络的安全防护。
蜜罐通常与业务环境的服务器等部署在同一网络中。这就要求蜜罐网络不能被攻破,一旦攻击者从蜜罐网络中逃逸到业务环境,将带来难以估量的损失。
但是,对于目前的蜜网引擎,攻击者很容器使用远程桌面等工具将现有蜜罐节点作为跳板登录到正常的业务系统,攻入正常的业务系统。因此,蜜罐在引诱并捕获黑客的攻击的同时,也会带来业务系统被入侵的风险,进而威胁到正常的业务安全。
发明内容
本发明的目的在于提供一种基于linux网络过滤器的系统级蜜罐网络隔离系统,以解决对于现有的蜜罐具有业务系统被入侵的风险,威胁到正常业务安全的技术问题。
第一方面,提供了一种基于linux网络过滤器的系统级蜜罐网络隔离系统,应用于蜜网引擎,所述蜜网引擎预先配置有蜜罐IP集合和业务IP集合,所述系统包括:
确定模块,用于确定出向流量,所述出向流量包括目标IP;
第一判断模块,用于判断所述目标IP是否在所述蜜罐IP集合内;
第二判断模块,用于如果否,则判断所述目标IP是否在所述业务IP集合内;
丢弃模块,用于如果否,则将所述出向流量丢弃。
在一个可能的实现中,还包括:
放行模块,用于如果所述目标IP在所述蜜罐IP集合内,放行所述出向流量。
第二方面,本申请实施例提供了一种基于linux网络过滤器的系统级蜜罐网络隔离方法,应用于蜜网引擎,所述蜜网引擎预先配置有蜜罐IP集合和业务IP集合,所述方法包括:
确定出向流量,所述出向流量包括目标IP;
判断所述目标IP是否在所述蜜罐IP集合内;
如果否,则判断所述目标IP是否在所述业务IP集合内;
如果否,则将所述出向流量丢弃。
在一个可能的实现中,判断所述目标IP是否在所述蜜罐IP集合内的步骤之后,还包括:
如果是,则放行所述出向流量。
在一个可能的实现中,所述蜜罐IP集合包括所述蜜网引擎上的当前蜜罐节点的IP;
所述业务IP集合包括蜜网系统中与所述当前蜜罐节点进行业务交互的节点的IP。
在一个可能的实现中,还包括:
当所述蜜网引擎上新建蜜罐节点时,获取新建的蜜罐节点的IP;
将所述新建的蜜罐节点的IP加入所述蜜罐IP集合中。
在一个可能的实现中,所述蜜网引擎还包括端口集合,所述出向流量包括目标端口,所述方法还包括:
如果所述目标IP在所述业务IP集合内,则判断所述目标端口是否在所述端口集合内;
如果否,则将所述出向流量丢弃。
在一个可能的实现中,所述端口集合包括蜜网数据中心用于收集数据开放的端口。
第三方面,本申请实施例又提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的第一方面所述方法。
第四方面,本申请实施例又提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行上述的第一方面所述方法。
本申请实施例带来了以下有益效果:
本申请实施例提供的一种基于linux网络过滤器的系统级蜜罐网络隔离系统,确定模块能够确定出包括目标IP的出向流量,第一判断模块能够判断目标IP是否在蜜罐IP集合内,如果目标IP不在蜜罐IP集合内第二判断模块便判断目标IP是否在业务IP集合内,如果目标IP不在业务IP集合内丢弃模块便将出向流量丢弃,通过蜜网引擎对出向流量进行过滤,从而实现对进出蜜罐网络的流量进行自动过滤,防止攻击者在进入蜜罐网络后将蜜罐作为跳板,攻击业务环境的设备,解决了对于现有的蜜罐具有业务系统被入侵的风险,威胁到正常业务安全的技术问题。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于linux网络过滤器的系统级蜜罐网络隔离方法的流程示意图;
图2为本申请实施例提供的网络过滤器对进入蜜罐和从蜜罐出去的流量处理流程的示意图;
图3为本申请实施例提供的网络过滤器内部构造的示意图;
图4为本申请实施例提供的整体方案框架的结构示意图;
图5为本申请实施例提供的一种基于linux网络过滤器的系统级蜜罐网络隔离系统的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
在本申请的描述中,除非另有说明,“至少一个”的含义是指一个或一个以上。
下面将详细描述本申请的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本申请的全面理解。但是,对于本领域技术人员来说很明显的是,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请的更好的理解。本申请决不限于下面所提出的任何具体配置和算法,而是在不脱离本申请的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本申请造成不必要的模糊。
目前,蜜罐的价值在于混淆攻击者的视角,隐匿真实资产。真实的业务环境中由于存在真实的业务流量,很容器吸引攻击者进来。当蜜罐部署在业务网络环境中,攻击者攻击蜜罐时误以为攻击的是真实资产。但如果仅仅为了网络安全而单独将蜜罐节点部署在一个物理隔离的网络环境中,由于网络环境中没有真实的业务流量,将无法吸引攻击者从而发挥蜜罐的价值。
在蜜罐技术的实现中,蜜罐节点通常是基于docker的容器级方案,或者是基于真实虚拟机的系统级方案。
对于容器级方案,由于docker容器天然的隔离环境,可轻松实现对攻击者的网络安全隔离。然而对于基于真实虚拟机实现的蜜罐网络,由于此时的蜜罐节点本身就是一个真实linux或者windows系统,攻击者一旦攻入节点,很容易使用linux的ssh或者windows的远程桌面等工具将蜜罐节点作为跳板登录到正常的业务系统。而且由于此时的蜜罐节点已经部署到业务网络中,且没有防火墙等网络安全设备的防护,使用者通常只能通过在交换机等设备上进行流量监控而无法直接阻值黑客攻击,从而带来巨大的使用及维护成本。
基于欺骗防御技术的蜜罐网络,到目前为止已经发展的相对成熟。蜜罐对于使用者来说是一把双刃剑,在引诱并捕获黑客的攻击的同时,也会带来业务系统被入侵的风险。使用者在没有做好充分的网络隔离的前提下,黑客很容易通过现有蜜罐节点作为跳板,攻入正常的业务系统,进而威胁到正常的业务安全。
基于此,本申请实施例提供的一种基于linux网络过滤器的系统级蜜罐网络隔离方法及系统,可以解决现有技术中存在的对于蜜罐具有业务系统被入侵的风险,威胁到正常业务安全的技术问题。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种基于linux网络过滤器的方法及系统级蜜罐网络隔离方法及系统进行详细介绍。
图1为本申请实施例提供的一种基于linux网络过滤器的系统级蜜罐网络隔离方法的流程示意图。其中,该方法应用于蜜网引擎,蜜网引擎预先配置有蜜罐IP集合和业务IP集合,如图1所示,该方法包括:
S110,确定出向流量。
其中,出向流量包括目标IP。图2为网络过滤器对进入蜜罐和从蜜罐出去的流量处理流程的示意图。如图2所示,攻击者由外部进入蜜网中的某一个蜜罐,在蜜罐中执行一系列操作后准备探测其他目标主机,产生出向流量。
S120,判断目标IP是否在蜜罐IP集合内。如果否,则进行步骤S130。
本步骤中,如图2所示,网络过滤器可以判断出向流量包的目标IP是否在蜜罐IP集合中。
S130,判断目标IP是否在业务IP集合内。如果否,则步骤S140。
如图2所示,如果目标IP不在蜜罐IP集合中,则判断流量包的目标IP是不是业务IP。
S140,将出向流量丢弃。
本步骤中,如图2所示,如果流量包的目标IP不是业务IP,则丢弃流量包,标识着攻击者横向扩散失败。
本申请实施例提供的基于linux网络过滤器的系统级蜜罐网络隔离方法,可以作为一种基于linux内核的网络包过滤器和内核虚拟化技术实现的蜜罐网络安全的隔离。需要说明的是,内核虚拟化模块(Kernel-based Virtual Machine,kvm)是一个开源的系统虚拟化模块。本申请实施例中,经过上述步骤S110至S140,可以完整控制进入和从蜜罐发出的流量包的整个生命周期,既保证了正常的业务通信需要,又能直接阻止攻击者横向攻击,使得攻击者只能在蜜网内部进行探索和攻击,从而收集更多有价值的攻击数据。
再者,通过本申请实施例提供的方法,还能够动态、无感知的实现对系统级蜜罐的网络隔离,从而保护真实的业务场景不被攻击者感知。在攻击者感知不到的情况下,自动实现对攻击流量的过滤,从而保护正常的业务环境。
本申请实施例中,为了在不额外增加使用者负担的情况下,同时在攻击者无感知的时候即自动实现系统级蜜罐的网络安全隔离。让使用者能安全的将蜜罐节点部署到真实的业务环境中,进行网络监控。仅通过linux内核本身具备的功能模块,在配置简单的规则后即可实现网络安全隔离,而无需使用复杂的网络安全设备。本申请实施例的实现过程简单,无需使用附加网络安全设备,即可实现蜜网系统的安全加固,减轻使用者的运维负担。
需要说明的是,蜜罐能检测攻击的同时又可能成功攻击者的攻击跳板的双重特性,通过使用本申请实施例提供的方法,部署系统级蜜罐或蜜网系统的产品可不花费额外成本即可实现蜜罐网络自身的安全加固。借助于通用虚拟化库libvirt的nwfitlter模块对网络包的过滤功能,从而实现对进出蜜罐网络的流量进行自动过滤,防止黑客在进入蜜罐网络后将蜜罐作为跳板,攻击业务环境的设备。其中,Libvirt是用于管理虚拟化平台的开源的API,后台程序和管理工具。
下面对上述步骤进行详细介绍。
在一些实施例中,在步骤S120之后,该方法还可以包括以下步骤:
如果目标IP在蜜罐IP集合内,则放行出向流量。
如图2所示,如果目标IP是此蜜网中其他蜜罐的IP,则放行流量,流量继续在蜜网中流转。
在实际应用中,蜜网引擎负责接收蜜罐中心部署蜜罐节点的请求,并将每个蜜罐节点的IP地址加入网络过滤器。每一个蜜网引擎负责生成一个完整的、功能完备的蜜网。也可以理解为,蜜网引擎主要用于生成由不同蜜罐节点生成的蜜网,并通过网络过滤器实现对蜜罐网络进出流量的自动过滤。网络过滤器存在于蜜网引擎的内核层,将对蜜网引擎上的所有蜜罐节点的出向及入向流量进行过滤。蜜网引擎是支持kvm虚拟化技术的linux系统,所有的蜜罐节点都是基于kvm虚拟机技术创建出来的功能完备的虚拟机。
本申请实施例中,在目标IP在蜜罐IP集合内的情况下放行出向流量,保证属于蜜罐IP的出向流量能够正常运行,不影响蜜罐的正常使用。
在一些实施例中,蜜罐IP集合包括蜜网引擎上的当前蜜罐节点的IP;业务IP集合包括蜜网系统中与当前蜜罐节点进行业务交互的节点的IP。
业务IP集合包含蜜网系统需要与蜜罐进行业务交互的IP,例如,用于收集数据的蜜网中心的IP。
通过包含了蜜网引擎上当前蜜罐节点IP的蜜罐IP集合,以及包含了蜜网系统中与当前蜜罐节点进行业务交互的节点IP的业务IP集合,使蜜罐IP集合和业务IP集合能够包括当前蜜罐节点的相关IP,使蜜罐IP集合和业务IP集合都能够更加全面,避免遗漏相关的IP。
基于此,该方法还可以包括以下步骤:
当蜜网引擎上新建蜜罐节点时,获取新建的蜜罐节点的IP;
将新建的蜜罐节点的IP加入蜜罐IP集合中。
在蜜罐IP集合中,初始状态为空,当在此蜜网引擎上创建新的蜜罐节点时,则将蜜罐IP动态加入到IP集合。示例性的,网络过滤器初始由一个xml文件定义,定义完成后即持久存在于linux内核中,在创建蜜罐节点将节点IP加入过滤器的过程中,过滤器的功能及时刷新。
再者,当蜜罐节点注销时,还可以从集合中删除,以保证蜜罐IP集合的实时更新。
通过本申请实施例提供的方法,能够在蜜网引擎上新建蜜罐节点时,快速的将其加入蜜罐IP集合中,使蜜罐IP集合始终保持数据内容实时更新,避免新建蜜罐节点的遗漏。
在一些实施例中,图3示出了网络过滤器内部构造的示意图,如图3所示,蜜网引擎还包括端口集合,出向流量包括目标端口,该方法还可以包括以下步骤:
如果目标IP在业务IP集合内,则判断目标端口是否在端口集合内;
如果目标端口不在端口集合内,则将出向流量丢弃。
在实际应用中,端口集合包含需要蜜网数据中心用于收集数据而开放的相关端口,定义后即不会再变更。
如图2所示,如果目标IP在”业务IP集合”中,比如蜜罐程序正常回传数据到蜜网分析中心,则进一步判断目标端口是否在”端口集合“中,如果不是,则标识着攻击者攻击数据中心失败;如果目标端口在”端口集合“中,则放行流量,蜜罐节点成功将收集到的攻击数据回传数据中心。
需要说明的是,网络过滤器的是实现蜜罐网络安全隔离的核心功能,其内部是预置的一组规则集。根据规则集对进入蜜罐的流量和从蜜罐出去的流量进行管理。
通过本申请实施例提供的方法,能够使目标端口不在端口集合内的出向流量丢弃,使本方法还能够考虑到设备的端口,使出向流量的处理过程能够考虑到更多的方面,使向流量的处理结果更加精确。
基于此,端口集合包括蜜网数据中心用于收集数据开放的端口。
需要说明的是,蜜网数据分析中心(即数据中心)可以作为数据大脑,主要负责各蜜罐网络所采集的数据的分析及展示及蜜罐网络注册服务。图4示出了整体方案框架的结构示意图,如图4所示,整个系统分为蜜罐数据分析中心和蜜网引擎两个部分。而本申请实施例中的端口集合,则包括了蜜网数据中心用于收集数据开放的端口。
通过本申请实施例提供的方法,使端口集合中还能够包括有蜜网数据中心用于收集数据开放的端口,使端口集合中包含有的端口能够更加的全面。
图5提供了一种基于linux网络过滤器的系统级蜜罐网络隔离系统的结构示意图。该系统应用于蜜网引擎,蜜网引擎预先配置有蜜罐IP集合和业务IP集合,如图5所示,基于linux网络过滤器的系统级蜜罐网络隔离系统500包括:
确定模块501,用于确定出向流量,出向流量包括目标IP;
第一判断模块502,用于判断目标IP是否在蜜罐IP集合内;
第二判断模块503,用于如果否,则判断目标IP是否在业务IP集合内;
丢弃模块504,用于如果否,则将出向流量丢弃。
在一些实施例中,该系统还包括:
放行模块,用于如果目标IP在蜜罐IP集合内,放行出向流量。
本申请实施例提供的基于linux网络过滤器的系统级蜜罐网络隔离系统,与上述实施例提供的基于linux网络过滤器的系统级蜜罐网络隔离方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本申请实施例提供的一种电子设备,如图6所示,电子设备6包括存储器61、处理器62,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。
参见图6,电子设备还包括:总线63和通信接口64,处理器62、通信接口64和存储器61通过总线63连接;处理器62用于执行存储器61中存储的可执行模块,例如计算机程序。
其中,存储器61可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口64(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线63可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器61用于存储程序,所述处理器62在接收到执行指令后,执行所述程序,前述本申请任一实施例揭示的过程定义的系统所执行的方法可以应用于处理器62中,或者由处理器62实现。
处理器62可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器62中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器62可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61,处理器62读取存储器61中的信息,结合其硬件完成上述方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述方法的步骤。
本申请实施例所提供的基于linux网络过滤器的系统级蜜罐网络隔离系统可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的系统,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,系统实施例部分未提及之处,可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,前述描述的系统、系统和单元的具体工作过程,均可以参考上述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露系统和方法,可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述移动控制方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于linux网络过滤器的系统级蜜罐网络隔离系统,其特征在于,应用于蜜网引擎,所述蜜网引擎预先配置有蜜罐IP集合和业务IP集合,所述系统包括:
确定模块,用于确定出向流量,所述出向流量包括目标IP;
第一判断模块,用于判断所述目标IP是否在所述蜜罐IP集合内;
第二判断模块,用于如果否,则判断所述目标IP是否在所述业务IP集合内;
丢弃模块,用于如果否,则将所述出向流量丢弃。
2.根据权利要求1所述的系统,其特征在于,还包括:
放行模块,用于如果所述目标IP在所述蜜罐IP集合内,放行所述出向流量。
3.一种基于linux网络过滤器的系统级蜜罐网络隔离方法,其特征在于,应用于蜜网引擎,所述蜜网引擎预先配置有蜜罐IP集合和业务IP集合,所述方法包括:
确定出向流量,所述出向流量包括目标IP;
判断所述目标IP是否在所述蜜罐IP集合内;
如果否,则判断所述目标IP是否在所述业务IP集合内;
如果否,则将所述出向流量丢弃。
4.根据权利要求3所述的方法,其特征在于,判断所述目标IP是否在所述蜜罐IP集合内的步骤之后,还包括:
如果是,则放行所述出向流量。
5.根据权利要求3所述的方法,其特征在于,所述蜜罐IP集合包括所述蜜网引擎上的当前蜜罐节点的IP;
所述业务IP集合包括蜜网系统中与所述当前蜜罐节点进行业务交互的节点的IP。
6.根据权利要求5所述的方法,其特征在于,还包括:
当所述蜜网引擎上新建蜜罐节点时,获取新建的蜜罐节点的IP;
将所述新建的蜜罐节点的IP加入所述蜜罐IP集合中。
7.根据权利要求3所述的方法,其特征在于,所述蜜网引擎还包括端口集合,所述出向流量包括目标端口,所述方法还包括:
如果所述目标IP在所述业务IP集合内,则判断所述目标端口是否在所述端口集合内;
如果否,则将所述出向流量丢弃。
8.根据权利要求7所述的方法,其特征在于,所述端口集合包括蜜网数据中心用于收集数据开放的端口。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述权利要求3至8任一项所述的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行所述权利要求3至8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911093879.8A CN110798482B (zh) | 2019-11-11 | 2019-11-11 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911093879.8A CN110798482B (zh) | 2019-11-11 | 2019-11-11 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110798482A true CN110798482A (zh) | 2020-02-14 |
| CN110798482B CN110798482B (zh) | 2022-06-07 |
Family
ID=69443785
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911093879.8A Active CN110798482B (zh) | 2019-11-11 | 2019-11-11 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110798482B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
| CN114285660A (zh) * | 2021-12-28 | 2022-04-05 | 赛尔网络有限公司 | 蜜网部署方法、装置、设备及介质 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN115802356A (zh) * | 2023-02-07 | 2023-03-14 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850571A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 僵尸网络家族的识别方法和装置 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| US10110629B1 (en) * | 2016-03-24 | 2018-10-23 | Amazon Technologies, Inc. | Managed honeypot intrusion detection system |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
-
2019
- 2019-11-11 CN CN201911093879.8A patent/CN110798482B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10110629B1 (en) * | 2016-03-24 | 2018-10-23 | Amazon Technologies, Inc. | Managed honeypot intrusion detection system |
| CN106850571A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 僵尸网络家族的识别方法和装置 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN109995716A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的行为激发方法及装置 |
| CN109495472A (zh) * | 2018-11-19 | 2019-03-19 | 南京邮电大学 | 一种针对内外网摄像头配置弱口令漏洞的防御方法 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113553590A (zh) * | 2021-08-12 | 2021-10-26 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
| CN113553590B (zh) * | 2021-08-12 | 2022-03-29 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、系统及计算机可读存储介质 |
| CN114285660A (zh) * | 2021-12-28 | 2022-04-05 | 赛尔网络有限公司 | 蜜网部署方法、装置、设备及介质 |
| CN114285660B (zh) * | 2021-12-28 | 2023-11-07 | 赛尔网络有限公司 | 蜜网部署方法、装置、设备及介质 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN115499242B (zh) * | 2022-10-11 | 2023-12-26 | 中电云计算技术有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN115802356A (zh) * | 2023-02-07 | 2023-03-14 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
| CN115802356B (zh) * | 2023-02-07 | 2023-04-11 | 北京航天驭星科技有限公司 | 卫星地面站管理系统的数据处理方法、系统、设备、介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110798482B (zh) | 2022-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
| US10467411B1 (en) | System and method for generating a malware identifier | |
| CN107426242B (zh) | 网络安全防护方法、装置及存储介质 | |
| US10771506B1 (en) | Deployment of a security policy based on network topology and device capability | |
| CN101496025B (zh) | 用于向移动设备提供网络安全的系统和方法 | |
| TWI362206B (en) | Network traffic management by a virus/worm monitor in a distributed network | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN102663274B (zh) | 一种检测远程入侵计算机行为的方法及系统 | |
| CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
| WO2007124206A2 (en) | System and method for securing information in a virtual computing environment | |
| CN108156079B (zh) | 一种基于云服务平台的数据包转发系统及方法 | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 | |
| CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
| CN110401638A (zh) | 一种网络流量分析方法及装置 | |
| CN115499241B (zh) | 一种基于eBPF XDP从内网引流到蜜罐的方法和系统 | |
| Chovancová et al. | Securing distributed computer systems using an advanced sophisticated hybrid honeypot technology | |
| CN114143096A (zh) | 安全策略配置方法、装置、设备、存储介质及程序产品 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、系统及电子设备 | |
| CN113704059B (zh) | 业务资产的防护方法、装置、电子设备和存储介质 | |
| EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
| KR20120043466A (ko) | 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 | |
| CN102045366A (zh) | 主动发现网络遭受病毒攻击的方法 | |
| KR101923054B1 (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |