CN110881052A - 网络安全的防御方法、装置及系统、可读存储介质 - Google Patents
网络安全的防御方法、装置及系统、可读存储介质 Download PDFInfo
- Publication number
- CN110881052A CN110881052A CN201911361130.7A CN201911361130A CN110881052A CN 110881052 A CN110881052 A CN 110881052A CN 201911361130 A CN201911361130 A CN 201911361130A CN 110881052 A CN110881052 A CN 110881052A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- attack
- node
- honeypot node
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种网络安全的防御方法、装置及系统、可读存储介质。网络安全的防御方法应用于云端,所述云端上部署有后端蜜罐节点,且所述云端与用户端的真实业务系统隔离,所述方法包括:接收前端蜜罐节点发送的针对所述用户端的攻击流量;所述前端蜜罐节点与所述用户端的真实业务系统隔离;通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。该方法在实现网络安全防护的同时,降低了对用户真实业务带来的安全风险。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络安全的防御方法、装置及系统、可读存储介质。
背景技术
随着互联网技术的不断发展,黑客攻击技术也变得越来越多样化,企业面临着更多的网络安全防护风险,当公司的网络和硬件规模达到一定程度时,企业就需要跟进一系列安全防护手段,蜜罐技术也已经成为网络安全防护中的一种重要手段。
通过布置一些主机、网络服务或者信息作为诱饵,诱使攻击者对它们实施攻击,这便是蜜罐技术的基本原理。通过蜜罐技术可以对入侵者攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在现有技术中,常见的蜜罐部署方案中,将蜜罐与用户真实业务系统相关联,这种方式对用户的真实业务产生了干扰,使用户的真实业务的安全风险较大。
发明内容
本申请实施例的目的在于提供一种网络安全的防御方法、装置及系统、可读存储介质,用以降低用户的真实业务的安全风险。
第一方面,本申请实施例提供一种网络安全的防御方法,应用于云端,所述云端上部署有后端蜜罐节点,且所述云端与用户端的真实业务系统隔离,所述方法包括:接收前端蜜罐节点发送的针对所述用户端的攻击流量;所述前端蜜罐节点与所述用户端的真实业务系统隔离;通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。
与现有技术相比,采用双蜜罐的部署方式,前端蜜罐节点将针对用户端的攻击流量发送给云端,云端再通过后端蜜罐节点进一步记录与攻击流量对应的攻击行为,使蜜罐的防御具有更高的迷惑性和复杂性,尽可能多的捕捉攻击者的攻击威胁。并且,前端蜜罐节点与用户端的真实业务系统隔离,后端蜜罐节点部署在云端上,云端是与用户端的真实业务系统隔离的,那么后端蜜罐节点与用户端的真实业务系统也是隔离的,进而使部署的蜜罐不会对用户的真实业务产生干扰,在实现网络安全防护的同时,降低了对用户真实业务带来的安全风险。
作为一种可能的实现方式,所述后端蜜罐节点为多个,通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为,包括:确定用于处理所述攻击流量的后端蜜罐节点;将所述攻击流量发送给用于处理所述攻击流量的后端蜜罐节点,以使用于处理所述攻击流量的后端蜜罐节点记录与所述攻击流量对应的攻击行为。
在本申请实施例中,可以在云端上部署多个后端蜜罐节点,当通过后端蜜罐节点记录攻击行为时,可以从中选择一个来执行攻击行为的记录,进而能够实现云端上的后端蜜罐节点的管理。
作为一种可能的实现方式,在接收前端蜜罐节点发送的针对所述用户端的攻击流量之前,所述方法还包括:对所述后端蜜罐节点的网络进行配置,以使所述后端蜜罐节点与外部设备通信隔离。
在本申请实施例中,通过对后端蜜罐节点的网络进行配置,能够使后端蜜罐节点与外部设备通信隔离,避免攻击者以蜜罐节点为跳板,进一步攻击其他业务或者系统。
作为一种可能的实现方式,所述方法还包括:设置所述后端蜜罐节点的访问权限,以限制外部设备对所述后端蜜罐节点的访问。
在本申请实施例中,还可以通过设置后端蜜罐节点的访问权限,进一步的避免攻击者基于后端蜜罐节点进行其它的攻击。
第二方面,本申请实施例提供一种网络安全的防御方法,应用于前端蜜罐节点,所述前端蜜罐节点与所述用户端的真实业务系统隔离,所述方法包括:实时检测传输给所述用户端的流量;当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给与所述真实业务系统隔离的云端。
与现有技术相比,前端蜜罐节点在捕获到攻击流量时,不进行进一步的处理,而是发送给云端,前端蜜罐节点的快速响应,相当于作为一种报警或者预警,在实现安全防护的同时,降低使用蜜罐带来的安全风险。
作为一种可能的实现方式,所述前端蜜罐节点的VLAN地址与所述用户端的VLAN地址不同;所述前端蜜罐节点的IP地址与所述用户端的IP地址不同。
在本申请实施例中,通过设置不同的VLAN地址和IP地址,实现前端蜜罐节点与用户端的真实业务系统的隔离。
作为一种可能的实现方式,将所述攻击流量转发给与所述真实业务系统隔离的云端,包括:对所述攻击流量进行加密;将加密后的攻击流量转发给与所述真实业务系统隔离的云端。
在本申请实施例中,在转发攻击流量时,可以对攻击流量进行加密后再转发,避免攻击者识别到攻击流量,进而发现前端蜜罐节点的流量转发行为,而进行进一步的攻击等情况所带来的风险。
第三方面,本申请实施例提供一种网络安全的防御系统,包括:前端蜜罐节点,所述前端蜜罐节点与所述用户端的真实业务系统隔离;与所述用户端的真实业务系统隔离的云端,所述云端上部署有后端蜜罐节点;所述前端蜜罐节点用于:实时检测传输给所述用户端的流量;当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给所述云端;所述云端用于:接收所述攻击流量;通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。
与现有技术相比,采用双蜜罐部署的方式,前端蜜罐节点将针对用户端的攻击流量发送给云端,云端再通过后端蜜罐节点进一步记录与攻击流量对应的攻击行为,使蜜罐的防御具有更高的迷惑性和复杂性,尽可能多的捕捉攻击者的攻击威胁。并且,前端蜜罐节点与用户端的真实业务系统隔离,后端蜜罐节点部署在云端上,云端是与用户端的真实业务系统隔离的,那么后端蜜罐节点与用户端的真实业务系统也是隔离的,进而使部署的蜜罐不会对用户的真实业务产生干扰,在实现网络安全防护的同时,降低了对用户真实业务带来的安全风险。
第四方面,本申请实施例还提供一种网络安全的防御装置,所述装置包括用于实现第一方面以及第一方面任意一种可能的实现方式中所述的方法的功能模块。
第五方面,本申请实施例还提供一种网络安全的防御装置,所述装置包括用于实现第二方面以及第二方面任意一种可能的实现方式中所述的方法的功能模块。
第六方面,本申请实施例提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时执行如第一方面以及第一方面任意一种可能的实现方式、第二方面以及第二方面任意一种可能的实现方式中所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络安全的防御系统的结构示意图;
图2为本申请实施例提供的网络安全的防御系统的部署示意图;
图3为本申请实施例提供的网络安全的防御方法的交互流程图;
图4为本申请实施例提供的前端蜜罐节点的部署示意图;
图5为本申请实施例提供的网络安全的防御装置的第一实施例的功能结构框图;
图6为本申请实施例提供的网络安全的防御装置的第二实施例的功能结构框图。
图标:10-防御系统;11-前端蜜罐节点;12-云端;13-后端蜜罐节点;300-第一防御装置;301-接收模块;302-第一处理模块;400-第二防御装置;401-检测模块;402-第二处理模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
蜜罐是网络欺骗的一种,主要通过布设虚假资源(可以是真实的网络系统或是真实网络环境的模拟)来引诱攻击者采取行动,从而发现攻击和收集攻击信息。
请参照图1,为本申请实施例提供的网络安全的防御系统10,包括:前端蜜罐节点11和云端12,前端蜜罐节点11与云端12之间通信连接,可以相互传输数据。在云端12上,部署有后端蜜罐节点13。对于前端蜜罐节点11和后端蜜罐节点13,可以根据具体的应用场景的需求设置一个或者多个。当后端蜜罐节点13有多个时,云端12上的多个后端蜜罐节点13可以看作一个蜜罐集群,组成云端蜜场。在该云端密场中,云端12相当于控制中心,多个后端蜜罐节点13相当于诱捕探针,由控制中心部署的一系列数据和数据分析工具对黑客攻击行为进行收集和分析。
前端蜜罐节点11设置在前端,用于发现攻击,基于不同的应用场景,前端蜜罐节点11可以部署在不同的网络区域,例如,如果要对内网安全进行防御,就部署在内网中;如果要对外网进行安全防御,就部署在外网中。前端蜜罐节点11可以基于64位的CentOS 6.7或者Ubuntu 16.04以上的操作系统搭建,其配置要求不低于:单核CPU,1G内存,50G硬盘。
请参照图2,为防御系统10的一种可选的部署方式示意图,在图2中,前端蜜罐节点11部署在内网区域,与用户端的真实业务系统分区域设置。前端蜜罐节点11和用户端可在同一个防火墙区域中,该防火墙区域可以通过DMZ(Demilitarized Zone,隔离区)防火墙实现。DMZ是一个非安全系统与安全系统之间的缓冲区,可以解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的。作用是把允许外部访问的服务器单独部署在此区域,使整个需要保护的内部网络接在信任区后,不允许任何外部网络的直接访问,实现内外网分离,满足用户的安全需求。该缓冲区位于内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如Web服务器、FTP(File Transfer Protocol,文件传输协议)服务器和论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
通过DMZ网络部署,在用户端,用户能够进行正常的访问,而外部网络的攻击则由前端蜜罐节点11进行诱捕,捕获攻击流量,即正常的网络流量能够进入用户端的真实业务系统,而非正常的网络流量则由前端蜜罐节点11捕获,不会进入用户端的真实业务系统。
需要注意的是,本申请实施例中所涉及的用户端可以为需要进行防御和保护的用户系统,其可以包含客户端和各种服务器等用于支撑业务系统的运行的硬件层或者软件层。
在图2中,对于云端12和云端12上的后端蜜罐节点13,除了与前端蜜罐节点11通信连接,与用户端的真实业务系统是完全隔离的,进而不会对用户端的真实业务系统产生任何干涉。云端蜜场可以使用独立网络接入,与用户业务系统分开部署,使用KVM(Kernel-based Virtual Machine,基于内核的虚拟机)/Docker(应用容器引擎)虚拟化技术保证即使蜜场内蜜罐被入侵者攻破,后端蜜罐系统的整体安全性仍然可控,避免对用户真实业务产生影响。其中,Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,可以实现虚拟化。容器完全使用沙箱机制,相互之间不会有任何接口。
在部署后端蜜罐节点13时,云端蜜场基于KVM/Docker实现隔离部署,尽可能全地模拟用户真实应用场景。后端蜜罐节点13可以包括多个分布式的蜜罐节点,各自所模拟的服务可以不同,例如包括:网页应用蜜罐,系统服务蜜罐,溯源蜜罐,主机蜜罐以及用户自定义蜜罐等,各个蜜罐节点相互调用。部署的具体过程可以包括:1)在云端12上安装Docker,linux系统命令可使用apt install docker-ce安装并启动Docker,在安装好Docker的机器上初始化Docker间的网络通信服务,提供可供控制中心访问的容器API(ApplicationProgramming Interface,应用程序编程接口)。2)在各个Docker节点上创建主机蜜罐,主机蜜罐上创建系统服务蜜罐,系统服务蜜罐上创建应用服务蜜罐。3)为蜜罐节点划分不同的虚拟网络,节点间通过该网络保证蜜罐连通性,使蜜罐各层级相互调用,相互嵌套。4)在云端12上设置HaProxy服务端,保证前端蜜罐节点11的正常连接并转发流量。
进一步的,对于前端蜜罐节点11,可以为低交互蜜罐。低交互蜜罐通常模拟成一个常见的应用服务(如:SSH(Secure Shell,安全外壳协议),FTP(File Transfer Protocol,文件传输协议),等),开放某些特定端口并允许简单的交互连接,一般部署在内网等正常用户不会直接访问到的地方,只要攻击者试图连接模拟的服务,蜜罐就会触发安全报警。低交互蜜罐通常只是模拟相对简单的一些服务,功能比较单一,作用比较有限,通常低交互蜜罐不容易被攻击者攻破。低交互蜜罐主要作用是快速响应,及时报警止损,由于其占用系统资源较小,部署一个低交互蜜罐相对而言成本较低。
对于后端蜜罐节点13,可以为高交互蜜罐。高交互蜜罐可以模拟完整的计算机系统,并在关键的服务进行埋点,同时允许入侵者入侵成功并获取系统权限,可以记录攻击者的攻击行为,但这种基于真实的计算机系统模拟的蜜罐可能带来额外的风险,一旦防范不当,蜜罐系统很可能被攻击者作为跳板进一步攻击用户端的其他重要系统。高交互蜜罐由于其功能比较复杂,占用系统资源也比较高。
接下来请参考图3,为本申请实施例提供的应用于防御系统10的网络安全的防御方法的交互流程图,该包括:
步骤201:前端蜜罐节点11实时检测传输给用户端的流量。
步骤202:当前端蜜罐节点11捕获到针对用户端的攻击流量时,将攻击流量转发给云端12。
步骤203:云端12接收攻击流量。
步骤204:云端12通过后端蜜罐节点13记录与攻击流量对应的攻击行为。
与现有技术相比,采用双蜜罐部署的方式,前端蜜罐节点11将针对用户端的攻击流量发送给云端12,云端12再通过后端蜜罐节点13进一步记录与攻击流量对应的攻击行为,使蜜罐的防御具有更高的迷惑性和复杂性,尽可能多的捕捉攻击者的攻击威胁。并且,前端蜜罐节点11与用户端的真实业务系统隔离,后端蜜罐节点13部署在云端12上,云端12是与用户端的真实业务系统隔离的,那么后端蜜罐节点13与用户端的真实业务系统也是隔离的,进而使部署的蜜罐不会对用户的真实业务产生干扰,在实现网络安全防护的同时,降低了对用户真实业务带来的安全风险。
接下来对步骤201-步骤204的详细实施方式作介绍。
在步骤201中,可以通过开放某些特定端口,并允许简单的交互连接实现。当前端蜜罐节点11开放端口,相当于将端口暴露给攻击者,攻击者发动攻击时,本以为攻击到的是用户端的业务系统,但实际是被前端蜜罐节点11的模拟服务所诱捕,对应的攻击流量就会被前端蜜罐节点11捕获到,同时正常用户不会直接访问到前端蜜罐节点11,也不会影响用户的正常浏览或者访问。
进一步的,在步骤202中,当攻击者试图连接前端蜜罐节点11的模拟服务时,前端蜜罐节点11就会捕获到对应的攻击流量,此时前端蜜罐节点11就将攻击流量转发给云端12。
对于前端蜜罐节点11来说,与用户端的真实业务系统是完全隔离的,为了实现完全隔离,可以通过划分VLAN(Virtual Local Area Network,虚拟局域网)地址和设置IP(Internet Protocol,网络协议)地址的方式实现,使前端蜜罐节点11和用户端的VLAN地址和IP地址均不相同,在VLAN地址和IP地址均不相同的情况下,前端蜜罐节点11无法访问到用户端的真实业务系统,使攻击者不能够利用蜜罐作为跳板去对用户端的真实业务系统采取进一步的攻击。
作为一种可选的实施方式,通过前端蜜罐节点11所接入的路由器划分VLAN地址,并为前端蜜罐节点11分配对应的IP地址。假设现有两个用户端的业务主机和两个前端蜜罐节点11,各自的连接情况如图4所示,划分VLAN的过程可以包括:1)PC0(PersonalComputer,个人计算机)(业务主机)接入交换机端口Fa0/1,PC2(前端蜜罐节点)接入交换机端口Fa0/2,PC3(前端蜜罐节点)接入交换机端口Fa0/3。2)交换机上配置命令参考如下:
Switch>enable //进入特权模式
Switch#vlan database //进入vlan数据库
Switch(vlan)#vlan 2 //添加一个vlan,vlan号为2;默认所有端口处于vlan 1,因此本例子只需添加添加vlan 2
Switch(vlan)#exit //退出vlan数据库
Switch#configure terminal //进入全局配置模式
Switch(config)#interface FastEthernet 0/2 //进入端口Fa0/2设置
Switch(config-if)#switchport access vlan 2 //设置端口Fa0/2处于vlan2;默认所有端口处于vlan 1,所以本实例不用对端口Fa0/1设置vlan Switch(config-if)#exit //退出端口Fa0/2设置
Switch(config)#interface FastEthernet 0/3 //进入端口Fa0/3设置
Switch(config-if)#switchport access vlan 2 //设置端口Fa0/3处于vlan 2
Switch(config-if)#end //设置完成退出
通过上述代码可以看出,划分VLAN的方式为:先进入VLAN数据库,进入全局配置模式,然后针对需要配置的端口进行设置,设置完成后退出VLAN数据库即可完成配置,配置完成后,蜜罐节点或者业务主机所连接的端口的VLAN地址即为蜜罐节点或者业务主机的VLAN地址。
进一步的,在步骤202中,前端蜜罐节点11需要进行流量转发,可以通过在前端蜜罐节点11上设置HaProxy实现,HaProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡的应用程序代理。在前端蜜罐节点11上安装HaProxy客户端,通过对应的命令使前端蜜罐节点11具备流量代理的功能,代理是指网络信息的中转站,源主机通过代理服务器发送请求,代理服务器接收到请求并转发到目标主机,目标主机返回响应结果到代理服务器,代理服务器再将结果返回到源主机。其中,在HaProxy客户端上所采用的命令可以为:
tar zxvf haproxy-1.4.8.tar.gz
cd haproxy-1.4.8
make TARGET=linux26 PREFIX=/usr/local/haproxy
make install PREFIX=/usr/local/haproxy
进一步的,在步骤202中,在前端蜜罐节点11进行流量转发时,还可以对流量进行加密转发,因此步骤202可以包括:前端蜜罐节点11对攻击流量进行加密,将加密后的攻击流量转发给云端12。为了实现加密传输,在前端蜜罐节点11和云端12上可以预先定义加密规则和与加密规则对应的解密规则,前端蜜罐节点11按照加密规则对转发的流量进行加密,云端12按照解密规则对接收到的转发的流量进行解密。
在本申请实施例中,在转发攻击流量时,可以对攻击流量进行加密后再转发,避免攻击者识别到攻击流量,进而发现前端蜜罐节点的流量转发行为,而进行进一步的攻击等情况所带来的风险。
进一步的,前端蜜罐节点11将攻击流量转发给云端12后,执行步骤203:云端12接收该攻击流量。在步骤203后,执行步骤204,云端12通过后端蜜罐节点13记录与攻击流量对应的攻击行为。
基于前述实施例中对后端蜜罐节点13的部署方式的介绍,作为一种可选的实施方式,步骤204可以包括:确定用于处理攻击流量的后端蜜罐节点13;将攻击流量发送给用于处理攻击流量的后端蜜罐节点13,以使用于处理攻击流量的后端蜜罐节点13记录与攻击流量对应的攻击行为。
可以理解,当设置有多个后端蜜罐节点13时,每个后端蜜罐节点13所模拟的服务可以是不同的,例如前述实施例中介绍过的网页应用服务、系统服务等,因此,当接收到攻击流量后,根据攻击流量对应的服务类型可以确定用于处理该攻击流量的后端蜜罐节点13,以使后端蜜罐节点13模拟与该攻击流量对应的服务,实现攻击行为的挖掘与记录。
需要理解的是,各个后端蜜罐节点13之间是可以相互通信,且嵌套设置的,当需要模拟的服务需要多个后端蜜罐节点13进行配合时,此时用于处理攻击流量的后端蜜罐节点13也可以是多个。并且,如果没有可以模拟对应的服务的后端蜜罐节点13时,此时云端12还可以根据所需模拟的用户服务对后端蜜罐节点13的蜜罐资源进行调整,使云端密场可以模拟所需的用户服务,实现攻击行为的挖掘与记录。由于整个云端蜜场与外部隔离的,其内部的调整也不会影响到用户的正常业务。
后端蜜罐节点13在接收到攻击流量后,模拟完整的服务,进一步对攻击者进行迷惑,例如允许攻击入侵成功,并获取系统权限,进而可以使攻击者的攻击行为暴露,以此来记录攻击者的攻击行为。
对于云端12来说,由于后端蜜罐节点13所模拟的服务是较完整的服务,功能比较复杂,会带来额外的风险,为了降低风险,可以通过相应的措施规避可能会带来的风险。因此在步骤201之前,或者部署后端蜜罐节点13时,可以对后端蜜罐节点13的网络进行配置,以使后端蜜罐节点13与外部设备通信隔离。具体的配置过程在前述实施例中已经介绍过,通过KVM/Docker技术实现网络隔离部署。
除了对网络进行配置,实现隔离部署,还可以设置后端蜜罐节点13的访问权限,以限制外部设备对后端蜜罐节点13的访问。具体的,可以基于ACL(Access Control Lists,访问控制列表)技术实现,访问控制列表是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
进一步的,在步骤204后,根据记录的攻击行为,可以对攻击行为进行溯源,挖掘更多的黑客信息,进而根据黑客信息采取保证安全的防护措施。
在本申请实施例中,防御系统10采用双蜜罐的部署方式,前端蜜罐节点11占用系统资源低,对系统配置要求较低,与用户端的真实业务系统相隔离,保证了系统的安全性。云端蜜场中的后端蜜罐节点13之间可以相互调用,相互嵌套,能够更好的模拟用户场景,迷惑攻击者产生攻击行为,可最大程度拖延攻击者时间,蜜场不依赖代理节点的环境,比较独立。同时由于蜜场单独部署在云端12,其蜜罐资源可快速根据需求进行相应调整。整个防御系统10有效发挥了各种不同的功能的蜜罐的优点,减小了部署蜜罐系统对用户的真实业务带来的安全风险,降低了系统的资源负载,节省了部署蜜罐的成本,更好的发挥蜜罐在网络攻击防护中的优势,提升实际应用中系统的安全防护能力。
基于同一发明构思,请参照图5,本申请实施例中还提供第一防御装置300,应用于防御系统10中的云端12,第一防御装置300包括:接收模块301和第一处理模块302。
其中,接收模块301用于接收前端蜜罐节点11发送的针对所述用户端的攻击流量。第一处理模块302用于通过后端蜜罐节点13记录与所述攻击流量对应的攻击行为。
可选的,第一处理模块302具体用于:确定用于处理所述攻击流量的后端蜜罐节点13;将所述攻击流量发送给用于处理所述攻击流量的后端蜜罐节点13,以使用于处理所述攻击流量的后端蜜罐节点13记录与所述攻击流量对应的攻击行为。
可选的,第一处理模块302还用于:对后端蜜罐节点13的网络进行配置,以使所述后端蜜罐节点与外部设备通信隔离。
可选的,第一处理模块302还用于:设置后端蜜罐节点13的访问权限,以限制外部设备对后端蜜罐节点13的访问。
前述实施例中的关于云端12的各实施方式和具体实例同样适用于图5的装置,通过前述实施例的详细描述,本领域技术人员可以清楚的知道图5中的第一防御装置300的实施方式,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,请参照图6,本申请实施例中还提供第二防御装置400,应用于防御系统10中的前端蜜罐节点11,第二防御装置400包括:检测模块401和第二处理模块402。
其中,检测模块401用于:实时检测传输给所述用户端的流量。第二处理模块402用于:当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给云端12。
可选的,第二处理模块402还用于:对所述攻击流量进行加密;将加密后的攻击流量转发给云端12。
前述实施例中的关于前端蜜罐节点11的各实施方式和具体实例同样适用于图6的装置,通过前述实施例的详细描述,本领域技术人员可以清楚的知道图6中的第二防御装置400的实施方式,所以为了说明书的简洁,在此不再详述。
本申请实施例还提供了一种可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被计算机运行时执行上述任一实施方式中的网络安全的防御方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种网络安全的防御方法,其特征在于,应用于云端,所述云端上部署有后端蜜罐节点,且所述云端与用户端的真实业务系统隔离,所述方法包括:
接收前端蜜罐节点发送的针对所述用户端的攻击流量;所述前端蜜罐节点与所述用户端的真实业务系统隔离;
通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。
2.根据权利要求1所述的防御方法,其特征在于,所述后端蜜罐节点为多个,通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为,包括:
确定用于处理所述攻击流量的后端蜜罐节点;
将所述攻击流量发送给用于处理所述攻击流量的后端蜜罐节点,以使用于处理所述攻击流量的后端蜜罐节点记录与所述攻击流量对应的攻击行为。
3.根据权利要求1所述的方法,其特征在于,在接收前端蜜罐节点发送的针对所述用户端的攻击流量之前,所述方法还包括:
对所述后端蜜罐节点的网络进行配置,以使所述后端蜜罐节点与外部设备通信隔离。
4.根据权利要求1所述的防御方法,其特征在于,所述方法还包括:
设置所述后端蜜罐节点的访问权限,以限制外部设备对所述后端蜜罐节点的访问。
5.一种网络安全的防御方法,其特征在于,应用于前端蜜罐节点,所述前端蜜罐节点与用户端的真实业务系统隔离,所述方法包括:
实时检测传输给所述用户端的流量;
当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给与所述真实业务系统隔离的云端。
6.根据权利要求5所述的防御方法,其特征在于,所述前端蜜罐节点的VLAN地址与所述用户端的VLAN地址不同;所述前端蜜罐节点的IP地址与所述用户端的IP地址不同。
7.根据权利要求5所述的防御方法,其特征在于,将所述攻击流量转发给与所述真实业务系统隔离的云端,包括:
对所述攻击流量进行加密;
将加密后的攻击流量转发给与所述真实业务系统隔离的云端。
8.一种网络安全的防御系统,其特征在于,包括:
前端蜜罐节点,所述前端蜜罐节点与用户端的真实业务系统隔离;
与所述用户端的真实业务系统隔离的云端,所述云端上部署有后端蜜罐节点;
所述前端蜜罐节点用于:实时检测传输给所述用户端的流量;当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给所述云端;
所述云端用于:接收所述攻击流量;通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。
9.一种网络安全的防御装置,其特征在于,应用于云端,所述云端上部署有后端蜜罐节点,且所述云端与用户端的真实业务系统隔离,所述装置包括:
接收模块,用于接收前端蜜罐节点发送的针对所述用户端的攻击流量;所述前端蜜罐节点与所述用户端的真实业务系统隔离;
第一处理模块,用于通过所述后端蜜罐节点记录与所述攻击流量对应的攻击行为。
10.一种网络安全的防御装置,其特征在于,应用于前端蜜罐节点,所述前端蜜罐节点与用户端的真实业务系统隔离,所述装置包括:
检测模块,用于实时检测传输给所述用户端的流量;
第二处理模块,用于:当捕获到针对所述用户端的攻击流量时,将所述攻击流量转发给与所述真实业务系统隔离的云端。
11.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时执行如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911361130.7A CN110881052A (zh) | 2019-12-25 | 2019-12-25 | 网络安全的防御方法、装置及系统、可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911361130.7A CN110881052A (zh) | 2019-12-25 | 2019-12-25 | 网络安全的防御方法、装置及系统、可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110881052A true CN110881052A (zh) | 2020-03-13 |
Family
ID=69731260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911361130.7A Pending CN110881052A (zh) | 2019-12-25 | 2019-12-25 | 网络安全的防御方法、装置及系统、可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110881052A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111651757A (zh) * | 2020-06-05 | 2020-09-11 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
CN112738120A (zh) * | 2020-12-31 | 2021-04-30 | 上海戎磐网络科技有限公司 | 基于蜜罐的数据处理方法、装置、系统以及电子设备 |
CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN114760123A (zh) * | 2022-04-07 | 2022-07-15 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
CN115065495A (zh) * | 2022-04-07 | 2022-09-16 | 京东科技信息技术有限公司 | 蜜罐网络运行方法、装置、设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
US20190238589A1 (en) * | 2016-01-29 | 2019-08-01 | Sophos Limited | Honeypot network services |
-
2019
- 2019-12-25 CN CN201911361130.7A patent/CN110881052A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
US20190238589A1 (en) * | 2016-01-29 | 2019-08-01 | Sophos Limited | Honeypot network services |
CN107222515A (zh) * | 2016-03-22 | 2017-09-29 | 阿里巴巴集团控股有限公司 | 蜜罐部署方法、装置及云端服务器 |
CN107819731A (zh) * | 2016-09-13 | 2018-03-20 | 北京长亭科技有限公司 | 一种网络安全防护系统及相关方法 |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
Non-Patent Citations (3)
Title |
---|
POONAM A PANDIRE: "Attack Detection in Cloud Virtual Environment and Prevention Using Honeypot", 《2018 INTERNATIONAL CONFERENCE ON INVENTIVE RESEARCH IN COMPUTING APPLICATIONS (ICIRCA)》 * |
杨德全等: "基于蜜罐的主动防御应用研究", 《网络与信息安全学报》 * |
许显月等: "基于两级重定向机制的密网研究和设计", 《计算机技术与发展》 * |
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111651757A (zh) * | 2020-06-05 | 2020-09-11 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN111651757B (zh) * | 2020-06-05 | 2024-04-09 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
CN111835758A (zh) * | 2020-07-10 | 2020-10-27 | 四川长虹电器股份有限公司 | 基于tcp/udp透明代理实现的蜜罐攻击者溯源的方法 |
CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
CN111935185A (zh) * | 2020-10-09 | 2020-11-13 | 北京元支点信息安全技术有限公司 | 基于云计算构建大规模诱捕场景的方法及系统 |
CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
CN112738120A (zh) * | 2020-12-31 | 2021-04-30 | 上海戎磐网络科技有限公司 | 基于蜜罐的数据处理方法、装置、系统以及电子设备 |
CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN113037777B (zh) * | 2021-04-09 | 2021-12-03 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
CN113612783B (zh) * | 2021-08-09 | 2023-05-19 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN114760123A (zh) * | 2022-04-07 | 2022-07-15 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
CN115065495A (zh) * | 2022-04-07 | 2022-09-16 | 京东科技信息技术有限公司 | 蜜罐网络运行方法、装置、设备及存储介质 |
WO2023193513A1 (zh) * | 2022-04-07 | 2023-10-12 | 京东科技信息技术有限公司 | 蜜罐网络运行方法、装置、设备及存储介质 |
CN114760123B (zh) * | 2022-04-07 | 2024-04-05 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110881052A (zh) | 网络安全的防御方法、装置及系统、可读存储介质 | |
Fan et al. | Enabling an anatomic view to investigate honeypot systems: A survey | |
US9729567B2 (en) | Network infrastructure obfuscation | |
US10476891B2 (en) | Monitoring access of network darkspace | |
US10567431B2 (en) | Emulating shellcode attacks | |
US9942270B2 (en) | Database deception in directory services | |
Yu et al. | PSI: Precise Security Instrumentation for Enterprise Networks. | |
US9609019B2 (en) | System and method for directing malicous activity to a monitoring system | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
US20170180421A1 (en) | Deception using Distributed Threat Detection | |
CN110099040B (zh) | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 | |
EP3414663A1 (en) | Automated honeypot provisioning system | |
Tambe et al. | Detection of threats to IoT devices using scalable VPN-forwarded honeypots | |
US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
KR20080063209A (ko) | 엔드포인트 리소스를 사용하는 네트워크 보안 요소 | |
EP2903238B1 (en) | A router-based honeypot for detecting advanced persistent threats | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
Sun et al. | CyberMoat: Camouflaging critical server infrastructures with large scale decoy farms | |
Srinivasa et al. | Interaction matters: a comprehensive analysis and a dataset of hybrid IoT/OT honeypots | |
Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
Kunal et al. | A secure software defined networking for distributed environment | |
Gautam et al. | Optimized virtual honeynet with implementation of host machine as honeywall | |
Yan et al. | Anti‐virus in‐the‐cloud service: are we ready for the security evolution? | |
Cao et al. | Covert Channels in SDN: Leaking Out Information from Controllers to End Hosts | |
Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200313 |