CN110990115A - 针对蜜罐的容器化部署管理系统及其方法 - Google Patents
针对蜜罐的容器化部署管理系统及其方法 Download PDFInfo
- Publication number
- CN110990115A CN110990115A CN201911145134.1A CN201911145134A CN110990115A CN 110990115 A CN110990115 A CN 110990115A CN 201911145134 A CN201911145134 A CN 201911145134A CN 110990115 A CN110990115 A CN 110990115A
- Authority
- CN
- China
- Prior art keywords
- service module
- honeypot
- probe
- container
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
- G06F9/4451—User profiles; Roaming
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Programmable Controllers (AREA)
Abstract
一种针对蜜罐的容器化部署管理系统及其方法,包括对蜜罐系统进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子系统。结合其它结构或方法有效避免了现有技术中将蜜罐系统直接部署到host机中而使得攻击方采用大流量攻击蜜罐系统会导致整个主机无法使用、导致部署的其它蜜罐探针也无法使用的缺陷。
Description
技术领域
本发明涉及计算机信息技术领域,具体涉及一种针对蜜罐的容器化部署管理系统及其方法,尤其涉及一种应用于蜜罐管理的docker容器管理技术、CPU、内存、带宽等主机物理资源限制方法。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
目前蜜罐系统底层大多数是采用C、C++编写的库,如果将蜜罐系统直接部署到host机中,攻击方采用大流量攻击蜜罐系统会导致整个主机无法使用,从而导致部署的其它蜜罐探针也无法使用,即单个蜜罐探针被攻击失效后拖累了其它正常运行的蜜罐探针。
发明内容
为解决上述问题,本发明提供了一种针对蜜罐的容器化部署管理系统及其方法,有效避免了现有技术中将蜜罐系统直接部署到host机中而使得攻击方采用大流量攻击蜜罐系统会导致整个主机无法使用、导致部署的其它蜜罐探针也无法使用的缺陷。
为了克服现有技术中的不足,本发明提供了一种针对蜜罐的容器化部署管理系统及其方法的解决方案,具体如下:
一种针对蜜罐的容器化部署管理系统,包括对蜜罐系统进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。
所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子系统。
所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个系统响应变慢。
所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用。
所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作。
所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐系统部署后的效果。
所述针对蜜罐的容器化部署管理系统的方法,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击;
步骤4:输入蜜罐探针需要的资源参数,验证程序会验证资源参数的合法性;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对系统资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
本发明的有益效果为:
本发明针对蜜罐的容器化部署管理系统及其方法用于替代探针直接部署到host层上。采用容器化的方法动态地部署指定协议的探针,并根据协议的被攻击频次多少来分配CPU、内存、带宽值,让探针运行在合理的物理资源需求范围内,具体有益效果如下:
1.动态调整蜜罐探针对物理资源的需求。
2.对主机资源(CPU、内存、带宽等)进行了保护。
3.蜜罐探针具有可移植性。
附图说明
图1为本发明的针对蜜罐的容器化部署管理系统的方法的流程图。
具体实施方式
目前蜜罐需要模拟许多的工控协议探针出来,这些探针都是直接运行于主机中,如果外部攻击到某个蜜罐探针,会导致被攻击的蜜罐探针大量占用主机CPU、内存、带宽等资源。一但主机上的某个蜜罐探针被攻击方突破,则整个主机上部署的蜜罐系统将无法正常使用。
本发明是一种针对蜜罐的容器化部署管理系统及其方法可以有效避免该情况的发生,同时提高了蜜罐系统部署、探针管理的方便性及安全性。
下面将结合附图和实施例对本发明做进一步地说明。
如图1所示,针对蜜罐的容器化部署管理系统,包括对蜜罐系统进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子系统。各服务模块的容器部署方案包括:所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个系统响应变慢。所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用,由于lsprobe、lsagent是由C/C++编写,尽管测试充分也不能保证程序不会因为异常情况而将系统资源消耗过多。所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作,由于日志采用比较消耗资源,所以需要将其容器化,并限制CPU、内存的使用,防止数据采集服务将系统响应变慢。所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐系统部署后的效果。后端程序由于会处理大量的业务逻辑,存在将系统资源耗尽的潜在风险,因此也需要部署在容器中,对其CPU、内存物理资源进行限制。
所述针对蜜罐的容器化部署管理系统的方法,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;plc的一些基本信息描述可以是plc指令或者plc的型号。
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击,蜜罐探针的运行都是启动在公知端口处,不能自己私自设定,否则攻击方将不会来攻击;
步骤4:输入蜜罐探针需要的资源参数,如:CPU为2核心,内存容量为16GB。验证程序会验证资源参数的合法性,比如系统无法分配出对应的资源出来,则提示重新修改资源参数,将资源参数调整到合理范围即可;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对系统资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
本发明的针对蜜罐的容器化部署管理系统及其方法用于替代探针直接部署到host层上。采用容器化的方法动态地部署指定协议的探针,并根据协议的被攻击频次多少来分配CPU、内存、带宽值,让探针运行在合理的物理资源需求范围内。主要解决了蜜罐系统直接部署在host上时,某个探针被大流量攻击后,导致系统资源耗尽,影响其它探针的正常运行的问题。在部署新的蜜罐探针时,合理分配相应的CPU、内存资源给该探针使用,如果该蜜罐探针被大流量攻击时,影响的只有该探针本身,从而保证了其它蜜罐探针的正常运行。
以上以用实施例说明的方式对本发明作了描述,本领域的技术人员应当理解,本公开不限于以上描述的实施例,在不偏离本发明的范围的情况下,可以做出各种变化、改变和替换。
Claims (7)
1.一种针对蜜罐的容器化部署管理系统,其特征在于,包括对蜜罐系统进行服务划分后形成的漏洞服务模块、行为监控服务模块、数据采集服务模块以及数据分析服务模块。
2.根据权利要求1所述的针对蜜罐的容器化部署管理系统,其特征在于,所述漏洞服务模块是通过探针容器来管理,所述行为监控服务模块是采用自研框架lsprobe和lsagent管理架构,所述数据采集服务模块采用ELK容器来进行管理,所述数据分析服务模块为自研报表子系统。
3.根据权利要求1所述的针对蜜罐的容器化部署管理系统,其特征在于,所述漏洞服务模块的容器部署方案包括:动态部署探针并限制蜜罐探针对CPU、内存资源的最大使用率,防止某个蜜罐探针被攻击后导致整个系统响应变慢。
4.根据权利要求1所述的针对蜜罐的容器化部署管理系统,其特征在于,所述行为监控服务模块的容器部署方案包括:使用cgroup来限制lsprobe和lsagent对CPU、内存资源的最大利用。
5.根据权利要求1所述的针对蜜罐的容器化部署管理系统,其特征在于,所述数据采集服务模块的容器部署方案包括:该数据采集服务模块采用elk来进行操作。
6.根据权利要求1所述的针对蜜罐的容器化部署管理系统,其特征在于,所述数据分析服务模块的容器部署方案包括:该述数据分析服务模块是由后端代码与前端代码组成,属于蜜罐项目的业务类,用于给各相关管理人员查看蜜罐系统部署后的效果。
7.一种针对蜜罐的容器化部署管理系统的方法,其特征在于,包含以下步骤:
步骤1:根据现有需求或者需要部署一个modbus工控协议类型的蜜罐探针;
步骤2:选择对应的modbus协议下的xml配置方案模板,如果没有,则需要先创建一个模板,模板内容为plc的一些基本信息描述;
步骤3:配置蜜罐探针的对外运行ip,期望攻击方来进行攻击;
步骤4:输入蜜罐探针需要的资源参数,验证程序会验证资源参数的合法性;
步骤5:根据配置的资源参数进行构建蜜罐探针容器,该蜜罐探针容器对系统资源的消耗就由配置的资源参数来决定;
步骤6:蜜罐探针构建完成后就可以运行它、停止它或者删除它。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911145134.1A CN110990115A (zh) | 2019-11-21 | 2019-11-21 | 针对蜜罐的容器化部署管理系统及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911145134.1A CN110990115A (zh) | 2019-11-21 | 2019-11-21 | 针对蜜罐的容器化部署管理系统及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110990115A true CN110990115A (zh) | 2020-04-10 |
Family
ID=70085427
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911145134.1A Withdrawn CN110990115A (zh) | 2019-11-21 | 2019-11-21 | 针对蜜罐的容器化部署管理系统及其方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110990115A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111651757A (zh) * | 2020-06-05 | 2020-09-11 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN111818062A (zh) * | 2020-07-10 | 2020-10-23 | 四川长虹电器股份有限公司 | 基于Docker的CentOS高交互蜜罐系统及其实现方法 |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
CN114285599A (zh) * | 2021-11-23 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 |
-
2019
- 2019-11-21 CN CN201911145134.1A patent/CN110990115A/zh not_active Withdrawn
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111651757A (zh) * | 2020-06-05 | 2020-09-11 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN111651757B (zh) * | 2020-06-05 | 2024-04-09 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
CN111818062A (zh) * | 2020-07-10 | 2020-10-23 | 四川长虹电器股份有限公司 | 基于Docker的CentOS高交互蜜罐系统及其实现方法 |
CN112104613A (zh) * | 2020-08-24 | 2020-12-18 | 广州锦行网络科技有限公司 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
CN114285599A (zh) * | 2021-11-23 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 |
CN114285599B (zh) * | 2021-11-23 | 2023-08-01 | 中国人民解放军战略支援部队信息工程大学 | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110990115A (zh) | 针对蜜罐的容器化部署管理系统及其方法 | |
US11902120B2 (en) | Synthetic data for determining health of a network security system | |
US9166988B1 (en) | System and method for controlling virtual network including security function | |
US8910129B1 (en) | Scalable control system for test execution and monitoring utilizing multiple processors | |
US8112521B2 (en) | Method and system for security maintenance in a network | |
CN106911648B (zh) | 一种环境隔离方法及设备 | |
CN111698283B (zh) | 分布式集群主机的管控方法、装置、设备及存储介质 | |
US9363145B2 (en) | Programmatically simulating system conditions | |
US9817970B2 (en) | Method for detecting attacks on virtual machines | |
CN104392175A (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
CN112989330B (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
US9245147B1 (en) | State machine reference monitor for information system security | |
CN106650425B (zh) | 一种安全沙箱的控制方法及装置 | |
KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
KR102160950B1 (ko) | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 | |
Uemura et al. | Availability analysis of an intrusion tolerant distributed server system with preventive maintenance | |
CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
CN112187533B (zh) | 一种虚拟网络设备防御方法、装置、电子设备和介质 | |
CN114500039A (zh) | 基于安全管控的指令下发方法及系统 | |
CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
CN113672912A (zh) | 基于计算机硬件指征和行为分析的网络安全监控系统 | |
WO2016106661A1 (zh) | 一种存储装置的访问控制方法、存储装置以及控制系统 | |
CN116192495B (zh) | 电力监控系统蜜场的设计方法、系统、设备和介质 | |
US20230168816A1 (en) | Systems, methods and computer readable media for software defined storage security protection | |
CN105025067A (zh) | 一种信息安全技术研究平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200410 |