CN111314281A - 一种攻击流量转发至蜜罐的方法 - Google Patents
一种攻击流量转发至蜜罐的方法 Download PDFInfo
- Publication number
- CN111314281A CN111314281A CN201911225905.8A CN201911225905A CN111314281A CN 111314281 A CN111314281 A CN 111314281A CN 201911225905 A CN201911225905 A CN 201911225905A CN 111314281 A CN111314281 A CN 111314281A
- Authority
- CN
- China
- Prior art keywords
- gateway
- honeypot
- forwarding
- data packet
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种攻击流量转发至蜜罐的方法,采用网关代理的方式,通过简单部署网关与流量转发模块,将对真实业务服务器上敏感端口的请求访问都转发给网关,网关进行流量转发模块规则配置,将攻击者的请求转发给蜜罐,由蜜罐进行攻击取证并回复攻击者的访问请求,利用网关轻松实现数据包的转发,防止了伪装代理过程中产生的不稳定影响整个通信质量。本发明进行入侵检测,部署简便,可操作性强,维护网络安全、企业业务安全和稳定性,为中小型企业部署伪装代理提供了便利。
Description
技术领域
本发明涉及一种计算机信息安全,具体涉及一种攻击流量转发至蜜罐的方法。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
现有伪装代理技术无法通过简单的流量转发模块规则配置实现攻击者与蜜罐的交互,而需要通过部署蜜罐代理端和蜜罐管理端进行管理,使伪装代理成本变高,且现有的伪装代理技术,部署成本较大,数据传输过程较复杂。
发明内容
发明目的:本发明的目的在于针对现有技术的不足,提供一种攻击流量转发至蜜罐的方法,大大减少了不熟成本,简化了数据传输过程。
攻击者访问真实业务客户端的敏感内容;
真实业务客户端接收到访问请求后进行流量转发,将对真实业务服务器上敏感端口的请求访问都转发给网关;
网关进行流量转发模块规则配置;
蜜罐接收到网关配置的流量转发后进行对攻击者其取证并回复访问请求;
网关将蜜罐回复的内容拦截并发送给真实业务服务器;
真实业务服务器将网关发来的内容转发至攻击者。
所述真实业务数据转发通过代码实现,所述真实业务数据转发通过Java开发出的小程序安装在真实业务机上,虚拟出端口,实现数据流量转发。
所述网关配置流量转发模块规则,将真实业务发来的攻击者请求都转发给蜜罐,在转发过程中将数据包重新封装,修改访问来源为攻击者。
所述网关配置流量转发模块规则包括四条:(1)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将该数据包的去向改成蜜罐IP和对应的敏感端口;(2)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将数据包的访问来源修改成攻击者IP;(3)如果网关经过字符串匹配,发现有从蜜罐反馈的数据包,则启用内核模块,把数据包的去向改成真实业务端;(4)在整个过程中,通过编写蜜罐的路由规则,将蜜罐的gateway改成网关,使得整个过程可以通信。
所述网关配置流量转发模块规则,在网关配置规则之前配置两条预设规则,包括(1)清空本条数据传输链的规则;(2)允许数据转发的规则。
所述蜜罐收到网关发过来的数据包,对这个数据包作出回应。
有益效果:由于本发明采用的伪装代理技术,将攻击者对真实业务的敏感端口的请求转发给蜜罐,蜜罐进行相应的请求回复和进行攻击行为的取证,极大程度上保护了真实业务,加上部署简便,为中小型企业部署伪装代理提供了便利。本发明进行入侵检测,部署简便,可操作性强,维护网络安全、企业的业务安全和稳定性。
附图说明
图1为本发明整体流程图;
图2为本发明蜜罐回复的流程图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
一种攻击流量转发至蜜罐的方法,如图1所示,攻击者访问真实业务客户端的敏感内容,真实业务客户端接收到后进行流量转发,流量转发给网关后,网关进行流量转发模块规则配置,将真实业务发来的攻击者请求转发给蜜罐,蜜罐接收到请求后面对其进行攻击取证并回复访问请求,本发明中,与现有技术不同,客户一开始访问的就是真实业务,但是,如果访问真实业务的敏感端口,网关会将此访问请求转换到蜜罐,而现有技术方案中,客户一开始访问的是蜜罐代理端,由蜜罐代理端决定是否将访问请求发送给蜜罐或真实业务,增大了部署成本。
如图2所示,蜜罐收到网关发过来的访问请求,对其作出回应,网关将回复的内容拦截并发送给真实业务客户端,真实业务客户端将发来的回应内容进行流量转发,转发给攻击者,攻击者收到访问的请求回复,则攻击者以为是真实业务客户端对其回复,实则是蜜罐对攻击者的回复。
优选的,真实业务数据转发通过Java开发出小程序,将其安装在真实业务机上,虚拟出端口,比如80.、8080,功能主要是对访问这些端口的流量进行转发,支持tcp udp协议。
优选的,网关配置流量转发模块规则将真实业务发来的攻击者请求都转发给蜜罐,在转发过程中将数据包重新封装,修改访问来源为攻击者,则蜜罐根据实际情况作出正确的回应,采取的网关流量转发模块规则配置代理网关,直接一步实现了信息传递和转发,降低了部署难度,降低了对整个网络环境稳定性的要求。
优选的,蜜罐的配置采取一对一的完整部署,真实业务中具有的敏感端口,蜜罐中同样具有,蜜罐收到网关发过来的数据包,对此作出回应。
对于实现代理技术的关键问题,本发明采用网关代理的方式,网关配置核心规则之前配置两条预设规则,包括(1)清空本条数据传输链的规则;(2)允许数据转发的规则,完成之后再配置核心规则,配置的核心规则包括四条:(1)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将该数据包的去向改成蜜罐IP和对应的敏感端口;(2)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将数据包的访问来源修改成攻击者IP;(3)如果网关经过字符串匹配,发现有从蜜罐反馈的数据包,则启用内核模块,把数据包的去向改成真实业务端;(4)在整个过程中,通过编写蜜罐的路由规则,将蜜罐的gateway改成网关,使得整个过程可以通信。
通过将蜜罐同一内网的服务器部署为网关代理,在此网关上部署流量转发模块规则,使得真实业务可以通过网关与蜜罐进行交互,将对真实业务的请求转换为对蜜罐的请求,而蜜罐的回应可以和攻击者的请求对应,攻击者不知与自己通信的是蜜罐;对于稳定性问题,本发明只采用了一个中间代理,即网关,通过简单部署网关与流量转发模块,轻松实现数据包的转发,防止了伪装代理过程中产生不稳定会影响到整个通信;对于攻击行为的记录取证行为。
本发明通过在蜜罐服务器上部署相应程序实现,例如,攻击者的地址是172.16.20.113(attackIP),业务端的地址是172.16.10.45(workerIP),网关地址是172.16.10.46,蜜罐地址,172.16.10.47(honeyIP)。那么网关就将攻击者的IP作为attackerIP,攻击者访问的真实业务端port就是attackPort(如80)。
本发明中对于网关代理中的规则配置,即将攻击者的请求变为对蜜罐的请求,这一步可以通过不同的蜜罐代理服务器之间转发流量实现,即创建几个蜜罐代理服务器,有专门控制代理策略的,有专门进行蜜罐管理的,有专门负责转发攻击者的非正常访问请求的服务器。替代方案中,对于伪装代理的管理层次更加分明,管理更加完善,本发明相比,部署成本更大,网络稳定性要求更高。
如上所述,尽管参照特定的优选实施例已经表示和表述了本发明,但其不得解释为对本发明自身的限制。在不脱离所附权利要求定义的本发明的精神和范围前提下,可对其在形式上和细节上作出各种变化。
Claims (6)
1.一种攻击流量转发至蜜罐的方法,包括以下步骤:
步骤1,攻击者访问真实业务客户端的敏感内容;
步骤2,真实业务客户端接收到访问请求后进行流量转发,将对真实业务服务器上敏感端口的请求访问都转发给网关;
步骤3,网关进行流量转发模块规则配置;
步骤4,蜜罐接收到网关配置的流量转发后进行对攻击者其取证并回复访问请求;
步骤5,网关将蜜罐回复的内容拦截并发送给真实业务服务器;
步骤6,真实业务服务器将网关发来的内容转发至攻击者。
2.根据权利要求1所述的一种攻击流量转发至蜜罐的方法,其特征在于,所述真实业务数据转发通过Java开发出的小程序安装在真实业务机上,虚拟出端口,实现数据流量转发。
3.根据权利要求1所述的一种攻击流量转发至蜜罐的方法,其特征在于:所述网关配置流量转发模块规则,将真实业务发来的攻击者请求都转发给蜜罐,在转发过程中将数据包重新封装,修改访问来源为攻击者。
4.根据权利要求1或3所述的一种攻击流量转发至蜜罐的方法,其特征在于:所述网关配置流量转发模块规则包括四条:(1)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将该数据包的去向改成蜜罐IP和对应的敏感端口;(2)从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包,如果网关检测到该数据包中含有攻击者信息,则启用内核模块,将数据包的访问来源修改成攻击者IP;(3)如果网关经过字符串匹配,发现有从蜜罐反馈的数据包,则启用内核模块,把数据包的去向改成真实业务端;(4)在整个过程中,通过编写蜜罐的路由规则,将蜜罐的gateway改成网关,使得整个过程可以通信。
5.根据权利要求4所述的一种攻击流量转发至蜜罐的方法,其特征在于:所述网关配置流量转发模块规则,在网关配置规则之前配置两条预设规则,包括(1)清空本条数据传输链的规则;(2)允许数据转发的规则。
6.根据权利要求1所述的一种攻击流量转发至蜜罐的方法,其特征在于:所述蜜罐收到网关发过来的数据包,对这个数据包作出回应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911225905.8A CN111314281A (zh) | 2019-12-04 | 2019-12-04 | 一种攻击流量转发至蜜罐的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911225905.8A CN111314281A (zh) | 2019-12-04 | 2019-12-04 | 一种攻击流量转发至蜜罐的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111314281A true CN111314281A (zh) | 2020-06-19 |
Family
ID=71159688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911225905.8A Pending CN111314281A (zh) | 2019-12-04 | 2019-12-04 | 一种攻击流量转发至蜜罐的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111314281A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
| CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN114006715A (zh) * | 2020-12-31 | 2022-02-01 | 广州非凡信息安全技术有限公司 | 一种基于透明代理设置攻击反制脚本的方法 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103716313A (zh) * | 2013-12-24 | 2014-04-09 | 中国科学院信息工程研究所 | 一种用户隐私信息保护方法及系统 |
| CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
-
2019
- 2019-12-04 CN CN201911225905.8A patent/CN111314281A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103716313A (zh) * | 2013-12-24 | 2014-04-09 | 中国科学院信息工程研究所 | 一种用户隐私信息保护方法及系统 |
| CN109257326A (zh) * | 2017-07-14 | 2019-01-22 | 东软集团股份有限公司 | 防御数据流攻击的方法、装置和存储介质及电子设备 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN109962912A (zh) * | 2019-03-06 | 2019-07-02 | 中国信息安全测评中心 | 一种基于蜜罐流量引流的防御方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 胡文等: "蜜罐重定向机制的设计与实现", 《微计算机信息》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112118258A (zh) * | 2020-09-17 | 2020-12-22 | 四川长虹电器股份有限公司 | 在蜜罐场景下获取攻击者信息的系统及方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及系统 |
| CN112291246B (zh) * | 2020-10-30 | 2022-01-28 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112788023B (zh) * | 2020-12-30 | 2023-02-24 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
| CN112788023A (zh) * | 2020-12-30 | 2021-05-11 | 成都知道创宇信息技术有限公司 | 基于安全网络的蜜罐管理方法及相关装置 |
| CN114006715A (zh) * | 2020-12-31 | 2022-02-01 | 广州非凡信息安全技术有限公司 | 一种基于透明代理设置攻击反制脚本的方法 |
| CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
| CN112995151B (zh) * | 2021-02-08 | 2023-11-14 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN112995151A (zh) * | 2021-02-08 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 访问行为处理方法和装置、存储介质及电子设备 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN115134098B (zh) * | 2021-03-12 | 2024-03-01 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN113992368B (zh) * | 2021-10-18 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN115499242B (zh) * | 2022-10-11 | 2023-12-26 | 中电云计算技术有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN117176389A (zh) * | 2023-07-27 | 2023-12-05 | 中电云计算技术有限公司 | 一种安全防御方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| US10284603B2 (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| CA2182777C (en) | Security system for interconnected computer networks | |
| JP3298832B2 (ja) | ファイアウォールサービス提供方法 | |
| US7765309B2 (en) | Wireless provisioning device | |
| US7792990B2 (en) | Remote client remediation | |
| US7474655B2 (en) | Restricting communication service | |
| US20170026387A1 (en) | Monitoring access of network darkspace | |
| US7664855B1 (en) | Port scanning mitigation within a network through establishment of an a prior network connection | |
| US20040109518A1 (en) | Systems and methods for a protocol gateway | |
| CN111885046B (zh) | 一种基于Linux的透明内网访问方法及装置 | |
| JPH11167538A (ja) | ファイアウォールサービス提供方法 | |
| CN110881052A (zh) | 网络安全的防御方法、装置及系统、可读存储介质 | |
| EP1552414A1 (en) | Systems and methods for a protocol gateway | |
| JPH11168511A (ja) | パケット検証方法 | |
| CN110351233A (zh) | 一种基于安全隔离网闸的双向透明传输技术 | |
| WO2004047402A1 (en) | Management of network security domains | |
| JP2007266931A (ja) | 通信遮断装置、通信遮断プログラム | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide | |
| Cisco | Private Internet Exchange Reference Guide |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200619 |
|
| RJ01 | Rejection of invention patent application after publication |