CN111683106B - 主动防护系统及方法 - Google Patents
主动防护系统及方法 Download PDFInfo
- Publication number
- CN111683106B CN111683106B CN202010809543.3A CN202010809543A CN111683106B CN 111683106 B CN111683106 B CN 111683106B CN 202010809543 A CN202010809543 A CN 202010809543A CN 111683106 B CN111683106 B CN 111683106B
- Authority
- CN
- China
- Prior art keywords
- address
- target
- network
- scanning
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种主动防护系统及方法,该方法包括:检测待保护网络中的扫描行为,得到检测结果;若检测结果中存在扫描行为,获取该扫描行为的目标地址,并确定与该扫描行为对应的欺骗策略;若上述目标地址属于第一地址集合,则根据该欺骗策略,将上述目标地址映射为第二地址集合中与该目标地址对应的欺骗地址,其中,上述第一地址集合为真实业务系统中的设备节点的地址的集合,上述第二地址集合为主动防护系统中与真实业务系统对应的各个蜜罐节点的地址的集合。实施本申请实施例,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境伪装为待保护网络,从而及时检测到入侵行为并主动利用欺骗环境进行欺骗,避免漏检和误检,有利于提升网络安全性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种主动防护系统及方法。
背景技术
当前,对网络入侵的防御手段往往依赖于预先设定的规则库,仅能在入侵行为满足规则库中预设的条件(如网络流量符合攻击特征等)时,才触发进一步的检测和防御,这样的被动防护机制存在滞后性,且容易漏报和误报,难以应对日益严峻的网络安全形势。
发明内容
本申请实施例公开了一种主动防护系统及方法,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为并主动利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现,有利于提升网络安全性。
本申请实施例第一方面公开一种主动防护系统,所述主动防护系统与真实业务系统通过交换机连接,所述主动防护系统包括检测子系统、决策子系统以及欺骗子系统,其中,
所述检测子系统,用于检测待保护网络中的扫描行为,得到检测结果,并在所述检测结果中存在扫描行为时,获取存在的扫描行为的目标地址;
所述决策子系统,用于在所述检测子系统的检测结果中存在扫描行为时,确定与所述存在的扫描行为对应的欺骗策略,并在所述目标地址属于第一地址集合时,根据所述欺骗策略,将所述目标地址映射为第二地址集合中与所述目标地址对应的欺骗地址,其中,所述第一地址集合为所述真实业务系统中的设备节点的地址的集合,所述第二地址集合为所述欺骗子系统中与所述真实业务系统对应的各个蜜罐节点的地址的集合。
作为一种可选的实施方式,在本申请实施例第一方面中,
所述决策子系统,还用于在所述目标地址属于所述第一地址集合时,通过所述交换机,控制待发送至所述目标地址的第一流量数据转发至所述欺骗子系统中的目标蜜罐节点,其中,所述目标蜜罐节点与所述目标地址映射的欺骗地址对应,所述第一流量数据包括扫描行为数据和/或攻击数据;
所述欺骗子系统,用于通过所述目标蜜罐节点对所述第一流量数据进行处理和应答;
所述欺骗子系统,还用于在所述目标地址属于所述第二地址集合时,根据所述欺骗策略,在所述目标地址对应的蜜罐节点中生成对应于所述目标地址的答复信息,并根据所述答复信息答复所述扫描行为。
作为另一种可选的实施方式,在本申请实施例第一方面中,所述主动防护系统还包括取证留存子系统,其中,
所述取证留存子系统,用于根据所述第一流量数据的发送地址,对所述第一流量数据进行记录并生成记录日志,以及将所述记录日志发送至安全管理终端并进行显示,其中,所述发送地址属于所述第一地址集合、所述第二地址集合以及所述待保护网络之外中的一种或多种。
本申请实施例第二方面公开一种主动防护方法,包括:
检测待保护网络中的扫描行为,得到检测结果;
若所述检测结果中存在扫描行为,获取存在的扫描行为的目标地址,并确定与所述存在的扫描行为对应的欺骗策略;
若所述目标地址属于第一地址集合,则根据所述欺骗策略,将所述目标地址映射为第二地址集合中与所述目标地址对应的欺骗地址,其中,所述第一地址集合为真实业务系统中的设备节点的地址的集合,所述第二地址集合为主动防护系统中与所述真实业务系统对应的各个蜜罐节点的地址的集合。
作为一种可选的实施方式,在本申请实施例第二方面中,在所述根据所述欺骗策略,将所述目标地址映射为第二地址集合中与所述目标地址对应的欺骗地址之后,所述方法还包括:
控制待发送至所述目标地址的第一流量数据转发至目标蜜罐节点,其中,所述目标蜜罐节点与所述目标地址映射的欺骗地址对应,所述第一流量数据包括扫描行为数据和/或攻击数据;
通过所述目标蜜罐节点对所述第一流量数据进行处理和应答。
作为另一种可选的实施方式,在本申请实施例第二方面中,在所述控制待发送至所述目标地址的第一流量数据转发至所述目标地址映射的欺骗地址对应的目标蜜罐节点之后,所述方法还包括:
根据所述第一流量数据的发送地址,对所述第一流量数据进行记录并生成记录日志,其中,所述发送地址属于所述第一地址集合、所述第二地址集合以及所述待保护网络之外中的一种或多种;
将所述记录日志发送至安全管理终端并进行显示。
作为另一种可选的实施方式,在本申请实施例第二方面中,在所述控制待发送至所述目标地址的第一流量数据转发至所述目标地址映射的欺骗地址对应的目标蜜罐节点之后,所述方法还包括:
当所述第一流量数据包括扫描行为数据时,根据所述扫描行为数据,获取所述扫描行为的源地址;
获取从所述欺骗地址发出的第二流量数据以及所述第二流量数据的流向地址,并判断所述流向地址是否为所述源地址,若不为所述源地址,则控制所述第二流量数据转发至所述第二地址集合中与所述流向地址对应的地址。
作为另一种可选的实施方式,在本申请实施例第二方面中,所述方法还包括:
若所述目标地址属于所述第二地址集合,根据所述欺骗策略,在所述目标地址对应的蜜罐节点中生成对应于所述目标地址的答复信息,并根据所述答复信息答复所述扫描行为。
作为另一种可选的实施方式,在本申请实施例第二方面中,在所述检测待保护网络中的扫描行为,得到检测结果之前,所述方法还包括:
根据待保护网络中的真实业务系统的配置信息,生成用于主动防护的多个蜜罐节点的目标配置信息;
根据所述真实业务系统的拓扑结构,生成用于主动防护的目标拓扑结构;
搭建具备所述目标拓扑结构的主动防护系统,并根据所述目标配置信息配置所述主动防护系统中的各个蜜罐节点;
通过交换机连接所述主动防护系统与所述真实业务系统,并建立所述真实业务系统中的设备节点的地址与所述各个蜜罐节点的地址的对应关系。
作为另一种可选的实施方式,在本申请实施例第二方面中,在所述通过交换机连接所述主动防护系统与所述真实业务系统,并建立所述真实业务系统中的设备节点的地址与所述各个蜜罐节点的地址的对应关系之后,所述检测待保护网络中的扫描行为,得到检测结果之前,所述方法还包括:
控制所述交换机,将所述待保护网络中的流量数据全部转发至所述主动防护系统;
所述检测待保护网络中的扫描行为,得到检测结果,包括:
根据所述转发至所述主动防护系统的流量数据,判断所述待保护网络中是否存在扫描行为,并生成检测结果。
与现有技术相比,本申请实施例具有以下有益效果:
本申请实施例中,通过在主动防护系统中预先设置与真实业务系统对应的欺骗环境,并主动检测在网络入侵前期通常会进行的扫描行为,从而能够及时发现潜在的入侵行为,进而转移到上述欺骗环境中进行处理和应答,避免了对真实业务系统的损害。可见,实施本申请实施例,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为,并利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现,有利于提升网络安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图进行简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1(a)是本申请实施例公开的一种主动防护系统的应用场景示意图;
图1(b)是本申请实施例公开的另一种主动防护系统的应用场景示意图;
图1(c)是本申请实施例公开的又一种主动防护系统的应用场景示意图;
图2是本申请实施例公开的一种主动防护系统的模块化示意图;
图3是本申请实施例公开的另一种主动防护系统的模块化示意图;
图4是本申请实施例公开的一种主动防护方法的流程图;
图5是本申请实施例公开的一种蜜罐节点的设置方式的示意图;
图6是本申请实施例公开的另一种主动防护方法的流程图;
图7是本申请实施例公开的又一种主动防护方法的流程图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请实施例的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例公开了一种主动防护系统及方法,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为,并利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现,有利于提升网络安全性。以下将结合附图进行详细描述。
请参阅图1(a),图1(a)是本申请实施例公开的一种主动防护系统的使用场景示意图,包括主动防护系统10、真实业务系统20以及交换机30。如图1(a)所示,主动防护系统10与真实业务系统20通过交换机30连接,以使该主动防护系统10与真实业务系统20处于同一网络下,即处于同一局域网下。
当上述真实业务系统20面临入侵风险时,入侵设备通常需要先对该局域网进行扫描,以获取该局域网中的主机地址、网络拓扑结构、开放端口等信息。其中,上述主机地址,可以包括该局域网中的终端的IP(Internet Protocol,互联网协议)地址、MAC(MediaAccess Control,媒体访问控制)地址等;上述网络拓扑结构,可以包括总线型结构、星状结构、树状结构等;上述开放端口,可以包括常用的网页代理端口(端口号80、8080等)、远程登录端口(端口号23)等。可以理解的是,本申请实施例主要以ARP(Address ResolutionProtocol,地址解析协议)/IP扫描为例,即主要针对以获取主机的IP地址或其IP地址与MAC地址的映射关系为目的的扫描行为。示例性地,入侵设备可以在局域网外发出扫描请求,也可以先渗透控制该局域网中的一台主机201,再通过该主机201发出扫描请求。在此基础上,为监控入侵设备的入侵行为,可以对上述扫描行为进行主动检测,即通过交换机30将流入该局域网的流量数据全部转发至主动防护系统10,以使该主动防护系统10可以对上述流量数据进行分析和处理,判断是否存在扫描行为并进行相应的欺骗性应答,从而实现无疏漏的主动防护。其中,上述流量数据,指通过交换机30在该局域网传输的全部数据包,包括可能存在的扫描请求数据包、攻击数据包等。
可选地,上述交换机30可以是SDN(SoftwareDefinedNetwork,软件定义网络)交换机,由相应的SDN控制器(未图示)来控制,能够通过SDN这一具有独立数据平面的网络架构类型来方便地实现对流量数据的定向转发。具体地,上述主动防护系统10可以生成转发指令并发送至SDN控制器,SDN控制器根据该转发指令,可以控制SDN交换机对流入或流出该局域网的流量数据进行定向转发,发送至与上述转发指令对应的地址。
在一些实施例中,如图1(b)所示,主动防护系统10还可以通过多个不同的交换机30,分别与多个不同的真实业务系统20连接。上述多个不同的真实业务系统20相互之间可以进行数据传输,也可以相互独立。可选地,上述各个不同的真实业务系统20可以是不联网的孤立业务系统,也可以是联网的开放业务系统,本申请实施例不作具体限定。
在另一些实施例中,如图1(c)所示,主动防护系统10和真实业务系统20可以都部署在云服务器上,其中主动防护系统10可以通过其虚拟交换机31分别与一个或多个真实业务系统20各自的虚拟交换机32连接(即允许流量数据的流入和/或流出),从而可以方便地修改部署状态,提升主动防护的灵活性。
为进一步说明主动防护系统10的工作原理,请参阅图2,图2是本申请实施例公开的一种主动防护系统的模块化示意图。如图2所示,主动防护系统10可以包括检测子系统101、决策子系统102以及欺骗子系统103,其中,检测子系统101,可以用于检测待保护网络中的扫描行为,得到检测结果,并在该检测结果中存在扫描行为时,获取存在的扫描行为的目标地址;决策子系统102,可以用于在上述检测子系统101的检测结果中存在扫描行为时,确定与该存在的扫描行为对应的欺骗策略,并在上述目标地址属于第一地址集合时,根据该欺骗策略,将上述目标地址映射为第二地址集合中与该目标地址对应的欺骗地址,其中,上述第一地址集合为真实业务系统20中的设备节点的地址的集合,第二地址集合为欺骗子系统103中与上述真实业务系统20对应的各个蜜罐节点的地址的集合。
其中,上述待保护网络,可以包括主动防护系统10与真实业务系统20通过交换机30连接后所共同构成的网络。在该待保护网络中,真实业务系统20可以划分为多个设备节点,其分别与欺骗子系统103中的多个蜜罐节点(即模拟上述设备节点以欺骗入侵设备的节点)相对应。可以理解的是,对于实体硬件构成的真实业务系统20,上述每个设备节点可以包括使用同一IP地址的一个或多个设备;对于在云服务器上部署的真实业务系统20,上述每个设备节点可以包括使用同一IP地址的一个或多个云服务器资源。可以理解的是,对于实体硬件构成的主动防护系统10,欺骗子系统103中的每个蜜罐节点可以由一个或多个设备组成(每个蜜罐节点可以对应一个或多个IP地址),也可以是在同一个设备中部署多个蜜罐节点(每个蜜罐节点同样可以对应一个或多个IP地址);对于在云服务器上部署的主动防护系统10,可以根据需要调用适量的云服务器资源部署欺骗子系统103中的各个蜜罐节点。
在本申请实施例中,通过交换机30,可以将流入该待保护网络的流量数据全部转发至检测子系统101,然后该检测子系统101可以根据上述流量数据,检测待保护网络中的扫描行为,并生成相应的检测结果;接下来,决策子系统102可以获取该检测结果,并从中确定是否检测到扫描行为,以及存在的扫描行为的扫描类型(如ARP扫描、IP扫描等)、目标地址等信息;进而,该决策子系统102可以根据用户预先制定的规则确定与该扫描行为对应的欺骗策略,该欺骗策略至少包括当该扫描行为的目标地址指向某一设备节点时,将该目标地址映射为与该目标地址对应的欺骗地址,即指向与上述设备节点对应的目标蜜罐节点。
作为一种可选的实施方式,上述决策子系统102,还可以用于在上述目标地址属于第一地址集合时,通过交换机30,控制待发送至上述目标地址的第一流量数据转发至目标蜜罐节点,其中,目标蜜罐节点与该目标地址映射的欺骗地址对应,上述第一流量数据包括扫描行为数据和/或攻击数据。上述欺骗子系统103,可以用于在上述目标地址属于第一地址集合时,通过上述目标蜜罐节点对上述第一流量数据进行处理和应答;此外,该欺骗子系统103,还可以用于在上述目标地址属于第二地址集合时,根据上述欺骗策略,在该目标地址对应的蜜罐节点中生成对应于该目标地址的答复信息,并根据该答复信息答复上述扫描行为。在此基础上,决策子系统102可以根据上述欺骗策略,生成相应的转发指令并下发至交换机控制器(如SDN控制器),以使该交换机控制器可以根据上述转发指令控制交换机30,从而可以通过该交换机30,控制待发送至上述目标地址的流量数据(包括扫描请求数据包、攻击数据包等)转发至上述欺骗地址,即控制待发送至真实业务系统20中的设备节点的流量数据转发至欺骗子系统103中的与上述真实业务系统20对应的各个目标蜜罐节点。当上述流量数据被交换机30根据欺骗策略转发至目标蜜罐节点后,欺骗子系统103可以控制目标蜜罐节点对上述流量数据进行处理和应答。其中,对于上述流量数据中的扫描请求数据包,若其目标地址指向真实业务系统20中的设备节点,则欺骗子系统103可以控制对应的目标蜜罐节点伪装为上述设备节点并进行应答,从而实现对入侵设备的欺骗;若其目标地址直接指向主动防护系统10中的目标蜜罐节点,则欺骗子系统103可以控制该目标蜜罐节点进行正常应答,从而避免暴露主动防护系统10。
作为一种可选的实施方式,请参阅图3,图3是本申请实施例公开的另一种主动防护系统的模块化示意图。如图3所示,主动防护系统10还可以包括取证留存子系统104,其中,上述取证留存子系统104,可以用于根据上述第一流量数据的发送地址,对该第一流量数据进行记录并生成记录日志,以及将该记录日志发送至安全管理终端并进行显示,其中,该发送地址属于上述第一地址集合、第二地址集合以及该待保护网络之外中的一种或多种。
在本申请实施例中,上述多个蜜罐节点设置于欺骗子系统103,而该欺骗子系统103还可以根据上述流量数据分析入侵设备的攻击意图,并将该攻击意图发送至上述决策子系统102,以供决策子系统102对其欺骗策略进行必要的修正。与此同时,取证留存子系统104可以根据上述流量数据来源的发送地址,对该流量数据进行记录并生成记录日志,其中,一些流量数据可以来自真实业务系统10,另一些流量数据可以来自主动防护系统10(即欺骗子系统103被渗透后发出的攻击流量),还有一些流量数据则可以来自该待保护网络之外。通过上述取证留存子系统104,能够对扫描行为以及后续可能出现的攻击行为进行记录留证,以供用户在安全管理终端进行监控,或做报案等进一步处理。
请参阅图4,图4是本申请实施例公开的一种主动防护方法的流程示意图。如图4所示,该方法可以包括以下步骤:
401、检测待保护网络中的扫描行为,得到检测结果。
当入侵设备通过自身或其渗透的内网主机(即待保护网络中被入侵设备所渗透控制的主机)发起扫描请求时,通常会向待保护网络广播扫描请求数据包,若真实业务系统中的设备节点对该扫描请求数据包进行了应答,则暴露了该设备节点的存在,可能导致入侵设备对该设备节点发起入侵。基于此,可以通过主动防护系统来获取流入该待保护网络的全部流量数据,并检测其中是否存在扫描请求数据包,若存在,则可以判断出该待保护网络中存在扫描行为,进而生成包含该扫描行为的检测结果。举例来说,当入侵设备发起ARP/IP扫描时,通常会向待保护网络广播用于ARP/IP扫描的扫描请求数据包;主动防护系统在接收到该扫描请求数据包后,可以对其进行解码,获得对应的数据包报文,进而根据该数据包报文获取该扫描请求数据包的扫描类型(即ARP扫描或IP扫描)、发送地址(即发送该扫描请求数据包的IP地址)、目标地址(即应当接收该扫描请求数据包的IP地址)等信息,其中,该扫描请求数据包通过广播的形式发送时,其目标地址不限定,亦可理解为该待保护网络中的全部地址均为其目标地址;当主动防护系统接收到的扫描请求数据包符合一定预设条件(如数据包的数量达到某一阈值、数据包的目标地址属于某一区间等)时,可以判断出该待保护网络中存在扫描行为,进而可以根据该扫描行为的扫描类型、发送地址、目标地址等信息生成检测结果。
可以理解的是,在一些实施例中,入侵设备也可以通过单播、多播(组播)等方式发起扫描请求,即发送针对特定目标地址的扫描请求数据包,这不影响主动防护系统检测出扫描行为的能力。
402、若该检测结果中存在扫描行为,获取存在的扫描行为的目标地址,并确定与该存在的扫描行为对应的欺骗策略。
具体地,针对不同的扫描行为,可以预先设定对应的欺骗策略,并在检测出相应扫描行为的时候调用该对应的欺骗策略。
在一些实施例中,当上述检测结果中存在扫描行为时,可以先根据获取的扫描请求数据包来获取该存在的扫描行为的目标地址,该目标地址可以属于第一地址集合,该第一地址集合为真实业务系统中的设备节点的地址的集合;该目标地址也可以属于第二地址集合,该第二地址集合为与上述真实业务系统对应的各个蜜罐节点的地址的集合,其中,上述各个蜜罐节点的地址为主动防护系统中的部分或全部地址;该目标地址还可以属于第三地址集合,该第三地址集合为主动防护系统中未部署蜜罐节点的地址的集合,其中,当主动防护系统中不存在未部署蜜罐节点的地址时,该第三地址集合可以为空。
示例性地,如图5所示,图5是本申请实施例公开的一种蜜罐节点的设置方式的示意图,其中主动防护系统可以使用待保护网络中真实业务系统所未使用的全部可用的空闲地址(以IP地址为例,包括IP8~IP15),部分空闲地址(IP8~IP13)可以被用于部署蜜罐节点,用集合S2表示;另一部分空闲地址(IP14~IP15)则继续闲置,用集合S3表示;S2中的每个地址可以对应于真实业务系统所使用的地址的集合S1中的一个或多个地址,也即是说,主动防护系统中的每个蜜罐节点可以分别对应于真实业务系统中的一个或多个设备节点,从而可以伪装为该一个或多个设备节点以进行防护。例如,对于真实业务系统中较重要的设备节点(如Web服务器、邮件服务器、数据库等),可以分别设置单独的蜜罐节点(如图5中IP4~IP7对应的蜜罐节点)来对应,在该蜜罐节点中部署与对应的设备节点相同或相似的操作系统、应用软件、开放端口等,并部署与真实数据类似的欺骗数据,以使该蜜罐节点可以伪装成对应的设备节点,对入侵设备进行欺骗。又例如,对于真实业务系统中多个相同的普通设备节点(如配置相同的个人主机、打印机等),可以设置同一个蜜罐节点(如图5中IP1~IP3对应的蜜罐节点)来对应,以节省蜜罐资源。
需要说明的是,蜜罐在网络安全技术领域中通常可以用于表示伪装为真实业务设备、用于欺骗入侵者并诱骗入侵者进入的防护设备。在本申请实施例中,蜜罐节点则表示通过伪装为业务设备节点来欺骗入侵设备的防护设备节点,每个蜜罐节点可以由一个或多个防护设备组成,也可以是在同一个防护设备上部署多个蜜罐节点。
在此基础上,可以根据上述目标地址确定与该扫描行为对应的欺骗策略,该欺骗策略可以包括一系列转发规则,用于确定待发送至上述目标地址的流量数据是否需要转发,以及转发的地址等,以使得主动防护系统可以生成相应的转发指令,控制交换机实现上述转发规则;该欺骗策略也可以包括一系列配置信息,用于根据上述目标地址确定主动防护系统中对应的蜜罐节点的操作系统、应用软件、开放端口等配置;该欺骗策略还可以包括一系列欺骗数据,用于根据该欺骗数据部署用于欺骗的蜜罐节点。可以理解的是,上述欺骗策略可以来自用户预先制定的规则。举例来说,当上述扫描行为的目标地址指向真实业务系统中的设备节点时,该欺骗策略可以包括将待发送至该目标地址的流量数据转发至主动防护系统中与该真实业务系统对应的蜜罐节点的转发规则;当该目标地址指向上述蜜罐节点时,该欺骗策略可以包括不执行任何转发的转发规则。
在另一些实施例中,在获取了存在的扫描行为的目标地址之后,还可以获取该扫描行为的扫描类型,该扫描类型可以包括ARP扫描、IP扫描、拓扑扫描(即扫描待保护网络的网络拓扑结构)、操作系统扫描、端口扫描等。示例性地,为及时发现并防御入侵设备对待保护网络中主机的IP地址的扫描行为,可以在获取了存在的扫描行为的扫描类型,并判断出该扫描类型为ARP/IP扫描之后,再根据该扫描类型以及上述目标地址确定与该扫描行为对应的欺骗策略。例如,当上述扫描行为的目标地址指向真实业务系统中的设备节点,且其扫描类型为ARP扫描时,该欺骗策略可以包括通过与该设备节点对应的蜜罐节点对上述ARP扫描进行应答,即通过上述蜜罐节点伪装为对应设备节点,并针对上述ARP扫描发送ARP扫描应答数据包。
403、若上述目标地址属于第一地址集合,则根据上述欺骗策略,将该目标地址映射为第二地址集合中与该目标地址对应的欺骗地址,其中,上述第一地址集合为真实业务系统中的设备节点的地址的集合,上述第二地址集合为主动防护系统中与该真实业务系统对应的各个蜜罐节点的地址的集合。
具体地,由于第一地址集合为真实业务系统中的设备节点的地址的集合(即上述集合S1),第二地址集合为与该真实业务系统对应的各个蜜罐节点的地址的集合(即上述集合S2),当根据获取的扫描请求数据包来获取了存在的扫描行为的目标地址,即应当接收该扫描请求数据包的IP地址之后,可以先判断该目标地址是否属于上述第一地址集合,若是,则可以将该目标地址映射为第二地址集合中对应的欺骗地址,以便于在后续步骤中通过该欺骗地址上的蜜罐节点来伪装为上述目标地址上的设备节点,从而可以避免暴露真实业务系统的实际情况,即避免暴露上述设备节点的IP地址。其中,上述映射可以通过相应的转发规则来实现,即当上述目标地址属于第一地址集合时,可以根据上述欺骗策略,确定将待发送至该目标地址的流量数据转发至第二地址集合中与该目标地址对应的欺骗地址的转发规则,继而可以根据该转发规则生成相应的转发指令,以控制交换机实现上述转发规则。
可以理解的是,无论上述扫描请求数据包是通过广播、单播还是多播(组播)的方式发送,只要其目标地址上的实际设备未直接应答,则该目标地址的实际情况(如是否存在、是否属于第一地址集合等)并未被入侵设备所知晓,因此即便上述设备节点的IP地址可能包含在上述目标地址中,由于该IP地址被映射为对应的欺骗地址,对相应的扫描请求数据包的分析和处理都与该IP地址上的设备节点分离开来,因此该IP地址的实际情况并未暴露,反而上述欺骗地址被主动暴露给了入侵设备,从而能够实现对入侵设备的欺骗。
作为一种可选的实施方式,当检测到该待保护网络中的攻击行为时,主动防护系统也可以获取该攻击行为的攻击目标地址,并在该攻击目标地址属于上述第一地址集合时,参考上述欺骗策略,将该攻击目标地址映射为第二地址集合中与该攻击目标地址对应的欺骗地址;进一步地,还可以根据该攻击行为分析入侵设备的攻击意图,并根据该攻击意图调整所参考的欺骗策略,以实现更好的主动防护效果。举例来说,当检测到该待保护网络中的攻击数据包(例如短时间内针对特定目标地址的大量访问请求数据包)时,可以对该攻击数据包进行解码,获取其报文类型、攻击发送地址、攻击目标地址等信息;然后,当判断出该攻击数据包的攻击目标地址属于第一地址集合,即指向真实业务系统中的设备节点时,可以根据上述欺骗策略,将其攻击目标地址映射为主动防护系统中对应的蜜罐节点的欺骗地址,以便在后续步骤中通过交换机将该攻击数据包全部转发至蜜罐节点,从而避免其攻击真实业务系统中的设备节点;与此同时,通过对该攻击数据包的报文类型、攻击发送地址、攻击目标地址等信息的分析,可以获取本次攻击行为的攻击意图(如针对哪个目标设备、攻击目的是瘫痪该目标设备还是控制该目标设备等),继而主动防护系统可以根据该攻击意图调整所参考的欺骗策略,包括调整交换机的转发规则、重设蜜罐节点的配置信息或欺骗数据等。通过实施上述方法,既能够根据入侵设备的攻击意图采取针对性的主动防护策略,提升主动防护的灵活性;又能够及时调整蜜罐设备的资源配置,避免在大流量攻击下主动防护系统崩溃,从而提升该主动防护系统的可靠性。
可见,实施上述实施例所描述的主动防护方法,通过在主动防护系统中预先设置与真实业务系统对应的欺骗环境,并主动检测在网络入侵前期通常会进行的扫描行为,从而能够及时发现潜在的入侵行为,进而转移到上述欺骗环境中进行处理和应答,避免了对真实业务系统的损害。可见,实施本申请实施例,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为,并利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现,有利于提升网络安全性。
请参阅图6,图6是本申请实施例公开的另一种主动防护方法的流程示意图。如图6所示,该方法可以包括以下步骤:
601、检测待保护网络中的扫描行为,得到检测结果。
602、若该检测结果中存在扫描行为,获取存在的扫描行为的目标地址,并确定与该存在的扫描行为对应的欺骗策略。
603、若上述目标地址属于第一地址集合,则根据上述欺骗策略,将该目标地址映射为第二地址集合中与该目标地址对应的欺骗地址,其中,上述第一地址集合为真实业务系统中的设备节点的地址的集合,上述第二地址集合为主动防护系统中与该真实业务系统对应的各个蜜罐节点的地址的集合。
其中,步骤601-603与上述步骤401-403类似,此处不再赘述。
604、控制待发送至上述目标地址的第一流量数据转发至目标蜜罐节点,其中,目标蜜罐节点与该目标地址映射的欺骗地址对应,该第一流量数据包括扫描行为数据和/或攻击数据。
具体地,当上述目标地址属于第一地址集合时,该目标地址指向真实业务系统中的某一设备节点,而与该目标地址存在映射关系的欺骗地址则属于第二地址集合,指向主动防护系统中与上述设备节点对应的蜜罐节点。在此基础上,通过控制交换机按照上述映射关系,将待发送至上述目标地址的第一流量数据转发至上述欺骗地址对应的目标蜜罐节点,可以将原本应当发送至上述设备节点的扫描行为数据和/或攻击数据转发至上述目标蜜罐节点,从而可以避免上述设备节点被暴露和/或攻击。其中,当上述扫描行为仍在持续或者入侵设备发起了新的扫描请求时,第一流量数据可以包括相应的扫描行为数据(例如扫描请求数据包);当入侵设备在发起扫描请求后又发起了攻击时,第一流量数据还可以包括相应的攻击数据(例如攻击数据包)。
605、通过上述目标蜜罐节点对该第一流量数据进行处理和应答。
具体地,当上述目标蜜罐节点接收到第一流量数据时,可以对该第一流量数据进行处理,包括转发、存储、丢弃等;进一步地,对于具有请求报文性质的第一流量数据(如用于请求扫描的扫描请求数据包、用于攻击的大量访问请求数据包等),上述目标蜜罐节点还可以根据其请求报文进行相应的应答。示例性地,若上述第一流量数据包含大量ARP扫描请求数据包,则当目标蜜罐节点接收到该第一流量数据时,可以直接丢弃所接收到的ARP扫描请求数据包,以避免浪费资源进行非必要的应答;也可以根据其目标地址对所接收到的ARP扫描请求数据包进行正常应答,以提升目标蜜罐节点伪装为对应的设备节点的可信度。
作为一种可选的实施方式,若上述目标地址属于第二地址集合,根据上述欺骗策略,可以在该目标地址对应的蜜罐节点中生成对应于该目标地址的答复信息,并根据该答复信息答复上述扫描行为。示例性地,当上述检测结果中存在扫描行为,且存在的扫描行为的目标地址指向主动防护系统中的蜜罐节点(即属于第二地址集合)时,该蜜罐节点可以直接对该扫描行为进行答复,即根据所接收到的扫描请求数据包,以该蜜罐节点的IP地址作为发送地址生成相应的扫描应答数据包,然后进行应答。可以理解的是,上述扫描应答数据包的数据包类型对应于上述扫描行为的扫描类型,例如,当该扫描行为为ARP扫描时,上述扫描应答数据包可以为ARP扫描应答数据包;当该扫描行为为IP扫描时,上述扫描应答数据包可以为IP扫描应答数据包。通过实施上述方法,能够使蜜罐节点表现为待保护网络中正常使用的设备节点,有利于进一步提升伪装的可信度,避免造成入侵设备的怀疑。
作为另一种可选的实施方式,主动防护系统可以根据上述欺骗策略,适时调整蜜罐节点的处理和应答策略。例如,根据检测到的扫描行为的扫描类型、发送地址、目标地址以及进一步获取的扫描时间、扫描设备等信息,主动防护系统可以通过调整接收到第一流量数据的蜜罐节点的处理和应答策略,针对性地改变暴露给入侵设备的系统信息,从而能够模拟真实业务系统在正常使用时可能出现的各种调整(如增删设备节点、调整网络拓扑结构、升级操作系统等),从而可以进一步地提升蜜罐节点伪装的可信度。
606、根据该第一流量数据的发送地址,对该第一流量数据进行记录并生成记录日志,其中,上述发送地址属于上述第一地址集合、第二地址集合以及该待保护网络之外中的一种或多种。
可以理解的是,上述第一流量数据可以有一个或多个来源。当真实业务系统中的某一主机被入侵设备渗透控制后,入侵设备可以通过该主机发起扫描请求,从而上述第一流量数据可以来自真实业务系统中的设备节点,即其发送地址属于上述第一地址集合;当主动防护系统中的蜜罐节点被入侵设备渗透控制,或根据欺骗策略主动转发第一流量数据时,该第一流量数据也可以来自蜜罐节点,即其发送地址属于上述第二地址集合;当入侵设备在待保护网络外直接发起扫描行为或攻击行为时,则第一流量数据可以来自该待保护网络之外。
在本申请实施例中,根据第一流量数据的发送地址对该第一流量数据进行记录,有利于对该第一流量数据进行溯源分析,获取其中的扫描行为数据和攻击数据的来源、占比等信息,从而可以判断该待保护网络被渗透控制的情况,以方便对欺骗策略进行调整,提高主动防护系统的可靠性。
607、将上述记录日志发送至安全管理终端并进行显示。
示例性地,主动防护系统还可以连接至各种安全管理终端,如SIEM(SecurityInformation and Event Management,安全信息和事件管理)、SOC(Security OperationsCenter,安全运营中心)等,从而可以以可视化的方式展示该主动防护系统的状况,有利于方便用户使用和维护该主动防护系统。
可见,实施上述实施例所描述的主动防护方法,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为,并利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现,有利于提升网络安全性;此外,通过对该主动防护系统的欺骗策略进行各种适应性调整,还能够进一步提升欺骗环境的可信度,进而提高主动防护系统的可靠性。
请参阅图7,图7是本申请实施例公开的又一种主动防护方法的流程示意图。如图7所示,该方法可以包括以下步骤:
701、根据待保护网络中的真实业务系统的配置信息,生成用于主动防护的多个蜜罐节点的目标配置信息。
示例性地,上述配置信息可以包括真实业务系统中各个设备节点的操作系统、应用软件、开放端口等信息。根据上述配置信息,可以生成与该配置信息相同或相似的目标配置信息,继而主动防护系统的多个蜜罐节点可以根据该目标配置信息,尽可能真实地模拟上述各个设备节点,从而有利于提升蜜罐节点伪装的可信度,以尽可能欺骗入侵设备。
702、根据该真实业务系统的拓扑结构,生成用于主动防护的目标拓扑结构。
示例性地,上述拓扑结构可以包括总线型结构、星状结构、树状结构等,用于表示真实业务系统的网络连接关系。类似地,根据该拓扑结构,可以生成与该拓扑结构相同或相似的目标拓扑结构,继而主动防护系统可以根据该目标拓扑结构部署其多个蜜罐节点,以尽可能真实地模拟真实业务系统,从而有利于进一步提高整个主动防护系统的伪装水平。
703、搭建具备上述目标拓扑结构的主动防护系统,并根据上述目标配置信息配置该主动防护系统中的各个蜜罐节点。
作为一种可选的实施方式,通过选择性地暴露不同的蜜罐节点(对扫描行为进行应答将会暴露该蜜罐节点的存在),可以使主动防护系统在运行过程中根据需要暴露不同于上述目标拓扑结构的拓扑结构,从而能够灵活地模拟不同的真实业务系统,以应对针对不同真实业务系统的入侵设备,减少漏检和误检入侵行为的可能性。
704、通过交换机连接上述主动防护系统与真实业务系统,并建立该真实业务系统中的设备节点的地址与上述各个蜜罐节点的地址的对应关系。
其中,上述设备节点的地址可以映射为与其对应的蜜罐节点的地址,从而可以方便交换机实现对应的转发规则。
705、控制上述交换机,将上述待保护网络中的流量数据全部转发至上述主动防护系统。
706、根据上述转发至该主动防护系统的流量数据,判断上述待保护网络中是否存在扫描行为,并生成检测结果。
其中,步骤706与上述步骤401类似。需要注意的是,通过将流经待保护网络的全部流量数据转发至上述主动防护系统,并由该主动防护系统对全部流量数据进行分析处理,能够无疏漏地检测该待保护网络中的扫描行为,进而判断该待保护网络中是否存在入侵行为,从而能够提升该主动防护系统的可靠性。
707、若该检测结果中存在扫描行为,获取存在的扫描行为的目标地址,并确定与该存在的扫描行为对应的欺骗策略。
708、若上述目标地址属于第一地址集合,则根据上述欺骗策略,将该目标地址映射为第二地址集合中与该目标地址对应的欺骗地址,其中,上述第一地址集合为真实业务系统中的设备节点的地址的集合,上述第二地址集合为主动防护系统中与该真实业务系统对应的各个蜜罐节点的地址的集合。
其中,步骤707-708与上述步骤402-403类似,此处不再赘述。
709、控制待发送至上述目标地址的第一流量数据转发至目标蜜罐节点,其中,所述目标蜜罐节点与该目标地址映射的欺骗地址对应,该第一流量数据包括扫描行为数据和/或攻击数据。
710、通过上述目标蜜罐节点对该第一流量数据进行处理和应答。
711、根据该第一流量数据的发送地址,对该第一流量数据进行记录并生成记录日志,其中,上述发送地址属于上述第一地址集合、第二地址集合以及该待保护网络之外中的一种或多种。
712、将上述记录日志发送至安全管理终端并进行显示。
其中,步骤709-712与上述步骤604-607类似,此处不再赘述。
作为一种可选的实施方式,当上述第一流量数据包括扫描行为数据时,可以根据该扫描行为数据,获取该扫描行为的源地址;然后,可以获取从上述欺骗地址发出的第二流量数据以及该第二流量数据的流向地址,并判断该流向地址是否为上述源地址,若不为上述源地址,则控制该第二流量数据转发至上述第二地址集合中与该流向地址对应的地址。示例性地,假设上述扫描行为的源地址为IPx,当主动防护系统中的蜜罐节点对该扫描行为进行应答时,将产生发向IPx的第二流量数据,该部分第二流量数据被允许流出该主动防护系统并发向IPx,以伪装为正常的扫描应答行为;当上述蜜罐节点被入侵设备控制,并产生发向其他目标地址的第二流量数据时,由于该部分第二流量数据的流向地址不为IPx,从而将被转发至该主动防护系统内与上述流向地址对应的其他蜜罐节点,无法流出该主动防护系统。通过实施上述方法,主动防护系统能够拦截由该主动防护系统发出的大部分流量数据,从而实现对攻击流量的防护,有效避免蜜罐节点被用于发起攻击,体现了主动防护系统的可靠性。
可见,实施上述实施例所描述的主动防护方法,能够主动检测待保护网络中的扫描行为,并通过预先设置的欺骗环境来伪装为待保护网络,从而能够及时检测到入侵行为,并利用欺骗环境进行欺骗,尽可能避免漏检和误检情况的出现;此外,基于在主动防护系统中设置的各个蜜罐节点以及相应的转发规则,能够为真实业务系统提供防护,大大减少其受到入侵和攻击的可能性,有利于提升网络安全性。
此外,本申请实施例进一步公开一种计算机程序产品,当该计算机程序产品在计算机上运行时,可以使得计算机执行上述实施例中任意一种主动防护方法中的全部或部分步骤。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(Read-Only Memory,ROM)、随机存储器(Random Access Memory,RAM)、可编程只读存储器(Programmable Read-only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、一次可编程只读存储器(One-time Programmable Read-Only Memory,OTPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)、只读光盘(CompactDisc Read-Only Memory,CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本申请实施例公开的一种主动防护系统及方法进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (7)
1.一种主动防护系统,其特征在于,所述主动防护系统与真实业务系统通过交换机连接,所述主动防护系统包括检测子系统、决策子系统以及欺骗子系统,其中,
所述检测子系统,用于获取流入待保护网络的全部流量数据,并检测所述待保护网络中的扫描行为,得到检测结果,并在所述检测结果中存在扫描行为时,获取存在的扫描行为的目标地址,所述检测待保护网络中的扫描行为包括检测待保护网络中的扫描请求数据包;
所述决策子系统,用于在所述检测子系统的检测结果中存在扫描行为时,确定与所述存在的扫描行为对应的欺骗策略,并在所述目标地址属于第一地址集合时,根据所述欺骗策略,将所述目标地址映射为第二地址集合中与所述目标地址对应的欺骗地址,其中,所述第一地址集合为所述真实业务系统中的设备节点的地址的集合,所述第二地址集合为所述欺骗子系统中与所述真实业务系统对应的各个蜜罐节点的地址的集合;
所述决策子系统,还用于在所述目标地址属于所述第一地址集合时,通过所述交换机,控制待发送至所述目标地址的第一流量数据转发至所述欺骗子系统中的目标蜜罐节点,其中,所述目标蜜罐节点与所述目标地址映射的欺骗地址对应,所述第一流量数据包括扫描行为数据和/或攻击数据;
所述欺骗子系统,用于通过所述目标蜜罐节点对所述第一流量数据进行处理和应答;
所述欺骗子系统,还用于在所述目标地址属于所述第二地址集合时,根据所述欺骗策略,在所述目标地址对应的蜜罐节点中生成对应于所述目标地址的答复信息,并根据所述答复信息答复所述扫描行为。
2.根据权利要求1所述的主动防护系统,其特征在于,所述主动防护系统还包括取证留存子系统,其中,
所述取证留存子系统,用于根据所述第一流量数据的发送地址,对所述第一流量数据进行记录并生成记录日志,以及将所述记录日志发送至安全管理终端并进行显示,其中,所述发送地址属于所述第一地址集合、所述第二地址集合以及所述待保护网络之外中的一种或多种。
3.一种主动防护方法,其特征在于,包括:
通过主动防护系统来获取流入待保护网络的全部流量数据,并检测所述待保护网络中的扫描行为,得到检测结果,所述检测待保护网络中的扫描行为包括检测待保护网络中的扫描请求数据包;
若所述检测结果中存在扫描行为,获取存在的扫描行为的目标地址,并确定与所述存在的扫描行为对应的欺骗策略;
若所述目标地址属于第一地址集合,则根据所述欺骗策略,将所述目标地址映射为第二地址集合中与所述目标地址对应的欺骗地址,其中,所述第一地址集合为真实业务系统中的设备节点的地址的集合,所述第二地址集合为主动防护系统中与所述真实业务系统对应的各个蜜罐节点的地址的集合;
控制待发送至所述目标地址的第一流量数据转发至目标蜜罐节点,其中,所述目标蜜罐节点与所述目标地址映射的欺骗地址对应,所述第一流量数据包括扫描行为数据和/或攻击数据;
通过所述目标蜜罐节点对所述第一流量数据进行处理和应答;
若所述目标地址属于所述第二地址集合,根据所述欺骗策略,在所述目标地址对应的蜜罐节点中生成对应于所述目标地址的答复信息,并根据所述答复信息答复所述扫描行为。
4.根据权利要求3所述的方法,其特征在于,在所述控制待发送至所述目标地址的第一流量数据转发至所述目标地址映射的欺骗地址对应的目标蜜罐节点之后,所述方法还包括:
根据所述第一流量数据的发送地址,对所述第一流量数据进行记录并生成记录日志,其中,所述发送地址属于所述第一地址集合、所述第二地址集合以及所述待保护网络之外中的一种或多种;
将所述记录日志发送至安全管理终端并进行显示。
5.根据权利要求3所述的方法,其特征在于,在所述控制待发送至所述目标地址的第一流量数据转发至所述目标地址映射的欺骗地址对应的目标蜜罐节点之后,所述方法还包括:
当所述第一流量数据包括扫描行为数据时,根据所述扫描行为数据,获取所述扫描行为的源地址;
获取从所述欺骗地址发出的第二流量数据以及所述第二流量数据的流向地址,并判断所述流向地址是否为所述源地址,若不为所述源地址,则控制所述第二流量数据转发至所述第二地址集合中与所述流向地址对应的地址。
6.根据权利要求3-5任一项所述的方法,其特征在于,在所述检测待保护网络中的扫描行为,得到检测结果之前,所述方法还包括:
根据待保护网络中的真实业务系统的配置信息,生成用于主动防护的多个蜜罐节点的目标配置信息;
根据所述真实业务系统的拓扑结构,生成用于主动防护的目标拓扑结构;
搭建具备所述目标拓扑结构的主动防护系统,并根据所述目标配置信息配置所述主动防护系统中的各个蜜罐节点;
通过交换机连接所述主动防护系统与所述真实业务系统,并建立所述真实业务系统中的设备节点的地址与所述各个蜜罐节点的地址的对应关系。
7.根据权利要求6所述的方法,其特征在于,在所述通过交换机连接所述主动防护系统与所述真实业务系统,并建立所述真实业务系统中的设备节点的地址与所述各个蜜罐节点的地址的对应关系之后,所述检测待保护网络中的扫描行为,得到检测结果之前,所述方法还包括:
控制所述交换机,将所述待保护网络中的流量数据全部转发至所述主动防护系统;
所述检测待保护网络中的扫描行为,得到检测结果,包括:
根据所述转发至所述主动防护系统的流量数据,判断所述待保护网络中是否存在扫描行为,并生成检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010809543.3A CN111683106B (zh) | 2020-08-13 | 2020-08-13 | 主动防护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010809543.3A CN111683106B (zh) | 2020-08-13 | 2020-08-13 | 主动防护系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111683106A CN111683106A (zh) | 2020-09-18 |
CN111683106B true CN111683106B (zh) | 2021-06-18 |
Family
ID=72458279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010809543.3A Active CN111683106B (zh) | 2020-08-13 | 2020-08-13 | 主动防护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111683106B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112637175B (zh) * | 2020-12-17 | 2021-08-20 | 山东云天安全技术有限公司 | 一种用于工业物联网的防御方法及装置 |
CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
CN112995168B (zh) * | 2021-02-22 | 2022-11-08 | 云盾智慧安全科技有限公司 | 一种Web服务器安全防护方法、系统及计算机存储介质 |
CN114221815A (zh) * | 2021-12-16 | 2022-03-22 | 北京国腾创新科技有限公司 | 一种基于编排蜜网的入侵检测方法、存储介质及系统 |
CN114584349A (zh) * | 2022-02-15 | 2022-06-03 | 烽台科技(北京)有限公司 | 网络数据的保护方法、装置、终端及可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10097581B1 (en) * | 2015-12-28 | 2018-10-09 | Amazon Technologies, Inc. | Honeypot computing services that include simulated computing resources |
-
2020
- 2020-08-13 CN CN202010809543.3A patent/CN111683106B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111683106A (zh) | 2020-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111683106B (zh) | 主动防护系统及方法 | |
US9621573B2 (en) | System and method for monitoring network traffic | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
US9419995B2 (en) | Malware detection system and method | |
KR102286291B1 (ko) | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 | |
CN112134891B (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
US20080028073A1 (en) | Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks | |
CN112769771A (zh) | 基于虚假拓扑生成的网络防护方法及系统和系统架构 | |
CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
CN113691504B (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
CN112738002A (zh) | 一种基于虚实结合的搭建工控蜜网的技术 | |
JP2018073397A (ja) | 通信装置 | |
US20220103582A1 (en) | System and method for cybersecurity | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
EP1866725B1 (en) | Network attack detection | |
Kim et al. | The DecoyPort: redirecting hackers to honeypots | |
CN113596022A (zh) | 识别网络内恶意源的设备和方法 | |
Vakaliuk et al. | Emulation and Detection of ARP Attacks in GNS3 Environment: Modelling and Development of a Defense Strategy | |
CN116055159A (zh) | 一种安全防御方法、装置及计算机设备 | |
CN115632838A (zh) | 一种基于蜜罐设备欺骗攻击者的方法及蜜罐设备 | |
Qiao et al. | Design and implementation of dynamic hybrid Honeypot network | |
CN116760625A (zh) | 访问控制方法、系统、电子设备及计算机可读存储介质 | |
CN118138257A (zh) | 内网异常设备探测方法、装置、设备及存储介质 | |
JP2021077051A (ja) | 不正侵入検出システムおよび不正侵入検出装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |