CN111756761A - 基于流量转发的网络防御系统、方法和计算机设备 - Google Patents
基于流量转发的网络防御系统、方法和计算机设备 Download PDFInfo
- Publication number
- CN111756761A CN111756761A CN202010603202.0A CN202010603202A CN111756761A CN 111756761 A CN111756761 A CN 111756761A CN 202010603202 A CN202010603202 A CN 202010603202A CN 111756761 A CN111756761 A CN 111756761A
- Authority
- CN
- China
- Prior art keywords
- module
- honeypot
- agent
- service module
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000007123 defense Effects 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 claims abstract description 17
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008595 infiltration Effects 0.000 claims description 3
- 238000001764 infiltration Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 10
- 230000000694 effects Effects 0.000 abstract description 2
- 235000012907 honey Nutrition 0.000 abstract 2
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于流量转发的网络防御系统、方法、计算机设备和存储介质,其中,该系统包括:代理模块、蜜罐服务模块以及控制模块,其中,代理模块配置于业务主机中,与业务主机、控制模块以及蜜罐服务模块均通信连接,控制模块与业务主机通信连接;控制模块用于发送代理规则给代理模块;代理模块用于根据代理规则,在业务主机接收到攻击端发送的流量数据的情况下,将攻击端发送的流量数据转发给述蜜罐服务模块;蜜罐服务模块至少包括一个蜜罐,用于接收并响应代理模块转发的流量数据,以及发送反馈报文给代理模块。通过本申请,解决了相关技术中蜜罐部署占用的服务器资源大的问题,实现了降低蜜罐部署占用的服务器资源的技术效果。
Description
技术领域
本申请实施例涉及网络安全技术领域,特别是涉及一种基于流量转发的网络防御系统、方法、计算机设备和存储介质。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
随着目前互联网的发展,蜜罐作为新兴的网络防御技术,不仅能够主动防御网络攻击,而且还可以收集攻击者的重要信息。但是当前的现状是业务系统的网络结构越来越复杂,重要应用和服务器的数量及种类日益增多,一旦被黑客入侵,就可能会极大的影响业务系统的正常运转。对于蜜罐技术来说,防御黑客攻击其中最有效的方式是,在可能被攻击的环境中,布置海量的蜜罐,增强蜜罐在攻击者前的曝光率。
目前,相关技术中的基于蜜罐的网络防御技术往往是在可能被攻击的环境中,布置海量的蜜罐,增强蜜罐在攻击者前的曝光率。例如:如果蜜罐部署的密度能够和真实的企业资产达到1:1甚至更高的比例,那么攻击者就有很高的概率会踩到蜜罐,从而被感知到。然而,面对成百上千的终端部署量,需要昂贵硬件设备的部署支撑,具有极大的部署成本以及占用大量的服务器资源。
目前针对相关技术中蜜罐部署占用的服务器资源大的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种基于流量转发的网络防御系统、方法、计算机设备和存储介质,以至少解决相关技术中蜜罐部署占用的服务器资源大的问题。
第一方面,本申请实施例提供了一种基于流量转发的网络防御系统,应用于对业务主机的网络防御,所述系统包括:代理模块、蜜罐服务模块以及控制模块,其中,
所述代理模块配置于所述业务主机中,与所述业务主机、所述控制模块以及所述蜜罐服务模块均通信连接,所述控制模块与所述业务主机通信连接;
所述控制模块用于发送代理规则给所述代理模块;
所述代理模块用于根据所述代理规则,在所述业务主机接收到攻击端发送的流量数据的情况下,将所述攻击端发送的所述流量数据转发给所述蜜罐服务模块;
所述蜜罐服务模块至少包括一个蜜罐,用于接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块。
在其中一些实施例中,所述蜜罐服务模块包括以下至少之一:Wordpress蜜罐、渗透蜜罐、工控系统蜜罐、操作系统蜜罐、系统服务蜜罐。
在其中一些实施例中,所述代理规则包括以下至少之一:所述蜜罐的IP、所述蜜罐的端口号、所述业务主机的至少一个允许转发的端口号以及对应的转发协议。
在其中一些实施例中,所述控制模块还用于接收所述代理模块发送的所述蜜罐服务模块的反馈报文,并展示所述反馈报文。
第二方面,本申请实施例提供了一种基于流量转发的网络防御方法,应用于如上述第一方面所述的基于流量转发的网络防御系统,所述方法包括:
控制模块发送代理规则给代理模块;
在所述业务主机接收到攻击端发送的流量数据的情况下,所述代理模块根据所述代理规则,将所述攻击端发送的所述流量数据转发给蜜罐服务模块;
所述蜜罐服务模块接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块。
在其中一个实施例中,在控制模块发送代理规则给代理模块之前,所述方法还包括:
所述控制模块获取所述业务主机的系统类型;
所述控制模块根据所述系统类型,在预设代理库中确定对应于所述系统类型的代理模块。
在其中一个实施例中,所述代理模块包括代理客户端以及与所述代理客户端通信连接的代理服务端;在所述业务主机接收到攻击端发送的流量数据的情况下,所述代理模块根据所述代理规则,将所述攻击端发送的所述流量数据转发给蜜罐服务模块包括:
所述代理客户端对所述代理服务端进行身份验证;
在所述代理服务端通过身份验证的情况下,所述代理客户端发送所述蜜罐服务模块的IP以及端口号给所述代理服务端;
所述代理服务端根据所述蜜罐服务模块的IP以及端口号,与所述蜜罐服务模块建立连接,并转发所述流量数据给蜜罐服务模块。
在其中一个实施例中,所述蜜罐服务模块接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块包括:
所述蜜罐服务模块接收所述代理模块转发的流量数据,并根据所述流量数据,确定所述流量数据对应的反馈报文;
所述蜜罐服务模块发送所述反馈报文给所述代理服务端;
所述代理服务端发送所述反馈报文给所述代理客户端。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第二方面所述的基于流量转发的网络防御方法。
第四方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第二方面所述的基于流量转发的网络防御方法。
相比于相关技术,本申请实施例提供的基于流量转发的网络防御系统、方法、计算机设备和存储介质,解决了相关技术中蜜罐部署占用的服务器资源大的问题,实现了降低蜜罐部署占用的服务器资源的技术效果。
本申请实施例的一个或多个实施例的细节在以下附图和描述中提出,以使本申请实施例的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请实施例的进一步理解,构成本申请实施例的一部分,本申请实施例的示意性实施例及其说明用于解释本申请实施例,并不构成对本申请实施例的不当限定。在附图中:
图1是根据本申请实施例的基于流量转发的网络防御系统的结构示意图;
图2是根据本申请实施例的基于流量转发的网络防御方法的流程图;
图3是根据本申请优选实施例的基于流量转发的网络防御方法的流程图;
图4是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请实施例进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请实施例,并不用于限定本申请实施例。基于本申请实施例提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
显而易见地,下面描述中的附图仅仅是本申请实施例的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请实施例应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请实施例公开的内容相关的本领域的普通技术人员而言,在本申请实施例揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请实施例公开的内容不充分。
在本申请实施例中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请实施例的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请实施例所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请实施例所涉及的技术术语或者科学术语应当为本申请实施例所属技术领域内具有一般技能的人士所理解的通常意义。本申请实施例所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请实施例所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请实施例所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请实施例所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请实施例所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种基于流量转发的网络防御系统。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图1是根据本申请实施例的基于流量转发的网络防御系统的结构示意图,如图1所示,该系统包括:代理模块10、蜜罐服务模块20以及控制模块30,其中,代理模块10配置于业务主机中,与业务主机、控制模块30以及蜜罐服务模块20均通信连接,控制模块30与业务主机通信连接;控制模块30用于发送代理规则给代理模块10;代理模块10用于根据代理规则,在业务主机接收到攻击端发送的流量数据的情况下,将攻击端发送的流量数据转发给蜜罐服务模块20;蜜罐服务模块20至少包括一个蜜罐,用于接收并响应代理模块10转发的流量数据,以及发送反馈报文给代理模块10。
在本实施例中,代理模块10可以配置于业务主机中,与业务主机的至少一个允许转发的端口连接,并根据对应的端口号以及转发协议,获取该端口上的所有TCP(传输控制协议,Transmission Control Protocol,简称为TCP)流量,并将其转发至蜜罐服务模块20。
在其中一个实施例中,代理模块10内还可设置阈值,在业务主机处理器使用率高于阈值的情况下,关闭代理模块10。通过在代理模块10中设置阈值,避免业务主机的处理器超负荷使用。
在其他实施例中,代理模块10还可以配置于业务主机外。
在其中一个实施例中,控制模块30可以被配置为用于管理蜜罐服务模块20,以及存放对应代理模块10的代理规则,其中,代理规则包括但不限于以下至少之一:蜜罐的IP、蜜罐的端口号、业务主机的至少一个允许转发的端口号以及对应的转发协议;管理蜜罐服务模块20可以为对蜜罐服务模块20中的至少一个蜜罐进行管理,例如运行、暂停、停止等操作。上述实施例中的代理模块10可以根据控制模块30提供的蜜罐的IP、蜜罐的端口号将TCP流量转发至对应蜜罐,蜜罐对接收到的TCP流量进行分析,将分析结果为攻击数据的流量包抓取上传到控制模块30。
此外,在其他实施例中,控制模块30还可以被配置为用于接收代理模块10发送的蜜罐服务模块20的反馈报文,并展示反馈报文,其中,反馈报文包括但不限于以下至少之一:攻击端的攻击记录、蜜罐服务模块20的分析结果。
在其中一个实施例中,蜜罐服务模块20包括了至少两个类别的蜜罐,其中,每一类别的蜜罐可以是一个或多个。不同类别的蜜罐可以为不同版本的蜜罐,也可以为不同厂家的蜜罐,也可以为不同检测方式的蜜罐。蜜罐服务模块20可以监听开放服务的相应端口以及捕获异常操作,蜜罐服务模块20包括但不限于以下至少之一:Wordpress蜜罐、渗透蜜罐、工控系统蜜罐、操作系统蜜罐、系统服务蜜罐。蜜罐服务模块20可以配置于虚拟系统中,其中,通过在虚拟系统上部署蜜罐,可以防止用户真实业务环境被攻击端破坏,提高了业务主机的安全性。
在其他实施例中,蜜罐服务模块20还可以包括其他高交互蜜罐、低交互蜜罐以及Web服务蜜罐。
在本实施例中,可以将代理模块10转发的流量数据分别放入蜜罐服务模块20中的每一类别的蜜罐中运行,得到多个蜜罐的执行结果,并进一步生成结果矩阵。其中,还可以将流量数据放入蜜罐服务模块20中的其中几个类别的蜜罐中运行,并得到结果矩阵。该结果矩阵包含的执行结果对应的蜜罐类别至少为两种类别。
在其中一个实施例中,控制模块30还被配置为用于获取流量数据的类型,通过获取流量数据的类型,根据流量数据的类型确定流量数据的运行环境,在蜜罐服务模块20中选择与运行环境对应的蜜罐作为检测蜜罐,分别在各检测蜜罐中运行流量数据,可以提升蜜罐服务模块20中各蜜罐的利用效率。
在其中一个实施例中,可以通过识别流量数据中的文件后缀来确定流量数据的类型,在其他实施例中,还可以通过获取流量数据的特征码来确定流量数据的类型。由于每一运行环境中可执行的文件类型都不完全相同,可以根据预设的类型与运行环境的对应关系确定流量数据的运行环境,流量数据的运行环境可以为一个,也可以为多个。若预设的类型与运行环境的对应关系中并未查找到该类型对应的运行环境,则认定流量数据的运行环境为任意一种运行环境,以避免漏报的可能性。具体的,运行环境可以为操作系统,软件系统,工控系统等。
在其中一个实施例中,不同的蜜罐设置于不同的运行环境中,也就是说,针对每一蜜罐,都包含多个设置于不同运行环境中的子蜜罐,在确定流量数据的运行环境后,会在每个蜜罐中查找对应的子蜜罐作为检测蜜罐。
在其中一个实施例中,控制模块30被配置为用于存放多个对应业务主机不同系统类型的代理模块10,并在控制模块30发送代理规则给代理模块10之前,还用于获取业务主机的系统类型并根据该系统类型在预设代理库中确定对应于该系统类型的代理模块10。
在本实施例中,控制模块30可以根据业务主机不同的系统类型(例如Windows系统和/或Linux系统)在预设代理库中确定对应于该系统类型的代理模块10,并生成对应代理模块10的下载链接,业务主机可以根据下载链接,下载代理模块10,将代理模块10配置于业务主机内。
在其中一个实施例中,代理模块10包括代理客户端以及与代理客户端通信连接的代理服务端,其中,代理客户端被配置为用于对代理服务端进行身份验证,以及在代理服务端通过身份验证的情况下,发送蜜罐服务模块20中至少一个蜜罐的IP以及端口号给代理服务端;代理服务端可以被配置于蜜罐服务模块20中,用于根据蜜罐服务模块20中至少一个蜜罐的IP以及端口号与蜜罐服务模块20建立连接,并转发流量数据给蜜罐服务模块20。
在其中一个实施例中,蜜罐服务模块20被配置为用于接收接收代理模块10转发的流量数据,并根据流量数据,确定流量数据对应的反馈报文,并发送反馈报文给代理服务端;代理服务端被配置为用于发送反馈报文给代理客户端。
在其中一个实施例中,当判断流量数据包含恶意流量数据时,控制模块30会发出告警提示,该告警提示用于指示管理员对其进行处理,当判断流量数据为普通流量数据时,会将该流量数据直接返回业务主机,以使得当前业务主机对该流量数据进行访问或处理。
本实施例还提供了一种基于流量转发的网络防御方法,应用于上述实施例中的基于流量转发的网络防御系统。该方法用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。
图2是根据本申请实施例的基于流量转发的网络防御方法的流程图,如图2所示,在其中一个实施例中,该流程包括如下步骤:
步骤S201,控制模块30发送代理规则给代理模块10;
步骤S202,在业务主机接收到攻击端发送的流量数据的情况下,代理模块10根据代理规则,将攻击端发送的流量数据转发给蜜罐服务模块20。
在其中一个实施例中,代理模块10包括代理客户端以及与代理客户端通信连接的代理服务端;在业务主机接收到攻击端发送的流量数据的情况下,代理模块10根据代理规则,将攻击端发送的流量数据转发给蜜罐服务模块20包括:代理客户端对代理服务端进行身份验证;在代理服务端通过身份验证的情况下,代理客户端发送蜜罐服务模块20的IP以及端口号给代理服务端;代理服务端根据蜜罐服务模块20的IP以及端口号,与蜜罐服务模块20建立连接,并转发流量数据给蜜罐服务模块20。
在本实施例中,代理模块10可以基于SOCKS5协议对流量数据进行转发,其中,SOCKS5协议是基于传输层的协议,客户端和服务器经过两次握手协商之后服务端为客户端建立一条到目标服务器的通道,在传输层转发TDP/UDP(User Datagram Protocol,用户数据报协议,简称为UDP)协议。
在本实施例中,代理客户端可以发送至少一个版本标志符或方法选择器给代理服务端,代理服务端可以从给定的协商认证方式中选择一个协商认证方式完成认证,在代理服务端完成协商认证后将认证结果返回代理客户端;代理客户端在代理服务端通过协商认证的情况下,向代理服务端发送蜜罐服务模块20中至少一个蜜罐的IP以及端口号,并根据该IP和端口号与蜜罐服务模块20建立连接,最后将经过SS加密的流量数据发送给蜜罐服务模块20。
步骤S203,蜜罐服务模块20接收并响应代理模块10转发的流量数据,以及发送反馈报文给代理模块10。
在其中一个实施例中,蜜罐服务模块20接收并响应代理模块10转发的流量数据,以及发送反馈报文给代理模块10包括:蜜罐服务模块20接收代理模块10转发的流量数据,并根据流量数据,确定流量数据对应的反馈报文;蜜罐服务模块20发送反馈报文给代理服务端;代理服务端发送反馈报文给代理客户端。
图3是根据本申请优选实施例的基于流量转发的网络防御方法的流程图,如图3所示,在其中一个实施例中,该流程包括如下步骤:
步骤S301,控制模块30获取业务主机的系统类型;
步骤S302,控制模块30根据系统类型,在预设代理库中确定对应于系统类型的代理模块10;
步骤S303,控制模块30发送代理规则给代理模块10。
步骤S304,在业务主机接收到攻击端发送的流量数据的情况下,代理模块10根据代理规则,将攻击端发送的流量数据转发给蜜罐服务模块20。
步骤S305,蜜罐服务模块20接收并响应代理模块10转发的流量数据,以及发送反馈报文给代理模块10。
通过步骤S301至步骤S305,通过控制模块30获取业务主机的系统类型,并根据系统类型,在预设代理库中确定对应于系统类型的代理模块10,避免出现同一个代理模块10处理多个不同操作系统所带来的兼容性问题,提高了该防御方法的可靠性;通过代理模块10进行流量数据转发,降低了传统方法在大量业务主机上部署蜜罐的成本,有效的扩大蜜罐的部署覆盖面;通过在蜜罐服务模块20上设置多个不同类型的蜜罐,提高了业务主机对不同攻击的防御能力;在通过在业务主机上配置代理模块10,通过代理模块10进行流量数据的转发处理,由于业务主机上存在真实的业务,更容易误导攻击端认为攻击的是业务主机,提高了蜜罐服务模块20的伪装性。
另外,结合图2描述的本申请实施例的基于流量转发的网络防御方法可以由计算机设备来实现。图4为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括存储器42、处理器41以及存储在存储器上并可在处理器上运行的计算机程序。
具体地,上述处理器41可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器42可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器42可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器42可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器42可在数据处理装置的内部或外部。在特定实施例中,存储器42是非易失性(Non-Volatile)存储器。在特定实施例中,存储器42包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器42可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器41所执行的可能的计算机程序指令。
处理器41通过读取并执行存储器42中存储的计算机程序指令,以实现上述实施例中的任意一种电子设备的唤醒方法。
在其中一些实施例中,电子设备的唤醒设备还可包括通信接口43和总线40。其中,如图4所示,处理器41、存储器42、通信接口43通过总线40连接并完成相互间的通信。
通信接口43用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口43还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线40包括硬件、软件或两者,将电子设备的唤醒设备的部件彼此耦接在一起。总线40包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线40可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微型道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线40可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请实施例考虑任何合适的总线或互连。
另外,结合上述实施例中的基于流量转发的网络防御方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种基于流量转发的网络防御方法。
相关技术中的基于蜜罐的网络防御技术往往是在可能被攻击的环境中,布置海量的蜜罐,增强蜜罐在攻击者前的曝光率。例如:如果蜜罐部署的密度能够和真实的企业资产达到1:1甚至更高的比例,那么攻击者就有很高的概率会踩到蜜罐,从而被感知到。然而,面对成百上千的终端部署量,需要昂贵硬件设备的部署支撑,具有极大的部署成本以及占用大量的服务器资源。
本申请实施例提供的基于流量转发的网络防御系统,通过代理模块获取业务主机指定端口上的所有TCP流量并转发到配置了蜜罐的虚拟系统中,通过蜜罐对TCP流量进行分析以及将分析为攻击数据的流量包抓取并上传到控制模块。相比于相关技术,本申请实施例有以下优势:
(1)本申请实施例通过代理模块进行流量数据转发,降低了传统方法在大量业务主机上部署蜜罐的成本,有效的扩大蜜罐的部署覆盖面。
(2)本申请实施例通过在蜜罐服务模块上设置多个不同类型的蜜罐,提高了业务主机对不同攻击的防御能力。
(3)本申请实施例在通过在业务主机上配置代理模块,通过代理模块进行流量数据的转发处理,由于业务主机上存在真实的业务,更容易误导攻击端认为攻击的是业务主机,提高了蜜罐服务模块的伪装性。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于流量转发的网络防御系统,应用于对业务主机的网络防御,其特征在于,所述基于流量转发的网络防御系统包括:代理模块、蜜罐服务模块以及控制模块,其中,
所述代理模块配置于所述业务主机中,与所述业务主机、所述控制模块以及所述蜜罐服务模块均通信连接,所述控制模块与所述业务主机通信连接;
所述控制模块用于发送代理规则给所述代理模块;
所述代理模块用于根据所述代理规则,在所述业务主机接收到攻击端发送的流量数据的情况下,将所述攻击端发送的所述流量数据转发给所述蜜罐服务模块;
所述蜜罐服务模块至少包括一个蜜罐,用于接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块。
2.根据权利要求1所述的基于流量转发的网络防御系统,其特征在于,所述蜜罐服务模块包括以下至少之一:Wordpress蜜罐、渗透蜜罐、工控系统蜜罐、操作系统蜜罐、系统服务蜜罐。
3.根据权利要求1所述的基于流量转发的网络防御系统,其特征在于,所述代理规则包括以下至少之一:所述蜜罐的IP、所述蜜罐的端口号、所述业务主机的至少一个允许转发的端口号以及对应的转发协议。
4.根据权利要求1所述的基于流量转发的网络防御系统,其特征在于,所述控制模块还用于接收所述代理模块发送的所述蜜罐服务模块的反馈报文,并展示所述反馈报文。
5.一种基于流量转发的网络防御方法,应用于如权利要求1至4中任一项所述的基于流量转发的网络防御系统,其特征在于,所述方法包括:
所述控制模块发送代理规则给代理模块;
在所述业务主机接收到攻击端发送的流量数据的情况下,所述代理模块根据所述代理规则,将所述攻击端发送的所述流量数据转发给蜜罐服务模块;
所述蜜罐服务模块接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块。
6.根据权利要求5所述的基于流量转发的网络防御方法,其特征在于,在控制模块发送代理规则给代理模块之前,所述方法还包括:
所述控制模块获取所述业务主机的系统类型;
所述控制模块根据所述系统类型,在预设代理库中确定对应于所述系统类型的代理模块。
7.根据权利要求5所述的基于流量转发的网络防御方法,其特征在于,所述代理模块包括代理客户端以及与所述代理客户端通信连接的代理服务端;在所述业务主机接收到攻击端发送的流量数据的情况下,所述代理模块根据所述代理规则,将所述攻击端发送的所述流量数据转发给蜜罐服务模块包括:
所述代理客户端对所述代理服务端进行身份验证;
在所述代理服务端通过身份验证的情况下,所述代理客户端发送所述蜜罐服务模块的IP以及端口号给所述代理服务端;
所述代理服务端根据所述蜜罐服务模块的IP以及端口号,与所述蜜罐服务模块建立连接,并转发所述流量数据给蜜罐服务模块。
8.根据权利要求7所述的基于流量转发的网络防御方法,其特征在于,所述蜜罐服务模块接收并响应所述代理模块转发的流量数据,以及发送反馈报文给所述代理模块包括:
所述蜜罐服务模块接收所述代理模块转发的流量数据,并根据所述流量数据,确定所述流量数据对应的反馈报文;
所述蜜罐服务模块发送所述反馈报文给所述代理服务端;
所述代理服务端发送所述反馈报文给所述代理客户端。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5至8中任一项所述的基于流量转发的网络防御方法。
10.一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求5至8中任一项所述的基于流量转发的网络防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010603202.0A CN111756761A (zh) | 2020-06-29 | 2020-06-29 | 基于流量转发的网络防御系统、方法和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010603202.0A CN111756761A (zh) | 2020-06-29 | 2020-06-29 | 基于流量转发的网络防御系统、方法和计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111756761A true CN111756761A (zh) | 2020-10-09 |
Family
ID=72677861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010603202.0A Pending CN111756761A (zh) | 2020-06-29 | 2020-06-29 | 基于流量转发的网络防御系统、方法和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756761A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112788034A (zh) * | 2021-01-13 | 2021-05-11 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
| CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
| CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
| CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
| CN114070578A (zh) * | 2021-09-27 | 2022-02-18 | 杭州安恒信息技术股份有限公司 | 用户私有网络内网互通方法、系统、计算机和存储介质 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN117319481A (zh) * | 2023-11-29 | 2023-12-29 | 长沙普洛电气设备有限公司 | 端口资源反向代理方法、系统及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
-
2020
- 2020-06-29 CN CN202010603202.0A patent/CN111756761A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139184A (zh) * | 2011-12-02 | 2013-06-05 | 中国电信股份有限公司 | 智能网络防火墙设备及网络攻击防护方法 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御系统 |
| CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
| CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN110719299A (zh) * | 2019-11-18 | 2020-01-21 | 中国移动通信集团内蒙古有限公司 | 防御网络攻击的蜜罐构建方法、装置、设备及介质 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112383546A (zh) * | 2020-11-13 | 2021-02-19 | 腾讯科技(深圳)有限公司 | 一种处理网络攻击行为的方法、相关设备及存储介质 |
| CN112788034A (zh) * | 2021-01-13 | 2021-05-11 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
| CN112788034B (zh) * | 2021-01-13 | 2023-04-07 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
| CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN112995162B (zh) * | 2021-02-07 | 2023-03-21 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
| CN112910907A (zh) * | 2021-02-07 | 2021-06-04 | 深信服科技股份有限公司 | 一种防御方法、装置、客户机、服务器、存储介质及系统 |
| CN112995186A (zh) * | 2021-03-09 | 2021-06-18 | 上海明略人工智能(集团)有限公司 | 适用于mqtt服务安全保障的改善方法及系统 |
| CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
| CN114070578A (zh) * | 2021-09-27 | 2022-02-18 | 杭州安恒信息技术股份有限公司 | 用户私有网络内网互通方法、系统、计算机和存储介质 |
| CN114070578B (zh) * | 2021-09-27 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 用户私有网络内网互通方法、系统、计算机和存储介质 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN117319481A (zh) * | 2023-11-29 | 2023-12-29 | 长沙普洛电气设备有限公司 | 端口资源反向代理方法、系统及存储介质 |
| CN117319481B (zh) * | 2023-11-29 | 2024-02-27 | 长沙普洛电气设备有限公司 | 端口资源反向代理方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111756761A (zh) | 基于流量转发的网络防御系统、方法和计算机设备 | |
| US10454953B1 (en) | System and method for separated packet processing and static analysis | |
| US20220239687A1 (en) | Security Vulnerability Defense Method and Device | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| WO2021082834A1 (zh) | 报文处理方法、装置、设备及计算机可读存储介质 | |
| CN111641620A (zh) | 用于检测进化DDoS攻击的新型云蜜罐方法及架构 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN114826663A (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN115883170A (zh) | 网络流量数据监测分析方法、装置及电子设备及存储介质 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
| CN117411711A (zh) | 一种入侵检测防御系统的威胁阻断方法 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| KR101042226B1 (ko) | 화이트 리스트를 모니터링하는 네트워크 필터와 더미 웹 서버를 이용한 분산서비스거부 공격 차단 방법 | |
| US20160149933A1 (en) | Collaborative network security | |
| CN112383517A (zh) | 网络连接信息的隐藏方法、装置、设备和可读存储介质 | |
| CN113709130A (zh) | 基于蜜罐系统的风险识别方法及装置 | |
| CN114285588A (zh) | 获取攻击对象信息的方法、装置、设备及存储介质 | |
| CN115189951B (zh) | 伪服务仿真检测攻击渗透方法、装置和计算机设备 | |
| TWI761122B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201009 |
|
| RJ01 | Rejection of invention patent application after publication |