CN112019545A - 一种蜜罐网络部署方法、装置、设备及介质 - Google Patents
一种蜜罐网络部署方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112019545A CN112019545A CN202010886517.0A CN202010886517A CN112019545A CN 112019545 A CN112019545 A CN 112019545A CN 202010886517 A CN202010886517 A CN 202010886517A CN 112019545 A CN112019545 A CN 112019545A
- Authority
- CN
- China
- Prior art keywords
- network
- honeypots
- honeypot
- flow control
- openflow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种蜜罐网络部署方法、装置、设备、介质,该方法包括:在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。这样利用OpenvSwitch组件便实现了蜜罐网络中的网络隔离,再通过openflow实现蜜罐之间的流量隔离,由此实由蜜罐之间的隔离和组网,使得蜜罐网络具有更高的真实性。且利用openflow控制所述蜜罐之间的流量传输时规则分析不容易出现错误。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种蜜罐网络部署方法、装置、设备、介质。
背景技术
在网络安全技术中,蜜罐系统是作为防守方,通过在用户的真实业务中部署蜜罐探针获取攻击者信息的一种新型技术方案,蜜罐系统能够通过拖延攻击者攻击时间来获取攻击者的身份信息和攻击行为等数据,并对获取到的数据进行分析后触发网络阻断,这样能够实现对用户资产的有效保护。但是随着蜜罐技术的发展,攻击者对蜜罐的研究也随之提高,反侦查能力也得到很大的提升。在将蜜罐混合部署时,攻击者可以通过扫描工具获知当前网络区域内的设备服务类型,如果不同类型的蜜罐部署方式和实际服务部署方式差别太大时,很容易暴露蜜罐自身,由此散失蜜罐的防护作用。为了能够更好的模拟用户的网络环境,需要对蜜罐系统内部的不同类型蜜罐进行隔离,增强蜜罐网络的真实性。
目前主要是通过Iptables和Nwfilter(network filter,网络过滤器)实现蜜罐网络中不同蜜罐之间的隔离,但是Iptables规则的优先级识别较困难,所以规则容易出错;且一张Iptales表中容纳了所有的规则,当策略较多时,不易分析,也容易造成规则出错。
发明内容
有鉴于此,本申请的目的在于提供一种蜜罐网络部署方法、装置、设备、介质,能够对蜜罐网络中的蜜罐进行隔离和组网,使得蜜罐网络具有更高的真实性,且规则不易出现错误。其具体方案如下:
第一方面,本申请公开了一种蜜罐网络部署方法,包括:
在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;
利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;
利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
可选地,所述在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,包括:
创建OpenvSwitch网桥,以便将不同网段的虚拟局域网连接起来;
获取虚拟局域网配置信息;
根据所述虚拟局域网配置信息添加相应的虚拟局域网标签。
可选地,所述利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,包括:
配置所述宿主机上的各个虚拟机的domain配置文件,以便将所述虚拟机挂载到所述OpenvSwitch网桥下,并为所述虚拟机配置虚拟局域网,其中,所述虚拟机为运行所述蜜罐的虚拟机。
可选地,所述利用openflow控制所述蜜罐之间的流量传输,包括:
配置所述openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级;
利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
可选地,所述利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输,包括:
在所述目标蜜罐网络初始化时,执行所述openflow的第一流量控制策略,以便对经过所述目标蜜罐网络的网络层数据包进行压栈追踪。
可选地,所述通过所述openflow的流量控制策略控制所述蜜罐之间的流量传输,包括:
执行所述openflow的第二流量控制策略,以便对访问所述目标蜜罐网络中的管理中心的流量进行正常传输,其中,所述第二流量控制策略对应的优先级为第一优先级;
执行所述openflow的第三流量控制策略,以便对所述蜜罐接收到的流量进行正常提交,其中,所述第三流量控制策略对应的优先级为第二优先级;
执行所述openflow的第四流量控制策略,以便对所述蜜罐主动发出的流量进行丢弃操作,其中,所述第四流量控制策略对应的优先级为第三优先级,所述第一优先级高于所述第二优先级,所述第二优先级高于所述第三优先级。
第二方面,本申请公开了一种蜜罐网络部署装置,包括:
OpenvSwitch集成模块,用于在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;
虚拟局域网划分模块,用于利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;
流量控制模块,用于利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
可选地,所述流量控制模块,用于:
配置所述openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级;
通过所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
第三方面,本申请公开了一种电子设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的蜜罐网络部署方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的蜜罐网络部署方法。
可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,接着再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。由此可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后便可以利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,然后再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。这样利用OpenvSwitch组件便实现了蜜罐网络中的网络隔离,再通过openflow实现蜜罐之间的流量隔离,由此实现蜜罐之间的隔离和组网,使得蜜罐网络具有更高的真实性。且由于Openflow规则中支持多表和优先级配置,多表可以将规则根据层级划分到不同的表中,优先级的控制能够使规则更加简洁,所以使得利用openflow控制所述蜜罐之间的流量传输时规则分析不容易出现错误。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种蜜罐网络部署方法流程图;
图2为本申请公开的一种蜜罐网络示意图;
图3为本申请公开的一种具体的蜜罐网络部署方法流程图;
图4为本申请公开的一种蜜罐网络流量控制示意图;
图5为本申请公开的一种蜜罐网络部署装置结构示意图;
图6为本申请公开的一种电子设备结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1所示,本申请实施例公开了一种蜜罐网络部署方法,该方法包括:
步骤S11:在目标蜜罐网络中的宿主机上集成OpenvSwitch组件。
在具体的实施过程中,当蜜罐系统中包括不同类型的蜜罐时,需要将蜜罐隔离开来,以接近现实中的服务部署情景。所以可以先在目标蜜罐网络中的宿主机上集成OpenvSwitch(开放的虚拟交换机)组件。其中,Openvswitch是由软件实现的与物理交换机具有相同功能的虚拟交换机,可以对蜜罐系统中的所有蜜罐设备提供Vlan((VirtualLocal Area Network,虚拟局域网)标签功能,以便将蜜罐划分到不同的网段中,从而提高了蜜罐节点的覆盖率,提高了蜜罐对黑客行为的捕获概率。
在所述目标蜜罐网络中可以包括多个宿主机,一个宿主机上可以运行不同的虚拟机,一个虚拟机可以运行一个蜜罐,由此组成一个蜜罐网络。所以可以先在所述目标蜜罐网络中的各个宿主机上集成OpenvSwitch组件,以便将所述目标蜜罐网络中的蜜罐划分到不同的虚拟局域网中,以实现所述目标蜜罐网络中蜜罐之间的网络隔离。
具体的,所述在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,包括:创建OpenvSwitch网桥,以便将不同网段的虚拟局域网连接起来;获取虚拟局域网配置信息;根据所述虚拟局域网配置信息添加相应的虚拟局域网标签。也即,先创建OpenvSwitch网桥,以便将不同网段的虚拟局域网连接起来,然后获取虚拟局域网配置信息,然后便可以根据所述虚拟局域网配置信息添加相应的虚拟局域网标签。例如,所述虚拟局域网配置信息中包括24段的Vlan,则将该虚拟局域网对应的名称为Vlan24,标签为24,所有被分配到Vlan24的虚拟网卡出去的包都会被打上标签24,以实现虚拟局域网的网络隔离功能,创建其他标签的虚拟局域网的方法与此相同。
步骤S12:利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离。
在所述目标蜜罐网络中的宿主上集成所述OpenvSwitch组件之后,便可以利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离。
具体的,就是配置所述宿主机上的各个虚拟机的domain配置文件,以便将所述虚拟机挂载到所述OpenvSwitch网桥下,并为所述虚拟机配置虚拟局域网,其中,所述虚拟机为运行所述蜜罐的虚拟机。例如,将所述虚拟机的虚拟网卡指定为Vlan24,则domain配置文件中的网卡配置为:<source network='ovsbr0'portgroup='Vlan24'/>,其中,'ovsbr0表示前述的OpenvSwitch网桥。这样当执行virsh start[vm]命令启动虚拟机时,libvirt会将虚拟网卡加入到OpenvSwitch中并将当前虚拟网卡对应的端口出去的包打上相应的标签来实现虚拟机的网段划分;通过查看OpenvSwitch中的配置,能够发现对应的端口已被打上Vlan24的标签,例如,Port"vnet0";tag:24Interface;"vnet0",其中,vnet0表示当前虚拟网卡对应的端口。libvirt是一套免费、开源的支持Linux下主流虚拟化工具的C函数库。
参见图2所示,为蜜罐网络示意图。利用OpenvSwitch将伪装成OA系统的蜜罐划分虚拟局域网Vlan10下,将伪装成文件服务器系统的蜜罐划分虚拟局域网Vlan20下,将伪装成部件服务器的蜜罐划分虚拟局域网Vlan30下,由此实现了蜜罐网络中蜜罐之间的隔离。
步骤S13:利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
可以理解的是,在将所述蜜罐划分到对应的虚拟局域网下之后,还需要利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。也即,需要先在openflow中配置流量控制策略,然后便可以根据所述流量控制策略控制所述蜜罐网络中蜜罐之间的流量传输。
可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,接着再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。由此可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后便可以利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,然后再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。这样利用OpenvSwitch组件便实现了蜜罐网络中的网络隔离,通过openflow实现蜜罐之间的流量隔离,由此实现蜜罐之间的隔离和组网,使得蜜罐网络具有更高的真实性。且由于Openflow规则中支持多表和优先级配置,多表可以将规则根据层级划分到不同的表中,优先级的控制能够使规则更加简洁,所以使得利用openflow控制所述蜜罐之间的流量传输时规则分析不容易出现错误。
参见图3所示,本申请实施例公开了一种具体的蜜罐网络部署方法,该方法包括:
步骤S21:在目标蜜罐网络中的宿主机上集成OpenvSwitch组件。
步骤S22:利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离。
步骤S21和步骤S22的具体实施过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
步骤S23:配置openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级。
在利用openflow控制所述蜜罐之间的流量传输,需要先配置openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级。也即,所述流量控制策略包括流量控制规则以及所述流量控制规则对应的优先级,这样当一个流量满足不同的流量控制规则时,可以根据所满足的流量控制规则中的优先级,确定具体要依据哪一个流量控制规则对流量进行控制。
步骤S24:利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
在对所述openflow的流量控制策略进行配置之后,便可以利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
具体的,在所述目标蜜罐网络初始化时,执行所述openflow的第一流量控制策略,以便对经过所述目标蜜罐网络的网络层数据包进行压栈追踪。其中,所述第一流量控制策略可以为cookie=0x0,duration=10.683s,table=0,n_packets=0,n_bytes=0,idle_age=10,ct_state=-trk,ip actions=ct(table=1)。
具体的,还可以执行所述openflow的第二流量控制策略,以便对访问所述目标蜜罐网络中的管理中心的流量进行正常传输,其中,所述第二流量控制策略对应的优先级为第一优先级。其中,所述第二流浪控制策略可以为cookie=0x0,duration=7.879s,table=1,n_packets=0,n_bytes=0,idle_age=7,priority=5,ct_state=+new+trk,tcp,nw_dst=192.168.10.121,tp_dst=12345actions=(commit),NORMAL。其中,192.168.10.121,表示所述目标蜜罐网络中的管理中心的IP(Internet Protocol,互联网协议)地址,priority表示优先级,数值越大优先级越高。
具体的,还可以执行所述openflow的第三流量控制策略,以便对所述蜜罐接收到的流量进行正常提交,其中,所述第三流量控制策略对应的优先级为第二优先级。其中,所述第三流浪控制策略可以为cookie=0x0,duration=7.877s,table=1,n_packets=0,n_bytes=0,idle_age=7,priority=2,ct_state=+new+trk,ip,nw_d st=192.168.10.124actions=ct(commit),NORMAL。其中,192.168.10.124表示接收到流量的蜜罐的IP地址。
具体的,还可以执行所述openflow的第四流量控制策略,以便对所述蜜罐主动发出的流量进行丢弃操作,其中,所述第四流量控制策略对应的优先级为第三优先级,所述第一优先级高于所述第二优先级,所述第二优先级高于所述第三优先级。其中,所述第四流浪控制策略可以为cookie=0x0,duration=7.874s,table=1,n_packets=0,n_bytes=0,idle_age=7,priority=1,ct_state=+new+trk,ip,nw_src=192.168.10.124actions=drop。
当部署一台新的蜜罐时,第二流量控制策略、第三流量控制策略、第四流量控制策略会被相应的执行,IP地址会替换为当前部署的新蜜罐的IP地址。
这样根据第三流量控制策略、第四流量控制策略中的优先级选项的配置,去往蜜罐中的流量予以放行的优先级比从蜜罐中主动发出连接的流量予以丢弃的优先级要高,所以能够实现允许蜜罐和蜜罐之前的通信;在确保用户环境安全的情况下能够尽可能的获取到攻击者横向扩展的攻击行为。为后续对攻击者的行为分析提供尽可能多的数据。
例如,当前有蜜罐A和蜜罐B,蜜罐网络的管理中心C,用户的真实资产D,蜜罐A和蜜罐B需要向管理系统C的TCP(Transmission Control Protocol,传输控制协议)5000端口上报攻击事件信息。
根据第一流量控制策略,所有的IP地址的流量都将被OpenvSwitch进行压栈跟踪,为后面的流量分析做准备。
当攻击者从外部向蜜罐A发起攻击时,根据第三流量控制策略,攻击者能够正常地访问到蜜罐系统。
当攻击者获取到一个蜜罐A的控制权时,想要进行横向流量的扩展。如果横向扩展的目标为用户的真实资产D,满足第四流量控制策略,流量将会被丢弃,攻击者无法触碰到用户的真实资产D。如果横向扩展的目标为蜜罐B满足第三流量控制策略和第四流量控制策略,但是第三流量控制策略的优先级比第四流量控制策略要高,则执行第三流量控制策略,对流量予以放行,攻击者可以从一个蜜罐A横向扩展到另外一个蜜罐B中。
当攻击者获取到一个蜜罐A的控制权时,当蜜罐A中的探针程序想要向管理中心C中的TCP端口上报信息时,满足第四流量控制策略和第二流量控制策略,同样第二流量控制策略的优先级比第四流量控制策略要高,所以对流量将会被予以放行,蜜罐A中探针收集到的信息将能够成功的上报到管理中心D。
这样通过蜜罐的流量控制策略,使得蜜罐网络中所有外部向蜜罐内部的流量和蜜罐中向外的响应流量将被予以放行,以便攻击者能够正常的向蜜罐发起扫描和爆破行为,蜜罐中所有主动向外的流量都将被丢弃,当攻击者获取到一台蜜罐设备的控制权时,无法通过该蜜罐作为跳板横向探测或攻击用户的真实资产,确保了用户真实资产的安全性。
参见图4所示,为蜜罐网络中的控制示意图。Openflow的流量控制策略可以控制蜜罐之间的访问规则,同时能够有效的防止攻击者将蜜罐当作一个跳板对用户的资产进行攻击。也即,图4中所示的,蜜罐之间可以相互访问,但是不能访问到用户的真实资产。
参见图5所示,本申请实施例公开了一种蜜罐网络部署装置,包括:
OpenvSwitch集成模块11,用于在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;
虚拟局域网划分模块12,用于利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;
流量控制模块13,用于利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,接着再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。由此可见,本申请先在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,然后便可以利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离,然后再利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。这样利用OpenvSwitch组件便实现了蜜罐网络中的网络隔离,再通过openflow实现蜜罐之间的流量隔离,由此实现蜜罐之间的隔离和组网,使得蜜罐网络具有更高的真实性。且由于Openflow规则中支持多表和优先级配置,多表可以将规则根据层级划分到不同的表中,优先级的控制能够使规则更加简洁,所以使得利用openflow控制所述蜜罐之间的流量传输时规则分析不容易出现错误。
进一步的,所述OpenvSwitch集成模块11,用于:
创建OpenvSwitch网桥,以便将不同网段的虚拟局域网连接起来;
获取虚拟局域网配置信息;
根据所述虚拟局域网配置信息添加相应的虚拟局域网标签。
具体的,虚拟局域网划分模块12,用于:
配置所述宿主机上的各个虚拟机的domain配置文件,以便将所述虚拟机挂载到所述OpenvSwitch网桥下,并为所述虚拟机配置虚拟局域网,其中,所述虚拟机为运行所述蜜罐的虚拟机。
所述流量控制模块13,用于:
配置所述openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级;
利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
进一步的,所述流量控制模块13,用于:
在所述目标蜜罐网络初始化时,执行所述openflow的第一流量控制策略,以便对经过所述目标蜜罐网络的网络层数据包进行压栈追踪。
进一步的,所述流量控制模块13,用于:
执行所述openflow的第二流量控制策略,以便对访问所述目标蜜罐网络中的管理中心的流量进行正常传输,其中,所述第二流量控制策略对应的优先级为第一优先级;
执行所述openflow的第三流量控制策略,以便对所述蜜罐接收到的流量进行正常提交,其中,所述第三流量控制策略对应的优先级为第二优先级;
执行所述openflow的第四流量控制策略,以便对所述蜜罐主动发出的流量进行丢弃操作,其中,所述第四流量控制策略对应的优先级为第三优先级,所述第一优先级高于所述第二优先级,所述第二优先级高于所述第三优先级。
参见图6所示,为本申请实施例提供的一种电子设备20的结构示意图,该电子设备20可以实现前述实施例中公开的蜜罐网络部署方法。
通常,本实施例中的电子设备20包括:处理器21和存储器22。
其中,处理器21可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器21可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中应处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器21可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器22可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器22至少用于存储以下计算机程序21,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例中公开的蜜罐网络部署方法步骤。
在一些实施例中,电子设备20还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
本技术领域人员可以理解,图6中示出的结构并不构成对电子设备20的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的蜜罐网络部署方法。
其中,关于上述蜜罐网络部署方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种蜜罐网络部署方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种蜜罐网络部署方法,其特征在于,包括:
在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;
利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;
利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
2.根据权利要求1所述的蜜罐网络部署方法,其特征在于,所述在目标蜜罐网络中的宿主机上集成OpenvSwitch组件,包括:
创建OpenvSwitch网桥,以便将不同网段的虚拟局域网连接起来;
获取虚拟局域网配置信息;
根据所述虚拟局域网配置信息添加相应的虚拟局域网标签。
3.根据权利要求2所述的蜜罐网络部署方法,其特征在于,所述利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,包括:
配置所述宿主机上的各个虚拟机的domain配置文件,以便将所述虚拟机挂载到所述OpenvSwitch网桥下,并为所述虚拟机配置虚拟局域网,其中,所述虚拟机为运行所述蜜罐的虚拟机。
4.根据权利要求1所述的蜜罐网络部署方法,其特征在于,所述利用openflow控制所述蜜罐之间的流量传输,包括:
配置所述openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级;
利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
5.根据权利要求4所述的蜜罐网络部署方法,其特征在于,所述利用所述openflow的流量控制策略控制所述蜜罐之间的流量传输,包括:
在所述目标蜜罐网络初始化时,执行所述openflow的第一流量控制策略,以便对经过所述目标蜜罐网络的网络层数据包进行压栈追踪。
6.根据权利要求4所述的蜜罐网络部署方法,其特征在于,所述通过所述openflow的流量控制策略控制所述蜜罐之间的流量传输,包括:
执行所述openflow的第二流量控制策略,以便对访问所述目标蜜罐网络中的管理中心的流量进行正常传输,其中,所述第二流量控制策略对应的优先级为第一优先级;
执行所述openflow的第三流量控制策略,以便对所述蜜罐接收到的流量进行正常提交,其中,所述第三流量控制策略对应的优先级为第二优先级;
执行所述openflow的第四流量控制策略,以便对所述蜜罐主动发出的流量进行丢弃操作,其中,所述第四流量控制策略对应的优先级为第三优先级,所述第一优先级高于所述第二优先级,所述第二优先级高于所述第三优先级。
7.一种蜜罐网络部署装置,其特征在于,包括:
OpenvSwitch集成模块,用于在目标蜜罐网络中的宿主机上集成OpenvSwitch组件;
虚拟局域网划分模块,用于利用所述OpenvSwitch组件将所述目标蜜罐网络中不同类型的蜜罐划分到不同的虚拟局域网下,以实现所述蜜罐之间的网络隔离;
流量控制模块,用于利用openflow控制所述蜜罐之间的流量传输,以实现所述目标蜜罐网络的流量隔离。
8.根据权利要求7所述的蜜罐网络部署装置,其特征在于,所述流量控制模块,用于:
配置所述openflow的流量控制策略,其中,所述流量控制策略包括流量控制规则以及所述流控制规则对应的优先级;
通过所述openflow的流量控制策略控制所述蜜罐之间的流量传输。
9.一种电子设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至6任一项所述的蜜罐网络部署方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的蜜罐网络部署方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886517.0A CN112019545B (zh) | 2020-08-28 | 2020-08-28 | 一种蜜罐网络部署方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886517.0A CN112019545B (zh) | 2020-08-28 | 2020-08-28 | 一种蜜罐网络部署方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112019545A true CN112019545A (zh) | 2020-12-01 |
| CN112019545B CN112019545B (zh) | 2022-08-12 |
Family
ID=73503949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010886517.0A Active CN112019545B (zh) | 2020-08-28 | 2020-08-28 | 一种蜜罐网络部署方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112019545B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
| CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| CN117118760A (zh) * | 2023-10-24 | 2023-11-24 | 北京派网科技有限公司 | 基于伪网络的流量转发的威胁感知方法、装置和存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320322A (zh) * | 2014-10-31 | 2015-01-28 | 杭州华三通信技术有限公司 | 一种报文控制方法和设备 |
| CN105162729A (zh) * | 2015-08-19 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 一种基于用户策略的sdn报文处理方法、系统和sdn设备 |
| US9560081B1 (en) * | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| CN106789865A (zh) * | 2016-07-14 | 2017-05-31 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| US20170302470A1 (en) * | 2015-02-11 | 2017-10-19 | Hewlett Packard Enterprise Development Lp | Network service chain construction |
| CN107332788A (zh) * | 2017-06-08 | 2017-11-07 | 中国电力科学研究院 | 一种用于传输广域电力调度数据的保障方法及系统 |
| CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
| US20190132360A1 (en) * | 2017-11-02 | 2019-05-02 | Korea Advanced Institute Of Science And Technology | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
| US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
| US20200177629A1 (en) * | 2018-11-30 | 2020-06-04 | Cisco Technology, Inc. | Dynamic honeypots |
-
2020
- 2020-08-28 CN CN202010886517.0A patent/CN112019545B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104320322A (zh) * | 2014-10-31 | 2015-01-28 | 杭州华三通信技术有限公司 | 一种报文控制方法和设备 |
| US20170302470A1 (en) * | 2015-02-11 | 2017-10-19 | Hewlett Packard Enterprise Development Lp | Network service chain construction |
| CN105162729A (zh) * | 2015-08-19 | 2015-12-16 | 上海斐讯数据通信技术有限公司 | 一种基于用户策略的sdn报文处理方法、系统和sdn设备 |
| US9560081B1 (en) * | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| CN106789865A (zh) * | 2016-07-14 | 2017-05-31 | 深圳市永达电子信息股份有限公司 | 一种基于gre网络结合sdn技术和蜜罐技术的网络安全防护方法 |
| CN107332788A (zh) * | 2017-06-08 | 2017-11-07 | 中国电力科学研究院 | 一种用于传输广域电力调度数据的保障方法及系统 |
| US20190132360A1 (en) * | 2017-11-02 | 2019-05-02 | Korea Advanced Institute Of Science And Technology | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network |
| US20200153861A1 (en) * | 2018-11-13 | 2020-05-14 | Electronics And Telecommunications Research Institute | Decoy apparatus and method for expanding fake attack surface using deception network |
| US20200177629A1 (en) * | 2018-11-30 | 2020-06-04 | Cisco Technology, Inc. | Dynamic honeypots |
| CN109561108A (zh) * | 2019-01-07 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于策略的容器网络资源隔离控制方法 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110071929A (zh) * | 2019-04-28 | 2019-07-30 | 江苏极元信息技术有限公司 | 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
Non-Patent Citations (4)
| Title |
|---|
| HE WANG,BIN WU: "SDN-based hybrid honeypot for attack capture", 《2019 IEEE 3RD INFORMATION TECHNOLOGY,NETWORKING,ELECTRONIC AND AUTOMATION CONTROL CONFERENCE》 * |
| 孙彬等: "大数据环境下的微信息蜜罐监测", 《湖南科技大学学报(自然科学版)》 * |
| 王东等: "微信息进程与流量检测指令分布下的倾向性检测模型", 《云南大学学报(自然科学版)》 * |
| 陈泽: "关于SDN安全漏洞与防护的探讨", 《大众用电》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
| CN113709186A (zh) * | 2021-10-22 | 2021-11-26 | 杭州海康威视数字技术股份有限公司 | 一种高效蜜罐代理转发的方法与装置 |
| CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
| CN117118760A (zh) * | 2023-10-24 | 2023-11-24 | 北京派网科技有限公司 | 基于伪网络的流量转发的威胁感知方法、装置和存储介质 |
| CN117118760B (zh) * | 2023-10-24 | 2024-01-23 | 北京派网科技有限公司 | 基于伪网络的流量转发的威胁感知方法、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112019545B (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112019545B (zh) | 一种蜜罐网络部署方法、装置、设备及介质 | |
| US9021092B2 (en) | Network infrastructure obfuscation | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| EP3317804B1 (en) | Automatically preventing and remediating network abuse | |
| US9762599B2 (en) | Multi-node affinity-based examination for computer network security remediation | |
| US10693749B2 (en) | Synthetic data for determining health of a network security system | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| TWI489314B (zh) | 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法 | |
| CN110784361A (zh) | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 | |
| US9207963B2 (en) | Preventing cloud cartography | |
| CN110381041B (zh) | 分布式拒绝服务攻击态势检测方法及装置 | |
| CN106686007B (zh) | 一种发现内网被控重路由节点的主动流量分析方法 | |
| Urias et al. | Computer network deception as a moving target defense | |
| CN112491789B (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 | |
| CN109067784A (zh) | 一种vxlan中防欺骗的方法和设备 | |
| CN113904852A (zh) | 蜜罐动态部署方法、装置、电子设备和可读存储介质 | |
| CN113612783A (zh) | 一种蜜罐防护系统 | |
| EP3252648B1 (en) | Security measure invalidation prevention device, security measure invalidation prevention method, and security measure invalidation prevention program | |
| US20160156561A1 (en) | Side channel attack deterrence in networks | |
| Narwal et al. | Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud | |
| CN114172815A (zh) | 行为流量传输方法、装置、计算机设备和计算机可读存储介质 | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| KR101800145B1 (ko) | 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법 | |
| Salem et al. | A variable-trust threshold-based approach for DDOS attack mitigation in software defined networks | |
| US9525665B1 (en) | Systems and methods for obscuring network services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |