CN112104613B - 基于数据流量包分析的蜜网测试系统及其测试方法 - Google Patents
基于数据流量包分析的蜜网测试系统及其测试方法 Download PDFInfo
- Publication number
- CN112104613B CN112104613B CN202010856320.2A CN202010856320A CN112104613B CN 112104613 B CN112104613 B CN 112104613B CN 202010856320 A CN202010856320 A CN 202010856320A CN 112104613 B CN112104613 B CN 112104613B
- Authority
- CN
- China
- Prior art keywords
- data flow
- packet
- tested
- data
- testing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于数据流量包分析的蜜网测试系统及其测试方法,系统设置有测试模块、数据流量采集模块和分析模块。通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将该蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行自动测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;若一致,判定为合格;若不一致,判定为不合格。本发明采用数据流量包为基准进行判断,具有测试测试效率高的特点,测试复杂性大大降低。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种基于数据流量包分析的蜜网测试系统。
背景技术
蜜网是网络安全领域的研究热点和核心技术,近年来得到了广泛的关注和快速的发展。蜜网主要构造一个虚拟的存在安全漏洞的网络环境来引诱入侵者对其攻击,从而实现收集与分析安全威胁信息。一个蜜网系统由多个甚至几十个主机蜜罐构成,测试人员完成一个蜜网系统的测试,需要人工手动逐个完成整个蜜网系统中的主机蜜罐的测试。
因此,当前对于蜜网系统的测试方法存在以下缺陷:
1.测试效率低
由于一个蜜网系统由多个蜜罐构成,导致在测试中需要测试人员重复使用同个测试工具去测试存在相同安全漏洞的蜜罐,很大程度上降低了测试的效率。
2.测试操作复杂
不同类型的蜜罐存在的安全漏洞是不同的,在目前的测试方法就需要要求测试者掌握多种测试工具的使用,大大的增加测试的复杂性与难度。
因此,针对现有技术不足,提供一种基于数据流量包分析的蜜网测试系统及测试方法以克服现有技术不足甚为必要。
发明内容
本发明的目的在于避免现有技术的不足之处而提供一种基于数据流量包分析的蜜网测试系统及测试方法,具有测试测试效率高、测试复杂性降低的特点。
本发明的上述目的通过以下技术措施实现。
提供一种基于数据流量包分析的蜜网测试系统,设置有:
测试模块,
对已测试合格的蜜罐进行测试,输出信号至数据采集模块,使得数据采集模块在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;
采用与已经测试合格的蜜罐的测试策略对待测蜜罐进行测试,在测测完成后,发送数据采集启动信号至数据采集单元使数据采集模块在蜜网系统的数据采集服务器上将待测蜜罐上传的数据流量包采集下来作为样本数据流量包;
数据采集模块,
采集已经测试合格的蜜罐的数据流量包作为标准数据流量包;
采集每个待测试蜜罐上传的数据流量包定义为样本数据流量包;
并将所采集的标准数据流量包和样本数据流量包发送至分析模块;
分析模块,将待测试蜜罐的数据流量包与标准数据流量包进行比对并输出比对结果。
优选的,上述测试模块设置有探针信息采集单元、策略测试单元和数据流量包输出单元;
探针信息采集单元,用于自动采集与蜜罐关联探针的网络配置文件中的IP,进一步读取登入蜜罐的秘钥配置文件,完成探针信息的采集,并自动接入蜜罐;
策略测试单元,用于在接入蜜罐后,根据已制定好的蜜罐安全漏洞测试策略进行待测蜜罐的自动测试,完成测试后,自动发送数据采集启动信号至数据采集模块。
优选的,上述的基于数据流量包分析的蜜网测试系统,蜜罐安全漏洞测试策略包括文件查看、文件写入、文件权限修改或进程创建中的至少一种对待测蜜罐的安全漏洞攻击行为。
优选的,上述的基于数据流量包分析的蜜网测试系统,数据采集模块设置有数据流量包筛选单元和数据流量包采集单元;
数据流量包筛选单元将通过测试模块对已测试蜜罐传输到蜜网数据库的数据流量包进行单独筛选,淘汰其他已测试蜜罐传输到蜜网数据库的数据流量包,只保留待测蜜罐的数据流量包;筛选完毕后,数据流量包采集单元进行待测蜜罐的样本数据流量包采集。
优选的,上述的基于数据流量包分析的蜜网测试系统,所述分析模块设置有数据流量包处理单元、数据流量包比对单元和输出比对结果单元;
数据流量包处理单元将数据采集模块采集的样本数据流量包的探针IP标识为1,蜜罐IP标识为2;
数据流量包比对单元用于将处理过的样本数据流量包与标准数据流量包进行源IP、目的IP、协议类型、包长度、包内容的比对,并将比对结果输入至输出比对结果单元;
输出比对结果单元输出比对结果。
优选的,上述的基于数据流量包分析的蜜网测试系统,当比对结果一致时,输出比对结果单元输出待测试蜜罐合格,否则输出待测试蜜罐不合格。
本发明同时提供一种基于数据流量包分析的蜜网测试系统的方法,通过上述基于数据流量包分析的蜜网系统进行测试;
通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;若一致,判定为合格;若不一致,判定为不合格。
本发明的基于数据流量包分析的蜜网测试系统及其测试方法,通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将该蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行自动测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;若一致,判定为合格;若不一致,判定为不合格。本发明采用数据流量包为基准进行判断,具有测试测试效率高的特点,测试复杂性大大降低。
说明书附图
利用附图对本发明作进一步的说明,但附图中的内容不构成对本发明的任何限制。
图1是本发明一种基于数据流量包分析的蜜网测试系统实施例1的示意图。
图2是本发明基于数据流量包分析的蜜网测试系统实施例2的获取标准数据流量包的示意图。
图3是本发明基于数据流量包分析的蜜网测试系统实施例2的获取样本数据流量包的示意图。
具体实施方式
结合以下实施例对本发明作进一步说明。
实施例1。
一种基于数据流量包分析的蜜网测试系统,如图1所示,设置有:
测试模块,
对已测试合格的蜜罐进行测试,输出信号至数据采集模块,使得数据采集模块在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;
采用与已经测试合格的蜜罐的测试策略对待测蜜罐进行测试,在测测完成后,发送数据采集启动信号至数据采集单元使数据采集模块在蜜网系统的数据采集服务器上将待测蜜罐上传的数据流量包采集下来作为样本数据流量包。
数据采集模块,
采集已经测试合格的蜜罐的数据流量包作为标准数据流量包;
采集每个待测试蜜罐上传的数据流量包定义为样本数据流量包;
并将所采集的标准数据流量包和样本数据流量包发送至分析模块。
分析模块,将待测试蜜罐的数据流量包与标准数据流量包进行比对并输出比对结果。
其中,测试模块设置有探针信息采集单元、策略测试单元和数据流量包输出单元。
探针信息采集单元,用于自动采集与蜜罐关联探针的网络配置文件中的IP,进一步读取登入蜜罐的秘钥配置文件,完成探针信息的采集,并自动接入蜜罐;策略测试单元,用于在接入蜜罐后,根据已制定好的蜜罐安全漏洞测试策略进行待测蜜罐的自动测试,完成测试后,自动发送数据采集启动信号至数据采集模块。其中,蜜罐安全漏洞测试策略包括文件查看、文件写入、文件权限修改或进程创建中的至少一种对待测蜜罐的安全漏洞攻击行为。
具体的,该数据采集模块设置有数据流量包筛选单元和数据流量包采集单元。数据流量包筛选单元将通过测试模块对已测试蜜罐传输到蜜网数据库的数据流量包进行单独筛选,淘汰其他已测试蜜罐传输到蜜网数据库的数据流量包,只保留待测蜜罐的数据流量包;筛选完毕后,数据流量包采集单元进行待测蜜罐的样本数据流量包采集。
具体的,分析模块设置有数据流量包处理单元、数据流量包比对单元和输出比对结果单元。数据流量包处理单元将数据采集模块采集的样本数据流量包的探针IP标识为1,蜜罐IP标识为2。数据流量包比对单元用于将处理过的样本数据流量包与标准数据流量包进行源IP、目的IP、协议类型、包长度、包内容的比对,并将比对结果输入至输出比对结果单元,输出比对结果单元输出比对结果。当比对结果一致时,输出比对结果单元输出待测试蜜罐合格,否则输出待测试蜜罐不合格。
本发明通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将该蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行自动测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;若一致,判定为合格;若不一致,判定为不合格。由此,完成所有待测蜜罐测试,达到提高测试效率与降低测试的复杂性的目的。
本发明采用测试合格的蜜罐的数据流量包为标准进行判断,具有测试测试效率高的特点,测试复杂性大大降低。
实施例2。
一种基于数据流量包分析的蜜网测试系统的方法,通过实施例1的基于数据流量包分析的蜜网系统进行测试。
通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;若一致,判定为合格;若不一致,判定为不合格。
以蜜罐A、蜜罐1、蜜罐2、蜜罐3的系统为例,对本发明的方法进行具体说明。
本实施例中,首先获取标准数据流量包,如图2所示。标准数据流量包是实现蜜网测试中的核心环节,该实例中,通过对已开发完成并通过测试的蜜罐A进行自动化测试,在蜜网系统的数据采集服务器中将该蜜罐A上传的数据流量进行抓取,采集作为标准数据流量包。
蜜罐1、蜜罐2、蜜罐3与蜜罐A存在相同的安全漏洞,且蜜罐1、蜜罐2、蜜罐3为未经过测试的蜜罐。通过测试模块,完成对蜜罐1、蜜罐2、蜜罐3的测试,通过数据采集服务器将蜜罐1、蜜罐2、蜜罐3上传的数据进行抓取,获得样本流量数据包1、样本流量数据包2、样本流量数据包3,如图3所示。
然后通过流量分析模块将标准数据流量包与样本数据流量包1、样本数据流量数据流量包2、样本数据流量包3的自动比对分析,获得分析结果来判断测试的蜜罐是否存在缺陷。
本发明采用测试合格的蜜罐的数据流量包为标准,选择在相同测试策略下对其它蜜罐进行测试,将其它蜜罐的样本数据流量包与标准数据流量包进行比对判断,具有测试测试效率高的特点,能够大大降低测试复杂性。
需要说明的是,本实施例中选择以蜜罐A的流量包作为标准数据流量包,以蜜罐1、蜜罐2、蜜罐3的的数量流量包作为样本数据流量包。实际中,不局限于本实施例中的3个样本蜜罐,可以根据具体需求灵活选择和设置。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。
Claims (7)
1.一种基于数据流量包分析的蜜网测试系统,其特征在于,设置有:
测试模块,
对已测试合格的蜜罐进行测试,输出信号至数据采集模块,使得数据采集模块在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;
采用与已经测试合格的蜜罐的测试策略对存在相同安全漏洞的待测蜜罐进行测试,在测试完成后,发送数据采集启动信号至数据采集单元使数据采集模块在蜜网系统的数据采集服务器上将待测蜜罐上传的数据流量包采集下来作为样本数据流量包;
数据采集模块,
采集已经测试合格的蜜罐的数据流量包作为标准数据流量包;
采集每个待测试蜜罐上传的数据流量包定义为样本数据流量包;
并将所采集的标准数据流量包和样本数据流量包发送至分析模块;
分析模块,将待测试蜜罐的数据流量包与标准数据流量包进行比对并输出比对结果。
2.根据权利要求1所述的基于数据流量包分析的蜜网测试系统,其特征在于,所述测试模块设置有探针信息采集单元、策略测试单元和数据流量包输出单元;
探针信息采集单元,用于自动采集与蜜罐关联探针的网络配置文件中的IP,进一步读取登入蜜罐的秘钥配置文件,完成探针信息的采集,并自动接入蜜罐;
策略测试单元,用于在接入蜜罐后,根据已制定好的蜜罐安全漏洞测试策略进行待测蜜罐的自动测试,完成测试后,自动发送数据采集启动信号至数据采集模块。
3.根据权利要求2所述的基于数据流量包分析的蜜网测试系统,其特征在于,蜜罐安全漏洞测试策略包括文件查看、文件写入、文件权限修改或进程创建中的至少一种对待测蜜罐的安全漏洞攻击行为。
4.根据权利要求3所述的基于数据流量包分析的蜜网测试系统,其特征在于,数据采集模块设置有数据流量包筛选单元和数据流量包采集单元;
数据流量包筛选单元将通过测试模块对已测试蜜罐传输到蜜网数据库的数据流量包进行单独筛选,淘汰其他已测试蜜罐传输到蜜网数据库的数据流量包,只保留待测蜜罐的数据流量包;筛选完毕后,数据流量包采集单元进行待测蜜罐的样本数据流量包采集。
5.根据权利要求4所述的基于数据流量包分析的蜜网测试系统,其特征在于,所述分析模块设置有数据流量包处理单元、数据流量包比对单元和输出比对结果单元;
数据流量包处理单元将数据采集模块采集的样本数据流量包的探针IP标识为1,蜜罐IP标识为2;
数据流量包比对单元用于将处理过的样本数据流量包与标准数据流量包进行源IP、目的IP、协议类型、包长度、包内容的比对,并将比对结果输入至输出比对结果单元;
输出比对结果单元输出比对结果。
6.根据权利要求5所述的基于数据流量包分析的蜜网测试系统,其特征在于:当比对结果一致时,输出比对结果单元输出待测试蜜罐合格,否则输出待测试蜜罐不合格。
7.一种基于数据流量包分析的蜜网测试系统的方法,其特征在于:通过如权利要求1至6任意一项所述的基于数据流量包分析的蜜网系统进行测试;
通过测试模块对已测试合格的蜜罐进行测试,然后在蜜网系统的数据采集服务器上将测试合格的蜜罐上传的数据流量包采集下来作为标准数据流量包;再使用测试模块对多个存在相同安全漏洞待测蜜罐进行测试并采集数据流量包作为样本数据流量包,最后通过分析模块将采集的样本数据流量包和标准数据流量包进行比对分析,判断待测蜜罐的数据流量包是否与标准数据流量包一致;
若一致,判定为合格;若不一致,判定为不合格。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010856320.2A CN112104613B (zh) | 2020-08-24 | 2020-08-24 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010856320.2A CN112104613B (zh) | 2020-08-24 | 2020-08-24 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112104613A CN112104613A (zh) | 2020-12-18 |
| CN112104613B true CN112104613B (zh) | 2021-04-02 |
Family
ID=73754349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010856320.2A Active CN112104613B (zh) | 2020-08-24 | 2020-08-24 | 基于数据流量包分析的蜜网测试系统及其测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104613B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113515464B (zh) * | 2021-09-14 | 2021-11-19 | 广州锦行网络科技有限公司 | 基于linux系统的蜜罐测试方法及装置 |
| CN114024728B (zh) * | 2021-10-28 | 2024-04-02 | 杭州默安科技有限公司 | 一种蜜罐搭建方法以及应用方法 |
| CN114826996A (zh) * | 2022-05-10 | 2022-07-29 | 上海磐御网络科技有限公司 | 基于busybox文件系统的路由器蜜罐测试方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| US10831715B2 (en) * | 2015-01-30 | 2020-11-10 | Dropbox, Inc. | Selective downloading of shared content items in a constrained synchronization system |
| GB2543952B (en) * | 2016-10-07 | 2019-05-01 | F Secure Corp | Advanced local-network threat response |
| CN109361670B (zh) * | 2018-10-21 | 2021-05-28 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN110351250A (zh) * | 2019-06-18 | 2019-10-18 | 国家计算机网络与信息安全管理中心 | 一种多数据源安全知识归集系统 |
| CN110830457B (zh) * | 2019-10-25 | 2022-06-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN110990115A (zh) * | 2019-11-21 | 2020-04-10 | 博智安全科技股份有限公司 | 针对蜜罐的容器化部署管理系统及其方法 |
| CN111565199B (zh) * | 2020-07-14 | 2021-10-01 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
-
2020
- 2020-08-24 CN CN202010856320.2A patent/CN112104613B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112104613A (zh) | 2020-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112104613B (zh) | 基于数据流量包分析的蜜网测试系统及其测试方法 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN110808945B (zh) | 一种基于元学习的小样本场景下网络入侵检测方法 | |
| CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
| CN111385297B (zh) | 无线设备指纹识别方法、系统、设备及可读存储介质 | |
| CN112184091B (zh) | 工控系统安全威胁评估方法、装置和系统 | |
| CN106027528B (zh) | 一种web水平权限自动化识别的方法及装置 | |
| CN103428196A (zh) | 一种基于url白名单的web应用入侵检测方法和装置 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| WO2015062541A1 (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
| CN106817353A (zh) | 用于mac采集和网络安全审计的无线ap和方法 | |
| CN110351250A (zh) | 一种多数据源安全知识归集系统 | |
| CN103760394A (zh) | 示波器测量数据的自动处理方法及装置 | |
| CN108241580A (zh) | 客户端程序的测试方法及终端 | |
| CN113779571B (zh) | WebShell检测装置、WebShell检测方法及计算机可读存储介质 | |
| CN103458448B (zh) | 一种通信网络故障诊断方法及设备 | |
| Wijayanto et al. | TAARA Method for Processing on the Network Forensics in the Event of an ARP Spoofing Attack | |
| CN108427882B (zh) | 基于行为特征抽取的安卓软件动态分析检测法 | |
| Ngobeni et al. | A forensic readiness model for wireless networks | |
| CN107463493A (zh) | 一种面向主机防病毒产品的测试系统和测试方法 | |
| CN106789411B (zh) | 一种机房内活跃ip数据的采集方法和装置 | |
| CN112601212A (zh) | 一种针对内网私接wifi的定位方法、单元及其装置 | |
| CN113238971A (zh) | 基于状态机的自动化渗透测试系统及方法 | |
| CN111898133A (zh) | 一种基于自动化的渗透测试装置和方法 | |
| EP3220303B1 (en) | Selective extended archiving of data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |