CN112291247A - 一种基于流量转发的局域网高覆盖检测的蜜网系统 - Google Patents
一种基于流量转发的局域网高覆盖检测的蜜网系统 Download PDFInfo
- Publication number
- CN112291247A CN112291247A CN202011190171.7A CN202011190171A CN112291247A CN 112291247 A CN112291247 A CN 112291247A CN 202011190171 A CN202011190171 A CN 202011190171A CN 112291247 A CN112291247 A CN 112291247A
- Authority
- CN
- China
- Prior art keywords
- honey
- honey net
- local area
- area network
- probe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于信息安全领域。其公开了一种基于流量转发的局域网高覆盖检测的蜜网系统,解决传统蜜网在局域网内检测覆盖面低的问题。本发明的蜜网系统包括云端蜜网系统和局域网部分;所述局域网部分包括处于同一局域网的多个主机,其中一个主机上部署有蜜网探针,各个主机上均设置有内网流量转发模块;所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上,通过所述蜜网探针接入云端蜜网系统;所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块;所述蜜场中部署有多种类型蜜罐,由管理模块统一管理,所述蜜网代理模块用于接收蜜网探针流量,并将流量转发到蜜场中对应的蜜罐内,完成外部网络对蜜场中蜜罐的请求访问。
Description
技术领域
本发明涉及一种基于流量转发的局域网高覆盖检测的蜜网系统,属于信息安全领域。
背景技术
随着互联网技术的不断发展,各种各样的网络技术出现,同时也导致了越来越多的信息安全事件发生。为了提高信息安全,越来越多的安全产品出现,比如waf、蜜罐等。蜜罐技术将被动防御变为了主动出击,在信息安全领域具有重要作用。
蜜罐技术发展至今,演变后的通用技术是蜜网技术。传统的蜜网系统通常是在云端实现“蜜场”、“蜜网代理模块”、“管理模块”。在云端各种蜜罐统一部署,形成“蜜场”,由管理模块进行统一管理。蜜网系统为客户端提供“蜜网探针”,用于将外部局域网接入蜜网系统。蜜网探针通过与蜜网代理模块交互,实现配置获取、流量转发、心跳上传等功能。
传统蜜网系统部署时,探针需要与被保护业务部署在同一主机,检测面只能覆盖部署了探针的主机。如果需要覆盖多个主机,则需要在对应主机上均部署蜜网探针。然而,蜜网探针功能繁重,需要依赖额外组件,常用的部署方式是基于docker容器技术部署。但是一个网络中,个人电脑与办公电脑数量往往远远大于业务服务器数量。而个人电脑、办公电脑上一般没有安装docker服务,因此局域网内大多数主机无法部署蜜网探针,所以,传统蜜网无法实现客户端局域网内的高覆盖检测。
发明内容
本发明所要解决的技术问题是:提出一种基于流量转发的局域网高覆盖检测的蜜网系统,解决传统蜜网在局域网内检测覆盖面低的问题。
本发明解决上述技术问题采用的技术方案是:
一种基于流量转发的局域网高覆盖检测的蜜网系统,包括云端蜜网系统和局域网部分;
所述局域网部分包括处于同一局域网的多个主机,其中一个主机上部署有蜜网探针,各个主机上均设置有内网流量转发模块;所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上,通过所述蜜网探针接入云端蜜网系统;
所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块;所述蜜场中部署有多种类型蜜罐,由管理模块统一管理,所述蜜网代理模块用于接收蜜网探针流量,并将流量转发到蜜场中对应的蜜罐内,完成外部网络对蜜场中蜜罐的请求访问。
作为进一步优化,所述蜜网代理模块还用于接收蜜网探针的配置请求,将相关配置下发到对应蜜网探针以及用于接收蜜网探针的心跳上传,将心跳包转发到管理模块。
作为进一步优化,所述内网流量转发模块通过socket数据传输将对应主机的流量转发到局域网中的蜜网探针。
作为进一步优化,所述内网流量转发模块采用通用的python编程语言实现,再利用pyinstaller打包技术将其打包为可执行文件。
本发明的有益效果是:
通过在蜜网探针前,增加一层零依赖、可快速运行的“内网流量转发”节点,实现局域网内高覆盖检测的需求。由“内网流量转发”节点将所在主机流量转发到探针节点,实现蜜网接入功能。由于“内网流量转发”节点功能唯一,仅仅包括流量转发功能,可以通过最基本的socket技术实现,不需要额外的组件依赖。
附图说明
图1为通用的蜜网系统架构图;
图2为本发明中的蜜网系统架构图;
图3为本发明中内网流量转发的接入方式。
具体实施方式
如图1所示,对于通用的蜜网系统而言,其云端蜜网系统包括“蜜网代理”、“管理”、“蜜场”三个模块。所有蜜罐部署在蜜场,由管理模块统一管理。外部局域网通过在需要被检测的主机上部署“蜜网探针”,通过蜜网代理模块将具体某台主机接入蜜网系统。如果需要检测多台主机,则需要部署多个蜜网探针。因此,蜜网探针部署依赖性强,不适合局域网内大多数的个人电脑、办公电脑快速部署,局域网内检测覆盖面低。
而本发明旨在提出一种基于流量转发的局域网高覆盖检测的蜜网系统,通过在蜜网探针前,增加一层零依赖、可快速运行的“内网流量转发”节点,实现局域网内高覆盖检测的需求。由“内网流量转发”节点将所在主机流量转发到探针节点,实现蜜网接入功能。由于“内网流量转发”节点功能唯一,仅仅包括流量转发功能,可以通过最基本的socket技术实现,不需要额外的组件依赖。因此,可以将内网流量转发节点打包为“内网流量转发”可执行文件。用户通过双击或者bash命令,即可在个人电脑或者办公电脑上快速运行“内网流量转发”程序,实现局域网内检测高覆盖需求。与通用的蜜网系统方案相比,本发明提出的蜜网系统方案具有“局域网高覆盖检测”、“蜜网探针不依赖业务所在主机部署”、“一个局域网中只需要部署一个蜜网探针”等优势。增加蜜网检测覆盖面的同时,有效降低了蜜网系统对真实业务的影响。
具体实现上,本发明中的蜜网系统在云端需要实现三个基本模块:“蜜场”,“蜜网代理模块”,“管理模块”。另外,需要为客户端提供两个基本模块:“蜜网探针”、“内网流量转发程序”。在云端各种蜜罐统一部署,形成“蜜场”。管理模块实质上是一个web系统,通过管理模块,用户可以配置探针、蜜罐属性等,也可以通过管理模块下载“探针”、“内网流量转发”程序等。在云端,管理模块对蜜场进行统一管理,同时接收蜜罐日志,显示在web页面上,并将用户在web页面的配置信息下发给“蜜网代理模块”。“蜜网代理模块”接收“蜜网探针”流量,并将流量转发到蜜场中对应的蜜罐内,完成外部网络对蜜场中蜜罐的请求访问。“蜜罐代理模块”同时需要接收“蜜网探针”的配置请求和心跳上传,如果是配置请求,下发配置到对应探针节点,如果是心跳上传,转发心跳包到管理模块。
可以看出,本发明中的蜜网系统在云端实现上与传统蜜网系统基本相同,主要不同的地方在于外部局域网接入蜜网系统的方式。传统蜜网系统通过“蜜网探针”接入的是具体某台部署了“蜜网探针”的主机,而本发明的蜜网系统通过“蜜网探针”接入整个局域网,具体主机通过运行“内网流量转发”程序接入蜜网系统。通过“内网流量转发”的方式接入蜜网系统,有效的减少同一个局域网内蜜网探针的个数,并且可以突破蜜网探针节点需要部署在被保护业务主机上的限制,从而减少蜜网系统对真实业务的影响。
“内网流量转发”程序运行在“蜜网探针”前,通过基于socket的流量转发技术,将所在主机流量转发至探针,如图3所示,从而实现主机接入蜜网系统。
下面以一个具体的流程说明本发明中的蜜网系统的部署实现方案:
步骤1:制作蜜罐:
根据需求制作各种类型蜜罐,如ftp蜜罐、mysql蜜罐、telnet蜜罐等。
步骤2:部署蜜罐到蜜场:
在蜜网中统一服务主机上部署所有蜜罐,形成蜜场。
步骤3:制作“蜜网代理模块”并部署:
代理模块主要功能包括流量转发、配置下发、心跳接收等。代理模块接收蜜网探针流量,转发至蜜场中对应蜜罐。代理模块从“管理模块”获取蜜网探针配置,包括端口监听、停止、重启等配置信息,提供给蜜网探针定时拉取。代理模块接收蜜网探针心跳包,发送至管理模块,用于监控管理已部署蜜网探针。
步骤4:制作“管理模块”并部署:
管理模块提供一个web页面用于与用户进行交互、日志展示等。在web页面上用户可下载“内网流量转发”程序、“蜜网探针”部署包。
步骤5:蜜网探针部署:
用户登录管理系统后,下载“蜜网探针”包,在需要接入蜜网系统的局域网中,选择一台主机部署蜜网探针,完成局域网接入蜜网系统。
步骤6:下载并运行“内网流量转发”程序:
用户登录管理系统,下载“内网流量转发”程序。在局域网中任何主机上均可快速运行“内网流量转发”程序,实现局域网中具体某台主机接入蜜网系统。
步骤7:至此,高覆盖蜜网系统以及局域网接入流程完成。
Claims (4)
1.一种基于流量转发的局域网高覆盖检测的蜜网系统,包括云端蜜网系统和局域网部分;
其特征在于,所述局域网部分包括处于同一局域网的多个主机,其中一个主机上部署有蜜网探针,各个主机上均设置有内网流量转发模块;所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上,通过所述蜜网探针接入云端蜜网系统;
所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块;所述蜜场中部署有多种类型蜜罐,由管理模块统一管理,所述蜜网代理模块用于接收蜜网探针流量,并将流量转发到蜜场中对应的蜜罐内,完成外部网络对蜜场中蜜罐的请求访问。
2.如权利要求1所述的一种基于流量转发的局域网高覆盖检测的蜜网系统,其特征在于,
所述蜜网代理模块还用于接收蜜网探针的配置请求,将相关配置下发到对应蜜网探针以及用于接收蜜网探针的心跳上传,将心跳包转发到管理模块。
3.如权利要求1所述的一种基于流量转发的局域网高覆盖检测的蜜网系统,其特征在于,内网流量转发模块通过socket数据传输将对应主机的流量转发到局域网中的蜜网探针。
4.如权利要求1所述的一种基于流量转发的局域网高覆盖检测的蜜网系统,其特征在于,
所述内网流量转发模块采用通用的python编程语言实现,再利用pyinstaller打包技术将其打包为可执行文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011190171.7A CN112291247A (zh) | 2020-10-30 | 2020-10-30 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011190171.7A CN112291247A (zh) | 2020-10-30 | 2020-10-30 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112291247A true CN112291247A (zh) | 2021-01-29 |
Family
ID=74354117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011190171.7A Pending CN112291247A (zh) | 2020-10-30 | 2020-10-30 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112291247A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
-
2020
- 2020-10-30 CN CN202011190171.7A patent/CN112291247A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN111083117A (zh) * | 2019-11-22 | 2020-04-28 | 上海交通大学 | 一种基于蜜罐的僵尸网络的追踪溯源系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113992368A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN113992368B (zh) * | 2021-10-18 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种基于定向引流的蜜罐集群检测方法及系统 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
| CN114338203B (zh) * | 2021-12-31 | 2023-10-03 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750653B2 (en) | Network intrusion counter-intelligence | |
| US10831470B2 (en) | Simulating a topology of network elements | |
| US11297077B2 (en) | Gain customer trust with early engagement through visualization and data driven configuration | |
| CN110247784B (zh) | 确定网络拓扑结构的方法和装置 | |
| US20220046046A1 (en) | Systems and methods for detecting hidden vulnerabilities in enterprise networks | |
| US10805153B2 (en) | Provisioning network devices using a vendor-neutral platform | |
| US11363068B2 (en) | Method and system for providing a complete traceability of changes incurred in a security policy | |
| CN102025735B (zh) | 基于防御策略的Linux分布式网络防火墙系统 | |
| CN112291247A (zh) | 一种基于流量转发的局域网高覆盖检测的蜜网系统 | |
| CN104125243A (zh) | 一种穿透内网远程连接大规模虚拟机的方法 | |
| CN109951325A (zh) | 一种网络线缆连接检查方法和装置 | |
| CA2931098A1 (en) | Determination of a suitable target for an initiator by a control plane processor | |
| US11979281B2 (en) | Concurrent transactions on NETCONF devices across network services | |
| US11895156B2 (en) | Securing network resources from known threats | |
| Fan et al. | Versatile virtual honeynet management framework | |
| CN115914369A (zh) | 网络靶场日志文件采集代理网关、采集系统及方法 | |
| CN112817693A (zh) | 一种用于函数计算服务的安全容器系统 | |
| WO2015196694A1 (zh) | 单板日志信息的存储方法及系统 | |
| Bruno et al. | Grendel: Bare metal provisioning system for high performance computing | |
| CN116582424B (zh) | 交换机配置方法、装置、存储介质及电子设备 | |
| US20230300141A1 (en) | Network security management method and computer device | |
| Ciaschini et al. | Dynfarm: A Dynamic Site Extension | |
| EP3338197A1 (en) | Computer network modeling | |
| Dell | RackHD Documentation | |
| Amir | Orchestration and Performance Evaluation of 5G-based Drone Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210129 |