CN112350848A - 一种可视化动态蜜网自定义拓扑部署方法 - Google Patents
一种可视化动态蜜网自定义拓扑部署方法 Download PDFInfo
- Publication number
- CN112350848A CN112350848A CN202010528427.4A CN202010528427A CN112350848A CN 112350848 A CN112350848 A CN 112350848A CN 202010528427 A CN202010528427 A CN 202010528427A CN 112350848 A CN112350848 A CN 112350848A
- Authority
- CN
- China
- Prior art keywords
- topology
- honey net
- honey
- deployment
- net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种可视化动态蜜网自定义拓扑部署方法,通过可视化自定义绘制蜜网拓扑的搭建方式,减少搭建蜜网的复杂程度,提高搭建效率,方便维护,解决当前蜜网系统单个蜜罐逐个部署、蜜罐模板的选择类型单一,蜜罐服务应用和漏洞利用组合简单的问题。以及,通过可视化蜜网拓扑,使复杂蜜网拓扑更为直观,从全局上帮助安全人员实时掌握整体蜜网监控状况,减轻当前蜜网系统分析视图局限,攻击数据事件多难以分析的困扰。此外,通过动态的蜜网拓扑,可动态改变原本蜜网拓扑结构,实现更加复杂、多样化的攻击蜜网利用环境,提高蜜网真实程度。
Description
技术领域
本发明涉及计算机领域技术,尤其是指一种可视化动态蜜网自定义拓扑部署方法。
背景技术
随着网络规模不断扩大,计算机系统越来越高级,针对网络和计算机的威胁也不断增加,攻击方随时随地都可以利用计算机和网络进行攻击,攻击手段层出不穷,攻击目标也不相同,而防守方传统的被动防御体系,如防病毒网关、防火墙、入侵检测等已经不能适应复杂多变的网络攻击,难以从根本上解决安全问题。
鉴于攻击方与防守方在网络安全事件中的不对等,防守方只要稍有疏忽,使攻击者突破防线,就极有可能使整个工作网络瘫痪或者使具有保密等级的重要信息被监听被盗取,造成不可挽回的损失。
蜜罐技术,是一种主动防御技术,它是一种期望被攻击的安全工具。通过部署一些主机、网络服务等诱骗攻击者进行攻击,从而捕获攻击行为,分析攻击策略方法以及攻击目标,以此增强生产网络安全防护能力。蜜罐根据交互水平的不同可以分为低交互蜜罐和高交互蜜罐。低交互蜜罐并不是一个真实的操作系统,只是模拟部分功能,高交互蜜罐一般是实际的操作系统,可以与攻击者有更多的交互信息。
蜜网技术,则是将不同交互层次和种类的蜜罐组合成网络,实现更加复杂、多样化的攻击利用环境。根据内网环境进行自定义构建,模拟真实的内网架构、业务应用、业务数据等环境,给攻击者展现一个真实的内网场景,以此达到最佳的诱捕效果。
然而,目前的蜜网系统存在以下缺陷:
1、部署麻烦选择单一:
在现有的蜜网系统中,蜜网的部署还停留在单个蜜罐逐个部署的阶段。蜜罐模板的选择类型单一,蜜罐服务应用和漏洞利用组合简单。一套庞大复杂仿真的动态蜜网的搭建,要求搭建者拥有专业的信息技术知识和网络安全渗透能力,才能完成在蜜网的真实主机蜜罐中部署不同的服务应用和放置各种软件漏洞等部署工作。
2、维护麻烦管理费时:
除此之外,蜜网部署好后,由各个蜜罐组成的蜜网的维护和管理工作也需要耗费大量时间。错综复杂的蜜网环境中,不仅有虚拟化蜜罐,还有真实主机蜜罐,真正的维护过程中,每个网络单元都需要进行独立的管理和配置。
3、蜜网简单易被识破:
现有的蜜网逻辑拓扑结构过于简单,往往是星型结构同网段的网络单元。而蜜网之间的蜜罐往往是独立的,静态的,当攻击者发现网络中没有动态的信息流或者拓扑结构一成不变时,从而识别出虚拟操作系统软件的指纹为蜜罐,识别出是蜜网时,就会避开蜜网,甚至会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员,此时蜜网就会失效甚至可能成为安全威胁。
4、视图局限难以分析:
安全人员在使用蜜网监测攻击者攻击系统的过程中,可以发现包括攻击者利用的漏洞、使用的工具以及攻击的手段。这种方式只针对蜜罐的攻击行为进行监视和分析,未对蜜网拓扑中蜜罐之间的联系进行威胁分析。所捕获到的攻击信息仅以单条攻击事件进行展示,整体蜜网安全视图较为有限,想要进行关联分析往往需要面对千万级别的数据,攻击者的攻击路径也很难定位,不能对整个网络进行监控。
因此,有必要研究一种方案以解决上述问题。
发明内容
有鉴于此,本发明针对现有技术存在之缺失,其主要目的是提供一种可视化动态蜜网自定义拓扑部署方法,其能有效解决目前的蜜网系统存在部署麻烦选择单一、维护麻烦管理费时、蜜网简单易被识破、视图局限难以分析的问题。
为实现上述目的,本发明采用如下之技术方案:
一种可视化动态蜜网自定义拓扑部署方法,包括有以下步骤:
(1)通过手动绘制、数据导入或图片导入的方式将拓扑输入到蜜网拓扑自定义编辑页面;
(2)由蜜网拓扑自定义编辑页面从步骤(1)获取的初步蜜网拓扑进行可视化展示,通过页面选项的方式对蜜网拓扑进行配置,并进行应用漏洞选择和业务流量关联,生成最终蜜网拓扑;
(3)任务中间层获取步骤(2)中生成的蜜网拓扑数据,进行拓扑数据处理;
(4)获取步骤(3)的组合数据,通过任务管理模块,创建部署任务,下发部署任务;
(5)后端虚拟化层接收步骤(4)的部署任务,进行自定义的蜜网部署。
优选的,所述步骤(1)中手动绘制导入方式,是指基于jQuery实现的手动拖动网络单元控件进入拓扑画布生成初步的蜜网拓扑。
优选的,所述步骤(1)中数据导入方式,是指导入Json、txt或xml格式的参数文件生成初步的蜜网拓扑。
优选的,所述步骤(1)中图片导入方式,是指导入图片文件,通过识别,生成初步的蜜网拓扑,图片文件类型为bmp、jpg、png或tif。
优选的,所述步骤(2)中蜜网拓扑配置是指,将蜜网拓扑中网络单元进行参数配置,网络单元包含路由器、防火墙、交换机、低交互蜜罐、高交互蜜罐,参数配置包含IP网段、IP地址、网关、掩码、防火墙规则target、prot、action、来源IP、目标IP、来源端口、目标端口、主机名、账号、密码。
优选的,所述步骤(2)中应用漏洞选择是指,对蜜罐网络单元选择安装的应用服务漏洞;这里的应用服务包含php、apache2、mysql、wordpress、sitestar、metinfo、weblogic、jboss、struts2、tomcat、git、gitlab、glassfish、jenkins、mongo、redis、rsync、zabbix、samba、vsftpd。
优选的,所述步骤(2)中业务流量关联是指,将步骤(2)中应用服务关联,通过定时备份、传输、访问手段产生动态业务数据流。
优选的,所述步骤(3)中数据处理是指,任务中间层获取到基于jQuery的拓扑数据,进行前端插件描绘出的数据进行组合。
优选的,所述步骤(4)中任务管理是指蜜网部署任务,包括任务的创建、任务的下发、任务状态监控。
优选的,所述步骤(5)中蜜网部署是指,蜜网拓扑空间的划分、网络单元生成、应用漏洞安装、蜜罐监控安装、数据链路连接、通信网络建立、动态流量部署、蜜网拓扑自检。
本发明与现有技术相比具有明显的优点和有益效果,具体而言,由上述技术方案可知:
通过可视化自定义绘制蜜网拓扑的搭建方式,减少搭建蜜网的复杂程度,提高搭建效率,方便维护,解决当前蜜网系统单个蜜罐逐个部署、蜜罐模板的选择类型单一,蜜罐服务应用和漏洞利用组合简单的问题。以及,通过可视化蜜网拓扑,使复杂蜜网拓扑更为直观,从全局上帮助安全人员实时掌握整体蜜网监控状况,减轻当前蜜网系统分析视图局限,攻击数据事件多难以分析的困扰。此外,通过动态的蜜网拓扑,可动态改变原本蜜网拓扑结构,实现更加复杂、多样化的攻击蜜网利用环境,提高蜜网真实程度。
附图说明
图1是本发明之较佳实施例的流程示意图。
具体实施方式
请参照图1所示,本发明揭示了一种可视化动态蜜网自定义拓扑部署方法,包括有以下步骤:
(1)通过手动绘制、数据导入或图片导入的方式将拓扑输入到蜜网拓扑自定义编辑页面。在本实施例中,手动绘制导入方式,是指基于jQuery实现的手动拖动网络单元控件进入拓扑画布生成初步的蜜网拓扑;中数据导入方式,是指导入包含但不限于Json、txt、xml等格式的参数文件生成初步的蜜网拓扑;图片导入方式,是指导入图片文件,通过识别,生成初步的蜜网拓扑,图片文件类型包含但不限于bmp、jpg、png、tif等。
(2)由蜜网拓扑自定义编辑页面从步骤(1)获取的初步蜜网拓扑进行可视化展示,通过页面选项的方式对蜜网拓扑进行配置,并进行应用漏洞选择和业务流量关联,生成最终蜜网拓扑。在本实施例中,蜜网拓扑配置是指,将蜜网拓扑中网络单元进行参数配置,网络单元包含但不限于路由器、防火墙、交换机、低交互蜜罐、高交互蜜罐,参数配置包含IP网段、IP地址、网关、掩码、防火墙规则target、prot、action、来源IP、目标IP、来源端口、目标端口、主机名、账号、密码等;应用漏洞选择是指,对蜜罐网络单元选择安装的应用服务漏洞;这里的应用服务包含但不限于php、apache2、mysql、wordpress、sitestar、metinfo、weblogic、jboss、struts2、tomcat、git、gitlab、glassfish、jenkins、mongo、redis、rsync、zabbix、samba、vsftpd等;业务流量关联是指,将步骤(2)中应用服务关联,通过定时备份、传输、访问等手段产生一些动态业务数据流。
(3)任务中间层获取步骤(2)中生成的蜜网拓扑数据,进行拓扑数据处理。在本实施例中,数据处理是指,任务中间层获取到基于jQuery的拓扑数据,进行前端插件描绘出的数据进行组合。
(4)获取步骤(3)的组合数据,通过任务管理模块,创建部署任务,下发部署任务。在本实施例中,任务管理是指蜜网部署任务,包括任务的创建、任务的下发、任务状态监控。
(5)后端虚拟化层接收步骤(4)的部署任务,进行自定义的蜜网部署。在本实施例中,蜜网部署是指,蜜网拓扑空间的划分、网络单元生成、应用漏洞安装、蜜罐监控安装、数据链路连接、通信网络建立、动态流量部署、蜜网拓扑自检。
本发明的设计重点是:通过可视化自定义绘制蜜网拓扑的搭建方式,减少搭建蜜网的复杂程度,提高搭建效率,方便维护,解决当前蜜网系统单个蜜罐逐个部署、蜜罐模板的选择类型单一,蜜罐服务应用和漏洞利用组合简单的问题。以及,通过可视化蜜网拓扑,使复杂蜜网拓扑更为直观,从全局上帮助安全人员实时掌握整体蜜网监控状况,减轻当前蜜网系统分析视图局限,攻击数据事件多难以分析的困扰。此外,通过动态的蜜网拓扑,可动态改变原本蜜网拓扑结构,实现更加复杂、多样化的攻击蜜网利用环境,提高蜜网真实程度。
以上结合具体实施例描述了本发明的技术原理。这些描述只是为了解释本发明的原理,而不能以任何方式解释为对本发明保护范围的限制。基于此处的解释,本领域的技术人员不需要付出创造性的劳动即可联想到本发明的其它具体实施方式,这些方式都将落入本发明的保护范围之内。
Claims (10)
1.一种可视化动态蜜网自定义拓扑部署方法,其特征在于:包括有以下步骤:
(1)通过手动绘制、数据导入或图片导入的方式将拓扑输入到蜜网拓扑自定义编辑页面;
(2)由蜜网拓扑自定义编辑页面从步骤(1)获取的初步蜜网拓扑进行可视化展示,通过页面选项的方式对蜜网拓扑进行配置,并进行应用漏洞选择和业务流量关联,生成最终蜜网拓扑;
(3)任务中间层获取步骤(2)中生成的蜜网拓扑数据,进行拓扑数据处理;
(4)获取步骤(3)的组合数据,通过任务管理模块,创建部署任务,下发部署任务;
(5)后端虚拟化层接收步骤(4)的部署任务,进行自定义的蜜网部署。
2.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(1)中手动绘制导入方式,是指基于jQuery实现的手动拖动网络单元控件进入拓扑画布生成初步的蜜网拓扑。
3.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(1)中数据导入方式,是指导入Json、txt或xml格式的参数文件生成初步的蜜网拓扑。
4.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(1)中图片导入方式,是指导入图片文件,通过识别,生成初步的蜜网拓扑,图片文件类型为bmp、jpg、png或tif。
5.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(2)中蜜网拓扑配置是指,将蜜网拓扑中网络单元进行参数配置,网络单元包含路由器、防火墙、交换机、低交互蜜罐、高交互蜜罐,参数配置包含IP网段、IP地址、网关、掩码、防火墙规则target、prot、action、来源IP、目标IP、来源端口、目标端口、主机名、账号、密码。
6.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(2)中应用漏洞选择是指,对蜜罐网络单元选择安装的应用服务漏洞;这里的应用服务包含php、apache2、mysql、wordpress、sitestar、metinfo、weblogic、jboss、struts2、tomcat、git、gitlab、glassfish、jenkins、mongo、redis、rsync、zabbix、samba、vsftpd。
7.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(2)中业务流量关联是指,将步骤(2)中应用服务关联,通过定时备份、传输、访问手段产生动态业务数据流。
8.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(3)中数据处理是指,任务中间层获取到基于jQuery的拓扑数据,进行前端插件描绘出的数据进行组合。
9.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(4)中任务管理是指蜜网部署任务,包括任务的创建、任务的下发、任务状态监控。
10.如权利要求1所述的可视化动态蜜网自定义拓扑部署方法,其特征在于:所述步骤(5)中蜜网部署是指,蜜网拓扑空间的划分、网络单元生成、应用漏洞安装、蜜罐监控安装、数据链路连接、通信网络建立、动态流量部署、蜜网拓扑自检。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010528427.4A CN112350848B (zh) | 2020-06-11 | 2020-06-11 | 一种可视化动态蜜网自定义拓扑部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010528427.4A CN112350848B (zh) | 2020-06-11 | 2020-06-11 | 一种可视化动态蜜网自定义拓扑部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112350848A true CN112350848A (zh) | 2021-02-09 |
CN112350848B CN112350848B (zh) | 2021-09-21 |
Family
ID=74358226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010528427.4A Active CN112350848B (zh) | 2020-06-11 | 2020-06-11 | 一种可视化动态蜜网自定义拓扑部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112350848B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150156A (zh) * | 2022-06-30 | 2022-10-04 | 中国电信股份有限公司 | 蜜罐的实现方法、装置和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
CN108199871A (zh) * | 2017-12-28 | 2018-06-22 | 广州锦行网络科技有限公司 | 基于虚拟化技术的动态蜜网环境部署实现系统及方法 |
US20190132360A1 (en) * | 2017-11-02 | 2019-05-02 | Korea Advanced Institute Of Science And Technology | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network |
CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
-
2020
- 2020-06-11 CN CN202010528427.4A patent/CN112350848B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
US20190132360A1 (en) * | 2017-11-02 | 2019-05-02 | Korea Advanced Institute Of Science And Technology | Honeynet method, system and computer program for mitigating link flooding attacks of software defined network |
CN108199871A (zh) * | 2017-12-28 | 2018-06-22 | 广州锦行网络科技有限公司 | 基于虚拟化技术的动态蜜网环境部署实现系统及方法 |
CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150156A (zh) * | 2022-06-30 | 2022-10-04 | 中国电信股份有限公司 | 蜜罐的实现方法、装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112350848B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moustafa et al. | Federated TON_IoT Windows datasets for evaluating AI-based security applications | |
CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
EP3535657B1 (en) | Extracting encryption metadata and terminating malicious connections using machine learning | |
CN110113350B (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
US8898784B1 (en) | Device for and method of computer intrusion anticipation, detection, and remediation | |
US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
US11223643B2 (en) | Managing a segmentation policy based on attack pattern detection | |
KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
CN106797378B (zh) | 用于控制通信网络的装置和方法 | |
US11425150B1 (en) | Lateral movement visualization for intrusion detection and remediation | |
CN112350848B (zh) | 一种可视化动态蜜网自定义拓扑部署方法 | |
Saputro et al. | Medium interaction honeypot infrastructure on the internet of things | |
Toker et al. | Mitre ics attack simulation and detection on ethercat based drinking water system | |
AbuEmera et al. | Security framework for identifying threats in smart manufacturing systems using STRIDE approach | |
Kumar et al. | Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems | |
Lupton et al. | Analysis and prevention of security vulnerabilities in a smart city | |
Grigoriou et al. | Protecting IEC 60870-5-104 ICS/SCADA systems with honeypots | |
JP5307238B2 (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
Haney et al. | A framework for the design and deployment of a scada honeynet | |
CN115694982B (zh) | 网络攻防虚拟仿真系统 | |
JP2018098727A (ja) | サービスシステム、通信プログラム、及び通信方法 | |
Urias et al. | On the feasibility of generating deception environments for industrial control systems | |
Masera et al. | Security assessment of a turbo-gas power plant | |
Saeed et al. | SDN/NFV Enabled Security for an Enterprise Network using Commodity Hardware | |
Tupakula et al. | Software Enabled Security Architecture for Counteracting Attacks in Control Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Visualized Dynamic Honeynet Custom Topology Deployment Method Effective date of registration: 20221219 Granted publication date: 20210921 Pledgee: CITIC Bank Co.,Ltd. Guangzhou Branch Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd. Registration number: Y2022440000334 |
|
PE01 | Entry into force of the registration of the contract for pledge of patent right |