CN112367307B - 一种基于容器级蜜罐群的入侵检测方法及系统 - Google Patents
一种基于容器级蜜罐群的入侵检测方法及系统 Download PDFInfo
- Publication number
- CN112367307B CN112367307B CN202011162834.4A CN202011162834A CN112367307B CN 112367307 B CN112367307 B CN 112367307B CN 202011162834 A CN202011162834 A CN 202011162834A CN 112367307 B CN112367307 B CN 112367307B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- honey pot
- data
- intrusion detection
- honey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,本发明公开了一种基于容器级蜜罐群的入侵检测方法及系统,包括场景构建模块、数据采集模块、规则引擎模块和态势展现模块。一种基于容器级蜜罐群的入侵检测方法,包括以下步骤:获取蜜罐元素并构建网络拓扑搭建符合真实环境的蜜罐群。蜜罐元素中部署数据采集探针,采集蜜罐群数据信息。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析。获取分析结果信息,并进行态势综合呈现。本发明构造逼真的蜜罐群,迷惑攻击人员,并能够更为有效的获悉攻击人员的攻击行为方式,搜集更多的信息,能够对根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于容器级蜜罐群的入侵检测方法及系统。
背景技术
蜜网又可称为诱捕网络,蜜罐技术实质上是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。与传统的蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,可以包含一个或多个蜜罐,同时保证网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。这其中,蜜罐的机制设计与实际应用一直受到安全研究人员的关注。
然而,目前的高交互蜜罐能够吸引更深层次的攻击,但是存在着部署风险高、部署配置复杂等缺点;低交互蜜罐虽然能够快速部署,但却只是对攻击请求进行简单回应。并且现阶段主要采用的欺骗技术,侧重于协议栈欺骗角度,缺乏策略层面的欺骗研究和技术方案。
发明内容
本发明的实施例提供一种基于容器级蜜罐群的入侵检测方法及系统,能够根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明的实施例提供的方法,包括:
步骤S1,通过Docker镜像进行模拟,得到蜜罐元素;
步骤S2,根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群;
步骤S3,在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息;
步骤S4,对采集到的数据信息进行入侵检测分析;
步骤S5,将所获取的分析结果,显示在可视化界面中。
第二方面,本发明的实施例提供的系统,包括:场景构建模块(1)、数据采集模块(2)、规则引擎模块(3)、态势展现模块(4)和镜像管理模块(6),其中:
镜像管理模块(6),用于通过Docker镜像进行模拟,得到蜜罐元素;
场景构建模块(1),用于根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群;
数据采集模块(2),用于在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息;
规则引擎模块(3),用于对采集到的数据信息进行入侵检测分析;
态势展现模块(4),用于将所获取的分析结果,显示在可视化界面中。
本实施例基于容器级蜜罐群的入侵检测,通过场景构建模块、数据采集模块、规则引擎模块和态势展现模块,实现获取蜜罐元素并构建网络拓扑搭建符合真实环境的蜜罐群。蜜罐元素中部署数据采集探针,采集蜜罐群数据信息。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析。获取分析结果信息,并进行态势综合呈现,实现利用多个蜜罐,仿照真实的系统运行环境和拓扑结构,构造逼真的蜜罐群,迷惑攻击人员,并能够更为有效的获悉攻击人员的攻击行为方式,搜集更多的信息,从而帮助安全管理人员对攻击人员的来源和手段进行分析,能够对根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的基于容器级蜜罐群的入侵检测系统的原理框图;
图2为本发明实施例提供的基于容器级蜜罐群的入侵检测系统的组成示意图;
图3为本发明实施例提供的基于容器级蜜罐群的入侵检测系统的镜像管理界面示意图;
图4为本发明实施例提供的基于容器级蜜罐群的入侵检测系统的场景构建功能的创建拓扑流程图;
图5为本发明实施例提供的基于容器级蜜罐群的入侵检测方法的数据采集流程示意图;
图6为本发明实施例提供的基于容器级蜜罐群的入侵检测方法的态势展示示意图;
图7为本发明实施例提供的基于容器级蜜罐群的入侵检测方法的流程示意图;
图中标号分别表示:
1、场景构建模块;2、数据采集模块;3、规则引擎模块;4、态势展现模块;5、系统支持模块;6、镜像管理模块。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。下文中将详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
本发明实施例提供一种基于容器级蜜罐群的入侵检测方法,如图7所示,包括:
步骤S1,通过Docker镜像进行模拟,得到蜜罐元素。
具体的,所述步骤S1包括:至少两个Docker镜像分别进行实例化,并各自模拟蜜罐元素,所述蜜罐元素的类型至少包括:工控蜜罐、Mysql数据库蜜罐和NTP蜜罐。利用模拟得到的蜜罐元素组成Docker镜像模板并记录。
步骤S2,根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群。
步骤S3,在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息。
步骤S4,对采集到的数据信息进行入侵检测分析。
步骤S5,将所获取的分析结果,显示在可视化界面中。
在目前的技术方案中,低交互蜜罐一般基于Docker服务,提供基础交互功能用于网络异常行为预警,它简单并易于维护,风险比较有限,但受到Docker容器技术本身限制,交互能力不足。高交互蜜罐一般基于虚拟机实现为用户提供一个完整可交互的系统,用户可以全面观察攻击者的操作行为。但虚拟机往往需要用户提前搭建,可定制能力不足。
针对目前的问题,本实施例的改进在于:镜像管理功能综合上述基于Docker的低交互蜜罐和基于虚拟机的高交互蜜罐的优势和局限性,对现有技术进行改进,提出基于Docker技术实现自定义各种类型的蜜罐元素,并可以进行统一管理的多蜜罐技术。蜜罐元素管理功能提供一系列内置的Docker镜像,每一个Docker镜像在进行实例化后模拟一种蜜罐容器(即模拟出的蜜罐容器即蜜罐元素),如工控蜜罐、Mysql数据库蜜罐、NTP蜜罐等。蜜罐管理界面如图3所示,通过灵活的组合多个Docker蜜罐容器形成一组Docker镜像模板,使得蜜罐系统能同时具备上述服务等多种能力。对于攻击者的诱惑能力也更强。通过组合多个这样的蜜罐,搭建一个蜜罐集群,使得集群有能力模拟一个完整的业务网络环境。通过利用多个蜜罐,仿照真实的系统运行环境和拓扑结构,构造逼真的蜜罐群,迷惑攻击人员,并能够更为有效的获悉攻击人员的攻击行为方式,搜集更多的信息,从而帮助安全管理人员对攻击人员的来源和手段进行分析,能够对根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略,以克服现有相关技术存在的问题。
本实施例中,所述步骤S2包括:
根据用户在所述可视化界面上的操作,选择Docker镜像模板。根据所述Docker镜像模板将所获取的蜜罐元素添加到网络拓扑中,得到所述蜜罐群。进一步的,在进行网络拓扑之前,还包括:通过回溯法验证所述网络拓扑的结构和网络节点属性。并排除存在环状结构的网络拓扑。具体的,场景构建功能的核心是蜜罐群管理中心,蜜罐群管理中心的主要功能是提供可供操作的Web界面,允许用户自定义搭建蜜罐网络拓扑,并能够根据需要设置蜜罐的各种属性,包括:蜜罐操作系统、开启端口号、开启网络服务、蜜罐IP地址等。每个蜜罐节点都是一个单独的Linux系统,负责模拟一种服务,用户可以对每个蜜罐节点参数进行设置。其中,所述网络节点属性包括:蜜罐操作系统、蜜罐开启的端口号及服务、蜜罐IP地址,实际应用中需要验证这些是否符合默认规则,避免出现用户误填写。
用户可在界面上通过拖拽的方式选定系统内置的Docker镜像,添加到网络拓扑中,拓扑保存前通过回溯法对网络拓扑结构和属性进行验证,具体的,在蜜罐网络拓扑中需要排除环状结构。检查蜜罐网络拓扑中是否有环状结构,并对网络拓扑的蜜罐节点属性、流量走向、拓扑合理性进行预判,保证网络拓扑正确性。创建拓扑的流程图如图4所示。
蜜罐群管理中心根据用户搭建的网络拓扑,创建蜜罐集群并由用户开启监听,这一过程步骤如下:
1)根据用户在部署蜜罐节点时,在界面上创建的网络拓扑生成对应的Honeyd语法的配置文件,该配置文件包含蜜罐的基本参数及蜜罐之间的连接信息。
2)将生成的配置文件传入蜜罐宿主机,通过Docker镜像实例化创建蜜罐拓扑,实现真实环境仿真。
3)开启数据采集,对检测网络流量和蜜罐告警、入侵检测、网络流量等日志进行收集,根据获取到的信息进行解析、筛选等预处理,过滤部分正常数据或者本地网络通信数据等,挑选出入侵相关的部分信息,如入侵IP地址、端口号、网络数据交换规则、系统版本等。
4)开启关联分析,对预处理后的数据进行入侵检测分析,基于特征和异常检测对蜜罐捕获到的网络流量进行规则挖掘,提取网络流量中的隐藏行为规则,并存储到规则库中,供异常检测功能学习。
5)最后,通过建立Web Socket将解析结果和捕获的攻击信息详情实时显示在态势展示界面上。
本实施例中,所述步骤S3包括:
通过Logstash数据收集处理引擎,接受所述蜜罐群所在的服务器发送的日志信息,其中,数据采集探针至少包括了流量传感器和日志采集器,日志信息的格式为JSON格式。将采集到的日志信息进行预处理后,输出到Elasticsearch分布式搜索引擎中存储。其中,所述预处理可以包括:对日志信息进行解析、过滤分析、统一格式等操作
例如:如图5所示,通过在各蜜罐镜像中部署数据采集探针,可以在不被攻击者察觉的情况下,对输出日志信息和网络流量等信息进行采集,并能够在出现入侵攻击时进行告警。采集包括流量传感器和日志采集器两部分。本文的入侵检测系统提供可视化Web界面,能够对数据的采集策略进行灵活的配置,并支持自定义过滤规则库,用户可以在界面上对不同蜜罐元素定义不同的日志过滤规则和日志输出规则。数据采集基于Logstash数据收集处理引擎接受蜜罐服务器发来的日志信息,并对数据进行解析、过滤分析、统一格式。对于自定义的规则,系统将自动生成对应的Logstash配置文件。蜜罐数据采集后的结果将输出到Elasticsearch分布式搜索引擎中存储,为了便于统一管理,提高网络传输效率,蜜罐输出格式为JSON格式。
本实施例中,所述步骤S4包括:
获取日志信息之间的关联规则。从所获取的关联规则中,筛选出攻击关联规则和可疑网络行为数据。具体的,所述获取日志信息之间的关联规则,包括:
对于日志信息F,创建副本D,其中,日志信息F中记录的属性至少包括:协议、源IP地址、端口号、目标IP地址和端口号。根据各个属性的属性值进行事务计数,并丢弃低于期望阈值的1项集,得到只包含一个项的频繁项集C1,其中,1项集指的是1频繁项集,即一个只有一个元素的项集。
根据输入的最小支持度对所有C1进行统计,如果属性没有出现过,则加入到D当中,并且计数为1,如果D中存在该属性,则计数加1,得到1-频繁项集L1。对Lk-1进行自连接运算和剪枝,生成k-候选项集Dk,k为表示项集中的元素个数的动态变量,Lk-1表示频繁k-1项集。根据最小支持度从Dk中,得到频繁项集k-项集的集合Lk,并将不包含任何频繁项集的元素从F中删除。重复上述过程,直至Lk为空,其中,在重复迭代中k进行自增,“自增”指的是每一类迭代k都加一。本实施例中,支持度指的是几个关联的数据在数据集中出现的次数占总数据集的比重,最小支持度可以是在执行算法之前预先设定的,在每一次迭代过程后,大于支持度的项集被保留为频繁项集,最后生成的规则由最终的频繁项集组成。
之后,根据最小置信度,对生成的频繁项集L进行筛选,生成数据的强关联规则。其中,“最小置信度”是用户输入的参数,置信度体现了一个数据出现后,另一个数据出现的概率。需要说明的是,由于采用的是迭代算法,频繁项集L是最终生成的结果,前述的各种频繁项集是迭代中的变量,也是下一次迭代的输入值。具体的,对生成的频繁项集L进行筛选的过程中,筛选方式为剪枝策略,由于存在先验性质:任何非频繁的(k-1)项集都不是频繁k项集的子集。因此,如果一个候选k项集Ck的(k-1)项子集不在Lk-1中,则该候选也不可能是频繁的,从而可以从Ck中删除,获得压缩后的Ck。所生成的数据的强关联规则,大致可以理解为:先后关系,筛选在前,生成在后,一旦找出了频繁项集,就可以直接由它们产生强关联规则。
具体的,规则引擎模块通过支持多蜜罐数据的关联分析,异常检测,特征检测等进行入侵检测分析。关联分析引擎能够在大数据量级下,对数据进行关联分析,实时发现复杂的、更具价值的网络入侵事件。支持接入各种类型和维度的数据,并支持对输出结果进行回注分析。本系统对蜜罐数据采集后的结果的特定属性进行分析采用了改进的关联规则挖掘(Apriori)算法,找出不同行为日志信息之间的关联规则,从而发现并提取出攻击者的攻击行为的轮廓,获取有价值的攻击关联规则和可疑网络行为数据。
具体的,入侵检测分析可以包括:对数据信息进行关联分析、异常检测和特征检测等。异常检测基于用户活动是有规律的,而且这种规律是可以通过数据有效的描述和反映;入侵时异常活动和用户的正常活动有着可以描述的明显的区别。异常监测系统首先经过一个学习阶段,总结正常的行为的轮廓作为先验知识,系统运行时将信息采集子系统获得并预处理后的数据与正常行为模式比较,如果差异不超出预设阀值,则认为是正常的,出现较大差异即超过阀值则判定为入侵。特征检测通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击,其实现过程是:先收集非正常操作的行为特征,系统就认为这种行为是入侵。这种方法可以检测到许多甚至是全部已知的攻击行为,采用特征匹配模式能明显降低错报率。
在具体实施过程中,本文中的规则挖掘步骤过程可以描述为:
1.对于输入的可疑数据日志信息F,创建副本D。
2.如F包含协议、源IP地址、端口号、目标IP地址、端口号等属性,根据属性值进行事务计数,丢弃那些低于期望阈值的1项集,生成只包含一个项的频繁项集C1,根据输入的最小支持度对所有C1进行统计,如果数据没有出现过,则加入到D当中,并且计数为1,如果D中存在该数据,则计数加1,从而产生1-频繁项集L1。
3.对Lk-1进行自连接运算和剪枝,产生k-候选项集Dk。
4.根据最小支持度从Dk中产生频繁项集k-项集的集合Lk,将不包含任何频繁项集的元素从F中删除。
5.如果Lk不为空,那么k自增,然后从步骤4迭代执行,当候选频繁项集为空时停止迭代,执行步骤6。
6.根据最小置信度,对产生的频繁项集L进行筛选,生成数据的强关联规则。
本实施例中的关联分析功能首先经过一个学习阶段,总结正常的行为的轮廓成为自己的先验知识。当数据采集模块捕获到网络流量时,关联分析能够基于模式匹配将当前流量与规则库当中的规则进行对比。如果判定通过,该网络流量即为入侵攻击行为,进行告警并记录攻击者开展攻击的时间、来源请求、攻击方式、相关命令等数据。如果判定未通过,则说明该网络流量为正常数据。如果差异不超出预设阀值,则认为是正常的,超过阀值则判定为入侵或滥用。同时,本系统添加了自定义规则库,可以对自定义规则进行新增、修改、删除等功能。
进一步的,所述入侵检测分析,可以包括:对数据信息进行关联分析,还可以包括异常检测和特征检测等。
本实施例中通过Elasticsearch+Kibana+Logstash技术对蜜罐日志执行数据分析,并通过图形、表格化方式进行可视化态势展现。具体的,Logstash实现数据收集,Elasticsearch是一个分布式、高扩展、高实时的搜索与数据分析引擎,提供了文本索引、时间索引、相似度索引等强大的索引功能。通过Elasticsearch存储蜜罐日志。如图6所示,Kibana是一个开源的分析和可视化平台,提供了搜索、查看和与存储在Elasticsearch索引中的蜜罐日志信息进行交互的功能,需要说明的是,图6想要展示的仅是一种可视化界面的显示效果,仅作为一种掩饰人机交互功能的界面示意图,而图6中的具体字符、代码及文字等,其实是可以忽略的,即不影响其效果的展示。
进一步的,本实施还提供一种基于容器级蜜罐群的入侵检测系统,如图1-图5所示,包括场景构建模块1、数据采集模块2、规则引擎模块3、态势展现模块4和镜像管理模块6,其中:
镜像管理模块6,用于通过Docker镜像进行模拟,得到蜜罐元素。还用于蜜罐元素管理并对构建网络拓扑进行增删改查。
场景构建模块1,用于根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群。蜜罐元素构建网络拓扑搭建符合真实环境的蜜罐群。
数据采集模块2,用于在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息。蜜罐元素中部署数据采集探针,采集所述场景构建模块1数据信息。
规则引擎模块3,用于对采集到的数据信息进行入侵检测分析。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析,其中,包括关联分析,关联分析,用于分析多个蜜罐日志的关联性,通过支持多蜜罐数据的关联分析异常检测,特征检测进行入侵检测分析。其中,所述规则引擎,包括Elasticsearch数据索引集群、Logstash数据收集处理引擎。
态势展现模块4,用于将所获取的分析结果,显示在可视化界面中。获取分析结果信息,并进行态势综合呈现。
本实施例中,通过场景构建模块1、数据采集模块2、规则引擎模块3和态势展现模块4,实现利用多个蜜罐,仿照真实的系统运行环境和拓扑结构,构造逼真的蜜罐群,迷惑攻击人员,并能够更为有效的获悉攻击人员的攻击行为方式,搜集更多的信息,从而帮助安全管理人员对攻击人员的来源和手段进行分析,能够对根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略。
系统支持模块5,用于为所述系统提供容器、虚拟网络和服务支持。
规则引擎模块3,具体用于分析多个蜜罐群的日志信息的关联性。通过支持多蜜罐数据的关联分析异常检测,特征检测进行入侵检测分析。
本实施例基于容器级蜜罐群的入侵检测系统及方法,通过场景构建模块、数据采集模块、规则引擎模块和态势展现模块,实现获取蜜罐元素并构建网络拓扑搭建符合真实环境的蜜罐群。蜜罐元素中部署数据采集探针,采集蜜罐群数据信息。搭建规则引擎并进行对采集到的数据信息进行入侵检测分析。获取分析结果信息,并进行态势综合呈现,实现利用多个蜜罐,仿照真实的系统运行环境和拓扑结构,构造逼真的蜜罐群,迷惑攻击人员,并能够更为有效的获悉攻击人员的攻击行为方式,搜集更多的信息,从而帮助安全管理人员对攻击人员的来源和手段进行分析,能够对根据不同需求动态构建蜜罐群属性,为保护真实系统提供更多有用的策略。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种基于容器级蜜罐群的入侵检测方法,其特征在于,包括:
步骤S1,通过Docker镜像进行模拟,得到蜜罐元素;
步骤S2,根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群;
步骤S3,在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息;
步骤S4,对采集到的数据信息进行入侵检测分析;
步骤S5,将所获取的分析结果,显示在可视化界面中;
所述步骤S4包括:
获取日志信息之间的关联规则;
从所获取的关联规则中,筛选出攻击关联规则和可疑网络行为数据;
所述获取日志信息之间的关联规则,包括:
对于日志信息F,创建副本D,其中,日志信息F中记录的属性至少包括:协议、源IP地址、端口号、目标IP地址和端口号;
根据各个属性的属性值进行事务计数,并丢弃低于期望阈值的1项集,得到只包含一个项的频繁项集C1;
根据输入的最小支持度对所有C1进行统计,如果属性没有出现过,则加入到D当中,并且计数为1,如果D中存在该属性,则计数加1,得到1-频繁项集L1;
对Lk-1进行自连接运算和剪枝,生成k-候选项集Dk,k为表示项集中的元素个数的动态变量,Lk-1表示频繁k-1项集;
根据最小支持度从Dk中,得到频繁项集k-项集的集合Lk,并将不包含任何频繁项集的元素从F中删除;
重复上述过程,直至Lk为空,其中,在重复迭代中k进行自增;
根据最小置信度,对生成的频繁项集L进行筛选,生成数据的强关联规则。
2.根据权利要求1所述的方法,其特征在于,所述步骤S1包括:
至少两个Docker镜像分别进行实例化,并各自模拟蜜罐元素,所述蜜罐元素的类型至少包括:工控蜜罐、Mysql数据库蜜罐和NTP蜜罐;
利用模拟得到的蜜罐元素组成Docker镜像模板并记录。
3.根据权利要求1或2所述的方法,其特征在于,所述步骤S2包括:
根据用户在所述可视化界面上的操作,选择Docker镜像模板;
根据所述Docker镜像模板将所获取的蜜罐元素添加到网络拓扑中,得到所述蜜罐群。
4.根据权利要求3所述的方法,其特征在于,在进行网络拓扑之前,还包括:
通过回溯法验证所述网络拓扑的结构和网络节点属性;
并排除存在环状结构的网络拓扑。
5.根据权利要求1所述的方法,其特征在于,所述步骤S3包括:
通过Logstash数据收集处理引擎,接受所述蜜罐群所在的服务器发送的日志信息,其中,数据采集探针至少包括了流量传感器和日志采集器,日志信息的格式为JSON格式;
将采集到的日志信息进行预处理后,输出到Elasticsearch分布式搜索引擎中存储。
6.一种基于容器级蜜罐群的入侵检测系统,其特征在于,包括场景构建模块(1)、数据采集模块(2)、规则引擎模块(3)、态势展现模块(4)和镜像管理模块(6),其中:
镜像管理模块(6),用于通过Docker镜像进行模拟,得到蜜罐元素;
场景构建模块(1),用于根据所获取的蜜罐元素,进行网络拓扑并得到蜜罐群;
数据采集模块(2),用于在蜜罐元素中部署数据采集探针,并采集蜜罐群的数据信息;
规则引擎模块(3),用于对采集到的数据信息进行入侵检测分析;
态势展现模块(4),用于将所获取的分析结果,显示在可视化界面中;
规则引擎模块(3),具体用于对采集到的数据信息进行入侵检测分析;获取日志信息之间的关联规则;从所获取的关联规则中,筛选出攻击关联规则和可疑网络行为数据;所述获取日志信息之间的关联规则,包括:
对于日志信息F,创建副本D,其中,日志信息F中记录的属性至少包括:协议、源IP地址、端口号、目标IP地址和端口号;
根据各个属性的属性值进行事务计数,并丢弃低于期望阈值的1项集,得到只包含一个项的频繁项集C1;
根据输入的最小支持度对所有C1进行统计,如果属性没有出现过,则加入到D当中,并且计数为1,如果D中存在该属性,则计数加1,得到1-频繁项集L1;
对Lk-1进行自连接运算和剪枝,生成k-候选项集Dk,k为表示项集中的元素个数的动态变量,Lk-1表示频繁k-1项集;
根据最小支持度从Dk中,得到频繁项集k-项集的集合Lk,并将不包含任何频繁项集的元素从F中删除;
重复上述过程,直至Lk为空,其中,在重复迭代中k进行自增;
根据最小置信度,对生成的频繁项集L进行筛选,生成数据的强关联规则。
7.根据权利要求6所述的系统,其特征在于,还包括:系统支持模块(5),用于为所述系统提供容器、虚拟网络和服务支持。
8.根据权利要求6所述的系统,其特征在于,规则引擎模块(3),具体用于分析多个蜜罐群的日志信息的关联性;
通过支持多蜜罐数据的关联分析异常检测,特征检测进行入侵检测分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011162834.4A CN112367307B (zh) | 2020-10-27 | 2020-10-27 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011162834.4A CN112367307B (zh) | 2020-10-27 | 2020-10-27 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112367307A CN112367307A (zh) | 2021-02-12 |
| CN112367307B true CN112367307B (zh) | 2023-05-23 |
Family
ID=74510651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011162834.4A Active CN112367307B (zh) | 2020-10-27 | 2020-10-27 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112367307B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113162948B (zh) * | 2021-05-12 | 2022-07-26 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐系统 |
| CN113645181B (zh) * | 2021-06-21 | 2023-07-28 | 上海电力大学 | 一种基于孤立森林的分布式规约攻击检测方法及系统 |
| CN114039761A (zh) * | 2021-11-04 | 2022-02-11 | 国家电网公司华中分部 | 一种基于蜜罐攻击告警的入侵检测规则生成方法与系统 |
| CN113965409A (zh) * | 2021-11-15 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种网络诱捕方法、装置、电子设备及存储介质 |
| CN114221815A (zh) * | 2021-12-16 | 2022-03-22 | 北京国腾创新科技有限公司 | 一种基于编排蜜网的入侵检测方法、存储介质及系统 |
| CN114915493B (zh) * | 2022-06-22 | 2024-05-28 | 云南电网有限责任公司 | 一种基于电力监控系统网络攻击的诱捕部署方法 |
| CN114978767A (zh) * | 2022-07-05 | 2022-08-30 | 云南电网有限责任公司 | 一种基于多源蜜罐的集中监控系统 |
| CN115296909B (zh) * | 2022-08-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 获得目标蜜罐系统的方法、装置、介质和攻击响应方法 |
| CN115589335B (zh) * | 2022-11-25 | 2023-04-21 | 北京微步在线科技有限公司 | 一种ntp分布式拒绝服务攻击的处理方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
-
2020
- 2020-10-27 CN CN202011162834.4A patent/CN112367307B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112367307A (zh) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| JP5038888B2 (ja) | ネットワーク・セキュリティ・システムにおけるパターン発見方法及びシステム | |
| CN112074834A (zh) | 用于运营技术系统的分析装置、方法、系统和存储介质 | |
| CN107979597A (zh) | 分布式扫描的内网资产管理方法、系统、设备及存储介质 | |
| EP3948604B1 (en) | Computer security | |
| CN113612763B (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
| CN112653582B (zh) | 基于贝叶斯攻击图的半被动工控网络安全分析工具及方法 | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| EP3948603B1 (en) | Pre-emptive computer security | |
| GB2582609A (en) | Pre-emptive computer security | |
| CN113938401A (zh) | 一种舰艇网络安全可视化系统 | |
| CN112685272B (zh) | 一种具备可解释性的用户行为异常检测方法 | |
| CN117155667A (zh) | 网络安全设备信息处理系统、方法、设备及存储介质 | |
| Ha et al. | Insider threat analysis using information-centric modeling | |
| CN117118761A (zh) | 一种贯穿智能汽车信息安全的纵深防御系统和方法 | |
| CN115065539B (zh) | 数据安全监测方法、装置、设备及存储介质 | |
| CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
| CN116248346A (zh) | 面向智慧城市的cps网络安全态势感知建立方法和系统 | |
| CN114900362A (zh) | 一种基于行为图和Weisfeiler Lehman算法的可扩展网络攻击检测方法 | |
| CN117061249B (zh) | 基于网络流量的入侵监控方法及系统 | |
| CN117768141A (zh) | 对抗网络入侵检测方法、装置、系统、计算机设备及介质 | |
| CN114499937A (zh) | 基于多手段深度探针及全方面安全态势感知方法及其系统 | |
| CN117743943A (zh) | 一种基于孪生图注意力网络的att&ck攻击技术识别方法和和装置 | |
| CN115168604A (zh) | 一种基于知识图谱的电力监控系统处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |