CN112367315B - 一种内生安全waf蜜罐部署方法 - Google Patents

一种内生安全waf蜜罐部署方法 Download PDF

Info

Publication number
CN112367315B
CN112367315B CN202011212310.1A CN202011212310A CN112367315B CN 112367315 B CN112367315 B CN 112367315B CN 202011212310 A CN202011212310 A CN 202011212310A CN 112367315 B CN112367315 B CN 112367315B
Authority
CN
China
Prior art keywords
attack
honeypot
attacker
data
waf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011212310.1A
Other languages
English (en)
Other versions
CN112367315A (zh
Inventor
陈双喜
吴春明
王文海
蔡晶晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang University ZJU
Original Assignee
Zhejiang University ZJU
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang University ZJU filed Critical Zhejiang University ZJU
Priority to CN202011212310.1A priority Critical patent/CN112367315B/zh
Publication of CN112367315A publication Critical patent/CN112367315A/zh
Application granted granted Critical
Publication of CN112367315B publication Critical patent/CN112367315B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种内生安全WAF蜜罐部署方法,在拟态WAF的服务器架构中,当异构体表决算法判断出异常流量时,不拒绝访问此流量,而使其访问相应蜜罐,误导攻击者并在蜜罐中收集攻击者信息与攻击行为信息,这是从被动防御到主动防御的关键一步,对内生安全WAF架构极其重要。本发明对内生安全WAF出口设置蜜罐,收取攻击者信息并做出攻击分析,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。

Description

一种内生安全WAF蜜罐部署方法
技术领域
本发明属于网络安全技术领域,尤其涉及一种内生安全WAF蜜罐部署方法。
背景技术
在WAF加固的服务器架构中,监测到异常流量后,如果直接拒绝访问流量,那么攻击者就会不断探寻规律寻找可能能够通过WAF的规则。此时部署蜜罐系统,将攻击者流量导入蜜罐,去误导攻击者并获取攻击者相应信息。蜜罐系统将加固内生安全WAF系统,也是主动防御的重要一环。
发明内容
本发明的目的在于针对现有技术的不足,提供一种内生安全WAF蜜罐部署方法。本发明对内生安全WAF异常流量出口部署蜜罐系统,误导攻击者并收集信息,以提前分析并预警,提高系统安全性。
本发明的目的是通过以下技术方案来实现的:一种内生安全WAF蜜罐部署方法,该方法包括以下步骤:
(1)搭建蜜罐终端,在终端上部署数据库、蜜罐程序以及攻击指纹识别程序等,并实现以下步骤:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行。
(1.2)检测端口扫描:对内网中常用的端口连接请求进行检测。
(1.3)检测暴力破解:对暴力破解各个服务登录认证的行为进行检测。
(1.4)匹配攻击指纹:识别攻击者所使用的工具。
(1.5)检测攻击手段。
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个数据转发至预警服务器处。
(2)搭建预警服务器,部署数据库、Web服务、运行环境等,并实现以下步骤:
(2.1)接受蜜罐终端传输的数据并存储数据。
(2.2)对数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式。
其中,对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标和攻击手段等特征。对于每条攻击数据,假设A表示攻击者,S表示一条攻击数据抽象后的0/1数值序列,T表示攻击序列的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0,M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数。攻击序列SA=T1T2T3...Tn。对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA可以表示如MA=SA1|SA2|SA3...|SAn,其中|为按位或运算。攻击格式相似算法为
Figure BDA0002759216380000021
Figure BDA0002759216380000022
以此来判断攻击方是否为同一个或同一类人。如果s大于相似阈值时,表示攻击方A1、A2为同一个或同一类。
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应攻击数据。
进一步地,所述蜜罐终端上部署MongoDB数据库,Dionaea蜜罐程序以及P0f攻击指纹识别程序。
进一步地,所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。
本发明的有益效果是:本发明对内生安全WAF出口异常流量部署蜜罐系统,该系统诱导并记录攻击者的行为信息,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。
具体实施方式
本发明一种内生安全WAF蜜罐部署方法,包括以下步骤:
1.搭建蜜罐终端,在终端上部署MongoDB等数据库,Dionaea等蜜罐程序以及P0f攻击指纹识别程序等,并实现各个功能模块。具体为:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行。
(1.2)检测端口扫描,对内网中常用的端口连接请求进行检测。使用Glastopf蜜罐,获取攻击者对各个常用端口发送的数据包。
(1.3)检测暴力破解,对暴力破解各个服务登录认证的行为进行检测。使用Kippo蜜罐,获取可针对提供SSH服务的22端口的扫描和暴力破解数据包。
(1.4)匹配攻击指纹,识别攻击者所使用的工具。使用P0f指纹识别工具分析攻击者的使用工具和攻击手法。
(1.5)检测ARP攻击,DNS欺骗等常见攻击手段。
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个攻击数据转发至预警服务器处。
2.搭建预警服务器,部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库等,实现各个功能模块具体为:
(2.1)接受蜜罐终端传输的攻击数据并存储数据。
(2.2)对步骤(2.1)接收的攻击数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式:
对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标、攻击手段等特征。
对于每条攻击数据的标签,假设A表示攻击者,S表示一条攻击数据抽象后的0/1数值攻击序列;T表示攻击序列S的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0;M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数。攻击者A的攻击序列SA=T1T2T3...Tn
对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA为:
MA=SA1|SA2|SA3...|SAn
其中,|为按位或运算,SAi表示第i条攻击序列,i=1~n。
通过攻击格式相似算法S(MA1,MA2)来判断攻击方是否为同一个或同一类人:
Figure BDA0002759216380000031
其中,MA1,MA2表示攻击方A1、A2的攻击格式;k为攻击格式MA1,MA2对应位都标为1的总数,n为攻击格式总长度,也是攻击序列总长度。如果s的值大于相似阈值时,表示攻击方A1、A2为同一个或同一类。
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应步骤(2.2)处理后的攻击数据。
本发明对内生安全WAF出口异常流量部署蜜罐系统,该系统诱导并记录攻击者的行为信息,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。

Claims (3)

1.一种内生安全WAF蜜罐部署方法,其特征在于,该方法包括以下步骤:
(1)搭建蜜罐终端,在终端上部署数据库、蜜罐程序以及攻击指纹识别程序,并实现以下步骤:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行;
(1.2)检测端口扫描:对内网中常用的端口连接请求进行检测;
(1.3)检测暴力破解:对暴力破解各个服务登录认证的行为进行检测;
(1.4)匹配攻击指纹:识别攻击者所使用的工具;
(1.5)检测攻击手段;
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个数据转发至预警服务器处;
(2)搭建预警服务器,部署数据库、Web服务、运行环境,并实现以下步骤:
(2.1)接受蜜罐终端传输的数据并存储数据;
(2.2)对数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式;
其中,对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标和攻击手段;对于每条攻击数据,A表示攻击者,S表示一条攻击数据抽象后的0/1数值序列,T表示攻击序列的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0,M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数;攻击序列SA=T1T2T3...Tn;对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA=SA,1|SA,2|SA,3...|SA,n,其中|为按位或运算;攻击格式相似算法为
Figure FDA0003100094020000011
以此来判断攻击方是否为同一个或同一类人;其中,MA1,MA2表示攻击方A1、A2的攻击格式,k为攻击格式MA1,MA2对应位都标为1的总数;如果s大于相似阈值时,表示攻击方A1、A2为同一个或同一类;
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应攻击数据。
2.如权利要求1所述内生安全WAF蜜罐部署方法,其特征在于,所述蜜罐终端上部署MongoDB数据库,Dionaea蜜罐程序以及P0f攻击指纹识别程序。
3.如权利要求1所述内生安全WAF蜜罐部署方法,其特征在于,所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。
CN202011212310.1A 2020-11-03 2020-11-03 一种内生安全waf蜜罐部署方法 Active CN112367315B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011212310.1A CN112367315B (zh) 2020-11-03 2020-11-03 一种内生安全waf蜜罐部署方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011212310.1A CN112367315B (zh) 2020-11-03 2020-11-03 一种内生安全waf蜜罐部署方法

Publications (2)

Publication Number Publication Date
CN112367315A CN112367315A (zh) 2021-02-12
CN112367315B true CN112367315B (zh) 2021-09-28

Family

ID=74512771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011212310.1A Active CN112367315B (zh) 2020-11-03 2020-11-03 一种内生安全waf蜜罐部署方法

Country Status (1)

Country Link
CN (1) CN112367315B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114615077A (zh) * 2022-03-30 2022-06-10 中国农业银行股份有限公司 一种基于蜜罐的网络准入控制方法、装置及设备
CN115134139A (zh) * 2022-06-27 2022-09-30 中国工商银行股份有限公司 一种网络攻击处理方法及装置

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582817A (zh) * 2009-06-29 2009-11-18 华中科技大学 网络交互行为模式提取及相似性分析方法
CN105844154A (zh) * 2016-03-19 2016-08-10 浙江大学 一种基于内部蜜罐的恶意程序探测方法
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN106534195A (zh) * 2016-12-19 2017-03-22 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法
US10050999B1 (en) * 2015-09-22 2018-08-14 Amazon Technologies, Inc. Security threat based auto scaling
US10277629B1 (en) * 2016-12-20 2019-04-30 Symantec Corporation Systems and methods for creating a deception computing system
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的攻击链检测方法及装置
CN110365636A (zh) * 2019-05-23 2019-10-22 中国科学院信息工程研究所 工控蜜罐攻击数据来源的判别方法及装置
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备
CN111030986A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 一种攻击组织溯源分析的方法、装置及存储介质
CN111212053A (zh) * 2019-12-27 2020-05-29 太原理工大学 一种面向工控蜜罐的同源攻击分析方法
CN111726342A (zh) * 2020-06-08 2020-09-29 中国电信集团工会上海市委员会 一种提升蜜罐系统告警输出精准性的方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统
US10944791B2 (en) * 2018-08-27 2021-03-09 Microsoft Technology Licensing, Llc Increasing security of network resources utilizing virtual honeypots
CN110719253A (zh) * 2019-08-29 2020-01-21 四川大学 一种基于智能问答的Web蜜罐系统
CN111147513B (zh) * 2019-12-31 2020-08-14 广州锦行网络科技有限公司 基于攻击行为分析的蜜网内横向移动攻击路径确定方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101582817A (zh) * 2009-06-29 2009-11-18 华中科技大学 网络交互行为模式提取及相似性分析方法
US10050999B1 (en) * 2015-09-22 2018-08-14 Amazon Technologies, Inc. Security threat based auto scaling
CN105844154A (zh) * 2016-03-19 2016-08-10 浙江大学 一种基于内部蜜罐的恶意程序探测方法
CN106411562A (zh) * 2016-06-17 2017-02-15 全球能源互联网研究院 一种电力信息网络安全联动防御方法及系统
CN106534195A (zh) * 2016-12-19 2017-03-22 杭州信雅达数码科技有限公司 一种基于攻击图的网络攻击者行为分析方法
US10277629B1 (en) * 2016-12-20 2019-04-30 Symantec Corporation Systems and methods for creating a deception computing system
CN109995705A (zh) * 2017-12-29 2019-07-09 北京安天网络安全技术有限公司 基于高交互蜜罐系统的攻击链检测方法及装置
CN110365636A (zh) * 2019-05-23 2019-10-22 中国科学院信息工程研究所 工控蜜罐攻击数据来源的判别方法及装置
CN110602032A (zh) * 2019-06-19 2019-12-20 上海云盾信息技术有限公司 攻击识别方法及设备
CN111030986A (zh) * 2019-10-30 2020-04-17 哈尔滨安天科技集团股份有限公司 一种攻击组织溯源分析的方法、装置及存储介质
CN111212053A (zh) * 2019-12-27 2020-05-29 太原理工大学 一种面向工控蜜罐的同源攻击分析方法
CN111726342A (zh) * 2020-06-08 2020-09-29 中国电信集团工会上海市委员会 一种提升蜜罐系统告警输出精准性的方法及系统

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
Detecting Anomalies in Encrypted Traffic via Deep Dictionary Learning;Junchi Xing;《IEEE INFOCOM 2020-IEEE Conference on Computer Communications Workshops》;20200810;全文 *
V-Fuzz: Vulnerability Prediction-Assisted Evolutionary Fuzzing for Binary Programs;Yuwei Li;《IEEE Transactions on Cybernetics》;20200918;全文 *
WAF绕过方法与测试框架研究;胡鸿富;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20170910;全文 *
动态网络主动安全防御的若干思考;吴春明;《中兴通讯技术》;20160414;全文 *

Also Published As

Publication number Publication date
CN112367315A (zh) 2021-02-12

Similar Documents

Publication Publication Date Title
CN109951500B (zh) 网络攻击检测方法及装置
KR100351306B1 (ko) 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
EP2040435B1 (en) Intrusion detection method and system
CN103368979B (zh) 一种基于改进K-means算法的网络安全性验证装置
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
Düssel et al. Cyber-critical infrastructure protection using real-time payload-based anomaly detection
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
CN112367315B (zh) 一种内生安全waf蜜罐部署方法
CN110958233B (zh) 一种基于深度学习的加密型恶意流量检测系统和方法
US20190306192A1 (en) Detecting email sender impersonation
CN113079150B (zh) 一种电力终端设备入侵检测方法
CN116132989B (zh) 一种工业互联网安全态势感知系统及方法
CN110750788A (zh) 一种基于高交互蜜罐技术的病毒文件检测方法
CN114339767A (zh) 一种信令检测方法、装置、电子设备及存储介质
CN112822176B (zh) 一种远程app身份认证方法
KR102244036B1 (ko) 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
KR101488271B1 (ko) Ids 오탐 검출 장치 및 방법
EP1387550A2 (en) Method and system for preventing unauthorized access to the internet
US10701088B2 (en) Method for transmitting data
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
CN114978663A (zh) 基于行为伪装的互联网安全服务系统
Xiao et al. Alert verification based on attack classification in collaborative intrusion detection
Tien et al. Automatic device identification and anomaly detection with machine learning techniques in smart factories

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant