CN112367315B - 一种内生安全waf蜜罐部署方法 - Google Patents
一种内生安全waf蜜罐部署方法 Download PDFInfo
- Publication number
- CN112367315B CN112367315B CN202011212310.1A CN202011212310A CN112367315B CN 112367315 B CN112367315 B CN 112367315B CN 202011212310 A CN202011212310 A CN 202011212310A CN 112367315 B CN112367315 B CN 112367315B
- Authority
- CN
- China
- Prior art keywords
- attack
- honeypot
- attacker
- data
- waf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种内生安全WAF蜜罐部署方法,在拟态WAF的服务器架构中,当异构体表决算法判断出异常流量时,不拒绝访问此流量,而使其访问相应蜜罐,误导攻击者并在蜜罐中收集攻击者信息与攻击行为信息,这是从被动防御到主动防御的关键一步,对内生安全WAF架构极其重要。本发明对内生安全WAF出口设置蜜罐,收取攻击者信息并做出攻击分析,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种内生安全WAF蜜罐部署方法。
背景技术
在WAF加固的服务器架构中,监测到异常流量后,如果直接拒绝访问流量,那么攻击者就会不断探寻规律寻找可能能够通过WAF的规则。此时部署蜜罐系统,将攻击者流量导入蜜罐,去误导攻击者并获取攻击者相应信息。蜜罐系统将加固内生安全WAF系统,也是主动防御的重要一环。
发明内容
本发明的目的在于针对现有技术的不足,提供一种内生安全WAF蜜罐部署方法。本发明对内生安全WAF异常流量出口部署蜜罐系统,误导攻击者并收集信息,以提前分析并预警,提高系统安全性。
本发明的目的是通过以下技术方案来实现的:一种内生安全WAF蜜罐部署方法,该方法包括以下步骤:
(1)搭建蜜罐终端,在终端上部署数据库、蜜罐程序以及攻击指纹识别程序等,并实现以下步骤:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行。
(1.2)检测端口扫描:对内网中常用的端口连接请求进行检测。
(1.3)检测暴力破解:对暴力破解各个服务登录认证的行为进行检测。
(1.4)匹配攻击指纹:识别攻击者所使用的工具。
(1.5)检测攻击手段。
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个数据转发至预警服务器处。
(2)搭建预警服务器,部署数据库、Web服务、运行环境等,并实现以下步骤:
(2.1)接受蜜罐终端传输的数据并存储数据。
(2.2)对数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式。
其中,对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标和攻击手段等特征。对于每条攻击数据,假设A表示攻击者,S表示一条攻击数据抽象后的0/1数值序列,T表示攻击序列的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0,M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数。攻击序列SA=T1T2T3...Tn。对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA可以表示如MA=SA1|SA2|SA3...|SAn,其中|为按位或运算。攻击格式相似算法为 以此来判断攻击方是否为同一个或同一类人。如果s大于相似阈值时,表示攻击方A1、A2为同一个或同一类。
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应攻击数据。
进一步地,所述蜜罐终端上部署MongoDB数据库,Dionaea蜜罐程序以及P0f攻击指纹识别程序。
进一步地,所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。
本发明的有益效果是:本发明对内生安全WAF出口异常流量部署蜜罐系统,该系统诱导并记录攻击者的行为信息,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。
具体实施方式
本发明一种内生安全WAF蜜罐部署方法,包括以下步骤:
1.搭建蜜罐终端,在终端上部署MongoDB等数据库,Dionaea等蜜罐程序以及P0f攻击指纹识别程序等,并实现各个功能模块。具体为:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行。
(1.2)检测端口扫描,对内网中常用的端口连接请求进行检测。使用Glastopf蜜罐,获取攻击者对各个常用端口发送的数据包。
(1.3)检测暴力破解,对暴力破解各个服务登录认证的行为进行检测。使用Kippo蜜罐,获取可针对提供SSH服务的22端口的扫描和暴力破解数据包。
(1.4)匹配攻击指纹,识别攻击者所使用的工具。使用P0f指纹识别工具分析攻击者的使用工具和攻击手法。
(1.5)检测ARP攻击,DNS欺骗等常见攻击手段。
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个攻击数据转发至预警服务器处。
2.搭建预警服务器,部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库等,实现各个功能模块具体为:
(2.1)接受蜜罐终端传输的攻击数据并存储数据。
(2.2)对步骤(2.1)接收的攻击数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式:
对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标、攻击手段等特征。
对于每条攻击数据的标签,假设A表示攻击者,S表示一条攻击数据抽象后的0/1数值攻击序列;T表示攻击序列S的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0;M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数。攻击者A的攻击序列SA=T1T2T3...Tn。
对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA为:
MA=SA1|SA2|SA3...|SAn
其中,|为按位或运算,SAi表示第i条攻击序列,i=1~n。
通过攻击格式相似算法S(MA1,MA2)来判断攻击方是否为同一个或同一类人:
其中,MA1,MA2表示攻击方A1、A2的攻击格式;k为攻击格式MA1,MA2对应位都标为1的总数,n为攻击格式总长度,也是攻击序列总长度。如果s的值大于相似阈值时,表示攻击方A1、A2为同一个或同一类。
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应步骤(2.2)处理后的攻击数据。
本发明对内生安全WAF出口异常流量部署蜜罐系统,该系统诱导并记录攻击者的行为信息,可以延缓攻击者的正常攻击,并且可以审计、回溯攻击信息,从而提前预警,加固WAF自身。
Claims (3)
1.一种内生安全WAF蜜罐部署方法,其特征在于,该方法包括以下步骤:
(1)搭建蜜罐终端,在终端上部署数据库、蜜罐程序以及攻击指纹识别程序,并实现以下步骤:
(1.1)检测蜜罐状态,包含蜜罐是否正常运行,所处环境,以及其它功能是否正常运行;
(1.2)检测端口扫描:对内网中常用的端口连接请求进行检测;
(1.3)检测暴力破解:对暴力破解各个服务登录认证的行为进行检测;
(1.4)匹配攻击指纹:识别攻击者所使用的工具;
(1.5)检测攻击手段;
(1.6)整合步骤(1.1)~(1.5)检测得到的各个攻击数据并进行集中存储,并将各个数据转发至预警服务器处;
(2)搭建预警服务器,部署数据库、Web服务、运行环境,并实现以下步骤:
(2.1)接受蜜罐终端传输的数据并存储数据;
(2.2)对数据进行相应分析处理并判断攻击行为,得到不同的攻击者以及攻击方式;
其中,对于收集到的攻击数据,每条数据赋予相应标签,标签包含攻击者身份、攻击目标和攻击手段;对于每条攻击数据,A表示攻击者,S表示一条攻击数据抽象后的0/1数值序列,T表示攻击序列的某一位,若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话,对应位标为1,没有匹配的话标为0,M代表攻击格式,n代表标签的特征总数,也是攻击者的攻击序列总数;攻击序列SA=T1T2T3...Tn;对于相同攻击者发出的多条攻击,若攻击者A有n条攻击序列,则攻击者A的攻击格式MA=SA,1|SA,2|SA,3...|SA,n,其中|为按位或运算;攻击格式相似算法为以此来判断攻击方是否为同一个或同一类人;其中,MA1,MA2表示攻击方A1、A2的攻击格式,k为攻击格式MA1,MA2对应位都标为1的总数;如果s大于相似阈值时,表示攻击方A1、A2为同一个或同一类;
(2.3)发送告警信息给用户,提示用户有攻击者攻击,并传递相应攻击数据。
2.如权利要求1所述内生安全WAF蜜罐部署方法,其特征在于,所述蜜罐终端上部署MongoDB数据库,Dionaea蜜罐程序以及P0f攻击指纹识别程序。
3.如权利要求1所述内生安全WAF蜜罐部署方法,其特征在于,所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011212310.1A CN112367315B (zh) | 2020-11-03 | 2020-11-03 | 一种内生安全waf蜜罐部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011212310.1A CN112367315B (zh) | 2020-11-03 | 2020-11-03 | 一种内生安全waf蜜罐部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112367315A CN112367315A (zh) | 2021-02-12 |
CN112367315B true CN112367315B (zh) | 2021-09-28 |
Family
ID=74512771
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011212310.1A Active CN112367315B (zh) | 2020-11-03 | 2020-11-03 | 一种内生安全waf蜜罐部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112367315B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114615077A (zh) * | 2022-03-30 | 2022-06-10 | 中国农业银行股份有限公司 | 一种基于蜜罐的网络准入控制方法、装置及设备 |
CN115134139A (zh) * | 2022-06-27 | 2022-09-30 | 中国工商银行股份有限公司 | 一种网络攻击处理方法及装置 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
CN105844154A (zh) * | 2016-03-19 | 2016-08-10 | 浙江大学 | 一种基于内部蜜罐的恶意程序探测方法 |
CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
US10277629B1 (en) * | 2016-12-20 | 2019-04-30 | Symantec Corporation | Systems and methods for creating a deception computing system |
CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
CN110365636A (zh) * | 2019-05-23 | 2019-10-22 | 中国科学院信息工程研究所 | 工控蜜罐攻击数据来源的判别方法及装置 |
CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111212053A (zh) * | 2019-12-27 | 2020-05-29 | 太原理工大学 | 一种面向工控蜜罐的同源攻击分析方法 |
CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
US10944791B2 (en) * | 2018-08-27 | 2021-03-09 | Microsoft Technology Licensing, Llc | Increasing security of network resources utilizing virtual honeypots |
CN110719253A (zh) * | 2019-08-29 | 2020-01-21 | 四川大学 | 一种基于智能问答的Web蜜罐系统 |
CN111147513B (zh) * | 2019-12-31 | 2020-08-14 | 广州锦行网络科技有限公司 | 基于攻击行为分析的蜜网内横向移动攻击路径确定方法 |
-
2020
- 2020-11-03 CN CN202011212310.1A patent/CN112367315B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
CN105844154A (zh) * | 2016-03-19 | 2016-08-10 | 浙江大学 | 一种基于内部蜜罐的恶意程序探测方法 |
CN106411562A (zh) * | 2016-06-17 | 2017-02-15 | 全球能源互联网研究院 | 一种电力信息网络安全联动防御方法及系统 |
CN106534195A (zh) * | 2016-12-19 | 2017-03-22 | 杭州信雅达数码科技有限公司 | 一种基于攻击图的网络攻击者行为分析方法 |
US10277629B1 (en) * | 2016-12-20 | 2019-04-30 | Symantec Corporation | Systems and methods for creating a deception computing system |
CN109995705A (zh) * | 2017-12-29 | 2019-07-09 | 北京安天网络安全技术有限公司 | 基于高交互蜜罐系统的攻击链检测方法及装置 |
CN110365636A (zh) * | 2019-05-23 | 2019-10-22 | 中国科学院信息工程研究所 | 工控蜜罐攻击数据来源的判别方法及装置 |
CN110602032A (zh) * | 2019-06-19 | 2019-12-20 | 上海云盾信息技术有限公司 | 攻击识别方法及设备 |
CN111030986A (zh) * | 2019-10-30 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种攻击组织溯源分析的方法、装置及存储介质 |
CN111212053A (zh) * | 2019-12-27 | 2020-05-29 | 太原理工大学 | 一种面向工控蜜罐的同源攻击分析方法 |
CN111726342A (zh) * | 2020-06-08 | 2020-09-29 | 中国电信集团工会上海市委员会 | 一种提升蜜罐系统告警输出精准性的方法及系统 |
Non-Patent Citations (4)
Title |
---|
Detecting Anomalies in Encrypted Traffic via Deep Dictionary Learning;Junchi Xing;《IEEE INFOCOM 2020-IEEE Conference on Computer Communications Workshops》;20200810;全文 * |
V-Fuzz: Vulnerability Prediction-Assisted Evolutionary Fuzzing for Binary Programs;Yuwei Li;《IEEE Transactions on Cybernetics》;20200918;全文 * |
WAF绕过方法与测试框架研究;胡鸿富;《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》;20170910;全文 * |
动态网络主动安全防御的若干思考;吴春明;《中兴通讯技术》;20160414;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112367315A (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
CN101136922B (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
EP2040435B1 (en) | Intrusion detection method and system | |
CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
Düssel et al. | Cyber-critical infrastructure protection using real-time payload-based anomaly detection | |
CN109587179A (zh) | 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法 | |
CN112367315B (zh) | 一种内生安全waf蜜罐部署方法 | |
CN110958233B (zh) | 一种基于深度学习的加密型恶意流量检测系统和方法 | |
US20190306192A1 (en) | Detecting email sender impersonation | |
CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
CN116132989B (zh) | 一种工业互联网安全态势感知系统及方法 | |
CN110750788A (zh) | 一种基于高交互蜜罐技术的病毒文件检测方法 | |
CN114339767A (zh) | 一种信令检测方法、装置、电子设备及存储介质 | |
CN112822176B (zh) | 一种远程app身份认证方法 | |
KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
EP1387550A2 (en) | Method and system for preventing unauthorized access to the internet | |
US10701088B2 (en) | Method for transmitting data | |
CN113938312B (zh) | 一种暴力破解流量的检测方法及装置 | |
CN114978663A (zh) | 基于行为伪装的互联网安全服务系统 | |
Xiao et al. | Alert verification based on attack classification in collaborative intrusion detection | |
Tien et al. | Automatic device identification and anomaly detection with machine learning techniques in smart factories |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |