CN112738002A - 一种基于虚实结合的搭建工控蜜网的技术 - Google Patents
一种基于虚实结合的搭建工控蜜网的技术 Download PDFInfo
- Publication number
- CN112738002A CN112738002A CN201910972483.4A CN201910972483A CN112738002A CN 112738002 A CN112738002 A CN 112738002A CN 201910972483 A CN201910972483 A CN 201910972483A CN 112738002 A CN112738002 A CN 112738002A
- Authority
- CN
- China
- Prior art keywords
- message
- real
- virtual
- technology
- honey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明提供了一种基于虚实结合的搭建工控蜜网的技术,由虚拟蜜罐以及真实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容,极大的减少了蜜罐被识别概率以及蜜罐部署成本,提高了获取攻击行为能力,加强网络真实设备的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚实结合的搭建工控蜜网的技术。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
传统蜜罐是在一台设备上部署一个协议服务端,模拟真实设备所具有的应用功能,应答攻击的所发起的求情,并以日志方式记录攻击者的攻击行为。现在有很多识别蜜罐的方式和手段,导致蜜罐非常容易被人识别,从而不能达到原本引诱攻击者发起攻击并获取攻击者攻击方式的目的,且一台设备只能部署一个协议服务端,导致维护成本较高。
发明内容
本发明的目的在于,针对现有技术的不足,提供一种基于虚实结合的搭建工控蜜网的技术,由虚拟机以及真实设备组成,其特征在于虚拟蜜罐以及实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容,主要包括Docker环境搭建、报文转发、行为记录。
所述Docker环境搭建,其特征在于,使用虚拟技术在一台设备上部署多个Docker容器,一个容器对应一个协议服务器,在真实设备上配置多个IP,将不同IP和端口映射到不通的容器里,这样实现多个协议服务器部署在一个物理设备上,且不易被识别为蜜罐。
所述报文转发,其特征在于,从网络中获取到报文后,如果网络访问的为Docker容器IP,则把报文转发给对应容器处理,容器将报文内容进行解析,然后保存访问路径,容器再根据请求内容应答攻击者; 如果网络访问的为其他IP,则将报文发送给suricata进行深度解析,然后保存访问路径,再将报文转发给真实设备,由真实设备应答攻击者,保障攻击者不能识别到这是一个蜜罐设备。
所述行为记录,其特征在于,所有对蜜罐系统的访问,都认为是一个攻击,所以会对访问系统的所有报文进行解析,然后对报文进行保存,以便分析。
附图说明
图1为一种基于虚实结合的搭建工控蜜网的技术的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及示例性实施例,对本发明进行进一步详细说明。应当理解,此处所描述的示例性实施例仅用以解释本发明,并不用于限定本发明的适用范围。
步骤1、设备网口上配置多个公网IP地址,这些IP地址映射到不同的Docker容器里面(每个Docker容器为一个协议服务器);或将IP映射到真实的物理设备上。
步骤2、系统从这些IP地址中获取访问报文,然后由Docker程序转发到容器中处理或者转发到真正的物理设备上。
步骤3、容器获取到报文,然后对报文进行解析,如果容器为一个协议服务则做出对应的回应;如果报文不是访问容器IP,则将报文转发给真正的设备,由设备做出应答,然后保存整个访问行为,将请求以及应答报文保存,以便用于后期分析,分析攻击者的攻击路径,然后在做出对应的安全措施。
Claims (4)
1.一种基于虚实结合的搭建工控蜜网的技术,其特征在于,由虚拟蜜罐以及真实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容。
2.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述虚拟蜜罐在一台设备上部署多个Docker容器,每个Docker容器都对应一个协议服务器。
3.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述真实设备上配置多个IP,将不同IP和端口映射到不通的容器里,实现多个协议服务器部署在一个物理设备上。
4.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述网络访问的若为Docker容器IP,则把报文转发给对应容器处理,容器将报文内容进行解析,然后保存访问路径,容器再根据请求内容应答攻击者; 如果网络访问的为其他IP,则将报文发送给suricata进行深度解析,然后保存访问路径,再将报文转发给真实设备,由真实设备应答攻击者,保障攻击者不能识别到这是一个蜜罐设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910972483.4A CN112738002A (zh) | 2019-10-14 | 2019-10-14 | 一种基于虚实结合的搭建工控蜜网的技术 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910972483.4A CN112738002A (zh) | 2019-10-14 | 2019-10-14 | 一种基于虚实结合的搭建工控蜜网的技术 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112738002A true CN112738002A (zh) | 2021-04-30 |
Family
ID=75588598
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910972483.4A Withdrawn CN112738002A (zh) | 2019-10-14 | 2019-10-14 | 一种基于虚实结合的搭建工控蜜网的技术 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112738002A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN114024728A (zh) * | 2021-10-28 | 2022-02-08 | 杭州默安科技有限公司 | 一种蜜罐搭建方法以及应用方法 |
CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
-
2019
- 2019-10-14 CN CN201910972483.4A patent/CN112738002A/zh not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
CN114024728A (zh) * | 2021-10-28 | 2022-02-08 | 杭州默安科技有限公司 | 一种蜜罐搭建方法以及应用方法 |
CN114024728B (zh) * | 2021-10-28 | 2024-04-02 | 杭州默安科技有限公司 | 一种蜜罐搭建方法以及应用方法 |
CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10567431B2 (en) | Emulating shellcode attacks | |
US9942270B2 (en) | Database deception in directory services | |
US9356950B2 (en) | Evaluating URLS for malicious content | |
CN105721442B (zh) | 基于动态变换虚假响应系统、方法及网络安全系统与方法 | |
CN107070929A (zh) | 一种工控网络蜜罐系统 | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
US20140337978A1 (en) | Systems, methods, and media for generating bait information for trap-based defenses | |
US11509690B2 (en) | Management of botnet attacks to a computer network | |
CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
CN112738002A (zh) | 一种基于虚实结合的搭建工控蜜网的技术 | |
CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 | |
CN111683106B (zh) | 主动防护系统及方法 | |
JP6460112B2 (ja) | セキュリティシステム、セキュリティ方法およびプログラム | |
CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
CN110266650A (zh) | Conpot工控蜜罐的识别方法 | |
CN103701816A (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
CN113422779A (zh) | 一种基于集中管控的积极的安全防御的系统 | |
RU2705773C1 (ru) | Способ защиты информационно-вычислительной сети от вторжений | |
Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
Li et al. | A new type of intrusion prevention system | |
Borders et al. | OpenFire: Using deception to reduce network attacks | |
CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
Zhu et al. | Internet security protection for IRC-based botnet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210430 |
|
WW01 | Invention patent application withdrawn after publication |