CN112738002A - 一种基于虚实结合的搭建工控蜜网的技术 - Google Patents

一种基于虚实结合的搭建工控蜜网的技术 Download PDF

Info

Publication number
CN112738002A
CN112738002A CN201910972483.4A CN201910972483A CN112738002A CN 112738002 A CN112738002 A CN 112738002A CN 201910972483 A CN201910972483 A CN 201910972483A CN 112738002 A CN112738002 A CN 112738002A
Authority
CN
China
Prior art keywords
message
real
virtual
technology
honey
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910972483.4A
Other languages
English (en)
Inventor
傅涛
胡燕
郑轶
王力
王路路
郑建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bozhi Safety Technology Co ltd
Original Assignee
Bozhi Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bozhi Safety Technology Co ltd filed Critical Bozhi Safety Technology Co ltd
Priority to CN201910972483.4A priority Critical patent/CN112738002A/zh
Publication of CN112738002A publication Critical patent/CN112738002A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本发明提供了一种基于虚实结合的搭建工控蜜网的技术,由虚拟蜜罐以及真实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容,极大的减少了蜜罐被识别概率以及蜜罐部署成本,提高了获取攻击行为能力,加强网络真实设备的安全性。

Description

一种基于虚实结合的搭建工控蜜网的技术
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于虚实结合的搭建工控蜜网的技术。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
传统蜜罐是在一台设备上部署一个协议服务端,模拟真实设备所具有的应用功能,应答攻击的所发起的求情,并以日志方式记录攻击者的攻击行为。现在有很多识别蜜罐的方式和手段,导致蜜罐非常容易被人识别,从而不能达到原本引诱攻击者发起攻击并获取攻击者攻击方式的目的,且一台设备只能部署一个协议服务端,导致维护成本较高。
发明内容
本发明的目的在于,针对现有技术的不足,提供一种基于虚实结合的搭建工控蜜网的技术,由虚拟机以及真实设备组成,其特征在于虚拟蜜罐以及实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容,主要包括Docker环境搭建、报文转发、行为记录。
所述Docker环境搭建,其特征在于,使用虚拟技术在一台设备上部署多个Docker容器,一个容器对应一个协议服务器,在真实设备上配置多个IP,将不同IP和端口映射到不通的容器里,这样实现多个协议服务器部署在一个物理设备上,且不易被识别为蜜罐。
所述报文转发,其特征在于,从网络中获取到报文后,如果网络访问的为Docker容器IP,则把报文转发给对应容器处理,容器将报文内容进行解析,然后保存访问路径,容器再根据请求内容应答攻击者; 如果网络访问的为其他IP,则将报文发送给suricata进行深度解析,然后保存访问路径,再将报文转发给真实设备,由真实设备应答攻击者,保障攻击者不能识别到这是一个蜜罐设备。
所述行为记录,其特征在于,所有对蜜罐系统的访问,都认为是一个攻击,所以会对访问系统的所有报文进行解析,然后对报文进行保存,以便分析。
附图说明
图1为一种基于虚实结合的搭建工控蜜网的技术的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及示例性实施例,对本发明进行进一步详细说明。应当理解,此处所描述的示例性实施例仅用以解释本发明,并不用于限定本发明的适用范围。
步骤1、设备网口上配置多个公网IP地址,这些IP地址映射到不同的Docker容器里面(每个Docker容器为一个协议服务器);或将IP映射到真实的物理设备上。
步骤2、系统从这些IP地址中获取访问报文,然后由Docker程序转发到容器中处理或者转发到真正的物理设备上。
步骤3、容器获取到报文,然后对报文进行解析,如果容器为一个协议服务则做出对应的回应;如果报文不是访问容器IP,则将报文转发给真正的设备,由设备做出应答,然后保存整个访问行为,将请求以及应答报文保存,以便用于后期分析,分析攻击者的攻击路径,然后在做出对应的安全措施。

Claims (4)

1.一种基于虚实结合的搭建工控蜜网的技术,其特征在于,由虚拟蜜罐以及真实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容。
2.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述虚拟蜜罐在一台设备上部署多个Docker容器,每个Docker容器都对应一个协议服务器。
3.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述真实设备上配置多个IP,将不同IP和端口映射到不通的容器里,实现多个协议服务器部署在一个物理设备上。
4.根据权利要求1所述的一种基于虚实结合的搭建工控蜜网的技术,其特征在于,所述网络访问的若为Docker容器IP,则把报文转发给对应容器处理,容器将报文内容进行解析,然后保存访问路径,容器再根据请求内容应答攻击者; 如果网络访问的为其他IP,则将报文发送给suricata进行深度解析,然后保存访问路径,再将报文转发给真实设备,由真实设备应答攻击者,保障攻击者不能识别到这是一个蜜罐设备。
CN201910972483.4A 2019-10-14 2019-10-14 一种基于虚实结合的搭建工控蜜网的技术 Withdrawn CN112738002A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910972483.4A CN112738002A (zh) 2019-10-14 2019-10-14 一种基于虚实结合的搭建工控蜜网的技术

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910972483.4A CN112738002A (zh) 2019-10-14 2019-10-14 一种基于虚实结合的搭建工控蜜网的技术

Publications (1)

Publication Number Publication Date
CN112738002A true CN112738002A (zh) 2021-04-30

Family

ID=75588598

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910972483.4A Withdrawn CN112738002A (zh) 2019-10-14 2019-10-14 一种基于虚实结合的搭建工控蜜网的技术

Country Status (1)

Country Link
CN (1) CN112738002A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612783A (zh) * 2021-08-09 2021-11-05 杭州安恒信息安全技术有限公司 一种蜜罐防护系统
CN114024728A (zh) * 2021-10-28 2022-02-08 杭州默安科技有限公司 一种蜜罐搭建方法以及应用方法
CN114584359A (zh) * 2022-02-24 2022-06-03 烽台科技(北京)有限公司 安全诱捕方法、装置和计算机设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612783A (zh) * 2021-08-09 2021-11-05 杭州安恒信息安全技术有限公司 一种蜜罐防护系统
CN114024728A (zh) * 2021-10-28 2022-02-08 杭州默安科技有限公司 一种蜜罐搭建方法以及应用方法
CN114024728B (zh) * 2021-10-28 2024-04-02 杭州默安科技有限公司 一种蜜罐搭建方法以及应用方法
CN114584359A (zh) * 2022-02-24 2022-06-03 烽台科技(北京)有限公司 安全诱捕方法、装置和计算机设备

Similar Documents

Publication Publication Date Title
US10567431B2 (en) Emulating shellcode attacks
US9942270B2 (en) Database deception in directory services
US9356950B2 (en) Evaluating URLS for malicious content
CN105721442B (zh) 基于动态变换虚假响应系统、方法及网络安全系统与方法
CN107070929A (zh) 一种工控网络蜜罐系统
CN107888607A (zh) 一种网络威胁检测方法、装置及网络管理设备
US20140337978A1 (en) Systems, methods, and media for generating bait information for trap-based defenses
US11509690B2 (en) Management of botnet attacks to a computer network
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
CN112738002A (zh) 一种基于虚实结合的搭建工控蜜网的技术
CN110493238A (zh) 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器
CN111683106B (zh) 主动防护系统及方法
JP6460112B2 (ja) セキュリティシステム、セキュリティ方法およびプログラム
CN114679292B (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
CN110266650A (zh) Conpot工控蜜罐的识别方法
CN103701816A (zh) 执行拒绝服务攻击的服务器的扫描方法和扫描装置
CN113422779A (zh) 一种基于集中管控的积极的安全防御的系统
RU2705773C1 (ru) Способ защиты информационно-вычислительной сети от вторжений
Zhao et al. Network security model based on active defense and passive defense hybrid strategy
Li et al. A new type of intrusion prevention system
Borders et al. OpenFire: Using deception to reduce network attacks
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
CN111683063B (zh) 消息处理方法、系统、装置、存储介质及处理器
Zhu et al. Internet security protection for IRC-based botnet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20210430

WW01 Invention patent application withdrawn after publication