CN113422779B - 一种基于集中管控的积极的安全防御的系统 - Google Patents

Abstract

本发明公开了一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并以可视化来展示恶意活动；所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块。通过本发明，构建了一个以欺骗技术为基础的网络安全防御，能够预测黑客的攻击，并能够克服传统的网络安全防御的缺陷。

Description

一种基于集中管控的积极的安全防御的系统

技术领域

本发明涉及网络安全、SOC（Security operation center）、积极的安全防御、关键基础设施和欺骗的技术领域，尤其涉及到一种基于集中管控的积极的安全防御的系统。

背景技术

网络安全可以看作是防御者和攻击者之间的一系列不对称冲突。防御者需要一直保持正确（或安全）才能将攻击者挡在门外，而攻击者只需要正确一次就可以成功。这就要求防御者在其网络上有高水平的安全保证，需要有针对性的风险管理过程。在保护企业网络安全时，不可能消除所有的安全漏洞，因此，防御者必须将重点放在风险最小化。一种网络风险管理策略就是找到系统中存在的漏洞，评估这些漏洞发生的可能性，然后确定这些漏洞被利用时的影响。这就给防御者留下了一个模型，表示哪些漏洞是优先的，应该首先修复。安全防御者的资源有限，因此，他们必须根据所述修复的成本价格分析来选择要实施的修复。这使得一些优先级较低的漏洞未能修补，而其他漏洞的修补不完善。简言之，完全防卫一个企业的运营网络是不可能完成的任务。如前所述，攻击者不需要找到网络中的所有漏洞来实现他们的目标，相反，他们只需要找到一个或几个漏洞。这样，攻击者就具有明显的不对称优势。对于网络防御者来说，这种不对称优势很有可能通过使用防御欺骗技术来重新平衡，这有望对如何面对威胁能够产生改变游戏规则的影响。

基于边界的网络防御策略利用传统的安全措施，如防火墙、身份访问控制4A和入侵防御系统（Intrusion Prevention System IPS），已被证明对渗透突入（infiltration）的抵抗力较弱。即使采用纵深网络防御策略，在目标网络中设置多层常规安全控制，网络防御者仍然很难防止和检测到复杂的攻击，如高级持久威胁（Advanced Persistent ThreatAPT）的入侵。这种有针对性的攻击通常利用零日漏洞在目标网络上建立立足点（footholds），留下极少的恶意活动痕迹供检测。此外，传统的异常检测解决方案，例如，入侵检测系统IDS和基于行为的恶意软件扫描器，往往会引发大量的误报告警，这困扰着网络防御者，并损害他们识别和响应真实攻击的效率。早在20世纪80年代末就出现的蜜罐（honeypot）那样的防御性欺骗技术，只能静态部署和配置，黑客将有足够的时间推断它们的存在，绘制出它们的地图，并反过来躲避它们。总之，已有技术总是存在这样或那样的缺陷，满足不了100%的网络安全的需求。因此，当前迫切需要一种新颖的防御性欺骗技术。

这种崭新的防御性欺骗技术，不仅有助于建立积极的网络安全防御态势，能够在攻击发生之前预测到攻击，而且还能够检测到零日漏洞，由于合法用户活动和恶意交互之间有明确的界限，因此它的误报率也较低，等。然而，已有的许多安全产品或正在开发中的安全产品还没有将防御性欺骗技术纳入安全战略中。

发明内容

为了解决上述技术问题，本发明提供了一种基于集中管控的积极的安全防御的系统，采用欺骗技术，通过使用动态的诱饵网络来迷惑攻击者，从而使攻击者更难找到真正的组件，从而改善企业网络的安全态势。

一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并通过可视化展示恶意的活动；

所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；

所述创建，能够根据黑客发起攻击的不同阶段来创建适合的诱饵，包括侦察阶段诱饵、交付阶段诱饵、安装阶段诱饵、特权提升阶段诱饵、横向扩张阶段诱饵、攻击对象阶段诱饵和撤出阶段诱饵，诱饵使得威胁行为者无法实现其攻击目标，其恶意活动也将被发现；

所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块；

所述日志采集，采集诱饵模块产生的日志，并上报给负载均衡；

所述负载均衡，负责将接收到的日志转发给搜索引擎和将恶意交互跳转到诱饵网络；

所述搜索引擎，用于解析和索引所接收到的日志数据，然后将其输出到前端GUI进行可视化展示；

所述前端GUI，是一个前端web GUI，使安全分析所能够确定攻击者是否与部署的诱饵进行交互。

进一步地，所述可视化展示，每当通过SSH连接到诱饵网络内的设备并与诱饵交互时，根据定制的规则，均会触发诱饵模块产生日志并上报给负载均衡子模块，负载均衡子模块将所产生地日志及时地转发至搜索引擎子模块，从而在系统中记录入侵告警，并在可视化的后台运行的搜索引擎子模块的Elasticsearch API查询此日志并确定有新的告警，所述新的告警被发送到Flask后端，在该后端，可视化将解析数据并将信息保存到本地日志文件中，同时，可视化利用websocket通知前端GUI子模块有新的告警，所述通知会更新前端GUI子模块的图形以显示告警，并使受恶意活动影响的诱饵网络的节点闪烁。

进一步地，所述攻击对象阶段诱饵，包括密码诱饵、数据库诱饵和用户或系统文件诱饵。

进一步地，所述密码诱饵，将多个假密码与真实密码一起分配给每个帐户，通过这种方式，即使攻击者设法破解被盗密码哈希（Hash）文件中的密码，他仍然不确定哪些密码是真实的，否则如果使用所述的假密码登录，则会触发告警。

进一步地，所述数据库诱饵，将诸如TABLE CREDIT_CARDS or VIEW EMPLOYEES_SALARY条目插入数据库以诱使攻击者，并通过数据库管理系统的实现模块监视对该诱饵的访问，向数据库管理员发出告警，并记录恶意活动。

进一步地，所述用户或系统文件诱饵，自动部署诱饵文件，监控诱饵文件，一旦访问了这些文件，就会向系统用户发送告警，为了增加诱饵的诱惑力，从目标目录和目标文件系统收集的单词的替换和换位来生成假文件内容，基于文件的欺骗技术主要集中在诱饵用户数据文件上，为了防止合法活动访问诱饵系统文件而触发假告警，引入了一个隐藏接口，通过该接口排除诱饵文件，由于攻击必须调用一些系统文件，这种方法可以进一步地提高对黑客的检测。

本发明的技术效果在于：

在本发明中，提供了一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并以可视化来展示恶意活动；所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块。通过本发明，构建了一个以欺骗技术为基础的网络安全防御，能够预测黑客的攻击，并能够克服传统的网络安全防御的缺陷。

附图说明

图1是一种基于集中管控的积极的安全防御的系统的系统的示意图；

图2是一种基于集中管控的积极的安全防御的系统的重定向到攻击者到诱饵资产的示意图；

图3是一种基于集中管控的积极的安全防御的系统的可视化交互流程的示意图；

图4是一种基于集中管控的积极的安全防御的系统的可视化通知安全分析师告警的示意图。

具体实施方式

下面是根据附图和实例对本发明的进一步详细说明：

一种基于集中管控的积极的安全防御的系统，专为集中管控定制和开发的。它显示了性能和可用性比以前的蜜罐有显著的改进。特别地：

1、具有非凡的灵活性。它们可以是任何数字实体的形式，并且可以放置在企业网络环境中的任何位置；尽管攻击者能够避开某些形式的诱饵，但仍然可能被其他形式的诱饵困住；

2、灵活地部署和放置，造成的不确定性将减缓攻击者的速度，甚至可能将其赶走（即威慑效应）；

3、针对网络杀伤链模型（cyber kill chain model）中的不同阶段，能够提供各个攻击阶段的不同诱饵；例如，如果社交网络平台上散布虚假的文件，攻击者可能在交付阶段被误导；又如，创建攻击者感兴趣的地址信息、与企业内外人员的联系电话、有效的电子邮件地址以及真实但被密切监控的企业帐户等假文件，攻击者可能在侦察阶段被误导；又如在侦察阶段，为了迷惑和误导网站的恶意访问者，嵌入网页中的超链接诱饵；这些超链接对合法的人类用户是不可见的，当攻击者侦察目标网络以获取更多信息时，欺骗性响应可用于迷惑他们并延迟他们的进程或速度，他们的渗透突入（infiltration）将受到阻碍；

4、本申请的诱饵采用模块化设计，能够轻松开发和添加任何新的诱饵。现有的蜜罐系统程序代码库通常是紧耦合；

5、大多数现有的蜜罐系统是低交互的，这通常会影响欺骗，而本申请使用Docker有助于创建复制真实操作系统的诱饵，使与诱饵的交互具有高度交互性，并创建更具说服力的诱饵；

6、使用Docker消除了跨平台依赖性；

7、与现有蜜罐系统相比，本申请为诱饵部署提供了一个漂亮的web图形用户界面（GUI）；

8、现有的蜜罐通常安装起来很麻烦，通常需要很多小时才能正确设置。而本申请只需要一个CentOS 7最小安装与git和两个网络接口，00-startup-script.sh负责剩下的。

本申请的目的是诱使网络入侵者认为他们与企业网络中的合法组件进行交互；同时减慢他们的速度，并提醒安全分析师攻击者的存在。

如图1所示，一种基于集中管控的积极的安全防御的系统，所述系统，包括诱饵模块和监控模块两个模块，每一个模块都部署在基于Linux/或Windows的虚拟机中。

所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；所述诱饵网络，由多个诱饵所组成的网络，或者说，包括多个诱饵节点的网络；所述创建，能够根据黑客发起攻击的不同阶段创建适合的诱饵，所述发起攻击的不同阶段，按照网络杀伤链模型（cyber kill chain model）进行划分，因此，包括侦察阶段诱饵、交付阶段诱饵、安装阶段诱饵、特权提升阶段诱饵、横向扩张阶段诱饵、攻击对象阶段诱饵和撤出阶段诱饵；密码诱饵、数据库诱饵和用户或系统文件诱饵三类诱饵能够用于撤出阶段诱饵和攻击对象阶段诱饵。因此，威胁行为者无法实现其攻击目标，其恶意活动将被发现。

所述密码诱饵，将多个假密码与真实密码一起分配给每个帐户。通过这种方式，即使攻击者设法破解被盗密码哈希（Hash）文件中的密码，他仍然不确定哪些密码是真实的。否则如果使用所述的假密码登录，则会触发告警。

所述数据库诱饵，例如，TABLE CREDIT_CARDS or VIEW EMPLOYEES_SALARY，可以插入数据库以诱使攻击者，作为数据库管理系统的实现模块，该模块负责监视对诱饵的访问，向数据库管理员发出告警，并记录恶意活动。

所述用户或系统文件诱饵，自动部署诱饵文件，监控诱饵文件，一旦访问了这些文件，就会向系统用户发送告警。为了增加诱饵的诱惑力，从目标目录和目标文件系统收集的单词的替换和换位来生成假文件内容；基于文件的欺骗技术主要集中在诱饵用户数据文件上，为了防止合法活动访问诱饵系统文件而触发假告警，引入了一个隐藏接口，通过该接口排除诱饵文件。由于攻击必须调用一些系统文件，这种方法可以进一步地提高对黑客的检测。

所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警。

诱饵模块部署在企业网络上。攻击者能够自由地与部署的诱饵进行交互，就好像它们是真实的企业资产一样。本申请通过混合使用虚拟接口来实现这一点，在docker中构建诱饵，以便将其部署为轻量级容器。

事实上，由于轻量级架构，几百个诱饵可以以最小的资源占用进行部署。该系统有一个web前端，可以用来轻松地部署诱饵，甚至对最新手的用户。

所述监视攻击者与诱饵的交互，例如，nmap扫描、SSH通信交互、TCP握手和横幅抓取，因为一旦黑客开始与诱饵进行交互，被认为它们是真实的企业网络组件，安全分析员就会得到实时告警，帮助缓解情况。目前有两种接收网络流量的方法：内联分接和交换机上的端口镜像。

内联分接是安装在两个网络设备之间的物理设备（例如，两个路由器之间）。端口镜像，也称为SPAN（Switched Port Analyzer 交换端口分析仪），是通过将在一个端口中看到的数据包的副本发送到另一个端口来完成的，在那里可以对其进行分析；使用监控模块进行分析。内联分接需要特殊设备，而端口镜像取决于交换机配置。

路由到诱饵模块的流量通过网桥，进入虚拟接口有诱饵Docker容器绑定到他们。TCP/IP和UDP通信可以与绑定到这些内部虚拟接口的容器进行交互。

一种基于集中管控的积极的安全防御的系统，如图1所示：一个主机，“提供诱饵部署”和一个主机，“提供监控模块部署”，检测与诱饵的恶意交互。每个系统使用两个网络接口：一个接入带外管理网络，另一个接入企业运营网络。带外管理网络包括用于安全分析的前端web服务。该网络使安全分析人员能够通过基于web的安全信息和事件管理（SecurityInformation and Event Management SIEM）系统访问与诱饵交互而生成的度量指标。每个主机都使用docker容器。

诱饵模板是基于JSON的，便于部署，也使得诱饵可以很容易地按类别和平台进行分组。这是一种新的部署容器的方式，因为容器命令已经打包好供最终用户执行（即，在Docker容器中必须执行特定的命令）。本申请使用诱饵模板来预打包要运行的命令。

Docker是诱饵的首选运行容器。为了通过docker容器部署诱饵，必须存在企业设备的图像，该图像绑定到诱饵模块内的虚拟接口。例如，对于诱饵部署，考虑在诱饵模块中创建100个虚拟接口，并为所述接口分配虚拟IP 192.168.2.1–192.168.2.100。Docker诱饵进程，然后绑定到虚拟IP地址。

进一步地，监控模块包括日志采集、负载均衡、搜索引擎和前端GUI四个子模块；

所述日志采集，采集诱饵模块产生的日志，并上报给负载均衡；

所述负载均衡，负责将接收到的日志转发给搜索引擎和将恶意交互跳转到诱饵网络；

所述搜索引擎，用于解析和索引所接收到的日志数据，然后将其输出到前端GUI进行可视化展示；

所述前端GUI，是一个前端web GUI，使安全分析所能够确定攻击者是否与部署的诱饵进行交互。

对于路由，流量必须路由到驻留在诱饵模块内的虚拟IP地址。有几种方法可以实现这一点，包括重定向来自路由器的流量。

如图2所示，攻击者希望与具有与IP地址192.168.2.3相关联的设备进行交互。尽管他们认为该设备位于企业网络子网上，但当通过路由器传输时，他们会被重定向到安装了诱饵模块的虚拟IP地址192.168.2.30上。

流量被路由到诱饵模块，通过网桥，进入有绑定到诱饵Docker容器的虚拟接口。TCP/IP和UDP通信可以与绑定到这些内部虚拟接口的容器进行交互。

本申请部署的第一步是启动Dockerized。基于web的GUI，被称为“Portainer”。

一旦Portainer GUI启动并运行，用户就可以使用浏览器导航到IP地址，即Portainer运行的端口9000。用户选择要部署的诱饵。在一个实施例中，部署了一个冶金加热炉数据采集系统的诱饵（例如，“数据库诱饵”）。用户搜索并选择“数据库诱饵”，在“名称”字段中给出相应的描述，然后用户选择一个虚拟IP地址绑定到诱饵，最后部署诱饵。

可视化是一个web应用程序GUI，它创建了用户网络和欺骗节点的可视化和交互式网络图。可视化也为安全分析师提供了一种简单而有效的方法来获取他们网络的当前布局、与诱饵模块交互以及从监控模块堆栈获取实时告警。它能够扫描网络并以网络拓扑图的形式显示扫描结果，在单个IP设备上执行详细的NMAP扫描，打开和关闭欺骗，接收监控模块实时告警，并查看告警日志。

可视化的主要目的是让安全分析人员能够使用可视来化来展现攻击者是如何与诱饵进行交互的，以及来展现攻击者是如何与网络上的其他节点进行交互的。为了实现这一点，可视化利用NMAP主机发现功能和JavaScripts D3库来生成用户网络的动态交互式图形。当扫描运行时，可视化执行python脚本，该脚本调用NMAP对整个子网执行ping扫描。扫描完成后，python脚本解析数据并仅提取启动的网络主机，并将信息导出到JSON文件中。然后，可视化使用Javascripts D3库将新创建的JSON文件加载到前端，该库将创建并显示图形网络节点和连接链接。

当用户激活欺骗时，这将启动到诱饵模块的SSH连接，并发送一个命令来打开欺骗节点/或打开诱饵网络（192.168.2.0–192.168.2.50）。一旦诱饵模块打开欺骗，可视化重新扫描指定的子网和更新网络图。打开欺骗之前和之后的差异，可以立即看到是如何在欺骗和欺骗关闭的情况下捕获网络拓扑的。希望获得关于网络上的主机的更多信息的安全分析员可以发起详细的节点扫描，执行更深入的NMAP扫描，并提供主机状态、操作系统和开放端口的结果（如图4所示）。

可视化展示还具有显示由监控模块直接在图形上生成的实时安全告警的功能。此功能为安全分析人员提供了一种快速而简单的方法来可视化展示欺骗网络上的恶意活动（或者说，可视化展示诱饵网络上的恶意活动）。本申请使用Flask SocketIO websocket和Elasticsearch Python API来实现这一点，以便在前端web GUI、Flask后端和监控模块VM（Virtual Machine）之间保持实时通信信道。这种多向信道允许为图形显示提供实时外部事件和通知，而无需客户端刷新网页。

结合起来，可视化由所述的四个子模块组成，这些子模块协同工作，以呈现由诱饵模块生成的网络安全告警的图形显示：

1、一个Flask服务器，它使用搜索引擎子模块中的Elasticsearch Python API调用函数，并允许直接与存储在搜索引擎中的索引和文档交互；

2、负载均衡子模块，简化了从日志采集子模块到搜索引擎子模块的安全告警日志的传输；

3、日志采集子模块，负责采集诱饵模块所产生的日志；

4、通过websocket发送安全告警并更新前端GUI子模块中的图形以显示它的可视化GUI。

每隔若干秒（例如8秒），Flask服务器调用后台的函数，向搜索引擎子模块发送查询，以检索日志采集子模块捕获的任何新入侵尝试告警，并且任何新生成的告警以待处理的JSON格式对象的形式到达Flask服务器。处理后，前端GUI子模块中会显示告警。图3示出了包括日志采集、日志传送、处理和网络拓扑图周期地更新的四个独立子模块的交互流程。

在另一个实施例中，在诱饵模块中指定了一个规则，每当有人试图通过SSH连接到诱饵网络（192.168.2.1/50）内的设备时触发告警。从攻击机器，然后SSH到一个诱饵网络中的设备（192.168.2.40），一旦攻击者试图通过SSH连接到该设备，就会触发诱饵模块产生日志并上报给负载均衡子模块，负载均衡子模块将所产生地日志及时地转发至搜索引擎子模块，从而在系统中记录入侵尝试告警。在可视化的后台运行的搜索引擎子模块的Elasticsearch API查询此日志并确定有新的告警。此告警发送到Flask后端，在该后端，可视化将解析数据并将信息保存到本地日志文件中。同时，可视化利用websocket通知前端GUI子模块新的告警已经触发。此通知会更新GUI上的图形以显示告警，并使受恶意活动影响的诱饵网络的节点闪烁（如图4所示的深黑色的192.168.2.40节点）。

以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。

Claims (5)

1.一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并通过可视化展示恶意的活动；

所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；

所述创建诱饵，能够根据黑客发起攻击的不同阶段来创建适合的诱饵，包括侦察阶段诱饵、交付阶段诱饵、安装阶段诱饵、特权提升阶段诱饵、横向扩张阶段诱饵、攻击对象阶段诱饵和撤出阶段诱饵，诱饵使得威胁行为者无法实现其攻击目标，其恶意活动也将被发现；

所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块；

所述日志采集，采集诱饵模块产生的日志，并上报给负载均衡；

所述负载均衡，负责将接收到的日志转发给搜索引擎和将恶意交互跳转到诱饵网络；

所述搜索引擎，用于解析和索引所接收到的日志数据，然后将其输出到前端GUI进行可视化展示；

所述前端GUI，是一个前端web GUI，使安全分析所能够确定攻击者是否与部署的诱饵进行交互；

所述可视化展示，每当通过SSH连接到诱饵网络内的设备并与诱饵交互时，均会触发诱饵模块产生日志并上报给负载均衡子模块，负载均衡子模块将所产生的日志及时地转发至搜索引擎子模块，从而在系统中记录入侵告警，并在可视化的后台运行的搜索引擎子模块的Elasticsearch API查询此日志并确定有新的告警，所述新的告警被发送到Flask后端，在该后端，可视化将解析数据并将信息保存到本地日志文件中，同时，可视化利用websocket通知前端GUI子模块有新的告警，所述通知会更新前端GUI子模块的图形以显示告警，并使受恶意活动影响的诱饵网络的节点闪烁。

2.如权利要求1所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述攻击对象阶段诱饵，包括密码诱饵、数据库诱饵和用户或系统文件诱饵。

3.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述密码诱饵，将多个假密码与真实密码一起分配给每个帐户，通过这种方式，即使攻击者设法破解被盗密码哈希(Hash)文件中的密码，他仍然不确定哪些密码是真实的，如果使用假密码登录，则会触发告警。

4.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述数据库诱饵，将诸如TABLE CREDIT_CARDS or VIEW EMPLOYEES_SALARY条目插入数据库以诱使攻击者，并通过数据库管理系统的实现模块监视对该诱饵的访问，向数据库管理员发出告警，并记录恶意活动。

5.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述用户或系统文件诱饵，自动部署诱饵文件，监控诱饵文件，一旦访问了这些文件，就会向系统用户发送告警，为了增加诱饵的诱惑力，从目标目录和目标文件系统收集的单词的替换和换位来生成假文件内容，基于文件的欺骗技术主要集中在诱饵用户数据文件上，为了防止合法活动访问诱饵系统文件而触发假告警，引入了一个隐藏接口，通过该接口排除诱饵文件，由于攻击必须调用一些系统文件，这种方法能够进一步地提高对黑客的检测。

Images