CN113872973B - 一种基于iptables的拟态蜜罐的实现方法及装置 - Google Patents
一种基于iptables的拟态蜜罐的实现方法及装置 Download PDFInfo
- Publication number
- CN113872973B CN113872973B CN202111148063.8A CN202111148063A CN113872973B CN 113872973 B CN113872973 B CN 113872973B CN 202111148063 A CN202111148063 A CN 202111148063A CN 113872973 B CN113872973 B CN 113872973B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- mimicry
- target
- port
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。主要方案包括当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;“感知模块”监听TCP 30000端口进行访问流量进行统计和记录;然后流量转发根据统计选择最精确目标蜜罐对应到攻击者的目标;流量转发模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐。
Description
技术领域
本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。
背景技术
蜜罐技术是在网络攻防双方不对等情况下,防守者通过设置有价值、可利用的虚假目标,将入侵者引入蜜罐,引诱攻击者进行欺骗攻击,达到延迟攻击和暴露攻击者目的,根据攻击手段进行预测和威胁溯源。
蜜罐核心的能力是诱引攻击者去攻击蜜罐,越是逼真的服务越容易吸引攻击者的攻击,也更加的不容易被识破。但是真的假不了,假的真不了,蜜罐节点最终的宿命还是被攻击者识破。此时蜜罐的任务已经完成,已经吸引了攻击者的火力,拖缓了攻击者对真实资产的攻击。但是固定的蜜罐分布欺骗性有限,使得攻击者对网络结构的探测分析造成的迷惑性有限,如同在水稻田里的假稻草人,只能达到欺骗一次的效果,为更好的实现迷惑攻击者的目的,应该是让攻击者幻化在在拟态防御蜜网内,当攻击者通过定向端口扫描做确定攻击目标时,根据攻击者的目标端口,拟态防御蜜罐就幻化成目标蜜罐。
此专利是一种基于虚拟机全端口NAT及流量转发的技术配合实现的拟态蜜罐技术。此专利中描述的技术点能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
发明内容
本发明的目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
为了实现上述目的,本发明采用以下技术方案:
一种基于iptables的拟态蜜罐的实现方法,包括以下步骤:
步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
上述技术方案中,步骤3中所述定期为每间隔2秒。
上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
本发明还提供了一种基于iptables的拟态蜜罐的实现装置,包括以下步骤:
意图确认模块:当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
重定向模块、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
统计和记录模块、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
感知模块:根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则通知拟态防御蜜罐进行“流量转发”模块操作;
流量转发:模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
自适应切换模块、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
上述技术方案中,所述定期为每间隔2秒。
上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
因为本发明采用上述技术方案,因此具备以下有益效果:
1、通过iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 1:65535-jREDIRECT--to-ports 30000重定向命令网卡将目的端口流量转发至30000端口,并提供到感知模块分析、决策。
2、感知模块监听拟态防御蜜罐的TCP 30000端口,并通过getsockopt(fd,SOL_IP,SO_ORIGINAL_DST,)函数获取到攻击者攻击拟态防御蜜罐的目标端口。
3、“感知模块”对每个端口的访问总数在内存中进行记录,并定期(每隔2秒)对每端口3分钟内的目标端口访问总数进行统计
4、“感知模块”根据攻击者定向扫描拟态防御蜜罐时,感知攻击者对目标端口的访问总数,当目标端口的访问总数高于5次(阈值),则感知模块通知拟态蜜罐进行自适应切换操作
5、假设“感知模块”发现攻击者在对TCP 22服务端口进行定向扫描时。攻击总数达到阈值(如3分钟5次),则告知“流量转发”模块
6、流量转发模块会通过Socket程序开启TCP22服务端监听程序,同时通过iptable命令删除原端口映射关系规则。
7、“流量转发”模块通过程序命令,将TCP 22攻击流量转发至并选择好蜜罐区中相对应服务的蜜罐。
8、攻击者攻击拟态防御蜜罐进行SSH爆破攻击时,流量转发模块将攻击流量牵引至蜜罐区中SSH服务蜜罐,混淆攻击者的目的,避免了对真实服务攻击,达到延缓攻击和欺骗的目的。
附图说明
图1为逻辑实现图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供了一种基于iptables的拟态蜜罐的实现方法,包括以下步骤:
步骤1、当攻击者采用定向端口扫描进行漏洞和资产扫描时,如需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口.拟态防御蜜罐根据攻击者的目标端口确定攻击者意图,(如常见攻击类型:SSH爆破、sql注入、tomcat反序列化漏洞时).
步骤2、拟态防御蜜罐根据iptables目的端口重定向技术,将目的的端口全部映射到拟态蜜罐的30000端口。
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期(每隔2秒)对每端口3分钟内的访问流量进行统计和记录
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于5次(阈值),则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境(业务区域、互联网DMZ区域、管理区域)信息,选择最精确目标蜜罐对应到攻击者的目标。(如在管理区域部署拟态防御蜜罐,当攻击者攻击拟态蜜罐TCP 80端口HTTP服务时,拟态防御智将牵引攻击流量Zabbix服务蜜罐);
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
Claims (10)
1.一种基于iptables的拟态蜜罐的实现方法,其特征在于,包括以下步骤:
步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
2.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,步骤3中所述定期为每间隔2秒。
3.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。
4.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
5.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
6.一种基于iptables的拟态蜜罐的实现装置,其特征在于,包括以下步骤:
意图确认模块:当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
重定向模块、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
统计和记录模块、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
感知模块:根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则通知拟态防御蜜罐进行“流量转发”模块操作;
流量转发:模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
自适应切换模块、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
7.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,所述定期为每间隔2秒。
8.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。
9.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
10.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111148063.8A CN113872973B (zh) | 2021-09-29 | 2021-09-29 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111148063.8A CN113872973B (zh) | 2021-09-29 | 2021-09-29 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113872973A CN113872973A (zh) | 2021-12-31 |
CN113872973B true CN113872973B (zh) | 2023-07-07 |
Family
ID=78992200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111148063.8A Active CN113872973B (zh) | 2021-09-29 | 2021-09-29 | 一种基于iptables的拟态蜜罐的实现方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113872973B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
-
2021
- 2021-09-29 CN CN202111148063.8A patent/CN113872973B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
CN109347794A (zh) * | 2018-09-06 | 2019-02-15 | 国家电网有限公司 | 一种Web服务器安全防御方法 |
CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Non-Patent Citations (2)
Title |
---|
一种基于分布式蜜罐技术防御监测DDoS攻击的方法;汤辉;付康;胡少文;;江西通信科技(03);全文 * |
基于蜜罐的欺骗防御系统的设计与实现;康红莲;《中国优秀硕士学位论文全文数据库》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113872973A (zh) | 2021-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
Fachkha et al. | Darknet as a source of cyber intelligence: Survey, taxonomy, and characterization | |
Burroughs et al. | Analysis of distributed intrusion detection systems using Bayesian methods | |
CN107770199A (zh) | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN113691504B (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
CN112383538A (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
Singh et al. | Testbed-based evaluation of siem tool for cyber kill chain model in power grid scada system | |
CN111683106A (zh) | 主动防护系统及方法 | |
CN113872973B (zh) | 一种基于iptables的拟态蜜罐的实现方法及装置 | |
Das et al. | Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics | |
CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 | |
Karthikeyan et al. | Advanced Honey Pot Architecture for Network Threats Quantification | |
CN116781412A (zh) | 一种基于异常行为的自动防御方法 | |
CN112565197A (zh) | 基于内外网引流异常第三方交互式蜜罐实现方法 | |
LaBar et al. | Honeypots: Security by deceiving threats | |
CN114157479B (zh) | 一种基于动态欺骗的内网攻击防御方法 | |
CN115134166A (zh) | 一种基于蜜洞的攻击溯源方法 | |
Chaithanya et al. | Intelligent IDS: Venus Fly-trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
Pateria et al. | Critical path to place decoys in Deception biota | |
CN113660252B (zh) | 主动防御系统及方法 | |
Blumbergs | Specialized cyber red team responsive computer network operations | |
Movva et al. | Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
CN114465747B (zh) | 基于动态端口伪装的主动欺骗防御方法及系统 | |
Suleiman et al. | A Passive OS-Fingerprinting framework using honeypot |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |