CN113872973B - 一种基于iptables的拟态蜜罐的实现方法及装置 - Google Patents

一种基于iptables的拟态蜜罐的实现方法及装置 Download PDF

Info

Publication number
CN113872973B
CN113872973B CN202111148063.8A CN202111148063A CN113872973B CN 113872973 B CN113872973 B CN 113872973B CN 202111148063 A CN202111148063 A CN 202111148063A CN 113872973 B CN113872973 B CN 113872973B
Authority
CN
China
Prior art keywords
honeypot
mimicry
target
port
attacker
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111148063.8A
Other languages
English (en)
Other versions
CN113872973A (zh
Inventor
彭进
李耀
田骏
张雯
陈思琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Zhongbang Bank Co Ltd
Original Assignee
Wuhan Zhongbang Bank Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Zhongbang Bank Co Ltd filed Critical Wuhan Zhongbang Bank Co Ltd
Priority to CN202111148063.8A priority Critical patent/CN113872973B/zh
Publication of CN113872973A publication Critical patent/CN113872973A/zh
Application granted granted Critical
Publication of CN113872973B publication Critical patent/CN113872973B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。主要方案包括当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;“感知模块”监听TCP 30000端口进行访问流量进行统计和记录;然后流量转发根据统计选择最精确目标蜜罐对应到攻击者的目标;流量转发模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐。

Description

一种基于iptables的拟态蜜罐的实现方法及装置
技术领域
本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。
背景技术
蜜罐技术是在网络攻防双方不对等情况下,防守者通过设置有价值、可利用的虚假目标,将入侵者引入蜜罐,引诱攻击者进行欺骗攻击,达到延迟攻击和暴露攻击者目的,根据攻击手段进行预测和威胁溯源。
蜜罐核心的能力是诱引攻击者去攻击蜜罐,越是逼真的服务越容易吸引攻击者的攻击,也更加的不容易被识破。但是真的假不了,假的真不了,蜜罐节点最终的宿命还是被攻击者识破。此时蜜罐的任务已经完成,已经吸引了攻击者的火力,拖缓了攻击者对真实资产的攻击。但是固定的蜜罐分布欺骗性有限,使得攻击者对网络结构的探测分析造成的迷惑性有限,如同在水稻田里的假稻草人,只能达到欺骗一次的效果,为更好的实现迷惑攻击者的目的,应该是让攻击者幻化在在拟态防御蜜网内,当攻击者通过定向端口扫描做确定攻击目标时,根据攻击者的目标端口,拟态防御蜜罐就幻化成目标蜜罐。
此专利是一种基于虚拟机全端口NAT及流量转发的技术配合实现的拟态蜜罐技术。此专利中描述的技术点能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
发明内容
本发明的目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
为了实现上述目的,本发明采用以下技术方案:
一种基于iptables的拟态蜜罐的实现方法,包括以下步骤:
步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
上述技术方案中,步骤3中所述定期为每间隔2秒。
上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
本发明还提供了一种基于iptables的拟态蜜罐的实现装置,包括以下步骤:
意图确认模块:当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
重定向模块、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
统计和记录模块、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
感知模块:根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则通知拟态防御蜜罐进行“流量转发”模块操作;
流量转发:模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
自适应切换模块、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
上述技术方案中,所述定期为每间隔2秒。
上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
因为本发明采用上述技术方案,因此具备以下有益效果:
1、通过iptables-t nat-A PREROUTING-i eth0-p tcp-m tcp--dport 1:65535-jREDIRECT--to-ports 30000重定向命令网卡将目的端口流量转发至30000端口,并提供到感知模块分析、决策。
2、感知模块监听拟态防御蜜罐的TCP 30000端口,并通过getsockopt(fd,SOL_IP,SO_ORIGINAL_DST,)函数获取到攻击者攻击拟态防御蜜罐的目标端口。
3、“感知模块”对每个端口的访问总数在内存中进行记录,并定期(每隔2秒)对每端口3分钟内的目标端口访问总数进行统计
4、“感知模块”根据攻击者定向扫描拟态防御蜜罐时,感知攻击者对目标端口的访问总数,当目标端口的访问总数高于5次(阈值),则感知模块通知拟态蜜罐进行自适应切换操作
5、假设“感知模块”发现攻击者在对TCP 22服务端口进行定向扫描时。攻击总数达到阈值(如3分钟5次),则告知“流量转发”模块
6、流量转发模块会通过Socket程序开启TCP22服务端监听程序,同时通过iptable命令删除原端口映射关系规则。
7、“流量转发”模块通过程序命令,将TCP 22攻击流量转发至并选择好蜜罐区中相对应服务的蜜罐。
8、攻击者攻击拟态防御蜜罐进行SSH爆破攻击时,流量转发模块将攻击流量牵引至蜜罐区中SSH服务蜜罐,混淆攻击者的目的,避免了对真实服务攻击,达到延缓攻击和欺骗的目的。
附图说明
图1为逻辑实现图。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供了一种基于iptables的拟态蜜罐的实现方法,包括以下步骤:
步骤1、当攻击者采用定向端口扫描进行漏洞和资产扫描时,如需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口.拟态防御蜜罐根据攻击者的目标端口确定攻击者意图,(如常见攻击类型:SSH爆破、sql注入、tomcat反序列化漏洞时).
步骤2、拟态防御蜜罐根据iptables目的端口重定向技术,将目的的端口全部映射到拟态蜜罐的30000端口。
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期(每隔2秒)对每端口3分钟内的访问流量进行统计和记录
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于5次(阈值),则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境(业务区域、互联网DMZ区域、管理区域)信息,选择最精确目标蜜罐对应到攻击者的目标。(如在管理区域部署拟态防御蜜罐,当攻击者攻击拟态蜜罐TCP 80端口HTTP服务时,拟态防御智将牵引攻击流量Zabbix服务蜜罐);
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。

Claims (10)

1.一种基于iptables的拟态蜜罐的实现方法,其特征在于,包括以下步骤:
步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;
步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
2.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,步骤3中所述定期为每间隔2秒。
3.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。
4.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
5.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
6.一种基于iptables的拟态蜜罐的实现装置,其特征在于,包括以下步骤:
意图确认模块:当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
重定向模块、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
统计和记录模块、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
感知模块:根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则通知拟态防御蜜罐进行“流量转发”模块操作;
流量转发:模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
自适应切换模块、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
7.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,所述定期为每间隔2秒。
8.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。
9.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
10.根据权利要求6所述的一种基于iptables的拟态蜜罐的实现装置,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
CN202111148063.8A 2021-09-29 2021-09-29 一种基于iptables的拟态蜜罐的实现方法及装置 Active CN113872973B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111148063.8A CN113872973B (zh) 2021-09-29 2021-09-29 一种基于iptables的拟态蜜罐的实现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111148063.8A CN113872973B (zh) 2021-09-29 2021-09-29 一种基于iptables的拟态蜜罐的实现方法及装置

Publications (2)

Publication Number Publication Date
CN113872973A CN113872973A (zh) 2021-12-31
CN113872973B true CN113872973B (zh) 2023-07-07

Family

ID=78992200

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111148063.8A Active CN113872973B (zh) 2021-09-29 2021-09-29 一种基于iptables的拟态蜜罐的实现方法及装置

Country Status (1)

Country Link
CN (1) CN113872973B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114785564A (zh) * 2022-04-01 2022-07-22 江苏天翼安全技术有限公司 一种基于以太网桥规则的防跳板机的通用方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006131124A1 (en) * 2005-06-10 2006-12-14 Gatesweeper Solutions Inc. Anti-hacker system with honey pot
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统
CN107979562A (zh) * 2016-10-21 2018-05-01 北京计算机技术及应用研究所 一种基于云平台的混合型蜜罐动态部署系统
CN109347794A (zh) * 2018-09-06 2019-02-15 国家电网有限公司 一种Web服务器安全防御方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗系统与方法
CN112187825A (zh) * 2020-10-13 2021-01-05 网络通信与安全紫金山实验室 一种基于拟态防御的蜜罐防御方法、系统、设备及介质
CN112291246A (zh) * 2020-10-30 2021-01-29 四川长虹电器股份有限公司 一种在蜜罐场景下扩展攻击流量牵引能力的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019127141A1 (en) * 2017-12-27 2019-07-04 Siemens Aktiengesellschaft Network traffic sending method and apparatus, and hybrid honeypot system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006131124A1 (en) * 2005-06-10 2006-12-14 Gatesweeper Solutions Inc. Anti-hacker system with honey pot
CN107979562A (zh) * 2016-10-21 2018-05-01 北京计算机技术及应用研究所 一种基于云平台的混合型蜜罐动态部署系统
CN107707576A (zh) * 2017-11-28 2018-02-16 深信服科技股份有限公司 一种基于蜜罐技术的网络防御方法及系统
CN109347794A (zh) * 2018-09-06 2019-02-15 国家电网有限公司 一种Web服务器安全防御方法
CN110011982A (zh) * 2019-03-19 2019-07-12 西安交通大学 一种基于虚拟化的攻击智能诱骗系统与方法
CN112187825A (zh) * 2020-10-13 2021-01-05 网络通信与安全紫金山实验室 一种基于拟态防御的蜜罐防御方法、系统、设备及介质
CN112291246A (zh) * 2020-10-30 2021-01-29 四川长虹电器股份有限公司 一种在蜜罐场景下扩展攻击流量牵引能力的方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种基于分布式蜜罐技术防御监测DDoS攻击的方法;汤辉;付康;胡少文;;江西通信科技(03);全文 *
基于蜜罐的欺骗防御系统的设计与实现;康红莲;《中国优秀硕士学位论文全文数据库》;全文 *

Also Published As

Publication number Publication date
CN113872973A (zh) 2021-12-31

Similar Documents

Publication Publication Date Title
Vidal et al. Adaptive artificial immune networks for mitigating DoS flooding attacks
Fachkha et al. Darknet as a source of cyber intelligence: Survey, taxonomy, and characterization
Burroughs et al. Analysis of distributed intrusion detection systems using Bayesian methods
CN107770199A (zh) 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
CN103561004A (zh) 基于蜜网的协同式主动防御系统
CN113691504B (zh) 一种基于软件定义网络的网络诱捕方法及系统
CN112383538A (zh) 一种混合式高交互工业蜜罐系统及方法
Singh et al. Testbed-based evaluation of siem tool for cyber kill chain model in power grid scada system
CN111683106A (zh) 主动防护系统及方法
CN113872973B (zh) 一种基于iptables的拟态蜜罐的实现方法及装置
Das et al. Flood control: Tcp-syn flood detection for software-defined networks using openflow port statistics
CN114978731B (zh) 一种基于多样性扩展的诱捕蜜罐实现系统及方法
Karthikeyan et al. Advanced Honey Pot Architecture for Network Threats Quantification
CN116781412A (zh) 一种基于异常行为的自动防御方法
CN112565197A (zh) 基于内外网引流异常第三方交互式蜜罐实现方法
LaBar et al. Honeypots: Security by deceiving threats
CN114157479B (zh) 一种基于动态欺骗的内网攻击防御方法
CN115134166A (zh) 一种基于蜜洞的攻击溯源方法
Chaithanya et al. Intelligent IDS: Venus Fly-trap Optimization with Honeypot Approach for Intrusion Detection and Prevention
Pateria et al. Critical path to place decoys in Deception biota
CN113660252B (zh) 主动防御系统及方法
Blumbergs Specialized cyber red team responsive computer network operations
Movva et al. Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention
CN114465747B (zh) 基于动态端口伪装的主动欺骗防御方法及系统
Suleiman et al. A Passive OS-Fingerprinting framework using honeypot

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant