CN114124523B - 一种零信任与网络诱捕相结合的网络防御系统及方法 - Google Patents

一种零信任与网络诱捕相结合的网络防御系统及方法 Download PDF

Info

Publication number
CN114124523B
CN114124523B CN202111388627.5A CN202111388627A CN114124523B CN 114124523 B CN114124523 B CN 114124523B CN 202111388627 A CN202111388627 A CN 202111388627A CN 114124523 B CN114124523 B CN 114124523B
Authority
CN
China
Prior art keywords
user
module
authentication
access
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111388627.5A
Other languages
English (en)
Other versions
CN114124523A (zh
Inventor
高小涵
贾哲
贾紫艺
焦利彬
刘丽哲
赵宾华
张翼飞
王强
吴向博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 54 Research Institute
Original Assignee
CETC 54 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 54 Research Institute filed Critical CETC 54 Research Institute
Priority to CN202111388627.5A priority Critical patent/CN114124523B/zh
Publication of CN114124523A publication Critical patent/CN114124523A/zh
Application granted granted Critical
Publication of CN114124523B publication Critical patent/CN114124523B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种零信任与网络诱捕相结合的网络防御系统及方法,属于网络空间安全技术领域。本发明结合零信任与网络诱捕思想,能有效地对网络内的真实用户提供可靠的保护,也能逼真地模拟虚假网络资源诱骗攻击者,使攻击者只能与虚假网络资源交互,对攻击者的攻击行为进行诱捕和分析。

Description

一种零信任与网络诱捕相结合的网络防御系统及方法
技术领域
本发明涉及网络安全技术领域,具体涉及一种零信任与网络诱捕相结合的网络防御系统及方法。
背景技术
网络内充满威胁,内外部的威胁无处不在,紧紧依靠网络位置,依靠访问用户是否在内网中有访问权限,是完全不够的,传统网络架构以网络为边界,其防御方法一般是在网络边界部署防火墙、VPN、入侵检测等方法,一旦设备连接入网都被认定为在网络内部受信,可以不受限制地访问网络内部的任意服务和资源。零信任思想以身份为边界,对连接入网的设备用户并不信任,在不可信的网络中重构安全系统。
当前网络安全控制相应策略相对单一,仅仅拒绝攻击者对网络内的真实信息的探测和攻击。尽管这样在检测和阻止某些攻击行为方面具有一定效果,但是仍然会给攻击者提供一些可用信息,并且没有利用大量来自攻击者的可用信息。诱捕技术通过克隆的网络、主机、存储空间、以及数据集来仿真一个与真实网络环境非常一致的场景,构建一个高逼真的诱捕环境。通过对攻击者进行吸引和与之交互,将攻击者诱骗至诱捕环境中,以便提取攻击者可能泄漏的有关自身和目标的行为信息。即使攻击者发现了存在诱骗行为,也难以确定所获取的信息有多少是有价值的。
发明内容
为了解决上述现有技术存在的问题,本发明提供了一种零信任与网络诱捕相结合的网络防御系统及方法,能有效地对网络内的真实用户提供可靠的保护,也能逼真地模拟虚假网络资源诱骗攻击者,使攻击者只能与虚假网络资源交互,对攻击者的攻击行为进行诱捕和分析。
本发明的目的是这样实现的:
一种零信任与网络诱捕相结合的网络防御系统,包括控制模块、诱捕模块、分析模块、终端模块;
控制模块包括权限管理模块、认证模块、网络控制模块;其中,认证模块负责对用户进行认证,接收用户发送的认证包,根据认证包中的信息确定网络内的用户是否属于可认证用户;权限管理模块负责对网络内用户的权限进行管理,包括对用户的权限的添加、分配和修改,对认证后的用户进行权限判定,判断用户有权访问的网络资源;网络控制模块负责对网络进行管理控制,根据生成的蜜罐的IP地址和MAC地址以及下一跳交换节点的MAC地址,向各个交换机下发流表,使网络流量按照设定的路线传递并到达目的地址;
诱捕模块包括诱捕环境管理模块、诱饵流量生成模块;其中,诱捕环境管理模块负责对生成的蜜罐进行管理和控制,包括随机动态创建蜜罐、根据最近最少使用算法删除蜜罐;诱饵流量生成模块负责根据网络内真实流量,随机动态生成诱饵流量,欺骗攻击者并诱捕攻击者;
分析模块负责分析蜜罐日志、蜜罐状态,分析攻击者的攻击状态;
终端模块包括终端认证模块、终端访问控制模块;其中,终端认证模块负责用户的认证,包括向认证模块发送认证包,对接收的认证包进行认证;终端访问控制模块负责为用户提供终端级别的保护,控制用户能否进行访问;
控制模块和诱捕模块部署在网络中的不同设备上,连接在不同的交换机上;终端认证模块和终端访问控制模块部署在网络中的用户设备上。
一种基于上述网络防御系统的服务正常访问方法,包括以下步骤:
步骤S101. 网络中用户的终端访问控制模块进行初始设置,仅允许控制模块的流量通过,源地址为其他的流量均不允许通过;
步骤S102. 对向其他用户提供服务的服务用户,通过其终端认证模块向认证模块发送认证包,认证包的内容包括该用户的用户名、口令、IP地址、MAC地址、向其他用户提供的服务名称;
步骤S103. 认证模块对服务用户发送的认证包认证通过后,在权限管理模块中的服务列表中添加该服务名称和IP地址信息,然后认证模块向该服务用户返回认证通过信息;
步骤S104. 对于访问其他用户提供的服务的访问用户,通过其终端认证模块向认证模块发送认证包,认证包的内容包括该用户的用户名、口令、IP地址、MAC地址;
步骤S105. 认证模块对访问用户发送的认证包认证通过后,在权限管理模块中的访问列表中添加该访问用户的用户名和IP地址信息;然后权限管理模块根据该访问用户的权限,确认其当前可访问的服务列表,所述服务列表中包括可访问服务名称和IP地址信息;认证模块向该访问用户返回该用户当前可访问的服务列表;
步骤S106. 访问用户根据收到的当前可访问的服务列表,确定要访问的服务的IP地址;访问用户的终端访问控制模块使服务用户到认证用户的流量到达认证模块;访问用户通过其终端认证模块向要访问的服务用户发送认证包,认证包的内容包括该访问用户的用户名和口令;
步骤S107. 服务用户的终端认证模块接收到访问用户的认证包,认证通过之后进行权限判定,判断该访问用户是否有权限访问服务;权限判定通过后,服务用户的终端认证模块向访问用户返回认证通过信息;终端访问控制模块使访问用户到服务的流量能够到达服务;
步骤S108. 访问用户向服务用户的服务发起访问,二者进行交互,正常工作;
步骤S109. 服务用户和访问用户每隔1分钟向认证模块重新认证,发送认证包。
一种基于上述网络防御系统的非正常流量诱捕方法,包括以下步骤:
步骤S201. 诱捕环境管理模块生成多个蜜罐,蜜罐的IP地址和MAC地址由两种生成方式生成:
第一种生成方式,根据权限管理模块的服务列表中的已有设备信息,使用相同的IP地址和MAC地址;
第二种生成方式,随机动态生成,但是生成的IP地址和MAC地址不与权限管理模块的服务列表和访问列表中的已有地址相同;
步骤S202. 网络控制模块根据由第二种生成方式生成的蜜罐的IP地址和MAC地址向网络中的交换机下发流表,使得目的地址为第二种蜜罐IP的流量能够通过流表到达蜜罐;
步骤S203. 诱饵流量生成模块根据网络内真实业务流量,随机动态生成诱饵流量,其源地址或目的地址为蜜罐地址,并在网络中动态传递;
步骤S204. 当有访问用户在认证模块认证失败时,认证模块向该访问用户返回蜜罐列表中的2至5个第一种生成方式生成的蜜罐IP地址;网络控制模块向网络中的交换机下发流表,使得该访问用户访问上述IP地址的流量能够优先通过流表到达蜜罐,而不是到达真实用户;
步骤S205. 当有访问用户在网络中对终端进行访问时,在终端为真实用户设备的情况下,若访问用户向终端发送认证包,则终端对访问用户发送的认证包进行认证;若访问用户向终端发送非认证包,则有两种情况:a)若访问用户已认证,则访问用户可以与终端进行交互;b)若访问用户未认证,则终端阻止访问用户的访问;在终端为蜜罐设备的情况下,访问用户与蜜罐进行交互;
步骤S206. 蜜罐中模拟真实服务,攻击者与蜜罐的虚假服务进行交互;
步骤S207. 蜜罐记录攻击者和蜜罐的交互信息;
步骤S208. 分析模块根据攻击者和蜜罐的交互信息以及蜜罐的日志和状态信息,分析攻击者的行为,实现对攻击者的诱捕和分析。
本发明的有益效果在于:
1. 本发明基于零信任思想,对网络内的真实用户提供可靠的保护,只有通过认证的用户才能对网络内的资源进行访问,且只能访问已认证的资源。
2. 本发明模拟虚拟网络资源诱骗攻击者,真实用户拒绝其访问,真实业务信息隐藏在虚假的网络资源中,大大减少了向攻击者暴露的攻击面;通过动态调整蜜罐,改变诱捕环境,实现对攻击者进行诱捕和分析。
3. 本发明不需要在流量访问终端服务之前进行误用、异常等入侵检测,减少了网络资源的消耗。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面对实施例或现有技术描述中所需要使用的附图作简单地介绍。下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其它的附图。
图1是本发明实施例中用户对服务正常访问的流程图。
图2是本发明实施例中诱捕方法的流程图。
图3是本发明实施例中诱捕系统的原理示意图。
具体实施方式
为了使本发明的目的及优点更加清楚明白,下面结合附图和具体实施例对本发明做进一步的说明。应当理解,以下文字仅仅用以描述本发明的一种或几种具体实施方式,并不对本发明具体请求的保护范围进行严格限定。
如图3所示,一种零信任与网络诱捕相结合的网络防御系统,包括控制模块,诱捕模块,分析模块和终端模块。
控制模块包括权限管理模块、认证模块、网络控制模块;认证模块负责对用户进行认证,接收用户发送的认证包,根据认证包中的信息确定网络内的用户是否属于可认证用户;权限管理模块负责对网络内用户的权限进行管理,包括对用户的权限的添加、分配和修改,对认证后的用户进行权限判定,判断用户有权访问的网络资源;网络控制模块负责对网络管理控制,根据生成的蜜罐的IP地址和MAC地址以及其下一跳交换节点的MAC地址,向各个交换机下发流表,使网络流量按照设定的路线传递,能够到达目的地址。
诱捕模块包括诱捕环境管理模块、诱饵流量生成模块;诱捕环境管理模块负责对生成的蜜罐进行管理和控制,包括随机动态创建蜜罐、根据最近最少使用算法删除蜜罐;诱饵流量生成模块负责根据网络内真实流量,随机动态生成诱饵流量,更加逼真的欺骗攻击者并诱捕攻击者。
分析模块负责分析蜜罐日志、蜜罐状态,分析攻击者的攻击状态。
终端模块包括终端认证模块、终端访问控制模块;终端认证模块负责用户的认证,包括向认证模块发送认证包,对接收的认证包进行认证;终端访问控制模块负责为用户提供终端级别的保护,控制用户能否进行访问。
其中,控制模块、诱捕模块需要部署在网络中的不同设备上,连接在不同的交换机上;终端认证模块和终端访问控制模块部署在网络中的用户设备上。
基于上述系统,可实现零信任与网络诱捕相结合的网络防御方法。如图1所示,网络中用户对服务正常访问的流程如下:
S101. 网络中用户的终端访问控制模块初始设置仅允许控制模块的流量通过,源地址为其他的流量均不允许通过;
S102. 想要向其他用户提供服务的用户(以下简称服务用户),通过其终端认证模块向认证模块发送认证包,所述认证包的内容包括该用户的用户名、口令、IP地址、MAC地址、想要向其他用户提供的服务名称;
S103. 认证模块对服务用户发送的认证包认证通过后,在权限管理模块中的服务列表中添加该服务名称和IP地址信息,然后认证模块向该服务用户返回认证通过信息;
S104. 想要访问其他用户提供的服务的用户(以下简称访问用户),通过其终端认证模块向认证模块发送认证包,所述认证包的内容包括该用户的用户名、口令、IP地址、MAC地址;
S105. 认证模块对访问用户发送的认证包认证通过后,在权限管理模块中的访问列表中添加该访问用户用户名和IP地址信息;然后权限管理模块根据该访问用户的权限,确认其当前可访问的服务列表,所述服务列表中包括可访问服务名称和IP地址信息;认证模块向该访问用户返回该用户当前可访问的服务列表;
S106. 访问用户根据收到的当前可访问的服务列表,确定要访问的服务的IP地址;访问用户的终端访问控制模块使服务用户到认证用户的流量可以到达认证模块;访问用户通过其终端认证模块向要访问的服务用户发送认证包,所述认证包的内容包括该访问用户的用户名和口令;
S107. 服务用户的终端认证模块接收到访问用户的认证包,认证通过之后进行权限判定,判断该访问用户是否有权限访问服务;权限判定通过后,服务用户的终端认证模块向访问用户返回认证通过信息;终端访问控制模块使访问用户到服务的流量可以到达服务;
S108. 访问用户向服务用户的服务发起访问,二者进行交互,正常工作;
S109. 服务用户和访问用户每隔1分钟需要向认证模块重新认证,发送认证包。
如图2所示,该网络中对非正常流量的诱捕流程如下:
S201. 诱捕环境管理模块生成若干蜜罐,所述蜜罐的IP地址和MAC地址由两种生成方式生成:第一种生成方式,根据权限管理模块的服务列表中的已有设备信息,使用相同的IP地址和MAC地址;第二种生成方式,随机动态生成,但是生成的IP地址和MAC地址不能与权限管理模块的服务列表和访问列表中的已有地址相同;
S202. 网络控制模块根据由第二种生成方式生成的蜜罐的IP地址和MAC地址向网络中的交换机下发流表,使得目的地址为第二种蜜罐IP的流量可以通过流表到达蜜罐;
S203. 诱饵流量生成模块根据网络内真实业务流量,随机动态生成诱饵流量(源地址或目的地址为蜜罐地址),在网络中动态传递;
S204. 当有访问用户在认证模块认证失败,认证模块向该访问用户返回蜜罐列表中的若干第一种生成方式生成的蜜罐IP地址(2至5个);网络控制模块向网络中的交换机下发流表,使得该访问用户访问上述IP地址的流量可以优先通过流表到达蜜罐,而不是到达真实用户;
S205. 当有访问用户在网络中对终端进行访问,①终端为真实用户设备,若访问用户向终端发送认证包,则终端对访问用户发送的认证包进行认证;若访问用户向终端发送非认证包,则有两种情况:a若访问用户已认证,则访问用户可以与终端进行交互;b若访问用户未认证,则终端阻止访问用户的访问;②终端为蜜罐设备,则访问用户与蜜罐进行交互。
S206. 蜜罐中模拟真实服务,攻击者与蜜罐的虚假服务进行交互;
S207. 蜜罐记录攻击者和蜜罐的交互信息;
S208. 分析模块根据攻击者和蜜罐的交互信息以及蜜罐的日志和状态信息,分析攻击者的行为,实现对攻击者的诱捕和分析。
至此,完成对访问用户的诱捕和分析,同时,能够有效地对真实用户提供可靠的保护。
总之,本发明结合零信任与网络诱捕思想,能有效地对网络内的真实用户提供可靠的保护,也能逼真地模拟虚假网络资源诱骗攻击者,使攻击者只能与虚假网络资源交互,对攻击者的攻击行为进行诱捕和分析。

Claims (2)

1.一种基于网络防御系统的服务正常访问方法,其特征在于,所述网络防御系统包括控制模块、诱捕模块、分析模块、终端模块;
控制模块包括权限管理模块、认证模块、网络控制模块;其中,认证模块负责对用户进行认证,接收用户发送的认证包,根据认证包中的信息确定网络内的用户是否属于可认证用户;权限管理模块负责对网络内用户的权限进行管理,包括对用户的权限的添加、分配和修改,对认证后的用户进行权限判定,判断用户有权访问的网络资源;网络控制模块负责对网络进行管理控制,根据生成的蜜罐的IP地址和MAC地址以及下一跳交换节点的MAC地址,向各个交换机下发流表,使网络流量按照设定的路线传递并到达目的地址;
诱捕模块包括诱捕环境管理模块、诱饵流量生成模块;其中,诱捕环境管理模块负责对生成的蜜罐进行管理和控制,包括随机动态创建蜜罐、根据最近最少使用算法删除蜜罐;诱饵流量生成模块负责根据网络内真实流量,随机动态生成诱饵流量,欺骗攻击者并诱捕攻击者;
分析模块负责分析蜜罐日志、蜜罐状态,分析攻击者的攻击状态;
终端模块包括终端认证模块、终端访问控制模块;其中,终端认证模块负责用户的认证,包括向认证模块发送认证包,对接收的认证包进行认证;终端访问控制模块负责为用户提供终端级别的保护,控制用户能否进行访问;
控制模块和诱捕模块部署在网络中的不同设备上,连接在不同的交换机上;终端认证模块和终端访问控制模块部署在网络中的用户设备上;
该方法包括以下步骤:
步骤S101.网络中用户的终端访问控制模块进行初始设置,仅允许控制模块的流量通过,源地址为其他的流量均不允许通过;
步骤S102.对向其他用户提供服务的服务用户,通过其终端认证模块向认证模块发送认证包,认证包的内容包括该用户的用户名、口令、IP地址、MAC地址、向其他用户提供的服务名称;
步骤S103.认证模块对服务用户发送的认证包认证通过后,在权限管理模块中的服务列表中添加该服务名称和IP地址信息,然后认证模块向该服务用户返回认证通过信息;
步骤S104.对于访问其他用户提供的服务的访问用户,通过其终端认证模块向认证模块发送认证包,认证包的内容包括该用户的用户名、口令、IP地址、MAC地址;
步骤S105.认证模块对访问用户发送的认证包认证通过后,在权限管理模块中的访问列表中添加该访问用户的用户名和IP地址信息;然后权限管理模块根据该访问用户的权限,确认其当前可访问的服务列表,所述服务列表中包括可访问服务名称和IP地址信息;认证模块向该访问用户返回该用户当前可访问的服务列表;
步骤S106.访问用户根据收到的当前可访问的服务列表,确定要访问的服务的IP地址;访问用户的终端访问控制模块使服务用户到认证用户的流量到达认证模块;访问用户通过其终端认证模块向要访问的服务用户发送认证包,认证包的内容包括该访问用户的用户名和口令;
步骤S107.服务用户的终端认证模块接收到访问用户的认证包,认证通过之后进行权限判定,判断该访问用户是否有权限访问服务;权限判定通过后,服务用户的终端认证模块向访问用户返回认证通过信息;终端访问控制模块使访问用户到服务的流量能够到达服务;
步骤S108.访问用户向服务用户的服务发起访问,二者进行交互,正常工作;
步骤S109.服务用户和访问用户每隔1分钟向认证模块重新认证,发送认证包。
2.一种基于网络防御系统的非正常流量诱捕方法,其特征在于,所述网络防御系统包括控制模块、诱捕模块、分析模块、终端模块;
控制模块包括权限管理模块、认证模块、网络控制模块;其中,认证模块负责对用户进行认证,接收用户发送的认证包,根据认证包中的信息确定网络内的用户是否属于可认证用户;权限管理模块负责对网络内用户的权限进行管理,包括对用户的权限的添加、分配和修改,对认证后的用户进行权限判定,判断用户有权访问的网络资源;网络控制模块负责对网络进行管理控制,根据生成的蜜罐的IP地址和MAC地址以及下一跳交换节点的MAC地址,向各个交换机下发流表,使网络流量按照设定的路线传递并到达目的地址;
诱捕模块包括诱捕环境管理模块、诱饵流量生成模块;其中,诱捕环境管理模块负责对生成的蜜罐进行管理和控制,包括随机动态创建蜜罐、根据最近最少使用算法删除蜜罐;诱饵流量生成模块负责根据网络内真实流量,随机动态生成诱饵流量,欺骗攻击者并诱捕攻击者;
分析模块负责分析蜜罐日志、蜜罐状态,分析攻击者的攻击状态;
终端模块包括终端认证模块、终端访问控制模块;其中,终端认证模块负责用户的认证,包括向认证模块发送认证包,对接收的认证包进行认证;终端访问控制模块负责为用户提供终端级别的保护,控制用户能否进行访问;
控制模块和诱捕模块部署在网络中的不同设备上,连接在不同的交换机上;终端认证模块和终端访问控制模块部署在网络中的用户设备上;
该方法包括以下步骤:
步骤S201.诱捕环境管理模块生成多个蜜罐,蜜罐的IP地址和MAC地址由两种生成方式生成:
第一种生成方式,根据权限管理模块的服务列表中的已有设备信息,使用相同的IP地址和MAC地址;
第二种生成方式,随机动态生成,但是生成的IP地址和MAC地址不与权限管理模块的服务列表和访问列表中的已有地址相同;
步骤S202.网络控制模块根据由第二种生成方式生成的蜜罐的IP地址和MAC地址向网络中的交换机下发流表,使得目的地址为第二种蜜罐IP的流量能够通过流表到达蜜罐;
步骤S203.诱饵流量生成模块根据网络内真实业务流量,随机动态生成诱饵流量,其源地址或目的地址为蜜罐地址,并在网络中动态传递;
步骤S204.当有访问用户在认证模块认证失败时,认证模块向该访问用户返回蜜罐列表中的2至5个第一种生成方式生成的蜜罐IP地址;网络控制模块向网络中的交换机下发流表,使得该访问用户访问上述IP地址的流量能够优先通过流表到达蜜罐,而不是到达真实用户;
步骤S205.当有访问用户在网络中对终端进行访问时,在终端为真实用户设备的情况下,若访问用户向终端发送认证包,则终端对访问用户发送的认证包进行认证;若访问用户向终端发送非认证包,则有两种情况:a)若访问用户已认证,则访问用户可以与终端进行交互;b)若访问用户未认证,则终端阻止访问用户的访问;在终端为蜜罐设备的情况下,访问用户与蜜罐进行交互;
步骤S206.蜜罐中模拟真实服务,攻击者与蜜罐的虚假服务进行交互;
步骤S207.蜜罐记录攻击者和蜜罐的交互信息;
步骤S208.分析模块根据攻击者和蜜罐的交互信息以及蜜罐的日志和状态信息,分析攻击者的行为,实现对攻击者的诱捕和分析。
CN202111388627.5A 2021-11-22 2021-11-22 一种零信任与网络诱捕相结合的网络防御系统及方法 Active CN114124523B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111388627.5A CN114124523B (zh) 2021-11-22 2021-11-22 一种零信任与网络诱捕相结合的网络防御系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111388627.5A CN114124523B (zh) 2021-11-22 2021-11-22 一种零信任与网络诱捕相结合的网络防御系统及方法

Publications (2)

Publication Number Publication Date
CN114124523A CN114124523A (zh) 2022-03-01
CN114124523B true CN114124523B (zh) 2024-01-26

Family

ID=80439580

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111388627.5A Active CN114124523B (zh) 2021-11-22 2021-11-22 一种零信任与网络诱捕相结合的网络防御系统及方法

Country Status (1)

Country Link
CN (1) CN114124523B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015149663A1 (zh) * 2014-04-03 2015-10-08 国家电网公司 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
CN111385236A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于网络诱骗的动态防御系统
CN112578761A (zh) * 2021-02-03 2021-03-30 山东云天安全技术有限公司 一种工业控制蜜罐安全防护装置及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553885B2 (en) * 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10462181B2 (en) * 2016-05-10 2019-10-29 Quadrant Information Security Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015149663A1 (zh) * 2014-04-03 2015-10-08 国家电网公司 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法
CN111385236A (zh) * 2018-12-27 2020-07-07 北京卫达信息技术有限公司 一种基于网络诱骗的动态防御系统
CN112578761A (zh) * 2021-02-03 2021-03-30 山东云天安全技术有限公司 一种工业控制蜜罐安全防护装置及方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
"5G智慧港口行业应用安全解决方案";薄明霞等;《信息安全研究》;第7卷(第5期);428-435 *
以平行仿真技术为核心的网络安全蜜罐技术路线;蔡晶晶;潘柱廷;张凯;余慧英;;信息技术与标准化(第10期);全文 *
基于软件定义安全的企业内网威胁诱捕机制;刘文懋;刘威歆;;信息技术与网络安全(第07期);全文 *
大数据系统的安全体系建设;温春东;刘云华;佟玉超;;信息通信(第01期);全文 *
构建以业务为核心工业控制系统网络安全主动防御体系的方法;孟瑜炜;;现代制造技术与装备(第08期);全文 *
虚拟蜜网系统的设计与实现;黄芳;刘渊;;微计算机信息(第33期);全文 *

Also Published As

Publication number Publication date
CN114124523A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
US9848016B2 (en) Identifying malicious devices within a computer network
US20180146001A1 (en) Network security based on device identifiers and network addresses
CN106850690B (zh) 一种蜜罐构造方法及系统
US11539695B2 (en) Secure controlled access to protected resources
CN110830447A (zh) 一种spa单包授权的方法及装置
CN113691504B (zh) 一种基于软件定义网络的网络诱捕方法及系统
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
Alosaimi et al. An enhanced economical denial of sustainability mitigation system for the cloud
Nappa et al. Take a deep breath: a stealthy, resilient and cost-effective botnet using skype
CN116192497A (zh) 一种基于零信任体系的网络准入和用户认证的安全交互方法
CN114124523B (zh) 一种零信任与网络诱捕相结合的网络防御系统及方法
Aslam et al. Enhancing security of cloud using static IP techniques
US20220103582A1 (en) System and method for cybersecurity
CN111416815B (zh) 报文处理方法、电子设备和存储介质
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
CN117176389B (zh) 一种安全防御方法、装置、设备及存储介质
Almohri et al. A Client Bootstrapping Protocol for DoS Attack Mitigation on Entry Point Services in the Cloud
CN115665744B (zh) 车联网交互方法、装置、设备及介质
Kaur et al. Potential Security Requirements in IoT to Prevent Attacks and Threats
CN117240910B (zh) 零信任校验系统以及方法
Choi et al. Cookies and Sessions: A Study of what they are, how they can be Stolen and a Discussion on Security
KR102184757B1 (ko) 네트워크 은닉 시스템 및 방법
CN117176389A (zh) 一种安全防御方法、装置、设备及存储介质
Zhou Vulnerability analysis and protection of smart home gateway
CN115242730A (zh) 基于正向代理技术的安全式互联网接入方法及其系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant