CN114221815A - 一种基于编排蜜网的入侵检测方法、存储介质及系统 - Google Patents
一种基于编排蜜网的入侵检测方法、存储介质及系统 Download PDFInfo
- Publication number
- CN114221815A CN114221815A CN202111546223.4A CN202111546223A CN114221815A CN 114221815 A CN114221815 A CN 114221815A CN 202111546223 A CN202111546223 A CN 202111546223A CN 114221815 A CN114221815 A CN 114221815A
- Authority
- CN
- China
- Prior art keywords
- honey
- net
- honey net
- service
- cloud environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于编排蜜网的入侵检测方法、存储介质及系统,涉及网络安全领域。该方法包括:根据业务网的拓扑结构编排构建蜜网,将所述蜜网部署到所述预设云环境中,将所述业务网中的流量重定向到所述预设云环境中的蜜网,通过所述蜜网检测所述流量中的异常流量,基于业务网真实网络拓扑构建蜜网,具有真实的网络结构,显著提高了蜜网的真实性和诱骗能力,通过蜜网与业务攻击者进行交互,以识别所使用的策略和工具,挖掘出未知的规则应对攻击,有效防御未知的攻击方式。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于编排蜜网的入侵检测方法、存储介质及系统。
背景技术
随着互联网行业的高速发展,各种网络攻击的方式也在不断变化,网络安全问题也变得越来越严重。尤其是近年来,通过互联网进行的入侵和攻击显著增加,攻击者使用的工具和技术也有了明显的演变。传统的被动安全防御技术,例如入侵检测系统(IDS)和动态防火墙,只能依赖已知的规则来应对攻击,并不能有效的防御未知的攻击方式。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种基于编排蜜网的入侵检测方法、存储介质及系统。
本发明解决上述技术问题的技术方案如下:
一种基于编排蜜网的入侵检测方法,包括:
根据业务网的拓扑结构编排构建蜜网;
将所述蜜网部署到所述预设云环境中;
将所述业务网中的流量重定向到所述预设云环境中的蜜网;
通过所述蜜网检测所述流量中的异常流量。
本发明的有益效果是:本方案通过将根据业务网的拓扑结构编排构建蜜网部署到预设云环境中,再将业务网中的流量重定向到预设云环境中的蜜网,检测业务流量中的异常流量。基于业务网真实网络拓扑构建蜜网,具有真实的网络结构,显著提高了蜜网的真实性和诱骗能力,通过蜜网与业务攻击者进行交互,以识别所使用的策略和工具,挖掘出未知的规则应对攻击,有效防御未知的攻击方式。通过本方案的方法大规模部署蜜网的问题,提高了部署效率和资源利用率,同时也增强了蜜网的真实性。
进一步地,所述根据业务网的拓扑结构编排构建蜜网具体包括:
获取业务网的拓扑结构,根据所述拓扑结构获得蜜网描述信息;
对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据所述蜜网部署配置信息编排构建蜜网。
采用上述进一步方案的有益效果是:本方案根据业务网的拓扑结构获得蜜网描述信息,对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息,根据所述蜜网部署配置信息编排构建蜜网。根据真实网络拓扑结构在云环境中构建容器蜜网,提高了蜜网的真实性,增加了攻击者在蜜网中的滞留时间。
进一步地,所述根据所述拓扑结构获得蜜网描述信息之前还包括:
对所述拓扑结构进行验证,当验证结果满足预设格式条件则对所述蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回验证步骤。
采用上述进一步方案的有益效果是:本方案通验证蜜网描述信息是否符合预定格式,对不合格的蜜网描述信息进行筛选。
进一步地,所述蜜网部署配置信息包括;虚拟机集群的第一部署配置信息和虚拟机集群内部容器蜜网的第二部署配置信息;
所述根据所述蜜网部署配置信息编排构建蜜网具体包括:
调度预设云环境的虚拟机资源和网络资源,结合所述第一部署配置信息构建蜜网的宿主机集群;
在宿主机集群内,根据所述第二部署配置信息对所述业务网中的不同子网进行重构,生成容器蜜网集群。
采用上述进一步方案的有益效果是:本方案通过调度预设云环境的虚拟机资源和网络资源,结合所述第一部署配置信息构建蜜网的宿主机集群,在宿主机集群内,根据所述第二部署配置信息对所述业务网中的不同子网进行重构,生成容器蜜网集群;在云环境的虚拟机集群上部署容器集群蜜网,显著解决了传统蜜网需要固定物理服务器资源的问题,使得资源占用可弹性伸缩调整,且部署迅速,提高了资源利用率。
进一步地,还包括:
定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息;
根据更新后的蜜网描述信息调整预设云环境中的蜜网。
采用上述进一步方案的有益效果是:本方案通过定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息,根据更新后的蜜网描述信息调整预设云环境中的蜜网,根据业务网的变化,对宿主虚拟机集群进行扩容和缩容,提高资源利用率。
本发明解决上述技术问题的另一种技术方案如下:
一种基于编排蜜网的入侵检测系统,包括:蜜网编排构建模块、部署模块、流量重定向模块和检测模块;
所述蜜网编排构建模块用于根据业务网的拓扑结构编排构建蜜网;
所述部署模块用于将所述蜜网部署到所述预设云环境中;
所述流量重定向模块用于将所述业务网中的流量重定向到所述预设云环境中的蜜网;
所述检测模块用于通过所述蜜网检测所述流量中的异常流量。
本发明的有益效果是:本方案通过将根据业务网的拓扑结构编排构建蜜网部署到预设云环境中,再将业务网中的流量重定向到预设云环境中的蜜网,检测业务流量中的异常流量。基于业务网真实网络拓扑构建蜜网,具有真实的网络结构,显著提高了蜜网的真实性和诱骗能力,通过蜜网与业务攻击者进行交互,以识别所使用的策略和工具,挖掘出未知的规则应对攻击,有效防御未知的攻击方式。通过本方案的方法大规模部署蜜网的问题,提高了部署效率和资源利用率,同时也增强了蜜网的真实性。
进一步地,所述蜜网编排构建模块具体用于获取业务网的拓扑结构,根据所述拓扑结构获得蜜网描述信息;
对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据所述蜜网部署配置信息编排构建蜜网。
采用上述进一步方案的有益效果是:本方案根据业务网的拓扑结构获得蜜网描述信息,对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息,根据所述蜜网部署配置信息编排构建蜜网。根据真实网络拓扑结构在云环境中构建容器蜜网,提高了蜜网的真实性,增加了攻击者在蜜网中的滞留时间。
进一步地,还包括:验证模块,用于对所述拓扑结构进行验证,当验证结果满足预设格式条件则对所述蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回进行拓扑结构验证。
采用上述进一步方案的有益效果是:本方案通验证蜜网描述信息是否符合预定格式,对不合格的蜜网描述信息进行筛选。
进一步地,所述蜜网部署配置信息包括;虚拟机集群的第一部署配置信息和虚拟机集群内部容器蜜网的第二部署配置信息;
所述蜜网编排构建模块具体用于调度预设云环境的虚拟机资源和网络资源,结合所述第一部署配置信息构建蜜网的宿主机集群;
在宿主机集群内,根据所述第二部署配置信息对所述业务网中的不同子网进行重构,生成容器蜜网集群。
采用上述进一步方案的有益效果是:本方案通过调度预设云环境的虚拟机资源和网络资源,结合所述第一部署配置信息构建蜜网的宿主机集群,在宿主机集群内,根据所述第二部署配置信息对所述业务网中的不同子网进行重构,生成容器蜜网集群;在云环境的虚拟机集群上部署容器集群蜜网,显著解决了传统蜜网需要固定物理服务器资源的问题,使得资源占用可弹性伸缩调整,且部署迅速,提高了资源利用率。
进一步地,还包括:更新模块,用于定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息;
根据更新后的蜜网描述信息调整预设云环境中的蜜网。
采用上述进一步方案的有益效果是:本方案通过定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息,根据更新后的蜜网描述信息调整预设云环境中的蜜网,根据业务网的变化,对宿主虚拟机集群进行扩容和缩容,提高资源利用率。
本发明解决上述技术问题的另一种技术方案如下:
一种存储介质,所述存储介质中存储有指令,当计算机读取所述指令时,使所述计算机执行如上述任一方案所述的一种基于编排蜜网的入侵检测方法。
本发明解决上述技术问题的另一种技术方案如下:
一种业务检测系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,实现如上述任一方案所述的一种基于编排蜜网的入侵检测方法。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明的实施例提供的种基于编排蜜网的入侵检测方法的流程示意图;
图2为本发明的实施例提供的一种基于编排蜜网的入侵检测系统的结构框图;
图3为本发明的其他实施例提供的云环境蜜网动态编排系统的架构图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实施例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明实施例提供的一种基于编排蜜网的入侵检测方法,包括:需要说明的是,蜜网属于一种主动防御技术,蜜网不是试图限制攻击者的访问,而是和攻击者进行交互,以识别所使用的策略和工具。蜜网在蜜罐中布置的漏洞和监测系统,引诱攻击者攻击,并对攻击行为进行记录,可以进一步对攻击者的攻击行为进行分析和对攻击者溯源。蜜网的核心是蜜罐,蜜罐可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互和中交互蜜罐不是真实的计算机系统,而是通过程序模拟出来的,提供给攻击者的交互能力十分有限,因此也无法充分获取攻击者的行为。高交互蜜罐是真实的操作系统或应用程序,能够与潜在的攻击者进行充分交互,从而捕获攻击者更多的信息。但由于高交互蜜罐的复杂性和占用的资源问题,传统蜜网系统中只能部署少量的高交互蜜罐,且对真实业务网络环境的模拟程度不够。大部分的蜜网系统部署在单个物理主机或单个虚拟机中,无法构建大规模的蜜网。通过本方案编码构件的蜜网可以很好的改善这个情况。
S1,根据业务网的拓扑结构编排构建蜜网;
S2,将蜜网部署到预设云环境中;需要说明的是,优选地,在某一实施例中,预设云环境可以是openstack私有云环境。
S3,将业务网中的流量重定向到预设云环境中的蜜网;
S4,通过蜜网检测流量中的异常流量。
需要说明的是,在某一实施例中,通过将真实业务网环境在云平台中进行复现,编排实现一套以云平台中虚拟机集群为宿主,以容器集群为蜜罐载体的蜜网系统;将业务网的可以流量重定向到云环境中的蜜网,通过蜜网检测业务网的流量。
在某一实施例中,如图3所示,云环境蜜网动态编排系统在蜜网创建完毕后,需要通过攻击流量检测模块和流量转发模块将业务网中的异常流量重定向到蜜网,攻击流量检测模块采用在业务主机上部署容器的方式,且容器和宿主机在同一网段。由于此容器是和业务无关的,所以任何访问此容器的流量都可以被认定为异常流量。在云环境采用的是openstack私有云环境,流量转发模块可以采用iptables技术进行流量重定向。
在某一实施例中,蜜网中的容器,是以云平台中虚拟机集群为宿主,以容器集群为蜜罐载体的蜜网系统,与攻击流量检测模块部署的容器不是一个。首先,攻击流量检测模块部署的容器部署位置是本地业务网,而蜜网中的容器部署在云环境;其次,攻击流量检测模块部署的容器与蜜网中容器的关系是代理关系。其中,攻击流量检测模块部署的每个容器A在蜜网中都有一个对应容器B;容器A和容器B运行的服务一致,例如都是MySQL服务,配置的账号、密码和开放端口也一样;访问容器A的流量会被转发到容器B。部署方法可以包括:业务网的每个子网至少部署1个此类容器,容器运行的服务根据当前子网确定,可以是子网包含服务的任意一种,例如web服务或数据库服务,部署位置可以是业务主机或单独的虚拟机,并根据当前子网可用ip确定容器ip地址。
本方案通过将根据业务网的拓扑结构编排构建蜜网部署到预设云环境中,再将业务网中的流量重定向到预设云环境中的蜜网,检测业务流量中的异常流量。基于业务网真实网络拓扑构建蜜网,具有真实的网络结构,显著提高了蜜网的真实性和诱骗能力,通过蜜网与业务攻击者进行交互,以识别所使用的策略和工具,挖掘出未知的规则应对攻击,有效防御未知的攻击方式。通过本方案的方法大规模部署蜜网的问题,提高了部署效率和资源利用率,同时也增强了蜜网的真实性。
优选地,在上述任意实施例中,根据业务网的拓扑结构编排构建蜜网具体包括:
获取业务网的拓扑结构,根据拓扑结构获得蜜网描述信息;
对蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据蜜网部署配置信息编排构建蜜网。
需要说明的是,优选地,综合利用SNMP和ICMP协议,得到业务网中的三层网络结构和每台运行主机运行服务对应的端口信息,根据端口信息获取业务网的网络拓扑;
根据得到的网络拓扑,添加必要的蜜罐和网关信息得到蜜网描述信息;
对蜜网描述信息进行解析,生成具体的云环境部署配置,包括虚拟机集群的具体部署配置和虚拟机集群内容器蜜网的详细部署配置,优选地,本实施例蜜网底层云环境可以采用OpenStack,并且采用Terrform配置语言来确定云环境配置,因为目前主流的云厂商都已支持Terrform配置语言,所以有较好的通用性。优选地,在某一实施例中,容器蜜网集群的底层网络采用OverLay模式的Calico网络模型,可以实现屏蔽底层网络差异。
根据生成的部署配置信息对云环境的虚拟机资源和网络资源进行调度构建蜜网的宿主机集群,在宿主机集群内,将业务网的不同子网进行重构,生成容器网络集群。在云环境动态编排蜜网,且蜜网的网络结构完全基于真实的业务网,具有较高的诱骗能力。
本方案根据业务网的拓扑结构获得蜜网描述信息,对蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息,根据蜜网部署配置信息编排构建蜜网。根据真实网络拓扑结构在云环境中构建容器蜜网,提高了蜜网的真实性,增加了攻击者在蜜网中的滞留时间。
优选地,在上述任意实施例中,根据拓扑结构获得蜜网描述信息之前还包括:
对拓扑结构进行验证,当验证结果满足预设格式条件则对蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回验证步骤。
本方案通验证蜜网描述信息是否符合预定格式,对不合格的蜜网描述信息进行筛选。
在另一实施例中,蜜网描述信息的预定格式可以包括:对TIHDL(TechnologyIndependent Honeynet Description Language)蜜网描述语言进行改进,TIHDL是为传统蜜网框架设计的描述语言,基于CIM(公共信息模型)的一种XML格式。该语言被定义为独立于稍后部署蜜网的平台,并且可以使用模型驱动技术或其他翻译机制将其翻译成蜜网部署平台和工具的描述语言。这种描述语言提高了蜜网部署的灵活性,本方案采用的蜜网描述格式对TIHDL进行改进:1、去除传统蜜网框架中多余的部分,如蜜罐交互等级等;2、加入高级蜜罐特有的属性,比如漏洞类型(低级配置、特定软件版本)等。示例如下:
上述示例表示蜜网包含两个连通的子网,每个子网内各有一个蜜罐,蜜罐包含ip地址、漏洞类型、操作系统和运行软件等信息。
优选地,在上述任意实施例中,蜜网部署配置信息包括;虚拟机集群的第一部署配置信息和虚拟机集群内部容器蜜网的第二部署配置信息;
根据蜜网部署配置信息编排构建蜜网具体包括:
调度预设云环境的虚拟机资源和网络资源,结合第一部署配置信息构建蜜网的宿主机集群;
在宿主机集群内,根据第二部署配置信息对业务网中的不同子网进行重构,生成容器蜜网集群。
本方案通过调度预设云环境的虚拟机资源和网络资源,结合第一部署配置信息构建蜜网的宿主机集群,在宿主机集群内,根据第二部署配置信息对业务网中的不同子网进行重构,生成容器蜜网集群;在云环境的虚拟机集群上部署容器集群蜜网,显著解决了传统蜜网需要固定物理服务器资源的问题,使得资源占用可弹性伸缩调整,且部署迅速,提高了资源利用率。
优选地,在上述任意实施例中,还包括:
定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息;
根据更新后的蜜网描述信息调整预设云环境中的蜜网。
需要说明的是,通过定时检测业务网的变化,更新蜜网描述信息,继而对云环境的蜜网进行调整。
本方案通过定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息,根据更新后的蜜网描述信息调整预设云环境中的蜜网,根据业务网的变化,对宿主虚拟机集群进行扩容和缩容,提高资源利用率。
在某一实施例中,如图2所示,一种基于编排蜜网的入侵检测系统,包括:蜜网编排构建模块1101、部署模块1102、流量重定向模块1103和检测模块1104;需要说明的是,蜜网属于一种主动防御技术,蜜网不是试图限制攻击者的访问,而是和攻击者进行交互,以识别所使用的策略和工具。蜜网在蜜罐中布置的漏洞和监测系统,引诱攻击者攻击,并对攻击行为进行记录,可以进一步对攻击者的攻击行为进行分析和对攻击者溯源。蜜网的核心是蜜罐,蜜罐可以分为低交互蜜罐、中交互蜜罐和高交互蜜罐。低交互和中交互蜜罐不是真实的计算机系统,而是通过程序模拟出来的,提供给攻击者的交互能力十分有限,因此也无法充分获取攻击者的行为。高交互蜜罐是真实的操作系统或应用程序,能够与潜在的攻击者进行充分交互,从而捕获攻击者更多的信息。但由于高交互蜜罐的复杂性和占用的资源问题,传统蜜网系统中只能部署少量的高交互蜜罐,且对真实业务网络环境的模拟程度不够。大部分的蜜网系统部署在单个物理主机或单个虚拟机中,无法构建大规模的蜜网。通过本方案编码构件的蜜网可以很好的改善这个情况。
蜜网编排构建模块1101用于根据业务网的拓扑结构编排构建蜜网;
部署模块1102用于将蜜网部署到预设云环境中;
流量重定向模块1103用于将业务网中的流量重定向到预设云环境中的蜜网;
检测模块1104用于通过蜜网检测流量中的异常流量。
本方案通过将根据业务网的拓扑结构编排构建蜜网部署到预设云环境中,再将业务网中的流量重定向到预设云环境中的蜜网,检测业务流量中的异常流量。基于业务网真实网络拓扑构建蜜网,具有真实的网络结构,显著提高了蜜网的真实性和诱骗能力,通过蜜网与业务攻击者进行交互,以识别所使用的策略和工具,挖掘出未知的规则应对攻击,有效防御未知的攻击方式。通过本方案的方法大规模部署蜜网的问题,提高了部署效率和资源利用率,同时也增强了蜜网的真实性。
优选地,在上述任意实施例中,蜜网编排构建模块1101具体用于获取业务网的拓扑结构,根据拓扑结构获得蜜网描述信息;
对蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据蜜网部署配置信息编排构建蜜网。
需要说明的是,优选地,综合利用SNMP和ICMP协议,得到业务网中的三层网络结构和每台运行主机运行服务对应的端口信息,根据端口信息获取业务网的网络拓扑;
根据得到的网络拓扑,添加必要的蜜罐和网关信息得到蜜网描述信息;
对蜜网描述信息进行解析,生成具体的云环境部署配置,包括虚拟机集群的具体部署配置和虚拟机集群内容器蜜网的详细部署配置,优选地,本实施例蜜网底层云环境可以采用OpenStack,并且采用Terrform配置语言来确定云环境配置,因为目前主流的云厂商都已支持Terrform配置语言,所以有较好的通用性。优选地,在某一实施例中,容器蜜网集群的底层网络采用OverLay模式的Calico网络模型,可以实现屏蔽底层网络差异。
本方案根据业务网的拓扑结构获得蜜网描述信息,对蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息,根据蜜网部署配置信息编排构建蜜网。根据真实网络拓扑结构在云环境中构建容器蜜网,提高了蜜网的真实性,增加了攻击者在蜜网中的滞留时间。
优选地,在上述任意实施例中,还包括:验证模块,用于对拓扑结构进行验证,当验证结果满足预设格式条件则对蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回进行拓扑结构验证。
本方案通验证蜜网描述信息是否符合预定格式,对不合格的蜜网描述信息进行筛选。
优选地,在上述任意实施例中,蜜网部署配置信息包括;虚拟机集群的第一部署配置信息和虚拟机集群内部容器蜜网的第二部署配置信息;
蜜网编排构建模块1101具体用于调度预设云环境的虚拟机资源和网络资源,结合第一部署配置信息构建蜜网的宿主机集群;
在宿主机集群内,根据第二部署配置信息对业务网中的不同子网进行重构,生成容器蜜网集群。
本方案通过调度预设云环境的虚拟机资源和网络资源,结合第一部署配置信息构建蜜网的宿主机集群,在宿主机集群内,根据第二部署配置信息对业务网中的不同子网进行重构,生成容器蜜网集群;在云环境的虚拟机集群上部署容器集群蜜网,显著解决了传统蜜网需要固定物理服务器资源的问题,使得资源占用可弹性伸缩调整,且部署迅速,提高了资源利用率。
优选地,在上述任意实施例中,还包括:更新模块,用于定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息;
根据更新后的蜜网描述信息调整预设云环境中的蜜网。
本方案通过定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息,根据更新后的蜜网描述信息调整预设云环境中的蜜网,根据业务网的变化,对宿主虚拟机集群进行扩容和缩容,提高资源利用率。
在某一实施例中,一种存储介质,存储介质中存储有指令,当计算机读取指令时,使计算机执行如上述任一实施例的一种基于编排蜜网的入侵检测方法。
在某一实施例中,一种业务检测系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序,实现如上述任一实施例的一种基于编排蜜网的入侵检测方法。
可以理解,在一些实施例中,可以包含如上述各实施例中的部分或全部可选实施方式。
需要说明的是,上述各实施例是与在先方法实施例对应的产品实施例,对于产品实施例中各可选实施方式的说明可以参考上述各方法实施例中的对应说明,在此不再赘述。
读者应理解,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于编排蜜网的入侵检测方法,其特征在于,包括:
根据业务网的拓扑结构编排构建蜜网;
将所述蜜网部署到所述预设云环境中;
将所述业务网中的流量重定向到所述预设云环境中的蜜网;
通过所述蜜网检测所述流量中的异常流量。
2.根据权利要求1所述的一种基于编排蜜网的入侵检测方法,其特征在于,所述根据业务网的拓扑结构编排构建蜜网具体包括:
获取业务网的拓扑结构,根据所述拓扑结构获得蜜网描述信息;
对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据所述蜜网部署配置信息编排构建蜜网。
3.根据权利要求2所述的一种基于编排蜜网的入侵检测方法,其特征在于,所述根据所述拓扑结构获得蜜网描述信息之前还包括:
对所述拓扑结构进行验证,当验证结果满足预设格式条件则对所述蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回验证步骤。
4.根据权利要求2所述的一种基于编排蜜网的入侵检测方法,其特征在于,所述蜜网部署配置信息包括;虚拟机集群的第一部署配置信息和虚拟机集群内部容器蜜网的第二部署配置信息;
所述根据所述蜜网部署配置信息编排构建蜜网具体包括:
调度预设云环境的虚拟机资源和网络资源,结合所述第一部署配置信息构建蜜网的宿主机集群;
在宿主机集群内,根据所述第二部署配置信息对所述业务网中的不同子网进行重构,生成容器蜜网集群。
5.根据权利要求2所述的一种基于编排蜜网的入侵检测方法,其特征在于,还包括:
定时检测业务网的拓扑结构,根据拓扑结构的变化更新蜜网描述信息;
根据更新后的蜜网描述信息调整预设云环境中的蜜网。
6.一种基于编排蜜网的入侵检测系统,其特征在于,包括:蜜网编排构建模块、部署模块、流量重定向模块和检测模块;
所述蜜网编排构建模块用于根据业务网的拓扑结构编排构建蜜网;
所述部署模块用于将所述蜜网部署到所述预设云环境中;
所述流量重定向模块用于将所述业务网中的流量重定向到所述预设云环境中的蜜网;
所述检测模块用于通过所述蜜网检测所述流量中的异常流量。
7.根据权利要求6所述的一种基于编排蜜网的入侵检测系统,其特征在于,所述蜜网编排构建模块具体用于获取业务网的拓扑结构,根据所述拓扑结构获得蜜网描述信息;
对所述蜜网描述信息进行解析生成预设云环境的蜜网部署配置信息;
根据所述蜜网部署配置信息编排构建蜜网。
8.根据权利要求7所述的一种基于编排蜜网的入侵检测系统,其特征在于,还包括:验证模块,用于对所述拓扑结构进行验证,当验证结果满足预设格式条件则对所述蜜网描述信息进行解析;
当验证结果不满足预设格式条件则返回继续获取拓扑结构,再返回进行拓扑结构验证。
9.一种存储介质,其特征在于,所述存储介质中存储有指令,当计算机读取所述指令时,使所述计算机执行如权利要求1-5任一项所述的一种基于编排蜜网的入侵检测方法。
10.一种业务检测系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序,实现如权利要求1-5任一项所述的一种基于编排蜜网的入侵检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111546223.4A CN114221815A (zh) | 2021-12-16 | 2021-12-16 | 一种基于编排蜜网的入侵检测方法、存储介质及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111546223.4A CN114221815A (zh) | 2021-12-16 | 2021-12-16 | 一种基于编排蜜网的入侵检测方法、存储介质及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114221815A true CN114221815A (zh) | 2022-03-22 |
Family
ID=80703210
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111546223.4A Pending CN114221815A (zh) | 2021-12-16 | 2021-12-16 | 一种基于编排蜜网的入侵检测方法、存储介质及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114221815A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208670A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
CN117294532A (zh) * | 2023-11-24 | 2023-12-26 | 明阳点时科技(沈阳)有限公司 | 一种基于蜜网的高甜度欺骗防御方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140115706A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ,Inc. | Network infrastructure obfuscation |
CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
-
2021
- 2021-12-16 CN CN202111546223.4A patent/CN114221815A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140115706A1 (en) * | 2012-10-19 | 2014-04-24 | ZanttZ,Inc. | Network infrastructure obfuscation |
CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
CN112367307A (zh) * | 2020-10-27 | 2021-02-12 | 中国电子科技集团公司第二十八研究所 | 一种基于容器级蜜罐群的入侵检测方法及系统 |
Non-Patent Citations (2)
Title |
---|
WENJUN FAN等: "《Technology independent honeynet description language》", 《IEEE》 * |
WENJUN FAN等: "《Versatile virtual honeynet management》", 《IET INFORMATION SECURITY》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208670A (zh) * | 2022-07-15 | 2022-10-18 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
CN115208670B (zh) * | 2022-07-15 | 2023-10-13 | 北京天融信网络安全技术有限公司 | 蜜网构建方法、装置、电子设备及计算机可读取存储介质 |
CN117294532A (zh) * | 2023-11-24 | 2023-12-26 | 明阳点时科技(沈阳)有限公司 | 一种基于蜜网的高甜度欺骗防御方法及系统 |
CN117294532B (zh) * | 2023-11-24 | 2024-01-30 | 明阳点时科技(沈阳)有限公司 | 一种基于蜜网的高甜度欺骗防御方法及系统 |
CN117294532B9 (zh) * | 2023-11-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种基于蜜网的高甜度欺骗防御方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 | |
CN110430190B (zh) | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 | |
Akhunzada et al. | Secure and dependable software defined networks | |
US9729567B2 (en) | Network infrastructure obfuscation | |
US8949931B2 (en) | System and method for monitoring application security in a network environment | |
CN110784361A (zh) | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 | |
CN114221815A (zh) | 一种基于编排蜜网的入侵检测方法、存储介质及系统 | |
US11489853B2 (en) | Distributed threat sensor data aggregation and data export | |
US20210344690A1 (en) | Distributed threat sensor analysis and correlation | |
CN112054996A (zh) | 一种蜜罐系统的攻击数据获取方法、装置 | |
Bou-Harb et al. | Big data behavioral analytics meet graph theory: on effective botnet takedowns | |
US11481478B2 (en) | Anomalous user session detector | |
Almohri et al. | Predictability of IP address allocations for cloud computing platforms | |
US20200067981A1 (en) | Deception server deployment | |
CN111262875A (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
Benabbou et al. | Security in OpenFlow-based SDN, opportunities and challenges | |
Demırcı et al. | Virtual security functions and their placement in software defined networks: A survey | |
US20210344726A1 (en) | Threat sensor deployment and management | |
CN112688933A (zh) | 用于IPv6的攻击类型分析方法、装置、设备及介质 | |
CN102104609B (zh) | 一种网络协议安全缺陷分析方法 | |
CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
Combe et al. | An sdn and nfv use case: Ndn implementation and security monitoring | |
Al-Mousa et al. | cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework | |
Bugeja et al. | On the analysis of semantic denial-of-service attacks affecting smart living devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220322 |
|
RJ01 | Rejection of invention patent application after publication |