CN114268505B - 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 - Google Patents
一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114268505B CN114268505B CN202111612227.8A CN202111612227A CN114268505B CN 114268505 B CN114268505 B CN 114268505B CN 202111612227 A CN202111612227 A CN 202111612227A CN 114268505 B CN114268505 B CN 114268505B
- Authority
- CN
- China
- Prior art keywords
- honeypot
- service
- core
- service request
- processed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明涉及一种蜜网欺骗策略调整方法、装置、电子设备及存储介质,该方法包括:获取业务容器的配置信息和通信状态标识;根据通信状态标识,确定业务容器对应的业务网络是否发生变化;若业务网络发生变化,则根据配置信息,生成与业务容器对应的代理蜜罐。通过本发明的方法,通过业务容器的通信状态标识来感知业务网络是否发生变化,不需要通过扫描工具扫描业务网络中的各个主机的方式感知业务网络是否发生变化,使得处理速度更快。同时,在业务网络发生变化时,可基于配置信息生成与业务容器对应的代理蜜罐,通过代理蜜罐仿真业务网络变化后的业务网络,丰富了欺骗策略。
Description
技术领域
本发明涉及蜜罐技术领域,具体而言,本发明涉及一种蜜网欺骗策略调整方法、装置、电子设备及存储介质。
背景技术
蜜罐是一种专门用于吸引攻击者攻击,在攻击过程中收集他们攻击手段、策略和行为的虚假主机。由于它本身不具备生产属性,因此进入蜜罐的流量必是攻击流量,这使得它的误报率极低,报警价值很高。蜜网是一个体系框架,由一系列蜜罐构成并相互协作以解决单一蜜罐容易被发现、缺乏统一数据控制等问题,它的功能更加全面并且能够提供比单一蜜罐更多的诱骗方式。
现有技术中,先后提出了HoneyMix、HoneyProxy和HoneyDOC架构解决了传统蜜网粗粒度数据控制的问题,实现了蜜罐级的数据控制;这些蜜网架构虽然在实验室阶段达到了良好的效果,但在工业界大型网络中落地时存在以下问题:
1、通过Nmap(Network Mapper)等工具主动对业务网进行扫描,来感知业务网的变化,当业务网对应大量(比如,成千上万台)需要扫描的主机时,完成对该大量主机的扫描需要耗时很久,若扫描频率过快还可能导致业务网主机宕机,因此一般采用较低频率扫描,但这样扫描效率较低。
2、欺骗策略较为单一,现有技术中通常以某个蜜罐的历史攻击停留时间(一个攻击在该蜜罐内停留的时间)为决策依据来选择蜜罐,当遇到大流量攻击时,高选取率的蜜罐很容易宕机,而其他蜜罐却极少有流量进入。
发明内容
本发明所要解决的技术问题是提供一种蜜网欺骗策略调整方法、装置、电子设备及存储介质,旨在解决欺骗策略单一、扫描效率低的问题。
本发明解决上述技术问题的技术方案如下:一种蜜网欺骗策略调整方法,该方法包括:
获取业务容器的配置信息和通信状态标识;
根据通信状态标识,确定业务容器对应的业务网络是否发生变化;
若业务网络发生变化,则根据配置信息,生成与业务容器对应的代理蜜罐。
本发明的有益效果是:在本发明方案中,通过业务容器的通信状态标识来感知业务网络是否发生变化,不需要通过扫描工具扫描业务网络中的各个主机的方式感知业务网络是否发生变化,使得处理速度更快。同时,在本申请方案中,在业务网络发生变化时,可基于配置信息生成与业务容器对应的代理蜜罐,通过代理蜜罐仿真业务网络变化后的业务网络,丰富了欺骗策略,并且,不基于蜜罐的历史攻击停留时间选择蜜罐,可以避免在遇到大流量攻击时,高选取率的蜜罐很容易宕机,而其他蜜罐却极少有流量进入的情况发生。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,该方法还包括:
获取待处理业务请求,并根据待处理业务请求,确定待处理业务请求对应的业务容器;
若代理蜜罐为待处理业务请求对应的业务容器,则根据配置信息,确定业务容器对应的核心蜜罐,并将代理蜜罐和核心蜜罐进行关联;
通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理。
采用上述进一步方案的有益效果是,现有技术中,蜜罐与蜜罐之间缺乏联系,在没有受到攻击时,蜜罐完全是一台静态的主机,活性不足,与真实业务主机有明显区别,易被攻击者发现该主机是蜜罐。比如,在实际的生产网络中,一个外部请求在内部流转时会形成一个调用链,调用链上有一系列主机,一个请求进来,先经过主机A,随后主机A发送请求给主机B、C,主机B、C又会请求其他主机,最后由一系列主机的协作完成了处理某个业务请求的全过程。要想让蜜罐看起来和真实主机一样,就需要在蜜罐间也模拟这样的调用链路,以此来欺骗黑客。则在本发明的方案中,在生成代理蜜罐后,将代理蜜罐和核心蜜罐进行关联,两个蜜罐之间模拟待处理业务请求的调用链路,即通过代理蜜罐将待处理业务请求发送给核心蜜罐,可使得蜜罐看起来和真实主机一样,不易被攻击者发现该主机是蜜罐。
进一步,上述配置信息包括基本属性信息和关系描述信息,关系描述信息用于描述业务容器对应的服务之间的调用关系;上述根据配置信息,确定业务容器对应的核心蜜罐,包括:
获取至少一个蜜罐组,不同蜜罐组对应不同类型的服务,对于每个蜜罐组,蜜罐组用于描述对应业务容器的基本属性信息,蜜罐组包括多个蜜罐;
获取各宿主机的资源占用情况,每个蜜罐组对应一个宿主机;
根据基本属性信息、关系描述信息和各个宿主机的资源占用情况,确定业务容器对应的目标蜜罐组,将目标蜜罐组作为核心蜜罐。
采用上述进一步方案的有益效果是,在确定核心主机时,可考虑各宿主机的资源占用情况、业务容器对应的基本属性信息和关系描述信息对蜜罐组中各个蜜罐的影响,使得确定出的核心蜜罐可以更加适配业务容器。
进一步,上述配置信息包括关系描述信息,上述通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理,包括:
根据待处理业务请求,生成虚假业务请求;
根据关系描述信息,确定待处理业务请求对应的业务处理路径;
根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,以通过核心蜜罐对虚假业务请求进行相应的处理。
采用上述进一步方案的有益效果是,基于真实业务请求(待处理业务请求)生成虚假业务请求,通过虚假业务请求和真实业务请求对应的业务处理路径模拟待处理业务请求的流转过程,这样即使虚假业务请求被攻击者捕获,该虚假业务请求本身具有很高的真实性,但又不会泄漏真实的业务处理信息,保证了数据的安全性。
进一步,该方法还包括:
根据虚假业务请求,生成加密信息,将加密信息分别添加至虚假业务请求和待处理业务请求中;
根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,包括:
根据业务处理路径,在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求;
若到达核心蜜罐域的请求为虚假业务请求,则控制虚假业务请求不到达核心蜜罐域;
若到达核心蜜罐域的请求为待处理业务请求,则控制待处理业务请求到达核心蜜罐域;
其中,上述核心蜜罐域为核心蜜罐组成的蜜罐网络。
采用上述进一步方案的有益效果是,在本发明的方案中,虚假业务请求与真实业务请求(待处理业务请求)使用相同的业务处理路径,但是为了不会被代理到核心蜜罐域,即不会将虚假业务请求流转至核心蜜罐域,则可通过加密信息识别请求是否为虚假业务请求,如果是虚假业务请求,就可以不被允许流转到核心蜜罐域,可保证核心蜜罐域的处理不被虚假业务请求干扰。
进一步,上述配置信息包括关系描述信息,关系描述信息中包括调用方和被调用方,调用方包括代理蜜罐,被调用方包括核心蜜罐,根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,包括:
根据关系描述信息,确定时间窗口;
根据时间窗口,由调用方发送至少一次虚假业务请求到被调用方。
采用上述进一步方案的有益效果是,在本发明的方案中,在虚假业务请求在业务处理路径的流转过程中,涉及到服务之间的调用,则可根据时间窗口,由调用方发送至少一次虚假业务请求到被调用方,可保证在该时间窗口内,由调用方不断地发送虚假业务请求到被调用方,该时间窗口内的请求总量基本恒定,但又与真实环境一样具备一定的随机性,能够很好地迷惑攻击者。
进一步,该方法还包括:
获取核心蜜罐对应的宿主机的运行资源信息;
根据运行资源信息,对核心蜜罐和代理蜜罐进行隔离,以限制核心蜜罐和代理蜜罐对系统资源的使用。
采用上述进一步方案的有益效果是,根据核心蜜罐对应的宿主机的运行资源信息,可反映出该宿主机的资源占用情况,则根据运行资源信息,对核心蜜罐和代理蜜罐进行隔离,可限制核心蜜罐和代理蜜罐对系统资源的使用,避免一个蜜罐被攻击时影响其他蜜罐的正常工作,降低蜜罐被攻击者识破的可能性。
本发明为了解决上述技术问题还提供了一种蜜网欺骗策略调整装置,该装置包括:
信息获取模块,用于获取业务容器的配置信息和通信状态标识;
网络变化判断模块,用于根据通信状态标识,确定业务容器对应的业务网络是否发生变化;
代理蜜罐生成模块,用于在业务网络发生变化时,根据配置信息,生成与业务容器对应的代理蜜罐。
本发明为了解决上述技术问题还提供了一种电子设备,该电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行该计算机程序时实现本申请的蜜网欺骗策略调整方法。
本发明为了解决上述技术问题还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现本申请的蜜网欺骗策略调整方法。
本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍。
图1为本发明一个实施例提供的一种蜜网欺骗策略调整方法的流程示意图;
图2为本发明一个实施例提供的一种蜜网欺骗策略调整方法的架构示意图;
图3为本发明一个实施例提供的一种蜜网欺骗策略调整装置的结构示意图;
图4为本发明一个实施例提供的一种电子设备的结构示意图。
具体实施方式
以下对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
蜜罐是一种专门用于吸引攻击者攻击,在攻击过程中收集他们攻击手段、策略和行为的虚假主机。由于它本身不具备生产属性,因此进入蜜罐的流量必是攻击流量,这使得它的误报率极低,报警价值很高。蜜网是一个体系框架,由一系列蜜罐构成并相互协作以解决单一蜜罐容易被发现、缺乏统一数据控制等问题,它的功能更加全面并且能够提供比单一蜜罐更多的诱骗方式。
现有技术中,先后提出了HoneyMix、HoneyProxy和HoneyDOC架构解决了传统蜜网粗粒度数据控制的问题,实现了蜜罐级的数据控制;这些蜜网架构虽然在实验室阶段达到了良好的效果,但在工业界大型网络中落地时存在以下问题:
1、通过Nmap(Network Mapper)等工具主动对业务网进行扫描,来感知业务网的变化,当业务网对应大量(比如,成千上万台)需要扫描的主机时,完成对该大量主机的扫描需要耗时很久,若扫描频率过快还可能导致业务网主机宕机,因此一般采用较低频率扫描,但这样扫描效率较低。
2、欺骗策略较为单一,现有技术中通常以某个蜜罐的历史攻击停留时间(一个攻击在该蜜罐内停留的时间)为决策依据来选择蜜罐,当遇到大流量攻击时,高选取率的蜜罐很容易宕机,而其他蜜罐却极少有流量进入。
3、蜜罐与蜜罐之间缺乏联系,在没有受到攻击时,蜜罐完全是一台静态的主机,活性不足,与真实业务主机有明显区别,易被攻击者发现该主机是蜜罐;
4、通过完整蜜罐(业务容器涉及的所有蜜罐)来仿真业务主机,仿真成本高,然而实际被攻击时,仅有少数几个蜜罐被触发,资源利用率极低。
为了解决上述的技术问题,下面以具体实施例对本发明的技术方案以及本发明的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
本发明实施例所提供的方案可以适用于任何需要在业务网络发生改变时,进行蜜网欺骗策略调整的应用场景中。本发明实施例提供了一种可能的实现方式,如图1所示,提供了一种蜜网欺骗策略调整方法的流程图,该方案可以由任一电子设备执行,例如,可以是服务器。为描述方便,下面将以服务器(下文可称为动态配置中心)作为执行主体为例对本发明实施例提供的方法进行说明,如图1中所示的流程图,该方法可以包括以下步骤:
步骤S110,获取业务容器的配置信息和通信状态标识。
步骤S120,根据通信状态标识,确定业务容器对应的业务网络是否发生变化。
步骤S130,若业务网络发生变化,则根据配置信息,生成与业务容器对应的代理蜜罐。
通过本发明的方法,在本发明方案中,通过业务容器的通信状态标识来感知业务网络是否发生变化,不需要通过扫描工具扫描业务网络中的各个主机的方式感知业务网络是否发生变化,使得处理速度更快。同时,在本申请方案中,在业务网络发生变化时,可基于配置信息生成与业务容器对应的代理蜜罐,通过代理蜜罐仿真业务网络变化后的业务网络,丰富了欺骗策略,并且,不基于蜜罐的历史攻击停留时间选择蜜罐,可以避免在遇到大流量攻击时,高选取率的蜜罐很容易宕机,而其他蜜罐却极少有流量进入的情况发生。
下面结合以下具体的实施例,对本发明的方案进行进一步的说明,在该实施例中,蜜网欺骗策略调整方法可以包括以下步骤:
步骤S110,获取业务容器的配置信息和通信状态标识。
其中,业务容器可以被理解为是一种轻量级的虚拟机,现在热门的Docker就属于容器的范畴。业务容器指的是运行着业务系统的主机,该主机的底层是借助容器技术实现的。
配置信息指的是可以反映业务容器的属性以及运行状态的信息,比如,配置信息可以包括业务容器的容器标识、基本属性信息(也可称为外显特征)和关系描述信息。
其中,容器标识用于标识业务容器的身份,该容器标识可是业务容器的IP(每个业务容器的IP是唯一的),也可以是其他能在局域网内唯一标识该业务容器的描述信息。基本属性信息是用于表示业务容器内服务运行状态的描述信息,每个对外提供的服务可以由服务名、端口号、版本和额外特征组成,由于一个业务容器上可能运行多个服务,则一个业务容器可以对应多个基本属性信息。其中,额外特征可以为表示业务容器中的服务的其他属性的信息,比如,压缩方式,通信方式。关系描述信息是用于表示业务容器间服务调用关系的描述信息,每个调用关系可由调用方、被调用方、时间窗口、请求量组成,由于一个业务容器可能调用多个其他容器,因此一个业务容器可能对应多个调用关系。其中,服务调用关系指的就是服务的调用链,比如,A服务请求了B服务,这就是服务A和服务B之间的调用关系。
作为一个示例,以一个Web服务调用MySQL数据库为例:
Web服务容器(业务容器)的容器标识为a,外显特征中的服务名为HTTP服务,该服务对应的端口号为80,版本为HTTP 2.0,额外特征为长连接(通信方式)、gzip压缩(压缩方式),则外显特征可表示为:
MySQL服务容器(业务容器)的容器标识为b,外显特征中的服务名为MySQL服务,该服务对应的端口为3306,版本为MySQL 5.7,额外特征为空,则外显特征可表示为:
Web服务和MySQL服务对应的调用关系中,调用方为容器a,被调用方为容器b,时间窗口为10分钟,请求量为400。其中,时间窗口指的是接收用户的业务请求对应的时间,时间窗口的划分是根据业务场景人为调整的。比如,以5分钟为一个周期,那么5分钟就是一个时间窗口。时间窗口的作用就是划分为一个一个时段,比如,大家买东西集中在晚上8点,那么7点半到8点半这个时间窗口对应的请求量就会更高,而6点半到7点半这个时间窗口的请求量会小很多。
请求量指的是服务与服务之间在该时间窗口内发送了多少个请求。则上述示例中表征的为10分钟这个时间窗口内,容器a向容器b发了400个请求。
上述调用关系可表示为:
其中,通信状态标识用于标识业务容器对应的业务网络的通信状态,每个业务网络可以对应多个主机,可将业务容器作为主机。业务网络的通信状态表示的是该业务网络对应的各个主机的通信状态,比如,是否有主机下线,是否有新的主机上线,是否有主机无法通信等。在本发明的可选方案中,通信状态标识可基于实际需求配置,通信状态标识可通过文字、字符或数字中的至少一项表示,本发明中不限定通信状态标识的具体表现形式。
作为一个示例,比如,通信状态标识为action,action对应的标识为a时,表示新的主机上线,action对应的标识为b时,表示主机下线,action对应的标识为b时,表示主机无法通信。
在本发明的可选方案中,每次在业务系统启动的时候,系统中的各个业务容器都会向动态配置中心发送配置信息,对于新上线的业务容器,会向动态配置中心发送配置信息和通信状态标识,对于下线的业务容器,只需要发送通信状态标识即可。在业务容器发生改变时(比如,业务系统下线、系统版本更新等),会重新获取各业务容器的配置信息。
步骤S120,根据通信状态标识,确定业务容器对应的业务网络是否发生变化。
其中,业务网络发生变化指的就是前文所描述的业务网络中的各个业务容器是否有下线、新上线和无法通信的,这些都可以导致业务网络发生变化。
步骤S130,若业务网络发生变化,则根据配置信息,生成与业务容器对应的代理蜜罐。
如果业务网络发生变化,生成的代理蜜罐是与变化后的业务网络相匹配的,基于代理蜜罐可以提供更多欺骗策略。
在本发明的可选方案中,如果业务网络没有发生变化,则可业务容器对应的代理蜜罐没有变化。
在本发明的可选方案中,该方法还包括:
获取待处理业务请求,并根据待处理业务请求,确定待处理业务请求对应的业务容器;
若代理蜜罐为待处理业务请求对应的代理蜜罐,则根据配置信息,确定业务容器对应的核心蜜罐,并将代理蜜罐和核心蜜罐进行关联;
通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理。
其中,待处理业务请求指的是需要进行处理的业务,不同类型的业务可以对应不同的业务容器进行处理,则待处理业务请求中可包括业务类型标识,通过业务类型标识表征该待处理业务请求对应的业务类型,则基于待处理业务请求,可以确定出待处理业务请求对应的业务容器。其中,根据核心蜜罐对待处理业务请求进行相应的处理指的是根据代理蜜罐和核心蜜罐,模拟待处理业务请求的真实处理过程,提供欺骗策略。
如果待处理业务请求对应的业务容器对应的业务网络发生变化,则基于前文描述的方案,可基于该业务容器的配置信息,生成代理蜜罐,将代理蜜罐和核心蜜罐进行关联,可以使两个蜜罐之间模拟待处理业务请求的调用链路,即通过代理蜜罐将待处理业务请求发送给核心蜜罐,使得蜜罐看起来和真实主机一样,不易被攻击者发现该主机是蜜罐。
在本发明的可选方案中,代理蜜罐上的端口开启情况与业务容器一致,但代理蜜罐中主要运行端口代理程序,负责代理经过该端口的流量到访问控制软路由,由访问控制软路由代理至具体蜜罐;访问控制软路由可以理解为软件形式实现的路由器,它具有访问控制功能,知道哪些请求不能过,哪些请求能过,过到哪里去。代理指的就是把一个请求从一个服务转发到另一个服务上去,就像路由器把一个请求从一个网络路由到另一个网络一样,路由器所做的工作就是代理。通过上述核心蜜罐和代理蜜罐可为业务系统提供真实的欺骗环境。
其中,代理蜜罐和核心蜜罐可以理解为:当攻击者进入蜜网时,实际进入的是代理蜜罐组成的蜜网,攻击者通过扫描工具寻找下一步攻击的主机时,看到的是代理蜜罐的基本属性信息。但是当攻击者尝试对主机(代理蜜罐)攻击时,攻击者和主机之间所有的交互实际上都会由代理蜜罐代理到核心蜜罐中,由核心蜜罐提供所有与攻击者的交互能力,代理蜜罐只作为攻击者从外部视角观察到的对象,以及攻击者与实际提供漏洞交互的核心蜜罐之间的桥梁。
在本发明的可选方案中,由于上述配置信息包括基本属性信息和关系描述信息,且上述关系描述信息用于描述业务容器对应的服务之间的调用关系;则上述根据配置信息,确定业务容器对应的核心蜜罐,可以包括:
获取至少一个蜜罐组,不同蜜罐组对应不同类型的服务,对于每个蜜罐组,蜜罐组用于描述对应业务容器的基本属性信息,蜜罐组包括多个蜜罐;
获取各宿主机的资源占用情况,每个蜜罐组对应一个宿主机;
根据基本属性信息、关系描述信息和各个宿主机的资源占用情况,确定业务容器对应的目标蜜罐组,将目标蜜罐组作为核心蜜罐。
其中,将多大蜜罐按照不同的服务类型划分为至少一个蜜罐组,即一个蜜罐组包括多个蜜罐,对于每个蜜罐组,可通过一个m*n的向量矩阵C描述组内各蜜罐的基本属性信息,其中,m表示组内蜜罐的个数,n表示组内蜜罐拥有的基本属性信息的个数,用C(x,y)表示蜜罐x的基本属性信息y的仿真程度。
其中,宿主机指的是蜜罐运行的主机,即蜜罐在宿主机上才可运行。宿主机可以是计算机等,资源占用情况表征的是宿主机在运行过程中的资源占用情况,比如,CPU、内存、磁盘的使用情况。则在确定核心蜜罐时可基于基本属性信息、关系描述信息和各个宿主机的资源占用情况,确定与基本属性信息和关系描述信息相匹配,且剩余资源较多的宿主机对应的蜜罐组作为核心蜜罐。
在本发明的可选方案中,根据基本属性信息、关系描述信息和各个宿主机的资源占用情况,确定业务容器对应的目标蜜罐组,具体可包括:
根据关系描述信息,可以确定出所涉及的服务;
基于所涉及的服务所需要的基本属性信息,可生成一个n维的特征向量F={f1,f2...fn}T,其中,fi表示一个基本属性信息对应的特征向量,n≥i≥1。
基于各个宿主机的资源占用情况,生成一个m维的缩放系数向量S={s1,s2…sm},其中,S值越大,表示资源剩余量越多,si表示一个宿主机的资源的占用情况,m表示宿主机的个数,m≥i≥1。
根据每个蜜罐组,得到每个蜜罐组对应的描述矩阵C;
根据n维的特征向量F={f11,f2...fn}T、各个宿主机的资源占用情况和各个蜜罐组的描述矩阵,得到一个m维的结果向量R=C*F°S={r1,r2...rm},其中,ri表示了每个蜜罐组对应的分值,分值越大,表明该蜜罐组作为核心蜜罐的机会越大,则可将该向量中值最大的对应的蜜罐组作为核心蜜罐。其中,“F°S”表示矩阵F和矩阵S的哈达玛积,就是矩阵F中的元素和矩阵S中的元素一一对应相乘。
在本发明的可选方案中,上述核心蜜罐是基于Docker容器技术构建的蜜罐,可以借助Docker的Volume机制将核心蜜罐的日志目录挂载到宿主机的日志目录;通过Filebeat(是一个日志文件托运工具)监测各个宿主机的日志目录,一旦日志有新增,Filebeat就会自动收集日志。可选的,还可配置Kafka消息队列,通过Kafka传输日志消息到ElasticSearch(基于Lucene的搜索服务器)中。之所以不选择直接配置Filebeat出口为ElasticSearch,即直接将Filebeat收集的日志发送至ElasticSearch,是担心遭到DDoS攻击时,日志信息极速膨胀直接使ElasticSearch宕机,Kafka不仅可以为我们削峰平谷保护ElasticSearch,也方便我们针对各种情况在Kafka处提前过滤一些没有用的日志信息,提高所收集攻击信息的质量。
上述核心蜜罐可以为商业蜜罐、开源蜜罐、自研蜜罐中的任一项。
在本发明的可选方案中,上述配置信息中包括关系描述信息,则上述通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理,包括:
根据待处理业务请求,生成虚假业务请求;
根据关系描述信息,确定待处理业务请求对应的业务处理路径;
根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,以通过核心蜜罐对虚假业务请求进行相应的处理。
基于核心蜜罐和代理蜜罐,可提供真实的欺骗环境,为了更加真实的模拟待处理业务请求的流转过程,可基于待处理业务请求,生成虚假业务请求,然后按照待处理业务请求对应的业务处理路径(也可称为调用链),对虚假业务请求进行流转,以模拟真实的待处理业务请求的流转过程,这样即使虚假业务请求被攻击者捕获,该虚假业务请求本身具有很高的真实性,但又不会泄漏真实的业务处理信息,保证了数据的安全性。
其中,关系描述信息中描述了待处理业务请求涉及的服务,每一个服务可以对应一个节点(虚拟机),业务处理路径指的是待处理业务请求在各个节点之间对应的流转路径,比如,服务a调用服务b,服务b调用服务c,则该业务处理路径可以为服务a至服务b至服务c对应的路径。
在本发明的可选方案中,上述根据待处理业务请求,生成虚假业务请求可以包括,将待处理业务请求中的信息进行修改,将修改后的待处理业务请求作为虚假业务请求。其中,修改可以指的是将其中的某些信息进行删除,比如,待处理业务请求中涉及的用户信息等。也可以是其他修改方式,在本发明的不做限定。这样即使该请求被攻击者捕获,请求本身具有很高的真实性,但又不会泄漏真实的业务处理信息。
在本发明的可选方案中,该方法还包括:
根据虚假业务请求,生成加密信息,将加密信息分别添加至虚假业务请求和待处理业务请求中;
根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,包括:
根据业务处理路径,在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求;
若到达核心蜜罐域的请求为虚假业务请求,则控制虚假业务请求不到达核心蜜罐域;
若到达核心蜜罐域的请求为待处理业务请求,则控制待处理业务请求到达核心蜜罐域;
其中,核心蜜罐域为核心蜜罐组成的蜜罐网络。
其中,在到达核心蜜罐域之前指的是业务请求(虚假业务请求或待处理业务请求)在沿着业务处理路径进行流转过程中,为了避免虚假业务请求进入核心蜜罐域,在到达核心蜜罐域之前,可对业务处理路径进行真假判断,即是待处理业务请求还是虚假业务请求。由于,虚假业务请求与真实业务请求(待处理业务请求)使用相同的业务处理路径,但是为了不会被代理到核心蜜罐域,即不会将虚假业务请求流转至核心蜜罐域,则可通过加密信息识别请求是否为虚假业务请求,如果是虚假业务请求,就可以不被允许流转到核心蜜罐域,可保证核心蜜罐域的处理不被虚假业务请求干扰。
可选的,上述根据虚假业务请求,生成加密信息,可以包括:
根据虚假业务请求中的关键字段和请求标识字段,通过哈希函数计算后,用预先配置的公钥进行加密,得到加密信息。其中,待处理业务请求中是不包括该虚假业务请求中的关键字段和请求标识字段的。
则上述在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求可以包括:在到达核心蜜罐域之前,用私钥解密该加密信息,得到加密信息对应的关键字段和请求标识字段对应的哈希值(为描述方便,下文称为第一哈希值),确定待处理业务请求对应的关键字段和请求标识字段对应的第二哈希值,以及虚假业务请求对应的关键字段和请求标识字段对应的第三哈希值。分别比较第一哈希值、第二哈希值和第三哈希值,如果与第一哈希值一致,则确定为待处理业务请求,如果不一致,则确定为虚假业务请求。
或者,在本发明的可选方案中,还可基于待处理业务请求,生成加密信息。则虚假业务请求中是不包括该待处理业务请求中的关键字段和请求标识字段的。则上述在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求可以包括:在到达核心蜜罐域之前,用私钥解密该加密信息,得到加密信息对应的关键字段和请求标识字段对应的第一哈希值,确定待处理业务请求对应的关键字段和请求标识字段对应的第二哈希值,以及虚假业务请求对应的关键字段和请求标识字段对应的第三哈希值。分别比较第一哈希值、第二哈希值和第三哈希值,如果与第一哈希值一致,则确定为虚假业务请求,如果不一致,则确定为待处理业务请求。
在本发明的可选方案中,上述配置信息包括关系描述信息,上述关系描述信息中包括调用方和被调用方,上述调用方包括代理蜜罐,上述被调用方包括核心蜜罐,根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,包括:
根据关系描述信息,确定时间窗口;
根据时间窗口,由调用方发送至少一次虚假业务请求到被调用方。
其中,根据关系描述信息划分时间窗口,保证在该时间窗口内,由调用方不均匀地发送虚假业务请求到被调用方,该时间窗口内的请求总量基本恒定,在调用关系矩阵内定义数值上下浮动。代理蜜罐根据关系描述信息中的时间窗口,在该时间窗口内累计发送所需的请求数量,考虑到实际生产环境中请求遵循一定的随机性,因此在本发明的可选方案中,还可设置一个调用因子scale,代理蜜罐实际会尝试调用request_num*scale次请求接口,即发送request_num*scale次请求。但该请求接口仅有1/scale的概率能够正常发送出去;请求发送间隔的随机性无需刻意设置,计算机内部处理本身就已经为发送间隔带来了随机性。最终从外部视角看,一个时间窗口内的请求总量基本恒定,但又与真实环境一样具备一定的随机性,能够很好地迷惑攻击者。
其中,调用因子scale只是一个辅助产生随机数的系数,希望时间窗口内请求总量波动越大则调用因子设置的越小,波动越小则调用因子设置的越大。其中,request_num表示所模仿的业务网络中在一个时间窗口内的请求数量。
在本发明的可选方案中,该方法还包括:
获取核心蜜罐对应的宿主机的运行资源信息;
根据运行资源信息,对核心蜜罐和代理蜜罐进行隔离,以限制核心蜜罐和代理蜜罐对系统资源的使用。
其中,宿主机的运行资源信息反映了宿主机的运行情况,可以包括CPU、内存、磁盘I/O和网络带宽状态。可选的,可通过Docker提供的CGroup接口对核心蜜罐和代理蜜罐进行隔离。其中,系统资源指的在处理待处理业务请求时,需要访问的资源。
在本发明的可选方案中,待处理业务请求为核心蜜罐域之外生成的请求。其中,拒绝核心蜜罐域内主动发起的请求,避免核心蜜罐域被意外攻破时,攻击者以核心蜜罐域对应的业务容器为跳板反向侵入业务域。其中,核心蜜罐域就是由核心蜜罐组成的蜜罐网络,将该网络与其他网络隔离,仅与访问控制软路由交互,可提升系统安全性。
在本发明的可选方案中,还可提供白名单访问机制,根据基本属性信息,只接受白名单中的代理蜜罐对应的指定端口的访问请求进入核心蜜罐域,避免核心蜜罐域被攻击者的网络扫描操作发现或者以被攻破的代理蜜罐为跳板破坏核心蜜罐域。
为了更好的说明及理解本发明所提供的方法的原理,下面结合一个可选的具体实施例对本发明的方案进行说明。需要说明的是,该具体实施例中的各步骤的具体实现方式并不应当理解为对于本发明方案的限定,在本发明所提供的方案的原理的基础上,本领域技术人员能够想到的其他实现方式也应视为本发明的保护范围之内。
在本示例中,参见图2中所示的蜜网欺骗策略调整方法,在动态配置中心中,包括预先存储的外显特征库和调用关系库,其中,外显特征库中存储不同业务容器对应的基本属性信息,调用关系库中存储不同业务容器对应的关系描述信息。
动态配置中心获取待处理业务请求,并根据待处理业务请求,确定待处理业务请求对应的业务容器。
每次业务系统启动时,每次在业务系统启动的时候,系统中的各个业务容器(图2中业务域中的各个正常业务容器)都会向动态配置中心发送配置信息(对应图2中的服务注册)。即动态配置中心获取各个业务容器的配置信息和通信状态标识。各个业务容器中包括待处理业务请求对应的业务容器。
本示例中,待处理业务请求对应的业务容器对应的通信状态标识为action a,表示有新的主机上线;其中,配置信息中包括基本属性信息、关系描述信息和容器标识。
根据通信状态标识,action a,确定业务容器对应的业务网络发生变化,则动态配置中心将该业务容器的配置信息下发至资源调度服务(对应图2中的配置下发),根据配置信息,生成与业务容器对应的代理蜜罐,根据配置信息,确定业务容器对应的核心蜜罐,并将代理蜜罐和核心蜜罐进行关联。上述通过组控制器从各个蜜罐组(包括图2中所示的MySQL蜜罐组、SSH蜜罐组和Web蜜罐组)中确定核心蜜罐的方案已在前文描述,在此不再赘述。根据待处理业务请求,生成虚假业务请求,并且根据虚假业务请求,生成加密信息,将加密信息分别添加至虚假业务请求和待处理业务请求中。
根据关系描述信息,确定待处理业务请求对应的业务处理路径,以使虚假业务请求模拟待处理业务请求,在业务处理路径中的流转。比如,是服务a到服务b,服务b到服务c,每个服务可以对应一个蜜罐,用该蜜罐处理对应服务,假如,服务c对应的蜜罐为核心蜜罐,服务a和服务b对应的蜜罐为代理蜜罐。
根据业务处理路径,代理蜜罐上的端口开启情况与业务容器一致(图2中所示的端口代理),但代理蜜罐中主要运行端口代理程序,负责代理经过该端口的流量到访问控制软路由,由访问控制软路由代理至具体蜜罐(对应图2中核心蜜罐域)。
在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求,以使得虚假业务请求不到达核心蜜罐域。其中,核心蜜罐域为核心蜜罐组成的蜜罐网络。
其中,根据业务处理路径模拟待处理业务请求在业务处理路径中的流转过程时,可根据服务调用关系,确定时间窗口;根据时间窗口,由调用方发送至少一次虚假业务请求到被调用方。调用方包括代理蜜罐,被调用方包括核心蜜罐。
该方法还可收集核心蜜罐的日志,存入攻击信息汇总库,其中该手机核心蜜罐的日志的步骤可以与前文的步骤进行异步处理。
通过本发明的方案,本发明的方案相较于现有技术具有以下有益效果:
1、为自定义策略组(预先配置好的各个业务容器以及对应的蜜罐)提供了配置接口,在自定义策略组的基础上,能够根据业务网络变化动态调整蜜网欺骗策略;
2、利用少量高成本的核心蜜罐提供真实的欺骗环境,通过大量代理蜜罐低成本地对业务网络主机进行服务仿真,大幅降低了蜜网构建成本;
3、对真实业务环境中的调用链路进行模拟,增加了蜜罐间的联动,使得蜜罐在未被攻击时也具有很高的活性,提升了蜜网整体的仿真度。
也就是说,本发明方案设计了一种基于动态欺骗策略的高活性蜜网架构。通过中心化的动态配置中心感知业务网络变化,下发配置信息使蜜网动态调整;设计核心蜜罐域负责攻击信息的收集,设计代理蜜罐域(由代理蜜罐组成的蜜罐网络)负责仿真真实业务网环境;在代理蜜罐域模拟真实业务环境在蜜罐间发送虚假业务请求,提高蜜网与真实网络的相似性。
基于与图1中所示的方法相同的原理,本发明实施例还提供了一种蜜网欺骗策略调整装置20,如图3中所示,该蜜网欺骗策略调整装置20可以包括信息获取模块210、网络变化判断模块220和代理蜜罐生成模块230,其中:
信息获取模块210,用于获取业务容器的配置信息和通信状态标识;
网络变化判断模块220,用于根据通信状态标识,确定业务容器对应的业务网络是否发生变化;
代理蜜罐生成模块230,用于在业务网络发生变化时,根据配置信息,生成与业务容器对应的代理蜜罐。
可选的,该装置还包括:
蜜罐关联模块,用于获取待处理业务请求,并根据待处理业务请求,确定待处理业务请求对应的业务容器;若代理蜜罐为待处理业务请求对应的代理蜜罐,根据配置信息,确定业务容器对应的核心蜜罐,并将代理蜜罐和核心蜜罐进行关联;通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理。
可选的,上述配置信息包括基本属性信息和关系描述信息,关系描述信息用于描述业务容器对应的服务之间的调用关系;上述蜜罐关联模块在根据配置信息,确定业务容器对应的核心蜜罐时,具体用于:
获取至少一个蜜罐组,不同蜜罐组对应不同类型的服务,对于每个蜜罐组,蜜罐组用于描述对应业务容器的基本属性信息,蜜罐组包括多个蜜罐;
获取各宿主机的资源占用情况,每个蜜罐组对应一个宿主机;
根据基本属性信息、关系描述信息和各个宿主机的资源占用情况,确定业务容器对应的目标蜜罐组,将目标蜜罐组作为核心蜜罐。
可选的,上述配置信息包括关系描述信息,则上述蜜罐关联模块在通过代理蜜罐将待处理业务请求发送给核心蜜罐,以根据核心蜜罐对待处理业务请求进行相应的处理时,具体用于:
根据待处理业务请求,生成虚假业务请求;
根据关系描述信息,确定待处理业务请求对应的业务处理路径;
根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐,以通过核心蜜罐对虚假业务请求进行相应的处理。
可选的,该装置还包括:
虚假业务请求生成模块,用于根据虚假业务请求,生成加密信息,将加密信息分别添加至虚假业务请求和待处理业务请求中;
上述蜜罐关联模块在根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐时,具体用于:
根据业务处理路径,在到达核心蜜罐域之前,根据加密信息,确定到达核心蜜罐域的请求是否为虚假业务请求;
若到达核心蜜罐域的请求为虚假业务请求,则控制虚假业务请求不到达核心蜜罐域;
若到达核心蜜罐域的请求为待处理业务请求,则控制待处理业务请求到达核心蜜罐域;
其中,上述核心蜜罐域为核心蜜罐组成的蜜罐网络。
可选的,上述配置信息包括关系描述信息,上述关系描述信息中包括调用方和被调用方,上述调用方包括代理蜜罐,上述被调用方包括核心蜜罐,上述蜜罐关联模块在根据业务处理路径,通过代理蜜罐将虚假业务请求发送给核心蜜罐时,具体用于:
根据关系描述信息,确定时间窗口;
根据时间窗口,由调用方发送至少一次虚假业务请求到被调用方。
可选的,该装置还包括:
蜜罐隔离模块,用于获取核心蜜罐对应的宿主机的运行资源信息;根据运行资源信息,对核心蜜罐和代理蜜罐进行隔离,以限制核心蜜罐和代理蜜罐对系统资源的使用。
本发明实施例的蜜网欺骗策略调整装置可执行本发明实施例所提供的蜜网欺骗策略调整方法,其实现原理相类似,本发明各实施例中的蜜网欺骗策略调整装置中的各模块、单元所执行的动作是与本发明各实施例中的蜜网欺骗策略调整方法中的步骤相对应的,对于蜜网欺骗策略调整装置的各模块的详细功能描述具体可以参见前文中所示的对应的蜜网欺骗策略调整方法中的描述,此处不再赘述。
其中,上述蜜网欺骗策略调整装置可以是运行于计算机设备中的一个计算机程序(包括程序代码),例如该蜜网欺骗策略调整装置为一个应用软件;该装置可以用于执行本发明实施例提供的方法中的相应步骤。
在一些实施例中,本发明实施例提供的蜜网欺骗策略调整装置可以采用软硬件结合的方式实现,作为示例,本发明实施例提供的蜜网欺骗策略调整装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的蜜网欺骗策略调整方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
在另一些实施例中,本发明实施例提供的蜜网欺骗策略调整装置可以采用软件方式实现,图3示出了存储在存储器中的蜜网欺骗策略调整装置,其可以是程序和插件等形式的软件,并包括一系列的模块,包括信息获取模块210、网络变化判断模块220和代理蜜罐生成模块230,用于实现本发明实施例提供的蜜网欺骗策略调整方法。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定。
基于与本发明的实施例中所示的方法相同的原理,本发明的实施例中还提供了一种电子设备,该电子设备可以包括但不限于:处理器和存储器;存储器,用于存储计算机程序;处理器,用于通过调用计算机程序执行本发明任一实施例所示的方法。
在一个可选实施例中提供了一种电子设备,如图4所示,图4所示的电子设备30包括:处理器310和存储器330。其中,处理器310和存储器330相连,如通过总线320相连。可选地,电子设备30还可以包括收发器340,收发器340可以用于该电子设备与其他电子设备之间的数据交互,如数据的发送和/或数据的接收等。需要说明的是,实际应用中收发器340不限于一个,该电子设备30的结构并不构成对本发明实施例的限定。
处理器310可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器310也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
总线320可包括一通路,在上述组件之间传送信息。总线320可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线320可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器330可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器330用于存储执行本发明方案的应用程序代码(计算机程序),并由处理器310来控制执行。处理器310用于执行存储器330中存储的应用程序代码,以实现前述方法实施例所示的内容。
其中,电子设备也可以是终端设备,图4示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,当其在计算机上运行时,使得计算机可以执行前述方法实施例中相应内容。
根据本发明的另一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种实施例实现方式中提供的方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
应该理解的是,附图中的流程图和框图,图示了按照本发明各种实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本发明实施例提供的计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备执行上述实施例所示的方法。
以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (9)
1.一种蜜网欺骗策略调整方法,其特征在于,包括以下步骤:
获取业务容器的配置信息和通信状态标识;
根据所述通信状态标识,确定所述业务容器对应的业务网络是否发生变化;
若所述业务网络发生变化,则根据所述配置信息,生成与所述业务容器对应的代理蜜罐;
所述方法还包括:
获取待处理业务请求,并根据所述待处理业务请求,确定所述待处理业务请求对应的业务容器;
若所述代理蜜罐为所述待处理业务请求对应的代理蜜罐,根据所述配置信息,确定所述业务容器对应的核心蜜罐,并将所述代理蜜罐和所述核心蜜罐进行关联;
通过所述代理蜜罐将所述待处理业务请求发送给所述核心蜜罐,以根据所述核心蜜罐对所述待处理业务请求进行相应的处理。
2.根据权利要求1所述的方法,其特征在于,所述配置信息包括基本属性信息和关系描述信息,所述关系描述信息用于描述所述业务容器对应的服务之间的调用关系;所述根据所述配置信息,确定所述业务容器对应的核心蜜罐,包括:
获取至少一个蜜罐组,不同蜜罐组对应不同类型的服务,对于每个蜜罐组,所述蜜罐组用于描述对应业务容器的基本属性信息,所述蜜罐组包括多个蜜罐;
获取各宿主机的资源占用情况,每个所述蜜罐组对应一个宿主机;
根据所述基本属性信息、所述关系描述信息和各个所述宿主机的资源占用情况,确定所述业务容器对应的目标蜜罐组,将所述目标蜜罐组作为所述核心蜜罐。
3.根据权利要求1所述的方法,其特征在于,所述配置信息包括关系描述信息,所述通过所述代理蜜罐将所述待处理业务请求发送给所述核心蜜罐,以根据所述核心蜜罐对所述待处理业务请求进行相应的处理,包括:
根据所述待处理业务请求,生成虚假业务请求;
根据所述关系描述信息,确定所述待处理业务请求对应的业务处理路径;
根据所述业务处理路径,通过所述代理蜜罐将所述虚假业务请求发送给所述核心蜜罐,以通过所述核心蜜罐对所述虚假业务请求进行相应的处理。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
根据所述虚假业务请求,生成加密信息,将所述加密信息分别添加至所述虚假业务请求和所述待处理业务请求中;
所述根据所述业务处理路径,通过所述代理蜜罐将所述虚假业务请求发送给所述核心蜜罐,包括:
根据所述业务处理路径,在到达核心蜜罐域之前,根据加密信息,确定到达所述核心蜜罐域的请求是否为虚假业务请求;
若到达所述核心蜜罐域的请求为所述虚假业务请求,则控制所述虚假业务请求不到达所述核心蜜罐域;
若到达所述核心蜜罐域的请求为所述待处理业务请求,则控制所述待处理业务请求到达所述核心蜜罐域;
其中,所述核心蜜罐域为所述核心蜜罐组成的蜜罐网络。
5.根据权利要求3所述的方法,其特征在于,所述配置信息包括关系描述信息,所述关系描述信息中包括调用方和被调用方,所述调用方包括所述代理蜜罐,所述被调用方包括所述核心蜜罐,所述根据所述业务处理路径,通过所述代理蜜罐将所述虚假业务请求发送给所述核心蜜罐,包括:
根据所述关系描述信息,确定时间窗口;
根据所述时间窗口,由所述调用方发送至少一次虚假业务请求到所述被调用方。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法还包括:
获取所述核心蜜罐对应的宿主机的运行资源信息;
根据所述运行资源信息,对所述核心蜜罐和所述代理蜜罐进行隔离,以限制所述核心蜜罐和所述代理蜜罐对系统资源的使用。
7.一种蜜网欺骗策略调整装置,其特征在于,包括:
信息获取模块,用于获取业务容器的配置信息和通信状态标识;
网络变化判断模块,用于根据所述通信状态标识,确定所述业务容器对应的业务网络是否发生变化;
代理蜜罐生成模块,用于在所述业务网络发生变化时,根据所述配置信息,生成与所述业务容器对应的代理蜜罐;
所述装置还包括:
蜜罐关联模块,用于获取待处理业务请求,并根据所述待处理业务请求,确定所述待处理业务请求对应的业务容器;若所述代理蜜罐为所述待处理业务请求对应的代理蜜罐,根据所述配置信息,确定所述业务容器对应的核心蜜罐,并将所述代理蜜罐和所述核心蜜罐进行关联;通过所述代理蜜罐将所述待处理业务请求发送给所述核心蜜罐,以根据所述核心蜜罐对所述待处理业务请求进行相应的处理。
8.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111612227.8A CN114268505B (zh) | 2021-12-27 | 2021-12-27 | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111612227.8A CN114268505B (zh) | 2021-12-27 | 2021-12-27 | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114268505A CN114268505A (zh) | 2022-04-01 |
CN114268505B true CN114268505B (zh) | 2022-08-12 |
Family
ID=80830351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111612227.8A Active CN114268505B (zh) | 2021-12-27 | 2021-12-27 | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114268505B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114760123B (zh) * | 2022-04-07 | 2024-04-05 | 南京经纬信安科技有限公司 | 一种蜜针与蜜罐装置及其部署方法 |
CN115086059B (zh) * | 2022-06-30 | 2023-03-21 | 北京永信至诚科技股份有限公司 | 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10558541B1 (en) * | 2017-09-22 | 2020-02-11 | Equinix, Inc. | Agent-based monitoring of network resources |
US11233822B2 (en) * | 2018-11-30 | 2022-01-25 | Cisco Technology, Inc. | Dynamic honeypots |
CN112564994B (zh) * | 2019-09-25 | 2022-05-10 | 北大方正集团有限公司 | 流量监测方法、装置、云服务器及存储介质 |
CN112579247A (zh) * | 2019-09-27 | 2021-03-30 | 北京京东尚科信息技术有限公司 | 确定任务状态的方法和装置 |
CN113285926B (zh) * | 2021-04-26 | 2022-11-11 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
CN113676449B (zh) * | 2021-07-13 | 2023-05-05 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN113703784A (zh) * | 2021-08-25 | 2021-11-26 | 上海哔哩哔哩科技有限公司 | 基于容器编排的数据处理方法及装置 |
-
2021
- 2021-12-27 CN CN202111612227.8A patent/CN114268505B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114268505A (zh) | 2022-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Abdulqadder et al. | Multi-layered intrusion detection and prevention in the SDN/NFV enabled cloud of 5G networks using AI-based defense mechanisms | |
US11438351B1 (en) | Efficient threat context-aware packet filtering for network protection | |
Kumari et al. | A comprehensive study of DDoS attacks over IoT network and their countermeasures | |
CN114268505B (zh) | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 | |
CN111193719A (zh) | 一种网络入侵防护系统 | |
US10135785B2 (en) | Network security system to intercept inline domain name system requests | |
US20210344689A1 (en) | Distributed threat sensor data aggregation and data export | |
US20230171285A1 (en) | Edge network-based account protection service | |
US20230370439A1 (en) | Network action classification and analysis using widely distributed honeypot sensor nodes | |
US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
Kaur et al. | Security in IoT network based on stochastic game net model | |
CN115051836B (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
Demirpolat et al. | ProtÉdge: A few‐shot ensemble learning approach to software‐defined networking‐assisted edge security | |
Jeyanthi | Internet of things (iot) as interconnection of threats (iot) | |
CN106357661B (zh) | 一种基于交换机轮换的分布式拒绝服务攻击防御方法 | |
CN116866076A (zh) | 网络蜜罐识别方法、装置、设备及存储介质 | |
Radoglou-Grammatikis et al. | Trusty: A solution for threat hunting using data analysis in critical infrastructures | |
CN113452668B (zh) | 物联网终端接入监控方法、计算机程序及存储介质 | |
CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
CN114205816A (zh) | 一种电力移动物联网信息安全架构及其使用方法 | |
Ding et al. | Network security defense model based on firewall and IPS | |
CN108809909A (zh) | 数据处理方法及数据处理装置 | |
Johari et al. | Blockchain-Based Model for Smart Home Network Security | |
Pillutla et al. | Recursive Self Organizing Maps and Software Defined Networking Cloud-A Survey | |
Shen et al. | Game theoretic solutions to cyber attack and network defense problems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |