CN114285660A - 蜜网部署方法、装置、设备及介质 - Google Patents

蜜网部署方法、装置、设备及介质 Download PDF

Info

Publication number
CN114285660A
CN114285660A CN202111625154.6A CN202111625154A CN114285660A CN 114285660 A CN114285660 A CN 114285660A CN 202111625154 A CN202111625154 A CN 202111625154A CN 114285660 A CN114285660 A CN 114285660A
Authority
CN
China
Prior art keywords
honeypot
network
ipv6
target
flow
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111625154.6A
Other languages
English (en)
Other versions
CN114285660B (zh
Inventor
李泰琴
邓斌
黄友俊
李星
吴建平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CERNET Corp
Original Assignee
CERNET Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CERNET Corp filed Critical CERNET Corp
Priority to CN202111625154.6A priority Critical patent/CN114285660B/zh
Publication of CN114285660A publication Critical patent/CN114285660A/zh
Application granted granted Critical
Publication of CN114285660B publication Critical patent/CN114285660B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种蜜网部署方法,涉及网络监测以及网络安全技术领域,部署方法包括:采集目标骨干网的IPv6双向流量数据;根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小;根据出入流量大小确定目标骨干网中的活跃网段;在活跃网段部署至少一个类型的蜜罐。基于IPv6蜜罐地址伪装技术,将活跃网段中不存在的网络地址伪装成存活的网络地址,提升对黑客的诱捕能力。本公开还提供一种蜜网部署的处理装置、电子设备及介质。

Description

蜜网部署方法、装置、设备及介质
技术领域
本公开涉及网络监测以及网络安全技术领域,更具体地,涉及一种蜜网部署方法、装置、设备及介质。
背景技术
随着计算机和互联网技术的飞速发展,给人们带来越来越多的应用和服务,而与之相伴的网络安全问题也随之突出。传统的防火墙只是一种防御技术,入侵检测系统只能检测已知类型的攻击和入侵。而蜜罐作为一种新兴的攻击诱骗技术,是一种安全资源,已经在互联网安全威胁检测方向上得到了较为广泛的应用。利用蜜罐技术监控网络恶意行为从而分析网络安全趋势和对攻击行为进行早期预警已成为网络安全领域的一个新研究方向。
分布式蜜网是在蜜罐基础上逐步发展而来,并融入数据捕获、数据分析和数据控制等工具,按照分布式体系部署由诸多蜜罐及网络所构成的诱骗网络体系,对于保障网络安全具有重要作用。由于攻击者访问的目的IPv6地址大部分可能根本不存在。使得海量的IPv6地址空间让蜜罐很难被攻击者扫描到,增加了捕获攻击者的难度。
公开内容
(一)要解决的技术问题
针对现有技术问题,本公开提出一种蜜网部署方法、装置、设备及介质,用于至少部分解决上述技术问题。
(二)技术方案
根据本公开的第一个方面,提供一种蜜网部署方法,包括:采集目标骨干网的IPv6双向流量数据。根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小。根据出入流量大小确定目标骨干网中的活跃网段;在活跃网段部署至少一个类型的蜜罐,构建蜜网。
根据本公开的实施例,蜜网部署方法还包括:基于IPv6蜜罐地址伪装技术,将活跃网段中不存在的网络地址伪装成存活的网络地址。
根据本公开的实施例,采集目标骨干网的IPv6双向流量数据包括:对预设时间内目标骨干网的IPv6双向流量数据进行分段式采集;
根据本公开的实施例,IPv6双向流量数据确定目标骨干网源AS到目的AS的出入流量大小包括:基于每个分时间段内的IPv6双向流量数据,提取目标骨干网每个分时间段内的源IP、目的IP、网段、源AS、目的AS、出流大小、入流量大小字段。读取字段,计算每个分时间段内源AS到对应目的AS的出入流量大小,统计预设时间内从源AS到对应目的AS的出入总流量大小。
根据本公开的实施例,根据出入流量大小确定目标骨干网中的活跃网段包括:包括:根据每个分时间段内源AS到对应目的AS的出入流量大小和预设时间内源AS到对应目的AS的出入总流量大小的结果,绘制基于每个分时间段及预设时间内的流量拓扑图。根据流量拓扑图确定预设时间内目标骨干网的活跃网段。
根据本公开的实施例,在活跃网段部署至少一个类型的蜜罐,构建蜜网包括:部署低交互式蜜罐和安全外壳协议蜜罐,低交互式蜜罐与安全外壳协议蜜罐交互布置。其中,低交互式蜜罐支持IPv6协议,安全外壳协议蜜罐作为低交互式蜜罐的补充,记录安全外壳协议攻击。
根据本公开的实施例,低交互式蜜罐采用基于docker的低交互式蜜罐系统编译安装,制作docker镜像,保存为基于docker的低交互式蜜罐。安全外壳协议蜜罐在docker中基于对象系统编译安装,制作docker镜像,保存为基于docker的安全外壳协议蜜罐。其中,docker为一个开源的应用容器引擎。
本公开的第二方面提供一种蜜网部署装置,包括:采集模块,用于采集目标骨干网的IPv6双向流量数据。第一确定模块,用于根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小。第二确定模块,用于根据出入流量大小确定目标骨干网中的活跃网段。部署模块,用于在活跃网段部署至少一个类型的蜜罐,构建蜜网。
本公开的第三方面提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的方法。
本公开的第四方面提供一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上所述的方法。
(三)有益效果
本公开至少具有以下有益效果:
(1)基于流量拓扑图分析,找出目标骨干网中的活跃网段,在活跃网段部署多个不同的蜜罐,构建分布式的蜜网体系,可以有效的扩大信息采集量和数据的有用性。
(2)基于IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的,实时监测网络的攻击行为,记录攻击的数据流量,进行整体的分析,从而提升网络安全。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了本公开实施例蜜网部署方法的系统架构100;
图2示意性示出了本公开实施例蜜网部署方法的流程图;
图3示意性示出了本公开实施例各AS之间的流量拓扑图;
图4示意性示出了本公开实施例蜜罐部署方法的流程图;
图5示意性示出了本公开实施例蜜网部署方法的处理装置的框图;
图6示意性示出了本公开实施例蜜网部署方法的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
本公开的实施例提供一种蜜网部署方法,包括:采集目标骨干网的IPv6双向流量数据。根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小。根据出入流量大小确定目标骨干网中的活跃网段;在活跃网段部署至少一个类型的蜜罐,构建蜜网。
图1示意性示出了根据本公开实施例蜜网部署方法的系统架构100,需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括黑客101、102,活跃网段103、蜜网104及服务器105。活跃网段103用于在黑客101、102和服务器105之间提供通信链路。
黑客101、102例如可以是包含有网络病毒的并且可接入输入设备以进行信息输入的各种电子设备,包括但不限于智能手机、平板电脑、台式PC、膝上型PC、上网本计算机、工作站、服务器、游戏机等,网络攻击者可以通过电子设备搭载病毒等对网络进行恶意攻击,致使网络瘫痪。活跃网段103可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。其中有线方式例如可以是采用线缆及以下多种接口中的任一种连接:光纤通道、红外线接口、D型数据接口、串行接口、USB接口、USB Type-C接口或Dock接口,无线方式例如可以是采用无线通信方式连接的,其中的无线通信例如可采用蓝牙、Wi-Fi、Infrared、ZigBee等多个无线技术标准中的任一个。活跃网段103为一段时间内网络访流量大的部分,活跃网段也是容易遭受黑客攻击的网段。蜜网104部署在活跃网段103中,可以至少包括一个类型的蜜罐,蜜罐具有很好的攻击诱捕特性,可以诱导网络病毒对其进行攻击,然后捕获该攻击行为,另外,可以结合罐地址伪装技术,将活跃网段103中不存在的网络地址伪装成存活的,引诱黑客攻击,提升对黑客的诱捕能力。蜜罐技术可以时时监控网络中的恶意攻击行为从而分析网络安全趋势,对黑客的攻击行为进行早期预警,保障网络的安全。服务器105可以时时记录黑客攻击的行为,全面的采集各个蜜网提交的捕获数据,进行日志分析研究,逐步更新监控策略,提升网络安全性。
需要说明的是,本公开实施例所提供的蜜网部署方法可以由服务器105执行。相应地,本公开实施例所提供的蜜网部署装置可以设置于服务器105中。或者,本公开实施例所提供的蜜网部署方法也可以由不同于服务器105且容易与被黑客101、102攻击的服务器或服务器集群执行。相应地,本公开实施例所提供的蜜网部署装置也可以设置于不同于服务器105且容易与被黑客101、102攻击的服务器或服务器集群中。
应该理解,图1中的客户端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的客户端、网络和服务器。
本公开实施例提供的蜜网部署方法,可以应用于网络安全技术领域。例如,企业、院校等为了防止黑客的恶意攻击,造成网络瘫痪,影响网络安全。可以采用本公开实施例提供的蜜网部署方法模板。应当理解是,本公开实施例提供的蜜网部署方法不仅限于应用于网络安全技术领域,上述描述只是示例性的,对于存在网络风险的其他领域,例如网络监测领域、网络预警领域等,都可以应用本公开实施例的蜜网部署方法进行网络布置。
图2示意性示出了根据本公开实施例蜜网部署方法的流程图。
如图2所示,根据实施例的流程图,本公开蜜网部署方法可以包括步骤S201-S204。
在操作步骤S201,采集目标骨干网的IPv6双向流量数据。
在本公开实施例中,可以通过部署nfcapd软件采集目标骨干网NetFlow IPV6在预设时间内的双向二进制流量,并存储在存储服务器上。流量采集软件nfcapd既可以布置在服务器105中,也可以单独布置在独立的服务器中。可以将预设时间例如24个小时内的流量数据,设定为每5分钟为一个粒度,24个小时分为288个分时间段,则预设时间的流量数据分为T1-T288个分时间段内的流量数据。应当理解,采集预设时间内的流量数据,可以根据预设时间的长短和流量的大小分为不同的分时间段,例如,采集12小时内的流量数据,设定每5分钟为一个粒度,12个小时分为144个分时间段,则预设时间的流量数据分为T1-T144个分时间段,采集24小时内的流量数据,设定每3分钟为一个粒度,24个小时分为480个分时间段,则预设时间的流量数据分为T1-T480个分时间段。
在操作步骤S202,根据IPv6双向流量数据确定所述目标骨干网中源AS到对应的目的AS的出入流量大小;
在本公开实施例中,可以通过部署nfdump软件分析步骤S201每5分钟采集目标骨干网NetFlow IPv6双向二进制流量,提取目标骨干网NetFlow源IP、目的IP、网段、源AS、目的AS、入流大小、出流量大小等字段,保存到文本文件中。其中,AS指自治域系统号,取值范围例如可以为1-65535,流量分析软件nfdump既可以布置在服务器105中,也可以单独布置在独立的服务器中。
读取生成的文本文件,统计计算目标骨干网NetFlow每个源AS到对应的目的AS每5分钟出入流量大小。24小时内以每5分钟为一个粒度,分为288个时间单位,计算从T1到T288共288个分时间段目标骨干网NetFlow每个源AS到对应的目的AS之间的总流量大小。
在操作步骤S203,根据出入流量大小确定目标骨干网中的活跃网段;
在本公开实施例中,根据步骤S202计算的每5分钟每个源AS到对应的目的AS出入流量大小及24小时内288个分时间段目标骨干网NetFlow每个源AS到对应的目的AS之间的总流量大小绘制流量拓扑图,根据流量拓扑图找出活跃网段。
图3为本公开一实施例各个AS之间的24小时的流量拓扑图,AS间连线上的数字表示流量的大小,单位为Byte,根据AS之间的连线及流量大小找出比较活跃的网段,AS之间连线越粗,说明流量越大,之间的网段越活跃。例如,通过图3中AS38587到AS32934之间连线上的数字为259222,连线粗,AS133111到AS4538之间连线上的数字为116718,连线较粗,AS59201到AS133775之间连线上的数字为6424,连线较细细,可知,AS38587到AS32934之间的流量比AS59201到AS133775之间的流量大,AS133111到AS4538之间的流量介于AS38587到AS32934与AS59201到AS133775之间,其余各个AS之间的流量大小比较按相同的方法类推。由图3可知,本实施例中,AS133111到AS23911之间的流量最大,网段最活跃,AS4538与AS38587之间的流量最小,网段最不活跃。
在操作步骤S204,在活跃网段部署至少一个类型的蜜罐,构建蜜网。
根据步骤S203确定的活跃网段,在活跃网段部署蜜罐,构建蜜网,蜜罐至少包括一种不同的类型,例如,可以包括低交互式蜜罐Dionaea和SSH(安全外壳协议)蜜罐Kippo,低交互式蜜罐系统Dionaea支持IPv6,但不支持对SSH攻击的记录,因此补充Kippo这个专业的SSH蜜罐来作为蜜网的补充。在多个活跃网段分别部署蜜网,构建多分布式蜜网。
图4示意性示出了本公开一实施例蜜罐部署方法的流程图。
如图4所示,该蜜罐部署方法例如可以包括操作步骤S301-S304。
在操作步骤S301,确定一台服务器,配置网络参数,安装Docker,系统要求Ubuntu18.04,Docker为一种开源的应用容器引擎,可以打包程序和应用环境,把环境和程序一起发布的容器,当需要发布程序时,可以使用Docker将应用环境一起发布,其他人拿到程序后,可以直接运行。
在操作步骤S302,部署低交互式蜜罐Dionaea。低交互式蜜罐Dionaea支持IPv6,下载基于docker的dionaea蜜罐系统编译安装,然后制作镜像,保存为基于docker的dionaea蜜罐。
在操作步骤S303,部署安全外壳协议蜜罐Kippo。安全外壳协议蜜罐Kippo为整个蜜网的补充,在Docker中基于Ubuntu18.04编译安装。然后制作镜像,保存为基于docker的Kippo镜像。
在操作步骤S304,整个分布式蜜网蜜罐部署。在不同的活跃网段分别部署蜜网,构建过程是先部署两台,然后在不同网段中的多台机器上相似系统采用操作步骤S302和操作步骤S302保存的镜像进行安装部署,然后重新配置主机名及网络参数。
本公开采用docker作为基础平台,安装Ubuntu18.04系统,部署蜜罐dionaea和kippo来做为黑客攻击行为捕获的系统。在多个不同活跃网段中部署多个蜜罐构成分布式蜜网,然后多点部署,构建多个IPV6分布式蜜网,提高蜜网的诱骗度。
为进一步增强分布式蜜网对黑客攻击行为的捕获能力,并实时监测黑客的攻击行为,进行更全面的数据采集与整体分析,提高网络安全性。本公开结合IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的。IPV6蜜罐地址伪装原理:网络通信中IP地址的主要作用是选路,最后将数据报文交给主机或者服务器是依靠局域网内MAC地址传输实现的。在IPv6网络中,NDP(邻居发现协议)的NS(邻居请求)和NA(邻居公告)消息用于实现IPv6地址到MAC的解析,而NDP协议中对于NS和NA的合法性验证标准并非十分苛刻,可以通过编程伪造NA消息,建立人为指定的IPv6--MAC地址映射关系。
图5示意性示出了根据本公开一实施例蜜网部署方法的处理装置的框图。
如图5所示,蜜网部署方法的处理装置500例如可以包括采集模块510、第一确定模块520、第二确定模块530及部署模块540。
采集模块510,用于采集目标骨干网的IPv6双向流量数据,包括对预设时间内目标骨干网的IPv6双向流量数据进行分段式采集;根据预设时间的长短和流量的大小分为不同的分时间段。
第一确定模块520,用于根据所述IPv6双向流量数据确定所述目标骨干网中源AS到对应的目的AS的出入流量大小。统计计算目标骨干网每个源AS到对应的目的AS每个分时间段及预设时间段内出入流量大小。
第二确定模块530,用于根据所述出入流量大小确定所述目标骨干网中的活跃网段。根据第一确定模块520统计的流量大小绘制流量拓扑图,再根据流量拓扑图确定活跃网段。
部署模块540,用于在所述活跃网段部署至少一个类型的蜜罐,构建蜜网。在多个活跃网段分别部署蜜网,构建多分布式蜜网。
根据本公开实施例提供的蜜网部署方法,在部署蜜罐前首先采集了目标骨干网络在预设时间内的流量数据,统计计算目标骨干网每个源AS到对应的目的AS出入流量大小,分析流量数据发现活跃网段,确定蜜罐部署位置,在活跃网段上布置至少一种类型的蜜罐,构建蜜网,扩大信息采集量与数据有用性,诱导网络病毒对其进行攻击,然后捕获该攻击行为。并且,结合IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的,让攻击者以为可以通信,只要攻击者扫描到一个网段,网段内任一个地址都可以被伪装成存活的,从而有效提升IPv6蜜罐诱捕能力。
需要说明的是,本公开的实施例中蜜网部署处理装置部分与本公开的实施例中蜜网部署方法的方法部分是相对应的,其具体实施细节也是相同的,在此不再赘述。
图6示意性示出了根据本公开实施例的适于实现上文描述的方法的电子设备的框图。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,根据本公开实施例的电子设备600包括处理器601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 603中,存储有电子设备600操作所需的各种程序和数据。处理器601、ROM602以及RAM603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备600还可以包括输入/输出(I/O)接口605,输入/输出(I/O)接口605也连接至总线604。电子设备600还可以包括连接至I/O接口605的以下部件中的一项或多项:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质。例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

Claims (10)

1.一种蜜网部署方法,包括:
采集目标骨干网的IPv6双向流量数据;
根据所述IPv6双向流量数据确定所述目标骨干网中源AS到对应的目的AS的出入流量大小;
根据所述出入流量大小确定所述目标骨干网中的活跃网段;
在所述活跃网段部署至少一个类型的蜜罐,构建蜜网。
2.根据权利要求1所述的蜜网部署方法,所述蜜网部署方法还包括:
基于IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的网络地址。
3.根据权利要求1或2所述的蜜网部署方法,其中,所述采集目标骨干网的IPv6双向流量数据包括:对预设时间内目标骨干网的IPv6双向流量数据进行分段式采集。
4.根据权利要求3所述的蜜网部署方法,其中,所述根据所述IPv6双向流量数据确定所述目标骨干网源AS到目的AS的出入流量大小包括:
基于每个分时间段内的IPv6双向流量数据,提取目标骨干网每个分时间段内的源IP、目的IP、网段、源AS、目的AS、出流量大小、入流量大小字段;
读取所述字段,计算所述每个分时间段内源AS到对应目的AS的出入流量大小,统计所述预设时间内从源AS到对应目的AS的出入总流量大小。
5.根据权利要求4所述的蜜网部署方法,其中,所述根据所述出入流量大小确定所述目标骨干网中的活跃网段包括:
根据所述每个分时间段内源AS到对应目的AS的出入流量大小和所述预设时间内源AS到对应目的AS的出入总流量大小的结果,绘制基于所述每个分时间段及所述预设时间内的流量拓扑图;
根据所述流量拓扑图确定预设时间内目标骨干网的活跃网段。
6.根据权利要求1或2所述的蜜网部署方法,其中,
所述在所述活跃网段部署至少一个类型的蜜罐,构建蜜网包括:部署低交互式蜜罐和安全外壳协议蜜罐,所述低交互式蜜罐与安全外壳协议蜜罐交互布置;
其中,所述低交互式蜜罐支持IPv6协议,所述安全外壳协议蜜罐作为所述低交互式蜜罐的补充,记录安全外壳协议攻击。
7.根据权利要求6所述的蜜网部署方法,其中,所述低交互式蜜罐采用基于docker的低交互式蜜罐系统编译安装,制作docker镜像,保存为基于docker的低交互式蜜罐;
所述安全外壳协议蜜罐在docker中基于对象系统编译安装,制作docker镜像,保存为基于docker的安全外壳协议蜜罐;
其中,所述docker为一个开源的应用容器引擎。
8.一种蜜网部署装置,所述装置包括:
采集模块,用于采集目标骨干网的IPv6双向流量数据;
第一确定模块,用于根据所述IPv6双向流量数据确定所述目标骨干网中源AS到对应的目的AS的出入流量大小;
第二确定模块,用于根据所述出入流量大小确定所述目标骨干网中的活跃网段;
部署模块,用于在所述活跃网段部署至少一个类型的蜜罐,构建蜜网。
9.一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1至7中任一项所述的方法。
CN202111625154.6A 2021-12-28 2021-12-28 蜜网部署方法、装置、设备及介质 Active CN114285660B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111625154.6A CN114285660B (zh) 2021-12-28 2021-12-28 蜜网部署方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111625154.6A CN114285660B (zh) 2021-12-28 2021-12-28 蜜网部署方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN114285660A true CN114285660A (zh) 2022-04-05
CN114285660B CN114285660B (zh) 2023-11-07

Family

ID=80877947

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111625154.6A Active CN114285660B (zh) 2021-12-28 2021-12-28 蜜网部署方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN114285660B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2500847A1 (en) * 2004-03-16 2005-09-16 At&T Corp. Method and apparatus for providing mobile honeypots
US20180063191A1 (en) * 2016-08-31 2018-03-01 Siemens Aktiengesellschaft System and method for using a virtual honeypot in an industrial automation system and cloud connector
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN110798482A (zh) * 2019-11-11 2020-02-14 杭州安恒信息技术股份有限公司 基于linux网络过滤器的系统级蜜罐网络隔离系统
WO2021008028A1 (zh) * 2019-07-18 2021-01-21 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
US20210067553A1 (en) * 2019-09-04 2021-03-04 Oracle International Corporation Honeypots for infrastructure-as-a-service security
CN112532636A (zh) * 2020-12-02 2021-03-19 赛尔网络有限公司 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置
US10986129B1 (en) * 2019-03-28 2021-04-20 Rapid7, Inc. Live deployment of deception systems
US20210185087A1 (en) * 2019-12-17 2021-06-17 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US20210194925A1 (en) * 2019-12-19 2021-06-24 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
CN113328992A (zh) * 2021-04-23 2021-08-31 国网辽宁省电力有限公司电力科学研究院 一种基于流量分析的动态蜜网系统
US20210360028A1 (en) * 2020-05-15 2021-11-18 Paypal, Inc. Protecting from directory enumeration using honeypot pages within a network directory

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2500847A1 (en) * 2004-03-16 2005-09-16 At&T Corp. Method and apparatus for providing mobile honeypots
US20180063191A1 (en) * 2016-08-31 2018-03-01 Siemens Aktiengesellschaft System and method for using a virtual honeypot in an industrial automation system and cloud connector
US10986129B1 (en) * 2019-03-28 2021-04-20 Rapid7, Inc. Live deployment of deception systems
WO2021008028A1 (zh) * 2019-07-18 2021-01-21 平安科技(深圳)有限公司 网络攻击源定位及防护方法、电子设备及计算机存储介质
US20210067553A1 (en) * 2019-09-04 2021-03-04 Oracle International Corporation Honeypots for infrastructure-as-a-service security
CN110768987A (zh) * 2019-10-28 2020-02-07 电子科技大学 一种基于sdn的虚拟蜜网动态部署方法及系统
CN110798482A (zh) * 2019-11-11 2020-02-14 杭州安恒信息技术股份有限公司 基于linux网络过滤器的系统级蜜罐网络隔离系统
US20210185087A1 (en) * 2019-12-17 2021-06-17 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US20210194925A1 (en) * 2019-12-19 2021-06-24 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US20210360028A1 (en) * 2020-05-15 2021-11-18 Paypal, Inc. Protecting from directory enumeration using honeypot pages within a network directory
CN112532636A (zh) * 2020-12-02 2021-03-19 赛尔网络有限公司 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置
CN113328992A (zh) * 2021-04-23 2021-08-31 国网辽宁省电力有限公司电力科学研究院 一种基于流量分析的动态蜜网系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HE WANG; BIN WU: "SDN-based hybrid honeypot for attack capture", 《2019 IEEE 3RD INFORMATION TECHNOLOGY, NETWORKING, ELECTRONIC AND AUTOMATION CONTROL CONFERENCE (ITNEC)》, pages 1602 - 1606 *
王佰玲;刘红日;张耀方;吕思才;王子博: "工业控制系统安全仿真关键技术研究综述", 《系统仿真学报》, vol. 33, no. 6, pages 1466 - 1488 *

Also Published As

Publication number Publication date
CN114285660B (zh) 2023-11-07

Similar Documents

Publication Publication Date Title
US10567431B2 (en) Emulating shellcode attacks
US11271907B2 (en) Smart proxy for a large scale high-interaction honeypot farm
US11265346B2 (en) Large scale high-interactive honeypot farm
US9942270B2 (en) Database deception in directory services
US9356950B2 (en) Evaluating URLS for malicious content
US10560434B2 (en) Automated honeypot provisioning system
US10476891B2 (en) Monitoring access of network darkspace
US20150326588A1 (en) System and method for directing malicous activity to a monitoring system
KR101737726B1 (ko) 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출
AU2017200969A1 (en) Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness
US11489853B2 (en) Distributed threat sensor data aggregation and data export
US20210344690A1 (en) Distributed threat sensor analysis and correlation
TW201703483A (zh) 用於改善分散式網路中分析之方法及系統
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
CN110875904A (zh) 实现攻击处理的方法、蜜罐部署方法及介质和设备
US20190394220A1 (en) Automatic characterization of malicious data flows
Dodson et al. Using global honeypot networks to detect targeted ICS attacks
US9275226B1 (en) Systems and methods for detecting selective malware attacks
Wang et al. Using honeypots to model botnet attacks on the internet of medical things
CN112532636A (zh) 一种基于T-Pot蜜罐和主干网流量的恶意域名检测方法及装置
US20210344726A1 (en) Threat sensor deployment and management
CN114285660B (zh) 蜜网部署方法、装置、设备及介质
Felix et al. Framework for Analyzing Intruder Behavior of IoT Cyber Attacks Based on Network Forensics by Deploying Honeypot Technology
Anastasiadis et al. A Novel High-Interaction Honeypot Network for Internet of Vehicles
Chong et al. Bringing defensive artificial intelligence capabilities to mobile devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant