CN114338203A - 一种基于拟态蜜罐的内网检测系统及方法 - Google Patents
一种基于拟态蜜罐的内网检测系统及方法 Download PDFInfo
- Publication number
- CN114338203A CN114338203A CN202111664728.0A CN202111664728A CN114338203A CN 114338203 A CN114338203 A CN 114338203A CN 202111664728 A CN202111664728 A CN 202111664728A CN 114338203 A CN114338203 A CN 114338203A
- Authority
- CN
- China
- Prior art keywords
- honeypots
- intranet
- honeypot
- honeynet
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于拟态蜜罐的内网检测系统及方法,系统包括:蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。方法包括以下步骤:当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。
Description
技术领域
本发明涉及拟态防御领域,尤其涉及一种基于拟态蜜罐的内网检测系统及方法。
背景技术
目前,网络攻击的形式趋于多样化,基于传统木马、病毒方式的攻击在网络中已经日渐减少,取而代之的是更隐秘的“渗透攻击”,此种攻击方式往往在用户不知情的状况下,窃取情报、破坏用户系统,对内网安全性影响较大。常用的渗透攻击,往往先从探测内网信息开始,如何增加内网探测的难度,同时又能发现未知手段的渗透攻击,对于提升内网的安全性具有重要意义。
发明内容
为了解决上述问题,有必要提供一种基于拟态蜜罐的内网检测系统及方法。
本发明第一方面提出一种基于拟态蜜罐的内网检测系统,包括:
蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;
蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;
裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;
调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。
基于上述,所述蜜罐采取运行不同的业务、设计不同的系统漏洞、开放不同的端口号进行异构性设计。
基于上述,所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。
基于上述,所述操作系统的状态包括文件状态、shell状态、流量状态、内存使用状态和CPU使用状态。
基于上述,所述蜜罐通过服务器的方式进行实现,每个蜜罐分别通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
基于上述,所述蜜罐通过虚拟化的方式实现,宿主机通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
本发明第二方面提出一种基于拟态蜜罐的内网检测方法,应用于所述的基于拟态蜜罐的内网检测系统,包括以下步骤:
当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;
蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。
本发明通过在传统内部网络的基础上,引入拟态蜜网,通过蜜罐诱捕内部或外部攻击,同时借助拟态裁决模块,判断蜜罐是否受到了未知攻击,并借助调度模块,发现未知手段的渗透攻击;同时动态改变蜜网的拓扑结构,增强蜜罐的不可测性,提升内网信息窥探的难度。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1示出了本发明的系统结构框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
如图1所示,本发明提出一种基于拟态蜜罐的内网检测系统,包括:
蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;
所述蜜罐采取运行不同的业务(应用程序)、设计不同的系统漏洞、开放不同的端口号进行异构性设计;具体的,不同种类的操作系统,用元素O进行表示;同种操作系统具备不同漏洞,用元素D进行表示;不同种类的业务,用元素A进行表示;不同硬件平台的虚假服务器或者PC机组成,用元素H进行表示;蜜罐池以操作系统为基准进行分类组合,window xp操作的蜜罐池集合SXP={S1、S2、S3,……,S11,S12,S13,……},变换不同的漏洞S1={O1、D1、A1、H1},S2={O1、D2、A1、H1},S3={O1、D3、A1、H1},变换不同的业务S11={O1、D1、A1、H1},S2={O1、D2、A2、H1},S3={O1、D3、A3、H1},同时也可以采取漏洞与业务应用相结合的方式进行组合变换。
蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;
具体的,蜜网与内网之间通过端口隔离的方式进行数据流量隔离,以避免将蜜罐作为跳板对内网中的设备进行攻击。为了增强内网设备的迷惑性,蜜网与内网尽量在同1个VLAN中,保证蜜网中的蜜罐与内网中的设备在同一个网段中,却无法相互通信;正常情况下,蜜网中的蜜罐运行不同的业务,为了通过拟态机理发现未知攻击,此时蜜网中的蜜罐在某个时间段内应具备相同的操作系统,将操作系统的状态作为拟态裁决点;其中,所述操作系统的状态包括文件状态、shell状态、流量状态、内存使用状态和CPU使用状态。
裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;
考虑到目前的渗透攻击以探测操作系统的状态为主,往往通过入侵操作系统,进行业务攻击;在此情况下,以操作系统作为拟态界。蜜网中的蜜罐具有相同的操作系统,同时都接入到内网交换机,内部或者外部的探测扫描经过内网交换机都会传到蜜罐上,在此情况下,还可以省略掉输入代理的设计。
当拟态蜜罐通过服务器的方式进行实现时,每个蜜罐分别通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;当蜜罐通过虚拟化的方式实现时,宿主机通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;同时为了保证裁决模块、调度模块的安全性,避免攻击者将蜜罐作为跳板进行攻击,第二内网交换机只允许裁决数据流进行转发。
调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐;
所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。
基于拟态蜜罐的内网检测方法具体的工作流程:
当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;
蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。
本发明中,由于蜜罐往往是由操作系统和应用程序构成的,故操作系统一般选用具备漏洞的操作系统的版本,应用程序选择漏洞百出的开源程序。由于这些漏洞都是已知的漏洞,这些漏洞被利用后,会产生什么状态,也是已知的。裁决模块一方面通过对比已知漏洞被成功利用后的结果来发现威胁,并通知调度器进行蜜罐调度,另一方面通过在应用程序中预设状态(拟态点)发现未知漏洞。
假如应用程序具备已知漏洞,用集合appD={d1、d2、d3}表示,漏洞表现的结果用appS={S1、S2、S3}表示;应用程序的拟态点定义为appM={m1、m2、m3},拟态点由应用程序的输出状态构成。蜜罐网中的蜜罐集合为NOS={appS1、appS2、appS3、appM1、appM2、appM3},在t时间范围内通过对比ppS1、appS2、appS3以及appM1、appM2、appM3判别蜜网是否受到攻击。当检测出攻击后,需要将蜜网中蜜罐全部重新上线,组成新的蜜网。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种基于拟态蜜罐的内网检测系统,其特征在于,包括:
蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;
蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;
裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;
调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。
2.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述蜜罐采取运行不同的业务、设计不同的系统漏洞、开放不同的端口号进行异构性设计。
3.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。
4.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述操作系统的状态包括文件状态、shell状态、流量状态、内存使用状态和CPU使用状态。
5.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于:所述蜜罐通过服务器的方式进行实现,每个蜜罐分别通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
6.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述蜜罐通过虚拟化的方式实现,宿主机通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
7.一种基于拟态蜜罐的内网检测方法,应用于权利要求1-6任一项所述的基于拟态蜜罐的内网检测系统,其特征在于,包括以下步骤:
当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;
蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对蜜罐进行调度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111664728.0A CN114338203B (zh) | 2021-12-31 | 2021-12-31 | 一种基于拟态蜜罐的内网检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111664728.0A CN114338203B (zh) | 2021-12-31 | 2021-12-31 | 一种基于拟态蜜罐的内网检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338203A true CN114338203A (zh) | 2022-04-12 |
| CN114338203B CN114338203B (zh) | 2023-10-03 |
Family
ID=81020605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111664728.0A Active CN114338203B (zh) | 2021-12-31 | 2021-12-31 | 一种基于拟态蜜罐的内网检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338203B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| EP3343869A1 (en) * | 2016-12-28 | 2018-07-04 | Deutsche Telekom AG | A method for modeling attack patterns in honeypots |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN113783881A (zh) * | 2021-09-15 | 2021-12-10 | 浙江工业大学 | 一种面向渗透攻击的网络蜜罐部署方法 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
-
2021
- 2021-12-31 CN CN202111664728.0A patent/CN114338203B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
| EP3343869A1 (en) * | 2016-12-28 | 2018-07-04 | Deutsche Telekom AG | A method for modeling attack patterns in honeypots |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
| CN112291247A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种基于流量转发的局域网高覆盖检测的蜜网系统 |
| CN113783881A (zh) * | 2021-09-15 | 2021-12-10 | 浙江工业大学 | 一种面向渗透攻击的网络蜜罐部署方法 |
| CN113810406A (zh) * | 2021-09-15 | 2021-12-17 | 浙江工业大学 | 一种基于动态防御图与强化学习的网络空间安全防御方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN115499242B (zh) * | 2022-10-11 | 2023-12-26 | 中电云计算技术有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
| CN117061253A (zh) * | 2023-10-12 | 2023-11-14 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
| CN117061253B (zh) * | 2023-10-12 | 2023-12-22 | 南京赛宁信息技术有限公司 | 一种动态部署蜜罐的检测方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338203B (zh) | 2023-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11775634B2 (en) | Computing platform security methods and apparatus | |
| US20200366694A1 (en) | Methods and systems for malware host correlation | |
| US7681226B2 (en) | Methods and apparatus providing security for multiple operational states of a computerized device | |
| Javaheri et al. | Detection and elimination of spyware and ransomware by intercepting kernel-level system routines | |
| US10305919B2 (en) | Systems and methods for inhibiting attacks on applications | |
| US7685638B1 (en) | Dynamic replacement of system call tables | |
| US8375444B2 (en) | Dynamic signature creation and enforcement | |
| US8220049B2 (en) | Hardware-based detection and containment of an infected host computing device | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US20140215637A1 (en) | Security arrangements for extended usb protocol stack of a usb host system | |
| US11438349B2 (en) | Systems and methods for protecting devices from malware | |
| US11204998B2 (en) | Detection and mitigation of fileless security threats | |
| EP2219131A1 (en) | Method and apparatus for safeguarding automatically harmful computer program | |
| US20100071065A1 (en) | Infiltration of malware communications | |
| KR100985074B1 (ko) | 선별적 가상화를 이용한 악성 코드 사전 차단 장치, 방법 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
| JP2008500653A (ja) | サンドボックス法によるコンピュータセキュリティ向上方法 | |
| CN114338203B (zh) | 一种基于拟态蜜罐的内网检测系统及方法 | |
| WO2013009302A1 (en) | Computing device including a port and a guest domain | |
| EP3210153A1 (en) | Computing platform security methods and apparatus | |
| KR100926456B1 (ko) | 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법 | |
| JP2017220195A (ja) | 悪意のあるコンピュータシステムを検出するシステム及び方法 | |
| KR102189361B1 (ko) | 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법 | |
| KR20180059611A (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
| Lacombe et al. | Rootkit modeling and experiments under Linux |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |