CN114760123B - 一种蜜针与蜜罐装置及其部署方法 - Google Patents
一种蜜针与蜜罐装置及其部署方法 Download PDFInfo
- Publication number
- CN114760123B CN114760123B CN202210361270.XA CN202210361270A CN114760123B CN 114760123 B CN114760123 B CN 114760123B CN 202210361270 A CN202210361270 A CN 202210361270A CN 114760123 B CN114760123 B CN 114760123B
- Authority
- CN
- China
- Prior art keywords
- honey
- flow
- honeypot
- attack
- needle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 97
- 238000000034 method Methods 0.000 title abstract description 12
- 239000013589 supplement Substances 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract 1
- 239000000523 sample Substances 0.000 description 3
- 101100298225 Caenorhabditis elegans pot-2 gene Proteins 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种蜜针与蜜罐装置及其部署方法,其包括若干个部署在业务网络中并接受攻击访问的蜜针、若干个与业务网络隔离并形成网络拓扑的蜜罐、用于桥接蜜针与蜜罐的流量转发器、连接在流量转发器上并用于配置流量转发规则及创建与部署蜜罐的蜜罐控制器;蜜罐与业务网络隔离并形成网络拓扑更加安全,蜜针转发时只需要向特定端口转发,再由流量流量转发器分发,减少了转发暴露面;另外,蜜针与流量转发器之间的数据包属于加密流量,减少中间被抓包的风险。
Description
技术领域
本发明涉及计算机网络安全领域,具体为一种蜜针与蜜罐装置及其部署方法。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
现有技术主要依赖于将蜜罐直接部署于现网中,或者部署的探针直接转发到对应的蜜罐,但是主要存在以下一些问题:1.如果直接部署于现网中的蜜罐需要占用大量的资源,成本较高,部署复杂;2.如果直接部署蜜罐到现网中,受限于蜜罐的种类,无法灵活的开启不同服务的端口;3.部署于实际业务网中的蜜罐,即使加了各种防御措施,但是一旦被攻击者利用将直接突破到现有的网络中;4.受限于单台设备硬件结构,蜜罐无法部署于单位网络的所有区域;
由此可见,提供一种蜜针与蜜罐装置及其部署方法是本领域亟需解决的问题。
发明内容
为解决上述问题,本发明提供了一种蜜针与蜜罐装置,所述蜜针与蜜罐装置包括若干个部署在业务网络中并接收攻击访问的蜜针、若干个与业务网络隔离并形成网络拓扑的蜜罐、用于桥接蜜针与蜜罐的流量转发器、连接在流量转发器上并用于配置流量转发规则及创建与部署蜜罐的蜜罐控制器。
一种蜜针与蜜罐的部署方法,其通过所述蜜罐控制器配置流量转发规则及创建与部署蜜罐,蜜针接收到攻击访问流量之后将其加密发送到流量转发器,流量转发器根据流量转发规则将攻击访问流量分配给相应的蜜罐进行蜜罐处理和事件处理,之后将数据包回流到流量转发器,流量转发器加密传回到蜜针,蜜针将解密后的数据包发送给攻击者。
进一步的,所述蜜罐使用虚拟化技术,根据网络特点进行蜜罐的部署,每个蜜罐有唯一编号,设定为potID1……n。
进一步的,所述蜜罐控制器中设定转发规则,蜜针与蜜罐之间的关系为多对多关系。
进一步的,所述蜜针在接受攻击者访问时接收攻击流量并判断该端口是否在对应的规则端口中,若是,则加密攻击者流量数据包发送给流量转发器;若攻击的端口不在对应的规则中,则将捕获的端口信息和流量特征上传给蜜罐控制器分析攻击特征。
进一步的,所述流量转发器根据收到的蜜针信息查找规则表,获取对应的蜜罐IP地址,将加密的流量数据包解密后发送给对应的蜜罐进行处理。
进一步的,所述蜜罐控制器分析攻击特征,如有相应的蜜罐与特征信息符合,则向其他蜜针下发相应的规则,等待攻击者下次攻击;若无对应蜜罐,则通知管理员进行补充对应的蜜罐信息。
与现有技术相比,本发明具有以下有益效果:
蜜罐与业务网络隔离并形成网络拓扑更加安全,蜜针转发时只需要向特定端口转发,再由流量流量转发器分发,减少了蜜罐暴露面;另外,蜜针与流量转发器之间的数据包属于加密流量,减少中间被抓包的风险。
附图说明
图1是本发明的部署方式示意图。
图2是本发明中蜜针在接受攻击访问时的流程图。
图中:1-蜜针;2-蜜罐;3-流量转发器;4-蜜罐控制器。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,给出了本发明一种蜜针与蜜罐装置的组成结构,其包括若干个部署在业务网络中并接收攻击访问的蜜针1、若干个与业务网络隔离并形成网络拓扑的蜜罐2、用于桥接蜜针1与蜜罐2的流量转发器3、连接在流量转发器3上并用于配置流量转发规则及创建与部署蜜罐的蜜罐控制器4。
本发明一种蜜针与蜜罐装置的部署方法如下:通过蜜罐控制器4配置流量转发规则及创建与部署蜜罐,蜜针1接收到攻击访问流量之后将其加密发送到流量转发器3,流量转发器3根据流量转发规则将攻击访问流量分配给相应的蜜罐2进行蜜罐处理和事件处理,之后将数据包回流到流量转发器3,流量转发器加密传回到蜜针,蜜针1将解密后的数据包发送给攻击者。
具体操作如下:例如用户使用的是OA系统,则安全管理人员按照上述方式部署流量分发器,开启转发端口40000;根据实际情况部署蜜罐系统,使用8080端口;在OA区安装蜜针节点nodel,添加转发规则到node1:80->OA蜜罐:80,node1收到规则后打开8080的端口监听;攻击者访问node1:8080,node1将攻击者流量加密转发给流量分发器的40000端口,流量分发器收到该流量后解密流量并转发到OA蜜罐中,OA蜜罐将响应数据包回到流量分发器,流量分发器加密响应数据包后发送给node1,node1解密响应数据包并发给攻击者。
蜜罐2使用虚拟化技术(如Docker、KVM等),只需要与流量转发器进行通信即可,管理人员需根据网络特点进行业务蜜罐的部署,每个蜜罐有唯一编号,设定为potID1……n;
在对应的业务网络中部署相应的蜜针程序,相应的在蜜罐控制器中设定转发规则,转发规则如下表,根据上述规则,蜜针与蜜罐之间的关系为多对多关系。
蜜针IP | 探针端口 | 蜜罐ID | 蜜罐端口 |
蜜针1IP | 80 | potID1 | 80 |
参见图2,本发明中蜜针在接受攻击访问时的流程如下:
攻击者攻击蜜针某端口时,蜜针收到攻击流量并判断该端口是否在对应的规则端口中,若是,则加密攻击者流量数据包发送给流量转发器,流量转发器根据收到的蜜针信息查找规则表,获取对应的蜜罐IP信息,将加密的流量数据包解密后发送给对应的蜜罐进行处理。蜜罐收到对应的流量包进行相应的蜜罐处理和事件处理如上包控制台和通知管理员等。
若攻击的端口不在对应的规则中,则将捕获的端口信息和流量特征上传给蜜罐控制器分析攻击特征,如端口信息。如有相应的蜜罐与特征信息符合,则向其他蜜针下发相应的规则,等待攻击者下次攻击;若无对应蜜罐,则通知管理员进行补充对应的蜜罐信息。
攻击者攻击单位在某个探针捕获到某个端口(如445)的流量,蜜罐控制器将向本单位的所有的探针同步所有的转发规则。
需要说明的是,在本文中术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (1)
1.一种蜜针与蜜罐装置,其特征在于,蜜针与蜜罐装置包括若干个部署在业务网络中并接受攻击访问的蜜针(1)、若干个与业务网络隔离并形成网络拓扑的蜜罐(2)、用于桥接蜜针(1)与蜜罐(2)的流量转发器(3)、连接在流量转发器(3)上并用于配置流量转发规则及创建与部署蜜罐的蜜罐控制器(4);
通过所述蜜罐控制器(4)配置流量转发规则及创建与部署蜜罐(2),蜜针(1)接收到攻击访问流量之后将其传递到流量转发器(3),流量转发器(3)根据流量转发规则将攻击访问流量分配给相应的蜜罐(2)进行蜜罐处理和事件处理,之后将数据包回流到流量转发器(3),蜜针(1)将解密后的数据包发送给攻击者;
所述蜜罐(2)使用虚拟化技术,根据网络特点进行蜜罐的部署,每个蜜罐有唯一编号,设定为potID1……n;
所述蜜罐控制器(4)中设定转发规则,蜜针(1)与蜜罐(2)之间的关系为多对多关系;
所述蜜针(1)在接受攻击者访问时接收攻击流量并判断端口是否在对应的规则端口中,若是,则加密攻击者流量数据包发送给流量转发器(3);若攻击的端口不在对应的规则中,则将捕获的端口信息和流量特征上传给蜜罐控制器(4)分析攻击特征;
所述流量转发器(3)根据收到的蜜针信息查找规则表,获取对应的蜜罐IP地址,将加密的流量数据包解密后发送给对应的蜜罐(2)进行处理;
所述蜜罐控制器(4)分析攻击特征,如有相应的蜜罐(2)与特征信息符合,则向其他蜜针下发相应的规则,等待攻击者下次攻击;若无对应蜜罐(2),则通知管理员进行补充对应的蜜罐(2)信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210361270.XA CN114760123B (zh) | 2022-04-07 | 2022-04-07 | 一种蜜针与蜜罐装置及其部署方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210361270.XA CN114760123B (zh) | 2022-04-07 | 2022-04-07 | 一种蜜针与蜜罐装置及其部署方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114760123A CN114760123A (zh) | 2022-07-15 |
CN114760123B true CN114760123B (zh) | 2024-04-05 |
Family
ID=82329997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210361270.XA Active CN114760123B (zh) | 2022-04-07 | 2022-04-07 | 一种蜜针与蜜罐装置及其部署方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114760123B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN114268505A (zh) * | 2021-12-27 | 2022-04-01 | 北京国腾创新科技有限公司 | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 |
-
2022
- 2022-04-07 CN CN202210361270.XA patent/CN114760123B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707576A (zh) * | 2017-11-28 | 2018-02-16 | 深信服科技股份有限公司 | 一种基于蜜罐技术的网络防御方法及系统 |
WO2019127141A1 (en) * | 2017-12-27 | 2019-07-04 | Siemens Aktiengesellschaft | Network traffic sending method and apparatus, and hybrid honeypot system |
CN110881052A (zh) * | 2019-12-25 | 2020-03-13 | 成都知道创宇信息技术有限公司 | 网络安全的防御方法、装置及系统、可读存储介质 |
CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
CN113676449A (zh) * | 2021-07-13 | 2021-11-19 | 北京奇艺世纪科技有限公司 | 网络攻击处理方法及装置 |
CN114268505A (zh) * | 2021-12-27 | 2022-04-01 | 北京国腾创新科技有限公司 | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN114760123A (zh) | 2022-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11888897B2 (en) | Implementing decoys in a network environment | |
Pattaranantakul et al. | NFV security survey: From use case driven threat analysis to state-of-the-art countermeasures | |
US8286249B2 (en) | Attack correlation using marked information | |
KR102145935B1 (ko) | 네트워크 종점들을 보호하기 위한 시스템들 및 방법들 | |
Mittal et al. | Stealthy traffic analysis of low-latency anonymous communication using throughput fingerprinting | |
US7234168B2 (en) | Hierarchy-based method and apparatus for detecting attacks on a computer system | |
EP1668511B1 (en) | Apparatus and method for dynamic distribution of intrusion signatures | |
US20170026387A1 (en) | Monitoring access of network darkspace | |
US9119077B2 (en) | Wireless network security | |
US10404747B1 (en) | Detecting malicious activity by using endemic network hosts as decoys | |
US20040181690A1 (en) | Managing multiple network security devices from a manager device | |
CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
WO2014063110A1 (en) | Network infrastructure obfuscation | |
CN110881052A (zh) | 网络安全的防御方法、装置及系统、可读存储介质 | |
US20010014912A1 (en) | Distributed security system for a communication network | |
AU2015255980A1 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
CN101589595A (zh) | 用于潜在被污染端系统的牵制机制 | |
US8713306B1 (en) | Network decoys | |
KR101710385B1 (ko) | Arp 패킷을 관리하는 방법, 장치 및 컴퓨터 프로그램 | |
CN110620773B (zh) | 一种tcp流量隔离方法、装置及相关组件 | |
CN114760123B (zh) | 一种蜜针与蜜罐装置及其部署方法 | |
Liu et al. | Securing cyber-physical systems from hardware trojan collusion | |
Kato et al. | A real-time intrusion detection system (IDS) for large scale networks and its evaluations | |
CN114465745B (zh) | 一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法 | |
Borders et al. | OpenFire: Using deception to reduce network attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |