CN114978731A - 一种基于多样性扩展的诱捕蜜罐实现系统及方法 - Google Patents
一种基于多样性扩展的诱捕蜜罐实现系统及方法 Download PDFInfo
- Publication number
- CN114978731A CN114978731A CN202210597713.5A CN202210597713A CN114978731A CN 114978731 A CN114978731 A CN 114978731A CN 202210597713 A CN202210597713 A CN 202210597713A CN 114978731 A CN114978731 A CN 114978731A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- virtual
- honeypots
- attack
- attacker
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于多样性扩展的诱捕蜜罐实现系统及方法,属于网络安全技术领域。本发明提供的基于多样性扩展的诱捕蜜罐实现系统及方法通过强化学习模型调整和扩展现有蜜罐,能够提高诱捕的效率,且扩大诱捕范围,实现了面向战场等复杂网络的诱捕蜜罐的多样性和动态扩展,在一定程度上解决了传统蜜罐静态单一、命中率低等问题,整体上提高蜜网的灵活性。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种基于多样性扩展的诱捕蜜罐实现系统及方法。
背景技术
随着信息化战争的不断演化变革,网络威胁形势愈发严峻。在面对业务环境复杂多样、攻击手段层出不穷的复杂网络攻防情况下,传统的防火墙、入侵检测等被动安全防护手段已然捉襟见肘。而蜜罐技术作为一种有效的主动防御技术,通过欺骗的手段,诱骗入侵者在特定环境内发起攻击,一方面减少对实际系统的威胁,另一方面能够获取攻击工具、掌握攻击手段、支持攻击溯源,成为网络安全防御领域的重要方向。
现阶段,静态单一蜜罐、广泛撒网蜜罐、动态部署蜜罐是最常见的三种蜜罐形式,存在以下的不足之处:
(1)静态单一蜜罐,只部署单一的、静态的蜜罐,被动等待攻击者入侵,大多数攻击者会轻而易举发现蜜罐,从而进行跳转逃脱。
(2)广泛撒网蜜罐,采用广撒网的被动部署方式,在蜜罐节点部署后,守株待兔,被动等待入侵者的发现和攻击,开销大,命中率低,若攻击者未进入蜜罐,则功亏一篑。
(3)动态部署蜜罐,利用监控到的网络信息进行动态部署和配置,感知周围网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。但是,动态部署蜜罐多随着网络环境变化而变化,并不会主动地去扩展更多样性的蜜罐,且虚拟蜜罐之间通信交互行为少,诱捕效率低,不能达到引诱敌人发起更多攻击的目的。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何解决传统蜜罐静态单一、命中率低等问题,整体上提高蜜网的灵活性。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于多样性扩展的诱捕蜜罐实现系统,包括:
异常检测模块,用于收集网络流量,主动识别和检测异常流量信息,包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务这些特征信息;
蜜罐生成模块,用于根据异常检测模块收集到的特征信息,自动生成能够满足攻击者攻击意图的虚拟蜜罐;
智能学习模块用于:首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息,在攻击者与虚拟蜜罐未成功通信时,通过强化学习的方式不断调整虚拟蜜罐的状态,生成新的不同的虚拟蜜罐;在攻击者与虚拟蜜罐成功通信时,在与攻击者交互过程中,通过强化学习的方式对虚拟蜜罐的状态进行不断的调整,扩展地生成其他多个不同的虚拟蜜罐;其次,通过提高不同虚拟蜜罐之间的通信交互性,提升蜜罐的多样性和真实性;
流量牵引模块,用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中,引诱入侵者发起更多攻击,记录和监视攻击行为。
优选地,所述异常检测模块部署于整个网络的通信入口处,在收集网络流量时,排除掉正常通信流量,识别和检测出异常的恶意请求行为,发现网络上的潜在威胁,记录所述特征信息,所述正常通信流量是指,真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为,异常检测模块中除涉及到基于攻击特征库的已知攻击行为检测,还涉及到基于异常行为分析的实时入侵检测。
优选地,所述蜜罐生成模块根据异常检测模块检测到的特征信息,初步判断攻击者的攻击意图,自适应生成与攻击者攻击意图相匹配的虚拟蜜罐,从而获取更多的攻击者信息,其中,如果发现攻击者试图通过FTP端口发起攻击,便自动生成一个开启FTP服务的虚拟蜜罐,并在FTP文件中存储包含假敏感数据的文件。
优选地,所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时,通过强化学习的方式不断学习虚拟蜜罐的动作和状态,选取经过学习后的最优的前K个虚拟蜜罐的状态生成K个不同的虚拟蜜罐,另外在每个虚拟蜜罐中除学习到的动作和状态外,再开启2~3个不同的其他服务,从而迷惑攻击者,其中,采用SARSA强化学习方法,即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成不同的虚拟蜜罐,K为不为0的自然数。
优选地,所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时,所使用的SARSA模型中的最优价值Q函数的模型为:
Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]
其中,a代表虚拟蜜罐当前的动作;s代表虚拟蜜罐当前的环境状态;r代表对当前环境的短期奖励值,以评估虚拟蜜罐上一个动作;Q(s,a)代表在当前状态s下所采取动作a的回报价值;Q(s′,a′)代表在状态s′下所采取动作a′的回报价值;γ为折扣率,该值越大表示越重视以往的经验;α代表学习率;
输入代表s的全部集合的状态空间S、代表a的全部集合的动作空间A、还输入折扣率γ、学习率α,然后初始化Q(s,a),经过SARSA模型训练后,选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。
优选地,所述智能学习模块通过提高不同虚拟蜜罐之间的通信交互性,提升蜜罐的多样性和真实性时,设第一蜜罐开启了FTP服务、HTTP服务,第二蜜罐开启了HTTP服务、邮件服务,第三蜜罐开启了FTP服务、邮件服务;则通过第一蜜罐和第二蜜罐进行HTTP通信、第二蜜罐和第三蜜罐进行邮件通信,第一蜜罐和第三蜜罐进行FTP通信,来达到不同虚拟蜜罐之间高交互通信的目的。
优选地,所述流量牵引模块具体采用策略路由和OpenVPN加密隧道实现攻击流量的重定向,根据攻击者IP进行重定向规则的动态删除和添加,对正常数据流方向和异常数据流方向的数据流做不同标记,使得不同的数据流遵循不同的路由规则,从而将异常数据流与正常数据流分开,将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。
本发明还提供了一种利用所述系统实现的方法,包括以下步骤:
首先,异常检测模块收集整个网络内的流量,判断流量是否正常,发现异常流量信息时,记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息;
其次,蜜罐生成模块根据检测到的特征信息,生成针对性的虚拟蜜罐;
然后,通过流量牵引模块将攻击流量重定向至虚拟蜜罐;
再次,判断攻击者与虚拟蜜罐是否成功通信,如果不是,则智能学习模块通过强化学习的方法调整虚拟蜜罐状态,生成新的不同的虚拟蜜罐;如果是,则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐;同时,提高不同虚拟蜜罐之间的通信交互性;
最后,通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐,诱捕攻击行为,记录攻击信息。
优选地,每个虚拟蜜罐为独立的设备,分配一个合法的外部IP地址,用来模拟任何真实的操作系统、数据库、应用系统,主动地对攻击者发起的安全事件进行反应。
本发明还提供了一种所述方法在网络安全技术领域中的应用。
(三)有益效果
(1)本发明根据异常行为检测的结果,生成具有针对性的、能够满足攻击者攻击意图的虚拟蜜罐,避免了传统蜜罐全部署的盲目性和巨大开销;
(2)本发明在虚拟蜜罐与攻击主机响应中断,或者入侵者识破虚拟蜜罐的情况下,通过强化学习的方式扩展生成多个新的虚拟蜜罐,提升了蜜罐的真实性和多样性,重新引诱入侵者发起更多攻击。
附图说明
图1为本发明基于多样性扩展的诱捕蜜罐实现方法的总体架构图,其中给出了本发明的模块设计、数据流向与相互作用;
图2为本发明基于多样性扩展的诱捕蜜罐实现方法的总体流程图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明提出了一种基于多样性扩展的诱捕蜜罐实现系统及方法,旨在通过强化学习的方式扩展虚拟蜜罐的多样性,同时通过不同虚拟蜜罐之间的高交互通信行为构造蜜网的真实性,从而扩大引诱范围和提高诱捕效率,这样,即使攻击者识破了其中一两个虚拟蜜罐,也会陷入到其他的虚拟蜜罐中。
本发明提供的基于多样性扩展的诱捕蜜罐实现系统及方法通过强化学习模型调整和扩展现有蜜罐,能够提高诱捕的效率,且扩大诱捕范围,实现了面向战场等复杂网络的诱捕蜜罐的多样性和动态扩展,在一定程度上解决了传统蜜罐静态单一、命中率低等问题,整体上提高蜜网的灵活性。本发明面向常见复杂网络安全威胁环境所采取的主动防御手段,用于诱捕侦察、访问、欺骗、攻击利用、载荷投递、信息泄露、信息篡改等已知的和未知的威胁。
该方法通过异常检测模块、蜜罐生成模块、智能学习模块、流量牵引模块四部分实现。首先通过异常检测模块识别和检测网络异常流量行为;其次,利用蜜罐生成模块生成与入侵者意图相匹配的虚拟蜜罐;然后,利用智能学习模块通过强化学习的方法调整蜜罐状态,并扩展地生成其他多个虚拟蜜罐;最后,通过流量牵引模块,将攻击流量牵引至经学习后的虚拟蜜罐。
图1是基于多样性扩展的诱捕蜜罐实现方法的模块设计与总体架构,具体为:
(1)异常检测模块主动识别和检测网络异常流量信息,排除正常通信流量,收集恶意请求信息,包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息,并发送至蜜罐生成模块;
(2)蜜罐生成模块根据异常检测模块收集的特征信息,自动生成与攻击者攻击意图相匹配的虚拟蜜罐;
(3)智能学习模块根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息,在攻击者与虚拟蜜罐未成功通信时,通过强化学习的方式不断调整虚拟蜜罐至最佳状态,生成新的不同的虚拟蜜罐,在攻击者与虚拟蜜罐成功通信时,在与攻击者交互过程中,通过强化学习的方式不断调整虚拟蜜罐至最佳状态,扩展地生成其他多个不同的虚拟蜜罐,且通过新的或不同的多个虚拟蜜罐之间进行高交互通信,增强蜜网真实性,以便后续引诱攻击者发起更多的攻击;该响应信息是攻击者的回复报文或请求,例如攻击者回复了其中某种协议的报文,则虚拟蜜罐根据攻击者的回复进行再次调整,并再次响应。
(4)流量牵引模块将异常检测模块提供的攻击流量牵引(重定向)至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或其他多个虚拟蜜罐中,引诱入侵者发起更多攻击,记录和监视攻击行为。
图2是基于多样性扩展的诱捕蜜罐实现方法的总体流程,具体流程为:
(1)首先,异常检测模块收集整个网络内的流量,判断流量是否正常,发现异常流量信息时,记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息;
(2)其次,蜜罐生成模块根据检测到的特征信息,生成针对性的虚拟蜜罐;
(3)然后,通过流量牵引模块将攻击流量重定向至虚拟蜜罐;
(4)再次,判断攻击者与虚拟蜜罐是否成功通信,如果不是,则智能学习模块通过强化学习的方法调整虚拟蜜罐状态,生成新的不同的虚拟蜜罐;如果是,则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐;同时,提高不同虚拟蜜罐之间的通信交互性;
(5)最后,通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐,诱捕攻击行为,记录攻击信息。
本发明的基于多样性扩展的诱捕蜜罐实现方法具体通过以下的四大模块实现:
(1)异常检测模块,用于主动识别和检测异常流量信息,排除正常通信流量,收集恶意请求信息,包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息。
异常检测模块的具体实现方法包括:
异常检测模块部署于整个网络的通信入口处,用于收集网络流量,排除掉正常通信流量,正常通信流量是指,真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为,识别和检测出异常的恶意请求行为,发现网络上的潜在威胁,记录恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击特征、开放端口和服务等特征信息。异常检测模块中除涉及到传统的基于预先攻击特征库的已知攻击行为检测,还应涉及到基于异常行为分析的实时入侵检测,通过多维数据分析、关联分析等手段,结合威胁情报库,提高对未知威胁的检测效率。
(2)蜜罐生成模块,用于根据异常检测模块收集到的特征信息,自动生成能够满足攻击者攻击意图的虚拟蜜罐,每个虚拟蜜罐可看作是独立的设备,分配一个合法的外部IP地址,用来模拟任何真实的操作系统、数据库、应用系统等,主动地对攻击者发起的安全事件进行反应。
蜜罐生成模块的具体实现方法包括:
根据异常检测模块检测到的特征信息,初步判断攻击者的攻击意图,自适应生成与攻击者攻击意图相匹配的虚拟蜜罐,从而获取更多的攻击者信息。例如,如果发现攻击者试图通过FTP端口发起攻击,便自动生成一个开启FTP服务的虚拟蜜罐,并在FTP文件中存储包含假敏感数据的文件。每一个虚拟蜜罐都可通过管理员手动或自动配置,每个虚拟蜜罐都可看作一台独立设备分配一个合法IP,虚拟蜜罐不需要模仿整个操作系统,只需要模仿操作系统的一部分如TCP/IP协议栈,构造不同的数据包,从而达到欺骗入侵者的目的。
(3)智能学习模块用于:首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息,在攻击者与虚拟蜜罐未成功通信时,通过强化学习的方式不断调整虚拟蜜罐至最佳状态,生成新的不同的虚拟蜜罐,在攻击者与虚拟蜜罐成功通信时,在与攻击者交互过程中,通过强化学习的方式对虚拟蜜罐的状态进行不断的调整,扩展地生成其他多个不同的虚拟蜜罐,其次,通过提高不同虚拟蜜罐之间的通信交互性,提升蜜罐的多样性和真实性。
智能学习模块的具体实现方法包括:
通过强化学习方法生成新的或其他多个不同的虚拟蜜罐,增强密网的多样性。收集虚拟蜜罐和攻击者的通信流量,通过强化学习的方式不断学习虚拟蜜罐的动作和状态,选取经过学习后的最优的前K个(可根据网络规模大小选择K值,K为不为0的自然数)虚拟蜜罐的状态生成K个不同的虚拟蜜罐,另外在每个虚拟蜜罐中除学习到的动作和状态外,再开启2~3个不同的其他服务,从而迷惑攻击者。其中,采用SARSA(状态-动作-奖励-状态-动作)强化学习方法,即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成新的虚拟蜜罐或扩展地生成其他多个不同的虚拟蜜罐。
所述SARSA模型中的最优价值Q函数的模型为:
Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]
其中,a代表虚拟蜜罐当前的动作;s代表虚拟蜜罐当前的环境状态;r代表对当前环境的短期奖励值,以评估虚拟蜜罐上一个动作;Q(s,a)代表在当前状态s下所采取动作a的回报价值;Q(s′,a′)代表在状态s′下所采取动作a′的回报价值;γ为折扣率,该值越大表示越重视以往的经验;α代表学习率。
输入状态空间S(S代表s的全部集合)、动作空间A(A代表a的全部集合)、折扣率γ、学习率α后,初始化Q(s,a),经过SARSA模型训练后,选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。
通过不同虚拟蜜罐的高交互通信行为,增强蜜网真实性。例如,蜜罐1开启了FTP服务、HTTP服务,蜜罐2开启了HTTP服务、邮件服务,蜜罐3开启了FTP服务、邮件服务;则可以通过蜜罐1和蜜罐2进行HTTP通信、蜜罐2和蜜罐3进行邮件通信,蜜罐1和蜜罐3进行FTP通信,来达到不同虚拟蜜罐之间高交互通信的目的。
(4)流量牵引模块,用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中,引诱入侵者发起更多攻击,记录和监视攻击行为。
流量牵引模块的具体实现方法包括:
将攻击流量重定向至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的多个虚拟蜜罐。具体地,采用策略路由和OpenVPN加密隧道实现攻击流量的重定向,根据攻击者IP进行重定向规则的动态删除和添加,对不同方向(包括正常数据流方向和异常数据流方向)的数据流做不同标记,使得不同的数据流遵循不同的路由规则,从而将异常数据流与正常数据流分开,将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。最终达到在虚拟蜜罐中诱捕攻击行为、监视入侵行为、获取更多攻击信息的目的。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于多样性扩展的诱捕蜜罐实现系统,其特征在于,包括:
异常检测模块,用于收集网络流量,主动识别和检测异常流量信息,包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务这些特征信息;
蜜罐生成模块,用于根据异常检测模块收集到的特征信息,自动生成能够满足攻击者攻击意图的虚拟蜜罐;
智能学习模块用于:首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息,在攻击者与虚拟蜜罐未成功通信时,通过强化学习的方式不断调整虚拟蜜罐的状态,生成新的不同的虚拟蜜罐;在攻击者与虚拟蜜罐成功通信时,在与攻击者交互过程中,通过强化学习的方式对虚拟蜜罐的状态进行不断的调整,扩展地生成其他多个不同的虚拟蜜罐;其次,通过提高不同虚拟蜜罐之间的通信交互性,提升蜜罐的多样性和真实性;
流量牵引模块,用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中,引诱入侵者发起更多攻击,记录和监视攻击行为。
2.如权利要求1所述的系统,其特征在于,所述异常检测模块部署于整个网络的通信入口处,在收集网络流量时,排除掉正常通信流量,识别和检测出异常的恶意请求行为,发现网络上的潜在威胁,记录所述特征信息,所述正常通信流量是指,真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为,异常检测模块中除涉及到基于攻击特征库的已知攻击行为检测,还涉及到基于异常行为分析的实时入侵检测。
3.如权利要求1所述的系统,其特征在于,所述蜜罐生成模块根据异常检测模块检测到的特征信息,初步判断攻击者的攻击意图,自适应生成与攻击者攻击意图相匹配的虚拟蜜罐,从而获取更多的攻击者信息,其中,如果发现攻击者试图通过FTP端口发起攻击,便自动生成一个开启FTP服务的虚拟蜜罐,并在FTP文件中存储包含假敏感数据的文件。
4.如权利要求1所述的系统,其特征在于,所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时,通过强化学习的方式不断学习虚拟蜜罐的动作和状态,选取经过学习后的最优的前K个虚拟蜜罐的状态生成K个不同的虚拟蜜罐,另外在每个虚拟蜜罐中除学习到的动作和状态外,再开启2~3个不同的其他服务,从而迷惑攻击者,其中,采用SARSA强化学习方法,即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成不同的虚拟蜜罐,K为不为0的自然数。
5.如权利要求4所述的系统,其特征在于,所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时,所使用的SARSA模型中的最优价值Q函数的模型为:
Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]
其中,a代表虚拟蜜罐当前的动作;s代表虚拟蜜罐当前的环境状态;r代表对当前环境的短期奖励值,以评估虚拟蜜罐上一个动作;Q(s,a)代表在当前状态s下所采取动作a的回报价值;Q(s′,a′)代表在状态s′下所采取动作a′的回报价值;γ为折扣率,该值越大表示越重视以往的经验;α代表学习率;
输入代表s的全部集合的状态空间S、代表a的全部集合的动作空间A、还输入折扣率γ、学习率α,然后初始化Q(s,a),经过SARSA模型训练后,选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。
6.如权利要求1所述的系统,其特征在于,所述智能学习模块通过提高不同虚拟蜜罐之间的通信交互性,提升蜜罐的多样性和真实性时,设第一蜜罐开启了FTP服务、HTTP服务,第二蜜罐开启了HTTP服务、邮件服务,第三蜜罐开启了FTP服务、邮件服务;则通过第一蜜罐和第二蜜罐进行HTTP通信、第二蜜罐和第三蜜罐进行邮件通信,第一蜜罐和第三蜜罐进行FTP通信,来达到不同虚拟蜜罐之间高交互通信的目的。
7.如权利要求1所述的系统,其特征在于,所述流量牵引模块具体采用策略路由和OpenVPN加密隧道实现攻击流量的重定向,根据攻击者IP进行重定向规则的动态删除和添加,对正常数据流方向和异常数据流方向的数据流做不同标记,使得不同的数据流遵循不同的路由规则,从而将异常数据流与正常数据流分开,将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。
8.一种利用权利要求1至7中任一项所述系统实现的方法,其特征在于,包括以下步骤:
首先,异常检测模块收集整个网络内的流量,判断流量是否正常,发现异常流量信息时,记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息;
其次,蜜罐生成模块根据检测到的特征信息,生成针对性的虚拟蜜罐;
然后,通过流量牵引模块将攻击流量重定向至虚拟蜜罐;
再次,判断攻击者与虚拟蜜罐是否成功通信,如果不是,则智能学习模块通过强化学习的方法调整虚拟蜜罐状态,生成新的不同的虚拟蜜罐;如果是,则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐;同时,提高不同虚拟蜜罐之间的通信交互性;
最后,通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐,诱捕攻击行为,记录攻击信息。
9.如权利要求8所述的方法,其特征在于,每个虚拟蜜罐为独立的设备,分配一个合法的外部IP地址,用来模拟任何真实的操作系统、数据库、应用系统,主动地对攻击者发起的安全事件进行反应。
10.一种如权利要求8或9所述方法在网络安全技术领域中的应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210597713.5A CN114978731B (zh) | 2022-05-30 | 2022-05-30 | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210597713.5A CN114978731B (zh) | 2022-05-30 | 2022-05-30 | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114978731A true CN114978731A (zh) | 2022-08-30 |
CN114978731B CN114978731B (zh) | 2023-06-30 |
Family
ID=82958070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210597713.5A Active CN114978731B (zh) | 2022-05-30 | 2022-05-30 | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114978731B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116915518A (zh) * | 2023-09-14 | 2023-10-20 | 国网浙江省电力有限公司电力科学研究院 | 一种智能学习式自应答联网蜜罐诱导方法及系统 |
CN117220900A (zh) * | 2023-07-14 | 2023-12-12 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
CN118075035A (zh) * | 2024-04-22 | 2024-05-24 | 广州大学 | 一种基于主动防御的网络摄像头蜜点生成方法与装置 |
CN118233223A (zh) * | 2024-05-24 | 2024-06-21 | 广州大学 | 面向四蜜动态防御体系的控守图构建方法 |
Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
US8898788B1 (en) * | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
US20190081980A1 (en) * | 2017-07-25 | 2019-03-14 | Palo Alto Networks, Inc. | Intelligent-interaction honeypot for iot devices |
CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112637250A (zh) * | 2021-03-10 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种动态智能自适应蜜网的实现方法 |
CN113132398A (zh) * | 2021-04-23 | 2021-07-16 | 中国石油大学(华东) | 一种基于q学习的阵列蜜罐系统防御策略预测方法 |
US20210243226A1 (en) * | 2020-02-03 | 2021-08-05 | Purdue Research Foundation | Lifelong learning based intelligent, diverse, agile, and robust system for network attack detection |
CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及系统 |
US20210377307A1 (en) * | 2020-05-27 | 2021-12-02 | Sap Se | Reinforcement learning for application responses using deception technology |
CN113783881A (zh) * | 2021-09-15 | 2021-12-10 | 浙江工业大学 | 一种面向渗透攻击的网络蜜罐部署方法 |
CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
CN114422254A (zh) * | 2022-01-21 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质 |
CN114499982A (zh) * | 2021-12-29 | 2022-05-13 | 中国人民解放军国防科技大学 | 蜜网动态配置策略生成方法、配置方法及存储介质 |
-
2022
- 2022-05-30 CN CN202210597713.5A patent/CN114978731B/zh active Active
Patent Citations (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8898788B1 (en) * | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
CN102790778A (zh) * | 2012-08-22 | 2012-11-21 | 常州大学 | 一种基于网络陷阱的DDoS攻击防御系统 |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
US20190081980A1 (en) * | 2017-07-25 | 2019-03-14 | Palo Alto Networks, Inc. | Intelligent-interaction honeypot for iot devices |
CN109246108A (zh) * | 2018-09-18 | 2019-01-18 | 中国人民解放军战略支援部队信息工程大学 | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 |
CN112087413A (zh) * | 2019-06-14 | 2020-12-15 | 张长河 | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 |
CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
US20210243226A1 (en) * | 2020-02-03 | 2021-08-05 | Purdue Research Foundation | Lifelong learning based intelligent, diverse, agile, and robust system for network attack detection |
US20210377307A1 (en) * | 2020-05-27 | 2021-12-02 | Sap Se | Reinforcement learning for application responses using deception technology |
CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112637250A (zh) * | 2021-03-10 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种动态智能自适应蜜网的实现方法 |
CN113132398A (zh) * | 2021-04-23 | 2021-07-16 | 中国石油大学(华东) | 一种基于q学习的阵列蜜罐系统防御策略预测方法 |
CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
CN113691504A (zh) * | 2021-08-04 | 2021-11-23 | 中国电子科技集团公司第五十四研究所 | 一种基于软件定义网络的网络诱捕方法及系统 |
CN113783881A (zh) * | 2021-09-15 | 2021-12-10 | 浙江工业大学 | 一种面向渗透攻击的网络蜜罐部署方法 |
CN114499982A (zh) * | 2021-12-29 | 2022-05-13 | 中国人民解放军国防科技大学 | 蜜网动态配置策略生成方法、配置方法及存储介质 |
CN114422254A (zh) * | 2022-01-21 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质 |
CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
Non-Patent Citations (3)
Title |
---|
K. R. SEKAR: ""Dynamic Honeypot Configuration for Intrusion Detection"", 《2018 2ND INTERNATIONAL CONFERENCE ON TRENDS IN ELECTRONICS AND INFORMATICS (ICOEI),》 * |
曾颖明: "\"基于群体智能的网络安全协同防御技术研究\"", 《信息网络安全》 * |
苏雪: ""基于强化学习的蜜网主动防御系统的设计与实现"", 《中国优秀硕士学位论文信息科技辑》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117220900A (zh) * | 2023-07-14 | 2023-12-12 | 博智安全科技股份有限公司 | 一种自动检测蜜罐系统的方法和系统 |
CN116915518A (zh) * | 2023-09-14 | 2023-10-20 | 国网浙江省电力有限公司电力科学研究院 | 一种智能学习式自应答联网蜜罐诱导方法及系统 |
CN116915518B (zh) * | 2023-09-14 | 2023-12-01 | 国网浙江省电力有限公司电力科学研究院 | 一种智能学习式自应答联网蜜罐诱导方法及系统 |
CN118075035A (zh) * | 2024-04-22 | 2024-05-24 | 广州大学 | 一种基于主动防御的网络摄像头蜜点生成方法与装置 |
CN118075035B (zh) * | 2024-04-22 | 2024-07-05 | 广州大学 | 一种基于主动防御的网络摄像头蜜点生成方法与装置 |
CN118233223A (zh) * | 2024-05-24 | 2024-06-21 | 广州大学 | 面向四蜜动态防御体系的控守图构建方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114978731B (zh) | 2023-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114978731B (zh) | 一种基于多样性扩展的诱捕蜜罐实现系统及方法 | |
Vidal et al. | Adaptive artificial immune networks for mitigating DoS flooding attacks | |
Zhu et al. | A survey of defensive deception: Approaches using game theory and machine learning | |
EP1665011B1 (en) | Method and system for displaying network security incidents | |
CN112087413B (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
US20120023572A1 (en) | Malicious Attack Response System and Associated Method | |
CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
Asosheh et al. | A comprehensive taxonomy of DDOS attacks and defense mechanism applying in a smart classification | |
CN113691504B (zh) | 一种基于软件定义网络的网络诱捕方法及系统 | |
Karthikeyan et al. | Honeypots for network security | |
CN114499982A (zh) | 蜜网动态配置策略生成方法、配置方法及存储介质 | |
Zhu et al. | Game-theoretic and machine learning-based approaches for defensive deception: A survey | |
Acosta et al. | Cybersecurity deception experimentation system | |
Chou et al. | An adaptive network intrusion detection approach for the cloud environment | |
Anjum et al. | Optimizing vulnerability-driven honey traffic using game theory | |
Prasad et al. | IP traceback for flooding attacks on Internet threat monitors (ITM) using Honeypots | |
LaBar et al. | Honeypots: Security by deceiving threats | |
CN114157479B (zh) | 一种基于动态欺骗的内网攻击防御方法 | |
CN115695029A (zh) | 一种企业内网攻击防御系统 | |
Paxton et al. | Towards practical framework for collecting and analyzing network-centric attacks | |
Girdhar et al. | Comparative study of different honeypots system | |
Kulle | Intrusion Attack & Anomaly Detection in IoT using Honeypots | |
Chen et al. | State-based attack detection for cloud | |
Dornseif et al. | Vulnerability assessment using honeypots | |
Gu et al. | Misleading and defeating importance-scanning malware propagation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |