CN116032596A - 一种工业互联网设备虚拟化诱骗平台 - Google Patents
一种工业互联网设备虚拟化诱骗平台 Download PDFInfo
- Publication number
- CN116032596A CN116032596A CN202211669950.4A CN202211669950A CN116032596A CN 116032596 A CN116032596 A CN 116032596A CN 202211669950 A CN202211669950 A CN 202211669950A CN 116032596 A CN116032596 A CN 116032596A
- Authority
- CN
- China
- Prior art keywords
- honeynet
- flow
- sub
- module
- honey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 claims abstract description 65
- 238000005516 engineering process Methods 0.000 claims abstract description 29
- 230000003993 interaction Effects 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000013461 design Methods 0.000 claims abstract description 8
- 238000013508 migration Methods 0.000 claims description 20
- 230000005012 migration Effects 0.000 claims description 20
- 230000009545 invasion Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 11
- 238000010276 construction Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 9
- 230000006399 behavior Effects 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012216 screening Methods 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 5
- 206010001488 Aggression Diseases 0.000 claims description 4
- 230000016571 aggressive behavior Effects 0.000 claims description 4
- 208000012761 aggressive behavior Diseases 0.000 claims description 4
- 230000008260 defense mechanism Effects 0.000 claims description 4
- 235000015001 Cucumis melo var inodorus Nutrition 0.000 claims description 3
- 240000002495 Cucumis melo var. inodorus Species 0.000 claims description 3
- 238000011835 investigation Methods 0.000 claims description 3
- 235000011389 fruit/vegetable juice Nutrition 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004936 stimulating effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于工业互联网安全技术领域,具体涉及一种工业互联网设备虚拟化诱骗平台。本发明通过增加虚拟化技术调用接口的方式设计基于真实网络环境的蜜网实现方法;通过增加子网区域划分模块来解决以往蜜网环境与真实网络环境差异较大的问题。本发明采用两级蜜网体系实现蜜罐与攻击方长时间交互的功能,并利用NSM和SDN结合的技术动态构建二级子蜜网系统。达到针对性深度交互的目的。
Description
技术领域
本发明属于工业互联网安全技术领域,具体涉及一种工业互联网设备虚拟化诱骗平台。
背景技术
作为新一代信息通信技术与工业经济深度融合的新型应用模式,工业互联网在发展的同时,网络安全问题日益严峻。网络攻击的频率日益升高,攻击手段不断更新,而传统的安全防御技术因为部署复杂、维护困难以及诱骗性不足等缺陷很难发挥防御作用。目前流行的蜜网技术凭借其采用模拟服务和网络,诱使攻击者攻击,进而识破攻击手段来更新防御策略,在工业互联网中有着广泛的应用。然而传统的蜜网体系架构仍然存在以下缺点:
传统蜜网系统框架中因为使用了虚拟的互联网服务环境,攻击者方比较易于识破并使蜜罐失灵,从而造成蜜罐方很难获取袭击者的个人信息,甚至会把袭击者当成跳班去攻击第三方的安全资源。另一方面,利用蜜罐与攻击方交互收集的信息在传向蜜网外部时产生的流量,容易被攻击方识别,导致蜜罐被识破,攻击方不会长时间在蜜罐停留,蜜罐收集信息受到限制。传统蜜罐的静态配置方式,很难根据攻击行为进行动态的调整和扩容,达到智能诱骗的效果。
发明内容
本发明的目的在于提供一种工业互联网设备虚拟化诱骗平台。
一种工业互联网设备虚拟化诱骗平台,包括管理器模块、监督模块、子网区域划分模块、虚拟化技术调用接口模块、蜜网系统模块;
所述监督模块对蜜网系统模块实时监控,将蜜网对攻击流量的处理情况、识别情况和对抗性能及时提供给管理器模块;
所述虚拟化技术调用接口模块用于沟通管理器模块、监督模块和蜜网系统模块的中介,将具体的流量信息进行虚拟化处理,较为隐秘的实现信息的互通;
所述蜜网系统模块包括日志仓库、日志捕获工具、一级子蜜网、二级子蜜网和OpenFlow交换机;
所述一级子蜜网是由日志捕获工具和多个侦探蜜罐组成,负责将入侵的流量进行初步的筛选和信息捕获,对于入侵的大致动机进行收集,为后来动态构建的二级子蜜网提供基础,用于和二级特定子蜜网系统进行深度交互;
所述二级子蜜网是由日志捕获工具和多个特定蜜罐组成,根据一级子蜜网收集的信息构建由多个特定蜜罐组成的子蜜网,二级子蜜网中的特定蜜罐相比较于一级子蜜网中的侦查蜜罐更具有针对性和深度交互性,获取更多的攻击信息达到更新防御机制的目的。
进一步地,所述日志仓库用于存储蜜网系统模块中捕获自一级子蜜网和二级子蜜网的数据,并通过虚拟化技术调用接口模块将流量信息传递到管理器模块,另一方面还会进行攻击流量的备份,用于后续的攻击过程还原分析;
所述日志捕获工具把一级子蜜网每个时间点收集到的数据存储到日志仓库里,在二级子蜜网中持续地收集停留攻击者的攻击信息;当向蜜网系统模块内部补充工业互联网诱惑资源来刺激攻击者产生更多的攻击行为时,日志捕获工具将攻击手段收集传送到日志仓库;
所述OpenFlow交换机用于把攻击者的流量转移至二级子蜜网内,从而让攻击者可以和特定蜜罐进行深度通交互。
进一步地,所述管理器模块包括日志分析器、SDN控制器和NSM;
所述日志分析器用于分析处理收集到的入侵信息,判断入侵意图、活动范围和入侵流量的类型;
所述SDN控制器一方面是收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的数据,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路由进入二级子蜜网,完成流迁移工作,另一方面配合NSM完成对二级子蜜网的动态构建。
进一步地,所述侦察蜜罐的选择要基于目前真正工业环境下的实体机版本,尽可能的还原实体机的环境,通过注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,主动诱惑更多的网络流量来入侵侦查蜜罐,捕获更多的入侵行为。
进一步地,当有攻击者入侵时,诱导其进入蜜网系统模块,一级子蜜网选择与实体机版本相同的侦察蜜罐来还原实体机的环境,向侦察蜜罐中注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,诱惑更多的网络流量来入侵侦查蜜罐,随后对捕获到的入侵流量进行初步的筛选和信息捕获,将攻击者的大致动机收集到日志仓库里;日志仓库通过虚拟化技术调用接口模块隐秘地传递流量信息到管理器模块,利用管理器模块的日志分析器对流入的数据进行分析,从而作为SDN控制器和NSM的出入口;SDN控制器收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的信息,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路进入二级子蜜网,完成流量迁移工作;日志仓库还会配合管理器模块的NSM完成对二级子蜜网的动态构建,从而让攻击者可以在流量迁移工作结束后与二级子蜜网中的特定蜜罐进行深度交互;在这个过程中,监督模块对蜜网系统模块实时监控,将蜜网系统模块对攻击流量的处理情况、识别情况和对抗性能及时提供给管理器模块,管理员及时记录并采取措施,为二次规则的修改和蜜网系统模块的设计提供建议。
本发明的有益效果在于:
本发明通过增加虚拟化技术调用接口的方式设计基于真实网络环境的蜜网实现方法;通过增加子网区域划分模块来解决以往蜜网环境与真实网络环境差异较大的问题。本发明采用两级蜜网体系实现蜜罐与攻击方长时间交互的功能,并利用NSM和SDN结合的技术动态构建二级子蜜网系统。达到针对性深度交互的目的。
附图说明
图1为一种工业互联网设备虚拟化诱骗平台的整体结构图。
图2为一种工业互联网设备虚拟化诱骗平台的系统效果图。
具体实施方式
下面结合附图对本发明做进一步描述。
本发明基于两个目的,一方面是使攻击者长时间与蜜罐系统进行交互来获得更多的攻击意图信息,增加真实网络环境的健壮性;另一方面是实现蜜罐的真实性模拟且不被攻击者发现和利用。基于上述两个目的,本发明设计两级子蜜网系统,一级子蜜网用于初步信息的提取与动态生成的二级特定子蜜网系统进行深度交互。所用到的技术是管理层模块的SDN与NSM相结合来动态构建新的子蜜网。通过虚拟化技术调用窗口的设计来实现管理层,监督模块,子网区域划分模块和蜜网内系统的隐秘交互,交互过程将不产生网络流量;子网区域的划分是基于真实的网络环境,以上设计将降低攻击者识破其身处蜜罐的概率。从而达到持续交互的效果。
为了分析工业互联网中的恶意入侵行为,本发明对工业互联网环境的现有平台模型进行改进。
蜜网系统及其两级子蜜网系统由虚拟化技术搭建。
静态的一级子蜜网环境下的蜜罐为侦察蜜罐,以虚拟化容器技术为基础来构造,负责对攻击流量的基本识别、初步交互和信息获取。为了增加蜜罐环境的真实性,侦察蜜罐应尽可能模拟当前版本物理机的所有网络服务,通过对入侵流量的入侵事件,入侵密度,入侵攻击点进行动机识别,来判定流量的入侵目的,并进行流量类型的筛选。还要每隔一段时间,通过蜜网外部系统向蜜网内部系统注入工业互联网诱惑资源,比如工业过程数据,虚拟化的工业信息流量,进一步判断攻击者的意图。
一级子蜜网系统将每个时间点收集到的数据通过日志捕获工具存储到日志仓库,接着由蜜网外部控制系统经虚拟化技术调用接口进行主动获取,传输到管理层的日志分析模块来判断入侵意图,活动范围和入侵流量类型。然后通过管理层的日志分析模块所获取的信息来动态构建基于SDN和NSM技术相结合的二级子蜜网。
管理层会追踪每个入侵者的移动轨迹,当入侵者进入一级子蜜网时,根据管理器命令启动信息收集工作,收集到的所有信息会触发NSM的二级子蜜网的建设流程。通过接收分析器的信息,对入侵流量的类型进行收集,根据不同流量类型和入侵目的进行动态子蜜网环境的构建。通过基于软件定义的自动方法构造二级子蜜网,大大提高建立二级子蜜网的速度。二级子蜜网的特定蜜罐相比较于一级子蜜网中的侦查蜜罐更具有针对性和深度交互性,能够获取更多的攻击信息达到更新防御机制的目的。
虚拟化数据传输环境由蜜网外部的控制模块主动获取蜜网内部捕获的数据,这种主动获取数据的方式不会产生网络流量,对于蜜网外的监控模块的监控行为和刺激行为有着很好的隐蔽作用。
蜜网外系统的蜜罐监控模块,不仅是对所有蜜罐本身的可用性进行监控,防止蜜罐本身被识破并作为跳板去攻击第三方资源,而且用于防止网络流量访问工业机密,对于攻击流量和未知流量的访问请求进行过滤。作为蜜网外模块需要定时向蜜网内部补充工业互联网诱惑资源,来刺激攻击者产生更多的攻击行为,丰富多样的攻击手段被日志捕获工具收集传送到日志仓库。
日志抓取工具抓取所有进入系统的流量,针对流量的入侵端口进行划分,对于同一端口的入侵定义为同一类型的入侵,从而实现对流量的分级过滤,并将流量分类信息系传输到日志仓库。
日志仓库一方面接收来自两个子蜜网的数据,并通过虚拟化技术调用接口将流量信息传递到管理层,另一方面还要进行攻击流量的备份。以便后续的攻击过程还原分析。
管理器的分析模块对日志仓库进行信息获取后,结合SDN和NSM技术进行二级子蜜网的动态构建,根据分析的流量攻击类型构建特定蜜罐。
根据每个区域的主机环境和网络环境划分两级子蜜网的子网区域,增加蜜网环境与真实的网络环境的相似性。
入侵处理过程中,根据从一级子蜜网管理系统中捕获到的信息同步更新到管理层中,通过管理层的数据模块确定攻击者的入侵对象和攻击类别并检测攻击行为。而NSM根据所获取的数据构造了特殊蜜罐,构造完成后进行启动,将攻击者的入侵流量转移至特殊蜜罐上,让攻击者和特定蜜罐之间实现深度通信。
SDN收到了入侵流量的迁移消息后,会在二级子蜜网管理系统的OpenFlow交换器中搜索所有与入侵流量相关,并且进入了一级子蜜网的流表项,收集各条入侵流量的数据。通过LS算法,分别统计入侵的每一个流量进入二级子蜜网的途径,并调整OpenFlow交换机流量表项,使入侵的每一个流量都沿路径进入二级子蜜网,并进行流量迁移管理。在二级子蜜网中,攻击者可以持续停留,攻击流量粒度进一步细化,日志捕获工具将持续地收集攻击信息。
如图1所示,一种工业互联网设备虚拟化诱骗平台,由15个模块构成,分别是管理器模块15,监督模块8,子网区域划分模块14,虚拟技术模块9,蜜网系统模块13。在管理器模块中又包括日志分析器10,SDN控制器11和NSM12。在蜜网系统模块13中包含了日志仓库1,一级子蜜网3,二级子蜜网6和用于流量迁移的OpenFlow交换机5。一级子蜜网是由日志捕获工具2和多个侦探蜜罐4组成;二级子蜜网是由日志捕获工具2和多个特定蜜罐7生成。各模块的作用如下。
模块1:日志仓库。用于存储蜜网系统中捕获自一级子蜜网和二级子蜜网的数据,并通过虚拟化技术调用接口将流量信息传递到管理器模块,另一方面还要进行攻击流量的备份,以便后续的攻击过程还原分析。
模块2:日志捕获工具。把一级子蜜网每个时间点收集到的数据存储到日志仓库里,在二级子蜜网中持续地收集停留攻击者的攻击信息。当蜜网外系统定时向蜜网内部补充工业互联网诱惑资源,来刺激攻击者产生更多的攻击行为时,丰富多样的攻击手段被该模块收集传送到日志仓库。
模块3:一级子蜜网。由日志捕获工具和多个侦探蜜罐组成,负责将入侵的流量进行初步的筛选和信息捕获,对于入侵的大致动机进行收集,为后来动态构建的二级子蜜网提供基础,用于和二级特定子蜜网系统进行深度交互。
模块4:侦察蜜罐。该模块的选择要基于目前真正工业环境下的实体机版本,尽可能的还原实体机的环境,通过注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,主动诱惑更多的网络流量来入侵侦查蜜罐,捕获更多的入侵行为。
模块5:OpenFlow交换机。用于把攻击者的流量转移至二级子蜜网内,从而让攻击者可以和特定蜜罐进行深度通交互。
模块6:二级子蜜网。通过NSM技术与SDN技术相结合的方式动态搭建二级子蜜网平台环境。
模块7:特定蜜罐。根据一级子蜜网收集的信息构建由多个特定蜜罐组成的子蜜网,二级子蜜网中的特定蜜罐相比较于一级子蜜网中的侦查蜜罐更具有针对性和深度交互性,获取更多的攻击信息达到更新防御机制的目的。
模块8:监督模块。对蜜罐系统实时监控,将蜜网对攻击流量的处理情况,识别情况和对抗性能及时提供给前端管理平台。
模块9:虚拟化技术调用接口。作为沟通管理器模块、监督模块和蜜网环境的中介,将具体的流量信息进行虚拟化处理,较为隐秘的实现信息的互通。
模块10:日志分析器。对收集到的入侵信息来判断入侵意图,活动范围,和入侵流量的类型。
模块11:SDN控制器。一方面是收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的数据,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路由进入二级子蜜网,完成流迁移工作。另一方面配合NSM编排器完成对二级子蜜网的动态构建。
模块12:NSM。与SDN技术结合动态构建二级子蜜网系统。
模块13:蜜网系统。由两级子蜜网系统构成,一级子蜜网用于初步信息的提取,二级特定子蜜网由NSM和SDN技术动态生成。通过虚拟化技术调用接口与管理器模块、监督模块、子网区域划分模块和蜜网内系统进行隐秘交互。
模块14:子网区域划分模块。基于真实的网络环境划分子蜜网的区域,每个区域都有与自身区域相同的主机环境和网络环境。
模块15:管理器模块。由日志分析器,SDN控制器和NSM组成,是整个平台的关键。
在本实例中,初始的子蜜网数量为1,具体的虚拟化诱骗平台构建过程如下。
步骤一:初始化系统;
步骤二:根据工业互联网场景构建一级子蜜网;
步骤三:基于捕捉的信息动态构建二级子蜜网;
步骤四:进行子网区域划分;
步骤五:设置符合网络运行的主机环境;
步骤六:通过网络前端管理平台进行监督。
本发明的工业互联网设备虚拟化诱骗平台可以分为前端监督管理平台和后端蜜罐系统。当有攻击者入侵时,工业互联网设备虚拟化诱骗平台会诱导其进入蜜罐系统,一级子蜜网选择与实体机版本相同的侦察蜜罐来还原实体机的环境,向侦察蜜罐中注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,诱惑更多的网络流量来入侵侦查蜜罐,随后对捕获到的入侵流量进行初步的筛选和信息捕获,将攻击者的大致动机收集到日志仓库里。日志仓库通过虚拟化技术调用接口隐秘地传递流量信息到管理器模块,利用管理器模块的日志分析器对流入的数据进行分析,从而作为SDN/NSM的出入口。SDN控制器收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的信息,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路进入二级子蜜网,完成流量迁移工作。日志仓库还会配合管理器模块的NSM编排器完成对二级子蜜网的动态构建,从而让攻击者可以在流量迁移工作结束后与二级子蜜网中的特定蜜罐进行深度交互。在这个过程中,网络前端监督管理平台对蜜罐系统实时监控,将蜜网对攻击流量的处理情况,识别情况和对抗性能及时提供给前端,管理员及时记录并采取措施,为二次规则的修改和蜜罐系统的设计提供建议。
如图2所示,当攻击者对本系统实施入侵时,通过网关或者交换机首先到达一级子蜜罐,在系统的监视下与侦察蜜罐实现了初步交互,在交互过程中,系统会对交互流量进行捕捉与分类,以确定攻击者的入侵目标并对流量类别做出划分,将采集的信息传输到管理器模块。然后,系统就会把攻击者的流量通过OpenFlow交换器转移至二级子蜜网内,从而让攻击者可以和特定蜜罐进行深度通交互。在这个过程中,网络前端监督管理平台实时进行监督,监督员进行记录和反馈。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种工业互联网设备虚拟化诱骗平台,其特征在于:包括管理器模块、监督模块、子网区域划分模块、虚拟化技术调用接口模块、蜜网系统模块;
所述监督模块对蜜网系统模块实时监控,将蜜网对攻击流量的处理情况、识别情况和对抗性能及时提供给管理器模块;
所述虚拟化技术调用接口模块用于沟通管理器模块、监督模块和蜜网系统模块的中介,将具体的流量信息进行虚拟化处理,较为隐秘的实现信息的互通;
所述蜜网系统模块包括日志仓库、日志捕获工具、一级子蜜网、二级子蜜网和OpenFlow交换机;
所述一级子蜜网是由日志捕获工具和多个侦探蜜罐组成,负责将入侵的流量进行初步的筛选和信息捕获,对于入侵的大致动机进行收集,为后来动态构建的二级子蜜网提供基础,用于和二级特定子蜜网系统进行深度交互;
所述二级子蜜网是由日志捕获工具和多个特定蜜罐组成,根据一级子蜜网收集的信息构建由多个特定蜜罐组成的子蜜网,二级子蜜网中的特定蜜罐相比较于一级子蜜网中的侦查蜜罐更具有针对性和深度交互性,获取更多的攻击信息达到更新防御机制的目的。
2.根据权利要求1所述的一种工业互联网设备虚拟化诱骗平台,其特征在于:所述日志仓库用于存储蜜网系统模块中捕获自一级子蜜网和二级子蜜网的数据,并通过虚拟化技术调用接口模块将流量信息传递到管理器模块,另一方面还会进行攻击流量的备份,用于后续的攻击过程还原分析;
所述日志捕获工具把一级子蜜网每个时间点收集到的数据存储到日志仓库里,在二级子蜜网中持续地收集停留攻击者的攻击信息;当向蜜网系统模块内部补充工业互联网诱惑资源来刺激攻击者产生更多的攻击行为时,日志捕获工具将攻击手段收集传送到日志仓库;
所述OpenFlow交换机用于把攻击者的流量转移至二级子蜜网内,从而让攻击者可以和特定蜜罐进行深度通交互。
3.根据权利要求1所述的一种工业互联网设备虚拟化诱骗平台,其特征在于:所述管理器模块包括日志分析器、SDN控制器和NSM;
所述日志分析器用于分析处理收集到的入侵信息,判断入侵意图、活动范围和入侵流量的类型;
所述SDN控制器一方面是收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的数据,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路由进入二级子蜜网,完成流迁移工作,另一方面配合NSM完成对二级子蜜网的动态构建。
4.根据权利要求1所述的一种工业互联网设备虚拟化诱骗平台,其特征在于:所述侦察蜜罐的选择要基于目前真正工业环境下的实体机版本,尽可能的还原实体机的环境,通过注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,主动诱惑更多的网络流量来入侵侦查蜜罐,捕获更多的入侵行为。
5.根据权利要求3所述的一种工业互联网设备虚拟化诱骗平台,其特征在于:当有攻击者入侵时,诱导其进入蜜网系统模块,一级子蜜网选择与实体机版本相同的侦察蜜罐来还原实体机的环境,向侦察蜜罐中注入引起攻击者兴趣的工业信息蜜汁来增加蜜罐的甜度,诱惑更多的网络流量来入侵侦查蜜罐,随后对捕获到的入侵流量进行初步的筛选和信息捕获,将攻击者的大致动机收集到日志仓库里;日志仓库通过虚拟化技术调用接口模块隐秘地传递流量信息到管理器模块,利用管理器模块的日志分析器对流入的数据进行分析,从而作为SDN控制器和NSM的出入口;SDN控制器收到入侵者流量的迁移请求后,在二级子蜜网系统上的OpenFlow交换机中,查询所有与入侵者相关的信息,并进入一级子蜜网的流量表项,同时收集入侵者各条流量的数据,使入侵者的任何一个流量沿路进入二级子蜜网,完成流量迁移工作;日志仓库还会配合管理器模块的NSM完成对二级子蜜网的动态构建,从而让攻击者可以在流量迁移工作结束后与二级子蜜网中的特定蜜罐进行深度交互;在这个过程中,监督模块对蜜网系统模块实时监控,将蜜网系统模块对攻击流量的处理情况、识别情况和对抗性能及时提供给管理器模块,管理员及时记录并采取措施,为二次规则的修改和蜜网系统模块的设计提供建议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211669950.4A CN116032596A (zh) | 2022-12-25 | 2022-12-25 | 一种工业互联网设备虚拟化诱骗平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211669950.4A CN116032596A (zh) | 2022-12-25 | 2022-12-25 | 一种工业互联网设备虚拟化诱骗平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116032596A true CN116032596A (zh) | 2023-04-28 |
Family
ID=86077112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211669950.4A Pending CN116032596A (zh) | 2022-12-25 | 2022-12-25 | 一种工业互联网设备虚拟化诱骗平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116032596A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763356A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种资源虚拟化处理的方法、装置及控制器 |
US20170230336A1 (en) * | 2016-02-10 | 2017-08-10 | Level 3 Communications, Llc | Automated honeypot provisioning system |
CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
CN112422523A (zh) * | 2020-10-28 | 2021-02-26 | 南京华鹞信息科技有限公司 | 一种增值的虚拟化蜃景蜜网机制 |
-
2022
- 2022-12-25 CN CN202211669950.4A patent/CN116032596A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763356A (zh) * | 2014-12-19 | 2016-07-13 | 中兴通讯股份有限公司 | 一种资源虚拟化处理的方法、装置及控制器 |
US20170230336A1 (en) * | 2016-02-10 | 2017-08-10 | Level 3 Communications, Llc | Automated honeypot provisioning system |
CN110381045A (zh) * | 2019-07-09 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 攻击操作的处理方法和装置、存储介质及电子装置 |
CN112422523A (zh) * | 2020-10-28 | 2021-02-26 | 南京华鹞信息科技有限公司 | 一种增值的虚拟化蜃景蜜网机制 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110677408B (zh) | 攻击信息的处理方法和装置、存储介质及电子装置 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN110011982B (zh) | 一种基于虚拟化的攻击智能诱骗系统与方法 | |
CN107277039B (zh) | 一种网络攻击数据分析及智能处理方法 | |
CN114257386B (zh) | 检测模型的训练方法、系统、设备及存储介质 | |
CN101309180B (zh) | 一种适用于虚拟机环境的安全网络入侵检测系统 | |
CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
CN107667505A (zh) | 用于监控和管理数据中心的系统 | |
CN111049680B (zh) | 一种基于图表示学习的内网横向移动检测系统及方法 | |
CN107135093A (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
Niu et al. | Identifying APT malware domain based on mobile DNS logging | |
KS et al. | An artificial neural network based intrusion detection system and classification of attacks | |
CN1889573A (zh) | 一种主动诱骗方法与系统 | |
CN112788008A (zh) | 一种基于大数据的网络安全动态防御系统及方法 | |
CN108965248A (zh) | 一种基于流量分析的p2p僵尸网络检测系统及方法 | |
CN108632269A (zh) | 基于c4.5决策树算法的分布式拒绝服务攻击检测方法 | |
CN110933060A (zh) | 一种基于流量分析的挖矿木马检测系统 | |
Chen et al. | Attack sequence detection in cloud using hidden markov model | |
CN111885041A (zh) | 一种基于蜜罐威胁数据的攻击场景重构方法 | |
CN113965341A (zh) | 一种基于软件定义网络的入侵检测系统 | |
Chen et al. | An effective metaheuristic algorithm for intrusion detection system | |
Singh et al. | Mitigation of Cyber Attacks in SDN-Based IoT Systems Using Machine Learning Techniques | |
CN117336033A (zh) | 流量的拦截方法、装置、存储介质及电子设备 | |
Nguyen et al. | Towards improving explainability, resilience and performance of cybersecurity analysis of 5G/IoT networks (work-in-progress paper) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |