CN116032641B - 基于攻击检测和负载调度的蜜罐防御方法及系统 - Google Patents

基于攻击检测和负载调度的蜜罐防御方法及系统 Download PDF

Info

Publication number
CN116032641B
CN116032641B CN202310029261.5A CN202310029261A CN116032641B CN 116032641 B CN116032641 B CN 116032641B CN 202310029261 A CN202310029261 A CN 202310029261A CN 116032641 B CN116032641 B CN 116032641B
Authority
CN
China
Prior art keywords
attack
honeypot
load balancing
scheduling
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310029261.5A
Other languages
English (en)
Other versions
CN116032641A (zh
Inventor
孙毅臻
蔡哲儒
陈中伟
徐磊
高隽
田峥
刘洋
吴佼
李树
李自尊
曾少华
彭赞
戴大维
刘锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Hunan Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Hunan Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Hunan Electric Power Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202310029261.5A priority Critical patent/CN116032641B/zh
Publication of CN116032641A publication Critical patent/CN116032641A/zh
Application granted granted Critical
Publication of CN116032641B publication Critical patent/CN116032641B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于攻击检测和负载调度的蜜罐防御方法,包括对负载均衡进行预配置并初始化蜜罐系统;实时监测待监测业务,将待监测业务所遭受的网络攻击进行监测并获取对应的攻击告警;对攻击进行研判并进行负载均衡策略调度;将监测到的攻击牵引到蜜罐系统;将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成蜜罐防御。本发明还公开了一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统。本发明提出了一种基于攻击检测及负载调度策略的网络攻击流量主动牵引方法,有效拓展蜜罐捕获面,并能够更有效的迷惑攻击者、保护真实业务,增强主动防御能力;而且本发明的安全性高、溯源效率高且稳定科学。

Description

基于攻击检测和负载调度的蜜罐防御方法及系统
技术领域
本发明属于网络安全领域,具体涉及一种基于攻击检测和负载调度的蜜罐防御方法及系统。
背景技术
随着经济技术的发展和人们生活水平的提高,网络通信技术已经广泛应用于人们的生产和生活当中,给人们的生产和生活带来了无尽的便利。因此,保障网络通信过程的安全性,就成为了网络通信研究人员的研究重点之一。
目前,网络攻击工具层出不穷,手段不断升级,整体呈现出多元化、复杂化和高频化的特点;然而,以防火墙、入侵检测系统等为代表的边界控制与过滤技术存在易漏报和易误报的缺陷,无法高效应对网络流量中潜在的安全风险;因此,需要通过以蜜罐为代表的欺骗防御技术进行溯源反制,扭转攻防不对称的现状。
蜜罐是一种主动防御型网络安全工具,主要由诱饵环境和监控模块两部分组成。其中,诱饵环境能够通过部署可控的陷阱服务或应用的方式,引诱攻击行为,延缓攻击进程;监控模块则负责捕捉攻击信息,限制攻击范围。相对于其他网络安全机制,蜜罐具有攻击误报少、数据价值高、消耗资源少等独特优势,适用于各种类型的网络,而且可以和现有的防火墙、入侵检测系统等安全措施相互配合,在不改变原有网络架构的前提下,提升网络安全主动防御能力。
但是,现有的蜜罐防御方法主要通过路由协议和网关方式转发攻击流量,其本质是根据预先配置的协议和策略实现流量牵引,只能被动式等待攻击者入侵,其安全性相对较差,而且溯源效率也较差。
发明内容
本发明的目的之一在于提供一种安全性高、溯源效率高且稳定科学的基于攻击检测和负载调度的蜜罐防御方法。
本发明的目的之二在于提供一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统。
本发明提供的这种基于攻击检测和负载调度的蜜罐防御方法,包括如下步骤:
S1.对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略;
S2.对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警;
S3.对步骤S2监测到的攻击进行研判,并进行负载均衡策略调度;
S4.通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统;
S5.将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御。
步骤S1所述的对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略,具体包括如下步骤:
新建蜜罐POOL池,将需要引流的蜜罐IP与端口{iph,porth}保存在蜜罐POOL池中;具体实施时,通过负载均衡设备的Local Traffiic->Pools->Pool List新建POOL池,并配置蜜罐的地址:Load Balancing Method:Round Robin,Health Monitors:TCP,Address:iph,Service Port:porth;对于每一个蜜罐地址,新建一个POOL池poolh
在负载均衡中配置引流地址组,用于后续添加需要引流的攻击源IP;具体实施时,通过负载均衡设备的Local Traffiic->iRules->Data Group List,新建地址组:type:Adress;对于每一个蜜罐地址,新建一个地址组addrh
配置引流策略:通过负载均衡设备的Local Traffiic->iRules->iRule List新建一个负载均衡调度策略,该策略的主要用途为将源IP地址在地址组addrh中的流量自动调度至poolh对应的蜜罐中;对于每一个蜜罐地址,新建一个引流策略ruleh
关联引流策略至业务,通过负载均衡设备的Local Traffiic->Virtual Servers->Virtual Server List,将引流策略ruleh关联对应至需要保护的真实业务系统上:Default Pool:poolh,iRules Name:ruleh;对于每一个蜜罐,关联至一个它保护的业务地址dh;引流的蜜罐为对应真实业务的仿真蜜罐。
步骤S2所述的对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警,具体包括如下步骤:
获取攻击告警a=<sip,dip,dport,time,type,detail>,其中sip为源IP,dip为目的IP,dport为目的端口,time为攻击时间,type为攻击类型,detail为攻击详情;其中攻击详情detail为触发告警的攻击内容;具体实施时,攻击告警通过网络中串联或旁路的安全监测设备获取,通过配置接口获取设备监测的攻击告警日志。
步骤S3所述的对步骤S2监测到的攻击进行研判,并进行负载均衡策略调度,具体包括如下步骤:
根据收集的攻击告警信息集合A,对不同的攻击源sk、攻击目标地址dk组合{sk,dk}进行综合研判;攻击牵引研判函数f(sk,dk)为:
式中g(time)为与当前时间相关的分段函数,且g(time)→{w1,w2,w3},w1、w2和w3为当前时间前X1时间、X2时间和X3时间的权重,且X1<X2<X3;λi为针对攻击类型typei的威胁程度所设定的权重值且λi的取值为λ1、λ2或λ3,λ1对应高危程度,λ2对应中危程度,λ3对应低危程度;m(typei)为根据收集的蜜罐历史溯源日志得到的价值系数且H为蜜罐有对应溯源记录的攻击日志总数,h(typei)为蜜罐有对应溯源记录的攻击类型为typei的攻击日志数;n(detaili)为根据收集的攻击日志得到的价值系数且p(detaili)为将detaili在蜜罐有对应溯源记录攻击日志的攻击详情中进行模糊匹配时所命中的个数;
对于每个业务bj,对应的地址为dj,dj={ipj,portj}分别代表对应的IP地址与端口;设定对应的负载均衡主动调度阈值βj,实时计算攻击牵引研判函数f(sj,dj)的值:若f(sj,dj)>βj则启用负载均衡策略调度,否则不启用负载均衡策略调度。
步骤S4所述的通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统,具体包括如下步骤:
将需要引流的流量特征实时添加到对应的引流策略中;具体实施时,通过网页爬虫模拟HTTP请求,将满足启用负载均衡策略调度的对应攻击源sj,添加至业务bj关联的地址组addrj中;通过预先配置的策略,实现将后续所有满足攻击源为sj、目的地址和端口为dj的网络流量牵引至对应的蜜罐中。
步骤S5所述的将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,具体包括如下步骤:
启用负载均衡策略调度后,攻击者利用攻击源sj对于真实业务bj后续所有攻击实际都为对蜜罐的攻击;通过蜜罐的攻击记录、攻击溯源和攻击反制功能,捕获溯源日志与攻击日志;通过捕获的溯源日志和攻击日志,感知攻击威胁,获取安全态势,追溯、威慑甚至反向控制攻击者;
同时,将溯源日志和攻击日志实时反馈至步骤S3中,使得步骤S3中判断攻击牵引研判的价值系数能够获得更好的效果。
本发明还提供了一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统,具体包括初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块;初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块依次串接;初始化模块用于对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略,并将数据上传监测模块;监测模块用于根据获取的数据,对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警,并将数据上传负载均衡策略调度模块;负载均衡策略调度模块用于根据获取的数据,对监测到的攻击进行研判,进行负载均衡策略调度,并将数据上传蜜罐牵引模块;蜜罐牵引模块用于根据获取的数据,通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统,并将数据上传处理模块;处理模块用于根据获取的数据,将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御。
本发明提供的这种基于攻击检测和负载调度的蜜罐防御方法及系统,提出了一种基于攻击检测及负载调度策略的网络攻击流量主动牵引方法,有效拓展蜜罐捕获面,并能够更有效的迷惑攻击者、保护真实业务,增强主动防御能力;而且本发明的安全性高、溯源效率高且稳定科学。
附图说明
图1为本发明方法的方法流程示意图。
图2为本发明方法的实施例的攻击引流实例示意图。
图3为本发明系统的功能模块示意图。
具体实施方式
如图1所示为本发明方法的方法流程示意图:本发明提供的这种基于攻击检测和负载调度的蜜罐防御方法,包括如下步骤:
S1.对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略;具体包括如下步骤:
新建蜜罐POOL池,将需要引流的蜜罐IP与端口{iph,porth}保存在蜜罐POOL池中;具体实施时,通过负载均衡设备的Local Traffiic->Pools->Pool List新建POOL池,并配置蜜罐的地址:Load Balancing Method:Round Robin,Health Monitors:TCP,Address:iph,Service Port:porth;对于每一个蜜罐地址,新建一个POOL池poolh
在负载均衡中配置引流地址组,用于后续添加需要引流的攻击源IP;具体实施时,通过负载均衡设备的Local Traffiic->iRules->Data Group List,新建地址组:type:Adress;对于每一个蜜罐地址,新建一个地址组addrh
配置引流策略:通过负载均衡设备的Local Traffiic->iRules->iRule List新建一个负载均衡调度策略,该策略的主要用途为将源IP地址在地址组addrh中的流量自动调度至poolh对应的蜜罐中;对于每一个蜜罐地址,新建一个引流策略ruleh
关联引流策略至业务,通过负载均衡设备的Local Traffiic->Virtual Servers->Virtual Server List,将引流策略ruleh关联对应至需要保护的真实业务系统上:Default Pool:poolh,iRules Name:ruleh;对于每一个蜜罐,关联至一个它保护的业务地址dh;引流的蜜罐为对应真实业务的仿真蜜罐;
S2.对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警;具体包括如下步骤:
获取攻击告警a=<sip,dip,dport,time,type,detail>,其中sip为源IP,dip为目的IP,dport为目的端口,time为攻击时间,type为攻击类型,detail为攻击详情;其中攻击详情detail为触发告警的攻击内容;具体实施时,攻击告警通过网络中串联或旁路的安全监测设备获取,通过配置接口获取设备监测的攻击告警日志;
S3.对步骤S2监测到的攻击进行研判,并进行负载均衡策略调度;具体包括如下步骤:
根据收集的攻击告警信息集合A,对不同的攻击源sk、攻击目标地址dk组合{sk,dk}进行综合研判;攻击牵引研判函数f(sk,dk)为:
式中g(time)为与当前时间相关的分段函数,且g(time)→{w1,w2,w3},w1、w2和w3为当前时间前X1时间、X2时间和X3时间的权重,且X1<X2<X3;λi为针对攻击类型typei的威胁程度所设定的权重值且λi的取值为λ1、λ2或λ3,λ1对应高危程度,λ2对应中危程度,λ3对应低危程度;价值系数主要考虑蜜罐有对应溯源记录的攻击信息,其攻击类型与攻击详情更具有主动引入至蜜罐的价值,即对于攻击牵引研判函数具有更高的权重;m(typei)为根据收集的蜜罐历史溯源日志得到的价值系数且H为蜜罐有对应溯源记录的攻击日志总数,h(typei)为蜜罐有对应溯源记录的攻击类型为typei的攻击日志数;n(detaili)为根据收集的攻击日志得到的价值系数且p(detaili)为将detaili在蜜罐有对应溯源记录攻击日志的攻击详情中进行模糊匹配时所命中的个数;
对于每个业务bj,对应的地址为dj,dj={ipj,portj}分别代表对应的IP地址与端口;设定对应的负载均衡主动调度阈值βj,实时计算攻击牵引研判函数f(sj,dj)的值:若f(sj,dj)>βj则启用负载均衡策略调度,否则不启用负载均衡策略调度;
S4.通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统;具体包括如下步骤:
将需要引流的流量特征实时添加到对应的引流策略中;具体实施时,通过网页爬虫模拟HTTP请求,将满足启用负载均衡策略调度的对应攻击源sj,添加至业务bj关联的地址组addrj中;通过预先配置的策略,实现将后续所有满足攻击源为sj、目的地址和端口为dj的网络流量牵引至对应的蜜罐中;
S5.将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御;具体包括如下步骤:
启用负载均衡策略调度后,攻击者利用攻击源sj对于真实业务bj后续所有攻击实际都为对蜜罐的攻击;通过蜜罐的攻击记录、攻击溯源和攻击反制功能,捕获溯源日志与攻击日志;通过捕获的溯源日志和攻击日志,感知攻击威胁,获取安全态势,追溯、威慑甚至反向控制攻击者;
同时,将溯源日志和攻击日志实时反馈至步骤S3中,使得步骤S3中判断攻击牵引研判的价值系数能够获得更好的效果。
如图2所示,以某门户网站为例,正常用户能够通过安全设备和流量设备对业务进行访问,而攻击者为非法获取信息对门户网站进行反复攻击,安全设备多次检测到含有恶意代码的攻击流量,并生成由源IP、目的IP、目的端口、攻击时间、攻击类型、攻击详情组成的六元组攻击告警日志,由于攻击频率高、危害大,攻击综合研判算法通过实时计算告警日志中的攻击时间、攻击类型和攻击详情进行综合研判,决定启用负载均衡主动调度策略,依次通过配置的负载均衡POOL池获取蜜罐的IP地址和端口,配置负载均衡引流地址组添加攻击源IP,配置引流策略将引流地址组中源IP引流到POOL池,关联引流策略将攻击从真实业务系统引流到蜜罐仿真门户系统,对攻击流量进行溯源生成攻击者画像,并将攻击日志信息实时反馈至安全设备和攻击综合研判算法,增强主动防御能力。
本发明方法的创新点在于:
创新引入负载均衡设备:传统蜜罐部署独立且分散,无法充分发挥各自优势和特点形成合力,当蜜罐处于异常状态时,无法利用具有潜在价值的攻击流量;引入负载均衡设备的蜜罐能够形成一个系统,通过负载均衡调度策略充分利用蜜罐的捕获、溯源能力,提升整体的鲁棒性。
创新提出攻击综合研判的过程:传统蜜罐只能被动溯源攻击信息,无法主动引入攻击流量;本发明方法能够根据攻击时间、威胁级别和日志信息等将更具价值的攻击流量主动牵引至蜜罐系统,从而提升溯源效率。
创新设置蜜罐捕获日志采集与反馈单元:传统蜜罐无法根据溯源结果完善引流策略,本发明方法能够将收集的蜜罐历史溯源日志与攻击日志反馈至攻击综合研判算法和网络安全监测设备,从而不断调整算法系数权重,优化设备告警策略,增强系统主动防御能力。
如图3所示为本发明系统的功能模块示意图:本发明还提供了一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统,具体包括初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块;初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块依次串接;初始化模块用于对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略,并将数据上传监测模块;监测模块用于根据获取的数据,对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警,并将数据上传负载均衡策略调度模块;负载均衡策略调度模块用于根据获取的数据,对监测到的攻击进行研判,进行负载均衡策略调度,并将数据上传蜜罐牵引模块;蜜罐牵引模块用于根据获取的数据,通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统,并将数据上传处理模块;处理模块用于根据获取的数据,将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御。

Claims (6)

1.一种基于攻击检测和负载调度的蜜罐防御方法,包括如下步骤:
S1.对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略;
S2.对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警;
S3.对步骤S2监测到的攻击进行研判,并进行负载均衡策略调度;具体包括如下步骤:
根据收集的攻击告警信息集合A,对不同的攻击源sk、攻击目标地址dk组合{sk,dk}进行综合研判;攻击牵引研判函数f(sk,dk)为:
式中g(time)为与当前时间相关的分段函数,且g(time)→{w1,w2,w3},w1、w2和w3为当前时间前X1时间、X2时间和X3时间的权重,且X1<X2<X3;λi为针对攻击类型typei的威胁程度所设定的权重值且λi的取值为λ1、λ2或λ3,λ1对应高危程度,λ2对应中危程度,λ3对应低危程度;m(typei)为根据收集的蜜罐历史溯源日志得到的价值系数且H为蜜罐有对应溯源记录的攻击日志总数,h(typei)为蜜罐有对应溯源记录的攻击类型为typei的攻击日志数;n(detaili)为根据收集的攻击日志得到的价值系数且p(detaili)为将detaili在蜜罐有对应溯源记录攻击日志的攻击详情中进行模糊匹配时所命中的个数;
对于每个业务bj,对应的地址为dj,dj={ipj,portj}分别代表对应的IP地址与端口;设定对应的负载均衡主动调度阈值βj,实时计算攻击牵引研判函数f(sj,dj)的值:若f(sj,dj)>βj则启用负载均衡策略调度,否则不启用负载均衡策略调度;
S4.通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统;
S5.将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御。
2.根据权利要求1所述的基于攻击检测和负载调度的蜜罐防御方法,其特征在于步骤S1所述的对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略,具体包括如下步骤:
新建蜜罐POOL池,将需要引流的蜜罐IP与端口{iph,porth}保存在蜜罐POOL池中;具体实施时,通过负载均衡设备的Local Traffiic->Pools->Pool List新建POOL池,并配置蜜罐的地址:Load Balancing Method:Round Robin,Health Monitors:TCP,Address:iph,Service Port:porth;对于每一个蜜罐地址,新建一个POOL池poolh
在负载均衡中配置引流地址组,用于后续添加需要引流的攻击源IP;具体实施时,通过负载均衡设备的Local Traffiic->iRules->Data Group List,新建地址组:type:Adress;对于每一个蜜罐地址,新建一个地址组addrh
配置引流策略:通过负载均衡设备的Local Traffiic->iRules->iRule List新建一个负载均衡调度策略,该策略的用途为将源IP地址在地址组addrh中的流量自动调度至poolh对应的蜜罐中;对于每一个蜜罐地址,新建一个引流策略ruleh
关联引流策略至业务,通过负载均衡设备的Local Traffiic->Virtual Servers->Virtual Server List,将引流策略ruleh关联对应至需要保护的真实业务系统上:DefaultPool:poolh,iRules Name:ruleh;对于每一个蜜罐,关联至一个它保护的业务地址dh;引流的蜜罐为对应真实业务的仿真蜜罐。
3.根据权利要求2所述的基于攻击检测和负载调度的蜜罐防御方法,其特征在于步骤S2所述的对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警,具体包括如下步骤:
获取攻击告警a=<sip,dip,dport,time,type,detail>,其中sip为源IP,dip为目的IP,dport为目的端口,time为攻击时间,type为攻击类型,detail为攻击详情;其中攻击详情detail为触发告警的攻击内容;具体实施时,攻击告警通过网络中串联或旁路的安全监测设备获取,通过配置接口获取设备监测的攻击告警日志。
4.根据权利要求3所述的基于攻击检测和负载调度的蜜罐防御方法,其特征在于步骤S4所述的通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统,具体包括如下步骤:
将需要引流的流量特征实时添加到对应的引流策略中;具体实施时,通过网页爬虫模拟HTTP请求,将满足启用负载均衡策略调度的对应攻击源sj,添加至业务bj关联的地址组addrj中;通过预先配置的策略,实现将后续所有满足攻击源为sj、目的地址和端口为dj的网络流量牵引至对应的蜜罐中。
5.根据权利要求4所述的基于攻击检测和负载调度的蜜罐防御方法,其特征在于步骤S5所述的将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,具体包括如下步骤:
启用负载均衡策略调度后,攻击者利用攻击源sj对于真实业务bj后续所有攻击实际都为对蜜罐的攻击;通过蜜罐的攻击记录、攻击溯源和攻击反制功能,捕获溯源日志与攻击日志;通过捕获的溯源日志和攻击日志,感知攻击威胁,获取安全态势,追溯、威慑甚至反向控制攻击者;
同时,将溯源日志和攻击日志实时反馈至步骤S3中,使得步骤S3中判断攻击牵引研判的价值系数能够获得更好的效果。
6.一种实现权利要求1~5之一所述的基于攻击检测和负载调度的蜜罐防御方法的系统,其特征在于具体包括初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块;初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块依次串接;初始化模块用于对负载均衡进行预配置,从而初始化负载均衡对蜜罐系统的调度策略,并将数据上传监测模块;监测模块用于根据获取的数据,对待监测业务进行实时监测,将待监测业务所遭受的网络攻击进行监测,并获取对应的攻击告警,并将数据上传负载均衡策略调度模块;负载均衡策略调度模块用于根据获取的数据,对监测到的攻击进行研判,进行负载均衡策略调度,并将数据上传蜜罐牵引模块;蜜罐牵引模块用于根据获取的数据,通过负载均衡策略调度过程,将监测到的攻击牵引到蜜罐系统,并将数据上传处理模块;处理模块用于根据获取的数据,将蜜罐系统捕获的数据进行反馈,同时进行网络安全处置,完成基于攻击检测和负载调度的蜜罐防御。
CN202310029261.5A 2023-01-09 2023-01-09 基于攻击检测和负载调度的蜜罐防御方法及系统 Active CN116032641B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310029261.5A CN116032641B (zh) 2023-01-09 2023-01-09 基于攻击检测和负载调度的蜜罐防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310029261.5A CN116032641B (zh) 2023-01-09 2023-01-09 基于攻击检测和负载调度的蜜罐防御方法及系统

Publications (2)

Publication Number Publication Date
CN116032641A CN116032641A (zh) 2023-04-28
CN116032641B true CN116032641B (zh) 2024-07-30

Family

ID=86077429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310029261.5A Active CN116032641B (zh) 2023-01-09 2023-01-09 基于攻击检测和负载调度的蜜罐防御方法及系统

Country Status (1)

Country Link
CN (1) CN116032641B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118473781A (zh) * 2024-05-27 2024-08-09 上海煜安华信息安全技术有限公司 一种基于入侵检测的自动化防御追踪方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641620A (zh) * 2020-05-21 2020-09-08 黄筱俊 用于检测进化DDoS攻击的新型云蜜罐方法及架构
CN112291246A (zh) * 2020-10-30 2021-01-29 四川长虹电器股份有限公司 一种在蜜罐场景下扩展攻击流量牵引能力的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641620A (zh) * 2020-05-21 2020-09-08 黄筱俊 用于检测进化DDoS攻击的新型云蜜罐方法及架构
CN112291246A (zh) * 2020-10-30 2021-01-29 四川长虹电器股份有限公司 一种在蜜罐场景下扩展攻击流量牵引能力的方法

Also Published As

Publication number Publication date
CN116032641A (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
Karie et al. IoT threat detection advances, challenges and future directions
CN112578761B (zh) 一种工业控制蜜罐安全防护装置及方法
EP2612481B1 (en) Method and system for classifying traffic
CN102790778A (zh) 一种基于网络陷阱的DDoS攻击防御系统
CN105450619A (zh) 恶意攻击的防护方法、装置和系统
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
CN103561004A (zh) 基于蜜网的协同式主动防御系统
Beslin Pajila et al. Detection of DDoS attack using SDN in IoT: A survey
CN106992955A (zh) Apt防火墙
Huang et al. A low-cost distributed denial-of-service attack architecture
CN116032641B (zh) 基于攻击检测和负载调度的蜜罐防御方法及系统
Li et al. The research and design of honeypot system applied in the LAN security
Khalaf et al. An adaptive model for detection and prevention of DDoS and flash crowd flooding attacks
CN116471064A (zh) 一种基于主动防御策略的网络安全防护系统、方法及装置
Wang et al. Distributed denial of service attack defence simulation based on honeynet technology
US20200213355A1 (en) Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory
CN113489694B (zh) 一种蜜场系统中抗大流量攻击的动态防御系统
Chen et al. Neuronet: An adaptive infrastructure for network security
CN106357661A (zh) 一种基于交换机轮换的分布式拒绝服务攻击防御方法
US20230156037A1 (en) Methods and system for providing security to critical systems connected to a computer network
CN105827630B (zh) 僵尸网络属性识别方法、防御方法及装置
Abou Haidar et al. High perception intrusion detection system using neural networks
Ajaj et al. Cyber Attacks in SDN-Based IoT Environment: A Review
Xiang et al. An active distributed defense system to protect web applications from DDoS attacks
Agrawal et al. Proposed multi-layers intrusion detection system (MLIDS) model

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant