CN116132090B - 一种面向Web安全防护的欺骗防御系统 - Google Patents
一种面向Web安全防护的欺骗防御系统 Download PDFInfo
- Publication number
- CN116132090B CN116132090B CN202211397412.4A CN202211397412A CN116132090B CN 116132090 B CN116132090 B CN 116132090B CN 202211397412 A CN202211397412 A CN 202211397412A CN 116132090 B CN116132090 B CN 116132090B
- Authority
- CN
- China
- Prior art keywords
- spoofing
- security
- defending
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 claims abstract description 42
- 235000012907 honey Nutrition 0.000 claims abstract description 33
- 230000003993 interaction Effects 0.000 claims abstract description 29
- 230000006399 behavior Effects 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 21
- 230000006870 function Effects 0.000 claims description 17
- 230000002265 prevention Effects 0.000 claims description 11
- 230000003213 activating effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 claims description 6
- 230000008901 benefit Effects 0.000 claims description 4
- 206010001488 Aggression Diseases 0.000 claims description 3
- 208000012761 aggressive behavior Diseases 0.000 claims description 3
- 230000016571 aggressive behavior Effects 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 claims description 2
- 238000007619 statistical method Methods 0.000 claims description 2
- 238000003032 molecular docking Methods 0.000 claims 1
- 230000007246 mechanism Effects 0.000 abstract description 7
- 238000005457 optimization Methods 0.000 abstract description 4
- 230000004044 response Effects 0.000 abstract description 4
- 239000003795 chemical substances by application Substances 0.000 description 7
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 210000001503 joint Anatomy 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 230000008093 supporting effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000001976 improved effect Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种面向Web安全防护的欺骗防御系统,包括部署在安全网关上的负载均衡模块、安全信息和事件管理系统、博弈决策模块以及诱饵管理控制模块,部署在真实业务服务器上的真实业务系统和诱饵管理控制代理,部署在欺骗防御服务器上的虚假业务系统、欺骗交互策略以及交互控制模块,部署在蜜罐服务器上的虚假业务系统和交互控制模块;将蜜标、蜜饵、蜜罐等欺骗防御手段以及入侵/恶意软件检测机制有机融合实现协同安全防御;通过博弈决策模块依据博弈论在与攻击者的高频交互中实现安全防御策略的动态优化;根据动态变化的系统安全防御策略,实现诱饵资源自动生成与分发控制。本发明能够有效提高系统识别未知威胁和应急响应的能力。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种面向Web安全防护的欺骗防御系统。
背景技术
最近几年,社会各行业的数字化进程越来越快,互联网Web作为数字产业的重要呈现形式面临着前所未有的安全隐患。国内外针对各类Web的定向网络安全攻击急剧增多,而传统的网络安全产品对于新型恶意软件、勒索病毒和APT这种持续性渗透攻击无能为力。
传统的Web安全防御系统和控件,如Web应用程序防火墙、Web入侵检测系统或Web主机入侵防御系统主要用于防御非定向攻击。这些防御手段审查Web访问请求和返回消息的行为和逻辑,可以防御诸如SQL注入、跨站点脚本、会话劫持、参数或URL篡改和缓冲区溢出等Web安全威胁。但是,由于Web应用程序通常都存在漏洞,使得攻击者可以利用这些漏洞获得对Web应用程序的非授权访问。同时,攻击者还可以对Web网络会话进行攻击从而达到侵入Web应用系统内部的目的。随着新的攻击技术和攻击方式的出现,当前针对Web系统的非定向攻击引起了人们对新保护机制和防御手段的需求和关注。
网络欺骗防御技术逐渐吸引产业界的关注。这是一种主动安全防御技术,通过复杂的安全控制和融合安全防御手段来欺骗攻击者,并引导他们远离需要保护的服务器和资源。一方面,防御者通过构造一系列虚假信息和环境来干扰攻击者的判断,使其作出错误的攻击决策,并通过各种陷阱来消耗攻击者的时间、精力,增加入侵的复杂度和不确定性。另一方面,更加容易监控攻击行为、采集攻击数据,部署相关反制措施,对攻击者进行溯源追踪和技术反制。网络欺骗防御技术对于针对互联网Web系统的0day攻击和定向持续性攻击(例如APT攻击)的发现和防御具有天然的优势,可有效提高相关Web系统识别未知威胁和应急响应的能力。
传统的Web安全防御系统和控件主要用于防御非定向攻击,对于新型恶意软件、勒索病毒和APT这种持续性渗透攻击无能为力。而单独利用蜜标、蜜饵、蜜罐等欺骗防御手段又存在易被攻击者发现并绕过、难以与攻击者进行高频交互、难以有效管理等问题,导致对定向攻击的防护效果不佳。
发明内容
针对现有技术中存在的问题,提供了一种面向Web安全防护的欺骗防御系统,将蜜标、蜜饵、蜜罐等欺骗防御手段以及入侵/恶意软件检测机制有机融合实现协同安全防御,通过博弈论在与攻击者的高频交互中实现安全防御策略的动态优化以及根据动态变化的系统安全防御策略,实现诱饵资源自动生成与分发控制。
本发明采用的技术方案如下:一种面向Web安全防护的欺骗防御系统,包括部署在安全网关上的负载均衡模块、安全信息和事件管理系统、博弈决策模块以及诱饵管理控制模块,部署在真实业务服务器上的真实业务系统和诱饵管理控制代理,部署在欺骗防御服务器上的虚假业务系统、欺骗交互策略以及交互控制模块,部署在蜜罐服务器上的虚假业务系统和交互控制模块;蜜罐服务器与真实业务服务器部署在同一网段,欺骗防御服务器部署在另一网段;
其中,安全信息和事件关联系统接收系统内外的数据,并进行统计分析,记录Web系统收到的攻击及相关信息;博弈决策模块接收安全信息和事件管理系统记录的外部访问流量信息,更新欺骗防御策略;诱饵管理控制模块,用于欺骗实体的生成、分发至真实业务服务器;诱饵管理控制代理模块,用于欺骗实体的管理;负载均衡模块用于根据欺骗防御策略采用负载均衡的方式将外部访问流量转发到真实业务服务器或欺骗防御服务器;欺骗防御服务器采用欺骗交互策略对恶意、可疑流量进行欺骗处理;交互控制模块记录在流量访问过程中的行为,并数据传递至安全信息和事件管理系统,支撑博弈决策分析;蜜罐服务器用于对检测外部访问流量的行为,并将行为产生的信息发送至安全信息和事件管理系统。
进一步的,所述欺骗防御服务器与安全网关之间部署有欺骗防御路由转发装置,且内置欺骗防御路由转发策略;欺骗防御路由将恶意、可疑流量转发至欺骗防御服务器,通过欺骗防御路由转发策对转发地址进行变换。
进一步的,所述欺骗防御系统具体工作过程为:
步骤1、安全网关接收外部访问流量,判断外部访问流量是否被防火墙检测出攻击流量,若否进入步骤2,否则进入步骤5;
步骤2、访问流量进入系统内网,判断是否访问/操作欺骗实体,若否则进入步骤3,否则进入步骤4;
步骤3、访问流量为正常流量防御系统不干预,由负载均衡模块转发至真实服务器;
步骤4、向安全信息和事件管理系统告警并更新外部访问流量的信息用于博弈决策及欺骗防御策略更新;
步骤5、访问流量为恶意、可疑流量,通过负载均衡模块与欺骗防御路由转发装置将该流量转发至欺骗防御服务器,启动欺骗防御功能。
进一步的,所述欺骗实体包括蜜标、蜜饵、诱饵资源及蜜罐;密标为前端页面的数据库SQL表单、目录实例以及写入文件中的隐藏内容;蜜饵与诱饵资源用于检测绕过防御网关的会话;蜜罐检测在系统内网中横向移动或者针对安全网关DMZ区的攻击行为。
进一步的,所述步骤2中,根据访问/操作欺骗实体不同,采取不同的应对措施,具体的:
若访问流量访问/操作密标,直接向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问/操作诱饵资源,通过诱饵管理控制模块激活勒索软件恶意软件检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问/操作密饵,通过诱饵管理控制模块激活恶意行为检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问蜜罐,直接向安全信息和事件管理系统告警并更新外部访问流量的信息。
进一步的,所述欺骗防御服务器中欺骗处理包括采用验证码、重定向主页、HTTP错误页面、虚假证书和相关信息的欺骗手段消耗攻击者时间和资源。
进一步的,所述蜜罐服务器提供的蜜罐以虚拟机为载体部署在安全网安的DMZ区。
进一步的,所述安全信息和事件管理系统对Web系统和欺骗防御系统所汇集和产生的所有数据进行统计,并利用机器学习模型对数据进行分析,记录Web系统遭受到的攻击,并进行分类统计,呈现出每次攻击的类型、行为时刻、持续时间、攻击点位、危害等级、该Web系统可疑风险点位。
进一步的,所述博弈决策模块运用博弈理论形式化描述系统在实施欺骗防御策略过程中各博弈局中人的策略与收益,通过不完全信息动态博弈模型求解博弈策略及均衡条件,实时更新欺骗防御策略。
进一步的,诱饵管理控制代理模块对部署于真实业务服务器的欺骗实体进行管理,同时对接诱饵管理控制模块实现诱饵实体的更新、消除、移动操作。
与现有技术相比,采用上述技术方案的有益效果为:
1、本发明将多种欺骗防御实体、策略以及入侵/恶意软件检测机制有机融合,多点位检测攻击行为,可有效识别未知复杂攻击和0day攻击。
2、在与攻击者交互过程中实现动态博弈决策,实时更新博弈决策数据,得出最优的安全防御策略。
3、利用负载均衡而不是常规转发或重定向的方式来分发流量,同时在流量转发装置中对转发地址进行变换,可以确保攻击者不会发觉其访问会话流量被转发到了欺骗防御服务器上。
附图说明
图1为本发明提出的面向Web安全防护的欺骗防御系统总体架构图。
图2为本发明提出的面向Web安全防护的欺骗防御系统部署图。
图3为本发明一实施例中欺骗防御系统工作流程图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的模块或具有相同或类似功能的模块。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。相反,本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
为了提升互联网Web系统安全防御的有效性,本发明主要解决的技术问题在于:(1)如何将蜜标、蜜饵、蜜罐等欺骗防御手段以及入侵/恶意软件检测机制有机融合实现协同安全防御;(2)如何通过博弈论在与攻击者的高频交互中实现安全防御策略的动态优化;(3)如何根据动态变化的系统安全防御策略,实现诱饵资源自动生成与分发控制。解决了上述3个问题,就能有效提高系统识别未知威胁和应急响应的能力。
如图2所示,本实施例提出一种面向Web安全防护的欺骗防御系统,包括部署在安全网关上的负载均衡模块、安全信息和事件管理系统、博弈决策模块以及诱饵管理控制模块,部署在真实业务服务器上的真实业务系统和诱饵管理控制代理,部署在欺骗防御服务器上的虚假业务系统、欺骗交互策略以及交互控制模块,部署在蜜罐服务器上的虚假业务系统和交互控制模块;蜜罐服务器与真实业务服务器部署在同一网段(即本实施例中的系统内网),欺骗防御服务器部署在另一网段;
其中,蜜罐服务器是真实的物理服务器,上面部署蜜罐系统;如果不用真实服务器,蜜罐系统也可以以虚拟机为载体部署在安全网关的DMZ区里面。其作用是用来识别攻击者在系统内网的横向移动或者攻击者针对安全网关DMZ区的攻击行为。
虚假业务系统的作用是干扰攻击者的判断、诱导其做出错误的攻击决策,消耗其时间、精力。交互控制模块的作用是记录恶意流量或者可以流量的行为,将数据传递至安全信息和事件管理系统,支撑博弈决策分析,必要时阻断恶意流量以防止大量恶意访问对正常业务造成影响。欺骗防御服务器与蜜罐服务器上的虚假业务系统与交互控制模块功能大致相同。
也就是说,蜜罐服务器用于检测外部访问流量的行为,当产生异常行为时,将行为数据发送给安全信息和事件管理系统,供博弈决策模块更新防御策略,根据防御策略通过负载均衡的方式转发至欺骗防御服务器进行检测、截获、朔源等处理;若经过一段时间后欺骗防御服务器判断该流量为正常流量,则将该流量返回至真实业务服务器。
图2为欺骗防御系统的部署方式,而对部署模块进行功能划分可以表示为三部分,分别是分析决策、行为控制以及防御使能,具体的如图1所示,分析决策部分包含安全信息和事件关联系统、博弈决策模块;行为控制部分包含诱饵管理控制模块、诱饵管理控制代理、负载均衡模块和交互控制模块;防御使能部分包含防火墙、欺骗路由转发策略、欺骗交互策略和蜜饵、蜜标、蜜罐等欺骗实体。三个部分相互支撑和反馈,实现各部分的动态优化。
进一步的,在欺骗防御服务器与安全网关之间部署有欺骗防御路由转发装置,且内置欺骗防御路由转发策略;欺骗防御路由将恶意、可疑流量转发至欺骗防御服务器,通过欺骗防御路由转发策对转发地址进行变换。在欺骗防御路由转发装置中对转发地址进行变换,可以确保攻击者不会发觉其访问会话流量被转发到了欺骗防御服务器上。
具体的,安全信息和事件管理系统:其与欺骗防御系统的所有组成部分对接,接收Web系统日志数据以及欺骗防御系统产生的所有数据进行统计分析,并利用机器学习模型对数据进行分析,记录Web系统遭受到的攻击,并进行分类统计,呈现出每次攻击的类型、行为时刻、持续时间、攻击点位、危害等级、该Web系统可疑风险点位等。
博弈决策模块:对接安全信息和事件关联系统,接收安全信息和事件管理系统记录的外部访问流量信息,更新欺骗防御策略;由于欺骗防御系统与攻击者之间呈现多交互动态博弈的过程,同时攻击者对Web系统及其防御机制的认知存在不确定性,所以在建立针对攻防双方的不完全信息动态博弈模型对博弈过程进行分析。博弈决策模块运用博弈理论形式化描述系统在实施欺骗防御策略过程中各博弈局中人的策略与收益,通过不完全信息动态博弈模型求解博弈策略及均衡条件,实时更新欺骗防御策略,即关于诱饵、系统操作、对攻击者的引导等。在实际应用当中,诱饵管理控制模块接收诱饵管理控制代理的信息,进行处理(激活某功能得出结论)后,向安全信息和事件管理系统发送信息,交互控制模块也向安全信息和事件管理系统发送信息,由安全信息和事件管理系统进行数据汇聚后,交给博弈决策模块进行处理,得出系统当前的最有防御策略。
诱饵管理控制模块:该模块对接安全信息和事件管理系统和博弈决策模块,实现对蜜标、蜜饵、诱饵资源等实体的生成、分发,生成之后分发到真实业务服务器的业务环境中。
诱饵管理控制代理模块:对部署于真实业务服务器的蜜标、蜜饵、诱饵资源等实体进行管理,对接诱饵管理控制模块实现诱饵实体的更新、消除、移动等。系统初始化时会产生一波蜜标、蜜饵、诱饵资源、蜜罐等欺骗实体,后面根据攻防双方的动态博弈过程进行更新。
负载均衡模块:以负载均衡的形式将外部访问流量转发到真实业务服务器或欺骗防御服务器(通过欺骗路由转发装置变换转发地址)。
交互控制模块:记录恶意流量或者可疑流量的行为,将数据传递至安全信息和事件管理系统,支撑博弈决策分析。
进一步的,交互控制模块能够在必要时阻断恶意流量以防止大量恶意访问对正常业务造成影响。
而防御使能该部分主要包含防火墙、欺骗路由转发策略、欺骗交互策略和蜜饵、蜜标、蜜罐等欺骗实体。
本实施例中,防火墙主要基于规则检测签名攻击、异常攻击等常见攻击流量。
欺骗路由转发策略:在流量转发装置中对转发地址进行变换,集合负载均衡策略,让攻击者认为其仍然在访问真实业务系统及相应服务器。
欺骗交互策略:实现如验证码、重定向主页、HTTP错误页面、虚假证书和相关信息等欺骗手段,达到最大程度消耗攻击者时间和资源的目的。
蜜标、蜜饵、蜜罐等欺骗实体:
本实施例中,蜜标可以是前端页面的数据库SQL表单、目录实例(如</administrator>或</login>等)以及写入文件中的隐藏内容。合法用户不会去关心admin.txt这样的配置文件,或者是网页的源代码,而攻击者则会利用这些信息来发现系统漏洞,因此如果有会话试图读取部署的蜜标,则将该会话视为疑似恶意流量,并转发到欺骗防御服务器。
蜜饵文件和诱饵资源一般部署在Web后台服务器中用来检测任何可能绕过防御网关的会话。蜜饵文件检测入侵和破坏Web服务器的行为,诱饵资源检测窃取服务器中敏感数据的勒索软件或恶意程序。
蜜罐用来识别在系统内网的横向移动,或者针对安全网关DMZ区的攻击行为。
当这些实体被触发后,将相关信息传递至安全信息和事件管理系统,并通知博弈决策模块。
在此,本实施例还对该欺骗防御系统的工作过程进行具体阐述,如图3所示,其过程如下:
步骤1、安全网关接收外部访问流量,判断外部访问流量是否被防火墙检测出攻击流量,若否进入步骤2,否则进入步骤5;
步骤2、访问流量进入系统内网,判断是否访问/操作欺骗实体,若否则进入步骤3,否则进入步骤4;
步骤3、访问流量为正常流量防御系统不干预,由负载均衡模块转发至真实服务器;
步骤4、向安全信息和事件管理系统告警并更新外部访问流量的信息用于博弈决策及欺骗防御策略更新;
步骤5、访问流量为恶意、可疑流量,通过负载均衡模块与欺骗防御路由转发装置将该流量转发至欺骗防御服务器,启动欺骗防御功能。
在本实施例中,根据访问/操作欺骗实体不同,采取的应对措施也不相同,具体的:
若访问流量访问/操作密标,直接向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问/操作诱饵资源,通过诱饵管理控制模块激活勒索软件恶意软件检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;其中,勒索软件恶意软件检测功能在诱饵管理控制模块中由一个逻辑功能的实现,该逻辑是通过诱饵资源的非正常操作判定疑似勒索软件恶意软件。
若访问流量访问/操作密饵,通过诱饵管理控制模块激活恶意行为检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;恶意行为检测功能在诱饵管理控制模块中由一个逻辑功能的实现,该逻辑是通过蜜饵文件的非正常操作判定疑似对业务系统的破坏行为。
若访问流量访问蜜罐,直接向安全信息和事件管理系统告警并更新外部访问流量的信息。
本发明针对Web系统难以有效防御持续定向攻击和新型恶意软件攻击的问题,以欺骗防御为手段,将多种欺骗防御实体、策略以及入侵/恶意软件检测机制相融合,在与攻击者的交互过程中使用博弈论优化安全防御策略,达到捕获攻击行为、提高系统识别未知威胁和应急响应能力的目的。
需要说明的是,在本发明实施例的描述中,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接连接,也可以通过中间媒介间接连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义;实施例中的附图用以对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种面向Web安全防护的欺骗防御系统,其特征在于,包括部署在安全网关上的负载均衡模块、安全信息和事件管理系统、博弈决策模块以及诱饵管理控制模块,部署在真实业务服务器上的真实业务系统和诱饵管理控制代理,部署在欺骗防御服务器上的虚假业务系统、欺骗交互策略以及交互控制模块,部署在蜜罐服务器上的虚假业务系统和交互控制模块;蜜罐服务器与真实业务服务器部署在同一网段,欺骗防御服务器部署在另一网段;
其中,安全信息和事件关联系统接收系统内外的数据,并进行统计分析,记录Web系统收到的攻击及相关信息;博弈决策模块接收安全信息和事件管理系统记录的外部访问流量信息,更新欺骗防御策略;诱饵管理控制模块,用于欺骗实体的生成、分发至真实业务服务器的业务环境中;诱饵管理控制代理模块,用于欺骗实体的管理;负载均衡模块用于根据欺骗防御策略采用负载均衡的方式将外部访问流量转发到真实业务服务器或欺骗防御服务器;欺骗防御服务器采用欺骗交互策略对恶意、可疑流量进行欺骗处理;交互控制模块记录在流量访问过程中的行为,并数据传递至安全信息和事件管理系统,支撑博弈决策分析;蜜罐服务器用于对检测外部访问流量的行为,并将行为产生的信息发送至安全信息和事件管理系统。
2.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,所述欺骗防御服务器与安全网关之间部署有欺骗防御路由转发装置,且内置欺骗防御路由转发策略;欺骗防御路由将恶意、可疑流量转发至欺骗防御服务器,通过欺骗防御路由转发策对转发地址进行变换。
3.根据权利要求1或2所述的面向Web安全防护的欺骗防御系统,其特征在于,所述欺骗防御系统具体工作过程为:
步骤1、安全网关接收外部访问流量,判断外部访问流量是否被防火墙检测出攻击流量,若否进入步骤2,否则进入步骤5;
步骤2、访问流量进入系统内网,判断是否访问/操作欺骗实体,若否则进入步骤3,否则进入步骤4;
步骤3、访问流量为正常流量防御系统不干预,由负载均衡模块转发至真实服务器;
步骤4、向安全信息和事件管理系统告警并更新外部访问流量的信息用于博弈决策及欺骗防御策略更新;
步骤5、访问流量为恶意、可疑流量,通过负载均衡模块与欺骗防御路由转发装置将该流量转发至欺骗防御服务器,启动欺骗防御功能。
4.根据权利要求3所述的面向Web安全防护的欺骗防御系统,其特征在于,所述欺骗实体包括蜜标、蜜饵、诱饵资源及蜜罐;密标为前端页面的数据库SQL表单、目录实例以及写入文件中的隐藏内容;蜜饵与诱饵资源用于检测绕过防御网关的会话;蜜罐检测在系统内网中横向移动或者针对安全网关DMZ区的攻击行为。
5.根据权利要求4所述的面向Web安全防护的欺骗防御系统,其特征在于,所述步骤2中,根据访问/操作欺骗实体不同,采取不同的应对措施,具体的:
若访问流量访问/操作密标,直接向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问/操作诱饵资源,通过诱饵管理控制模块激活勒索软件恶意软件检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问/操作密饵,通过诱饵管理控制模块激活恶意行为检测功能,并向安全信息和事件管理系统告警并更新外部访问流量的信息;
若访问流量访问蜜罐,直接向安全信息和事件管理系统告警并更新外部访问流量的信息。
6.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,所述欺骗防御服务器中欺骗处理包括采用验证码、重定向主页、HTTP错误页面、虚假证书和相关信息的欺骗手段消耗攻击者时间和资源。
7.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,所述蜜罐服务器提供的蜜罐以虚拟机为载体部署在安全网安的DMZ区。
8.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,所述安全信息和事件管理系统对Web系统和欺骗防御系统所汇集和产生的所有数据进行统计,并利用机器学习模型对数据进行分析,记录Web系统遭受到的攻击,并进行分类统计,呈现出每次攻击的类型、行为时刻、持续时间、攻击点位、危害等级、该Web系统可疑风险点位。
9.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,所述博弈决策模块运用博弈理论形式化描述系统在实施欺骗防御策略过程中各博弈局中人的策略与收益,通过不完全信息动态博弈模型求解博弈策略及均衡条件,实时更新欺骗防御策略。
10.根据权利要求1所述的面向Web安全防护的欺骗防御系统,其特征在于,诱饵管理控制代理模块对部署于真实业务服务器的欺骗实体进行管理,同时对接诱饵管理控制模块实现诱饵实体的更新、消除、移动操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211397412.4A CN116132090B (zh) | 2022-11-09 | 2022-11-09 | 一种面向Web安全防护的欺骗防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211397412.4A CN116132090B (zh) | 2022-11-09 | 2022-11-09 | 一种面向Web安全防护的欺骗防御系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116132090A CN116132090A (zh) | 2023-05-16 |
CN116132090B true CN116132090B (zh) | 2024-04-02 |
Family
ID=86305259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211397412.4A Active CN116132090B (zh) | 2022-11-09 | 2022-11-09 | 一种面向Web安全防护的欺骗防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116132090B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117081862B (zh) * | 2023-10-16 | 2024-01-26 | 北京安天网络安全技术有限公司 | 一种局域网安全防御方法、装置、电子设备及存储介质 |
CN117294532B9 (zh) * | 2023-11-24 | 2024-03-22 | 明阳点时科技(沈阳)有限公司 | 一种基于蜜网的高甜度欺骗防御方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
CN109714364A (zh) * | 2019-02-20 | 2019-05-03 | 湖南大学 | 一种基于贝叶斯改进模型的网络安全防御方法 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
WO2022127482A1 (zh) * | 2020-12-18 | 2022-06-23 | 华为技术有限公司 | 一种网络安全防护方法及装置 |
CN115051836A (zh) * | 2022-05-18 | 2022-09-13 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11263295B2 (en) * | 2019-07-08 | 2022-03-01 | Cloud Linux Software Inc. | Systems and methods for intrusion detection and prevention using software patching and honeypots |
-
2022
- 2022-11-09 CN CN202211397412.4A patent/CN116132090B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471783A (zh) * | 2007-12-28 | 2009-07-01 | 航天信息股份有限公司 | 主动网络防御方法和系统 |
CN108429762A (zh) * | 2018-04-13 | 2018-08-21 | 中国石油大学(华东) | 一种基于服务角色变换的动态蜜罐防御方法 |
CN109302426A (zh) * | 2018-11-30 | 2019-02-01 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
CN109714364A (zh) * | 2019-02-20 | 2019-05-03 | 湖南大学 | 一种基于贝叶斯改进模型的网络安全防御方法 |
CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
CN112134833A (zh) * | 2020-05-07 | 2020-12-25 | 北京国腾创新科技有限公司 | 一种虚实融合的流欺骗防御方法 |
CN112187825A (zh) * | 2020-10-13 | 2021-01-05 | 网络通信与安全紫金山实验室 | 一种基于拟态防御的蜜罐防御方法、系统、设备及介质 |
WO2022127482A1 (zh) * | 2020-12-18 | 2022-06-23 | 华为技术有限公司 | 一种网络安全防护方法及装置 |
CN114363093A (zh) * | 2022-03-17 | 2022-04-15 | 浙江君同智能科技有限责任公司 | 一种基于深度强化学习的蜜罐部署主动防御方法 |
CN115051836A (zh) * | 2022-05-18 | 2022-09-13 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn的apt攻击动态防御方法及系统 |
Non-Patent Citations (3)
Title |
---|
Lord of Secure: the Virtual Reality Game for Educating Network Security;Vasaka Visoottiviseth等;2018 Seventh ICT International Student Project Conference (ICT-ISPC);20180713;全文 * |
基于蜜罐技术的DDoS攻击防御研究;张宝全;周枫;黄祖源;;软件;20170615(06);全文 * |
蜜罐诱骗防御机理的博弈理论分析;石乐义;姜蓝蓝;贾春福;王晓蕊;;电子与信息学报;20120615(06);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116132090A (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
US10230761B1 (en) | Method and system for detecting network compromise | |
Sinha et al. | Information Security threats and attacks with conceivable counteraction | |
EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
CN116132090B (zh) | 一种面向Web安全防护的欺骗防御系统 | |
Virvilis et al. | Changing the game: The art of deceiving sophisticated attackers | |
Tsikerdekis et al. | Approaches for preventing honeypot detection and compromise | |
Biju et al. | Cyber attacks and its different types | |
US20200084225A1 (en) | In-stream malware protection | |
US9124617B2 (en) | Social network protection system | |
Prasad et al. | Cyber threats and attack overview | |
KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
CN113422779B (zh) | 一种基于集中管控的积极的安全防御的系统 | |
Shaji et al. | A methodological review on attack and defense strategies in cyber warfare | |
Diwan | An investigation and analysis of cyber security information systems: latest trends and future suggestion | |
Srivastava | An introduction to network security attacks | |
Simkhada et al. | Security threats/attacks via botnets and botnet detection & prevention techniques in computer networks: a review | |
Veena et al. | Implementing file and real time based intrusion detections in secure direct method using advanced honeypot | |
Behal et al. | Signature-based botnet detection and prevention | |
Rajkumar et al. | Evolution for a secured path using NexGen firewalls | |
Pfleeger | Anatomy of an Intrusion | |
Mims | The Botnet Problem | |
Samantaray et al. | A systematic study on network attacks and intrusion detection system | |
Renuka et al. | COMPARATIVE STUDY OF CYBER ATTACKS | |
Teichmann et al. | Phishing attacks: risks and challenges for law firms |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |