CN116346430A - 一种基于高交互性蜜罐的网络威胁管理系统 - Google Patents
一种基于高交互性蜜罐的网络威胁管理系统 Download PDFInfo
- Publication number
- CN116346430A CN116346430A CN202310197397.7A CN202310197397A CN116346430A CN 116346430 A CN116346430 A CN 116346430A CN 202310197397 A CN202310197397 A CN 202310197397A CN 116346430 A CN116346430 A CN 116346430A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- information
- interactivity
- attack
- central node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 38
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000013461 design Methods 0.000 claims abstract description 22
- 235000012907 honey Nutrition 0.000 claims description 38
- 238000004458 analytical method Methods 0.000 claims description 37
- 230000006854 communication Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 7
- 235000014510 cooky Nutrition 0.000 claims description 6
- 230000001629 suppression Effects 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 21
- 230000008901 benefit Effects 0.000 description 10
- 239000000306 component Substances 0.000 description 10
- 230000003993 interaction Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 239000000243 solution Substances 0.000 description 8
- 230000007123 defense Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 230000001976 improved effect Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000011068 loading method Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 101150105088 Dele1 gene Proteins 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 210000001072 colon Anatomy 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000011049 filling Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000009469 supplementation Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于高交互性蜜罐的网络威胁管理系统,通过搭建中心节点处理核心,对网络环境进行立体防护,利用高交互性蜜罐作为信息收集节点的工具,兼具了诱惑性和安全性,一方面利用高交互性蜜罐提供开放且真实的操作系统和服务,对攻击者进行最大限度地迷惑,在保证安全性的基础上可以更多更好的收集信息,对潜在的攻击者进行诱骗,获取攻击者的攻击目标、攻击工具和攻击方法等信息。另一方面通过模块化地设计思路,即可以封装蜜罐使其与真实隐私网络隔离,又便于后续蜜罐的更改与维护,解决了当前主流网络威胁管理系统主要存在的交互性差、简易性参差不齐、安全性低、不具备诱惑性或诱惑性差的问题。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于高交互性蜜罐的网络威胁管理系统。
背景技术
互联网从诞生以来,一直遭受着网络攻击与恶意代码的威胁。随着攻击技术的不断发展,新形态的安全威胁,不断涌现并在持续进化,而防御技术并不能及时跟上安全威胁的变化步伐,这使得互联网的安全状况日益恶化。究其根源,会发现攻击方与防御方之间在进行着一场不对称的技术博弈:攻击方可以在夜深人静时只要找到攻击目标的一个漏洞就能够攻破系统,而防御方必须确保系统不存在任何可被攻击者利用的漏洞,并拥有全天候的监控机制,才能确保系统的安全;攻击方可以利用扫描、查点等一系列技术手段,全面获取攻击目标的信息,而防御方即使在被攻陷后仍然很难了解到攻击的来源、方法和动机。一旦博弈失败,由于安全响应技术与协调机制的欠缺,在很多情况下,攻击方不会遭受任何损失,而防御方却通常将面临系统与信息被破坏或窃取的风险。
目前,主流的网络威胁管理方法主要包括入侵检测系统、入侵预防系统、漏洞扫描器、日志审计系统、身份认证和访问控制、蜜罐防护等方法。
一般从以下四个角度来对一个安全管理系统进行评价:
1、交互性,指系统与安全对象之间的交互方式和信息获取广度。这包括系统的信息获取方式、操作方法、信息获取程度,以及用户与系统之间的交互方式,例如界面设计、报告生成、数据可视化等。
2、诱惑性,指系统通过技术性手段设置的特定目标,使其更容易被攻击者发现并认为有价值从而进行攻击的能力。
3、简易性,指该系统安装的便利程度以及使用者操作该系统进行网络安全活动时操作的便利程度。
4、安全性,指通过利用技术手段设置诱骗性较高的目标,诱导攻击者发起攻击,从而获取关于攻击者的信息,加强网络安全防护而不被攻破的能力。
如今市面上主流的网络安全管理系统都各自存在有明显的短板:入侵检测系统具有较差的交互性、较差的简易性、不具备安全性、不具备诱惑性。入侵预防系统具有较高的交互性、较差的简易性、较差的安全性、不具备诱惑性。漏洞扫描器具有较高的交互性、较差的简易性、较差的安全性、不具备诱惑性。日志审查系统具有较差的交互性、较差的简易性、较差的安全性、不具备诱惑性。身份认证和访问控制具有很差的交互性、较高的简易性、较差的安全性、不具备诱惑性。中低交互性的蜜罐系统具有较差的交互性、较高的简易性、较差的安全性和较差的诱惑性。因此需要开发出一种新的网络威胁管理方法,旨在同时做到具有较高的交互性、较高的简易性、较高的诱惑性和较高的安全性。
蜜罐技术作为一种新的安全工具在攻击的检测、分析、研究,尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐并不是传统安全防御手段、工具的替代,而是它们的辅助和补充。相对于传统安全手段、工具的被动防御,蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间和主动。
现有技术中,Shadow Daemon是检测、记录和阻止网络应用程序攻击的工具集合。从技术上讲,Shadow Daemon是一个网络应用程序防火墙,可拦截请求并过滤掉恶意参数。它是一种模块化系统,将Web应用程序、分析和界面分开,以提高安全性、灵活性和可扩展性。该软件可以准确识别并记录诸如sql注入、xml注入、代码注入、命令注入、后门访问等形式的攻击并准确记录下来。该防火墙下也实现了一个蜜罐,对于市面上的大部分蜜罐,虽然较好地完成了吸引攻击,记录攻击的作用,但是与较传统的网络服务相比,动态网络应用程序会披露大量信息,很容易看出该应用程序是不是在积极地运转,网站的行为就看起来非常的人为,很容易被黑客发现是蜜罐而没有兴趣进行攻击,因此,现有的解决方案主要适合收集有关值得信赖的自我传播恶意软件的信息,不过,这只是所有攻击的一小部分,因此收集的数据是不完整的,不是决定性的,为了弥补此问题,系统需要能够检测和记录生产服务器上的恶意请求,因为真正的目标是唯一令人信服的目标。收集到的信息更有意义,适合研究,因为它们没有被扭曲。该蜜罐的优点:1)默认情况下,Shadow Daemon充当Web应用程序防火墙并阻止恶意请求,但它也被设计为用作高交互性蜜罐。通过对配置文件进行一些简单的修改,可以禁用保护,系统隐藏在阴影中。使得防火墙变为高效的蜜罐,且不易被攻击的黑客判断为蜜罐,使得用户收集攻击记录变得更加容易。2)用户界面美观,操作方便,可以较为简便地设置参数,保证了软件的正常运行。3)与防火墙结合,简便且收集到的数据误差更小,更加真实。4)可以与其它蜜罐系统相结合,并将其集成到蜜网中,作为额外的信息来源。该蜜罐的缺点:1)该软件的原身为防火墙,需将防火墙的保护功能关闭后,才能作为一个蜜罐正常运行,而关闭保护功能后,如果系统本身没有别的防火墙进行防护,则系统很可能因为攻击而陷入瘫痪,无法达到蜜罐的目的。2)作为单个蜜罐来说,对网络攻击的引诱力不大,攻击者缺乏攻击的动力,需要与其他的蜜罐联合组成蜜网才能有效发挥作用。3)配置过程较为复杂,新用户使用有一定门槛。
Ehoney是Seccome Teamer首次开源的欺骗防御系统,其是一个已经形成体系的以蜜罐为核心的蜜网系统。它将进攻分为了侦察追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制,目标达成等几个阶段,并对于应付这些阶段的进攻做出了相应的对策。该系统的优点:1)Ehoney面向商业性,拥有简洁易懂的操作方式,和清晰明了的前端,只需要简单的操作便可以进行蜜罐的部署进攻信息的查看等功能。2)Ehoney拥有完善,详实的文档文件,使得Ehoney的完善与升级,交流与分享变得更加容易,增加了程序的可扩展性。3)此蜜罐的特色在于可以生成多种密签,即将某些类型文件的一些可访问网络资源的特性进行改造,生成密签,当有黑客从被攻击的服务器或蜜罐中下载后打开文档或者是进入文件夹的时候就会触发告警。这项技术感觉十分实用,可以进行进一步的开发于探索。4)Ehoney使用了可视化拓扑技术,可以可视化展示攻击视图,让所有攻击可视化,形成完整的攻击链路,这种技术使得原本抽象的网络攻防变得可视化,利于对进攻者的攻击方式与目的进行分析。缺点:1)Ehoney是一个较高交互性的蜜罐系统,可是由于交互性太高可能会导致被黑客反过来利用,进行横向探索,取得root权限以达到最终目的。2)Ehoney缺少蜜饵,对进攻者的迟滞性较弱。3)Ehoney单个蜜罐的诱惑性较弱,但是如果布置过多,反而又会增加服务器的负担。
综上,相对于传统安全手段、工具的被动防御,蜜罐技术最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间和主动。但是对于如中、低交互性蜜罐来说,其交互性较低,能够收集到的信息较为稀少,且由于其使用的是模拟服务,很容易被攻击者识破,并且单个蜜罐所起到的迷惑作用其实非常有限,但是如果布置过多,反而又会增加服务器的负担。基于此,本发明提出一种基于高交互性蜜罐的网络威胁管理系统,对网络攻击化被动为主动,提前预知网络攻击并针对攻击提前进行防御;并采用使用真实服务环境的高交互性蜜罐来提高可获取的信息量,通过多个蜜罐并联在系统的方式进行统一的信息管理和收集。
发明内容
本发明目的是提出一种基于高交互性蜜罐的网络威胁管理系统,提高了蜜罐的交互性以及蜜罐部署的数量,并且进行统一的管理,大大提升蜜罐在面对恶意攻击时所展现出的作用。
为了实现上述目的,本发明提供如下技术方案:
一种基于高交互性蜜罐的网络威胁管理系统,系统采用CS模型、中心节点结合高交互性蜜罐的结构,并使用第三方传输工具和模块化设计使中心节点和蜜罐分割;其中,高交互性蜜罐中包括蜜罐模块,用于将蜜罐收集到的入侵者信息加密后发送到中心节点;中心节点负责连接各个高交互性蜜罐并进行信息处理分析,同时对蜜罐及通信过程进行控制;中心节点包括通信模块、处理模块、展示模块和防护模块;通信模块用于实现中心节点和蜜罐的安全通信;处理模块用于将蜜罐传输来的信息进行处理,并将处理的信息传输给展示模块;展示模块用于在互联网中进行特定身份认证、访问、获取中心节点的汇总信息并展示给用户查看;防护模块由防火墙和入侵检测系统组成,用于在外围保证中心节点安全。系统防火墙与与蜜罐相互分离,蜜罐运行时不必关闭防火墙,保证收集数据的同时系统也可以得到充分的保护。
进一步地,蜜罐模块的处理流程如下:管理员在中心节点注册生成蜜罐信息并保存,包括地址、种类和密钥;蜜罐收集攻击者的攻击数据,攻击者ip、攻击类型和攻击时间,汇总成JSON格式并保存;模块发现数据目录存在新文件,读取JSON数据,使用密钥进行密码分组链接模式的AES对称加密,并将加密的数据发送至中心节点,如果中心节点成功接收则删除文件;蜜罐正常运行过程中自行判断来访者是否存在攻击行为,并将判断为攻击请求的请求信息保存。
进一步地,通信模块通过对外连接限制和数据包抑制两种方法实现对连入中心节点的各个高交互性蜜罐进行控制;其中,对外连接限制采用登陆身份认证控制来保证蜜网的使用主体是受到安全认证的安全用户,以及采用IP地址过滤来保证连接系统的蜜罐是合法蜜罐,同时过滤无用信息的搜集,使得不可信的站点无法访问蜜罐系统;数据包抑制包括采用对蜜罐的数据包信息进行过滤,只有得到蜜罐处理的数据包,且IP得到中心节点认证,以及发包格式符合中心节点的要求,数据才会被中心节点接受并保存。
进一步地,处理模块包括将信息进行解密、分类、处理、存储的步骤,处理流程如下:在特定接口进行监听,当收到信息后,从发送者IP去查询对应的密钥,如果存在对应密钥,则是相应蜜罐发送的信息,使用密钥对密文进行解密;验证解密后的数据是否是合法的JSON格式,如果合法则从数据中解析攻击记录的详情,包括对攻击记录数据从攻击者、攻击手法、被攻击者进行解析,然后向发送者回显成功接收的标志,并将解析结果存储到相应数据库中。
进一步地,高交互性蜜罐包括多种种类,并使用dockers对蜜罐进行封装。
进一步地,系统采用非关系型数据库或关系型数据库或键值数据库进行构建。
进一步地,系统通过时间或随机数生成的UUID作为蜜罐密钥的种子,UUID和最终的蜜罐密钥能够互相计算,但并不在数学上相等。
进一步地,系统使用cookie或者token或者session进行用户的身份验证。
进一步地,系统将数据保存到本地或云服务器。
进一步地,高交互性蜜罐采用可加载内核模块的形式在系统内部运行,在收到攻击者的网络攻击后,对攻击信息进行捕获,并将捕获的信息进行封装打包后,传入中心节点。
与现有技术相比,本发明的有益效果为:
本发明提供的基于高交互性蜜罐的网络威胁管理系统,通过搭建中心节点处理核心,对网络环境进行立体防护,利用高交互性蜜罐作为信息收集节点的工具,兼具了诱惑性和安全性,一方面利用高交互性蜜罐提供开放且真实的操作系统和服务,对攻击者进行最大限度地迷惑,在保证安全性的基础上可以更多更好的收集信息,对潜在的攻击者进行诱骗,获取攻击者的攻击目标、攻击工具和攻击方法等信息。另一方面通过模块化地设计思路,即可以封装蜜罐使其与真实隐私网络隔离,又便于后续蜜罐的更改与维护,解决了当前主流网络威胁管理系统主要存在的交互性差、简易性参差不齐、安全性低、不具备诱惑性或诱惑性差的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的高交互性蜜罐系统框架图。
具体实施方式
为了更好地理解本技术方案,下面结合附图对本发明的方法做详细的说明。
本发明的基于高交互性蜜罐的网络威胁管理系统,采用了模块化设计的理念,将系统的核心关键部分进行了封装,并将所有功能都以模块的形式实现。系统中存在一个中心节点,负责连接各个高交互性蜜罐并进行信息处理分析,同时可以通过该节点对蜜罐及通信过程进行控制。
在中心节点下连接着多个高交互性蜜罐,根据实际生产环境需求和网络环境的不同,可以设置相应的网络陷阱诱导入侵者进行攻击,并记录相关信息。在保证安全的前提下,系统将捕获的数据传递到中心节点并进行分析。
在提高本发明蜜罐的交互性的同时,本发明更应该关注如何做好系统与蜜罐之间的信息隔离,防止出现蜜罐反过来被黑客利用的情况。在蜜罐中添加上蜜饵,即一些虚假的无用的数据,使得进攻者在攻破蜜罐之后不会立即退出,转向对真实服务器的进攻,反而需要时间来处理这些数据。为了提高系统内单个蜜罐的诱惑性,真实性,本发明还可以在蜜罐上增加一些漏洞,主动引诱进攻。
此外,我们还在系统中设计了一个完善的中心节点图形化界面,使得系统更加简单易用。这样,系统就能更好地满足中小公司和个人用户对网络安全的需求,提供更高效、稳定的防护,降低新用户的使用门槛。
(一)、中心节点使用技术
作为本高交互性蜜罐系统的核心,中心节点负责各个高交互性蜜罐的连接和信息处理。应用了模块化设计思想。其主要功能有连接控制,信息处理,数据存储。整体使用了Nodejs语言进行开发:
(1)模块化设计:
模块化设计是一种基本且优秀的设计方法,其基本思想是自顶向下、逐步分解、分而治之,即将一个较大的程序按照功能分割成一些相对独立,功能单一,结构清晰,接口简单的小模块。其符合代码设计的高内聚,低耦合原则,具有较强的扩展性与维护性。这种设计方式生产效率高,各个模块之间互不影响,多人协作互不干扰。且维护成本低,程序可以分模块测试,方便单个模块功能调试,升级。同时,易于功能扩充,其高内聚,低耦合的特性使其可以通过添加模块的方式方便的添加功能。
(2)连接控制:
蜜罐与中心节点的通信连接是蜜罐系统整体安全性极为重要的组成部分。通信连接的反攻击与反监测功能可以极大的提升蜜罐系统的安全性。我们通过对外连接限制和数据包抑制两种方法加强了对连入系统的各个高交互性蜜罐的控制能力,提高了整体的防护能力。
(4)对外连接限制:
对中心节点连接蜜罐进行连接限制。采用登陆身份认证控制来保证蜜网的使用主体是受到安全认证的“安全用户”;采用IP地址过滤来保证连接系统的蜜罐是合法蜜罐,同时过滤无用信息的搜集,使得不可信的站点无法访问蜜罐系统。
(5)数据包抑制:
对蜜罐的数据包信息进行过滤,只有得到蜜罐特殊处理的“带蜜”数据包,且IP得到中心节点认证,发包格式符合中心节点的要求,数据才会被中心节点接受并保存。
(6)信息处理:
针对不同的生产实践环境,我们会使用不同的蜜罐进行防御。但是不同蜜罐由于其自身的功能不同,会带来较大的系统环境差异,所以用于处理中心节点与蜜罐之间通信的模块,也应该存在适应各种系统环境的软件版本。在本蜜罐系统中对于蜜罐中的通信模块则使用NodeJS和python两种语言分别实现,从而使Nodejs和python均被通信模块支持。
(7)数据存储:
使用Redis key-Value数据库进行session的存储,用于保存用户登录凭证,提高中心节点的并发处理能力。Redis是一个高性能的key-value数据库。不但具有高性能,原子性的特点,还支持各种各样的数据类型以及丰富的特性。不仅支持二进制案例的Strings,Lists,Hashes,Sets及Ordered Sets数据类型操作,还支持publish/subscribe,通知,key过期等等特性。
本发明使用了Monogo Nosql型数据库完成核心数据的存储,具体包括蜜罐核心产出数据,蜜罐网络拓扑数据,已知记录攻击原始数据及加工处理数据。具有扩展简单,读写快速,成本低廉,数据模型灵活种种优点。两种数据库在存储数据、数据计算以及数据提取等方面相较于传统的数据库有着极大的优势。
(8)nodejs编写数据交互部分:
本发明使用Nodejs编写,并应用了express框架。
Nodejs是一种后端编程语言,但使用的却是js语法。它可以使前后端编程环境统一,降低开发成本。其具有高并发能力,在服务器中Nodejs只会使用一个线程。当有用户连接,就触发一个内部事件,通过非阻塞I/O、事件驱动机制,让Node.js程序宏观上并行。Node.js使用js语法,同时由于开发者对该语言明确用于编写高性能网络服务器的设计思想,使其具有开发周期短,开发成本低,学习成本低的特点。最后,我们使用了nodejs提供的框架,其定义了简洁的路由定义方式,对获取http请求参数进行了简化处理,且对模板引擎支持程度高,方便渲染动态HTML页面,还拥有中间件机制有效控制HTTP请求,可以使用大量第三方中间件对功能进行扩展。
(二)、蜜罐使用技术
本发明使用的高交互性蜜罐通常是以真实的系统为基础进行构建,是一种物理蜜罐,而非模拟性蜜罐,攻击者所面临的是真实的系统和服务,其可以收集更多的信息,同时也和攻击者间拥有更高的交互等级和交互能力,攻击者可以探测、攻击、破坏这种系统,并将其作为进一步攻击的工具,相对低交互蜜罐其配置更加复杂,需要更多资源的支持,具有更高的风险,但相对应的也会具有更高的收益。针对于高交互蜜罐的特性,我们使用了以下技术设计点:
(1)通信保密:
针对中心节点与蜜罐之间的通信与保密性,本系统采用http协议进行数据传输,把传输的数据通过AES对称加密算法,并使用CBC加密模式进行加密。
(2)蜜罐部署:
为使蜜罐系统真正做到一键式部署,系统使用了dockers,对蜜罐进行一定程度的封装,为该管理系统的使用者提供多种封装好的蜜罐,用户只需下载封装好的蜜罐,将其放置通过在中心节点对多个蜜罐的统一管理,在确保较高集成化的同时,使得对蜜罐的操作更加简便和快速。
(3)信息捕获:
高交互性蜜罐在收到攻击者的网络攻击后,对攻击信息进行捕获,将捕获的信息进行封装打包后,传入中心节点部分。我们采用可加载内核模块(LKM)的形式在系统内部运行,以避免捕获行为被攻击者轻易发现,从而导致蜜罐系统暴露。同时为保证记录黑客行为的日志文件不被黑客非法篡改我们提供了改动IIS日志默认存放路径的功能。
(4)LKM模块隐藏:
LKM是可加载内核模块的英文简称,主要用于动态加载系统扩展功能,当然也包括信息捕获功能的加载。在linux操作系统中将会将LKM模块信息放在一个单独的单链表中,我们可以通过将该链表中与蜜罐功能相关的LKM模块信息删除的形式隐藏LKM模块。
(三)、前端使用技术
本发明的中心节点前端使用Vuejs技术,其是一个构建数据驱动的web界面的渐进式框架。Vue.js以一个响应的数据绑定系统为核心,可以通过简单的API实现响应的数据绑定和组合的视图组件。不但简单,易于使用,还便于与第三方库或既有项目整合。其具有以下优点:
(1)双向数据绑定:
响应式数据绑定。指Vue.js会自动对页面中某些数据的变化做出同步的响应。实际上Vue.js会自动响应数据的变化情况,并且根据用户在代码中预先写好的绑定关系,对所有绑定在一起的数据和视图内容都进行修改。而这种绑定关系是以input标签的v-model属性来声明的。这也就是Vue.js最大的优点,通过MVVM思想实现数据的双向绑定,让开发者不用再操作dom对象,从而将更多的精力放在系统整体框架上。
(2)组件化开发:
Vue.js通过组件,把一个单页应用中的各种模块拆分到一个一个单独的组件(component)中,只要先在父级应用中写好各种组件标签,并且在组件标签中写好要传入组件的参数,然后再分别写好各种组件的实现。
(3)Virtual DOM:
可以预先通过JavaScript进行各种计算,把最终的DOM操作计算出来并优化,由于这个DOM操作属于预处理操作,并没有真实的操作DOM,所以叫做虚拟DOM。最后在计算完毕才真正将DOM操作提交,将DOM操作变化反映到DOM树上。
(4)轻量高效
Vue.js通过简洁的API提供高效的数据绑定和灵活的组件系统。
实施例
本发明提供的基于高交互蜜罐的网络威胁管理系统,原理框架如图1所示,采用CS(客户端-服务端)模型、中心节点结合蜜罐的系统结构。其中,中心节点和格式化蜜罐以是本发明的重点部分。下面将围绕这三个部分进行技术方案的详细阐述。
一、中心节点:
中心节点拥有众多模块,如通信模块、展示模块、处理模块等。通讯模块实现了中心节点和蜜罐的安全通信协议的接口。展示模块拥有WEB(互联网)展示接口,可以在互联网中,进行特定身份认证后访问,获取中心节点的汇总信息。处理模块则负责处理蜜罐通过安全通信传输的信息,信息通过解密、分类、处理、存储等步骤,最后会流入展示模块。
为了保证中心节点的安全,本发明为中心节点的模块中加入防护模块,由防火墙和入侵检测系统组成。在外围保证中心节点安全。
中心节点的处理模块的处理流程如下:在特定接口进行监听->当收到信息后,从发送者IP(地址)去查询对应的密钥->如果存在对应密钥,则是相应蜜罐发送的信息,使用密钥对密文进行解密->验证解密后的数据是否是合法的JSON(JS对象简谱)格式->如果合法则从数据中解析攻击记录的详情,然后向发送者回显成功接收的标志->对攻击记录数据从攻击者、攻击手法、被攻击者等角度进行解析,将解析结果存储到相应数据库中。
本发明的数据库设计如下:数据库:CenterPot
表:用户表(User),蜜罐表(Pot),信息表(Information),攻击者表(Attacker)
用户表(User):{用户名(username),密码(password),角色(role)<guest,admin>}
蜜罐表(Pot):{蜜罐id(potId),蜜罐ip(potIp),蜜罐类型(potType),蜜罐私钥(potey),状态(status)}
信息表(Information):{蜜罐id(potId),时间(time),攻击者ip(attackerIp),攻击类型(attackerType),攻击信息(attackInformation),攻击得分(attackPoint)}
攻击者表(Attacker):{攻击者ip(attackerIp),攻击者信息(attackerInformation),攻击次数(attackNum),攻击者分数(attackerPoint),状态(status)}
详细的接口信息以及作用、交互方式如下:
1、与蜜罐进行通信,将蜜罐发送信息保存到数据库。
提供用于接收蜜罐发送信息的api
应用程序接口蜜罐状态查询接口:/api/pots/status
所需参数(post):potId(蜜罐id),cryptoInformation(蜜罐加密的信息)
返回值(json):若由potId对应的key成功解密加密信息(cryptoInformation),返回接收成功(receive success),否则返回相应报错。
说明:接收蜜罐传回的信息,并在验证后保存在数据库中。
2、注册蜜罐
应用程序接口的蜜罐注册接口:/api/pots/register
所需参数(post):potIp(蜜罐IP),potType(蜜罐类型)
返回值(json):potKey(蜜罐密钥),potId(蜜罐id)
说明:蜜罐IP应唯一,否则注册失败。蜜罐类型任意,蜜罐密钥与蜜罐id应保存到蜜罐/etc/pot/potInformation的文件中,用于发送加密数据。必须为管理员(admin)才能进行蜜罐注册。
例子:
如果未携带管理员(admin)用户的身份凭证(cookie),则禁止访问(提示403)。
正确携带cookie后,若参数正确,则注册成功,参数缺失,则报错。
若potIp已经存在于已有的任何状态pot中,则注册失败。
3、通过去分析已经保存的信息,进行信息分类,判断风险。
提供获取分析信息的结果的api
应用程序接口的攻击者地址分析接口:/api/analyse/xxx
(1)/api/analyse/attackerIp
所需参数(get):attackerIp(袭击者Ip)
返回值(json):查询成功返回数据,失败返回{}
说明:需要guest认证。根据attackerIp在Attacker表中查找状态为非删除的记录。若存在,则继续在Information表中查找attackerIp的所有记录,并附带对应potIp的状态。此api只会查询处于show状态的pot和攻击者(attacker)及其所对应的攻击信息(attackinformation)。
当使用GET方法请求应用程序接口的攻击者地址分析接口时,传入攻击者的地址为8.8.8.8,并带有可以通过身份认证的凭证信息时,应该收到来自中心节点的响应码为200正常的响应报文,报文的数据体中应该用JSON格式记录此攻击者地址的所有攻击记录,每个记录中,包括攻击者地址,攻击编号,被攻击蜜罐编号,攻击类型,攻击信息,攻击者攻击次数,攻击者得分。程序伪代码如下:
若使用应用程序接口的蜜罐状态更改接口将涉及到的蜜罐的状态改为被隐藏。则再次查询,返回的JSON数据中将没有此蜜罐的被攻击记录。
(2)应用程序接口的蜜罐编号分析接口:/api/analyse/potId
所需参数(get):potId(蜜罐Id)
返回值(json):查询成功返回数据,失败返回{}
说明:需要普通用户(guest)认证。根据potId在Pot表中查找状态为非删除的记录。若存在,则继续在Information表中查找potId的所有记录,并附带对应攻击者地址(attackerIp)的状态。此api只会查询处于show状态的pot和attacker及其所对应的攻击信息(attackinformation)。
具体用法基本如上。
(3)应用程序接口的攻击类型分析接口:/api/analyse/attackType
所需参数(get):attackType攻击类型
返回值(json):查询成功返回数据,失败返回{}
说明:需要guest认证。根据attackType在infomation表中查找记录。若存在,根据potId与attackerIp,在Pot表和Attacker表中查找。
(4)应用程序接口的攻击时间分析接口/api/analyse/attackTime
所需参数(post):
返回值(json):
说明:需要guest认证
(5)应用程序接口的攻击者得分分析接口/api/analyse/attackerPoint
所需参数(post):
返回值(json):
说明:需要guest认证
(6)应用程序接口的攻击得分分析接口/api/analyse/attackPoint
所需参数(post):
返回值(json):
说明:需要guest认证
(7)应用程序接口的数据更新接口/api/analyse/updateData
所需参数(post):
choice<"attacker","pot">,filter<attackerIp,potId>,status<"show","hidden","dele te">
Choice参数可以是攻击者或者蜜罐。Filter参数可以是攻击者地址或者蜜罐地址。Status参数可以是展示、隐藏或者删除。
返回值(json):更改成功返回更新成功(update success),否则返回相应错误。
说明:需要管理员(admin)认证。将一个攻击者表项,蜜罐表项标记为屏蔽,显示,或删除(标记为删除,并非真的删除)。
对于需要admin权限的api,若没有携带admin cookie则403。
(8)应用程序接口的蜜罐分析接口/api/analyse/pots
所需参数(get):无
返回值(json):所有状态为show的pot。
说明:需要admin认证。
(9)应用程序接口的攻击者分析接口/api/analyse/attackers
所需参数(get):无
返回值(json):所有状态为show的attacker。
说明:需要admin认证。
(10)应用程序接口的隐藏蜜罐分析接口/api/analyse/hiddenPots
所需参数(get):无
返回值(json):所有状态为hidden的pot。
说明:需要admin认证。
(11)应用程序接口的隐藏攻击者分析接口
/api/analyse/hiddenAttackers
所需参数(get):无
返回值(json):所有状态为hidden的attacker。
说明:需要admin认证。
(12)应用程序接口的删除蜜罐分析接口/api/analyse/deletePots
所需参数(get):无
返回值(json):所有状态为delete的pot。
(13)应用程序接口的删除攻击者分析接口/api/analyse/deleteAttackers
所需参数(get):无
返回值(json):所有状态为delete的attacker。
说明:需要admin认证。
(14)应用程序接口的所有信息分析接口/api/analyse/allInformations
所需参数(get):无
返回值(json):所有information,包括对应的pot,attacker处于hidden,delete状态的。
说明:需要admin认证。
(15)用户登录api
应用程序接口的用户登录接口/api/user/login
应用程序接口的用户登出接口/api/user/logout
所需参数(post):username,password
返回值(json):登录成功返回login success.
说明:暂无。
(16)用户注册api
应用程序接口的用户注册接口/api/user/register
所需参数(post):username,password,password2
返回值(json):如果注册成功,返回register success.
说明:username唯一,password,password2需相同。注册成功后为guest权限。
二、格式化蜜罐:
现实网络中各类软件的种类很多,为了构建一套可以重复使用的蜜罐,本发明开发了运行在蜜罐中的蜜罐模块。模块负责收集蜜罐收集到的信息,加密后发送到中心节点。软件的整体流程如下:管理员在中心节点注册生成蜜罐信息(包括IP(地址)、种类、密钥)->密钥等基础配置保存到蜜罐系统的特定目录中->蜜罐收集攻击者的攻击数据,汇总成JSON(JS对象简谱)格式,将其保存在特定文件夹中,文件名使用UUID(通用唯一识别码)->模块发现数据目录存在新文件->读取JSON数据,使用密钥进行CBC(密码分组链接)模式的AES(高级加密标准)加密->加密的数据发送至中心节点的特定接口->判断回显如果中心节点成功接收,则删除文件。蜜罐本身的程序,正常运行过程中,自行判断来访者是否存在攻击行为。程序负责将判断为攻击请求的请求信息保存到一个本地文件(/etc/pot/log/attackInformation/{uuid})中。
文件中应该以json格式包含:攻击者ip,攻击类型,攻击时间(使用当前时间戳,python中为int(time.time()*1e3),js中为Date.now()),详细攻击信息(由程序自行编写),详细攻击者信息(包括但不限于Cookie,User-Agent等和具体服务有关的有价值信息),攻击得分(由蜜罐计算)。
如:蜜罐的保存的原始JSON数据应该按照以半角英文左大括号开始,半角英文右大括号结束,中间用半角英文逗号分隔为若干键值对,其中每个键值对中的键和值都应该以半角英文双引号开始并结束,对于键值中存在的半角英文双引号应该用半角英文反斜杠进行转义,键和值的中间用半角英文冒号分隔。此外值还可以是一个新的半角英文左大括号开始,半角英文右大括号结束的JSON数据。所有的键中应该至少包含攻击者互联网地址,攻击类型,攻击时间,攻击信息,攻击者信息等。还可以根据蜜罐的不同,包含攻击得分,攻击者登录凭证等。
伪代码示例如下:
三、蜜罐中与中心节点交互的程序
此程序应对外部透明。
此程序的运行周期,便为蜜罐的上线到下线周期。程序从
/etc/pot/potInformation中读取有关pot的信息,其中包括
potKey,centerPotURL,potType。
程序运行期间,如果/etc/pot/log/attackInformation/不为空,则进行下面操作。
通过文件中的potKey对/etc/pot/log/attackInformation/中首个文件进行加密,之后通过centerPotURL发送给中心节点的/api/pots/status api,当收到api的特定回显时,判定中心节点成功接收发出的信息,此程序便可以删除/etc/pot/log/attackInformation/{uuid},等待下次发送,否则重新发送,若重发次数超过一定次数,便删除/etc/pot/log/attackInformation/{uuid},向/api/pots/status发送特定信息后,便不再发送。
本发明的关键点如下:
1.采用高交互性蜜罐
本系统采用的高交互性蜜罐采用了真实的交互环境,使攻击者可以真正地攻破网站,并在获取网站权限的同时进一步发动攻击。出于提高系统隐蔽性(即攻击者难以发觉到自己正在攻击蜜罐)的目的,本系统在牺牲了一定安全性的基础上,可以获取到相较于中、低交互性蜜罐更详细的攻击者信息(如攻击者的攻击方式、攻击位置、窃取到的信息、攻击者ip、攻击者的攻击时间等详细信息),对使用者提前进行防御处理有着更大的好处。
2.模块化设计
对该网络威胁管理系统的各个功能进行抽象组合,划分模块,分别设计和封装。一方面隔离了蜜罐与中心节点的直接交互,每次中心节点与蜜罐系统的交互都要获得中心节点的安全认可,一旦蜜罐遭到彻底攻破,中心节点会直接切断与蜜罐的交流,这就在享受了高交互性蜜罐获取数据丰富特性的同时,也保证了系统的安全性。其次,采用模块化设计可以便于使用者在中心节点的基础上基于自己的需求继续扩展功能而不会与基础功能相冲突。
3.并联高交互蜜罐组成高交互蜜罐系统
本系统将多种不同类型的蜜罐通过统一的发包格式改造,将蜜罐并联到以中心节点为核心的高交互性蜜罐系统,通过系统同时对几个并联蜜罐进行“监视”,这样可以极大地提高信息采集效率,并且采用不同类型的蜜罐有助于从多角度发现网络问题,及时完善系统、填补漏洞。
4.图形化界面
大部分网络威胁管理系统都采用了命令行形式进行用户与系统的交互,但是这极大地提高了用户的使用门槛,不利于用户进行使用,而我们的系统则设计了图形化界面,通过蜜罐管理界面对连接蜜罐进行隐藏、连接、删除等操作,通过信息统计界面对攻击信息进行分类和统计,可以更直观地帮助使用者进行信息处理,基于统计信息对系统漏洞进行补足。
本发明的优点如下:
当前主流的网络威胁管理系统主要存在交互性差、简易性参差不齐、安全性低、不具备诱惑性或诱惑性差的问题,主流的网络安全管理系统都各自存在有明显的短板。本发明提出的基于高交互性蜜罐的网络威胁管理方法,兼具了诱惑性和安全性,一方面利用高交互性蜜罐提供开放且真实的操作系统和服务,对攻击者进行最大限度地迷惑,另一方面通过模块化地设计思路,即可以封装蜜罐使其与真实隐私网络隔离,又便于后续蜜罐的更改与维护。
本发明利用高交互性蜜罐作为工具,通过搭建中心节点处理核心,对网络环境进行立体防护。高交互性蜜罐作为信息收集节点实现了较高的交互性和诱惑性,高交互性蜜罐在保证安全性的基础上可以更多更好的收集信息,对潜在的攻击者进行诱骗,获取攻击者的攻击目标、攻击工具和攻击方法等信息。
第三方传输工具完成中心节点和高交互性蜜罐之间的信息传递。避免攻击者通过破环蜜罐来实现对真实网络环境的入侵。利用成熟的传输工具,对传输的信息进行加密输送,保证了通过蜜罐获取信息的真实性与完整性,确保输入中心节点的数据是真实有效的,从而得到准确的攻击者行为报告和画像。
中心节点进行数据存储、部署多种蜜罐、控制连接、完成一系列针对数据的处理功能。通过对蜜罐进行各种操作,收集数据,对数据进行整理、归纳、分析形成事件报告和攻击者画像等便于用户直接查看和使用的攻击信息模板。
前端用户界面,图形化的前端界面便于用户使用。用户在前端的图形化界面通过简单的鼠标和键盘操作,既可以对蜜罐进行部署、更新维护和撤销操作,又能按照需求对数据进行处理获取详细的分析报告。同时用户可以通过操作文档,可以无障碍使用该网络威胁管理方法对自身隐私网络进行网络防护。
模块化的设计思想便于立体网络防护体系的搭建。该网络威胁管理方法采用模块化设计理念,通过不同模块之间的耦合交互实现既定的安全目标。因此,可以将入侵检测系统、入侵预防系统、日志审查系统、身份认证和访问控制等系统的核心组件进行封装后,耦合进该网络威胁管理方法,形成立体综合全方位的防护体系。
综上所述,本项目提出的基于高交互性蜜罐的网络威胁管理方法,利用高交互性蜜罐实现较高的交互性和诱惑性;使用第三方传输工具和采用模块化设计使中心节点和蜜罐分割,更利于保护隐私的网络环境,提高安全性;搭建便于操作的用户界面,降低了使用难度,提高系统使用的简易性。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换,但这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于高交互性蜜罐的网络威胁管理系统,其特征在于,系统采用CS模型、中心节点结合高交互性蜜罐的结构,并使用第三方传输工具和模块化设计使中心节点和蜜罐分割;其中,高交互性蜜罐中包括蜜罐模块,用于将蜜罐收集到的入侵者信息加密后发送到中心节点;中心节点负责连接各个高交互性蜜罐并进行信息处理分析,同时对蜜罐及通信过程进行控制;中心节点包括通信模块、处理模块、展示模块和防护模块;通信模块用于实现中心节点和蜜罐的安全通信;处理模块用于将蜜罐传输来的信息进行处理,并将处理的信息传输给展示模块;展示模块用于在互联网中进行特定身份认证、访问、获取中心节点的汇总信息并展示给用户查看;防护模块由防火墙和入侵检测系统组成,用于在外围保证中心节点安全。
2.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,蜜罐模块的处理流程如下:管理员在中心节点注册生成蜜罐信息并保存,包括地址、种类和密钥;蜜罐收集攻击者的攻击数据,攻击者ip、攻击类型和攻击时间,汇总成JSON格式并保存;模块发现数据目录存在新文件,读取JSON数据,使用密钥进行密码分组链接模式的AES对称加密,并将加密的数据发送至中心节点,如果中心节点成功接收则删除文件;蜜罐正常运行过程中自行判断来访者是否存在攻击行为,并将判断为攻击请求的请求信息保存。
3.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,通信模块通过对外连接限制和数据包抑制两种方法实现对连入中心节点的各个高交互性蜜罐进行控制;其中,对外连接限制采用登陆身份认证控制来保证蜜网的使用主体是受到安全认证的安全用户,以及采用IP地址过滤来保证连接系统的蜜罐是合法蜜罐,同时过滤无用信息的搜集,使得不可信的站点无法访问蜜罐系统;数据包抑制包括采用对蜜罐的数据包信息进行过滤,只有得到蜜罐处理的数据包,且IP得到中心节点认证,以及发包格式符合中心节点的要求,数据才会被中心节点接受并保存。
4.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,处理模块包括将信息进行解密、分类、处理、存储的步骤,处理流程如下:在特定接口进行监听,当收到信息后,从发送者IP去查询对应的密钥,如果存在对应密钥,则是相应蜜罐发送的信息,使用密钥对密文进行解密;验证解密后的数据是否是合法的JSON格式,如果合法则从数据中解析攻击记录的详情,包括对攻击记录数据从攻击者、攻击手法、被攻击者进行解析,然后向发送者回显成功接收的标志,并将解析结果存储到相应数据库中。
5.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,高交互性蜜罐包括多种种类,并使用dockers对蜜罐进行封装。
6.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,系统采用非关系型数据库或关系型数据库或键值数据库进行构建。
7.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,系统通过时间或随机数生成的UUID作为蜜罐密钥的种子。
8.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,系统使用cookie或者token或者session进行用户的身份验证。
9.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,数据保存到本地或云服务器。
10.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,高交互性蜜罐采用可加载内核模块的形式在系统内部运行,在收到攻击者的网络攻击后,对攻击信息进行捕获,并将捕获的信息进行封装打包后,传入中心节点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310197397.7A CN116346430A (zh) | 2023-03-03 | 2023-03-03 | 一种基于高交互性蜜罐的网络威胁管理系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310197397.7A CN116346430A (zh) | 2023-03-03 | 2023-03-03 | 一种基于高交互性蜜罐的网络威胁管理系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116346430A true CN116346430A (zh) | 2023-06-27 |
Family
ID=86892232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310197397.7A Pending CN116346430A (zh) | 2023-03-03 | 2023-03-03 | 一种基于高交互性蜜罐的网络威胁管理系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116346430A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
-
2023
- 2023-03-03 CN CN202310197397.7A patent/CN116346430A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116996326A (zh) * | 2023-09-26 | 2023-11-03 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
| CN116996326B (zh) * | 2023-09-26 | 2023-12-26 | 国网江西省电力有限公司信息通信分公司 | 基于蜜网的协同式主动防御方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Libicki | Cyberspace in peace and war | |
| Singer et al. | Cybersecurity: What everyone needs to know | |
| US9501639B2 (en) | Methods, systems, and media for baiting inside attackers | |
| Voris et al. | Bait and snitch: Defending computer systems with decoys | |
| Bace | Intrusion detection | |
| Vacca | Network and system security | |
| US20130263226A1 (en) | False Banking, Credit Card, and Ecommerce System | |
| US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
| Longstaff et al. | Security of the Internet | |
| CN110855659A (zh) | redis蜜罐部署系统 | |
| Ask et al. | Advanced persistent threat (APT) beyond the hype | |
| Kara et al. | The ghost in the system: technical analysis of remote access trojan | |
| Catuogno et al. | A honeypot system with honeyword-driven fake interactive sessions | |
| Rauti et al. | A survey on fake entities as a method to detect and monitor malicious activity | |
| Karthikeyan et al. | Honeypots for network security | |
| Srinadh et al. | An analytical study on security and future research of Internet of Things | |
| CN116346430A (zh) | 一种基于高交互性蜜罐的网络威胁管理系统 | |
| Zeid et al. | Investigating the darknet | |
| Dutta et al. | Cyber Security: Issues and Current Trends | |
| CN106657074A (zh) | 一种url伪装及参数隐藏传递的方法及系统 | |
| Buchanan | Introduction to security and network forensics | |
| Rauti | Towards cyber attribution by deception | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Muttoo et al. | Analysing security checkpoints for an integrated utility-based information system | |
| Belous et al. | Viruses, Hardware and Software Trojans: Attacks and Countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |