CN117061256A - 基于动态蜜罐的网络安全系统及方法 - Google Patents
基于动态蜜罐的网络安全系统及方法 Download PDFInfo
- Publication number
- CN117061256A CN117061256A CN202311322940.8A CN202311322940A CN117061256A CN 117061256 A CN117061256 A CN 117061256A CN 202311322940 A CN202311322940 A CN 202311322940A CN 117061256 A CN117061256 A CN 117061256A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- communication data
- flow
- malicious
- network communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000006854 communication Effects 0.000 claims abstract description 192
- 238000004891 communication Methods 0.000 claims abstract description 191
- 238000001514 detection method Methods 0.000 claims abstract description 74
- 238000012549 training Methods 0.000 claims description 21
- 230000003993 interaction Effects 0.000 claims description 18
- 238000013135 deep learning Methods 0.000 claims description 17
- 235000012907 honey Nutrition 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000005457 optimization Methods 0.000 claims description 7
- 230000003213 activating effect Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 6
- 238000013508 migration Methods 0.000 claims description 5
- 230000005012 migration Effects 0.000 claims description 5
- 238000011478 gradient descent method Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 12
- ZPUCINDJVBIVPJ-LJISPDSOSA-N cocaine Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 11
- 230000007123 defense Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000007547 defect Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000002156 mixing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/0895—Weakly supervised learning, e.g. semi-supervised or self-supervised learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Computation (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- General Physics & Mathematics (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于动态蜜罐的网络安全系统及方法,属于网络安全技术领域,系统包括虚拟交换机、入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块,蜜罐模块包括高交互蜜罐和低交互蜜罐;入侵检测模块在虚拟交换机中获取网络通信数据流,如果网络通信数据流正常且加密,则转发给恶意流量检测模块进行判别网络通信数据流是否为恶意通信流,如果是正常通信流则通过Ryu控制器转发到正常主机,如果是恶意通信流则发送到低交互蜜罐;当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块切换到连接高交互蜜罐,提高了网络安全性能。
Description
技术领域
本发明涉及一种基于动态蜜罐的网络安全系统及方法,属于网络安全技术领域。
背景技术
网络的安全是指通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。随着网络攻击的不断更新,也对现实系统的安全提出了很大的挑战。
近些年来,蜜罐被广泛应用于网络安全领域。蜜罐是一种主动防御机制,主要通过模拟真实工作场景和部署诱饵目标,吸引攻击者与蜜罐中的虚拟资源进行交互,防止真实资源遭到破坏,收集攻击者的攻击过程,分析系统潜在漏洞,主动应对类似攻击。由于现有的蜜罐系统存在一些缺陷,如无法根据复杂的攻击部署特定的蜜罐来诱导攻击,无法在攻击交互过程中根据蜜罐的部署和维护成本选择最佳的蜜罐进行动态响应,以及识别已知攻击方法变体的能力不足。
尽管混合蜜罐可以通过部署低交互和高交互的蜜罐来解决其中的一些问题,但由于它们TCP连接切换速度慢,并且无法有效识别加密的恶意流量,导致它们无法真正应用于实际生产场景。
发明内容
为了解决上述问题,本发明提出了一种基于动态蜜罐的网络安全系统及方法,能够识别攻击流量,提高网络的安全性能。
本发明解决其技术问题采取的技术方案是:
第一方面,本发明实施例提供的一种基于动态蜜罐的网络安全系统,包括虚拟交换机、入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块,所述蜜罐模块包括高交互蜜罐和低交互蜜罐;所述虚拟交换机用于构建网络安全系统并接入待入侵防护的网络;所述入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;所述恶意流量检测模块,用于判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
作为本实施例一种可能的实现方式,所述蜜罐模块是由高交互蜜罐和低交互蜜罐组成的混合蜜罐系统。
作为本实施例一种可能的实现方式,所述高交互蜜罐为基于真实系统环境构建具有诱饵功能的复杂蜜罐环境;所述低交互蜜罐为使用虚拟仿真软件构建与真实环境隔离的虚拟环境。
作为本实施例一种可能的实现方式,所述蜜罐模块包括若干设置在系统前端的低交互蜜罐和若干设置在系统后端的高交互蜜罐,所述低交互蜜罐的数量远大于高交互蜜罐的数量。
作为本实施例一种可能的实现方式,所述入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流;
所述恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的1D-CNN作为训练算法进行判别网络通信数据流是否为恶意通信流。
作为本实施例一种可能的实现方式,所述恶意流量检测模块包括预处理模块、模型优化模块和训练输出模块,所述预处理模块通过对原始数据集进行处理,生成有标记和未标记的数据,其中未标记的数据用于测试,标记的数据用于训练;所述模型优化模块采用小批量随机梯度下降方法对CNN模型进行优化为1D-CNN模型;所述训练输出模块将预处理后的数据和原始保留的未标记数据作为1D-CNN模型的输入进行训练,输出网络通信数据流是否为恶意通信流的预测结果。
第二方面,本发明实施例提供的一种基于动态蜜罐的网络安全方法,利用上述所述的基于动态蜜罐的网络安全系统进行入侵防护,所述的网络安全方法包括以下步骤:
将虚拟交换机接入待入侵防护的网络,并启动网络安全系统;
入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;
恶意流量检测模块进行判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;
当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
第三方面,本发明实施例提供的一种基于动态蜜罐的网络安全方法,包括以下步骤:
获取待入侵防护端口的网络通信数据流并进行检测;
判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护。
作为本实施例一种可能的实现方式,所述获取待入侵防护端口的网络通信数据流并进行检测,包括:
获取待入侵防护端口的网络通信数据流;
根据网络通信数据流检测待入侵防护端口和有效负载,如果待入侵防护端口是系统的开放端口,且负载正常,则标记为0;如果网络通信数据流已加密,则转入下一步进行判别网络通信数据流是否为恶意通信流。
作为本实施例一种可能的实现方式,所述判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护,包括:
对网络通信数据流进行检测,如果是正常通信流则直接转发到正常主机,否则判定网络通信数据流为恶意通信流;
将恶意通信流转发到待入侵防护端口对应的低交互蜜罐;
如果恶意通信流攻击深度达到临界点时,则启动重定向转发协议,将原来连接到低交互蜜罐的恶意通信流传输到高交互蜜罐,通过恶意通信流的迁移来实现攻击的捕获和防护。
本发明实施例的技术方案可以具有的有益效果如下:
本发明提出了一种基于TCP_REPAIR和深度学习的动态安全防御系统,在混合蜜罐的主动防御系统中加入基于深度学习的恶意加密流量识别,准确分配加密或非加密的攻击流量及其变种,弥补了传统混合蜜罐入侵检测系统只能识别未加密流量的缺陷;将正常流量被发送到实际系统,被标记的恶意流量根据攻击过程在混合蜜罐的模式下动态选择蜜罐响应;使用的TCP_REPAIR技术,使得混合蜜罐中低交互作用蜜罐和高交互作用蜜罐之间的切换算法在速度和安全性上都得到了提高,本发明采用基于动态蜜罐的入侵防护措施,大大提高了网络的安全性能。
本发明的入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流,增强了数据检测的准确性。
本发明的恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的1D-CNN作为训练算法进行判别网络通信数据流是否为恶意通信流,以便在获取网络通信数据流时准确判断其是否为恶意通信流,提高了数据检测的准确性和鲁棒性。
本发明采用重定向转发模块和蜜罐模块,所述蜜罐模块包括高交互蜜罐和低交互蜜罐,设计了一套基于动态蜜罐的防御策略,动态蜜罐是一种模拟攻击环境的技术,通过不断切换虚拟地址和端口来模拟攻击者的行为,在这个过程中,本发明根据检测到的恶意通信流特征,动态调整蜜罐策略,提高了网络入侵的防御效果。
本发明的入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块构成了多层防护体系,在基于动态蜜罐的防御策略中,引入其他如入侵检测、恶意流量检测等安全防护措施,共同应对网络攻击,确保了网络安全。
附图说明
图1是根据一示例性实施例示出的一种基于动态蜜罐的网络安全系统的示意图;
图2是根据一示例性实施例示出的一种基于动态蜜罐的网络安全方法的流程图;
图3是根据一示例性实施例示出的另一种基于动态蜜罐的网络安全方法的流程图;
图4是根据一示例性实施例示出的一种基于动态蜜罐的入侵防护系统架构图;
图5是根据一示例性实施例示出的一种改进后的1D-CNN模型的运行流程图;
图6是根据一示例性实施例示出的一种流量转发流程图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例1
如图1所示,本发明实施例提供了一种基于动态蜜罐的网络安全系统,包括虚拟交换机、入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块,所述蜜罐模块包括高交互蜜罐和低交互蜜罐;所述虚拟交换机用于构建网络安全系统并接入待入侵防护的网络;所述入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;所述恶意流量检测模块,用于判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
作为本实施例一种可能的实现方式,所述蜜罐模块是由高交互蜜罐和低交互蜜罐组成的混合蜜罐系统。
作为本实施例一种可能的实现方式,所述高交互蜜罐为基于真实系统环境构建具有诱饵功能的复杂蜜罐环境;所述低交互蜜罐为使用虚拟仿真软件构建与真实环境隔离的虚拟环境。
作为本实施例一种可能的实现方式,所述蜜罐模块包括若干设置在系统前端的低交互蜜罐和若干设置在系统后端的高交互蜜罐,所述低交互蜜罐的数量远大于高交互蜜罐的数量。
作为本实施例一种可能的实现方式,所述入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流;入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流,增强了数据检测的准确性。
作为本实施例一种可能的实现方式,所述恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的1D-CNN作为训练算法进行判别网络通信数据流是否为恶意通信流。
作为本实施例一种可能的实现方式,所述恶意流量检测模块包括预处理模块、模型优化模块和训练输出模块,所述预处理模块通过对原始数据集进行处理,生成有标记和未标记的数据,其中未标记的数据用于测试,标记的数据用于训练;所述模型优化模块采用小批量随机梯度下降方法对CNN模型进行优化为1D-CNN模型;所述训练输出模块将预处理后的数据和原始保留的未标记数据作为1D-CNN模型的输入进行训练,输出网络通信数据流是否为恶意通信流的预测结果;恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的1D-CNN作为训练算法进行判别网络通信数据流是否为恶意通信流,以便在获取网络通信数据流时准确判断其是否为恶意通信流,提高了数据检测的准确性和鲁棒性。
本发明的入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块构成了多层防护体系,在基于动态蜜罐的防御策略中,引入其他如入侵检测、恶意流量检测等安全防护措施,共同应对网络攻击,确保了网络安全。
本发明提出了一种基于TCP_REPAIR和深度学习的动态安全防御系统,在混合蜜罐的主动防御系统中加入基于深度学习的恶意加密流量识别,准确分配加密或非加密的攻击流量及其变种,弥补了传统混合蜜罐入侵检测系统只能识别未加密流量的缺陷;将正常流量被发送到实际系统,被标记的恶意流量根据攻击过程在混合蜜罐的模式下动态选择蜜罐响应;使用的TCP_REPAIR技术,使得混合蜜罐中低交互作用蜜罐和高交互作用蜜罐之间的切换算法在速度和安全性上都得到了提高,本发明采用基于动态蜜罐的入侵防护措施,大大提高了网络的安全性能。
实施例2
如图2所示,本发明实施例提供了一种基于动态蜜罐的网络安全方法,利用实施例1所述的基于动态蜜罐的网络安全系统进行入侵防护,所述的网络安全方法包括以下步骤:
将虚拟交换机接入待入侵防护的网络,并启动网络安全系统;
入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;
恶意流量检测模块进行判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;
当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
本发明采用重定向转发模块和蜜罐模块,所述蜜罐模块包括高交互蜜罐和低交互蜜罐,设计了一套基于动态蜜罐的防御策略,动态蜜罐是一种模拟攻击环境的技术,通过不断切换虚拟地址和端口来模拟攻击者的行为,在这个过程中,本发明根据检测到的恶意通信流特征,动态调整蜜罐策略,提高了网络入侵的防御效果。
本发明的入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块构成了多层防护体系,在基于动态蜜罐的防御策略中,引入其他如入侵检测、恶意流量检测等安全防护措施,共同应对网络攻击,确保了网络安全。
实施例3
如图3所示,本发明实施例提供了一种基于动态蜜罐的网络安全方法,包括以下步骤:
获取待入侵防护端口的网络通信数据流并进行检测;
判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护。
作为本实施例一种可能的实现方式,所述获取待入侵防护端口的网络通信数据流并进行检测,包括:
获取待入侵防护端口的网络通信数据流;
根据网络通信数据流检测待入侵防护端口和有效负载,如果待入侵防护端口是系统的开放端口,且负载正常,则标记为0;如果网络通信数据流已加密,则转入下一步进行判别网络通信数据流是否为恶意通信流。
作为本实施例一种可能的实现方式,所述判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护,包括:
对网络通信数据流进行检测,如果是正常通信流则直接转发到正常主机,否则判定网络通信数据流为恶意通信流;
将恶意通信流转发到待入侵防护端口对应的低交互蜜罐;
如果恶意通信流攻击深度达到临界点时,则启动重定向转发协议,将原来连接到低交互蜜罐的恶意通信流传输到高交互蜜罐,通过恶意通信流的迁移来实现攻击的捕获和防护。
本发明构成了多层防护体系,在基于动态蜜罐的防御策略中,引入其他如入侵检测、恶意流量检测等安全防护措施,共同应对网络攻击,确保了网络安全。
如图4所示,本发明的网络安全系统主要由入侵检测系统IDS(Snort)和恶意流量检测模块1D-CNN模型、虚拟交换机OVS、真实系统Real System、Ryu控制器(RyuController)、TCP_REPAIR Proxy模块和HFish模块组成。从图4中可以看出,当流量进入系统时,入侵检测系统 IDS(Snort)在虚拟交换机OVS中进行初始流量判别。如果Snort检测到流量正常且加密,则由基于深度学习的恶意流量检测模块1D-CNN对流量进行检测,判断流量是否为恶意流量。如果是正常的,则发送到客户端的正常主机;如果是恶意的,则通过Ryu控制器向下发送。流表将流量转发到HFish创建的低交互蜜罐。当攻击深度达到临界点时,HFish将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,然后使用TCP_REPAIR Proxy将连接切换到高交互蜜罐。
本发明提供了一种基于动态蜜罐的入侵防护系统,其主要包括以下几个部分。
1.HFish模块
HFish模块是由高交互蜜罐(High-Interaction honeypot, HIH)和低交互蜜罐(Low-Interaction honeypot, LIH)组成的混合蜜罐系统。高交互蜜罐通常使用真实系统环境构建,高交互蜜罐HIH包括Telnet、Web和SSH系统三种蜜罐服务,可以方便地构建具有诱饵功能的复杂蜜罐环境;低交互蜜罐通常使用虚拟仿真软件构建,低交互蜜罐LIH包括MYSQL、HTTP、wordPress、Weblogic、SSH 和Webmin系统六种蜜罐服务,这种方法与真实环境隔离,构建简单,成本较低,但由于自身存在虚拟环境,更容易被攻击者发现。混合蜜罐的基本思想是指在前端安排大量低交互的蜜罐,在后端安排少量高交互的蜜罐,通过流量的迁移来实现攻击的捕获和分析。
2.流量识别检测模块
流量识别检测模块主要由入侵检测系统IDS(Snort)和恶意流量检测模块1D-CNN组成。其功能为检测识别通信流,并且对其是否为恶意通信流做出判别。
其中入侵检测系统IDS(Snort) 是实时监控网络传输的网络设备或应用程序。由于随机端口和端口伪装的发展以及流量加密的普及,再加上攻击前端口扫描方法准确率较低,并且通信过程中有效载荷的检测需要对加密的流量进行解密,传统的IDS进行流量分类的方法已经不适用于当前的网络通信。传统的统计方法是用来分析大数据的策略,这通常无法做到实时分析,主要是通过大量的先验知识在流量中进行匹配。行为分析方法是相似的。将这两种方法归纳为特征提取和特征匹配两个过程。在这个阶段,我们利用最先进的特征提取训练技术深度学习应用于当前的流量加密发展现状。深度学习分为无监督学习、半监督学习。由于无监督学习分类的准确率不高,并且获取有监督学习所需的流量特征需要大量的计算能力,因此选择了一种将有标签数据和无标签数据相结合的半监督学习方法。由于CNN主要适用于特征可以出现在任何地方的数据,对象不受翻译和失真的影响,具有较强的局部相关性。交通恰恰符合上述特点。因此,我们选择CNN作为深度学习算法进行训练,基于交通本身是序列数据的事实,我们选择1D-CNN作为训练算法。基于深度学习的加密流量分类的基础上,根据系统中具体的分类任务对原有模型进行了改进。改进后的1D-CNN模型的运行流程如图5所示。从图5可以看出,改进的1D-CNN模型主要包括两部分,即预处理模块和训练输出模块。预处理模块通过对原始数据集进行处理,生成有标记和未标记的数据,其中一部分未标记的数据用于测试,一部分用于训练。由于模型本身的训练过程会产生误差,因此选择小批量随机梯度下降(MBSGD)方法进行模型优化。将最终处理后的数据和原始保留的未标记数据作为1D-CNN模型的输入,模型通过训练输出预测结果。1D-CNN模块用于识别加密恶意流量的性能使用三个主要指标进行测试:准确性,精度和召回率,如公式(1)-(4)所示:
(1)
(2)
(3)
(4)
式中,为准确性,/>为精度,/>为召回率;TP表示预测值和真值均为正的样本数。FP表示预测值为负、实值为正的样本数。FN表示预测值为正、真值为负的样本数,TN表示预测值和真值均为负的样本数。最后,f1-score与准确率和召回率成正比,反映了数据不平衡和误分类问题。这些指标是在4倍上计算的,其平均值被认为是最终的性能评估标准。
3.自定义软件定义网络SDN模块
自定义SDN包括两个主要模块:转发决策引擎和重定向转发引擎(TCP_REPAIRProxy)。主要功能为流量识别、过滤和TCP交换。转发决策引擎主要由入侵检测系统Snort、1D-CNN和Ryu控制器组成。
转发决策引擎:转发决策引擎主要包括四种工作形式。第一种工作形式:首先,通信流到达Snort, Snort检测通信流的端口和有效负载。如果该端口是系统的开放端口,且负载正常,则标记为0。如果已加密,则输入到1D-CNN模块重新测试。如果经过1D-CNN测试,流量正常,则标记0(此时,流量标记为00),则确定该流量为正常流量。该流量由OVS通过Ryu控制器下游流表直接转发到客户端的正常主机,后续流量的负载没有异常。第二种:在第一种的基础上,如果Snort或1D-CNN检测到后续负载异常(即将流量标记为1),则将该流量直接转发到对应服务的高交互蜜罐。第三种:流量首先到达Snort, Snort检测流量的端口和有效负载。如果该端口是系统的开放端口,且负载正常,则标记为0。然后输入到1D-CNN模块再次测试。1D-CNN测试结束后,将异常流量标记为1(此时标记为01),转发到请求端口对应的低交互蜜罐。第四种:在第三种的基础上,如果攻击过程的有效载荷由Snort的msg中的动作确定需要转发到高交互蜜罐,则启动TCP_REPAIR,将原来连接到低交互蜜罐的流量传输到高交互蜜罐。具体流程如图6所示。
重定向转发引擎(TCP_REPAIR proxy):在混合蜜网系统中,低交互蜜罐主要工作在攻击的早期阶段,即网段信息扫描阶段。在扫描探测阶段,攻击者通常不与目标主机建立完整的TCP连接,以避免扫描行为被记录下来。即使使用TCP全连接扫描,也不会与目标主机进行后续数据交换。因此,在一个典型的TCP连接中,经过三次TCP握手后到达的第一个PSH包可以作为连接传输的信号。本系统中智能防火墙的1D_CNN检测加密的恶意流量作为信号进行连接转移,步骤相似。在Linux中,通过TCP_REPAIR模式,在TCP连接的任何阶段进行连接热迁移,从而大大减少了通过底层Linux通信切换过程的时间损失和吞吐量损失。具体连接步骤如下:
步骤1:攻击者通过TCP三次握手与真实系统建立TCP全连接。此时,由于攻击者尚未进行真正的攻击,Ryu控制器将首先拦截攻击者与真实系统之间的三次握手消息,通过OpenFlow 1.5向交换机发送与相关TCP关键字匹配的流规则,记录其中的TCP协商参数,然后Ryu控制器将流表发送给交换机,交换机将连接消息发送给真实系统。三次握手期间的所有TCP消息都被发送到Snort进行检测,警报消息msg被发送到Ryu控制器进行确定。此步骤成功隔离了网络中大量的扫描数据。
步骤2:Ryu控制器收到PSH报文后,首先从报文中提取序列号、应答号、识别号等关键字段,保存连接信息。当Ryu控制器收到来自IDS的警报消息msg“HIH”或当加密流量被1D-CNN标记为“1”时,Ryu控制器启动TCP连接开关。首先,Ryu控制器发送FlowMod,它暂时接管攻击者与真实系统的连接,并通过PacketIn将攻击者的消息输入到Ryu控制器中,以防止真实系统回复(避免进一步的数据泄露)。然后TCP_REPAIR代理创建一个套接字和一个新的普通套接字,以连接到高互动性蜜罐。当Ryu控制器发出“200 OK”确认系统正常时,它使用TCP_REPAIR套接字和Ryu控制器保存的原始TCP_REPAIR套接字,并使用实际系统的参数。当Ryu控制器从TCP_REPAIR Proxy接收到系统就绪的“200 OK”确认时,Ryu控制器将攻击者暂时连接到真实系统。当Ryu控制器收到来自TCP_REPAIR Proxy的“200 OK”确认准备就绪时,它将攻击者和Ryu控制器临时管理的真实系统的数据包通过Packet-Out传递给TCP_REPAIRProxy。TCP_REPAIR代理,通过代理将此连接的后续消息提交到高交互蜜罐,完成连接传输。
本发明提出了一种基于TCP_REPAIR的动态蜜罐选择体系结构与基于深度学习的智能防火墙相结合的动态安全防护系统,通过智能防火墙准确分配加密或非加密的攻击流量及其变种,正常流量被发送到实际系统,被标记的恶意流量根据攻击过程在混合蜜罐的模式下动态选择蜜罐响应。
本发明提出了一种基于TCP_REPAIR和深度学习的动态安全防御系统,首先在混合蜜罐的主动防御系统中加入基于深度学习的恶意加密流量识别,它可以弥补传统混合蜜罐入侵检测系统只能识别未加密流量的缺陷;其次,使用的TCP_REPAIR技术,使得混合蜜罐中低交互作用蜜罐和高交互作用蜜罐之间的切换算法在速度和安全性上都得到了提高,本发明采用基于动态蜜罐的入侵防护措施,大大提高了网络的安全性能。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。
Claims (10)
1.一种基于动态蜜罐的网络安全系统,其特征在于,包括虚拟交换机、入侵检测模块、恶意流量检测模块、Ryu控制器、重定向转发模块和蜜罐模块,所述蜜罐模块包括高交互蜜罐和低交互蜜罐;所述虚拟交换机用于构建网络安全系统并接入待入侵防护的网络;所述入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;所述恶意流量检测模块,用于判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
2.根据权利要求1所述的基于动态蜜罐的网络安全系统,其特征在于,所述蜜罐模块是由高交互蜜罐和低交互蜜罐组成的混合蜜罐系统。
3.根据权利要求1所述的基于动态蜜罐的网络安全系统,其特征在于,所述高交互蜜罐为基于真实系统环境构建具有诱饵功能的复杂蜜罐环境;所述低交互蜜罐为使用虚拟仿真软件构建与真实环境隔离的虚拟环境。
4.根据权利要求1所述的基于动态蜜罐的网络安全系统,其特征在于,所述蜜罐模块包括若干设置在系统前端的低交互蜜罐和若干设置在系统后端的高交互蜜罐,所述低交互蜜罐的数量远大于高交互蜜罐的数量。
5.根据权利要求1所述的基于动态蜜罐的网络安全系统,其特征在于,所述入侵检测模块采用有标签数据和无标签数据相结合的半监督学习方法进行检测识别网络通信数据流;
所述恶意流量检测模块采用在深度学习的加密流量分类的基础上根据分类任务改进的1D-CNN作为训练算法进行判别网络通信数据流是否为恶意通信流。
6.根据权利要求1-5任意一项所述的基于动态蜜罐的网络安全系统,其特征在于,所述恶意流量检测模块包括预处理模块、模型优化模块和训练输出模块,所述预处理模块通过对原始数据集进行处理,生成有标记和未标记的数据,其中未标记的数据用于测试,标记的数据用于训练;所述模型优化模块采用小批量随机梯度下降方法对CNN模型进行优化为1D-CNN模型;所述训练输出模块将预处理后的数据和原始保留的未标记数据作为1D-CNN模型的输入进行训练,输出网络通信数据流是否为恶意通信流的预测结果。
7.一种基于动态蜜罐的网络安全方法,其特征在于,利用如权利要求1-6任意一项所述的基于动态蜜罐的网络安全系统进行入侵防护,所述的网络安全方法包括以下步骤:
将虚拟交换机接入待入侵防护的网络,并启动网络安全系统;
入侵检测模块在虚拟交换机中获取网络通信数据流,如果检测到网络通信数据流正常且加密,则转发给恶意流量检测模块;
恶意流量检测模块进行判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则通过Ryu控制器将正常通信流转发到正常主机,如果网络通信数据流是恶意通信流则通过Ryu控制器发送到低交互蜜罐;
当恶意通信流攻击深度达到临界点时,将定时快照的正常主机副本激活为高交互蜜罐,同时使用随机填充形式覆盖敏感数据,并通过重定向转发模块将连接低交互蜜罐切换到连接高交互蜜罐。
8.一种基于动态蜜罐的网络安全方法,其特征在于,包括以下步骤:
获取待入侵防护端口的网络通信数据流并进行检测;
判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护。
9.根据权利要求8所述的基于动态蜜罐的网络安全方法,其特征在于,所述获取待入侵防护端口的网络通信数据流并进行检测,包括:
获取待入侵防护端口的网络通信数据流;
根据网络通信数据流检测待入侵防护端口和有效负载,如果待入侵防护端口是系统的开放端口,且负载正常,则标记为0;如果网络通信数据流已加密,则转入下一步进行判别网络通信数据流是否为恶意通信流。
10.根据权利要求9所述的基于动态蜜罐的网络安全方法,其特征在于,所述判别网络通信数据流是否为恶意通信流,如果网络通信数据流是正常通信流则进行数据转发,否则基于动态蜜罐的进行网络入侵防护,包括:
对网络通信数据流进行检测,如果是正常通信流则直接转发到正常主机,否则判定网络通信数据流为恶意通信流;
将恶意通信流转发到待入侵防护端口对应的低交互蜜罐;
如果恶意通信流攻击深度达到临界点时,则启动重定向转发协议,将原来连接到低交互蜜罐的恶意通信流传输到高交互蜜罐,通过恶意通信流的迁移来实现攻击的捕获和防护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311322940.8A CN117061256A (zh) | 2023-10-13 | 2023-10-13 | 基于动态蜜罐的网络安全系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311322940.8A CN117061256A (zh) | 2023-10-13 | 2023-10-13 | 基于动态蜜罐的网络安全系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117061256A true CN117061256A (zh) | 2023-11-14 |
Family
ID=88657634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311322940.8A Pending CN117061256A (zh) | 2023-10-13 | 2023-10-13 | 基于动态蜜罐的网络安全系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117061256A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117614742A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113591915A (zh) * | 2021-06-29 | 2021-11-02 | 中国电子科技集团公司第三十研究所 | 基于半监督学习和单分类支持向量机的异常流量识别方法 |
CN116318779A (zh) * | 2022-12-01 | 2023-06-23 | 桂林电子科技大学 | 一种基于热迁移和深度学习的动态安全防御方法及系统 |
-
2023
- 2023-10-13 CN CN202311322940.8A patent/CN117061256A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113591915A (zh) * | 2021-06-29 | 2021-11-02 | 中国电子科技集团公司第三十研究所 | 基于半监督学习和单分类支持向量机的异常流量识别方法 |
CN116318779A (zh) * | 2022-12-01 | 2023-06-23 | 桂林电子科技大学 | 一种基于热迁移和深度学习的动态安全防御方法及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117614742A (zh) * | 2024-01-22 | 2024-02-27 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
CN117614742B (zh) * | 2024-01-22 | 2024-05-07 | 广州大学 | 一种蜜点感知增强的恶意流量检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038906B1 (en) | Network threat validation and monitoring | |
Berk et al. | Using sensor networks and data fusion for early detection of active worms | |
Verba et al. | Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS) | |
CN110224990A (zh) | 一种基于软件定义安全架构的入侵检测系统 | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
CN113422774B (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
Saxena et al. | DDoS attack prevention using collaborative approach for cloud computing | |
CN117061256A (zh) | 基于动态蜜罐的网络安全系统及方法 | |
CN116346418A (zh) | 基于联邦学习的DDoS检测方法及装置 | |
Kakavelakis et al. | Auto-learning of {SMTP}{TCP}{Transport-Layer} Features for Spam and Abusive Message Detection | |
Lin et al. | MECPASS: Distributed denial of service defense architecture for mobile networks | |
CN110912887A (zh) | 一种基于Bro的APT监测系统和方法 | |
CN110753014B (zh) | 基于流量转发的威胁感知方法、设备、装置及存储介质 | |
Webb et al. | Finding proxy users at the service using anomaly detection | |
CN116318779A (zh) | 一种基于热迁移和深度学习的动态安全防御方法及系统 | |
Koganti et al. | Internet worms and its detection | |
Saxena et al. | DDoS prevention using third party auditor in cloud computing | |
RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
Rai et al. | Distributed DoS attack detection and mitigation in software defined network (SDN) | |
Pineda et al. | SDN-based GTP-U traffic analysis for 5G networks | |
Heenan et al. | A survey of Intrusion Detection System technologies | |
Mabsali et al. | Effectiveness of Wireshark Tool for Detecting Attacks and Vulnerabilities in Network Traffic | |
Wu et al. | An SDN-NFV-enabled Honeypot for Manipulating Command & Control Shell TCP Connection | |
Shiue et al. | Countermeasure for detection of honeypot deployment | |
Albadri | Development of a network packet sniffing tool for internet protocol generations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |