2. 专利技术
  3. 一种基于欺骗防御的新型蜜罐系统及方法

一种基于欺骗防御的新型蜜罐系统及方法

专利2025-01-14  13


1.本发明涉及网络安全技术领域,具体而言,涉及一种基于欺骗防御的新型蜜罐系统及方法。


背景技术:

2.蜜罐是一种用于诱捕入侵者的安全资源,其价值在于被探测、攻击或攻陷。蜜罐技术是一种通过虚假的资源诱骗入侵者,从而采集入侵者攻击数据和分析入侵者攻击行为,以达到保护真实主机目标的诱骗技术。即是说,蜜罐是一种预先精心配置的系统,用于欺骗黑客对蜜罐进行攻击和入侵。也就是说,蜜罐存在的意义就在于被入侵,任何与蜜罐的交互行为都可以认为是入侵。因此,通过蜜罐可以采集入侵者攻击数据和分析入侵者攻击行为。
3.在现有技术中,使用的蜜罐技术仅停留在虚拟化层面,由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行。同时,现有技术的蜜罐攻击类别易界定,但攻击身份信息难溯源,因此难以溯源到入侵者的真实身份,缺少威胁处置能力。


技术实现要素:

4.基于此,为了解决现有技术存在的问题,本发明提供了一种基于欺骗防御的新型蜜罐系统及方法,其具体技术方案如下:
5.一种基于欺骗防御的新型蜜罐系统,其包括环境仿真模块、攻击诱导模块以及溯源反制模块。
6.所述环境仿真模块用于构建仿真环境。
7.所述攻击诱导模块用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
8.所述溯源反制模块用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
9.首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
10.其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
11.综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
12.进一步地,所述新型蜜罐系统还包括构建模块。
13.所述构建模块用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令。
14.其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。
15.进一步地,所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序。
16.其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥。
17.进一步地,所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。
18.进一步地,所述反制措施包括web反制、扫描反制以及蜜标反制。
19.一种基于欺骗防御的新型蜜罐方法,其包括如下步骤:
20.s1,构建仿真环境。
21.s2,投放诱饵,获取攻击者访问流量。
22.s3,将访问流量转发至仿真环境。
23.s4,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
24.s5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
25.进一步地,在步骤s3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;
26.其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。
27.进一步地,在步骤s3中,通过网络将访问流量转发至仿真环境。
附图说明
28.从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在不同的视图中,相同的附图标记指定对应的部分。
29.图1是本发明一实施例中一种基于欺骗防御的新型蜜罐系统的整体结构示意图;
30.图2是本发明一实施例中一种基于欺骗防御的新型蜜罐方法的整体流程示意图。
具体实施方式
31.为了使得本发明的目的、技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明。应当理解的是,此处所描述的具体实施方式仅用以解释本发明,并不限定本发明的保护范围。
32.需要说明的是,当元件被称为“固定于”另一个元件,它可以直接在另一个元件上或者也可以存在居中的元件。当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件或者可能同时存在居中元件。本文所使用的术语“垂直的”、“水平的”、“左”、“右”以及类似的表述只是为了说明的目的,并不表示是唯一的实施方式。
33.除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施方式的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
34.本发明中所述“第一”、“第二”不代表具体的数量及顺序,仅仅是用于名称的区分。
35.如图1所示,本发明一实施例中的一种基于欺骗防御的新型蜜罐系统,其包括环境仿真模块、攻击诱导模块以及溯源反制模块。
36.所述环境仿真模块用于构建仿真环境。
37.所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。
38.其中,软件仿真在低交互和中交互的优势为资源占用率低,部署简单和运行高效。容器仿真以高交互为主,其优势为支持应用、服务类高交互仿真。虚拟机仿真以高交互为主,支持设备、主机、系统级软件高交互仿真。
39.所述攻击诱导模块用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
40.所述溯源反制模块用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
41.多重所述反制措施包括web反制、扫描反制以及蜜标反制。
42.其中,web反制是攻击者在浏览网站或者web应用页面时,会下载页面数据、脚本文件在用户本地解析执行、渲染展示。可获取的溯源信息包括:获取攻击者主机操作系统和浏览器的特性信息,包括攻击者主机的操作系统类型、操作系统时区、屏幕分辨率、浏览器指纹、浏览器类型、浏览器版本等信息;通过应用的jsonp漏洞获取攻击者主机上曾经使用过的社交账号、攻击者手机号等个人信息;对攻击者本地端口进行扫描,获取攻击者本机开放端口等数据。
43.扫描反制是攻击者在实施攻击时大多数情况都会使用扫描器或攻击工具,利用扫描对象、扫描器或攻击工具的漏洞可以在攻击者进行扫描或尝试攻击的同时,反向来获取攻击者的身份信息。
44.蜜标反制是蜜标文件多采用攻击者感兴趣的文件类型或文件名称,通过代码捆绑等技术向该文件中嵌入特定数据和代码,通过构造场景引诱攻击者去访问、下载蜜标文件,当攻击者下载并在本地打开蜜标文件时,就会触发内嵌代码,记录并回传攻击主机和攻击者特征信息来实现溯源和反制。
45.首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
46.其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
47.综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
48.在现有技术中,当蜜罐系统被入侵时,往往需要将被入侵的蜜罐系统移出网络并对蜜罐系统中的文件资源进行复制,然后安装在新的一个主机中,以便蜜罐系统能够重新使用。如此一来,当蜜罐系统被攻击者入侵时,将会耗费大量的时间来进行蜜罐系统文件资源的复制以及重新安装。
49.为了解决上述技术问题,在其中一个实施例中,所述新型蜜罐系统还包括构建模
块。
50.所述构建模块用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令。其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。
51.通过设置构建模块,可以在每次蜜罐系统被攻击者入侵时,在原来的主机中构建新的仿真环境,进而创建新的蜜罐系统,以采集入侵者攻击数据和分析入侵者攻击行为。
52.当终端或者主机向外传输加密文件时,若攻击者捕获加密文件并在脱离蜜罐系统环境进行暴力破解,部署在终端或者主机上的蜜罐系统,往往有效捕捉到入侵者的攻击数据以及攻击行为。为了解决这一技术问题,在其中一个实施例中,所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序。
53.其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥。
54.所述捕捉程序在获取解密者输入的解密秘钥后,将所述解密秘钥反馈至终端或者主机。
55.终端或者主机判断解密者输入的解密秘钥与预设的解密秘钥是否一致,若不一致,则判定解密者为疑似攻击者或者入侵者。
56.但解密者在预设时间长度内输入的解密秘钥与预设的解密秘钥不一致的次数大于预设阈值后,终端或者主机则判断解密者为攻击者,并触发报警。设置预设阈值的目的,是为了更好地区分疑似攻击者与真实攻击者。
57.如此一来,通过设置加密诱饵数据包与捕捉程序,即便攻击入侵行为发生在蜜罐系统外,还可以有效采集入侵者攻击数据和分析入侵者攻击行为。
58.在很多时候,非攻击者可能存在忘记部分解密秘钥并尝试多次输入秘钥以对数据包进行解密的情况。如果这个时候,将非攻击者当成疑似攻击者,无疑会降低蜜罐系统的攻击者判断准确度。另外,不同的攻击者,其对解密秘钥的获知程度可能也不相同。
59.若对不同攻击者采用相同的预设阈值,一来,在预设阈值设定过高的情况下,会浪费判断时间,使得攻击者可以对文件进行多次暴力破解,无法及时获取攻击者信息以及攻击行为,二来,在预设阈值设定过低时,虽然可以及时获取攻击者信息以及攻击行为,但可能会将忘记部分解密秘钥并尝试多次输入秘钥以对数据包进行解密的非攻击者判断为真是攻击者。
60.为了解决上述问题,在其中一个实施例中,在解密者输入的解密秘钥与预设的解密秘钥不一致的时候,终端或者主机还计算解密者输入的解密秘钥与预设的解密秘钥之间的相似度,根据相似度的大小判断解密者为疑似攻击者或者入侵者的等级高低。相对而言,相似度越小,解密者为疑似攻击者的等级越高;相似度越大,解密者为疑似攻击者的等级越低。
61.不同的等级,匹配不同的预设阈值。等级越高,预设阈值越小。比如说,相似度在0%-20%时,所述等级设置为五级;相似度在20%-40%时,所述等级设置为四级;在40%-60%时,所述等级设置为三级;在60%-80%时,所述等级设置为二级;在80%-99%时,所述等级设置为一级。
62.通过根据解密者输入的解密秘钥与预设的解密秘钥之间的相似度大小来设定疑似攻击者的等级高低并匹配不同的预设阈值,可以更好地区分非攻击者、疑似攻击者与真
实攻击者,进而及时获取攻击者信息以及攻击行为,提高工作效率。
63.如图2所示,一种基于欺骗防御的新型蜜罐方法,其包括如下步骤:
64.s1,构建仿真环境。
65.s2,投放诱饵,获取攻击者访问流量。
66.s3,将访问流量转发至仿真环境。
67.s4,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产。
68.s5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。
69.其中,在步骤s3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;
70.其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。
71.当然,在步骤s3中,也通过网络将访问流量转发至仿真环境。通过网络将访问流量转发至仿真环境时,需要根据威胁线索,通过动态调整网关设备策略等方式来将异常流量直接导入到仿真环境里。
72.步骤2中诱饵需具备高甜度诱骗能力,其贴合实际防御网络,通过构建多样化的吸引攻击者的脆弱环境和信息,引诱攻击者不断深入蜜罐场景,暴露其动机和技术手段,延缓攻击者时间,从而使防御方牢牢掌握主动权。
73.首先,本发明在使用时,通过投放诱饵,使得入侵者在进入网络后,诱饵主动引诱入侵者进入泥沼中不能自拔,进而提高停留在蜜罐上的时间,以保障后续充足的溯源时间。
74.其次,本发明在使用时,通过多重反制措施,对入侵者的攻击行为以及入侵者的身份进行全面溯源,产生威胁情报,扭转攻防过程中信息不对称的局面,进而保障后续能够对入侵者实施处理。
75.综上所述,本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。
76.以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
77.以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

技术特征:
1.一种基于欺骗防御的新型蜜罐系统,其特征在于,所述新型蜜罐系统包括:环境仿真模块,用于构建仿真环境;攻击诱导模块,用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;溯源反制模块,用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。2.如权利要求1所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述新型蜜罐系统还包括:构建模块,用于在获取到攻击者访问流量时,终止正在被供给的仿真环境并生成构建指令;其中,所述环境仿真模块还用于响应所述构建指令,构建新的仿真环境。3.如权利要求2所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述攻击诱导模块还用于在传输至系统外的网络数据中添加加密诱饵数据包以及捕捉程序;其中,所述加密诱饵数据包与捕捉程序绑定,所述捕捉程序用于响应解密者的解密动作,获取解密者输入的解密秘钥。4.如权利要求3所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述仿真环境为软件仿真环境、容器仿真环境或虚拟机仿真环境。5.如权利要求4所述的一种基于欺骗防御的新型蜜罐系统,其特征在于,所述反制措施包括web反制、扫描反制以及蜜标反制。6.一种基于欺骗防御的新型蜜罐方法,其特征在于,所述新型蜜罐方法包括如下步骤:s1,构建仿真环境;s2,投放诱饵,获取攻击者访问流量;s3,将访问流量转发至仿真环境;s4,给单个主机绑定多个虚拟ip地址,通过在仿真环境里将多个虚拟ip地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;s5,设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。7.如权利要求6所述的一种基于欺骗防御的新型蜜罐方法,其特征在于,在步骤s3中,通过主机将访问流量转发至仿真环境,所述主机上部署有探针软件;其中,所述探针软件用于通过监测客户未使用的网络端口来虚拟真实服务,所述主机通过所述探针软件将试图访问所述网络端口的异常连接请求转发到所述仿真环境。8.如权利要求7所述的一种基于欺骗防御的新型蜜罐方法,其特征在于,在步骤s3中,通过网络将访问流量转发至仿真环境。

技术总结
本发明提供了一种基于欺骗防御的新型蜜罐系统及方法,该新型蜜罐系统包括:环境仿真模块,用于构建仿真环境;攻击诱导模块,用于投放诱饵,获取攻击者访问流量,将访问流量转发至仿真环境,给单个主机绑定多个虚拟IP地址,通过在仿真环境里将多个虚拟IP地址绑定到蜜罐诱捕环境上以批量生成虚拟资产;溯源反制模块,用于设置多重反制措施,对攻击者的攻击行为以及身份进行溯源并产生威胁情报。本发明不仅可以解决现有蜜罐系统由于仿真性不足,导致其无法让入侵者停留时间延长,影响后续工作的进行的问题,还可以解决现有蜜罐系统难以溯源到入侵者的真实身份,缺少威胁处置能力的问题。题。题。


技术研发人员:王煜林 王金恒 吴国良
受保护的技术使用者:广州理工学院
技术研发日:2022.06.15
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-11463.html

专利

最新回复(0)