本发明涉及网络安全,具体涉及一种基于虚假漏洞的前置蜜庭系统防御系统及方法。
背景技术:
1、随着网络技术的快速发展和互联网的普及,网络安全已经成为世界范围内的热点话题,网络安全攻击的形式日益复杂,传统安全防御技术已经无法满足对新型威胁的检测和响应要求,攻击者可以利用各种漏洞和技术手段发起网络攻击,例如网络钓鱼、ddos攻击、勒索病毒等,这些攻击对于个人和组织的财产和安全都造成了极大的威胁。为了有效地应对这些攻击,安全防御技术也在不断地发展和完善。在传统的安全防御中,常见的防御技术包括入侵检测系统(ids)、入侵防御系统(ips)、网络防火墙、网关等。然而随着攻击技术的不断发展,这些传统的安全防御技术也越来越难以满足新的安全防御需求,攻击者可以利用各种技术手段绕过传统的安全防御措施,对业务系统造成损害,研究新型网络安全保障体系成为推进我国信息化发展的迫切需要。
2、针对以“自卫模式”为主的网络安全保障体系对网络攻击行为存在“拦不住”的问题,基于服务代理的前置蜜庭应运而生,前置蜜庭是一个串联在用户和业务系统之间的前置代理,是一种支持攻击观测和研判的技术,通过前置蜜庭可以对进入系统的流量进行提前观测判别,将正常的流量转发至业务服务,异常流量则重定向至蜜场。蜜场是基于网络靶标的业务仿真平台,可以看作一种支持不同逼真度的蜜罐系统,可以对攻击行为进行全程记录和报文捕获,对0day漏洞及apt等高级攻击与未知威胁进行有效发现,捕获攻击过程。新型的网络安全保障体系通过部署基于服务代理的前置蜜庭,既可以提供虚假服务,让攻击者感觉不到并没有进入真实的业务系统,又可以对攻击者进行访问轨迹研判,形成隐匿攻击判别能力,通过前置蜜庭构建外显相同的服务代理来建立与真实业务系统之间的安全隔离通道,以便消除恶意负载,观察用户行为并进行数据收集,并且构建信任模型和用户ip信誉度判别规则,即对代理服务中的流量、命令、数据、网络连接等行为数据进行检测和收集并上报研判中心。
3、攻击观测功能和流量转发功能皆为前置蜜庭的子模块功能。前置蜜庭的流量转发功能基于反向代理实现,攻击观测功能通过对基于应用层协议的数据包进行内容异常检测和分析,并输出检测结果,对于检测结果为异常的访问行为,前置蜜庭会将其引流至蜜场,蜜场是基于网络靶场的业务仿真平台,可以看作一种支持不同逼真度的蜜罐系统。前置蜜庭部署应用时,一般在需要保护的业务系统前部署前置蜜庭,当检测到恶意攻击流量时,前置蜜庭会将恶意流量重定向至蜜场,蜜场会选择合适的蜜罐来响应攻击者,使用各种手段收集攻击信息,并且分析攻击者的攻击意图。
4、现有技术存在以下缺陷:
5、前置蜜庭的攻击观测功能是采用被动观测方式,其伪装成被保护系统,只有攻击者主动攻击被蜜庭观测到后才会做出响应,缺乏主动诱捕和对攻击的震慑能力,尤其在面对0day漏洞这种不可预知的安全威胁时,无有效手段提前判断形势,只能待事件发生后做应急响应,缺少对攻击者的主动探查能力。
技术实现思路
1、前置蜜庭未能充分发挥其前置代理特点,攻击观测过程中只能被动等待攻击者实施攻击,缺乏主动设置陷阱的能力和对攻击者的主动探查能力,需要多轮次持续观测才有可能发现攻击者,因此,为快速、准确发现攻击者,本发明提供一种基于虚假漏洞的前置蜜庭系统防御系统及方法,通过主动设置虚假漏洞,诱导攻击者主动暴露,使得攻击者因无法判别哪些是陷阱哪些是真实漏洞而不敢轻易对目标进行尝试攻击。
2、为了实现上述目的,本发明提供如下技术方案:一种基于虚假漏洞的前置蜜庭系统防御系统,所述防御系统包括漏洞特征库、注入模块、检测模块、内容异常检测模块和反向代理模块;
3、所述漏洞特征库包含与已知漏洞相关的特征信息,其结构包括漏洞描述、特征模式、虚假信息模板和响应策略;
4、所述注入模块是负责在服务器响应中插入虚假漏洞信息的组件,前置蜜庭在接收到服务节点返回的响应后,注入模块会拦截并解析这些数据包,然后根据漏洞特征库中的虚假信息模板选择合适的内容进行注入;
5、所述检测模块用于监控和分析用户请求,识别攻击者尝试利用虚假漏洞的请求;当前置蜜庭接收到用户的请求时,检测模块会拦截这些请求并进行详细分析,使用漏洞特征库中的特征模式来匹配请求内容;如果发现特征匹配的恶意行为,检测模块将根据预设的响应策略采取行动,将可疑流量重定向至蜜场进行进一步监控和分析、记录相关日志以供安全团队分析或通过黑白名单对其ip进行封禁;
6、所述内容异常检测模块用于对前置蜜庭接收到的请求进行内容异常检测,内容异常检测模块是基于开源web应用防火墙modsecurity进行二次开发,通过基于规则的检测方法,对客户端的请求进行异常检测,被检测为异常的请求会被重定向至蜜场,在蜜场中进一步收集攻击信息并分析攻击者的攻击意图;
7、所述反向代理模块用于流量转发,当用户请求经过前置蜜庭的检测模块、内容异常检测模块处理后,会通过反向代理模块将用户请求转发至业务服务,而业务服务返回的响应信息经过注入模块处理后,会通过反向代理模块将响应信息返回给用户。
8、进一步的,所述漏洞描述提供了漏洞的基本信息,包括漏洞名称、类型及影响的系统或软件版本;
9、所述特征模式包含检测攻击行为的特征,包括恶意输入模式、特定请求参数及异常行为模式;
10、所述虚假信息模板用于生成诱骗攻击者的伪造漏洞信息,包括伪造的错误消息、文件路径;
11、所述响应策略定义了在检测到尝试利用虚假漏洞的请求时系统应采取的行动,包括流量重定向、记录日志、发出警报或通过黑白名单对其ip进行封禁。
12、本发明还提供一种基于虚假漏洞的前置蜜庭系统防御方法,所述防御方法包括以下步骤:
13、当用户请求到达服务节点并返回响应时,前置蜜庭的注入模块会拦截响应数据包,并根据漏洞特征库中的虚假信息模版生成并插入伪造的漏洞信息,虚假漏洞信息嵌入在正常服务响应中,诱导攻击者对虚假漏洞进行攻击,当前置蜜庭收到请求后,检测模块会对这些请求进行监控和分析,利用漏洞特征库中的特征信息来识别是否存在尝试利用虚假漏洞的行为,如果检测到尝试利用虚假漏洞的请求,前置蜜庭会将这些攻击流量重定向至蜜场,并且被内容异常检测模块检测为异常的流量也会被重定向至蜜场,蜜场是基于网络靶场的业务仿真平台,在蜜场中,所有攻击者的操作和尝试都会被详细记录。
14、在上述技术方案中,本发明提供的技术效果和优点:
15、1、本发明中,前置蜜庭可以在响应信息中注入虚假漏洞信息,这些虚假漏洞信息对正常用户透明且无感,不会影响正常用户体验,但能吸引潜在攻击者的注意,诱导攻击者发动攻击,如果有请求尝试利用虚假漏洞,说明一定是攻击者,这种方法能够有效探测攻击者,为改进安全策略和提升防御能力提供宝贵的数据支持;
16、2、本发明中,前置蜜庭具备处理恶意流量的能力,被探测到的攻击者会被引入蜜场进行隔离和处理,前置蜜庭内的内容异常检测模块会对流量进行二次引流,将检测到的恶意流量重定向至蜜场。这一机制增加了网络的安全性,允许网络管理员更灵活地应对新型威胁和攻击。
1.一种基于虚假漏洞的前置蜜庭系统防御系统,其特征在于:所述防御系统包括漏洞特征库、注入模块、检测模块、内容异常检测模块和反向代理模块;
2.根据权利要求1所述的一种基于虚假漏洞的前置蜜庭系统防御系统,其特征在于:所述漏洞描述提供了漏洞的基本信息,包括漏洞名称、类型及影响的系统或软件版本;
3.一种基于虚假漏洞的前置蜜庭系统防御方法,所述防御方法通过权利要求1-2任一项所述的防御系统实现,其特征在于:所述防御方法包括以下步骤:
