一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法技术

本发明专利技术公开了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法，包括如下步骤：步骤1：设计交换设备，组建网桥br0；步骤2：将计算机或者工业控制计算机通过网线连接到交换设备；步骤3：在内网中，交换设备进行ARP Ping存活探测；步骤4：交换设备虚拟出诱饵主机；步骤5：黑客进入内网，进行内网渗透，黑客探测到诱饵主机，并进行攻击；步骤6：抵御黑客或者勒索病毒的攻击。本发明专利技术可以结合基于CPU的交换设备，部署在基于TCP/IP的所有内网系统中，具有广泛的应用前景。

A Defense Method for Detecting and Intercepting Intranet Attack Sources Based on Mass Deployment Decoy Host

【技术实现步骤摘要】
一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
本专利技术涉及计算机网络内网防护领域，具体涉及一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法。
技术介绍
“南北”向流量指由外网流向内网的流量，一般防火墙部署在网络的出口处，用于“南北”向流量的安全防护。“东西”向流量指网络内部服务器彼此相互访问所产生的内部流量，据统计，目前数据中心75％以上的流量为“东西”向流量。无论是窃取私人信息还是破坏他人声誉，无论是摧毁政府关键基础设施还是让企业处于风险之中，当今的网络犯罪分子正在不断试探网络的安全性和适应性的底线。尽管技术的发展，随着计算能力、存储能力的大幅度提升，同时“南北”向流量通过边界安全防护已经得到极大的保护，但是“东西”流量(内部边界)的安全，始终是安全防护最薄弱的地方。近期的勒索病毒、黑客的内网渗透，更是撕开了“东西”向流量防护的缺口，任意攻击破坏，给内网安全带来了极大的风险。(1)传统内网安全防护是采用安全域划分的方式，一般通过划分VLAN/子网的方式进行隔离，并通过防火墙进行控制，这样传统的管理方式带来了以下几个问题：a)主机数量的增加，使得过大的VLAN/子网划分会给攻击者提供较大的攻击范围，一旦有一台主机被控制，东西流量的防护就会彻底奔溃；b)安全域的细分，部署大量的防火墙做内网访问控制，是很难实现的；c)在新增或者改变原有业务的时候，安全人员必须手动修改安全策略，容易造成配置错误；d)网络拓扑体量大了以后，防火墙的配置容易出错；e)0day新发现的安全漏洞的每天更新，导致了传统的防护措施不能及时更新，会导致攻击、病毒大量传播；f)内部人员的外部访问、带来的外部U盘导致外部病毒、木马在内部网络传播无法得到有效的控制。(2)传统的蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。部署蜜罐存在以下无法解决的问题：a)蜜罐技术通过虚拟化技术，需要消耗大量的计算和存储资源，一般产生的蜜罐主机数量有限，一般在10个以内。攻击者进入蜜罐环境的概率很低；b)部署一个蜜罐或蜜网时，保密极为重要。如果攻击者知道这是一个陷阱，除一些自动化的攻击工具(如一些蠕虫)外，攻击者不会尝试攻击它；c)一些低交互性的蜜罐，其模拟的服务，会很容易被攻击者识别出蜜罐的身份。对于一个复杂系统的任何模仿总与真实的系统有不同点；d)如果一个高交互性的蜜罐被破坏或利用，那么攻击者会尝试将它用作一个破坏或控制其它系统的中转跳板；e)由于内网的交换环境是一个完全放行的环境，蜜罐无法快速对内网的攻击者做出快速的拦截措施；因此，需要一种能够解决当前内网东西向流量安全防护问题的方法。
技术实现思路
为了克服现有技术中存在的不足，提供了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法，是一种防止勒索病毒爆发和阻止黑客渗透的攻击发现和安全防护技术，解决了内网中网络攻击难以发现和拦截的问题。为实现上述目的，本专利技术提供了一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法，包括如下步骤：步骤1：设计交换设备，组建网桥br0；步骤2：将计算机或者工业控制计算机通过网线连接到交换设备；步骤3：在内网中，交换设备进行ARPPing存活探测；步骤4：交换设备虚拟出诱饵主机；步骤5：黑客进入内网，进行内网渗透，黑客探测到诱饵主机，并进行攻击；步骤6：抵御黑客或者勒索病毒的攻击。进一步改进，所述的步骤1：设计交换设备，组建网桥br0的具体步骤如下：1)设计一种交换设备，该交换设备上有多个网络接口，每个网络接口连接到网络芯片，每个网络接口均可独立控制；2)网络芯片通过PCI-ESwitch芯片连接到CPU的PCI-E总线；3)交换设备连接有用于安装运行嵌入式操作系统的存储设备；4)在交换设备上面运行一个嵌入式操作系统；5)在嵌入式操作系统中将多个网络接口组成一个网桥br0，并给网桥br0绑定一个内网地址。进一步改进，所述步骤3：在内网中，交换设备进行ARPPing存活探测的具体步骤为：3-1：通过网桥br0的内网地址向整个内网发送ARPPing广播报文；3-2：通过ARPPing判断内网存活的主机，并记录没有存活主机的IP和MAC地址。进一步改进，所述的ARPPing存活探测具体为对整个内网发送ARPPing广播报文，确认内网存活的真实主机IP地址。进一步改进，所述步骤4：交换设备虚拟出诱饵主机的具体步骤为：4-1：在网桥br0上面批量绑定没有存活主机的IP和MAC地址，作为诱饵主机的IP和MAC地址；4-2：在没有存活主机的IP上面开启监听常用网络端口，如22/139/445/1433/1521/3389等常用端口，作为诱饵端口；4-3：交换设备通过CPU和内存在网络里面虚拟产生超过真实主机数量1万台诱饵主机，那么攻击者在进行攻击时，有极大的概率访问到诱饵主机。进一步改进，所述步骤5：黑客进入内网，进行内网渗透，黑客探测到诱饵主机，并进行攻击的具体步骤为：当攻击者访问到诱饵主机的诱饵端口，通过病毒或木马进行攻击，来获取控制权，诱饵主机立即记录攻击者的IP。进一步改进，所述步骤6：抵御黑客或者勒索病毒的攻击的具体步骤为：6-1:在网桥br0上丢弃所有来自于攻击者IP地址的数据包，阻止内网黑客攻击或者勒索病毒的传播；6-2:诱饵主机受到攻击并到达3次以上的攻击次数，诱饵主机会通知交换设备攻击机的IP地址，交换设备会立刻对该黑客攻击主机进行阻断并封锁所有端口，避免攻击主机去攻击其它真实主机或诱饵主机，从而抵御黑客或者勒索病毒的攻击。进一步改进，所述的交换设备为通过CPU、网络芯片和多个网络接口组合而成的工业计算机，该工业计算机包括主板、CPU、DDRIII2G内存、128GSSD存储设备、InterI211AT网络芯片以及电源，组装成该交换设备；该主板包括CPU，与与CPU通过PCI-ESwitch交换芯片相连接的48个RJ45网络接口，1个VGA接口，1个SATA接口，1个mSATA接口，4个USB接口、1个DDR3LSO-DIMMSlot接口以及1个SuperI/O输入端口；所述的48个RJ45网络接口分为多组通过1转3转换插座、1转15转换插座分别对应与网络芯片的多个PCI-E接口相连。进一步改进，所述的SuperI/O输入端口连接2个COM接口。进一步改进，所述网络芯片为IntelCeleronJ1900或其他处理器系统芯片。该交换设备部署在内网中，替代传统的交换机；通过对整个内网发送ARPPING(ARP，AddressResolutionProtocol，是根据IP地址获取物理地址的一个TCP/IP协议)广播报文，确认内网存活的真实主机IP地址；接着，在不存活主机的IP地址中投放大量的虚拟的诱饵主机；该交换设备通过CPU和内存在网络层虚拟出可达真实主机1万倍数量的诱饵主机(比如真实主机100台，诱饵主机为100万台)；诱饵主机有虚拟的IP地址和TCP端口，内部或者外部设备可以PING通并可以访问这本文档来自技高网...

【技术保护点】
1.一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法，其特征在于：包括如下步骤：步骤1：设计交换设备，组建网桥br0；步骤2：将计算机或者工业控制计算机通过网线连接到交换设备；步骤3：在内网中，交换设备进行ARP Ping存活探测；步骤4：交换设备虚拟出诱饵主机；步骤5：黑客进入内网，进行内网渗透，黑客探测到诱饵主机，并进行攻击；步骤6：抵御黑客或者勒索病毒的攻击。

【技术特征摘要】
1.一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法，其特征在于：包括如下步骤：步骤1：设计交换设备，组建网桥br0；步骤2：将计算机或者工业控制计算机通过网线连接到交换设备；步骤3：在内网中，交换设备进行ARPPing存活探测；步骤4：交换设备虚拟出诱饵主机；步骤5：黑客进入内网，进行内网渗透，黑客探测到诱饵主机，并进行攻击；步骤6：抵御黑客或者勒索病毒的攻击。2.根据权利要求1所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法，其特征在于：所述的步骤1的具体步骤如下：1)设计一种交换设备，该交换设备上有多个网络接口，每个网络接口连接到网络芯片；2)网络芯片通过PCI-ESwitch芯片连接到CPU的PCI-E总线；3)交换设备的主板连接有用于安装运行嵌入式操作系统的存储设备；4)在交换设备上面运行一个嵌入式操作系统；5)在嵌入式操作系统中将多个网络接口组成一个网桥br0，并给网桥br0绑定一个内网地址。3.根据权利要求1所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法，其特征在于：所述步骤3的具体步骤为：3-1：通过网桥br0的内网地址向整个内网发送ARPPing广播报文；3-2：通过ARPPing判断内网存活的主机，并记录没有存活主机的IP和MAC地址。4.根据权利要求1所述的基于大量部署诱饵主机探测拦截内网攻击源的防御方法，其特征在于：所述步骤4的具体步骤为：4-1：在网桥br0上面批量绑定没有存活主机的IP和MAC地址，作为诱饵主机的IP和MAC地址；4-2：在没有存活主机的IP上面开启监听常用网络端口，作为诱饵端口；4-3：交换设备通过CPU和内存在网络里面虚拟产生超过真实主机数量...

【专利技术属性】
技术研发人员：卿婷，
申请(专利权)人：江苏极元信息技术有限公司，
类型：发明
国别省市：江苏,32