【技术实现步骤摘要】
一种基于iptables的拟态蜜罐的实现方法及装置
[0001]本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。
技术介绍
[0002]蜜罐技术是在网络攻防双方不对等情况下,防守者通过设置有价值、可利用的虚假目标,将入侵者引入蜜罐,引诱攻击者进行欺骗攻击,达到延迟攻击和暴露攻击者目的,根据攻击手段进行预测和威胁溯源。
[0003]蜜罐核心的能力是诱引攻击者去攻击蜜罐,越是逼真的服务越容易吸引攻击者的攻击,也更加的不容易被识破。但是真的假不了,假的真不了,蜜罐节点最终的宿命还是被攻击者识破。此时蜜罐的任务已经完成,已经吸引了攻击者的火力,拖缓了攻击者对真实资产的攻击。但是固定的蜜罐分布欺骗性有限,使得攻击者对网络结构的探测分析造成的迷惑性有限,如同在水稻田里的假稻草人,只能达到欺骗一次的效果,为更好的实现迷惑攻击者的目的,应该是让攻击者幻化在在拟态防御蜜网内,当攻击者通过定向端口扫描做确定攻击目标时,根据攻击者的目标端口,拟态防御蜜罐就幻化成目标蜜罐。
[00...
【技术保护点】
【技术特征摘要】
1.一种基于iptables的拟态蜜罐的实现方法,其特征在于,包括以下步骤:步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。2.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,步骤3中所述定期为每间隔2秒。3.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。4.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。5.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。6.一...
【专利技术属性】
技术研发人员:彭进,李耀,田骏,张雯,陈思琪,
申请(专利权)人:武汉众邦银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。