本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。主要方案包括当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;“感知模块”监听TCP 30000端口进行访问流量进行统计和记录;然后流量转发根据统计选择最精确目标蜜罐对应到攻击者的目标;流量转发模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐。发到对应目标蜜罐。发到对应目标蜜罐。
【技术实现步骤摘要】
一种基于iptables的拟态蜜罐的实现方法及装置
[0001]本技术应用于网络安全领域的欺骗防御范畴中。提供了一种基于iptables的拟态蜜罐的实现方法及装置。
技术介绍
[0002]蜜罐技术是在网络攻防双方不对等情况下,防守者通过设置有价值、可利用的虚假目标,将入侵者引入蜜罐,引诱攻击者进行欺骗攻击,达到延迟攻击和暴露攻击者目的,根据攻击手段进行预测和威胁溯源。
[0003]蜜罐核心的能力是诱引攻击者去攻击蜜罐,越是逼真的服务越容易吸引攻击者的攻击,也更加的不容易被识破。但是真的假不了,假的真不了,蜜罐节点最终的宿命还是被攻击者识破。此时蜜罐的任务已经完成,已经吸引了攻击者的火力,拖缓了攻击者对真实资产的攻击。但是固定的蜜罐分布欺骗性有限,使得攻击者对网络结构的探测分析造成的迷惑性有限,如同在水稻田里的假稻草人,只能达到欺骗一次的效果,为更好的实现迷惑攻击者的目的,应该是让攻击者幻化在在拟态防御蜜网内,当攻击者通过定向端口扫描做确定攻击目标时,根据攻击者的目标端口,拟态防御蜜罐就幻化成目标蜜罐。
[0004]此专利是一种基于虚拟机全端口NAT及流量转发的技术配合实现的拟态蜜罐技术。此专利中描述的技术点能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
技术实现思路
[0005]本专利技术的目的在于能够在生产网络中根据攻击者的攻击意图幻化出变幻莫测的节点环境,混淆攻击者的情报收集及环境分析能力,最终达到延缓攻击和欺骗的目的。
[0006]为了实现上述目的,本专利技术采用以下技术方案:
[0007]一种基于iptables的拟态蜜罐的实现方法,包括以下步骤:
[0008]步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
[0009]步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
[0010]步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
[0011]步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;
[0012]步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,
结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
[0013]步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
[0014]上述技术方案中,步骤3中所述定期为每间隔2秒。
[0015]上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
[0016]上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
[0017]上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
[0018]本专利技术还提供了一种基于iptables的拟态蜜罐的实现装置,包括以下步骤:
[0019]意图确认模块:当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;
[0020]重定向模块、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;
[0021]统计和记录模块、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;
[0022]感知模块:根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则通知拟态防御蜜罐进行“流量转发”模块操作;
[0023]流量转发:模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;
[0024]自适应切换模块、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。
[0025]上述技术方案中,所述定期为每间隔2秒。
[0026]上述技术方案中,n分钟内为3分钟内,总数高于m次为总数高于5次。
[0027]上述技术方案中,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。
[0028]上述技术方案中,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。
[0029]因为本专利技术采用上述技术方案,因此具备以下有益效果:
[0030]1、通过iptables
‑
t nat
‑
A PREROUTING
‑
i eth0
‑
p tcp
‑
m tcp
‑‑
dport 1:65535
‑
j REDIRECT
‑‑
to
‑
ports 30000重定向命令网卡将目的端口流量转发至30000端口,并提供到感知模块分析、决策。
[0031]2、感知模块监听拟态防御蜜罐的TCP 30000端口,并通过getsockopt(fd,SOL_IP,SO_ORIGINAL_DST,)函数获取到攻击者攻击拟态防御蜜罐的目标端口。
[0032]3、“感知模块”对每个端口的访问总数在内存中进行记录,并定期(每隔2秒)对每端口3分钟内的目标端口访问总数进行统计
[0033]4、“感知模块”根据攻击者定向扫描拟态防御蜜罐时,感知攻击者对目标端口的访问总数,当目标端口的访问总数高于5次(阈值),则感知模块通知拟态蜜罐进行自适应切换
操作
[0034]5、假设“感知模块”发现攻击者在对TCP 22服务端口进行定向扫描时。攻击总数达到阈值(如3分钟5次),则告知“流量转发”模块
[0035]6、流量转发模块会通过Socket程序开启TCP22服务端监听程序,同时通过iptable命令删除原端口映射关系规则。...
【技术保护点】
【技术特征摘要】
1.一种基于iptables的拟态蜜罐的实现方法,其特征在于,包括以下步骤:步骤1、当攻击者对拟态防御蜜罐采用定向端口和漏洞扫描时,拟态防御蜜罐通过iptables进行目的端口识别;步骤2、拟态防御蜜罐根据iptables重定向技术,将目的端口全部映射到拟态蜜罐的30000端口;步骤3、拟态防御蜜罐“感知模块”监听TCP 30000端口,可以识别攻击拟态防御蜜罐的TCP目的端口流量,“感知模块”对每个端口的访问总数在内存中进行记录,并定期对每端口n分钟内的访问流量进行统计和记录;步骤4、“感知模块”根据攻击者对目标端口的访问总数,当端口的访问总数高于m次,则“感知模块”通知拟态防御蜜罐进行“流量转发”模块操作;步骤5、当“流量转发”模块运行时,流量转发模块将会根据攻击者的攻击目标在拟态防御蜜罐上开启目标端口的监听,并告知“iptables模块”取消相关端口的映射,同时拟态蜜罐会对生产业务服务器区域进行Nmap资产扫描,并经Nmap扫描资产信息存入数据库,结合拟态防御部署环境信息,选择最精确目标蜜罐对应到攻击者的目标;步骤6、拟态防御蜜罐“流量转发”模块进行流量转发工作,将攻击者流量从拟态蜜罐并流量转发到对应目标蜜罐,实现拟态防御蜜罐自适应切换。2.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,步骤3中所述定期为每间隔2秒。3.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,n分钟内为3分钟内,总数高于m次为总数高于5次。4.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,拟态防御部署环境包括业务区域、互联网DMZ区域、管理区域。5.根据权利要求1所述的一种基于iptables的拟态蜜罐的实现方法,其特征在于,需要进行SSH爆破,则会对22端口扫描,需要对Mysql服务器攻击时,需要确定服务器开启3306端口。6.一...
【专利技术属性】
技术研发人员:彭进,李耀,田骏,张雯,陈思琪,
申请(专利权)人:武汉众邦银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。