本发明专利技术公开一种蜜罐隔离装置、系统及方法。其中,该装置包括:引流设备、蜜罐设备和蜜墙设备;所述蜜墙设备与所述蜜罐设备连接,用于接收所述蜜罐设备流出的流量,并与外部局域网互通;所述引流设备与所述蜜墙设备连接,用于与所述蜜墙设备互通。本发明专利技术在引流设备和蜜罐设备之间增加一个蜜墙设备,将蜜罐设备和蜜墙设备直连,蜜罐设备不再对外连接,而是通过蜜墙设备作为代理与外部网络通信,这样,就能从物理上将蜜罐设备所在网络和真实网络进行隔离。解决了现有技术中攻击者直接利用蜜罐设备作为跳板,或者利用虚拟机、容器等逃逸技术,拿到蜜罐设备所在的宿主机的权限,间接利用蜜罐设备作为跳板,以达到攻击网络中其他真实资产的问题。产的问题。产的问题。
【技术实现步骤摘要】
一种蜜罐隔离装置、系统及方法
[0001]本专利技术涉及网络安全
,具体而言,涉及一种蜜罐隔离装置、系统及方法。
技术介绍
[0002]蜜罐技术本质上是一种对攻击方进行欺骗的技术,蜜罐技术一般根据欺骗环境提供的交互程度分为低交互蜜罐与高交互蜜罐,传统的蜜罐装置往往由引流设备和蜜罐设备所组成,引流设备部署在业务网段中,伪装多个诱捕IP和服务,吸引攻击者的注意,一旦攻击者攻击了这些诱捕IP对应的服务,引流设备会将这些攻击者的访问流量转移到后端的蜜罐设备中,形成攻击者和蜜罐之间的交互,从而对攻击者进行欺骗。为了能更好的吸引攻击者,蜜罐设备中一般会放置带有漏洞的高交互蜜罐,高交互蜜罐一般是由真实的装置所组成,因此,当攻击者通过漏洞侵入一台蜜罐后,能拿到蜜罐装置的权限。由于蜜罐设备需要和引流设备发生交互,因此,蜜罐设备需要具备外部网络的IP和外部业务网络连通,从物理上,无法将蜜罐设备和外部业务网络做隔离。有的攻击者利用蜜罐设备和外部网络具有连通性这一特点,攻占蜜罐后,能直接利用蜜罐装置作为跳板,或者利用虚拟机、容器等逃逸技术,拿到蜜罐所在的宿主机的权限,间接利用蜜罐作为跳板,以达到攻击网络中其他真实的资产的目的,因此,高交互蜜罐自身的安全风险较高。
[0003]现有的防跳板技术往往是通过在蜜罐设备宿主机上配置网络限制策略来控制攻击者进到蜜罐后,拿蜜罐作为跳板外联,但一旦攻击者有能力通过逃逸技术,拿到蜜罐所在宿主机的权限,往往可以去除宿主机上的限制,继续外联攻击。虽然目前也会有一些通过已有的逃逸漏洞所形成防逃逸的方案,但攻击者的手段无法事先预知,依然存在比较大的风险。
[0004]针对现有技术中攻击者直接利用蜜罐设备作为跳板,或者利用虚拟机、容器等逃逸技术,拿到蜜罐设备所在的宿主机的权限,间接利用蜜罐设备作为跳板,以达到攻击网络中其他真实资产的问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本专利技术实施例中提供一种蜜罐隔离装置、系统及方法,以解决现有技术中攻击者直接利用蜜罐设备作为跳板,或者利用虚拟机、容器等逃逸技术,拿到蜜罐设备所在的宿主机的权限,间接利用蜜罐设备作为跳板,以达到攻击网络中其他真实资产的问题。
[0006]为达到上述目的,一方面,本专利技术提供了一种蜜罐隔离装置,该装置包括:引流设备、蜜罐设备和蜜墙设备;所述蜜墙设备与所述蜜罐设备连接,用于接收所述蜜罐设备流出的流量,并与外部局域网互通;所述引流设备与所述蜜墙设备连接,用于与所述蜜墙设备互通。
[0007]可选的,于所述蜜罐设备上设置有第一连接接口,于所述蜜墙设备上设置有第二连接接口;设置有第一私有IP地址的所述第一连接接口与设置有第二私有IP地址的所述第二连接接口连接,所述第二私有IP地址与所述第一私有IP地址位于同一网段。
[0008]可选的,所述蜜墙设备包括:代理模块,用于将外部流量转发给所述蜜罐设备;检测模块,用于检测外来流量是否来自所述蜜罐设备,并检测从所述蜜罐设备流出的流量是否合法,以及将合法流量转发到外部局域网。
[0009]可选的,所述蜜墙设备还包括:处置模块;所述处置模块与所述检测模块连接,用于对所述检测模块检测的流量进行处置并转发到外部局域网。
[0010]可选的,所述蜜墙设备还包括:配置模块;所述配置模块与所述代理模块连接,用于根据第一配置规则配置所述代理模块,以使所述代理模块将外部流量转发给所述蜜罐设备;所述配置模块与所述检测模块连接,用于根据第二配置规则配置所述检测模块,以使所述检测模块检测从蜜罐设备流出的流量是否为合法流量,并将所述流量通过所述处置模块进行处置。
[0011]另一方面,本专利技术提供了一种蜜罐隔离方法,所述蜜罐隔离方法应用于上述的蜜罐隔离装置上,所述蜜罐隔离方法包括:获取流量,对获取的所述流量进行解析,得到源IP地址和包头信息;根据所述源IP地址和包头信息,判断所述流量是否为可放行流量,若是,将所述流量进行放行,若否,将所述流量进行阻断。
[0012]可选的,所述根据所述源IP地址和包头信息,判断所述流量是否为可放行流量包括:将所述源IP地址与蜜罐设备的私有IP地址进行比较,根据比较结果判断所述流量是否来自所述蜜罐设备;若是,根据所述包头信息判断所述流量是否为所述蜜罐设备主动对外建立连接的请求包;当判断所述流量是所述蜜罐设备主动对外建立连接的请求包时,判断所述流量的目的地址和目的端口是否在放行白名单中,若是,将所述流量进行放行。
[0013]可选的,所述将所述源IP地址与蜜罐设备的私有IP地址进行比较,根据比较结果判断所述流量是否来自所述蜜罐设备包括:当所述源IP地址与蜜罐设备的私有IP地址相等时,认为所述流量来自所述蜜罐设备;当所述源IP地址与蜜罐设备的私有IP地址不等时,认为所述流量为外部流量,将所述流量进行放行。
[0014]可选的,所述根据所述包头信息判断所述流量是否为所述蜜罐设备主动对外建立连接的请求包包括:当判断所述流量不是所述蜜罐设备主动对外建立连接的请求包时,将所述流量进行放行;当判断所述流量是所述蜜罐设备主动对外建立连接的请求包时,判断所述流量的目的地址和目的端口是否在放行白名单中;当判断所述流量的目的地址和目的端口是在放行白名单中时,认为所述流量为合法流量,将所述流量进行放行;当判断所述流量的目的地址和目的端口不是在放行白名单中时,认为所述流量为非合法流量,将所述流量进行阻断。
[0015]另一方面,本专利技术还提供了一种蜜罐隔离系统,包括上述的蜜罐隔离装置。
[0016]本专利技术的有益效果:
[0017]本专利技术提供了一种蜜罐隔离装置,该装置包括:引流设备、蜜罐设备和蜜墙设备;所述蜜墙设备与所述蜜罐设备连接,用于接收所述蜜罐设备流出的流量,并与外部局域网互通;所述引流设备与所述蜜墙设备连接,用于与所述蜜墙设备互通。本专利技术在传统的引流设备和蜜罐设备之间增加一个蜜墙设备,将蜜罐设备和蜜墙设备直连,蜜罐设备不再对外连接,而是通过蜜墙设备作为代理与外部网络通信,这样,就能从物理上将蜜罐设备所在网络和真实网络进行隔离,当蜜罐设备被恶意攻击或者访问时,既能捕获攻击者的行为,了解攻击意图和手法。又能够将攻击者隔离在蜜罐网络中,无法通过蜜罐设备作为跳板攻击真
实资产,从而有效地提高了其安全性。
附图说明
[0018]图1是本专利技术实施例提供的一种蜜罐隔离装置的结构示意图;
[0019]图2是本专利技术实施例提供的蜜墙设备的结构示意图;
[0020]图3是本专利技术实施例提供的一种蜜罐隔离方法的流程图;
[0021]图4是本专利技术实施例提供的判断流量是否为可放行流量的流程图;
[0022]图5是本专利技术实施例提供的判断流量是否来自蜜罐设备的流程图;
[0023]图6是本专利技术实施例提供的判断流量是否为蜜罐设备主动对外建立连接的请求包的流程图。
[0024]符号说明:
[0025]引流设备
‑
101,蜜墙设备
‑
102,蜜罐设本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜罐隔离装置,其特征在于,包括:引流设备、蜜罐设备和蜜墙设备;所述蜜墙设备与所述蜜罐设备连接,用于接收所述蜜罐设备流出的流量,并与外部局域网互通;所述引流设备与所述蜜墙设备连接,用于与所述蜜墙设备互通。2.根据权利要求1所述的装置,其特征在于:于所述蜜罐设备上设置有第一连接接口,于所述蜜墙设备上设置有第二连接接口;设置有第一私有IP地址的所述第一连接接口与设置有第二私有IP地址的所述第二连接接口连接,所述第二私有IP地址与所述第一私有IP地址位于同一网段。3.根据权利要求1所述的装置,其特征在于,所述蜜墙设备包括:代理模块,用于将外部流量转发给所述蜜罐设备;检测模块,用于检测外来流量是否来自所述蜜罐设备,并检测从所述蜜罐设备流出的流量是否合法,以及将合法流量转发到外部局域网。4.根据权利要求3所述的装置,其特征在于:所述蜜墙设备还包括:处置模块;所述处置模块与所述检测模块连接,用于对所述检测模块检测的流量进行处置并转发到外部局域网。5.根据权利要求4所述的装置,其特征在于:所述蜜墙设备还包括:配置模块;所述配置模块与所述代理模块连接,用于根据第一配置规则配置所述代理模块,以使所述代理模块将外部流量转发给所述蜜罐设备;所述配置模块与所述检测模块连接,用于根据第二配置规则配置所述检测模块,以使所述检测模块检测从蜜罐设备流出的流量是否为合法流量,并将所述流量通过所述处置模块进行处置。6.一种蜜罐隔离方法,其特征在于:所述蜜罐隔离方法应用于权1至权5任一项所述的蜜罐隔离装置中,所述蜜罐隔离方法包括:获取流量,对获取的所述流量进行解析,得到源IP地址和包头信息;根据所述源IP地址和包头信息,判断所述流量是否为可放行...
【专利技术属性】
技术研发人员:达盼飞,李明蕊,郑力达,王文君,
申请(专利权)人:上海观安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。