本公开提供了一种蜜网部署方法,涉及网络监测以及网络安全技术领域,部署方法包括:采集目标骨干网的IPv6双向流量数据;根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小;根据出入流量大小确定目标骨干网中的活跃网段;在活跃网段部署至少一个类型的蜜罐。基于IPv6蜜罐地址伪装技术,将活跃网段中不存在的网络地址伪装成存活的网络地址,提升对黑客的诱捕能力。本公开还提供一种蜜网部署的处理装置、电子设备及介质。电子设备及介质。电子设备及介质。
【技术实现步骤摘要】
蜜网部署方法、装置、设备及介质
[0001]本公开涉及网络监测以及网络安全
,更具体地,涉及一种蜜网部署方法、装置、设备及介质。
技术介绍
[0002]随着计算机和互联网技术的飞速发展,给人们带来越来越多的应用和服务,而与之相伴的网络安全问题也随之突出。传统的防火墙只是一种防御技术,入侵检测系统只能检测已知类型的攻击和入侵。而蜜罐作为一种新兴的攻击诱骗技术,是一种安全资源,已经在互联网安全威胁检测方向上得到了较为广泛的应用。利用蜜罐技术监控网络恶意行为从而分析网络安全趋势和对攻击行为进行早期预警已成为网络安全领域的一个新研究方向。
[0003]分布式蜜网是在蜜罐基础上逐步发展而来,并融入数据捕获、数据分析和数据控制等工具,按照分布式体系部署由诸多蜜罐及网络所构成的诱骗网络体系,对于保障网络安全具有重要作用。由于攻击者访问的目的IPv6地址大部分可能根本不存在。使得海量的IPv6地址空间让蜜罐很难被攻击者扫描到,增加了捕获攻击者的难度。
[0004]公开内容
[0005](一)要解决的技术问题
[0006]针对现有技术问题,本公开提出一种蜜网部署方法、装置、设备及介质,用于至少部分解决上述技术问题。
[0007](二)技术方案
[0008]根据本公开的第一个方面,提供一种蜜网部署方法,包括:采集目标骨干网的IPv6双向流量数据。根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小。根据出入流量大小确定目标骨干网中的活跃网段;在活跃网段部署至少一个类型的蜜罐,构建蜜网。
[0009]根据本公开的实施例,蜜网部署方法还包括:基于IPv6蜜罐地址伪装技术,将活跃网段中不存在的网络地址伪装成存活的网络地址。
[0010]根据本公开的实施例,采集目标骨干网的IPv6双向流量数据包括:对预设时间内目标骨干网的IPv6双向流量数据进行分段式采集;
[0011]根据本公开的实施例,IPv6双向流量数据确定目标骨干网源AS到目的AS的出入流量大小包括:基于每个分时间段内的IPv6双向流量数据,提取目标骨干网每个分时间段内的源IP、目的IP、网段、源AS、目的AS、出流大小、入流量大小字段。读取字段,计算每个分时间段内源AS到对应目的AS的出入流量大小,统计预设时间内从源AS到对应目的AS的出入总流量大小。
[0012]根据本公开的实施例,根据出入流量大小确定目标骨干网中的活跃网段包括:包括:根据每个分时间段内源AS到对应目的AS的出入流量大小和预设时间内源AS到对应目的AS的出入总流量大小的结果,绘制基于每个分时间段及预设时间内的流量拓扑图。根据流量拓扑图确定预设时间内目标骨干网的活跃网段。
[0013]根据本公开的实施例,在活跃网段部署至少一个类型的蜜罐,构建蜜网包括:部署低交互式蜜罐和安全外壳协议蜜罐,低交互式蜜罐与安全外壳协议蜜罐交互布置。其中,低交互式蜜罐支持IPv6协议,安全外壳协议蜜罐作为低交互式蜜罐的补充,记录安全外壳协议攻击。
[0014]根据本公开的实施例,低交互式蜜罐采用基于docker的低交互式蜜罐系统编译安装,制作docker镜像,保存为基于docker的低交互式蜜罐。安全外壳协议蜜罐在docker中基于对象系统编译安装,制作docker镜像,保存为基于docker的安全外壳协议蜜罐。其中,docker为一个开源的应用容器引擎。
[0015]本公开的第二方面提供一种蜜网部署装置,包括:采集模块,用于采集目标骨干网的IPv6双向流量数据。第一确定模块,用于根据IPv6双向流量数据确定目标骨干网中源AS到对应的目的AS的出入流量大小。第二确定模块,用于根据出入流量大小确定目标骨干网中的活跃网段。部署模块,用于在活跃网段部署至少一个类型的蜜罐,构建蜜网。
[0016]本公开的第三方面提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的方法。
[0017]本公开的第四方面提供一种计算机可读存储介质,存储有计算机可执行指令,指令在被执行时用于实现如上所述的方法。
[0018](三)有益效果
[0019]本公开至少具有以下有益效果:
[0020](1)基于流量拓扑图分析,找出目标骨干网中的活跃网段,在活跃网段部署多个不同的蜜罐,构建分布式的蜜网体系,可以有效的扩大信息采集量和数据的有用性。
[0021](2)基于IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的,实时监测网络的攻击行为,记录攻击的数据流量,进行整体的分析,从而提升网络安全。
附图说明
[0022]通过以下参照附图对本公开实施例的描述,本公开的上述以及其他目的、特征和优点将更为清楚,在附图中:
[0023]图1示意性示出了本公开实施例蜜网部署方法的系统架构100;
[0024]图2示意性示出了本公开实施例蜜网部署方法的流程图;
[0025]图3示意性示出了本公开实施例各AS之间的流量拓扑图;
[0026]图4示意性示出了本公开实施例蜜罐部署方法的流程图;
[0027]图5示意性示出了本公开实施例蜜网部署方法的处理装置的框图;
[0028]图6示意性示出了本公开实施例蜜网部署方法的电子设备的框图。
具体实施方式
[0029]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细
节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0030]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0031]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0032]在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜网部署方法,包括:采集目标骨干网的IPv6双向流量数据;根据所述IPv6双向流量数据确定所述目标骨干网中源AS到对应的目的AS的出入流量大小;根据所述出入流量大小确定所述目标骨干网中的活跃网段;在所述活跃网段部署至少一个类型的蜜罐,构建蜜网。2.根据权利要求1所述的蜜网部署方法,所述蜜网部署方法还包括:基于IPv6蜜罐地址伪装技术,将所述活跃网段中不存在的网络地址伪装成存活的网络地址。3.根据权利要求1或2所述的蜜网部署方法,其中,所述采集目标骨干网的IPv6双向流量数据包括:对预设时间内目标骨干网的IPv6双向流量数据进行分段式采集。4.根据权利要求3所述的蜜网部署方法,其中,所述根据所述IPv6双向流量数据确定所述目标骨干网源AS到目的AS的出入流量大小包括:基于每个分时间段内的IPv6双向流量数据,提取目标骨干网每个分时间段内的源IP、目的IP、网段、源AS、目的AS、出流量大小、入流量大小字段;读取所述字段,计算所述每个分时间段内源AS到对应目的AS的出入流量大小,统计所述预设时间内从源AS到对应目的AS的出入总流量大小。5.根据权利要求4所述的蜜网部署方法,其中,所述根据所述出入流量大小确定所述目标骨干网中的活跃网段包括:根据所述每个分时间段内源AS到对应目的AS的出入流量大小和所述预设时间内源AS到对应目的AS的出入总流量大小的结果,绘制基于所述每个分时间段及所述预设时间内的流量拓扑图;根据所述流量拓扑图确定预设时间内目标骨干网的活跃网段。6....
【专利技术属性】
技术研发人员:李泰琴,邓斌,黄友俊,李星,吴建平,
申请(专利权)人:赛尔网络有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。