本发明专利技术提出了一种基于拟态蜜罐的内网检测系统及方法,系统包括:蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。方法包括以下步骤:当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。调度。调度。
【技术实现步骤摘要】
一种基于拟态蜜罐的内网检测系统及方法
[0001]本专利技术涉及拟态防御领域,尤其涉及一种基于拟态蜜罐的内网检测系统及方法。
技术介绍
[0002]目前,网络攻击的形式趋于多样化,基于传统木马、病毒方式的攻击在网络中已经日渐减少,取而代之的是更隐秘的“渗透攻击”,此种攻击方式往往在用户不知情的状况下,窃取情报、破坏用户系统,对内网安全性影响较大。常用的渗透攻击,往往先从探测内网信息开始,如何增加内网探测的难度,同时又能发现未知手段的渗透攻击,对于提升内网的安全性具有重要意义。
技术实现思路
[0003]为了解决上述问题,有必要提供一种基于拟态蜜罐的内网检测系统及方法。
[0004]本专利技术第一方面提出一种基于拟态蜜罐的内网检测系统,包括:蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。
[0005]基于上述,所述蜜罐采取运行不同的业务、设计不同的系统漏洞、开放不同的端口号进行异构性设计。
[0006]基于上述,所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。
[0007]基于上述,所述操作系统的状态包括文件状态、shell状态、流量状态、内存使用状态和CPU使用状态。
[0008]基于上述,所述蜜罐通过服务器的方式进行实现,每个蜜罐分别通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
[0009]基于上述,所述蜜罐通过虚拟化的方式实现,宿主机通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;其中,第二内网交换机只允许裁决数据流进行转发。
[0010]本专利技术第二方面提出一种基于拟态蜜罐的内网检测方法,应用于所述的基于拟态蜜罐的内网检测系统,包括以下步骤:当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;
蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。
[0011]本专利技术通过在传统内部网络的基础上,引入拟态蜜网,通过蜜罐诱捕内部或外部攻击,同时借助拟态裁决模块,判断蜜罐是否受到了未知攻击,并借助调度模块,发现未知手段的渗透攻击;同时动态改变蜜网的拓扑结构,增强蜜罐的不可测性,提升内网信息窥探的难度。
[0012]本专利技术的附加方面和优点将在下面的描述部分中变得明显,或通过本专利技术的实践了解到。
附图说明
[0013]本专利技术的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:图1示出了本专利技术的系统结构框图。
具体实施方式
[0014]为了能够更清楚地理解本专利技术的上述目的、特征和优点,下面结合附图和具体实施方式对本专利技术进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
[0015]在下面的描述中阐述了很多具体细节以便于充分理解本专利技术,但是,本专利技术还可以采用其他不同于在此描述的其他方式来实施,因此,本专利技术的保护范围并不受下面公开的具体实施例的限制。
[0016]如图1所示,本专利技术提出一种基于拟态蜜罐的内网检测系统,包括:蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;所述蜜罐采取运行不同的业务(应用程序)、设计不同的系统漏洞、开放不同的端口号进行异构性设计;具体的,不同种类的操作系统,用元素O进行表示;同种操作系统具备不同漏洞,用元素D进行表示;不同种类的业务,用元素A进行表示;不同硬件平台的虚假服务器或者PC机组成,用元素H进行表示;蜜罐池以操作系统为基准进行分类组合,window xp操作的蜜罐池集合SXP={S1、S2、S3,
……
,S11,S12,S13,
……
},变换不同的漏洞S1={O1、D1、A1、H1},S2={O1、D2、A1、H1},S3={O1、D3、A1、H1},变换不同的业务S11={O1、D1、A1、H1},S2={O1、D2、A2、H1},S3={O1、D3、A3、H1},同时也可以采取漏洞与业务应用相结合的方式进行组合变换。
[0017]蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;具体的,蜜网与内网之间通过端口隔离的方式进行数据流量隔离,以避免将蜜罐作为跳板对内网中的设备进行攻击。为了增强内网设备的迷惑性,蜜网与内网尽量在同1个VLAN中,保证蜜网中的蜜罐与内网中的设备在同一个网段中,却无法相互通信;正常情况下,蜜网中的蜜罐运行不同的业务,为了通过拟态机理发现未知攻击,此时蜜网中的蜜罐在某个时间段内应具备相同的操作系统,将操作系统的状态作为拟态裁决点;其中,所述操作系统的状态包括文件状态、shell状态、流量状态、内存使用状态和CPU使用状态。
[0018]裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;考虑到目前的渗透攻击以探测操作系统的状态为主,往往通过入侵操作系统,进行业务攻击;在此情况下,以操作系统作为拟态界。蜜网中的蜜罐具有相同的操作系统,同时都接入到内网交换机,内部或者外部的探测扫描经过内网交换机都会传到蜜罐上,在此情况下,还可以省略掉输入代理的设计。
[0019]当拟态蜜罐通过服务器的方式进行实现时,每个蜜罐分别通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;当蜜罐通过虚拟化的方式实现时,宿主机通过第一内网交换机接入内网,通过第二内网交换机连接裁决模块;同时为了保证裁决模块、调度模块的安全性,避免攻击者将蜜罐作为跳板进行攻击,第二内网交换机只允许裁决数据流进行转发。
[0020]调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐;所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。
[0021]基于拟态蜜罐的内网检测方法具体的工作流程:当内网或者外网发起渗透攻击,渗透攻击被引入到蜜网中;蜜网中蜜罐的操作系统环境属性发生变化,当裁决模块检测到变化的蜜罐,通知调度模块对变化的蜜罐进行调度。
[0022]本专利技术中,由于蜜罐往往是由操作系统和应用程序构成的,故操作系统一般选用具备漏洞的操作系统的版本,应用程序选择漏洞百出的开源程序。由于这些漏洞都是已知的漏洞,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于拟态蜜罐的内网检测系统,其特征在于,包括:蜜罐池,包含多个以操作系统为基准进行分类的蜜罐;蜜网,由多个蜜罐组网构成,接入到内网交换机中,以将内网的渗透攻击引入到蜜网中;裁决模块,与蜜网中的蜜罐连接,用于对蜜罐的操作系统的状态进行裁决检测,并将裁决结果发送到调度模块;调度模块,与蜜罐池及蜜网中的蜜罐和裁决模块连接,用于定时从蜜罐池中调度蜜罐到蜜网中,还用于当检测到威胁时,根据裁决信息调度蜜网中蜜罐。2.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述蜜罐采取运行不同的业务、设计不同的系统漏洞、开放不同的端口号进行异构性设计。3.根据权利要求1所述的基于拟态蜜罐的内网检测系统,其特征在于,所述根据裁决信息调度蜜网中蜜罐的调度手段包括:对蜜网中未被裁决出受到攻击的蜜罐进行蜜罐状态改变,或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐,或将蜜网中蜜罐全部下线后上线新的蜜罐。4.根据权利要求1所述的基于拟态蜜罐的...
【专利技术属性】
技术研发人员:吕青松,贺喜卓,郭义伟,冯志峰,张建军,
申请(专利权)人:珠海高凌信息科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。