本发明专利技术提供了一种云蜜罐部署方法、装置及系统,属于通信技术领域。云蜜罐部署系统,包括:部署于内网隔离网段的云蜜罐流量转发客户端,用于将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;部署于外网的域名流量转发服务器,用于设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;云蜜罐矩阵,用于利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。本发明专利技术的技术方案成本低,易于维护扩展且完全隔离客户内网环境。客户内网环境。客户内网环境。
【技术实现步骤摘要】
云蜜罐部署方法、装置及系统
[0001]本专利技术涉及通信
,特别是指一种云蜜罐部署方法、装置及系统。
技术介绍
[0002]现有的技术方案,是将蜜罐部署到内网,占用局域网的部分IP资源,安装蜜罐系统,攻击者渗透到内网后,做横向传播攻击时,进入到蜜罐陷阱中,进行诱捕和溯源,蜜罐类型更多是针对服务类,蠕虫类的。
[0003]现有技术方案的缺点包括:1、需要在目标网络内部部署诱捕节点,节点的选取影响到诱捕的效果,且会对目标网络资源有一定的占用;2、缺少针对诸如APT(高级持续威胁)攻击这样的复杂攻击技术/渗透技术的蜜罐环境设计;3、扩展性和灵活性差,部署后维护成本亦较高。
技术实现思路
[0004]本专利技术要解决的技术问题是提供一种云蜜罐部署方法、装置及系统,成本低,易于维护扩展且完全隔离客户内网环境。
[0005]为解决上述技术问题,本专利技术的实施例提供技术方案如下:
[0006]一方面,提供一种云蜜罐部署系统,包括:
[0007]部署于内网隔离网段的云蜜罐流量转发客户端,用于将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0008]部署于外网的域名流量转发服务器,用于设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0009]云蜜罐矩阵,用于利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。
[0010]一些实施例中,所述流量探针用于接收所述数据流量接口转发的数据流量,将数据流量的标签解包,根据标签的不同,将流量转发至不同的云蜜罐环境。
[0011]一些实施例中,所述流量探针还用于对流量会话进行分析,并将分析结果同步至云蜜罐管理监测平台。
[0012]一些实施例中,所述云蜜罐环境包括以下至少一项:
[0013]网络协议与服务蜜罐;
[0014]数据库服务蜜罐;
[0015]办公环境蜜罐;
[0016]办公主机环境蜜罐;
[0017]访客环境蜜罐;
[0018]会议环境蜜罐。
[0019]一些实施例中,还包括:
[0020]云沙箱,用于将接受和/或释放和/或上传的文件,转交给二进制分析动态沙箱做
二进制层面的动态分析。
[0021]本专利技术实施例还提供了一种云蜜罐部署方法,应用于如上所述的云蜜罐部署系统,所述方法包括:
[0022]云蜜罐流量转发客户端将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0023]域名流量转发服务器设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0024]云蜜罐矩阵利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。
[0025]一些实施例中,还包括:
[0026]所述流量探针接收所述数据流量接口转发的数据流量,将数据流量的标签解包,根据标签的不同,将流量转发至不同的云蜜罐环境。
[0027]一些实施例中,还包括:
[0028]所述流量探针对流量会话进行分析,并将分析结果同步至云蜜罐管理监测平台。
[0029]一些实施例中,还包括:
[0030]云沙箱将接受和/或释放和/或上传的文件,转交给二进制分析动态沙箱做二进制层面的动态分析。
[0031]本专利技术实施例还提供了一种云蜜罐部署装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述处理器执行所述程序时实现如上所述的云蜜罐部署方法。
[0032]一些实施例中,处理器用于将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。
[0033]一些实施例中,处理器还用于接收所述数据流量接口转发的数据流量,将数据流量的标签解包,根据标签的不同,将流量转发至不同的云蜜罐环境。
[0034]一些实施例中,处理器还用于对流量会话进行分析,并将分析结果同步至云蜜罐管理监测平台。
[0035]一些实施例中,处理器还用于将接受和/或释放和/或上传的文件,转交给二进制分析动态沙箱做二进制层面的动态分析。
[0036]本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的云蜜罐部署方法中的步骤。
[0037]本专利技术的实施例具有以下有益效果:
[0038]上述方案中,在客户端(内网/外网)进行轻量级的蜜罐部署,无需在客户环境中部署真实的蜜罐环境,内网仅需要留出空闲IP网段,安装客户端软件即可实现部署;外网只需要在DNS配置上加入CNAME别名配置(若干空闲二级域名)即可。在云端维护一整套云蜜罐系统,成本低,易于维护扩展且完全隔离客户内网环境,无需担心传统蜜罐部署方式下,避免攻击者在内网横向移动过程中通过蜜罐渗透到内网,非常安全可靠。
附图说明
[0039]图1为本专利技术实施例云蜜罐部署系统的结构示意图;
[0040]图2为本专利技术实施例云蜜罐部署装置的组成示意图。
具体实施方式
[0041]为使本专利技术的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0042]本专利技术实施例提供一种云蜜罐部署方法、装置及系统,成本低,易于维护扩展且完全隔离客户内网环境。
[0043]本专利技术的实施例提供一种云蜜罐部署系统,如图1所示,包括:
[0044]部署于内网隔离网段的云蜜罐流量转发客户端,用于将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0045]部署于外网的域名流量转发服务器,用于设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;
[0046]云蜜罐矩阵,用于利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。
[0047]本实施例中,在客户端(内网/外网)进行轻量级的蜜罐部署,无需在客户环境中部署真实的蜜罐环境,内网仅需要留出空闲IP网段,安装客户端软件即可实现部署;外网只需要在DNS(域名系统)配置上加入CNAME别名配置(若干空闲二级域名)即可。在云端维护一整套云蜜罐系统,成本低,易于维护扩展且完全隔离客户内网环境,无需担心传统蜜罐部署方式下,避免攻击者在内网横向移动过程中通过蜜罐渗透到内网,非常安全可靠。
[0048]一些实施例中,所述流量探针用于接收所述数据流量接口本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云蜜罐部署系统,其特征在于,包括:部署于内网隔离网段的云蜜罐流量转发客户端,用于将空闲的内网IP地址分配给蜜罐服务,对内网IP流量打标签后,重定向到云蜜罐矩阵的数据流量接口;部署于外网的域名流量转发服务器,用于设置目标网络二级域名的CNAME值,并对域名的访问流量打标签后,重定向到云蜜罐矩阵的数据流量接口;云蜜罐矩阵,用于利用流量探针接收从数据流量接口转发的数据流量,根据不同的标签将流量转发至不同的云蜜罐环境。2.根据权利要求1所述的云蜜罐部署系统,其特征在于,所述流量探针用于接收所述数据流量接口转发的数据流量,将数据流量的标签解包,根据标签的不同,将流量转发至不同的云蜜罐环境。3.根据权利要求1所述的云蜜罐部署系统,其特征在于,所述流量探针还用于对流量会话进行分析,并将分析结果同步至云蜜罐管理监测平台。4.根据权利要求1所述的云蜜罐部署系统,其特征在于,所述云蜜罐环境包括以下至少一项:网络协议与服务蜜罐;数据库服务蜜罐;办公环境蜜罐;办公主机环境蜜罐;访客环境蜜罐;会议环境蜜罐。5.根据权利要求1所述的云蜜罐部署系统,其特征在于,还包括:云沙箱,用于将接受和/或释放和/或上传的文件,转交给二进制分析动态沙箱做二进制层面的动态分析。6.一种云蜜罐部署方法,其特征在于,应用于如权利要求1
‑
5中任一项所述的云蜜罐部署系统,所述方法包括:云蜜...
【专利技术属性】
技术研发人员:刘海霞,付俊,郭智慧,程叶霞,陈佳科,苏海洋,陈璨璨,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。