一种基于混合式蜜罐的实时入侵防护系统和方法技术方案

本发明专利技术提出一种基于混合式蜜罐的实时入侵防护系统和方法，打破传统基于静态签名机制的入侵检测方法无法检测零日漏洞的弊端，解决传统入侵检测系统无法主动实时地捕获和阻断网络威胁的缺陷，其基本思想是：将低交互蜜罐和高交互蜜罐的优点相结合，设计出一种性能优越的混合式蜜罐诱捕系统；采用虚拟化技术降低蜜罐部署、维护和管理过程中的资源消耗；然后将设计的蜜罐诱捕系统与入侵检测系统组合，对诱捕的流量数据进行实时分析与研判，以动态、实时地感知系统的运行状态。本发明专利技术可以实时地检测系统存在的潜在风险，实现对零日攻击的检测与识别，并将其恶意签名实时写入入侵防护系统，满足入侵检测系统实时性、动态性和对未知攻击检测的需求。攻击检测的需求。攻击检测的需求。

【技术实现步骤摘要】
一种基于混合式蜜罐的实时入侵防护系统和方法


[0001]本专利技术涉及网络安全领域，尤其涉及一种基于混合式蜜罐的实时入侵防护系统和方法。

技术介绍

[0002]自互联网诞生以来，恶意网络入侵变接踵而至，特别是近年来，随着互联网技术的快速普及，网络入侵如洪水般涌来。网络入侵往往在用户未经许可的情况下入侵目标计算机，并在入侵的计算机上安装运行恶意软件、劫持浏览器、窃取敏感数据、恶意搜集用户敏感信息、恶意捆绑软件等恶意行为，对计算机造成不同程度的破坏。近年来，随着攻击技术及工具的泛滥，攻击者可以毫不费力地利用这些公开的工具和技术对信息系统发起攻击，严重侵犯用户合法权益，甚至对社会和国家造成重大经济和安全损失，因此高效地检测并防护网络入侵对于保护网络安全、人民财产及国家稳定具有重要意义。
[0003]为了降低网络入侵对网络环境及用户影响，众多网络入侵检测方法及专利已经被提出。
[0004]申请号为CN101185063A的专利技术专利公开了一种用于使用蜜罐检测和阻击攻击的系统和方法。根据其专利技术的某些实施例，它提供了保护应用程序免受攻击的系统和方法。其专利技术的某些实例中，由异常检测组件从通信网络接收报文。异常检测组件对接收的报文进行监视，并将通信路由到受保护的应用程序或者路由到蜜罐，在那里，蜜罐在受保护的应用程序与该应用程序共享所有的状态信息。如果接收的通信被路由到蜜罐，蜜罐对通信进行监视，以发现攻击。如果发生攻击，则蜜罐修复受保护的应用程序。该专利专利技术的蜜罐系统并未与真实物理网络进行隔离，攻击者很容易通过该蜜罐作为跳板来入侵真实的物理网络。
[0005]申请号为CN107819731A的专利技术专利公开了一种网络安全防护系统及相关方法。所述网络安全防护系统包括：至少一个边界蜜罐和与所述至少一个边界蜜罐连接的蜜网；其中：所述至少一个边界蜜罐位于业务网络中，所述至少一个蜜网与所述业务网络相隔离；所述至少一个边界蜜罐用于诱导攻击者攻击自身并引导所述攻击者进入所连接的蜜网。所述专利技术诱导攻击者攻击边界蜜罐，进一步从边界蜜罐引导进入蜜网，由于蜜网与业务网络相隔离，与现有技术相比，一方面可以通过边界蜜罐和蜜网诱导和欺骗攻击者，不论是已知的攻击方式还是未知的攻击方式，都可以实现更有效的防御，同时拖延攻击者的攻击时间改变攻击者的攻击路径，从而及时地阻断攻击者对正常业务网络的攻击。该专利技术仅能简单回复攻击者的请求报文，蜜罐伪装性较差，攻击者很容易识别出蜜罐响应行为。
[0006]目前，典型的网络入侵检测和防护方法大致分为两种：一种是基于签名机制的被动检测防护方法，另一种是基于蜜罐的主动检测防护方法。其中，基于签名机制的被动检测防护方法侧重于从软件、日志、流量等样本中提取恶意特征来创建恶意签名信息，入侵防护系统通过匹配恶意签名数据库中的恶意指纹信息来阻断网络入侵，但是这类方法只能被动的在网络边界依据预定义的恶意签名数据库过滤恶意流量数据，它无法感知最新的网络威
胁，因此无法防护未知的网络入侵。为了解决基于签名机制的被动检测与防护方法的弊端引出了基于蜜罐的检测防护方法。基于蜜罐的入侵检测与防护方法注重于通过部署高低交互蜜罐系统，以捕获最新的网络入侵方式。然而，低交互蜜罐由于一般不部署真实的应用服务，也不具有完整的操作系统协议栈，因此很容易被攻击者识别，而高交互蜜罐需要真实的物理机或云服务器部署，需要耗费大量的计算资源。本专利技术综合考虑了众多网络入侵检测及防护算法的优点与不足，提出了基于混合式蜜罐的实时入侵防护系统和方法。

技术实现思路

[0007]本专利技术提出一种基于混合式蜜罐的实时入侵防护系统和方法，打破传统基于静态签名机制的入侵检测方法无法检测零日漏洞的弊端，解决传统入侵检测系统无法主动实时地捕获和阻断网络威胁的缺陷，其基本思想是：将低交互蜜罐和高交互蜜罐的优点相结合，设计出一种性能优越的混合式蜜罐诱捕系统；采用虚拟化技术降低蜜罐部署、维护和管理过程中的资源消耗；然后将设计的蜜罐诱捕系统与入侵检测系统组合，对诱捕的流量数据进行实时分析与研判，以动态、实时地感知系统的运行状态。本专利技术可以实时地检测系统存在的潜在风险，能够实现对零日攻击的检测与识别，并将其恶意签名实时写入入侵防护系统，满足入侵检测系统对实时性、动态性和对未知攻击检测的需求。
[0008]为实现上述专利技术目的，本专利技术所提供的技术方案是：
[0009]一种基于混合式蜜罐的入侵防护系统，其特征在于，包括：低交互蜜罐单元、高交互蜜罐单元、会话管理单元、蜜罐数据回传单元、入侵检测单元、入侵防护单元。所述低交互蜜罐单元，使用虚拟机和容器等技术模拟低交互特性的蜜罐节点，实现对简单恶意攻击的捕获；所述高交互蜜罐使用真实物理机或云服务器部署真实的网络服务，以捕获高级的网络攻击行为；所述会话管理单元监控高低交互蜜罐节点的端口和进程使用状态，并管理攻击者与蜜罐的会话过程；所述蜜罐数据回传单元负责实时地将蜜罐节点捕获的攻击行为数据回传至特定服务器保存；所述入侵检测单元负责学习一个自动化模型实现对恶意入侵行为的检测和识别，并创建恶意签名信息；所述入侵防护单元负责入侵防护系统实时同步蜜罐捕获的网络入侵恶意签名信息，使其能够实现对零日恶意入侵的防护。
[0010]进一步地根据所述基于混合式蜜罐的实时入侵防护系统，所述低交互蜜罐单元，利用当前公开、常见的虚拟机或容器技术模拟不同网络通信协议和网络服务，并在模拟的协议和服务中设定一定的漏洞和后门引诱攻击者攻击。所述低交互蜜罐单元仅能模拟预定义的协议和网络服务，一般不部署真实的应用服务，也没有完整的操作系统协议栈。
[0011]进一步地根据所述基于混合式蜜罐的实时入侵防护系统，所述高交互蜜罐单元利用但不限于配备真实操作系统的台式机、服务器、云服务器等组建真实的网络拓扑结构并部署真实的网络服务。不同于所述的低交互蜜罐，高交互蜜罐可以提供真实的网络服务，当攻击者入侵该蜜罐时，蜜罐可以根据攻击者发送的请求数据，向其发送对应的响应数据，可以更有效的迷惑攻击者。所述高交互蜜罐与真实的业务场景是物理隔离的，高交互蜜罐在诱捕攻击行为时，不会对真实的业务系统造成影响。
[0012]进一步地根据所述基于混合式蜜罐的实时入侵防护系统，所述会话管理单元以客户端/服务器方式管理攻击者与蜜罐的会话过程。具体地，每个蜜罐节点可以模拟多个网络服务，会话管理单元负责监听蜜罐节点端口使用情况，并使用多路复用机制控制攻击者与
蜜罐节点的通信进程；负责将扫描、嗅探等低级请求转发到低交互蜜罐，将业务攻击流量转发到高交互蜜罐，记录协议栈信息、源网络地址、源端口、目的网络地址、目的端口、时间戳、使用的设备配置及状态信息在内的会话的属性信息。
[0013]进一步地根据所述基于混合式蜜罐的实时入侵防护系统，为了保证蜜罐节点实时回传捕获的攻击日志数据，所述数据回传单元采用消息队列构建高低交互蜜罐节点与本地内部网络连接，将部署的蜜罐节点捕获的攻击日志数据实时地回传到本地数据库存储，且数据回传操作是由每一个分布式蜜罐节点触发。蜜罐节点和内网主机分别与消息队列服务建本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于混合式蜜罐的实时入侵防护系统，其特征在于，包括：低交互蜜罐单元、高交互蜜罐单元、会话管理单元、蜜罐数据回传单元、入侵检测单元、入侵防护单元。2.根据权利要求1所述的基于混合式蜜罐的实时入侵防护系统，其特征在于，所述低交互蜜罐单元，利用当前公开、常见的虚拟机或容器技术模拟不同网络通信协议和网络服务，并在模拟的协议和服务中设定一定的漏洞和后门引诱攻击者攻击。3.根据权利要求1所述的基于混合式蜜罐的实时入侵防护系统，其特征在于，所述高交互蜜罐单元利用但不限于配备真实操作系统的台式机、服务器、云服务器等组建真实的网络拓扑结构并部署真实的网络服务。所述高交互蜜罐可以提供真实的网络服务，当攻击者入侵该蜜罐时，蜜罐可以根据攻击者发送的请求数据，向其发送对应的应答数据，可以更有效地迷惑攻击者。4.根据权利要求1所述的基于混合式蜜罐的实时入侵防护系统，其特征在于，所述会话管理单元以客户端/服务器方式管理攻击者与蜜罐的会话过程。会话管理单元负责监听蜜罐节点端口占用情况，并使用多路复用机制控制攻击者与蜜罐节点的通信进程；负责将扫描、嗅探等低级请求转发到低交互蜜罐，将业务攻击流量转发到高交互蜜罐，并记录会话的源网络地址、源端口、目的网络地址、目的端口、报文长度、报文内容、时间戳等属性信息。5.根据权利要求1所述的基于混合式蜜罐的实时入侵防护系统，其特征在于，所述数据回传单元采用消息队列构建高低交互蜜罐节点与本地数据库连接，将蜜罐节点捕获的攻击数据实时地回传到本地数据库存储，避免攻击者擦除攻击记录。6.根据权利要求1所述的基于混合式蜜罐的实时入侵防护系统，其特征在于，所述入侵检测单元，利用公开、流行的报文解析工具提取流量特征，然后利用机器学习、...

【专利技术属性】
技术研发人员：张长河，林奇伟，闫翔宇，王剑辉，
申请(专利权)人：北京卫达信息技术有限公司，
类型：发明
国别省市：