一种基于蜜网主动溯源方法技术

本发明专利技术公开了一种基于蜜网主动溯源方法，通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息。该主动溯源方法包括：S1、创建沙箱，采用KVM内嵌Docker模式的安全架构，利用Docker运行时沙箱技术提供隔离边界，实现防逃逸；S2、通过流量感知分析和前端行为追踪脚本来获取攻击者的攻击意图、实体行为和攻击载荷，更高效地捕获0day；S3、通过高仿真蜜罐吸引攻击者，利用浏览器指纹识别技术，从海量信息中筛选出真人攻击；S4、利用jsonp技术获取攻击者ID信息。击者ID信息。击者ID信息。

【技术实现步骤摘要】
一种基于蜜网主动溯源方法


[0001]本专利技术涉及欺骗防御
，具体为一种基于蜜网的主动溯源方法。

技术介绍

[0002]随着信息化时代的发展，网络霸权主义对世界和平与发展构成威胁网络空间安全面临的形势持续复杂多变，大规模针对性网络攻击行为增加，安全漏洞、木马、数据泄露等风险增加，世界主要国家和地区不断推出关键信息基础设施保护、数据安全等方面法律法规和政策，积极探索新型网络安全技术以提升网络风险防范能力，从而加强网络安全保障体系和能力建设。
[0003]当前主流安全防御体系仍然以防火墙等传统安全设备组成，在大型攻防演练中已难以应对0day漏洞攻击方式，使得“攻防不对等”现象越来越严重。而强化全场景技防体系企业维护网络安全一个的重要工作，针对企业的网络的全面安全性显得尤为重要。
[0004]该专利技术提出了一种基于蜜网的主动溯源方法，其通过通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息，此专利技术中提出的解决方案存在一定的局限性：一、指纹信息在行业内被使用得较多，容易被识别；二、企业存在大量的敏感信息，蜜罐根据业务场景进行高仿真，容易被攻击者突破，存在较高的安全风险。

技术实现思路

[0005]（一）解决的技术问题针对现有技术的不足，本专利技术提供了一种基于蜜网的主动溯源方法，为企业搭建高甜度动态欺骗蜜罐环境，在攻击者攻击路径上撒播诱饵，精准感知攻击者行为，主动捕获攻击者信息，形成攻击情报，从而保障企业安全性。
[0006]（二）技术方案为实现上述目的，本专利技术提供如下技术方案：一种基于蜜网的主动溯源方法，为企业搭建高甜度动态欺骗蜜罐环境，通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息，所述安全防护方法包括：S1、采用KVM内嵌Docker模式的安全架构，利用Docker运行时沙箱技术提供隔离边界，实现防逃逸；S2、通过流量感知分析和前端行为追踪脚本来获取攻击者的攻击意图、实体行为和攻击载荷，更高效地捕获0day；S3、通过高仿真蜜罐吸引攻击者，利用浏览器指纹识别技术，从海量信息中筛选出真人攻击；S4、基于jsonp技术获取攻击者ID信息。
[0007]优选的，所述S1中创建沙箱时对安全架构做了更深层次的安全性限制，其中包括：
1）采用虚拟化的KVM内嵌Docker架构模式，虚拟机运行在传统操作系统上，创建硬件全仿真实例。该架构运行在基础操作系统上，构建出一整套虚拟硬件平台，根据需要安装新的操作系统和应用软件，在根本上杜绝了虚拟化逃逸的情况发生。
[0008]2）在进程运行上，沙箱内部的权限程序运行在KVM虚拟机内的Docker容器中，和蜜罐自身的控制进程进行隔离。当Docker沙箱被攻击者攻破时，攻击者运行的恶意进程与蜜罐自身进程处于不同的资源空间中，且上层还有KVM进行二次保护，无法对蜜罐系统安全构成影响。
[0009]3）蜜罐从宿主机上和Docker沙箱上都进行了网络IO限制，沙箱作为仿真，只能被外部程序访问，而不能对外部发起请求，且整个蜜网环境与业务区域通过防火墙进行隔离，只进不出，从而保证了业务网络的安全。
[0010]4）采用容器运行时沙箱，容器所有对内核的调用均通过运行用户程序进行调用，运用独立的内核网络栈来处理应用进程请求，从根本上防止容器内核级逃逸漏洞发生。
[0011]优选的，所述S2中当攻击者对蜜罐发起攻击产生攻击流量时，对攻击流量中内容数据进行提取，通过各个协议的元数据或者载荷中的字段或者字段的值来分离数据包，通过对数据包的内容进行快速搜索，搜索到关键词、字符串，从所捕获到的数据包中提取出协议字段中的数据，对提取出的数据进行筛选分类，对其中的日志数据和告警数据进行分析。
[0012]优选的，所述S2中通过跟踪攻击者在高仿真蜜罐界面的请求行为，获取攻击者的攻击意图和实体行为、攻击载荷。
[0013]优选的，所述S2通过分析从而判别攻击是否为0day，主要步骤包括：步骤一：对安全设备所感知到的攻击流量进行分析，追踪攻击者的前端行为脚本进行分析；步骤二：当攻击者利用所挖到的漏洞对蜜罐进行攻击时，对其攻击方式进行捕获并分析，并将其漏洞与各大平台漏洞裤进行过比对，若未存在相似漏洞，则判定为0day漏洞。
[0014]优选的，所述S3当攻击者访问蜜罐界面时，浏览器引擎就会加载出批量信息，并将攻击者相关信息整合在一起，当加载这些信息时会出现大批量信息，通过算法匹配攻击者信息从而从海量攻击者信息中筛选出真人攻击者，从而获取有效信息。
[0015]优选的，所述在S4中对包含jsonp请求的js脚本进行加密，当攻击者通过该浏览器访问蜜罐界面时就会自动加载该js脚本，触发到jsonp请求。此时js脚本就会拿到响应数据中的用户数据，最后js脚本请求后端接口数据入库，也就是说，当攻击者使用浏览器访问蜜罐页面，且有登录痕迹，浏览器的缓存中就存在网站cookie信息，蜜罐就会利用jsonp技术来获取攻击者的个人信息，包括社交网站的账号ID、手机号等信息。
[0016]本专利技术还提供了一种基于蜜网主动溯源系统，系统包括：数据层、技术层、功能层和展示层，所述数据层包含有RabbitMQ、Redis、Syslog、Logstash、MySQL；所述技术层包含有攻击链取证、溯源反制、动态仿真、威肋捕获；所述功能层包含有威胁捕获、蜜网管理、流量分析、诱饵管理、系统配置；所述展示层包含有态势大屏、ATT&CK、数据展示、攻击者画像。
[0017]（三）有益效果与现有技术相比，本专利技术提供了一种基于蜜网的主动溯源方法，具备以下有益效
果：该方法中提出为搭建高甜度动态欺骗蜜罐环境，通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息。创建高仿真蜜罐，采用KVM内嵌Docker模式的安全架构，利用Docker运行时沙箱技术提供隔离边界，实现防逃逸，进一步增强企业全网安全性；通过流量感知分析和前端行为追踪脚本来获取攻击者的攻击意图、实体行为和攻击载荷，更高效地捕获0day；利用蜜罐吸引攻击者，利用浏览器指纹识别技术，从海量信息中筛选出真人攻击，并基于jsonp技术获取攻击者信息。
附图说明
[0018]图1为本专利技术步骤示意图；图2为本专利技术结构展示图;图3为本专利技术安全架构示意图。
具体实施方式
[0019]为了更好地了解本专利技术的目的、结构及功能，下面结合附图，对本专利技术一种基于蜜网的主动溯源方法做进一步详细的描述。
[0020]请参阅图1
‑
3，本专利技术：一种基于蜜网主动溯源方法，为企业搭建高甜度动态欺骗蜜罐环境，通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息。溯源方法包括：S1、创建沙箱，采用KVM内嵌Docker模式的安全架构，利用Docker运行时沙箱技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于蜜网主动溯源方法，其特征在于：通过部署蜜网，撒播诱饵，制造陷阱，混淆攻击者攻击目标，精确感知攻击者行为，并了解攻击意图，溯源攻击者信息，所述安全防护方法步骤包括：S1、创建沙箱，采用KVM内嵌Docker模式的安全架构，利用Docker运行时沙箱技术提供隔离边界，实现防逃逸；S2、通过流量感知分析和前端行为追踪脚本来获取攻击者的攻击意图、实体行为和攻击载荷，更高效地捕获0day；S3、通过高仿真蜜罐吸引攻击者，利用浏览器指纹识别技术，从海量信息中筛选出真人攻击；S4、基于jsonp技术获取攻击者ID信息。2.根据权利要求1所述的一种基于蜜网主动溯源方法，其特征在于：所述S1中创建沙箱时对安全架构做了更深层次的安全性限制，其中包括：1）采用虚拟化的KVM内嵌Docker架构模式，虚拟机运行在传统操作系统上，创建硬件全仿真实例，该架构运行在基础操作系统上，构建出一整套虚拟硬件平台，根据需要安装新的操作系统和应用软件，在根本上杜绝了虚拟化逃逸的情况发生；2）在进程运行上，沙箱内部的权限程序运行在KVM虚拟机内的Docker容器中，和蜜罐自身的控制进程进行隔离，当Docker沙箱被攻击者攻破时，攻击者运行的恶意进程与蜜罐自身进程处于不同的资源空间中，且上层还有KVM进行二次保护，无法对蜜罐系统安全构成影响；3）蜜罐从宿主机上和Docker沙箱上都进行了网络IO限制，沙箱作为仿真，只能被外部程序访问，而不能对外部发起请求，且整个蜜网环境与业务区域通过防火墙进行隔离，只进不出，从而保证了业务网络的安全；4）采用容器运行时沙箱，容器所有对内核的调用均通过运行用户程序进行调用，运用独立的内核网络栈来处理应用进程请求，从根本上防止容器内核级逃逸漏洞发生。3.根据权利要求2所述的一种基于蜜网主动溯源方法，其特征在于：所述S2中当攻击者对蜜罐发起攻击产生攻击流量时，对攻击流量中内容数据进行提取，通过各个协议的元数据或者载荷中的字段或者字段的值来分离...

【专利技术属性】
技术研发人员：李侑宸，朱振涛，陈功胜，李宗铖，许林莹，朱邦照，
申请(专利权)人：杭州漠坦尼科技有限公司，
类型：发明
国别省市：