本说明书实施例提供了一种流量绊线生成系统及方法,所述系统部署在内网中的任意一台设备之上,与蜜罐机配套使用,其特征在于,包括:环境扫描器、绊线控制器和绊线生成器;所述环境扫描器用于:通过主动扫描当前内网的网络环境,采集内网中的存活主机信息和服务器信息,并将扫描结果进行存储;所述绊线控制器用于:根据所述存活主机信息和服务器信息构造流量绊线数据包,并与所述绊线生成器进行交互;所述绊线生成器用于:根据所述流量绊线数据包,生成对应的流量绊线,并且维持与对端的通信。本发明专利技术能够增强网络中用户和业务机的隐蔽性,干扰攻击者对攻击目标的选择,保证了网络空间的安全。空间的安全。空间的安全。
【技术实现步骤摘要】
一种流量绊线生成系统及方法
[0001]本文件涉及网络安全
,尤其涉及一种流量绊线生成系统及方法。
技术介绍
[0002]网络被动攻击指的是一种对计算机和通信系统进行监视或监听,以获取敏感信息而不被发现的一种攻击方式。目前的被动攻击主要表现在以下几个方面:窃听:窃听是一种非常隐蔽的被动攻击,因为攻击者不会修改数据流,而只是在传输过程当中获取信息;数据分析:这种被动攻击的目标是从数据流当中识别出账号、密码、信用卡号码、手机号等各种各样的敏感信息;流量分析:攻击者可以通过监视数据包的流量模式来获得关于网络通信模式和网络拓扑结构的信息,以便于攻击者可以发动后续的网络攻击;被动钓鱼:这种被动攻击的特点是攻击者不需要主动发起攻击,而只是等待着受害者上钩。
[0003]如今应对网络被动攻击的主要措施如下:使用加密技术来保护铭感信息,例如SSL/TLS协议等;对网络流量进行监视和分析,以便及时发现异常流量;对系统进行审计和监控,以检测任何不寻常的行为;提高员工的安全意识,教育员工如何避免被钓鱼攻击;定期更新系统和应用程序,以修补已知漏洞。
[0004]但是这些措施都没有考虑到针对网络协议自身的安全问题而生的被动攻击。网络协议数据包的包头包含着与通信双方相关的一些信息,这些信息包括源IP地址、目的IP地址、协议类型、端口号等等,这些包头中的信息都是以明文的形式在网络上传输的,因为路径上的网络设备需要识别这些信息从而能够将数据包正确地转发到目的地,但是这些信息很容易就会被攻击者通过被动监听的方式获取到,并且被用于追踪定位网络中的用户和服务设备从而能够精准的对其发动后续的网络攻击。
技术实现思路
[0005]本说明书一个或多个实施例提供了一种流量绊线生成系统,所述系统部署在内网中的任意一台设备之上,与蜜罐机配套使用,包括:环境扫描器、绊线控制器和绊线生成器;
[0006]所述环境扫描器用于:通过主动扫描当前内网的网络环境,采集内网中的存活主机信息和服务器信息,并将扫描结果进行存储;
[0007]所述绊线控制器用于:根据所述存活主机信息和服务器信息构造流量绊线数据包,并与所述绊线生成器进行交互;
[0008]所述绊线生成器用于:根据所述流量绊线数据包,生成对应的流量绊线,并且维持与对端的通信。
[0009]本说明书一个或多个实施例提供了一种流量绊线生成方法,包括:
[0010]通过主动扫描当前内网的网络环境,采集内网中的存活主机信息和服务器信息,并将扫描结果进行存储;
[0011]根据所述存活主机信息和服务器信息构造流量绊线数据包;
[0012]根据所述流量绊线数据包,生成对应的流量绊线,并维持与对端的通信。
[0013]本说明书一个或多个实施例提供了一种电子设备,包括:
[0014]处理器;以及,
[0015]被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器实现上述一种流量绊线生成方法的步骤。
[0016]本说明书一个或多个实施例提供了一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现上述一种流量绊线生成方法的步骤。
[0017]本专利技术提出了一种抵御网络环境中被动攻击的流量绊线生成系统,通过在网络当中与蜜罐类型的设备协同使用,根据配置或环境信息快速构造并在网络当中生成大量的流量绊线,产生大量的模拟真实业务的流量,以此来迷惑企图通过被动监听来获取敏感信息的攻击者,部署简单;在攻击者尝试主动探测来进一步获取更多信息时,该系统能够帮助安全人员在攻击者进行信息搜集的阶段发现他们,为防护人员制定专门的安全措施争取了较多的时间,能够及时阻止即将到来的网络攻击。
[0018]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
附图说明
[0019]为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本说明书一个或多个实施例提供的一种流量绊线生成系统的组成示意图;
[0021]图2为本说明书一个或多个实施例提供的一种流量绊线生成系统中环境扫描器与网络环境的交互示意图;
[0022]图3为本说明书一个或多个实施例提供的一种流量绊线生成系统中绊线控制器交互示意图;
[0023]图4为本说明书一个或多个实施例提供的一种流量绊线生成系统中绊线生成器交互示意图;
[0024]图5为本说明书一个或多个实施例提供的一种流量绊线生成方法的流程图;
[0025]图6为本说明书一个或多个实施例提供的一种电子设备的结构示意图。
具体实施方式
[0026]为了使本
的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
[0027]系统实施例
[0028]根据本专利技术实施例,提供了一种流量绊线生成系统,所述系统部署在内网中的任
意一台设备之上,与蜜罐机配套使用,图1为本说明书一个或多个实施例提供的一种流量绊线生成系统的组成示意图,如图1所示,根据本专利技术实施例的流量绊线生成系统具体包括:环境扫描器10、绊线控制器20和绊线生成器30;
[0029]所述环境扫描器10用于:通过主动扫描当前内网的网络环境,采集内网中的存活主机信息和服务器信息,并将扫描结果进行存储。
[0030]环境扫描器10的目的就是感知当前所处的网络环境的状态,并且以json格式的数据形式存储进内存当中,以供后续策略控制器模块调用使用。
[0031]如图2所示,环境扫描器10具体用于:
[0032]使用ICMP探测报文向内网所处的网段进行扫描以获取当前存活主机的ip地址;
[0033]根据当前存活主机的ip地址向每一个存活主机的每一个端口发送SYN报文探测端口是否开放,以及这些端口上运行的服务;
[0034]如果目标返回一个SYN/ACK报文,则表示该端口开放,若目标返回一个RST报文,则表示该端口是关闭状态。
[0035]所述绊线控制器20用于:根据所述存活主机信息和服务器信息构造流量绊线数据包,并与所述绊线生成器进行交互。
[0036]所述绊线控制器20包括arp缓存重定向模块和流量构造模块,如图3所示本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量绊线生成系统,所述系统部署在内网中的任意一台设备之上,与蜜罐机配套使用,其特征在于,包括:环境扫描器、绊线控制器和绊线生成器;所述环境扫描器用于:通过主动扫描当前内网的网络环境,采集内网中的存活主机信息和服务器信息,并将扫描结果进行存储;所述绊线控制器用于:根据所述存活主机信息和服务器信息构造流量绊线数据包,并与所述绊线生成器进行交互;所述绊线生成器用于:根据所述流量绊线数据包,生成对应的流量绊线,并且维持与对端的通信。2.根据权利要求1所述的系统,其特征在于,所述系统还包括用于存储绊线配置信息的配置文件,用于在不通过所述环境扫描器对内网网络环境进行扫描的情况下,向所述绊线控制器提供当前内网网络环境的绊线配置信息;所述绊线配置信息包括绊线流量的源地址、目的地址、绊线流量的诱饵信息、绊线的类型和绊线的生成时间及间隔。3.根据权利要求1所述的系统,其特征在于,所述存活主机信息包括主机ip地址,所述服务器信息包括服务器当前运行的服务的类型和开放的端口。4.根据权利要求3所述的系统,其特征在于,所述环境扫描器具体用于:使用ICMP探测报文向内网所处的网段进行扫描以获取当前存活主机的ip地址;根据当前存活主机的ip地址向每一个存活主机的每一个端口发送SYN报文探测端口是否开放,以及这些端口上运行的服务;如果目标返回一个SYN/ACK报文,则表示该端口开放,若目标返回一个RST报文,则表示该端口是关闭状态。5.根据权利要求2所述的系统,其特征在于,所述绊线控制器包括arp缓存重定向模块和流量构造模块;所述arp缓存重定向模块具体用于:根据所述扫描结果或配置文件构造arp数据包,将对端蜜罐机或真实主机的arp缓存重定向到其他的蜜罐类型...
【专利技术属性】
技术研发人员:田志宏,易浩文,方滨兴,鲁辉,孙彦斌,王瑞,李默涵,刘园,徐光侠,谭庆丰,姜誉,
申请(专利权)人:广州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。