【技术实现步骤摘要】
本专利技术涉及到网络安全,尤其涉及一种基于可控蜜罐的ddos防御验证方法。
技术介绍
1、ddos即指分布式拒绝服务,ddos攻击是一种网络攻击,攻击者试图通过同时向目标服务器发送大量流量或请求来使其超负荷,从而使其无法正常运行。蜜罐是一种设计用来吸引和捕获恶意活动的系统或网络资源。它可以模拟真实的系统,但实际上是一个监控工具,用于捕获和分析攻击者的行为。
2、随着互联网技术的迅速发展,网络安全问题日益凸显,其中,ddos攻击成为了一种常见且破坏性强的网络攻击手段。为了应对ddos攻击,各种防御策略和工具应运而生。但如何验证这些防御策略的有效性,以及如何为企业和组织提供一个真实的、可控的测试环境,成为了一个急需解决的问题。
3、传统的ddos防御验证方法,如模拟攻击、流量分析和压力测试,虽然在一定程度上可以模拟真实的攻击场景,但它们往往缺乏对真实攻击行为的深入分析和理解,而且可能会对真实的业务造成影响。
4、蜜罐能够吸引并捕获攻击者,提供了一个观察和分析攻击行为的窗口。但传统的蜜罐主要用于捕获和分析攻击,而不是用于验证ddos防御策略的有效性。因此,如何结合蜜罐和ddos防御验证,提供一个既可以捕获真实攻击行为,又可以验证防御策略有效性的方法,成为了研究的重点。
5、公开号为cn111641634a,公开日为2020年09月08日的中国专利文献公开了一种基于蜜网的工业控制网络主动防御系统,其特征在于,其包含以下三个组件:信息收集组件、流量分析组件与知识管理组件;其中,
7、所述的工业控制系统蜜网被部署在三个层:外部网络、隔离区和工业控制系统网络,分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐;所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量,从而提供最新且流行的攻击模式;所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量,以更新当前流量分析模型;所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击;
8、所述的网络爬虫设置于蜜网控制器中,蜜网控制器设置于隔离区,用于存储所有攻击者的威胁情报,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报;
9、所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐,工业控制系统网络蜜罐构建工业控制系统通信模式库,实时监控工业控制系统网络;
10、所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件,以提高流量分析的实时性,降低了各蜜罐中数据传输的负载;其中:
11、所述流量处理模块从会话提取开始,将连接流减少到工业控制系统协议级会话流,基于所提取的会话,外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式:沟通通信策略用于评估沟通通信过程的复杂性;通信强度用于评估会话中工业控制系统协议流量的负载和数量;通信内容用于描述工业控制系统协议数据包的数据部分;
12、所述的流量评估模块从异常流量、威胁级别和攻击组织三个方面对工业控制系统网络流量进行评估;其中:异常流量评估涉及两个问题:通信模式是否异常;传播模式是否呈现出一种新的传播模式;同时,所述的流量评估模块将通信模式的威胁等级划分为低、中、高三个等级;流量评估模块通过两种方法发现通信模式的攻击组织,当通信模式由外部ip生成时,首先在知识图中搜索其组织信息,其次尝试用网络爬虫收集威胁信息,该网络爬虫包含组织信息并用于更新知识图;如果威胁情报不可用,则通过通信模式指纹发现通信模式的攻击组织;
13、所述的知识管理组件通过知识图来管理工业控制系统网络的所有信息,分为内部网络知识图和外部网络知识图两个子图,均存储在图数据库中,内部网络知识图负责管理存储在工业控制系统网络蜜罐和蜜网控制器中的工业控制系统网络信息,外部网络知识图负责管理存储在蜜网控制器中的外部网络信息和威胁智能。
14、该专利文献公开的基于蜜网的工业控制网络主动防御系统及其方法,能准确地检测出工业控制系统网络流量中的异常情况,评估其威胁程度并发现其关联的攻击组织。但是,仍然不能验证防御策略的有效性,不能回放流量来模拟真实的攻击,进而验证真实系统的防御能力。
技术实现思路
1、本专利技术为了克服上述现有技术的缺陷,提供一种基于可控蜜罐的ddos防御验证方法,本专利技术能够捕获、分析攻击行为,并验证防御策略的有效性,并通过回放流量来模拟真实的攻击,进而验证真实系统的防御能力。
2、本专利技术通过下述技术方案实现:
3、一种基于可控蜜罐的ddos防御验证方法,其特征在于,包括以下步骤:
4、a、在真实的网络环境中部署一个或多个蜜罐,模拟真实的网络环境;
5、b、将蜜罐采集到的流量进行整流和流量编辑,模拟真实的ddos攻击环境;
6、c、在蜜罐上捕获ddos攻击流量并分析ddos攻击流量,包括攻击来源、攻击类型和攻击模式;
7、d、使用流量回放工具,将捕获的ddos攻击流量进行回放,针对真实系统模拟ddos攻击,验证ddos防御策略的有效性,根据验证结果,对ddos防御策略进行调整优化。
8、所述步骤a中,蜜罐为高交互蜜罐。
9、所述步骤b中,蜜罐采集到的流量是指通过sdn控制器将流量引导至蜜罐中。
10、所述步骤c中,在蜜罐上捕获ddos攻击流量并分析ddos攻击流量具体是指通过蜜罐对不同的ddos攻击流量进行捕获,然后对ddos攻击流量进行采集分析,并实时与蜜罐控制中心进行数据交互,上传情报。
11、所述蜜罐控制中心将蜜罐中分析的情报和已有的情报进行对比,分析得到攻击来源、攻击类型和攻击模式。
12、所述蜜罐控制中心下发对流量回放工具的控制,对待验证的ddos攻击流量进行回放,然后将编辑过的流量导入到待验证系统,对待验证系统进行ddos攻击。
13、所述步骤d中,流量回放工具为任意的可回放编辑过后流量的工具。
14、本专利技术所述sdn控制器是指软件定义网络中的应用程序,负责流量控制以确保智能网络。
15、本专利技术所述流量回放是指捕获网络流量,并在之后的时间点重新发送流量,以模拟真实的网络环境。
16、本专利技术的有益效果主要表现在以下方面:
17、1、本专利技术,a、在真实的网络环境中部署一个或多个蜜罐,模拟真实的网络环境;b、将蜜罐采集到的流量进行整流和流量编辑,模拟真实的ddos攻击环境;c、在蜜罐上捕获ddos攻击流量并分析ddos攻击流量,包括攻击来源、攻击类型和攻击模式;d、使用流量回放工具,将捕获的ddos攻击流量进行回放,针对真实系统模拟ddos攻击,验证d本文档来自技高网...
【技术保护点】
1.一种基于可控蜜罐的DDoS防御验证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述步骤a中,蜜罐为高交互蜜罐。
3.根据权利要求1所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述步骤b中,蜜罐采集到的流量是指通过SDN控制器将流量引导至蜜罐中。
4.根据权利要求1所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述步骤c中,在蜜罐上捕获DDoS攻击流量并分析DDoS攻击流量具体是指通过蜜罐对不同的DDoS攻击流量进行捕获,然后对DDoS攻击流量进行采集分析,并实时与蜜罐控制中心进行数据交互,上传情报。
5.根据权利要求4所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述蜜罐控制中心将蜜罐中分析的情报和已有的情报进行对比,分析得到攻击来源、攻击类型和攻击模式。
6.根据权利要求5所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述蜜罐控制中心下发对流量回放工具的控制,对待验证的DDoS攻击流量进行回放,然后将
7.根据权利要求1所述的一种基于可控蜜罐的DDoS防御验证方法,其特征在于:所述步骤d中,流量回放工具为任意的可回放编辑过后流量的工具。
...【技术特征摘要】
1.一种基于可控蜜罐的ddos防御验证方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于可控蜜罐的ddos防御验证方法,其特征在于:所述步骤a中,蜜罐为高交互蜜罐。
3.根据权利要求1所述的一种基于可控蜜罐的ddos防御验证方法,其特征在于:所述步骤b中,蜜罐采集到的流量是指通过sdn控制器将流量引导至蜜罐中。
4.根据权利要求1所述的一种基于可控蜜罐的ddos防御验证方法,其特征在于:所述步骤c中,在蜜罐上捕获ddos攻击流量并分析ddos攻击流量具体是指通过蜜罐对不同的ddos攻击流量进行捕获,然后对ddos攻击流量进行采集分析,并实时与蜜...
【专利技术属性】
技术研发人员:胡水松,罗昊然,吴俊锐,汪文勇,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。