本发明专利技术公开了一种基于高交互性蜜罐的网络威胁管理系统,通过搭建中心节点处理核心,对网络环境进行立体防护,利用高交互性蜜罐作为信息收集节点的工具,兼具了诱惑性和安全性,一方面利用高交互性蜜罐提供开放且真实的操作系统和服务,对攻击者进行最大限度地迷惑,在保证安全性的基础上可以更多更好的收集信息,对潜在的攻击者进行诱骗,获取攻击者的攻击目标、攻击工具和攻击方法等信息。另一方面通过模块化地设计思路,即可以封装蜜罐使其与真实隐私网络隔离,又便于后续蜜罐的更改与维护,解决了当前主流网络威胁管理系统主要存在的交互性差、简易性参差不齐、安全性低、不具备诱惑性或诱惑性差的问题。备诱惑性或诱惑性差的问题。备诱惑性或诱惑性差的问题。
【技术实现步骤摘要】
一种基于高交互性蜜罐的网络威胁管理系统
[0001]本专利技术涉及网络安全
,尤其涉及一种基于高交互性蜜罐的网络威胁管理系统。
技术介绍
[0002]互联网从诞生以来,一直遭受着网络攻击与恶意代码的威胁。随着攻击技术的不断发展,新形态的安全威胁,不断涌现并在持续进化,而防御技术并不能及时跟上安全威胁的变化步伐,这使得互联网的安全状况日益恶化。究其根源,会发现攻击方与防御方之间在进行着一场不对称的技术博弈:攻击方可以在夜深人静时只要找到攻击目标的一个漏洞就能够攻破系统,而防御方必须确保系统不存在任何可被攻击者利用的漏洞,并拥有全天候的监控机制,才能确保系统的安全;攻击方可以利用扫描、查点等一系列技术手段,全面获取攻击目标的信息,而防御方即使在被攻陷后仍然很难了解到攻击的来源、方法和动机。一旦博弈失败,由于安全响应技术与协调机制的欠缺,在很多情况下,攻击方不会遭受任何损失,而防御方却通常将面临系统与信息被破坏或窃取的风险。
[0003]目前,主流的网络威胁管理方法主要包括入侵检测系统、入侵预防系统、漏洞扫描器、日志审计系统、身份认证和访问控制、蜜罐防护等方法。
[0004]一般从以下四个角度来对一个安全管理系统进行评价:
[0005]1、交互性,指系统与安全对象之间的交互方式和信息获取广度。这包括系统的信息获取方式、操作方法、信息获取程度,以及用户与系统之间的交互方式,例如界面设计、报告生成、数据可视化等。
[0006]2、诱惑性,指系统通过技术性手段设置的特定目标,使其更容易被攻击者发现并认为有价值从而进行攻击的能力。
[0007]3、简易性,指该系统安装的便利程度以及使用者操作该系统进行网络安全活动时操作的便利程度。
[0008]4、安全性,指通过利用技术手段设置诱骗性较高的目标,诱导攻击者发起攻击,从而获取关于攻击者的信息,加强网络安全防护而不被攻破的能力。
[0009]如今市面上主流的网络安全管理系统都各自存在有明显的短板:入侵检测系统具有较差的交互性、较差的简易性、不具备安全性、不具备诱惑性。入侵预防系统具有较高的交互性、较差的简易性、较差的安全性、不具备诱惑性。漏洞扫描器具有较高的交互性、较差的简易性、较差的安全性、不具备诱惑性。日志审查系统具有较差的交互性、较差的简易性、较差的安全性、不具备诱惑性。身份认证和访问控制具有很差的交互性、较高的简易性、较差的安全性、不具备诱惑性。中低交互性的蜜罐系统具有较差的交互性、较高的简易性、较差的安全性和较差的诱惑性。因此需要开发出一种新的网络威胁管理方法,旨在同时做到具有较高的交互性、较高的简易性、较高的诱惑性和较高的安全性。
[0010]蜜罐技术作为一种新的安全工具在攻击的检测、分析、研究,尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐并不是传统安全防御手段、工具的替代,而是它们的辅助和
补充。相对于传统安全手段、工具的被动防御,蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间和主动。
[0011]现有技术中,Shadow Daemon是检测、记录和阻止网络应用程序攻击的工具集合。从技术上讲,Shadow Daemon是一个网络应用程序防火墙,可拦截请求并过滤掉恶意参数。它是一种模块化系统,将Web应用程序、分析和界面分开,以提高安全性、灵活性和可扩展性。该软件可以准确识别并记录诸如sql注入、xml注入、代码注入、命令注入、后门访问等形式的攻击并准确记录下来。该防火墙下也实现了一个蜜罐,对于市面上的大部分蜜罐,虽然较好地完成了吸引攻击,记录攻击的作用,但是与较传统的网络服务相比,动态网络应用程序会披露大量信息,很容易看出该应用程序是不是在积极地运转,网站的行为就看起来非常的人为,很容易被黑客发现是蜜罐而没有兴趣进行攻击,因此,现有的解决方案主要适合收集有关值得信赖的自我传播恶意软件的信息,不过,这只是所有攻击的一小部分,因此收集的数据是不完整的,不是决定性的,为了弥补此问题,系统需要能够检测和记录生产服务器上的恶意请求,因为真正的目标是唯一令人信服的目标。收集到的信息更有意义,适合研究,因为它们没有被扭曲。该蜜罐的优点:1)默认情况下,Shadow Daemon充当Web应用程序防火墙并阻止恶意请求,但它也被设计为用作高交互性蜜罐。通过对配置文件进行一些简单的修改,可以禁用保护,系统隐藏在阴影中。使得防火墙变为高效的蜜罐,且不易被攻击的黑客判断为蜜罐,使得用户收集攻击记录变得更加容易。2)用户界面美观,操作方便,可以较为简便地设置参数,保证了软件的正常运行。3)与防火墙结合,简便且收集到的数据误差更小,更加真实。4)可以与其它蜜罐系统相结合,并将其集成到蜜网中,作为额外的信息来源。该蜜罐的缺点:1)该软件的原身为防火墙,需将防火墙的保护功能关闭后,才能作为一个蜜罐正常运行,而关闭保护功能后,如果系统本身没有别的防火墙进行防护,则系统很可能因为攻击而陷入瘫痪,无法达到蜜罐的目的。2)作为单个蜜罐来说,对网络攻击的引诱力不大,攻击者缺乏攻击的动力,需要与其他的蜜罐联合组成蜜网才能有效发挥作用。3)配置过程较为复杂,新用户使用有一定门槛。
[0012]Ehoney是Seccome Teamer首次开源的欺骗防御系统,其是一个已经形成体系的以蜜罐为核心的蜜网系统。它将进攻分为了侦察追踪、武器构建、载荷投递、漏洞利用、安装植入、持续控制,目标达成等几个阶段,并对于应付这些阶段的进攻做出了相应的对策。该系统的优点:1)Ehoney面向商业性,拥有简洁易懂的操作方式,和清晰明了的前端,只需要简单的操作便可以进行蜜罐的部署进攻信息的查看等功能。2)Ehoney拥有完善,详实的文档文件,使得Ehoney的完善与升级,交流与分享变得更加容易,增加了程序的可扩展性。3)此蜜罐的特色在于可以生成多种密签,即将某些类型文件的一些可访问网络资源的特性进行改造,生成密签,当有黑客从被攻击的服务器或蜜罐中下载后打开文档或者是进入文件夹的时候就会触发告警。这项技术感觉十分实用,可以进行进一步的开发于探索。4)Ehoney使用了可视化拓扑技术,可以可视化展示攻击视图,让所有攻击可视化,形成完整的攻击链路,这种技术使得原本抽象的网络攻防变得可视化,利于对进攻者的攻击方式与目的进行分析。缺点:1)Ehoney是一个较高交互性的蜜罐系统,可是由于交互性太高可能会导致被黑客反过来利用,进行横向探索,取得root权限以达到最终目的。2)Ehoney缺少蜜饵,对进攻者的迟滞性较弱。3)Ehoney单个蜜罐的诱惑性较弱,但是如果布置过多,反而又会增加服务器的负担。
[0013]综上,相对于传统安全手段、工具的被动防御,蜜罐技术最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间和主动。但是对于如中、低交互性蜜罐来说,其交互性较低,能够收集到的信息较为稀少,且由于其使用的是模拟服务,很容易被攻击者识破,并且单个蜜罐所起到的迷惑作用其实非常有限,但是如果布置过多,反而又会增加服务器的负担。基于此,本专利技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于高交互性蜜罐的网络威胁管理系统,其特征在于,系统采用CS模型、中心节点结合高交互性蜜罐的结构,并使用第三方传输工具和模块化设计使中心节点和蜜罐分割;其中,高交互性蜜罐中包括蜜罐模块,用于将蜜罐收集到的入侵者信息加密后发送到中心节点;中心节点负责连接各个高交互性蜜罐并进行信息处理分析,同时对蜜罐及通信过程进行控制;中心节点包括通信模块、处理模块、展示模块和防护模块;通信模块用于实现中心节点和蜜罐的安全通信;处理模块用于将蜜罐传输来的信息进行处理,并将处理的信息传输给展示模块;展示模块用于在互联网中进行特定身份认证、访问、获取中心节点的汇总信息并展示给用户查看;防护模块由防火墙和入侵检测系统组成,用于在外围保证中心节点安全。2.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,蜜罐模块的处理流程如下:管理员在中心节点注册生成蜜罐信息并保存,包括地址、种类和密钥;蜜罐收集攻击者的攻击数据,攻击者ip、攻击类型和攻击时间,汇总成JSON格式并保存;模块发现数据目录存在新文件,读取JSON数据,使用密钥进行密码分组链接模式的AES对称加密,并将加密的数据发送至中心节点,如果中心节点成功接收则删除文件;蜜罐正常运行过程中自行判断来访者是否存在攻击行为,并将判断为攻击请求的请求信息保存。3.根据权利要求1所述的基于高交互性蜜罐的网络威胁管理系统,其特征在于,通信模块通过对外连接限制和数据包抑制两种方法实现对连入中心节点的各个高交互性蜜罐进行控制;其中,对外连接限制采用登陆身份认证控制来保证蜜网的使用主体是受到安全认证的安全用户,以及采用IP地址过滤来保证连接系统的蜜罐是合法蜜罐,同时过滤无用信息的搜集,使得不可信的站点无法访问蜜罐系统;数据包抑制包...
【专利技术属性】
技术研发人员:苑洁,张浩,杨星元,孔亚,杨皓,赵金宇,刘东晓,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。