技术领域
本申请属于数据分析领域,尤其涉及基于内外网引流异常第三方交互式蜜罐实现方法。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
在对内外网引流处理时,不便监测引流异常状况,第三方交互的接入方式有限,不利于不同流量大小的应用,且蜜罐诱捕的欺骗环境缺乏优化,诱捕效果有限,整个系统的安全防护能力有限。因此,针对上述问题提出一种基于内外网引流异常第三方交互式蜜罐实现方法。
发明内容
为了解决现有技术中存在的缺点和不足,本申请提出的基于内外网引流异常第三方交互式蜜罐实现方法,用于采用两种接入方式,适用于不同流量大小的环境需求。
具体的,本申请实施例提出的基于内外网引流异常第三方交互式蜜罐实现方法,包括:
构建可信交换防御系统,经可信交换防御系统引入内网、外网的流量,对内网、外网的流量进行初步拦截和区域划分;
将内网和外网进行隔离和引流,对内网和外网分别进行数据监测,判断是否有异常状况出现;
如果内网和外网出现引流异常时,接入第三方进行包括蜜罐诱捕的交互处理;
分析欺骗环境的核心功能需求,采集数据信息并进行标注记录。
可选的,所述如果内网和外网出现引流异常时,接入第三方进行包括蜜罐诱捕的交互处理,包括:
内置的网卡芯片阵列基于网络层创建用于构建欺骗环境蜜罐诱捕方式;
对已构建的蜜罐诱捕方式进行诱捕优化处理。
可选的,所述对已构建的蜜罐诱捕方式进行诱捕优化处理,包括:
利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化。
可选的,所述低交互式蜜罐模拟网络服务响应,模拟漏洞,控制攻击,捕获已知攻击,高交互式蜜罐提高的安全威胁可适性,增强数据获取能力、伪装性。
可选的,所述对已构建的蜜罐诱捕方式进行诱捕优化处理中每个由蜜罐产生的包都通过个性化引擎,引入操作系统特定的指纹,让Nmap/Xprobe进行识别,使用Nmap指纹库作为TCP/UDP连接的参考,使用Xprobe指纹库作为ICMP包的参考。
可选的,所述构建可信交换防御系统,包括:
主动监测网络中的流量;
以接入层交换机的角色接入网络,交换口接入真实服务器或终端,将控制节点下沉到各服务器的接入端口。
可选的,所述将内网和外网进行隔离和引流,还包括:
将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备,进一步分析可疑流量。
可选的,所述交互处理包括:
可信交换防御系统以汇聚层交换机的角色接入网络;或
通过Trunk模式连接核心层与接入层。
可选的,所述构建欺骗环境时对可疑流量进行数据控制和数据捕获,管理欺骗环境的配置,对可疑流量进行诱捕。
可选的,所述分析欺骗环境的核心功能需求,采集数据信息并进行标注记录,包括:
分析欺骗环境的配置管理,通过旁路部署内部的自学习功能对内网的应用关系进行可视化展示用作维护依据,并对数据进行记录和存储。
本申请提供的技术方案带来的有益效果是:
可及时对内外网引流处理,监测内外网的引流异常状况;第三方交互有两种接入方式,适用于不同流量大小的状况,接入效果较好;蜜罐诱捕的欺骗环境构建较为健全,诱捕环境带有优化功能,提升诱捕效果,提升虚拟蜜罐的真实性,增强整个系统的安全防护能力。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提出的基于内外网引流异常第三方交互式蜜罐实现方法的流程示意图。
具体实施方式
为使本申请的结构和优点更加清楚,下面将结合附图对本申请的结构作进一步地描述。
实施例一
本申请实施例提出的基于内外网引流异常第三方交互式蜜罐实现方法,如图1所示,包括:
11、构建可信交换防御系统,经可信交换防御系统引入内网、外网的流量,对内网、外网的流量进行初步拦截和区域划分;
12、将内网和外网进行隔离和引流,对内网和外网分别进行数据监测,判断是否有异常状况出现;
13、如果内网和外网出现引流异常时,接入第三方进行包括蜜罐诱捕的交互处理;
14、分析欺骗环境的核心功能需求,采集数据信息并进行标注记录。
在实施中,内外网引流异常第三方交互式蜜罐分析方法包括如下步骤:
(1)网络引入,构建可信交换防御系统,通过可信交换防御系统将内外网的流量引入,进行初步拦截和区域划分;
(2)网络引流,将内网和外网进行隔离和引流,对内网和外网分别进行数据监测,判断是否有异常状况出现;
(3)第三方交互接入,将内网和外网出现引流异常时,将第三方接入进行交互处理,第三方的接入方式为两种;
(4)蜜罐诱捕,通过内置的网卡芯片阵列基于网络层创建,占用可信交换防御系统本身的计算资源较少,利用蜜罐法构建欺骗环境;
(5)诱捕优化,利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化,提高诱捕效果,采用个性化引擎使得虚拟蜜罐更加真实;
(6)数据分析,分析欺骗环境的核心功能需求,采集数据信息并进行标注记录,增强增强实际系统的安全防护能力。
进一步地,所述步骤(1)中可信交换防御系统能主动监测网络中的流量,自动梳理出内网中各类资产的逻辑应用关系,快速、主动的创建出整个网络中的可信访问模版,管理员可以很方便的基于模版,根据需求调整可信访问策略,划分微隔离区域。可信交换防御系统以接入层交换机的角色接入网络,交换口接入真实服务器或终端,将控制节点下沉到各服务器的接入端口,实现端到端级别的微隔离功能。
进一步地,所述步骤(2)中网络引流,通过可信交换防御系统可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备,以便进一步分析可疑流量,过此种方法,无需用户在网络中部署大量的交互式蜜罐。
进一步地,所述步骤(3)中第三方交互接入方式为:可信交换防御系统以汇聚层交换机的角色接入网络。
进一步地,所述步骤(4)中构建欺骗环境时对可疑流量进行数据控制和数据捕获,管理欺骗环境的配置,对可疑流量进行诱捕。
进一步地,所述步骤(4)中可信交换防御系统的攻击防御模块为2层。
进一步地,所述步骤(5)中低交互式蜜罐模拟网络服务响应,模拟漏洞,控制攻击,捕获已知攻击,高交互式蜜罐提高的安全威胁可适性,增强数据获取能力、伪装性。每个由蜜罐产生的包都通过个性化引擎,引入操作系统特定的指纹,让Nmap/Xprobe进行识别,使用Nmap指纹库作为TCP/UDP连接的参考,使用Xprobe指纹库作为ICMP包的参考。
进一步地,所述步骤(6)中分析欺骗环境的配置管理,通过旁路部署内部的自学习功能对内网的应用关系进行可视化展示用作维护依据,并对数据进行记录和存储。
上述方法适用于流量较大的内外网引流异常第三方交互式蜜罐分析方法。
实施例二:
一种基于内外网引流异常第三方交互式蜜罐分析方法,所述内外网引流异常第三方交互式蜜罐分析方法包括如下步骤:
(1)网络引入,构建可信交换防御系统,通过可信交换防御系统将内外网的流量引入,进行初步拦截和区域划分;
(2)网络引流,将内网和外网进行隔离和引流,对内网和外网分别进行数据监测,判断是否有异常状况出现;
(3)第三方交互接入,将内网和外网出现引流异常时,将第三方接入进行交互处理,第三方的接入方式为两种;
(4)蜜罐诱捕,通过内置的网卡芯片阵列基于网络层创建,占用可信交换防御系统本身的计算资源较少,利用蜜罐法构建欺骗环境;
(5)诱捕优化,利用低交互式和高交互式两种蜜罐法对诱捕环境进行优化,提高诱捕效果,采用个性化引擎使得虚拟蜜罐更加真实;
(6)数据分析,分析欺骗环境的核心功能需求,采集数据信息并进行标注记录,增强增强实际系统的安全防护能力。
进一步地,所述步骤(1)中可信交换防御系统能主动监测网络中的流量,自动梳理出内网中各类资产的逻辑应用关系,快速、主动的创建出整个网络中的可信访问模版,管理员可以很方便的基于模版,根据需求调整可信访问策略,划分微隔离区域。
进一步地,所述步骤(1)中可信交换防御系统以接入层交换机的角色接入网络,交换口接入真实服务器或终端,将控制节点下沉到各服务器的接入端口,实现端到端级别的微隔离功能。
进一步地,所述步骤(2)中网络引流,通过可信交换防御系统可以将来自内网和外网的流量引流至第三方交互式蜜罐或其他安全检测设备,以便进一步分析可疑流量,过此种方法,无需用户在网络中部署大量的交互式蜜罐。
进一步地,所述步骤(3)中第三方交互接入方式为:通过Trunk模式连接核心层与接入层。
进一步地,所述步骤(4)中构建欺骗环境时对可疑流量进行数据控制和数据捕获,管理欺骗环境的配置,对可疑流量进行诱捕。
进一步地,所述步骤(4)中可信交换防御系统的攻击防御模块为7层。
进一步地,所述步骤(5)中低交互式蜜罐模拟网络服务响应,模拟漏洞,控制攻击,捕获已知攻击,高交互式蜜罐提高的安全威胁可适性,增强数据获取能力、伪装性。
进一步地,所述步骤(5)中每个由蜜罐产生的包都通过个性化引擎,引入操作系统特定的指纹,让Nmap/Xprobe进行识别,使用Nmap指纹库作为TCP/UDP连接的参考,使用Xprobe指纹库作为ICMP包的参考。
进一步地,所述步骤(6)中分析欺骗环境的配置管理,通过旁路部署内部的自学习功能对内网的应用关系进行可视化展示用作维护依据,并对数据进行记录和存储。
上述方法适用于流量较小的内外网引流异常第三方交互式蜜罐分析方法。
本申请的有益之处在于:
可及时对内外网引流处理,监测内外网的引流异常状况;第三方交互有两种接入方式,适用于不同流量大小的状况,接入效果较好;蜜罐诱捕的欺骗环境构建较为健全,诱捕环境带有优化功能,提升诱捕效果,提升虚拟蜜罐的真实性,增强整个系统的安全防护能力。
上述方法适用于流量较小的内外网引流异常第三方交互式蜜罐分析方法。
上述实施例中的各个序号仅仅为了描述,不代表各部件的组装或使用过程中的先后顺序。
以上所述仅为本申请的实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
机译: 基于云计算的蜜罐安全系统及其实现方法
机译: 用于提供交互式支持以根据一系列程序开发基于计算机的产品以及在计算机系统数据处理系统内开发面向过程的系统的方法,以在一系列程序的开发过程中提供交互式支持以及计算机的开发数据处理系统中的程序和系统
机译: 以数据簇图的形式可视化显示数据结构并交互式分析多个数据源异常的方法,实现该方法的系统和装置
