本發(fā)明涉及一種網(wǎng)絡誘捕方法����,具體為一種基于蜜罐的網(wǎng)絡誘捕方法�����,屬于網(wǎng)絡安全
技術領域:
:��。
背景技術:
::蜜罐是一種安全資源��,其價值在于被探測���、攻擊或攻陷����。蜜罐技術是一種通過虛假的資源誘騙入侵者����,從而采集黑客攻擊數(shù)據(jù)和分析黑客攻擊行為,以達到保護真實主機目標的誘騙技術����。這就意味著蜜罐是一種預先精心配置的系統(tǒng)����,系統(tǒng)可能含有一定的漏洞���,或者含有各種偽造的文件和信息,用于欺騙黑客對蜜罐進行攻擊和入侵����。蜜罐系統(tǒng)存在的意義就在于被檢測和被攻擊,任何與蜜罐的交互行為都可以認為是攻擊���,因此通過對蜜罐的監(jiān)視�,可以發(fā)現(xiàn)����、分析和研究攻擊者的行為。傳統(tǒng)的信息安全技術�����,針對攻擊防范在技術上主要集中在阻擋和檢測兩個層面����,如防火墻和ids���,但這兩種技術都有其局限性,防火墻依據(jù)固定策略進行訪問控制��,策略之外的行為則無法提供保護�����,ids則只有在攻擊開始或完成后才能進行響應�����,同時還會產(chǎn)生大量的虛假警報�,給用戶帶來較大的麻煩。技術實現(xiàn)要素:本發(fā)明的目的就在于為了解決上述問題而提供一種基于蜜罐的網(wǎng)絡誘捕方法��。本發(fā)明通過以下技術方案來實現(xiàn)上述目的:一種基于蜜罐的網(wǎng)絡誘捕方法����,包括外防火墻,作為網(wǎng)絡的第一道防線����,對提供web服務的服務器進行保護����;內(nèi)防火墻���,設置“寬進嚴出”的信息控制功能�����;網(wǎng)絡誘騙系統(tǒng),含有各種偽造的文件和信息�,模擬真實的網(wǎng)絡資源以吸引攻擊者對蜜罐進行攻擊和入侵;其中�,所述外防火墻放置在內(nèi)防火墻前,所述外防火墻根據(jù)本身設定的規(guī)則���,或與網(wǎng)絡內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動���,對真實系統(tǒng)的入侵重定向到網(wǎng)絡誘騙系統(tǒng)中,所述內(nèi)防火墻放置在網(wǎng)絡誘騙系統(tǒng)前�����。進一步��,所述網(wǎng)絡誘騙系統(tǒng)包括組織信息欺騙、網(wǎng)絡流量仿真���、服務偽裝和漏洞提供��,所述組織信息欺騙以某種方式反映出有關個人和系統(tǒng)的訪問信息��,所述網(wǎng)絡流量仿真采用實時或重現(xiàn)方式復制真正的網(wǎng)絡流量和從遠程產(chǎn)生偽造流量二種方法進行仿真��,所述服務偽裝提供虛假服務�����,所述漏洞提供使系統(tǒng)在不停的升級與更新中尋找系統(tǒng)安全與安全漏洞的平衡���。優(yōu)選的,為了能夠收集更多的數(shù)據(jù)�、證據(jù),同時也防止入侵者利用該系統(tǒng)作為跳板����,所述內(nèi)防火墻的“寬進”是迷惑入侵者,讓其“盡量發(fā)揮"��,而“嚴出”確保入侵者的活動局限于“牢籠"之中。優(yōu)選的��,為了夠避免欺騙很容易被發(fā)現(xiàn)�,所述組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等�����。優(yōu)選的�,為了使得誘騙系統(tǒng)與真實系統(tǒng)十分相似,所述網(wǎng)絡流量仿真將所有的訪問連接都進行復制�����。優(yōu)選的���,為了使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng),所述服務偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應用服務的特征�。一種基于蜜罐的網(wǎng)絡誘捕方法,所述網(wǎng)絡誘捕方法包括以下步驟:步驟a�����、網(wǎng)絡誘騙系統(tǒng)模擬一定數(shù)量的常用服務�����,并從數(shù)據(jù)鏈路層開始抓包;步驟b����、將外防火墻與網(wǎng)絡內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動,對連接的ip地址����、端口、交互信息等進行記錄���;步驟c���、發(fā)現(xiàn)入侵后,通過內(nèi)防火墻對入侵者進行“寬進嚴出”���,以免被入侵者識破圈套����;步驟d���、對入侵進行日志記錄并發(fā)出警報信息����,并進一步查找是否存在預先設定的響應策略,若存在響應策略�����,則利用libnet及netfiler/iptable做出響應�。本發(fā)明的有益效果是:該基于蜜罐的網(wǎng)絡誘捕方法設計合理,內(nèi)防火墻的“寬進”是迷惑入侵者��,讓其“盡量發(fā)揮"����,而“嚴出”確保入侵者的活動局限于“牢籠"之中,能夠收集更多的數(shù)據(jù)�����、證據(jù)��,同時也防止入侵者利用該系統(tǒng)作為跳板���,對其它系統(tǒng)進行進一步的攻擊,組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水����、預算和個人記錄等�����,偽造的信息越真實����,越能夠避免欺騙很容易被發(fā)現(xiàn)�����,網(wǎng)絡流量仿真將所有的訪問連接都進行復制����,使得誘騙系統(tǒng)與真實系統(tǒng)十分相似,提供給入侵者發(fā)現(xiàn)和利用����,服務偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應用服務的特征,提供貌似正常的服務�����,使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng)���。附圖說明圖1為本發(fā)明結(jié)構(gòu)誘騙網(wǎng)絡示意圖�����。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖��,對本發(fā)明實施例中的技術方案進行清楚����、完整地描述,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例�����,而不是全部的實施例���。基于本發(fā)明中的實施例�����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�。請參閱圖1����,一種基于蜜罐的網(wǎng)絡誘捕方法,包括外防火墻�����,作為網(wǎng)絡的第一道防線�����,對提供web服務的服務器進行保護���;內(nèi)防火墻�,設置“寬進嚴出”的信息控制功能�����;網(wǎng)絡誘騙系統(tǒng)��,含有各種偽造的文件和信息�,模擬真實的網(wǎng)絡資源以吸引攻擊者對蜜罐進行攻擊和入侵��;其中��,所述外防火墻放置在內(nèi)防火墻前�����,所述內(nèi)防火墻的“寬進”是迷惑入侵者�����,讓其“盡量發(fā)揮"����,而“嚴出”確保入侵者的活動局限于“牢籠"之中�,能夠收集更多的數(shù)據(jù)、證據(jù)�����,同時也防止入侵者利用該系統(tǒng)作為跳板�����,對其它系統(tǒng)進行進一步的攻擊,所述外防火墻根據(jù)本身設定的規(guī)則�����,或與網(wǎng)絡內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動�,對真實系統(tǒng)的入侵重定向到網(wǎng)絡誘騙系統(tǒng)中�����,所述內(nèi)防火墻放置在網(wǎng)絡誘騙系統(tǒng)前�����;進一步��,所述網(wǎng)絡誘騙系統(tǒng)包括組織信息欺騙�����、網(wǎng)絡流量仿真�����、服務偽裝和漏洞提供�,所述組織信息欺騙以某種方式反映出有關個人和系統(tǒng)的訪問信息,所述組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水、預算和個人記錄等�,偽造的信息越真實,越能夠避免欺騙很容易被發(fā)現(xiàn)�,所述網(wǎng)絡流量仿真采用實時或重現(xiàn)方式復制真正的網(wǎng)絡流量和從遠程產(chǎn)生偽造流量二種方法進行仿真,所述網(wǎng)絡流量仿真將所有的訪問連接都進行復制�,使得誘騙系統(tǒng)與真實系統(tǒng)十分相似,提供給入侵者發(fā)現(xiàn)和利用�,所述服務偽裝提供虛假服務,所述服務偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應用服務的特征��,提供貌似正常的服務���,使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng)����,所述漏洞提供使系統(tǒng)在不停的升級與更新中尋找系統(tǒng)安全與安全漏洞的平衡�����。一種基于蜜罐的網(wǎng)絡誘捕方法����,所述網(wǎng)絡誘捕方法包括以下步驟:步驟a、網(wǎng)絡誘騙系統(tǒng)模擬一定數(shù)量的常用服務�,并從數(shù)據(jù)鏈路層開始抓包;步驟b、將外防火墻與網(wǎng)絡內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動��,對連接的ip地址��、端口�、交互信息等進行記錄��;步驟c�、發(fā)現(xiàn)入侵后,通過內(nèi)防火墻對入侵者進行“寬進嚴出”���,以免被入侵者識破圈套���;步驟d、對入侵進行日志記錄并發(fā)出警報信息���,并進一步查找是否存在預先設定的響應策略�����,若存在響應策略���,則利用libnet及netfiler/iptable做出響應。作為現(xiàn)有網(wǎng)絡安全策略的一個重要補充�����,蜜罐這種基于欺騙的網(wǎng)絡安全技術有著極廣闊的應用前景,它為網(wǎng)絡安全防護提供了時間和信息�,使我們站在主動的地位來應對日益復雜的安全威脅�,它可以及時查找發(fā)現(xiàn)新型攻擊方法和工具,彌補了不能對新型攻擊做出迅速反應的不足��。對于本領域技術人員而言����,顯然本發(fā)明不限于上述示范性實施例的細節(jié)���,而且在不背離本發(fā)明的精神或基本特征的情況下���,能夠以其他的具體形式實現(xiàn)本發(fā)明���。因此��,無論從哪一點來看�����,均應將實施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權利要求而不是上述說明限定����,因此旨在將落在權利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)���。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求�。此外,應當理解����,雖然本說明書按照實施方式加以描述,但并非每個實施方式僅包含一個獨立的技術方案����,說明書的這種敘述方式僅僅是為清楚起見���,本領域技術人員應當將說明書作為一個整體,各實施例中的技術方案也可以經(jīng)適當組合���,形成本領域技術人員可以理解的其他實施方式���。當前第1頁12當前第1頁12