本發(fā)明涉及一種網(wǎng)絡(luò)誘捕方法���,具體為一種基于蜜罐的網(wǎng)絡(luò)誘捕方法��,屬于網(wǎng)絡(luò)安全
技術(shù)領(lǐng)域:
:�。
背景技術(shù):
::蜜罐是一種安全資源�����,其價值在于被探測���、攻擊或攻陷。蜜罐技術(shù)是一種通過虛假的資源誘騙入侵者���,從而采集黑客攻擊數(shù)據(jù)和分析黑客攻擊行為���,以達(dá)到保護(hù)真實主機(jī)目標(biāo)的誘騙技術(shù)���。這就意味著蜜罐是一種預(yù)先精心配置的系統(tǒng),系統(tǒng)可能含有一定的漏洞�����,或者含有各種偽造的文件和信息����,用于欺騙黑客對蜜罐進(jìn)行攻擊和入侵。蜜罐系統(tǒng)存在的意義就在于被檢測和被攻擊�����,任何與蜜罐的交互行為都可以認(rèn)為是攻擊�,因此通過對蜜罐的監(jiān)視,可以發(fā)現(xiàn)�、分析和研究攻擊者的行為。傳統(tǒng)的信息安全技術(shù)����,針對攻擊防范在技術(shù)上主要集中在阻擋和檢測兩個層面,如防火墻和ids����,但這兩種技術(shù)都有其局限性�,防火墻依據(jù)固定策略進(jìn)行訪問控制�����,策略之外的行為則無法提供保護(hù)����,ids則只有在攻擊開始或完成后才能進(jìn)行響應(yīng),同時還會產(chǎn)生大量的虛假警報�����,給用戶帶來較大的麻煩��。技術(shù)實現(xiàn)要素:本發(fā)明的目的就在于為了解決上述問題而提供一種基于蜜罐的網(wǎng)絡(luò)誘捕方法����。本發(fā)明通過以下技術(shù)方案來實現(xiàn)上述目的:一種基于蜜罐的網(wǎng)絡(luò)誘捕方法����,包括外防火墻,作為網(wǎng)絡(luò)的第一道防線��,對提供web服務(wù)的服務(wù)器進(jìn)行保護(hù);內(nèi)防火墻�,設(shè)置“寬進(jìn)嚴(yán)出”的信息控制功能;網(wǎng)絡(luò)誘騙系統(tǒng)����,含有各種偽造的文件和信息,模擬真實的網(wǎng)絡(luò)資源以吸引攻擊者對蜜罐進(jìn)行攻擊和入侵�����;其中��,所述外防火墻放置在內(nèi)防火墻前�����,所述外防火墻根據(jù)本身設(shè)定的規(guī)則���,或與網(wǎng)絡(luò)內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動����,對真實系統(tǒng)的入侵重定向到網(wǎng)絡(luò)誘騙系統(tǒng)中�����,所述內(nèi)防火墻放置在網(wǎng)絡(luò)誘騙系統(tǒng)前。進(jìn)一步�����,所述網(wǎng)絡(luò)誘騙系統(tǒng)包括組織信息欺騙�、網(wǎng)絡(luò)流量仿真、服務(wù)偽裝和漏洞提供����,所述組織信息欺騙以某種方式反映出有關(guān)個人和系統(tǒng)的訪問信息,所述網(wǎng)絡(luò)流量仿真采用實時或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量和從遠(yuǎn)程產(chǎn)生偽造流量二種方法進(jìn)行仿真����,所述服務(wù)偽裝提供虛假服務(wù),所述漏洞提供使系統(tǒng)在不停的升級與更新中尋找系統(tǒng)安全與安全漏洞的平衡���。優(yōu)選的��,為了能夠收集更多的數(shù)據(jù)���、證據(jù),同時也防止入侵者利用該系統(tǒng)作為跳板����,所述內(nèi)防火墻的“寬進(jìn)”是迷惑入侵者,讓其“盡量發(fā)揮"�����,而“嚴(yán)出”確保入侵者的活動局限于“牢籠"之中�。優(yōu)選的,為了夠避免欺騙很容易被發(fā)現(xiàn)��,所述組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水���、預(yù)算和個人記錄等�����。優(yōu)選的��,為了使得誘騙系統(tǒng)與真實系統(tǒng)十分相似�����,所述網(wǎng)絡(luò)流量仿真將所有的訪問連接都進(jìn)行復(fù)制�。優(yōu)選的��,為了使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng)��,所述服務(wù)偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應(yīng)用服務(wù)的特征。一種基于蜜罐的網(wǎng)絡(luò)誘捕方法����,所述網(wǎng)絡(luò)誘捕方法包括以下步驟:步驟a、網(wǎng)絡(luò)誘騙系統(tǒng)模擬一定數(shù)量的常用服務(wù)�����,并從數(shù)據(jù)鏈路層開始抓包�;步驟b、將外防火墻與網(wǎng)絡(luò)內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動��,對連接的ip地址�、端口、交互信息等進(jìn)行記錄���;步驟c�、發(fā)現(xiàn)入侵后����,通過內(nèi)防火墻對入侵者進(jìn)行“寬進(jìn)嚴(yán)出”,以免被入侵者識破圈套�;步驟d、對入侵進(jìn)行日志記錄并發(fā)出警報信息,并進(jìn)一步查找是否存在預(yù)先設(shè)定的響應(yīng)策略�����,若存在響應(yīng)策略�,則利用libnet及netfiler/iptable做出響應(yīng)�����。本發(fā)明的有益效果是:該基于蜜罐的網(wǎng)絡(luò)誘捕方法設(shè)計合理���,內(nèi)防火墻的“寬進(jìn)”是迷惑入侵者���,讓其“盡量發(fā)揮",而“嚴(yán)出”確保入侵者的活動局限于“牢籠"之中����,能夠收集更多的數(shù)據(jù)、證據(jù)�����,同時也防止入侵者利用該系統(tǒng)作為跳板��,對其它系統(tǒng)進(jìn)行進(jìn)一步的攻擊����,組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水�����、預(yù)算和個人記錄等�,偽造的信息越真實����,越能夠避免欺騙很容易被發(fā)現(xiàn),網(wǎng)絡(luò)流量仿真將所有的訪問連接都進(jìn)行復(fù)制��,使得誘騙系統(tǒng)與真實系統(tǒng)十分相似����,提供給入侵者發(fā)現(xiàn)和利用,服務(wù)偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應(yīng)用服務(wù)的特征����,提供貌似正常的服務(wù),使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng)�����。附圖說明圖1為本發(fā)明結(jié)構(gòu)誘騙網(wǎng)絡(luò)示意圖。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例����。基于本發(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護(hù)的范圍�����。請參閱圖1�����,一種基于蜜罐的網(wǎng)絡(luò)誘捕方法,包括外防火墻�����,作為網(wǎng)絡(luò)的第一道防線��,對提供web服務(wù)的服務(wù)器進(jìn)行保護(hù)��;內(nèi)防火墻��,設(shè)置“寬進(jìn)嚴(yán)出”的信息控制功能�����;網(wǎng)絡(luò)誘騙系統(tǒng)��,含有各種偽造的文件和信息����,模擬真實的網(wǎng)絡(luò)資源以吸引攻擊者對蜜罐進(jìn)行攻擊和入侵;其中��,所述外防火墻放置在內(nèi)防火墻前����,所述內(nèi)防火墻的“寬進(jìn)”是迷惑入侵者���,讓其“盡量發(fā)揮",而“嚴(yán)出”確保入侵者的活動局限于“牢籠"之中�����,能夠收集更多的數(shù)據(jù)����、證據(jù),同時也防止入侵者利用該系統(tǒng)作為跳板���,對其它系統(tǒng)進(jìn)行進(jìn)一步的攻擊,所述外防火墻根據(jù)本身設(shè)定的規(guī)則���,或與網(wǎng)絡(luò)內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動��,對真實系統(tǒng)的入侵重定向到網(wǎng)絡(luò)誘騙系統(tǒng)中���,所述內(nèi)防火墻放置在網(wǎng)絡(luò)誘騙系統(tǒng)前;進(jìn)一步����,所述網(wǎng)絡(luò)誘騙系統(tǒng)包括組織信息欺騙���、網(wǎng)絡(luò)流量仿真、服務(wù)偽裝和漏洞提供��,所述組織信息欺騙以某種方式反映出有關(guān)個人和系統(tǒng)的訪問信息�����,所述組織信息欺騙偽造的人和位置也需要有偽造的信息如薪水�����、預(yù)算和個人記錄等��,偽造的信息越真實����,越能夠避免欺騙很容易被發(fā)現(xiàn),所述網(wǎng)絡(luò)流量仿真采用實時或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量和從遠(yuǎn)程產(chǎn)生偽造流量二種方法進(jìn)行仿真���,所述網(wǎng)絡(luò)流量仿真將所有的訪問連接都進(jìn)行復(fù)制����,使得誘騙系統(tǒng)與真實系統(tǒng)十分相似����,提供給入侵者發(fā)現(xiàn)和利用���,所述服務(wù)偽裝提供虛假服務(wù),所述服務(wù)偽裝在系統(tǒng)中編寫一系列腳本來模擬一些應(yīng)用服務(wù)的特征�,提供貌似正常的服務(wù),使攻擊者相信陷阱系統(tǒng)是正常運轉(zhuǎn)的系統(tǒng)��,所述漏洞提供使系統(tǒng)在不停的升級與更新中尋找系統(tǒng)安全與安全漏洞的平衡���。一種基于蜜罐的網(wǎng)絡(luò)誘捕方法��,所述網(wǎng)絡(luò)誘捕方法包括以下步驟:步驟a����、網(wǎng)絡(luò)誘騙系統(tǒng)模擬一定數(shù)量的常用服務(wù)���,并從數(shù)據(jù)鏈路層開始抓包;步驟b��、將外防火墻與網(wǎng)絡(luò)內(nèi)部署的入侵檢測系統(tǒng)ids形成聯(lián)動�,對連接的ip地址、端口�����、交互信息等進(jìn)行記錄;步驟c�、發(fā)現(xiàn)入侵后,通過內(nèi)防火墻對入侵者進(jìn)行“寬進(jìn)嚴(yán)出”��,以免被入侵者識破圈套�;步驟d、對入侵進(jìn)行日志記錄并發(fā)出警報信息�����,并進(jìn)一步查找是否存在預(yù)先設(shè)定的響應(yīng)策略���,若存在響應(yīng)策略�����,則利用libnet及netfiler/iptable做出響應(yīng)�。作為現(xiàn)有網(wǎng)絡(luò)安全策略的一個重要補(bǔ)充��,蜜罐這種基于欺騙的網(wǎng)絡(luò)安全技術(shù)有著極廣闊的應(yīng)用前景�����,它為網(wǎng)絡(luò)安全防護(hù)提供了時間和信息,使我們站在主動的地位來應(yīng)對日益復(fù)雜的安全威脅����,它可以及時查找發(fā)現(xiàn)新型攻擊方法和工具,彌補(bǔ)了不能對新型攻擊做出迅速反應(yīng)的不足�����。對于本領(lǐng)域技術(shù)人員而言��,顯然本發(fā)明不限于上述示范性實施例的細(xì)節(jié)�����,而且在不背離本發(fā)明的精神或基本特征的情況下��,能夠以其他的具體形式實現(xiàn)本發(fā)明�。因此,無論從哪一點來看����,均應(yīng)將實施例看作是示范性的���,而且是非限制性的�����,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定�����,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)��。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求���。此外��,應(yīng)當(dāng)理解�����,雖然本說明書按照實施方式加以描述���,但并非每個實施方式僅包含一個獨立的技術(shù)方案,說明書的這種敘述方式僅僅是為清楚起見����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體,各實施例中的技術(shù)方案也可以經(jīng)適當(dāng)組合,形成本領(lǐng)域技術(shù)人員可以理解的其他實施方式����。當(dāng)前第1頁12當(dāng)前第1頁12