一种基于流量转发的局域网高覆盖检测的蜜网系统的制作方法

[0001]
本发明涉及一种基于流量转发的局域网高覆盖检测的蜜网系统，属于信息安全领域。


背景技术：

[0002]
随着互联网技术的不断发展，各种各样的网络技术出现，同时也导致了越来越多的信息安全事件发生。为了提高信息安全，越来越多的安全产品出现，比如waf、蜜罐等。蜜罐技术将被动防御变为了主动出击，在信息安全领域具有重要作用。
[0003]
蜜罐技术发展至今，演变后的通用技术是蜜网技术。传统的蜜网系统通常是在云端实现“蜜场”、“蜜网代理模块”、“管理模块”。在云端各种蜜罐统一部署，形成“蜜场”，由管理模块进行统一管理。蜜网系统为客户端提供“蜜网探针”，用于将外部局域网接入蜜网系统。蜜网探针通过与蜜网代理模块交互，实现配置获取、流量转发、心跳上传等功能。
[0004]
传统蜜网系统部署时，探针需要与被保护业务部署在同一主机，检测面只能覆盖部署了探针的主机。如果需要覆盖多个主机，则需要在对应主机上均部署蜜网探针。然而，蜜网探针功能繁重，需要依赖额外组件，常用的部署方式是基于docker容器技术部署。但是一个网络中，个人电脑与办公电脑数量往往远远大于业务服务器数量。而个人电脑、办公电脑上一般没有安装docker服务，因此局域网内大多数主机无法部署蜜网探针，所以，传统蜜网无法实现客户端局域网内的高覆盖检测。


技术实现要素：

[0005]
本发明所要解决的技术问题是：提出一种基于流量转发的局域网高覆盖检测的蜜网系统，解决传统蜜网在局域网内检测覆盖面低的问题。
[0006]
本发明解决上述技术问题采用的技术方案是：
[0007]
一种基于流量转发的局域网高覆盖检测的蜜网系统，包括云端蜜网系统和局域网部分；
[0008]
所述局域网部分包括处于同一局域网的多个主机，其中一个主机上部署有蜜网探针，各个主机上均设置有内网流量转发模块；所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上，通过所述蜜网探针接入云端蜜网系统；
[0009]
所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块；所述蜜场中部署有多种类型蜜罐，由管理模块统一管理，所述蜜网代理模块用于接收蜜网探针流量，并将流量转发到蜜场中对应的蜜罐内，完成外部网络对蜜场中蜜罐的请求访问。
[0010]
作为进一步优化，所述蜜网代理模块还用于接收蜜网探针的配置请求，将相关配置下发到对应蜜网探针以及用于接收蜜网探针的心跳上传，将心跳包转发到管理模块。
[0011]
作为进一步优化，所述内网流量转发模块通过socket数据传输将对应主机的流量转发到局域网中的蜜网探针。
[0012]
作为进一步优化，所述内网流量转发模块采用通用的python编程语言实现，再利
用pyinstaller打包技术将其打包为可执行文件。
[0013]
本发明的有益效果是：
[0014]
通过在蜜网探针前，增加一层零依赖、可快速运行的“内网流量转发”节点，实现局域网内高覆盖检测的需求。由“内网流量转发”节点将所在主机流量转发到探针节点，实现蜜网接入功能。由于“内网流量转发”节点功能唯一，仅仅包括流量转发功能，可以通过最基本的socket技术实现，不需要额外的组件依赖。
附图说明
[0015]
图1为通用的蜜网系统架构图；
[0016]
图2为本发明中的蜜网系统架构图；
[0017]
图3为本发明中内网流量转发的接入方式。
具体实施方式
[0018]
如图1所示，对于通用的蜜网系统而言，其云端蜜网系统包括“蜜网代理”、“管理”、“蜜场”三个模块。所有蜜罐部署在蜜场，由管理模块统一管理。外部局域网通过在需要被检测的主机上部署“蜜网探针”，通过蜜网代理模块将具体某台主机接入蜜网系统。如果需要检测多台主机，则需要部署多个蜜网探针。因此，蜜网探针部署依赖性强，不适合局域网内大多数的个人电脑、办公电脑快速部署，局域网内检测覆盖面低。
[0019]
而本发明旨在提出一种基于流量转发的局域网高覆盖检测的蜜网系统，通过在蜜网探针前，增加一层零依赖、可快速运行的“内网流量转发”节点，实现局域网内高覆盖检测的需求。由“内网流量转发”节点将所在主机流量转发到探针节点，实现蜜网接入功能。由于“内网流量转发”节点功能唯一，仅仅包括流量转发功能，可以通过最基本的socket技术实现，不需要额外的组件依赖。因此，可以将内网流量转发节点打包为“内网流量转发”可执行文件。用户通过双击或者bash命令，即可在个人电脑或者办公电脑上快速运行“内网流量转发”程序，实现局域网内检测高覆盖需求。与通用的蜜网系统方案相比，本发明提出的蜜网系统方案具有“局域网高覆盖检测”、“蜜网探针不依赖业务所在主机部署”、“一个局域网中只需要部署一个蜜网探针”等优势。增加蜜网检测覆盖面的同时，有效降低了蜜网系统对真实业务的影响。
[0020]
具体实现上，本发明中的蜜网系统在云端需要实现三个基本模块：“蜜场”，“蜜网代理模块”，“管理模块”。另外，需要为客户端提供两个基本模块：“蜜网探针”、“内网流量转发程序”。在云端各种蜜罐统一部署，形成“蜜场”。管理模块实质上是一个web系统，通过管理模块，用户可以配置探针、蜜罐属性等，也可以通过管理模块下载“探针”、“内网流量转发”程序等。在云端，管理模块对蜜场进行统一管理，同时接收蜜罐日志，显示在web页面上，并将用户在web页面的配置信息下发给“蜜网代理模块”。“蜜网代理模块”接收“蜜网探针”流量，并将流量转发到蜜场中对应的蜜罐内，完成外部网络对蜜场中蜜罐的请求访问。“蜜罐代理模块”同时需要接收“蜜网探针”的配置请求和心跳上传，如果是配置请求，下发配置到对应探针节点，如果是心跳上传，转发心跳包到管理模块。
[0021]
可以看出，本发明中的蜜网系统在云端实现上与传统蜜网系统基本相同，主要不同的地方在于外部局域网接入蜜网系统的方式。传统蜜网系统通过“蜜网探针”接入的是具
体某台部署了“蜜网探针”的主机，而本发明的蜜网系统通过“蜜网探针”接入整个局域网，具体主机通过运行“内网流量转发”程序接入蜜网系统。通过“内网流量转发”的方式接入蜜网系统，有效的减少同一个局域网内蜜网探针的个数，并且可以突破蜜网探针节点需要部署在被保护业务主机上的限制，从而减少蜜网系统对真实业务的影响。
[0022]“内网流量转发”程序运行在“蜜网探针”前，通过基于socket的流量转发技术，将所在主机流量转发至探针，如图3所示，从而实现主机接入蜜网系统。
[0023]
下面以一个具体的流程说明本发明中的蜜网系统的部署实现方案：
[0024]
步骤1：制作蜜罐：
[0025]
根据需求制作各种类型蜜罐，如ftp蜜罐、mysql蜜罐、telnet蜜罐等。
[0026]
步骤2：部署蜜罐到蜜场：
[0027]
在蜜网中统一服务主机上部署所有蜜罐，形成蜜场。
[0028]
步骤3：制作“蜜网代理模块”并部署：
[0029]
代理模块主要功能包括流量转发、配置下发、心跳接收等。代理模块接收蜜网探针流量，转发至蜜场中对应蜜罐。代理模块从“管理模块”获取蜜网探针配置，包括端口监听、停止、重启等配置信息，提供给蜜网探针定时拉取。代理模块接收蜜网探针心跳包，发送至管理模块，用于监控管理已部署蜜网探针。
[0030]
步骤4：制作“管理模块”并部署：
[0031]
管理模块提供一个web页面用于与用户进行交互、日志展示等。在web页面上用户可下载“内网流量转发”程序、“蜜网探针”部署包。
[0032]
步骤5：蜜网探针部署：
[0033]
用户登录管理系统后，下载“蜜网探针”包，在需要接入蜜网系统的局域网中，选择一台主机部署蜜网探针，完成局域网接入蜜网系统。
[0034]
步骤6：下载并运行“内网流量转发”程序：
[0035]
用户登录管理系统，下载“内网流量转发”程序。在局域网中任何主机上均可快速运行“内网流量转发”程序，实现局域网中具体某台主机接入蜜网系统。
[0036]
步骤7：至此，高覆盖蜜网系统以及局域网接入流程完成。