欺骗防御系统的制作方法

1.本发明涉及网络安全技术领域，具体涉及一种欺骗防御系统。


背景技术：

2.欺骗防御系统的一大价值在于溯源取证，利用仿真的系统环境，吸引攻击者在仿真的虚拟环境中不断渗透，以此捕获更多的攻击数据，便于防御方了解攻击者来源的同时，也可了解自身内网环境的安全态势和存在的不足。
3.因此，要想吸引攻击者在虚假的网络环境中不断渗透，为应急响应争取更多的时间，延缓网络攻击，就必须提高欺骗防御系统的性能，而提高欺骗防御系统的性能，最主要的是提高仿真服务(蜜罐)的性能。
4.现有技术中欺骗防御系统提供的仿真服务一般为标准仿真服务，无法提供定制蜜罐，不能很好的匹配不同的需要保护的网络资产，因此无法满足不同客户的个性化需求。


技术实现要素：

5.本发明要解决的技术问题是为了克服现有技术中欺骗防御系统无法满足客户个性化需求的缺陷，提供一种欺骗防御系统。
6.本发明是通过下述技术方案来解决上述技术问题：
7.本发明提供了一种欺骗防御系统，所述欺骗防御系统包括仿真子系统；
8.所述仿真子系统包括：
9.仿真能力模块，用于生成蜜罐；
10.危险感知模块，用于对埋下所述蜜罐后的网络进行监控，获取监控数据，并在发现攻击后发出告警；
11.智能分析引擎模块，用于通过对所述监控数据进行分析，获取所述攻击的详细信息，对所述攻击的攻击过程进行全面取证；
12.溯源反制模块，用于在所述攻击进入蜜罐后，对所述攻击进行溯源，得到所述攻击的攻击数据；
13.所述仿真能力模块、危险感知模块、智能分析引擎模块、溯源反制模块之间相互连接；
14.所述仿真能力模块包括定制仿真单元，所述定制仿真单元用于生成根据目标客户实际业务定制的蜜罐。
15.优选地，所述仿真能力模块还包括：
16.应用服务仿真单元，用于生成web(world wide web，全球广域网)蜜罐、数据库蜜罐、系统服务蜜罐；
17.漏洞仿真单元，用于生成带有漏洞的高甜度蜜罐。
18.优选地，所述危险感知模块包括：
19.文件监控单元，用于对文件的操作、创建、内容修改、属性修改、删除、样本上传进
行监控以及对文件进行防删保护；
20.网络监控单元，用于对tdi(transport driver interface，传输层接口)层进行流量监控；
21.进程监控单元，用于实现对攻击者的端口扫描操作、上传文件操作、操作日志进行监控；
22.所述进程监控单元还用于对进线程、内存、cpu(central processing unit，中央处理器)、磁盘负载、网络连接信息、控制台命令行输入输出进行监控以及实现所述进程监控单元自身的隐藏；
23.实时告警单元，用于在发现所述攻击时发出告警；
24.互联网诱饵单元，用于在公开的网站中设置预设的蜜罐诱饵；
25.主机诱饵单元，所述主机诱饵单元为蜜罐，设置于主机中，所述主机诱饵单元中预留有连接到其他蜜罐的历史操作指令、ssh(secure shell，安全外壳协议)连接所述其他蜜罐过程中的公钥记录。
26.优选地，所述智能分析引擎模块还用于展示所述攻击在入侵阶段、安装阶段、控制阶段、意图阶段的详细信息；
27.所述入侵阶段的行为包括端口扫描、连接端口、登录服务；
28.所述安装阶段的行为包括注入代码、下载恶意样本、设置注册表自动启动、程序自动删除；
29.所述控制阶段的行为包括连接c&c服务器(command and control server，命令和控制服务器)、攻击者远程攻击命令输入；
30.所述意图阶段的行为包括数据窃取、勒索。
31.优选地，所述溯源反制模块包括：
32.数据展示单元，用于在所述攻击进入所述蜜罐后，记录所述攻击的攻击数据，所述攻击数据包括攻击报文、攻击样本；
33.追踪溯源单元，用于在所述攻击进入所述蜜罐后，获取攻击者信息；
34.数据分类单元，用于对攻击行为日志进行分类展示，同时对所述危险感知模块产生的噪音数据进行合并展示。
35.优选地，所述仿真子系统还包括联动方案模块；
36.所述联动方案模块包括：
37.waf(web application firewall，网站应用级入侵防御系统联动单元)，用于对所述攻击数据进行格式处理得到攻击情报，并将所述攻击情报传输至防御设备；
38.威胁情报联动单元，用于实现和威胁情报的联动；
39.所述联动方案模块与所述仿真能力模块、危险感知模块、智能分析引擎模块、溯源反制模块之间相互连接。
40.优选地，所述欺骗防御系统还包括管理子系统，所述管理子系统与所述仿真子系统相连，所述管理子系统包括：
41.用户管理模块，用于供用户管理员使用，对配置管理员、审计管理员的账户进行增加、删除，对所述配置管理员、审计管理员的账户密码进行修改；
42.配置管理模块，用于供所述配置管理员使用，对所述攻击数据、所述攻击的详细信
息、所述蜜罐的配置信息进行展示，对所述蜜罐的参数进行配置；
43.审计管理模块，用于供所述审计管理员使用，对管理员操作日志、所述攻击行为日志进行查看。
44.优选地，所述欺骗防御系统支持探针、直连部署模式，用于根据所述目标客户的网络现状选择部署方式，设计不同的蜜网。
45.优选地，所述欺骗防御系统支持单点、分布式部署模式，用于被部署在网络边界、内网。
46.优选地，所述仿真子系统部署于docker(一种开源的应用容器引擎)容器中。
47.本发明的积极进步效果在于：本发明通过定制仿真单元生成根据客户实际业务定制的蜜罐，满足了客户的个性化需求；本发明支持探针、直连部署模式，可以根据客户的网络现状选择部署方式，设计不同的蜜网，提高了蜜网和客户的网络的匹配度，提高了欺骗防御系统的实用性；本发明支持单点、分布式部署模式，可以被部署在外网、网络边界或内网，提高了欺骗防御系统的环境适应性。
附图说明
48.图1为本发明较佳实施例提供的欺骗防御系统的模块示意图。
49.图2为本发明较佳实施例提供的仿真能力模块11的模块示意图。
50.图3为本发明较佳实施例提供的危险感知模块12的模块示意图。
51.图4为本发明较佳实施例提供的智能分析引擎模块13的工作流程图。
52.图5为本发明较佳实施例提供的溯源反制模块14的模块示意图。
53.图6为本发明较佳实施例提供的联动方案模块15的模块示意图。
54.图7为本发明较佳实施例提供的欺骗防御系统的部署示意图。
55.图8为本发明较佳实施例提供的欺骗防御系统的应用场景示意图。
具体实施方式
56.下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。
57.本实施例提供了一种欺骗防御系统，所述欺骗防御系统包括管理子系统、仿真子系统，所述欺骗防御系统通过虚拟化技术，集成各类蜜罐，通过网络设置将蜜罐投放到不同网段，诱骗攻击者，延缓攻击，保护真实网络资产。蜜罐捕获的攻击行为日志、攻击数据上传至管理子系统，通过管理子系统进行分析和展示，达到溯源取证的目的。
58.具体地，如图1所示，所述欺骗防御系统包括仿真子系统1、管理子系统2，所述仿真子系统1包括仿真能力模块11、危险感知模块12、智能分析引擎模块13、溯源反制模块14、联动方案模块15；所述管理子系统2包括用户管理模块21、配置管理模块22、审计管理模块23。
59.仿真能力模块11用于生成蜜罐。
60.具体地，如图2所示，仿真能力模块11包括定制仿真单元111、应用服务仿真单元112、漏洞仿真单元113。
61.定制仿真单元111用于生成根据目标客户实际业务定制的蜜罐。
62.具体地，目标客户可以包括发电企业，定制仿真单元111用于生成适用于发电企业
工控系统的定制蜜罐。
63.应用服务仿真单元112用于生成web类蜜罐、数据库蜜罐、系统服务蜜罐。
64.具体地，web类可以包括weblogic(一种基于javaee架构的中间件)、tomcat(一种java web服务器)、thinkphp(一种开源轻量级php框架)、wordpress(一种内容管理系统软件)、wiki(一种在网络上开放且可供多人协同创作的超文本系统)、wildfly(一种开源的基于javaee的轻量级应用服务器)。
65.具体地，数据库可以包括mysql(一种关系型数据库管理系统)、phpmyadmin(一种数据库管理工具)。
66.具体地，系统服务可以包括ssh、telnet(远程终端协议)、ftp(filetransfer protocol，文件传输协议)。
67.漏洞仿真单元113用于生成带有漏洞的高甜度蜜罐。
68.具体地，高甜度蜜罐可以包括weblogic蜜罐、shiro(apache shiro，一种开源安全框架)蜜罐、struts2(一种基于mvc设计模式的web应用框架)蜜罐，高甜度蜜罐具有高仿真度和诱捕能力。
69.具体地，漏洞仿真单元113还可以用于生成热点漏洞蜜罐。
70.危险感知模块12用于对埋下蜜罐后的网络进行监控，获取监控数据，并在发现攻击后发出告警。
71.具体地，危险感知模块12基于欺骗技术独特的行为识别，依靠仿真能力模块11在网络中布下的蜜罐，当攻击者访问蜜罐时，可对攻击进行有效发现。
72.具体地，如图3所示，危险感知模块12包括文件监控单元121、网络监控单元122、进程监控单元123、实时告警单元124、互联网诱饵单元125、主机诱饵单元126。
73.文件监控单元121用于对文件的操作、创建、内容修改、属性修改、删除、样本上传进行监控以及对文件进行防删保护。
74.网络监控单元122用于对tdi层进行流量监控。
75.具体地，对tdi层进行流量监控包括对五元组、域名请求、url(uniformresource locator，统一资源定位符)进行监控。
76.进程监控单元123用于实现对攻击者的端口扫描操作、上传文件操作、操作日志进行监控。
77.进程监控单元123还用于通过hook函数(windows消息处理机制的一部分)对进线程、内存、cpu、磁盘负载、网络连接信息、控制台命令行输入输出进行监控以及实现进程监控单元123自身的隐藏。
78.实时告警单元124用于在发现攻击时发出告警。
79.具体地，实时告警单元124应用于密级较高的网络场景，进行主动防御防护。
80.互联网诱饵单元125用于在公开的网站中设置预设的蜜罐诱饵，在攻击者收集信息阶段对攻击者造成误导，使攻击者的攻击目标转向蜜罐，间接保护真实网络资产。
81.主机诱饵单元126为蜜罐，设置于主机中，主机诱饵单元126中预留有连接到其他蜜罐的历史操作指令、ssh连接其他蜜罐过程中的公钥记录。
82.具体地，可以在主机诱饵单元126指向的蜜罐上开放有利用价值的端口，在攻击者做嗅探时，可以吸引攻击入侵并进入主机诱饵单元126指向的蜜罐。
83.具体地，可以在攻击者偏爱的oa(office automation，办公自动化)系统、邮件系统的重点区域部署主机诱饵单元126，并通过在真实服务器中伪造虚假的连接记录诱导攻击者掉入主机诱饵单元126，最后将攻击者的攻击视线转移到主机诱饵单元126指向的蜜罐之中。
84.智能分析引擎模块13用于通过对监控数据进行分析，获取所述攻击的详细信息，对所述攻击的攻击过程进行全面取证。
85.具体地，如图4所示，智能分析引擎模块13可以基于规则链的有限状态自动机原理，根据规则链从蜜罐机发送的海量的根据进程监控获取的监控数据中分析、截取攻击的详细信息。
86.具体地，规则链存放于规则集中。
87.具体地，攻击的详细信息包括攻击事件报告、详细监控数据、样本。
88.具体地，智能分析引擎模块13可以包括多个分析引擎，每个分析引擎可以接收多个蜜罐中的数据，可根据预设规则对不同蜜罐中的数据进行区分、隔离、融合。
89.具体地，分析引擎可以对接其他系统。
90.具体地，智能分析引擎模块13可以预留插件接口，通过插件实现更加复杂和定制化的分析逻辑。
91.具体地，智能分析引擎模块13还用于展示所述攻击在入侵阶段、安装阶段、控制阶段、意图阶段的详细信息。
92.具体地，所述入侵阶段的行为包括端口扫描、连接端口、登录服务。
93.具体地，所述安装阶段的行为包括注入代码、下载恶意样本、设置注册表自动启动、程序自动删除。
94.具体地，所述控制阶段的行为包括连接c&c服务器、攻击者远程攻击命令输入。
95.具体地，所述意图阶段的行为包括数据窃取、勒索。
96.溯源反制模块14用于在所述攻击进入蜜罐后，对所述攻击进行溯源，得到所述攻击的攻击数据。
97.具体地，溯源反制模块14可以通过syslog(系统日志，一种用来在互联网协议的网上中传递记录档消息的标准)方式将捕获的攻击数据发送至第三方平台。
98.具体地，如图5所示，溯源反制模块14包括数据展示单元141、追踪溯源单元142、数据分类单元143。
99.数据展示单元141用于在所述攻击进入所述蜜罐后，记录所述攻击的攻击数据，所述攻击数据包括攻击报文、攻击样本。
100.追踪溯源单元142用于在所述攻击进入所述蜜罐后，获取攻击者信息。
101.具体地，攻击者信息包括攻击者的ip(internet protocol，网络层协议)、设备指纹、位置信息、百度账号、微信账号。通过综合分析攻击者信息，可准确定位攻击者的真实身份。
102.数据分类单元143用于对攻击行为日志进行分类展示，便于实现对攻击行为、扫描行为的识别，同时对所述危险感知模块12产生的噪音数据进行合并展示，可以有效地减少噪音数据对攻击数据的淹没，便于及时进行数据发现、查询。
103.具体地，如图6所示，联动方案模块15包括waf联动单元151、威胁情报联动单元
152。
104.waf联动单元151用于对所述攻击数据进行格式处理得到攻击情报，并将所述攻击情报传输至防御设备。
105.威胁情报联动单元152用于实现和威胁情报的联动。
106.具体地，欺骗防御系统内含有威胁情报离线库，所述威胁情报离线库可以进行离线升级。当有新的来源ip对蜜罐进行攻击时，威胁情报联动单元152会同步发送该来源ip的地址信息到威胁情报平台，并展示该ip的情报信息，所述情报信息包括威胁度、威胁类型。威胁情报平台将该来源ip的地址信息上传到威胁情报离线库。
107.仿真能力模块11、危险感知模块12、智能分析引擎模块13、溯源反制模块14、联动方案模块15之间相互连接。
108.用户管理模块21用于供用户管理员使用，对配置管理员、审计管理员的账户进行增加、删除，对所述配置管理员、审计管理员的账户密码进行修改。
109.配置管理模块22用于供所述配置管理员使用，对所述攻击数据、所述攻击的详细信息、所述蜜罐的配置信息进行展示，对所述蜜罐的参数进行配置。
110.审计管理模块23用于供所述审计管理员使用，对管理员操作日志、所述攻击行为日志进行查看。
111.管理子系统2与仿真子系统1相连。
112.具体地，在本实施例提供的欺骗防御系统中，仿真子系统与管理子系统分离，并处于不同的逻辑交换机下，采用网络二层隔离技术。
113.具体地，在本实施例中，欺骗防御系统以软件形式部署在服务器中，仿真子系统部署于docker容器中，所述docker容器做了攻击逃逸限制，所述仿真子系统不以root权限(根权限，系统权限的一种)运行，采用比root权限次一级的权限，防止攻击者获取欺骗防御系统的最高权限，从而杜绝了攻击者以服务器为跳板机进行横向攻击的可能。
114.具体地，在本实施例中，仿真子系统、管理子系统的各个模块在统一的框架平台中，按照统一的代码要求进行开发，保证了代码的规范，也保证各个模块的开发效率。
115.具体地，在本实施例中，欺骗防御系统支持探针、直连部署模式，可以根据所述目标客户的网络现状选择部署方式，设计不同的蜜网。
116.具体地，探针部署模式适用于linux(一种免费使用和自由传播的类unix操作系统)、windows(一种操作系统)、mac(macintosh，一种操作系统)等系统的部署，适用性强。
117.具体地，不同的组网方式都实现网络攻击流量的转发和捕获，形成蜜网，具有高迷惑性，攻击者一旦进入蜜网即会被拖住，且所有操作行为被记录，很难逃脱。蜜网功能与高仿真蜜罐相结合，保障高仿真蜜罐的真实性，进行攻击行为的有效捕获。
118.如图7所示，欺骗防御系统采用旁路接入模式，不改变客户网络的架构，无需镜像流量，支持单点、分布式部署模式，可以被部署在外网、网络边界或内网。
119.具体地，客户网络包括web服务器、数据库。
120.具体地，欺骗防御系统包括仿真子系统，管理子系统。
121.具体地，管理子系统作为欺骗防御系统的管理中心。
122.具体地，仿真子系统用于生成蜜罐。
123.如图8所示，具体地，欺骗防御系统部署在外网，生成互联网诱饵，可稳定获得大量
攻击事件数据和样本，用于研究当前互联网安全态势。
124.具体地，欺骗防御系统部署在dmz(demilitarized zone，非安全系统与安全系统之间的缓冲区，属于内网)区，生成dmz区蜜网，生产捕获针对对外服务的攻击，如针对web、数据库的攻击，提供攻击数据，与ids(intrusiondetection system，入侵检测系统)、fw(firewall，防火墙)组成总体防御体系。
125.具体地，欺骗防御系统部署在办公区、业务区、生产区，生成办公区蜜网、业务区蜜网、生产区蜜网，捕获内网渗透、apt(advanced packaging tool，一种安装包管理工具)攻击，并对攻击进行溯源，定位攻击来源和攻击者身份，进行溯源取证。
126.具体地，欺骗防御系统和防御设备联动，同时通过对未知攻击行为的特征提取实现ids、waf、ips(intrusion prevention system，入侵防御系统)的特征升级，提高攻击检测能力，不断赋能总体防御体系。
127.具体地，防御设备包括fw、waf、情报系统、沙箱。
128.具体地，fw用于实现入侵阻断，waf用于实现阻断、溯源，情报系统用于实现情报碰撞、溯源，沙箱用于实现样本检测。
129.具体地，欺骗防御系统采用自研的代码框架，欺骗防御系统的各个模块在统一的框架平台上，按照统一的代码要求进行开发，保证了代码的规范以及各个模块的开发效率，通过对自研的代码框架进行持续的维护升级，可以提高自研的代码框架的安全性，从而提升欺骗防御系统的整体安全性。代码框架的升级对欺骗防御系统的各个模块子功能完全透明。
130.具体地，欺骗防御系统的实现原理，决定着欺骗防御系统低误报的特点，正常操作一般不会进入到蜜罐，任何触碰和进入蜜罐的行为均被详细定位和分析，实现“攻击即报警，响应即处置”。
131.欺骗防御系统低误报的特点决定了攻击数据的准确性，获取攻击者的地址、样本、攻击者指纹等信息，可掌握攻击者详细的攻击路径、攻击工具、终端指纹和行为特征，实现全面取证，精准溯源。
132.本实施例提供了一种欺骗防御系统，所述欺骗防御系统包括管理子系统、仿真子系统，通过虚拟化技术，集成各类蜜罐，通过网络设置将蜜罐投放到不同网段，诱骗攻击者，延缓攻击，保护真实网络资产，将蜜罐捕获的攻击行为日志、攻击数据上传至管理子系统，通过管理子系统进行分析和展示，达到溯源取证的目的。
133.具体地，欺骗防御系统具有强大的业务高仿真能力和蜜网组建能力，通过在攻击者必经之路上构造陷阱，混淆攻击目标，吸引攻击者进入蜜网，拖住攻击者，延缓攻击、保护真实网络资产，为应急响应争取时间。
134.虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。