本技术涉及网络安全,尤其是涉及一种基于sdn的自适应高交互拟动态仿真克隆方法及装置。
背景技术:
1、蜜罐作为现有防御手段的重要补充,是一种有效的欺骗防御手段,在智能电网的安全防护中发挥了至关重要的作用。蜜罐技术的主要思想是采用一个故意设计为有缺陷的系统,专门用于引诱攻击者进入受控环境中,然后使用各种监控技术来捕获攻击者的行为,同时产生关于当前攻击行为、工具、技术的记录,甚至可以通过对应用程序中存在漏洞的数据进行分析,通过学习攻击者的工具和思路,对系统和网络中存在的漏洞进行修补,进一步提高系统和网络的安全性能,从而降低攻击者取得成功的可能性,有效地减少攻击对重要系统和网络信息的威胁。
2、由于智能电网结构及业务的复杂性,现有的蜜罐构建方法缺乏仿真能力,难以在攻击者建立连接请求后根据真实场景的情况进行响应,导致攻击者察觉而无法深度进入受控环境。
3、针对上述中的相关技术,发明人发现现有的蜜罐构建方法存在有反应能力差和隐蔽性差,不利于提升智能电网安全性能的问题。
技术实现思路
1、为了提高现有蜜罐的反应能力,增强蜜罐的隐蔽性,继而提升智能电网的安全性能,本技术提供了一种基于sdn的自适应高交互拟动态仿真克隆方法及装置。
2、第一方面,本技术提供一种基于sdn的自适应高交互拟动态仿真克隆方法。
3、本技术是通过以下技术方案得以实现的:
4、一种基于sdn的自适应高交互拟动态仿真克隆方法,包括以下步骤,
5、部署用于模拟基础数据传输服务的低交互蜜罐,形成第一层蜜罐墙,以及
6、部署用于模拟智能电网真实环境进行前后端数据交互的高交互蜜罐,形成第二层蜜罐墙;
7、监测智能电网中的流量数据;
8、当所述流量数据超过预设阈值时,仅启用所述第一层蜜罐墙向访问者提供服务;
9、获取所述访问者访问所述第一层蜜罐墙后、对外发起的网络数据;
10、检测所述网络数据是否满足报警条件;
11、当所述网络数据满足所述报警条件时,所述第一层蜜罐墙向所述访问者返回携带所述高交互蜜罐访问入口的模拟数据,同时仅启用所述第二层蜜罐墙向访问者提供服务;
12、获取所述访问者与所述第二层蜜罐墙时的交互数据,并对所述访问者采取预设的动作策略。
13、本技术在一较佳示例中可以进一步配置为:所述高交互蜜罐的训练步骤包括,
14、基于强化学习算法训练蜜罐,对智能电网的电力真实业务系统进行流量学习,输出用于已知攻击手法的确定性策略或用于未知请求或者未知攻击手法的随机性策略,并统计所述蜜罐得到的累积奖励;
15、判断所述累积奖励是否超过预设的目标数值;
16、当所述累积奖励超过所述目标数值时,将所述蜜罐作为高交互蜜罐,完成所述高交互蜜罐的训练。
17、本技术在一较佳示例中可以进一步配置为:所述低交互蜜罐的训练步骤包括,
18、基于基础互联网协议和基础网络服务,获取访问请求类型及对应的返回信息;
19、采用所述访问请求类型训练蜜罐,以输出对应的返回信息;
20、将训练后的所述蜜罐作为低交互蜜罐。
21、本技术在一较佳示例中可以进一步配置为:启用所述第一层蜜罐墙向访问者提供服务或启用所述第二层蜜罐墙向访问者提供服务的步骤包括,
22、配置openvswitch部署虚拟交换机;
23、利用openflow协议流表管理所述虚拟交换机;
24、利用mininet技术连接sdn底层,搭建第一蜜罐服务器或第二蜜罐服务器;
25、利用opendaylight控制器采集所述虚拟交换机的流表项信息;
26、采用sdn路径选择机制,将数据包的目的ip和mac地址转向所述第一蜜罐服务器或所述第二蜜罐服务器,以启用所述第一层蜜罐墙向访问者提供服务或启用所述第二层蜜罐墙向访问者提供服务。
27、本技术在一较佳示例中可以进一步配置为:所述sdn路径选择机制基于has算法进行路径探测,包括以下步骤,
28、预设网络拓扑结构及其任意两点之间的转换函数,所述转换函数用于模拟数据包的转发操作;
29、获取数据包的头节点的头部信息,得到路径的起点和目的地址;
30、根据所述网络拓扑结构获取下一跳虚拟交换机的流表项的头部信息,得到源地址;
31、执行探测任务,将所述目的地址和所述源地址进行二进制交运算,若存在交集,则将所述虚拟交换机作为目标虚拟交换机,以所述目标虚拟交换机的源地址作为所述路径的第二节点;
32、基于所述转换函数,判断所述第二节点是否为目的节点;
33、若所述第二节点不是目的节点,以所述目标虚拟交换机的源地址作为新的目的地址,并根据所述网络拓扑结构,以所述目标虚拟交换机作为起点,获取下一跳虚拟交换机的流表项的头部信息,得到下一跳源地址作为新的源地址,再次执行探测任务,直至找到所述目的节点,此时建立所述数据包的转发路径。
34、本技术在一较佳示例中可以进一步配置为:还包括以下步骤,
35、扫描所有低交互蜜罐和所有高交互蜜罐中的主机,以记录低交互蜜罐和高交互蜜罐的状态信息;
36、根据所述状态信息,结合预设的sdn架构,在不同网络区域部署蜜罐的复制节点,实现所述低交互蜜罐和所述高交互蜜罐之间的内部数据互通。
37、本技术在一较佳示例中可以进一步配置为:所述不同网络区域部署蜜罐的复制节点时,包括,
38、将所述低交互蜜罐部署于智能电网中外围非核心或次核心的主机中;
39、将所述高交互蜜罐部署于智能电网中核心的主机中。
40、本技术在一较佳示例中可以进一步配置为:所述扫描所有低交互蜜罐和所有高交互蜜罐中的主机的步骤前,还包括,
41、从所述第一层蜜罐墙中选取部分所述低交互蜜罐进行部署,以及
42、从所述第二层蜜罐墙中选取部分所述高交互蜜罐进行部署;
43、其中,所述低交互蜜罐的数量多于所述高交互蜜罐的数量。
44、本技术在一较佳示例中可以进一步配置为:还包括以下步骤,
45、对流入流出所述低交互蜜罐和所述高交互蜜罐的全部数据进行监控和分析,并抓取存储至本地文件中,得到基础数据;
46、将所述基础数据与预先设定的攻击特征数据包或异常数据数据包进行比对;
47、若所述基础数据符合所述攻击特征数据包或所述异常数据数据包,产生报警日志,并推送匹配所述攻击特征数据包或所述异常数据数据包的攻击破解策略。
48、第二方面,本技术提供一种基于sdn的自适应高交互拟动态仿真克隆装置。
49、本技术是通过以下技术方案得以实现的:
50、一种基于sdn的自适应高交互拟动态仿真克隆装置,包括,
51、部署模块,用于部署用于模拟基础数据传输服务的低交互蜜罐,形成第一层蜜罐墙,以及部署用于模拟智能电网真实环境进行前后端数据交互的高交互蜜罐,形成第二层蜜罐墙;
52、流量监测模块,用于监测智能电网中的流量数据;
53、一级蜜罐模块,用于当所述流量数据超过预设阈值时,仅启用所述第一层蜜罐墙向访问者提供服务;
54、异常数据采集模块,用于获取所述访问者访问所述第一层蜜罐墙后、对外发起的网络数据;
55、异常访问判断模块,用于检测所述网络数据是否满足报警条件;
56、二级蜜罐模块,用于当所述网络数据满足所述报警条件时,所述第一层蜜罐墙向所述访问者返回携带所述高交互蜜罐访问入口的模拟数据,同时仅启用所述第二层蜜罐墙向访问者提供服务;
57、动作策略模块,用于获取所述访问者与所述第二层蜜罐墙时的交互数据,并对所述访问者采取预设的动作策略。
58、综上所述,与现有技术相比,本技术提供的技术方案带来的有益效果至少包括:
59、部署低交互蜜罐模拟基础数据传输服务,形成第一层蜜罐墙,部署高交互蜜罐模拟智能电网真实环境进行前后端数据交互,形成第二层蜜罐墙,完成准备工作;当流量数据超过预设阈值时,默认外来访问者想利用业务服务器漏洞发起攻击,此时,仅启用第一层蜜罐墙向访问者提供服务,将攻击引导至第一层蜜罐墙,此时攻击者仅能与操作系统进行基础简单交互,不允许访问真正的root shell,也不使用大量资源进行系统维护;获取访问者访问第一层蜜罐墙后、对外发起的网络数据,用于分析攻击者的攻击能力强度,使第一层蜜罐墙能发挥一次捕捉和警报作用;当网络数据满足报警条件时,即攻击者的攻击能力超出第一层蜜罐墙的上限,此时令第一层蜜罐墙向访问者返回携带高交互蜜罐访问入口的模拟数据,同时仅启用第二层蜜罐墙向访问者提供服务,使得攻击者能与操作系统进行深度交互,为攻击者提供几近真实的攻击系统,并根据真实环境对攻击者作出反应,使得攻击者识别蜜罐的可能性大大降低;获取访问者与第二层蜜罐墙时的交互数据,并对访问者采取预设的动作策略,使得第二层蜜罐墙能够进行二次捕捉和降低攻击者对系统的破坏程度;采用低交互蜜罐和高交互蜜罐两阶段攻击响应机制,根据攻击者的攻击能力强弱,为不同攻击阶段构建对应的低交互蜜罐和高交互蜜罐,利用不同交互类型蜜罐有针对性地进行防御响应,提高了现有蜜罐的反应能力,增强了蜜罐的隐蔽性,有利于提升智能电网的安全性能。