一种蜜网防护方法及系统转让专利
申请号 : CN201710741136.1
文献号 : CN107370756B
文献日 : 2020-04-07
发明人 : 江国龙 , 刘文懋 , 梁琼瑶
申请人 : 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
摘要 :
本发明涉及网络安全领域,尤其涉及一种蜜网防护方法及系统,该方法为,对进入业务系统的数据流量进行异常检测;在检测到异常数据流量后,根据异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;根据业务系统的网络配置,对虚拟蜜网系统进行网络配置,并将异常数据流量调度到虚拟蜜网系统中,这样,创建和业务系统的业务服务一致的虚拟蜜网系统,并对虚拟蜜网系统进行网络配置,保证了虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性,提高了虚拟蜜网系统的隐蔽性,使得攻击引诱和分析取证更加隐蔽,不容易被攻击者发现,并且,部署也比较简单,能够在不增加业务网络开销的前提下,快速的部署到SDN网络中实现安全防护。
权利要求 :
1.一种蜜网防护方法,其特征在于,包括:
对进入业务系统的数据流量进行异常检测;
在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;
根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中,其中,根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,具体包括:为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。
2.如权利要求1所述的方法,其特征在于,将所述异常数据流量调度到所述虚拟蜜网系统中之后,进一步包括:对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,调用预设的安全资源池的安全防护服务进行防护。
3.如权利要求1所述的方法,其特征在于,进一步包括:
根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置软件定义网络SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
4.如权利要求1所述的方法,其特征在于,进一步包括:
根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
5.如权利要求2所述的方法,其特征在于,进一步包括:
在确定所述异常数据流量不是恶意攻击时,将所述异常数据流量送回至所述业务系统,并撤销所述虚拟蜜网系统。
6.一种蜜网防护系统,其特征在于,包括:
资源管理模块,用于调用预设的安全资源池的入侵检测服务,对进入业务系统的数据流量进行异常检测;
蜜网业务管理模块,用于在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;
蜜网网络管理模块,用于根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中,其中,根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置时,蜜网网络管理模块具体用于:为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。
7.如权利要求6所述的系统,其特征在于,将所述异常数据流量调度到所述虚拟蜜网系统中之后,进一步包括:威胁分析防护模块,用于对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,通知资源管理模块,以使资源管理模块调用预设的安全资源池的安全防护服务进行防护。
8.如权利要求6所述的系统,其特征在于,蜜网网络管理模块进一步用于:根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置软件定义网络SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
9.如权利要求6所述的系统,其特征在于,蜜网网络管理模块进一步用于:根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
10.如权利要求7所述的系统,其特征在于,威胁分析防护模块,进一步用于:在确定所述异常数据流量不是恶意攻击时,通知蜜网网络管理模块,以使蜜网网络管理模块将所述异常数据流量送回至所述业务系统,并通知蜜网业务管理模块,以使蜜网业务管理模块撤销所述虚拟蜜网系统。
说明书 :
一种蜜网防护方法及系统
技术领域
[0001] 本发明涉及网络安全领域,尤其涉及一种蜜网防护方法及系统。
背景技术
[0002] 蜜网是在蜜罐的基础上逐渐发展起来的一种新型的诱捕网络系统,是攻防博弈方在被动的环境中提出的一种主动防御手段。随着虚拟化技术的不断发展,动态虚拟蜜网越来越受到人们的关注,虚拟蜜网能够根据攻击者的访问行为,动态的进行蜜网的规划和组建,能够更快速的进行攻击诱骗,并且对攻击行为进行分析取证。
[0003] 动态虚拟蜜网的实现,离不开对业务网络的精确模拟以及流量的灵活调度。随着软件定义网络(Software Defined Networking,SDN)技术的不断成熟,其逻辑上分离的控制平面提供了开放的网络编程接口,这样在其控制平面上就能够动态、灵活的实现业务网络的模拟,并且进行相关流量的调度。
[0004] 现有技术中,蜜网系统通常包括以下几个部分:入侵检测模块、蜜网管理模块和流量管理模块。入侵检测模块对数据流进行入侵检测分析;流量管理模块将正常的数据流直接放行,进入真实的业务系统;蜜网管理模块将非正常数据流调度到蜜网系统中进行进一步的威胁分析、取证。
[0005] 但是,现有技术中,蜜网系统在构建时,仅考虑到了业务系统的模拟,即蜜网系统能够提供像真实业务系统一样的业务逻辑的响应交互,而网络上却采用不同于业务系统的网络地址进行组网配置,这对于高级入侵威胁,蜜网系统很容易被攻击者所发现,无法实现蜜网隐蔽性防护与取证等目的。
发明内容
[0006] 本发明实施例提供一种蜜网防护方法及系统,以进一步提高蜜网系统的隐蔽性。
[0007] 本发明实施例提供的具体技术方案如下:
[0008] 一种蜜网防护方法,包括:
[0009] 对进入业务系统的数据流量进行异常检测;
[0010] 在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;
[0011] 根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中。
[0012] 较佳的,将所述异常数据流量调度到所述虚拟蜜网系统中之后,进一步包括:
[0013] 对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,调用预设的安全资源池的安全防护服务进行防护。
[0014] 较佳的,根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,具体包括:
[0015] 为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。
[0016] 较佳的,进一步包括:
[0017] 根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置软件定义网络SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
[0018] 较佳的,进一步包括:
[0019] 根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
[0020] 较佳的,进一步包括:
[0021] 在确定所述异常数据流量不是恶意攻击时,将所述异常数据流量送回至所述业务系统,并撤销所述虚拟蜜网系统。
[0022] 一种蜜网防护系统,包括:
[0023] 资源管理模块,用于调用预设的安全资源池的入侵检测服务,对进入业务系统的数据流量进行异常检测;
[0024] 蜜网业务管理模块,用于在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;
[0025] 蜜网网络管理模块,用于根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中。
[0026] 较佳的,将所述异常数据流量调度到所述虚拟蜜网系统中之后,进一步包括:
[0027] 威胁分析防护模块,用于对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,通知资源管理模块,以使资源管理模块调用预设的安全资源池的安全防护服务进行防护。
[0028] 较佳的,根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置时,蜜网网络管理模块具体用于:
[0029] 为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。
[0030] 较佳的,蜜网网络管理模块进一步用于:
[0031] 根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置软件定义网络SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
[0032] 较佳的,蜜网网络管理模块进一步用于:
[0033] 根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
[0034] 较佳的,威胁分析防护模块,进一步用于:
[0035] 在确定所述异常数据流量不是恶意攻击时,通知蜜网网络管理模块,以使蜜网网络管理模块将所述异常数据流量送回至所述业务系统,并通知蜜网业务管理模块,以使蜜网业务管理模块撤销所述虚拟蜜网系统。
[0036] 本发明实施例中,对进入业务系统的数据流量进行异常检测;在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中,这样,根据业务系统,创建虚拟蜜网系统,使得该虚拟蜜网系统与业务系统的业务服务保持一致,并且,根据业务系统的网络配置,实现对该虚拟蜜网系统的网络配置,可以同时保证虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性,提高了虚拟蜜网系统的隐蔽性,使得攻击引诱和分析取证更加隐蔽,不容易被攻击者发现,并且,部署也比较简单,能够在不增加业务网络开销的前提下,快速的部署到SDN网络中实现安全防护。
附图说明
[0037] 图1为本发明实施例中,蜜网防护方法概述流程图;
[0038] 图2为本发明实施例中,蜜网防护方法详细流程图;
[0039] 图3为本发明实施例中,蜜网防护系统结构示意图;
[0040] 图4为本发明实施例中,蜜网防护系统架构图;
[0041] 图5为本发明实施例中,具体应用场景中蜜网防护系统架构图;
[0042] 图6为本发明实施例中,具体应用场景中蜜网防护系统架构图。
具体实施方式
[0043] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,并不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0044] 为了进一步提高蜜网系统的隐蔽性,本发明实施例中,检测到异常数据流量时,创建虚拟蜜网系统,并保证该虚拟蜜网系统与异常数据流量访问的目的地址对应的业务系统的业务逻辑和网络配置上的一致,以及,当确定为恶意攻击时,能够调用相应的安全防护服务进行防护。
[0045] 下面通过具体实施例对本发明方案进行详细描述,当然,本发明并不限于以下实施例。
[0046] 参阅图1所示,本发明实施例中,蜜网防护方法的具体流程如下:
[0047] 步骤100:对进入业务系统的数据流量进行异常检测。
[0048] 执行步骤100时,具体地:调用预设的安全资源池的入侵检测服务,对进入业务系统的数据流量进行异常检测。
[0049] 其中,预设的安全资源池,用于提供入侵检测、入侵防御以及访问控制等安全检测、防御服务,例如,虚拟化入侵检测系统(Virtual Intrusion Detection System,vIDS)、虚拟化下一代防火墙(Virtual Next-generation Firewall,vNF)、虚拟入侵防御系统(Virtual Intrusion Prevention System,vIPS)等。安全资源池可以预先设置,在需要时,就可以申请调用其中相应的服务来使用。
[0050] 本发明实施例中,使用蜜网防护方法进行防护时,申请安全资源池的入侵检测服务,将访问数据入方向的数据流量进行异常检测,即对想要进入业务系统的数据流量进行异常检测。
[0051] 当然,也可以采用其它的入侵检测方法,对数据流量进行异常检测,本发明实施例中,并不进行限制。
[0052] 步骤110:在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统。
[0053] 执行步骤110时,具体包括:
[0054] 首先,在检测到异常数据流量后,确定异常数据流量访问的目的地址对应的业务系统。
[0055] 例如,检测到源互联网协议(Internet Protocol,IP)地址为100.0.0.11的数据流量存在异常,并且该源IP地址访问的目的地址为10.0.0.12,则可以找到IP地址为10.0.0.12的业务主机,进而,可以确定该业务主机上部署的各服务。
[0056] 然后,创建虚拟蜜网系统。
[0057] 具体地,针对业务系统的业务服务,创建虚拟蜜网系统,这样,可以保证两者业务逻辑的一致性。
[0058] 例如,如果10.0.0.12的业务主机为虚拟机,则可以直接复制一份IP地址为10.0.0.12的业务主机,使得虚拟蜜网系统内部部署的业务逻辑与该IP地址为10.0.0.12的业务主机保持一致。
[0059] 值得说明的是,本发明实施例中,只要保证虚拟蜜网系统中,能够提供真实业务系统中的业务服务即可,即和真实业务系统中的业务服务相同,但并不包括真实的数据,这样,可以进一步提高安全性,不会泄露用户的数据和信息。例如,业务系统中包括的业务服务是web服务,创建虚拟蜜网系统时,在虚拟蜜网系统中,也需包括此web服务的全部业务模块,但并不复制其数据库中的真实数据,或其它敏感信息。
[0060] 这样,可以实现动态创建虚拟蜜网系统,并且,可以保证创建的虚拟蜜网系统与真实的业务系统的业务逻辑保持一致,特别是,如果业务系统是基于网络功能虚拟化(Network Functions Virtualisation,NFV)的,那么就可以做到两者系统是完全一样的(数据不一样),实现虚拟蜜网系统与异常数据流量的高交互。
[0061] 步骤120:根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中。
[0062] 实际中,实现蜜网系统最大的诱捕效果,需要尽可能的保证蜜网系统与业务系统的一致性,本发明实施例中,不仅保证虚拟蜜网系统与业务系统的业务逻辑上的一致性,还保证了虚拟蜜网系统与业务系统的网络配置上的一致性,可以进一步提高虚拟蜜网系统的隐蔽性,不容易被攻击者发现。
[0063] 执行步骤120时,具体包括:
[0064] 1)为虚拟蜜网系统分配与业务系统一致的IP地址和介质访问控制(Media Access Control,MAC)地址。
[0065] 当然,也可以包括其它的网络配置,本发明实施例中,并不进行限制,目的是为了尽量保证两者网络配置的一致。
[0066] 本发明实施例中,若在虚拟蜜网系统中创建了多个虚拟机,不仅需要配置每个虚拟机的IP地址和MAC地址,还需配置虚拟蜜网系统中连接各虚拟机的虚拟交换机,使非虚拟业务交互流量不会流出虚拟蜜网系统。
[0067] 这是因为,本发明实施例中,创建的虚拟蜜网系统与真实的业务系统在业务逻辑和网络配置上均一致,在同一张大网里会存在两个完全一致的网络,可能会发生网络风暴和网络异常,这样,对交换机进行配置,可以保证业务系统不会受到虚拟蜜网系统的影响,不会出现网络风暴和网络异常。
[0068] 2)配置SDN交换机,包括以下两部分:
[0069] 第一部分:根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
[0070] 第二部分:根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
[0071] 执行步骤120之后,进一步包括:
[0072] 对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,调用预设的安全资源池的安全防护服务进行防护。
[0073] 进一步地,还可以同时完成对异常数据流量的取证。
[0074] 本发明实施例中,利用虚拟蜜网系统对异常数据流量进行分析,同时能够联动安全防护服务对确定的异常数据流量进行防护,有效地解决了安全设备的误报问题,提高防护精度。
[0075] 进一步地,在确定异常数据流量不是恶意攻击时,则将异常数据流量送回至所述业务系统,并撤销所述虚拟蜜网系统。
[0076] 本发明实施例中,创建虚拟蜜网系统进行异常检测,并对该虚拟蜜网系统进行业务和网络的配置,以及确定不是异常数据流量时,可以撤销该虚拟蜜网系统,这样,一方面,实现了虚拟蜜网系统的动态创建和撤销,同时保证了虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性,提高了虚拟蜜网系统的隐蔽性,使得攻击引诱和分析取证更加隐蔽,不容易被攻击者发现。另一方面,通过虚拟蜜网系统的精准分析和取证,结合安全资源池,能够与多种安全防护服务进行有效的联动,提高安全防护的精准度。
[0077] 并且,基于SDN技术的快速发展,本发明实施例,虚拟蜜网系统部署简单,对现网影响较小,能够在不增加业务网络开销的前提下,快速的部署到SDN网络中实现安全防护。
[0078] 下面采用一个具体的应用场景对上述实施例作出进一步详细说明。具体参阅图2所示,本发明实施例中,蜜网防护方法的执行过程具体如下:
[0079] 步骤200:调用预设的安全资源池的入侵检测服务,对数据流量进行异常检测。
[0080] 步骤201:判断是否存在异常数据流量,若是,则执行步骤203,否则,则执行步骤202。
[0081] 步骤202:使数据流量继续访问相应真实的业务系统。
[0082] 步骤203:针对业务系统的业务服务,创建虚拟蜜网系统。
[0083] 步骤204:根据业务系统的网络配置,对虚拟蜜网系统进行网络配置。
[0084] 步骤205:将异常数据流量调度到虚拟蜜网系统中。
[0085] 步骤206:对虚拟蜜网系统中异常数据流量进行行为分析。
[0086] 步骤207:判断该异常数据流量是否是恶意攻击,若是,则执行步骤208,否则,则执行步骤209。
[0087] 步骤208:调用预设的安全资源池的安全防护服务进行防护。
[0088] 步骤209:将该数据流量调度到业务系统中,并撤销虚拟蜜网系统。
[0089] 基于上述实施例,参阅图3所示,本发明实施例中,蜜网防护系统,具体包括:
[0090] 1)资源管理模块30,用于调用预设的安全资源池的入侵检测服务,对进入业务系统的数据流量进行异常检测。
[0091] 本发明实施例中,资源管理模块30是用于管理安全资源池中的各种安全服务,例如,入侵检测服务、安全防护服务等,可以申请调度安全资源池中的各种安全服务。
[0092] 入侵检测服务检测到异常数据流量后,资源管理模块30会将该异常数据流量的相关信息,通知给蜜网业务管理模块31。
[0093] 2)蜜网业务管理模块31,用于在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统。
[0094] 例如,创建虚拟蜜网系统的虚拟机集群,保证虚拟机集群部署有相关的业务系统。
[0095] 这样,可以实现虚拟蜜网系统与业务系统在业务逻辑上的一致。
[0096] 3)蜜网网络管理模块32,用于根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中。
[0097] 具体地,根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置时,蜜网网络管理模块32具体用于:
[0098] 为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。
[0099] 进一步地,蜜网网络管理模块32还用于:
[0100] 根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址,配置SDN交换机,使所述异常数据流量调度到所述虚拟蜜网系统,并且,使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。
[0101] 进一步地,蜜网网络管理模块32还用于:
[0102] 根据所述虚拟蜜网系统的IP地址,配置SDN交换机,使从所述虚拟蜜网系统发出的数据流量,但不是发送给所述异常数据流量的源IP地址的所有数据流量,做丢弃处理。
[0103] 也就是说,本发明实施例中,蜜网网络管理模块32,可以用于两方面,一方面用于在虚拟蜜网系统创建时,对虚拟蜜网系统的网络进行配置,包括虚拟机的IP地址和MAC地址,以及连接各虚拟机的虚拟交换机;另一方面,对SDN交换机进行配置,将异常数据流量调度到虚拟蜜网系统中,实现异常数据流量在进、出虚拟蜜网系统两个方向上的通路。
[0104] 这样,可以保证虚拟蜜网系统与业务系统在网络配置上的一致,并保证在同一个大网里存在两个完全一致的网络情况下,不会发生网络风暴和网络异常。
[0105] 4)威胁分析防护模块33,用于对所述虚拟蜜网系统中的所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,通知资源管理模块30,以使资源管理模块30调用预设的安全资源池的安全防护服务进行防护。
[0106] 进一步地,威胁分析防护模块33,还用于:
[0107] 在确定异常数据流量不是恶意攻击时,通知蜜网网络管理模块32,以使蜜网网络管理模块32将所述异常数据流量送回至所述业务系统,并通知蜜网业务管理模块31,以使蜜网业务管理模块31撤销所述虚拟蜜网系统。
[0108] 这样,确定为恶意攻击时,通知资源管理模块30,资源管理模块30可以调用安全资源池的安全防护服务进行防护,解决了对异常数据流量的防护问题,并提高了防护精准度。
[0109] 具体参阅图4所示,为本发明实施例中,蜜网防护系统架构图。
[0110] 从图4可知,本发明实施例中,蜜网防护方法,至少包括蜜网防护系统和安全资源池。
[0111] 其中,蜜网防护系统包括资源管理模块、蜜网网络管理模块、蜜网业务管理模块和威胁分析防护模块。
[0112] 并且,蜜网防护系统,与安全资源池结合,实现对安全资源池的各安全服务的调用和管理。
[0113] 安全资源池中,例如可以包括vIDS、vNF和vIPS等安全设备提供的安全服务。
[0114] 创建的虚拟蜜网系统,可以根据业务系统的数量,相应地创建多个蜜网。例如,图4中,示出了有两个业务系统,包括业务系统1和业务系统2,相应地,创建了蜜网1和蜜网2的情况。
[0115] 访问者通过网络(Internet)、路由器,再经由SDN交换机,分别与安全资源池、业务系统和虚拟蜜网系统进行通信。
[0116] 首先,访问者向业务系统发送数据流量,资源管理模块调用安全资源池的入侵检测服务,对该数据流量进行异常检测。
[0117] 然后,检测为异常数据流量后,蜜网业务管理模块,针对业务系统的业务服务,创建虚拟蜜网系统。
[0118] 然后,蜜网管理模块对虚拟蜜网系统进行网络配置,使其与业务系统的网络配置一致,并将异常数据流量调度到虚拟蜜网系统中。
[0119] 最后,威胁分析防护模块对异常数据流量进行行为分析,若是恶意攻击,则通知资源管理模块,申请安全资源池的安全防护服务进行防护,若不是恶意攻击,则通知蜜网网络管理模块,将该数据流量送回至业务网络,并通知蜜网业务管理模块撤销该虚拟蜜网系统。
[0120] 下面采用一个具体的应用场景对上述实施例作出进一步详细说明。具体参阅图5和图6,蜜网防护整个过程的具体实现和相关配置。
[0121] (1)资源管理模块向安全资源池申请入侵检测服务,对访问者的数据流量进行异常检测。
[0122] (2)参阅图5所示,资源管理模块通知蜜网网络管理模块对SDN交换机进行配置。
[0123] 例如,可以是如下形式的流表:
[0124] priority=10,sip=100.0.0.11,inport=1,dip=10.0.0.12,action=output:2,3
[0125] priority=10,sip=10.0.0.12,inport=2,dip=100.0.0.11,action=output:1,3
[0126] 其中,priority表示优先级,sip表示源IP地址,inport表示数据流量入的方向,dip表示目的IP地址,action表示相应操作动作,output表示数据流量出的方向。
[0127] 其中第1条流表的意思是:该流表的优先级(priority)为10,对于源ip是100.0.0.11,进口是1,目的ip是10.0.0.12的数据流量,均从SDN交换机的2、3号口出,也就是将访问数据入方向的数据流量复制一份给入侵检测服务。
[0128] 其中第2条流表的意思是:该流表的优先级为10,对于源ip是10.0.0.12,进口是2,目的ip是100.0.0.11的数据流量,均从SDN交换机的1、3号口出,也就是将访问数据出方向的数据流量复制一份给入侵检测服务。
[0129] (3)若检测到源ip地址为100.0.0.1的数据流量存在异常,并且该源ip地址访问的目标服务地址为10.0.0.12。
[0130] (4)参阅图6所示,资源管理模块通知蜜网业务管理模块,动态生成一个虚拟蜜网系统,该虚拟蜜网系统中部署的业务服务与IP地址为10.0.0.12的正常业务主机完全一致。
[0131] (5)参阅图6所示,资源管理模块通知蜜网网络管理模块对虚拟蜜网进行网络配置,包括虚拟蜜网系统中的主机配置(IP地址/MAC地址与业务系统完全一致)和SDN交换机配置;其中SDN交换机的配置可以采用如下流表方式:
[0132] priority=10,sip=100.0.0.11,inport=1,dip=10.0.0.12,action=output:3
[0133] priority=10,sip=10.0.0.12,inport=3,dip=100.0.0.11,action=output:1
[0134] priority=0,inport=3,action=drop
[0135] 其中,drop表示丢弃。
[0136] 第1条流表的意思是:该流表的优先级为10,对于源ip是100.0.0.11,进口是1,目的ip是10.0.0.12的数据流量,均从SDN交换机的3号口出,也就是将异常数据流量全部重定向到虚拟蜜网系统中。
[0137] 第2条流表的意思是:该流表的优先级为10,对于源ip是10.0.0.12,进口是3,目的地址是100.0.0.11的数据流量,均从SDN交换机的1号口出,也就是将虚拟蜜网系统对异常数据流量的回应送回给疑似攻击者。
[0138] 第3条流表的意思是:该流表的优先级为0,对于从3号口进来的数据流量均采取丢包处理。
[0139] 由于在OpenFlow协议中,priority的值越大,该流表项的优先级越高,因此对于虚拟蜜网系统发出来的数据流量,会优先匹配流表2,如果不是对疑似攻击者的回应流量,那么SDN交换机会将其进行丢弃。
[0140] (6)威胁分析防护模块会针对异常数据流量在虚拟蜜网系统中的行为进行分析,如果确定是恶意攻击,那么威胁分析防护模块会通知资源管理模块,向安全资源池申请安全防护服务,将恶意攻击的异常数据流量进行阻拦,同时威胁分析防护模块完成虚拟蜜网系统内的取证工作。
[0141] (7)如果威胁分析防护模块经过对虚拟蜜网系统中的异常流量分析发现其不是恶意攻击,那么威胁分析防护模块通知蜜网网络管理模块将该异常数据流量送回至业务系统,并通知蜜网业务管理模块撤销该虚拟蜜网系统。
[0142] 综上所述,本发明实施例中,对进入业务系统的数据流量进行异常检测;在检测到异常数据流量后,根据所述异常数据流量访问的目的地址对应的业务系统,创建虚拟蜜网系统;根据所述业务系统的网络配置,对所述虚拟蜜网系统进行网络配置,并将所述异常数据流量调度到所述虚拟蜜网系统中,这样,创建虚拟蜜网系统,使得该虚拟蜜网系统与业务系统的业务服务保持一致,并且,根据业务系统的网络配置,对该虚拟蜜网系统进行网络配置,可以同时保证虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性,提高了虚拟蜜网系统的隐蔽性,使得攻击引诱和分析取证更加隐蔽,不容易被攻击者发现,并且,部署也比较简单,能够在不增加业务网络开销的前提下,快速的部署到SDN网络中实现安全防护。
[0143] 并且,基于所述虚拟蜜网系统,对所述异常数据流量进行行为分析,判断所述异常数据流量是否为恶意攻击,在确定所述异常数据流量是恶意攻击时,调用预设的安全资源池的安全防护服务进行防护,这样,结合安全资源池,能够与多种安全防护服务进行有效的联动,在发现恶意攻击后,能够及时有效地对其进行防护,提高了安全防护的精准度。
[0144] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0145] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0146] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0147] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0148] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0149] 显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。