本发明涉及网络安全防护,尤其涉及一种基于蜜罐混淆的欺骗防御方法、系统及可读存储介质。
背景技术:
1、前置蜜庭的攻击观测功能主要使用对已知攻击模式(标签)进行匹配的waf进行防御,攻击者一旦了解waf的防御机理,可以通过手动变异攻击载荷等方法绕过waf的防护。
2、因此,虽然防守方常常利用蜜罐分析攻击行为、捕获漏洞、甚至反制攻击者,但是攻击方可以通过蜜罐识别技术来发现和规避蜜罐,甚至有经验的攻击者能够利用反蜜罐技术及时察觉到这是一个“陷阱”而提早退出,从而会避开蜜罐,入侵到目标网络中,导致存在较大的网络安全隐患。
技术实现思路
1、本发明的目的在于提供一种基于博弈模型的网络防御方法、系统及可读存储介质,旨在解决传统网络防护技术因攻击方容易识别到蜜罐而规避,进而能够直接攻击到目标网络,导致存在较大的网络安全隐患的问题。
2、第一方面,本发明提供一种基于蜜罐混淆的欺骗防御方法,应用于前置蜜庭,所述方法包括:
3、获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据;
4、将所述第一流量数据转发至业务服务平台,并接收所述业务服务平台针对所述符合目标网络的服务协议的第一流量数据下发的响应信息,以将含有蜜罐识别特性的蜜罐伪装信息插入到所述响应信息中;
5、将插入蜜罐伪装信息后的响应信息发送至与所述第一流量数据对应的用户端,以使网络攻击者将所述业务服务平台识别为蜜罐。
6、综上,根据上述的基于蜜罐混淆的欺骗防御方法,通过将正常业务服务的流量数据插入带有蜜罐识别特性的蜜罐伪装信息,以利用蜜罐特性欺骗攻击者,使攻击者无法判别正常代理服务与蜜罐,进而让攻击者相信前置蜜庭就是蜜罐,从而达到使攻击者主动放弃继续攻击尝试的目的,从而提升了网络防御效果,降低了网络安全隐患。具体为,首先采集到访问目标网络的网络流量包,该网络流量包涉及大量用户端,而后对该网络流量包进行解析,以基于解析结果筛选出符合目标网络的服务协议的业务,该目标网络的服务协议与目标网络是对应的,进而得到正常访问业务流量(第一流量数据),而后再将该第一流量数据转发至业务服务平台,以使得该业务服务平台下发一个响应信息,而后前置蜜庭往该响应信息插入了蜜罐伪装信息,该蜜罐伪装信息含有蜜罐识别特性,而后再将该响应信息发送至用户端,以欺骗攻击者,让其误认为该业务服务平台就是蜜罐,进而能够使得攻击者尽可能少地攻击前置蜜庭代理的真实服务,有助于解决潜在安全风险问题。
7、进一步地,所述获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据的步骤包括:
8、对所述网络流量包进行解析,得到与所述网络流量包中包含的至少一条流量数据对应的五元组;
9、根据所述五元组遍历预设交换机流表,以根据遍历结果一一判断所述网络流量包中包含的数据流量是否符合目标网络的服务协议。
10、进一步地,所述获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据的步骤之后还包括:
11、获取不符合所述目标网络的服务协议的第二流量数据,并将所述第二流量数据转发至混淆器蜜罐,以使得所述混淆器蜜罐生成与所述第二流量对应的伪装响应,所述伪装响应包括含有蜜罐识别特性的蜜罐伪装信息。
12、进一步地,所述将所述第一流量数据转发至业务服务平台,并接收所述业务服务平台针对所述符合目标网络的服务协议的第一流量数据下发的响应信息,以将含有蜜罐识别特性的蜜罐伪装信息插入到所述响应信息中的步骤包括:
13、将所述第一流量数据转发至ngi nx服务端,并判断所述第一流量数据是否为恶意流量;
14、若所述第一流量数据为恶意流量,则将为恶意流量的第一流量数据重定向至蜜场。
15、进一步地,所述将所述第一流量数据转发至ngi nx服务端,并判断所述第一流量数据是否为恶意流量的步骤之后包括:
16、若所述第一流量数据不为恶意流量,则将不为恶意流量的第一流量数据转发至业务服务平台,得到所述响应信息;
17、发送多个蜜罐特征字段,并将多个蜜罐特征字段串联,得到所述蜜罐伪装信息,并将所述蜜罐伪装信息插入到所述响应信息中。
18、第二方面,本发明提供一种基于蜜罐混淆的欺骗防御系统,应用于前置蜜庭,所述基于蜜罐混淆的欺骗防御系统包括:
19、流量解析模块,用于获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据;
20、第一响应模块,用于将所述第一流量数据转发至业务服务平台,并接收所述业务服务平台针对所述符合目标网络的服务协议的第一流量数据下发的响应信息,以将含有蜜罐识别特性的蜜罐伪装信息插入到所述响应信息中;
21、伪装信息转发模块,用于将插入蜜罐伪装信息后的响应信息发送至与所述第一流量数据对应的用户端,以使网络攻击者将所述业务服务平台识别为蜜罐。
22、进一步地,所述流量解析模块包括:
23、数据解析单元,用于对所述网络流量包进行解析,得到与所述网络流量包中包含的至少一条流量数据对应的五元组;
24、遍历单元,用于根据所述五元组遍历预设交换机流表,以根据遍历结果一一判断所述网络流量包中包含的数据流量是否符合目标网络的服务协议。
25、进一步地,所述基于蜜罐混淆的欺骗防御系统还包括:
26、第二响应模块,用于获取不符合所述目标网络的服务协议的第二流量数据,并将所述第二流量数据转发至混淆器蜜罐,以使得所述混淆器蜜罐生成与所述第二流量对应的伪装响应,所述伪装响应包括含有蜜罐识别特性的蜜罐伪装信息。
27、第三方面,本发明提供一种可读存储介质,所述可读存储介质存储一个或多个程序,该程序被处理器执行时实现上述的基于蜜罐混淆的欺骗防御方法。
28、第四方面,本发明提供一种计算机设备,所述计算机设备包括存储器和处理器,其中:
29、所述存储器用于存放计算机程序;
30、所述处理器用于执行存储器上所存放的计算机程序时,实现上述的基于蜜罐混淆的欺骗防御方法。
1.一种基于蜜罐混淆的欺骗防御方法,应用于前置蜜庭,其特征在于,所述方法包括:
2.根据权利要求1所述的基于蜜罐混淆的欺骗防御方法,其特征在于,所述获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据的步骤包括:
3.根据权利要求1所述的基于蜜罐混淆的欺骗防御方法,其特征在于,所述获取关于多个用户端访问目标网络的网络流量数据包,并对所述网络流量数据包进行解析,以根据解析结果从所述网络流量数据包中筛选出符合目标网络的服务协议的第一流量数据的步骤之后还包括:
4.根据权利要求1所述的基于蜜罐混淆的欺骗防御方法,其特征在于,所述将所述第一流量数据转发至业务服务平台,并接收所述业务服务平台针对所述符合目标网络的服务协议的第一流量数据下发的响应信息,以将含有蜜罐识别特性的蜜罐伪装信息插入到所述响应信息中的步骤包括:
5.根据权利要求4所述的基于蜜罐混淆的欺骗防御方法,其特征在于,所述将所述第一流量数据转发至nginx服务端,并判断所述第一流量数据是否为恶意流量的步骤之后包括:
6.一种基于蜜罐混淆的欺骗防御系统,应用于前置蜜庭,其特征在于,所述基于蜜罐混淆的欺骗防御系统包括:
7.根据权利要求6所述的基于蜜罐混淆的欺骗防御系统,其特征在于,所述流量解析模块包括:
8.根据权利要求6所述的基于蜜罐混淆的欺骗防御系统,其特征在于,所述基于蜜罐混淆的欺骗防御系统还包括:
9.一种可读存储介质,其特征在于,所述可读存储介质存储一个或多个程序,该程序被处理器执行时实现如权利要求1-5任一项所述的基于蜜罐混淆的欺骗防御方法。
10.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,其中:
