一种基于动态欺骗的内网攻击防御方法
1.本发明涉及动态网络
技术领域:
:,尤其涉及一种基于动态欺骗的内网攻击防御方法。
背景技术:
::2.进入到21世纪,随着互联网技术的发展,物联网、车联网等新兴科技也迅速普及,如今世界已经进入了数字时代,面临着信息科技爆发前进的境况,这改变了每个人的生活习惯、学习方式,改变了每个人与社会相处的模式,网络在世界前进道路中发挥的作用也越来越大。3.为了改变网络空间中进攻和防御力量的不对称性,弥补传统防御方法的缺陷,迅速感知威胁,延迟攻击并保护资产安全,有研究者开始关注动态欺骗的防御方式。一种对于动态欺骗技术的定义是:“通过部署具有欺骗性质的诱饵,干扰攻击者对网络系统的认知流程,从而使得其始终难以找寻想要攻击的目标;通过对系统中可被攻击者利用的信息进行动态修改,使得攻击者始终疲于追寻真正的目标,最终放弃攻击。”gartner的《2018年威胁响应技术成熟度曲线报告》显示,欺骗和伪装可以在未来5-10年内进入主流市场,并保护现有的安全系统。对安全技术的发展趋势产生深远影响。4.现有的防御方法诸如ids、蜜罐等已经相当成熟,但是近年来信息化的迅猛发展带来了蠕虫、木马、高级持续性威胁(apt)攻击等,这些未知而持久的威胁使网络安全面临着容易受到攻击且难以防御的严峻挑战。世上没有不存在问题的程序,也不存在没有漏洞的系统,网络系统一经诞生就面临着各种各样的攻击,或是由本身的设计缺陷导致,或是被攻击者先进的攻击手段攻破。而网络系统及其内部各种硬件设备集合本身具有结构性、系统性、静态性,其这些特征导致网络系统是网络黑客攻击的常客,网络黑客只需要发现内网系统的一个漏洞,就可以进行攻击,而防御者则必须对整个网络的漏洞都进行防御才能够有效抵御黑客的入侵,这种攻防严重不对称的问题使得攻击者可以肆无忌惮的进行攻击,即便攻击失败,也可以当作下次攻击的优化。因此,现有的诸如入侵检测、基于规则的防火墙等防护手段,往往在网络安全领域难以起到完备的效果。5.为了改变这种进攻方和防守方信息不对称的现状,移动目标防御(mtd)应运而生,它是为“改变游戏规则”而提出的防御研究方向。其核心思想是通过部署和构建多样化的网络防御策略及系统,来以此提高攻击者发动攻击的成本,减少了攻击者探寻、利用漏洞的机会,从而减少防御方漏洞暴露的风险。对需要防御的系统进行有规则的特征转移,增加系统的动态性,此种方式使得攻击者将其精力耗费在对攻击目标的追寻过程中,从而达到了降低攻击成功率的效果,提升网络系统的安全性。因此,为了解决这种不平衡性,此系统提出了一种新的主动防御范例,基于动态欺骗的网络攻击防御系统,可以在不依赖入侵检测和预防的情况下,通过提供网络敏捷性作为系统属性来阻止或欺骗网络攻击者。技术实现要素:6.为此,本发明首先提出一种基于动态欺骗的内网攻击防御方法,首先基于docker技术在linux系统下进行诱饵部署;之后采取诱饵伪装策略,设置诱导机制主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐,诱导攻击者对部署的诱饵进行访问时进行虚假响应,使诱饵节点模拟真实主机产生流量,模拟主动释放流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化,通过极大的不可预测性和自适应性重新分配网络,设置能够分配给诱饵的每个ip范围的权重,以所述ip范围的权重反映攻击者在该范围内的活动频率,并采取概率调和的方式动态的改变选取诱饵选取每个ip的概率,将诱饵更多的分配攻击者高度扫描的范围和危险地址,提高系统的网络敏捷性,最终达到欺骗侦查攻击的效果,使得利用发送数据包、监听数据包的侦查攻击者始终无法定位到真实目标。7.所述诱饵节点容器化技术具体为,在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥,docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关,在主机上创建一对虚拟网卡veth对设备,docker将veth对设备的一端放入新创建的容器中另一端放置在主机中,然后将此网络设备添加到docker0网桥。8.所述主动释放流量具体方式为:利用真实主机在没有任务执行时也定时发送报文的机制,使用网络抓包工具wireshark采集需要模拟的系统的主机的报文发送情况,根据收集到的数据,指导诱饵按照相应的频率、种类主动发送报文。9.所述ip范围的权重的定义如下,并使用加权均匀采样来选择地址,参数详解见表2:[0010][0011]其中hfm地址集{eij}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中eij是分配给该诱饵的范围rj中的第i个地址,k表示采样ip范围的数目,h表示危险范围的集合。[0012]所述概率调和的方式为:针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶,对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引,在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:[0013][0014]其中,sizei为此桶初始大小。[0015]本发明所要实现的技术效果在于:[0016](1)诱饵伪装策略为了应对攻击者进行网络攻击的扫描阶段,针对诱饵进行相应的伪装,使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别,从而实现欺骗攻击者的目的,达到提升网络敏捷性的目的。[0017](2)随机诱饵地址突变策略通过允许地址随机性高度不可预测和快速且适应敌对行为,通过快速表征对抗侦察模式来适应突变方案,通过将突变与最终诱饵分离并通过网络设备进行管理,实现较高的突变率,同时实现较低的操作和重新配置开销,从而实现了最大的功效。[0018](3)使用网络望远镜这一利用网络中未使用ip地址构建扫描系统这一概念,对网络中的内网攻击进行防御,同时利用蜜罐技术,将诱饵中捕捉的网络流定向发送到蜜罐中,从而分析攻击者的行为特征、采取反制措施,达到震慑攻击者的目的。附图说明[0019]图1bridge模式结构图;[0020]图2修改后的路由表;[0021]图39小时不同范围数诱饵流量占比对比图;[0022]图4不同诱饵个数捕获流量占比对比;[0023]图5诱饵节点伪装流量占比;[0024]图6诱饵个数对网络性能影响具体实施方式[0025]以下是本发明的优选实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于此实施例。[0026]本发明提出了一种基于动态欺骗的内网攻击防御方法,该内网攻击防御系统的方法主要在部署诱饵后,包括两个方面:诱饵伪装和诱饵分配。网络欺骗是网络敏捷技术的一种,可通过伪造系统资源误导攻击者,使攻击者转移到无效目标进行攻击。在本方法中,我们设计了两种能够主动防御的网络欺骗技术,即随机诱饵地址突变和诱饵伪装策略。两种技术都致力于在侦察或信息收集阶段克服高级网络威胁。[0027]诱饵部署:[0028]当docker进程启动时,将在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥。虚拟网桥就像物理交换机一样工作,因此主机上的所有容器都通过该交换机连接到第2层网络。[0029]从docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关。在主机上创建一对虚拟网卡veth对设备。docker将veth对设备的一端放入新创建的容器中,并将其命名为eth0(容器的网卡),另一端以类似名称vethxxxname放置在主机中,然后将此网络设备添加到docker0网桥。可以通过brctlshow命令查看它。桥接模式是docker的默认网络模式。如果未写入‑‑net参数,则为桥接模式。当使用dockerrun-p时,docker实际上在iptables中制定了dnat规则以实现端口转发功能。可以使用iptables-tnatꢀ‑vnl进行查看。[0030]根据上述对docker网络模式的分析可知,当用户使用docker时,网络配置过程有如下几个步骤。[0031]1.在主机上创建虚拟网卡vethpair设备,而且veth设备总是成对出现的,为了实现docker和宿主机的通信,虚拟网卡设备组成数据通道,数据从一边进入,从另一边出来。[0032]2.自动创建docker后,veth的一段被命名为eth0放置在新创建的容器中,而另一端则随机命名放在宿主机中,并将此网络设备连接到系统创建的docker0网桥中。[0033]3.一般来说,docker网桥的网络ip都为172.17.0.1/16,用户每创建一个docker都会从此网段中分配一个ip给容器使用,并将docker0的网络地址设置为容器的默认网关,实现网络的通信。[0034]由本方法中诱饵的作用,以及攻击者的攻击方式,两种方面考虑来看。默认的docker网络分配方式并不符合本方法的要求。一般来说,网络攻击者对内网系统进行扫描时,一般会对已侵占主机的统一网段进行扫描。比如攻击者侵占了192.168.2.140的主机,接着攻击者的扫描规则会在192.168.2.0/24这个网段生效,因此,攻击者并不会扫描到docker0网桥的ip地址,诱饵无法达到相应的目的。[0035]本方法深入调研docker网络模式的运行原理,以及linux系统桥接等原理,设计了一种网络分配方式,使得分配的docker的ip地址和宿主机处在同一网段中,并且能和外部主机进行通信,很好的契合了本方法对于诱饵的要求。[0036]根据linux的网络分配方式,通过相应的指令对网络配置进行查询,可以看出,宿主机通常拥有一块命名为eth0的网卡,此网卡的ip地址由所在路由区域的dhcp协议进行分配。而宿主机安装docker之后,网络中便会多出一块docker0的网卡,两者通过linux自带的kernel进行通信,具体的,kernel把同一台宿主机的不同网卡通过桥接的方式联系在一起,使得不同网卡可以双向通信,而不用考虑路由协议等其他因素的影响。本方法则对宿主机的网络配置进行更改。[0037]1)我们创建了命名为br0的网桥,将此网桥的ip信息改成初始网卡的ip信息,同时清除掉初始网卡的ip配置,这样修改之后,使得网络中所有设备都通过br0网桥进行连接通信,eth0、ens33网卡等都通过br0网桥进行ip分配及通信,所有的设备都模拟插入在br0网桥上。[0038]2)通过上述的步骤,虽然创建出了br0网桥,此时网桥的ip地址也和初始的宿主机一致,但是此时的宿主机是接不到互联网的。因为我们只是改变了其静态的ip地址,但是网络路由还未修改。需要把之前的默认路由删掉,把之前ens33的路由删除,因为此时的ens33已经不再担任和互联网通信的功能,而添加进去br0的默认路由,所有的通信通过我们创建的br0网桥进行,这样修改之后,才使得网络配置达到了我们的一系列要求。[0039]3)修改docker分配网络的方式,用户创建docker时,默认的情况下,会把docker以桥接的方式接入docker0网桥上,此时docker的ip地址和docker0网桥的ip地址在同一网段下。而我们通过docker自带的pipework命令,将docker分配网络时,由之前的docker0网桥,改变成我们创建的br0网桥,此时创建出的docker就和宿主机在同一网段上。其和宿主机一样,都通过桥接的方式插入在br0网桥上,可以互相通信,也可以和宿主机之外的主机通信。[0040]诱饵节点伪装策略:[0041]网络攻击者经常使用apt等方式对系统进行攻击,而apt攻击的横向移动阶段是其占领系统的必经之路。高级攻击者不仅会通过主动侦察的方式去找寻网络中可被攻击的设备,还会通过嗅探的方式,探寻网络中的其他设备,攻击者往往是通过被动嗅探的方式,来判断网络中的主机是否是真实主机、是否是蜜罐、是否是诱饵,以此来决定其下一步的进攻路线,因此,如何对诱饵进行伪装是一件非常重要的举措,可以有效的迷惑攻击者,使得其无法判断诱饵和主机的区别。而本方法为了应对攻击者进行网络攻击的扫描阶段,针对诱饵进行相应的伪装,使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别,从而实现欺骗攻击者的目的,达到提升网络敏捷性的目的。[0042]在诱导机制中,诱饵的主要工作是主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐。对于诱饵而言,它更希望遭受到攻击者的攻击,并且避免被攻击者识别。因此,诱饵需要尽可能地伪装成真实主机,以欺骗攻击者的被动侦查,避免被攻击者识别。[0043]关于诱饵的欺骗伪装,本方法给出了设计思路。诱饵的伪装,其目的就是将诱饵伪装的尽可能相似于真实主机,因此,为了实现诱饵的伪装效果,本方法的设计主要考虑以下两个角度。[0044](1)虚假响应[0045]该部分的主要目的在于,当攻击者对部署的诱饵进行访问时,诱饵能像真实的主机一样给出回应,而本方法采取docker的方式部署诱饵,其本身就能对网络层的协议进行相应的回应,比如ping请求。但同时,为了使得诱饵的伪装效果更加逼真,本方法采集了真实主机的流量情况,从而指导诱饵的访问回应。[0046](2)诱饵节点主动释放流量[0047]该部分的目的则是让诱饵节点模拟真实主机产生流量,上方法介绍到,真实主机在没有任务执行的时候,也会定时发送诸如arp等报文,而高级攻击者往往会监听这些报文信息,从而判断此主机是真实主机,还是诱饵。因此,本方法采集了windows10系统的主机的报文发送情况,根据收集到的数据,指导诱饵也按照相应的频率、种类主动发送报文,从而达到更好的伪装效果。[0048]表1windows10主机一小时流量产生情况[0049][0050][0051]本方法使用网络抓包工具wireshark获取流量信息,并以windows10主机为例进行简要分析,表为连接校园网的windows10主机一小时内的流量产生情况。[0052]在所监测的一小时内,共捕获报方法418380条,其中主要为tcp报方法,占总报方法数目的96.9%。因此,如果在使用windows10镜像部署诱饵时,便可以参考表中的各报文占比和频率模拟产生流量。[0053]在实际使用时,用户应该收集更长时间的流量信息,并根据流量信息采用相应策略决定模拟产生哪些流量和模拟哪些流量的虚假响应。[0054]诱饵地址突变策略[0055]在本方法中,我们提出了一种有效的地址随机突变策略,称为随机诱饵地址突变(rbd),它将上方法阐述的诱饵变成无法追踪的移动目标。该技术通过允许地址随机性高度不可预测和快速且适应敌对行为,同时实现较低的操作和重新配置开销,从而实现最大的功效。[0056]为了破坏内网攻击者利用网络系统内部设备信息静态特性的侦察活动,同时,也为了应对依赖于主机ip地址的静态性所进行的扫描侦察、攻击行为,已经有研究者提出了基于dhcp或nat的ip地址随机突变技术,但这些技术归根结底仍然是对主机信息的变化,而主机无时无刻都在承担着通信的功能,指纹信息的变换会对当前通信造成巨大的影响,十分影响网络的效率,因此这些方法无法释放网络地址随机化的全部潜力,其保护内部网络免受未知攻击、扫描攻击的侵害的效果有限,而本方法提出的方法则旨在通过分析和对抗网络攻击者的攻击行为,通过极大的不可预测性和自适应性重新分配网络,从战略上提高系统的网络敏捷性,从而主动的阻止攻击方的攻击进度。rbd不是对传统网络环境的改变,而是对其进行补充,通过部署诱饵的方式,提高系统的防御能力。[0057]通过将诱饵更多的分配攻击者高度扫描的范围和危险地址,从而可以实现对攻击者感知行为的适应性。为了更好的适应高度扫描范围,本方法设置相关权重与能够分配给诱饵的每个ip范围相关联,其中范围的权重反映攻击者在该范围内的活动频率。与网络的其他范围相比,范围较大的权重表明该范围内的攻击者活动较高。适应性约束指出,当有几种分配方案可用时,必须将范围分配给诱饵,以使分配给每个诱饵的范围的总权重高于可接受的阈值。这样可确保在攻击者高度扫描时,从该范围中选择概率较高的ip,从而最大程度地增加了攻击者扫描诱饵的机会,也使得此系统能够适应性的调整分配策略,更多的捕捉到攻击者的攻击信息。[0058]表2突变策略各参数详解[0059]lfm每隔lfm间隔,更新一次权重hfm每隔hfm间隔,为节点选择一次ipωj与范围rj相关的权重rj一个ip地址范围[0060]为诱饵分配新的ip,其中ip是从当前lfm间隔中分配给诱饵的范围(突变空间)中选择的。假设将k个范围分配给当前lfm间隔的诱饵。对于每个hfm间隔,基于加权的均匀分布并基于与这些范围中的每个范围相关的权重,从这k个范围中采样ip。具体而言,假设hfm地址集{eij}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中eij是分配给该诱饵的范围rj中的第i个地址。每个地址的权重定义如下,并使用加权均匀采样来选择地址:[0061][0062]其中h表示危险范围的集合。对于ωj=0的范围,其所有地址范围的权重均为0,也不会选择它们作为ip。[0063]针对于给诱饵从选定的范围里分配新的ip,选取的均匀性是非常重要的一环,使得选取的可能性的熵最大,也是需要关注的问题。本方法采取概率调和的方式,动态的改变选取诱饵选取每个ip的概率,使得在长时间范围来看,所有的ip被选取的概率一致。针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶。[0064]对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引。[0065]在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵。[0066]为了实现上方法中所述的概率调和,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:[0067][0068]其中,sizei为此桶初始大小,根据此公式,每一个hfm间隔之后,被选中的ip所属于的桶的大小变小,而其他未被选中的ip的桶增加,这样使得下次选取ip时,能够起到概率调和的作用,增加了未被选中的ip被选中的概率。[0069]实验结果:[0070]基于上述相关研究与讨论,本发明设计了三组对比实验。第一组对比实验:测试在诱饵个数相同的情况下,不同的ip范围分配情况对btf值的影响,从而选取出最佳的ip范围分配情况。第二组对比实验:测试在ip范围分配确定的情况下,诱饵个数对于btf值的影响,从而确定最合适的诱饵分配个数。第三组实验,则测试不同诱饵个数情况下,对于网络中正常通信的影响。本节的实验物理环境包括:交换机一台、三台物理机、两台虚拟机。[0071]其中,btf值代表,诱饵收集的流量占攻击者发出流量的比例。[0072]表2实验硬件配置[0073][0074]1)实验一[0075]首先确定了实验环境,子网ip个数为255,其中使用了五个ip分配给了真实主机,同时采用arp协议进行扫描,将剩余的未被分配的ip收集起来。[0076]因此,在实验一中,将诱饵个数进行量化,固定选取的诱饵个数为十个,通过调节ip范围的个数,测试系统中诱饵捕获的流量占据攻击者流量的比例。实验使用superscan进行模拟攻击,分别测试不同ip范围个数情况下,随时间增长的效果。[0077]表3模拟攻击范围分配表[0078]范围随机选取个数占比1-20010043%1-1505022%1-1005022%1-503013%[0079]在六小时之后,诱饵捕获的流量占比趋向极限,之后一直在此范围上下徘徊,根据实验数据可知,ip范围个数在25时,得到的实验结果数据平滑,且诱饵捕获流量占比较高,故在实验二中将ip范围数设置为25。[0080]1)实验二[0081]根据实验一,确定了分配的范围个数,根据本方法的动态欺骗策略,要从范围中选取[0082]权重高的范围数和诱饵进行绑定,根据实验一的数据,在实验二中,固定ip范围数为25,对不同的诱饵个数进行实验,测试系统中诱饵捕获的流量占据攻击者流量的比例。[0083]从实验结果可以看出,随着诱饵数的增加,捕获流量占攻击者比例基本是线性增长,这也符合预期。诱饵是线性增长的,实验结果也应该是线性增长。从实验数据可以看出,当诱饵节点部署20个时,能够捕获攻击者22%左右的流量。正常情况下,如果完全随机部署诱饵,诱饵个数为20的时候,按比例,应该能够捕获不到10%的流量,而使用了本方法提出的两级分层策略,在20个诱饵的情况下,能够捕获22%左右的流量,可以看出本方法提出的两级分层策略是非常有效果的。[0084]根据实验结果,可以得出结论,诱饵个数越多越好,如果全是诱饵的话,将能够捕获攻击者所有的流量,但这样是不可以的,原因在于上文中提到,本方法的诱饵实现了伪装设计,使得攻击者无法分辨哪些是真实主机,哪些是诱饵,因此,诱饵越多,对于网络中包的传输速率影响就越大。由此,引出实验三,测试不同诱饵个数下,对于网络性能的影响。[0085]3)实验三[0086]本实验主要探究诱饵的伪装策略对于系统安全性能的提升,此实验中,在攻击方使用抓包工具,将抓取的流量进行分析,探寻不同诱饵个数下,攻击方抓取的流量中诱饵伪装策略发出的流量占比。以量化分析的方式,探究诱饵伪装策略对于攻击方的迷惑性,也即系统安全性。[0087]由实验结果可得,随着诱饵个数的增加,在攻击方捕获的流量中,诱饵流量占据的比例逐渐增加,这将会大大影响攻击者的下一步攻击目标的选取,从而使得系统中的真实主机收到更好的保护。[0088]4)实验四[0089]本实验主要探究不同诱饵个数对于网络通信的影响,从而和上述实验进行结合,选择最合适的诱饵个数、最合适的ip范围数,在网络中进行部署,且对于网络中通信的影响尽可能小。本实验使用ping、telnet两个命令,测试两个命令的响应时间,从而分别测试部署诱饵对网络层、传输层的影响,进行对比。[0090]由于本方法按照真实主机对于诱饵进行了伪装,使其自适应的发送报方法,来应对攻击者的被动嗅探功能。此实验中,通过对比不部署诱饵,部署10个、20个、30个诱饵进而测试网络中ping指令的速度,来展示添加了伪装功能的诱饵对于网络性能的影响。可以看出部署诱饵对于网络性能的影响随着诱饵个数的增多而增大,但整体影响并不大,本系统中最后采取部署了10个诱饵。当前第1页12当前第1页12
技术特征:
1.基于动态欺骗思想的侦查攻击防御系统,其特征在于:首先基于docker技术在linux系统下进行诱饵部署;之后采取诱饵伪装策略,设置诱导机制主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐,诱导攻击者对部署的诱饵进行访问时进行虚假响应,使诱饵节点模拟真实主机产生流量,模拟主动释放流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化,通过极大的不可预测性和自适应性重新分配网络,设置能够分配给诱饵的每个ip范围的权重,以所述ip范围的权重反映攻击者在该范围内的活动频率,并采取概率调和的方式动态的改变选取诱饵选取每个ip的概率,将诱饵更多的分配攻击者高度扫描的范围和危险地址,提高系统的网络敏捷性,最终达到欺骗侦查攻击的效果,使得利用发送数据包、监听数据包的侦查攻击者始终无法定位到真实目标。2.如权利要求1所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述诱饵部署过程为,在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥,docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关,在主机上创建一对虚拟网卡veth对设备,docker将veth对设备的一端放入新创建的容器中另一端放置在主机中,然后将此网络设备添加到docker0网桥。3.如权利要求2所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述主动释放流量具体方式为:利用真实主机在没有任务执行时也定时发送报文的机制,使用网络抓包工具wireshark采集需要模拟的系统的主机的报文发送情况,根据收集到的数据,指导诱饵按照相应的频率、种类主动发送报文。4.如权利要求3所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述ip范围的权重的定义如下,并使用加权均匀采样来选择地址,参数详解见表2:其中hfm地址集{e
ij
}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中e
ij
是分配给该诱饵的范围r
j
中的第i个地址,k表示采样ip范围的数目,h表示危险范围的集合。5.如权利要求4所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述概率调和的方式为:针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶,对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引,在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:其中,sizei为此桶初始大小。
技术总结
本发明通过网络技术处理领域的方法,实现了一种基于动态欺骗的内网攻击防御方法。包括:首先基于docker技术进行诱饵部署;之后采取诱饵伪装策略,使诱饵节点模拟真实主机产生流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化设置能够分配给诱饵的每个IP范围的权重,并采取概率调和的方式动态的改变选取诱饵选取每个IP的概率。本发明提供的方法通过诱饵伪装策略和随机诱饵地址突变策略,对攻击进行诱导防御,可以最终实现提取攻击者特征并提升对内网攻击的有效防御的效率。攻击的有效防御的效率。攻击的有效防御的效率。
技术研发人员:李博 刘旭东 杨泽平 兰景宏
受保护的技术使用者:北京航空航天大学
技术研发日:2021.12.01
技术公布日:2022/3/8
技术领域:
:,尤其涉及一种基于动态欺骗的内网攻击防御方法。
背景技术:
::2.进入到21世纪,随着互联网技术的发展,物联网、车联网等新兴科技也迅速普及,如今世界已经进入了数字时代,面临着信息科技爆发前进的境况,这改变了每个人的生活习惯、学习方式,改变了每个人与社会相处的模式,网络在世界前进道路中发挥的作用也越来越大。3.为了改变网络空间中进攻和防御力量的不对称性,弥补传统防御方法的缺陷,迅速感知威胁,延迟攻击并保护资产安全,有研究者开始关注动态欺骗的防御方式。一种对于动态欺骗技术的定义是:“通过部署具有欺骗性质的诱饵,干扰攻击者对网络系统的认知流程,从而使得其始终难以找寻想要攻击的目标;通过对系统中可被攻击者利用的信息进行动态修改,使得攻击者始终疲于追寻真正的目标,最终放弃攻击。”gartner的《2018年威胁响应技术成熟度曲线报告》显示,欺骗和伪装可以在未来5-10年内进入主流市场,并保护现有的安全系统。对安全技术的发展趋势产生深远影响。4.现有的防御方法诸如ids、蜜罐等已经相当成熟,但是近年来信息化的迅猛发展带来了蠕虫、木马、高级持续性威胁(apt)攻击等,这些未知而持久的威胁使网络安全面临着容易受到攻击且难以防御的严峻挑战。世上没有不存在问题的程序,也不存在没有漏洞的系统,网络系统一经诞生就面临着各种各样的攻击,或是由本身的设计缺陷导致,或是被攻击者先进的攻击手段攻破。而网络系统及其内部各种硬件设备集合本身具有结构性、系统性、静态性,其这些特征导致网络系统是网络黑客攻击的常客,网络黑客只需要发现内网系统的一个漏洞,就可以进行攻击,而防御者则必须对整个网络的漏洞都进行防御才能够有效抵御黑客的入侵,这种攻防严重不对称的问题使得攻击者可以肆无忌惮的进行攻击,即便攻击失败,也可以当作下次攻击的优化。因此,现有的诸如入侵检测、基于规则的防火墙等防护手段,往往在网络安全领域难以起到完备的效果。5.为了改变这种进攻方和防守方信息不对称的现状,移动目标防御(mtd)应运而生,它是为“改变游戏规则”而提出的防御研究方向。其核心思想是通过部署和构建多样化的网络防御策略及系统,来以此提高攻击者发动攻击的成本,减少了攻击者探寻、利用漏洞的机会,从而减少防御方漏洞暴露的风险。对需要防御的系统进行有规则的特征转移,增加系统的动态性,此种方式使得攻击者将其精力耗费在对攻击目标的追寻过程中,从而达到了降低攻击成功率的效果,提升网络系统的安全性。因此,为了解决这种不平衡性,此系统提出了一种新的主动防御范例,基于动态欺骗的网络攻击防御系统,可以在不依赖入侵检测和预防的情况下,通过提供网络敏捷性作为系统属性来阻止或欺骗网络攻击者。技术实现要素:6.为此,本发明首先提出一种基于动态欺骗的内网攻击防御方法,首先基于docker技术在linux系统下进行诱饵部署;之后采取诱饵伪装策略,设置诱导机制主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐,诱导攻击者对部署的诱饵进行访问时进行虚假响应,使诱饵节点模拟真实主机产生流量,模拟主动释放流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化,通过极大的不可预测性和自适应性重新分配网络,设置能够分配给诱饵的每个ip范围的权重,以所述ip范围的权重反映攻击者在该范围内的活动频率,并采取概率调和的方式动态的改变选取诱饵选取每个ip的概率,将诱饵更多的分配攻击者高度扫描的范围和危险地址,提高系统的网络敏捷性,最终达到欺骗侦查攻击的效果,使得利用发送数据包、监听数据包的侦查攻击者始终无法定位到真实目标。7.所述诱饵节点容器化技术具体为,在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥,docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关,在主机上创建一对虚拟网卡veth对设备,docker将veth对设备的一端放入新创建的容器中另一端放置在主机中,然后将此网络设备添加到docker0网桥。8.所述主动释放流量具体方式为:利用真实主机在没有任务执行时也定时发送报文的机制,使用网络抓包工具wireshark采集需要模拟的系统的主机的报文发送情况,根据收集到的数据,指导诱饵按照相应的频率、种类主动发送报文。9.所述ip范围的权重的定义如下,并使用加权均匀采样来选择地址,参数详解见表2:[0010][0011]其中hfm地址集{eij}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中eij是分配给该诱饵的范围rj中的第i个地址,k表示采样ip范围的数目,h表示危险范围的集合。[0012]所述概率调和的方式为:针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶,对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引,在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:[0013][0014]其中,sizei为此桶初始大小。[0015]本发明所要实现的技术效果在于:[0016](1)诱饵伪装策略为了应对攻击者进行网络攻击的扫描阶段,针对诱饵进行相应的伪装,使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别,从而实现欺骗攻击者的目的,达到提升网络敏捷性的目的。[0017](2)随机诱饵地址突变策略通过允许地址随机性高度不可预测和快速且适应敌对行为,通过快速表征对抗侦察模式来适应突变方案,通过将突变与最终诱饵分离并通过网络设备进行管理,实现较高的突变率,同时实现较低的操作和重新配置开销,从而实现了最大的功效。[0018](3)使用网络望远镜这一利用网络中未使用ip地址构建扫描系统这一概念,对网络中的内网攻击进行防御,同时利用蜜罐技术,将诱饵中捕捉的网络流定向发送到蜜罐中,从而分析攻击者的行为特征、采取反制措施,达到震慑攻击者的目的。附图说明[0019]图1bridge模式结构图;[0020]图2修改后的路由表;[0021]图39小时不同范围数诱饵流量占比对比图;[0022]图4不同诱饵个数捕获流量占比对比;[0023]图5诱饵节点伪装流量占比;[0024]图6诱饵个数对网络性能影响具体实施方式[0025]以下是本发明的优选实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于此实施例。[0026]本发明提出了一种基于动态欺骗的内网攻击防御方法,该内网攻击防御系统的方法主要在部署诱饵后,包括两个方面:诱饵伪装和诱饵分配。网络欺骗是网络敏捷技术的一种,可通过伪造系统资源误导攻击者,使攻击者转移到无效目标进行攻击。在本方法中,我们设计了两种能够主动防御的网络欺骗技术,即随机诱饵地址突变和诱饵伪装策略。两种技术都致力于在侦察或信息收集阶段克服高级网络威胁。[0027]诱饵部署:[0028]当docker进程启动时,将在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥。虚拟网桥就像物理交换机一样工作,因此主机上的所有容器都通过该交换机连接到第2层网络。[0029]从docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关。在主机上创建一对虚拟网卡veth对设备。docker将veth对设备的一端放入新创建的容器中,并将其命名为eth0(容器的网卡),另一端以类似名称vethxxxname放置在主机中,然后将此网络设备添加到docker0网桥。可以通过brctlshow命令查看它。桥接模式是docker的默认网络模式。如果未写入‑‑net参数,则为桥接模式。当使用dockerrun-p时,docker实际上在iptables中制定了dnat规则以实现端口转发功能。可以使用iptables-tnatꢀ‑vnl进行查看。[0030]根据上述对docker网络模式的分析可知,当用户使用docker时,网络配置过程有如下几个步骤。[0031]1.在主机上创建虚拟网卡vethpair设备,而且veth设备总是成对出现的,为了实现docker和宿主机的通信,虚拟网卡设备组成数据通道,数据从一边进入,从另一边出来。[0032]2.自动创建docker后,veth的一段被命名为eth0放置在新创建的容器中,而另一端则随机命名放在宿主机中,并将此网络设备连接到系统创建的docker0网桥中。[0033]3.一般来说,docker网桥的网络ip都为172.17.0.1/16,用户每创建一个docker都会从此网段中分配一个ip给容器使用,并将docker0的网络地址设置为容器的默认网关,实现网络的通信。[0034]由本方法中诱饵的作用,以及攻击者的攻击方式,两种方面考虑来看。默认的docker网络分配方式并不符合本方法的要求。一般来说,网络攻击者对内网系统进行扫描时,一般会对已侵占主机的统一网段进行扫描。比如攻击者侵占了192.168.2.140的主机,接着攻击者的扫描规则会在192.168.2.0/24这个网段生效,因此,攻击者并不会扫描到docker0网桥的ip地址,诱饵无法达到相应的目的。[0035]本方法深入调研docker网络模式的运行原理,以及linux系统桥接等原理,设计了一种网络分配方式,使得分配的docker的ip地址和宿主机处在同一网段中,并且能和外部主机进行通信,很好的契合了本方法对于诱饵的要求。[0036]根据linux的网络分配方式,通过相应的指令对网络配置进行查询,可以看出,宿主机通常拥有一块命名为eth0的网卡,此网卡的ip地址由所在路由区域的dhcp协议进行分配。而宿主机安装docker之后,网络中便会多出一块docker0的网卡,两者通过linux自带的kernel进行通信,具体的,kernel把同一台宿主机的不同网卡通过桥接的方式联系在一起,使得不同网卡可以双向通信,而不用考虑路由协议等其他因素的影响。本方法则对宿主机的网络配置进行更改。[0037]1)我们创建了命名为br0的网桥,将此网桥的ip信息改成初始网卡的ip信息,同时清除掉初始网卡的ip配置,这样修改之后,使得网络中所有设备都通过br0网桥进行连接通信,eth0、ens33网卡等都通过br0网桥进行ip分配及通信,所有的设备都模拟插入在br0网桥上。[0038]2)通过上述的步骤,虽然创建出了br0网桥,此时网桥的ip地址也和初始的宿主机一致,但是此时的宿主机是接不到互联网的。因为我们只是改变了其静态的ip地址,但是网络路由还未修改。需要把之前的默认路由删掉,把之前ens33的路由删除,因为此时的ens33已经不再担任和互联网通信的功能,而添加进去br0的默认路由,所有的通信通过我们创建的br0网桥进行,这样修改之后,才使得网络配置达到了我们的一系列要求。[0039]3)修改docker分配网络的方式,用户创建docker时,默认的情况下,会把docker以桥接的方式接入docker0网桥上,此时docker的ip地址和docker0网桥的ip地址在同一网段下。而我们通过docker自带的pipework命令,将docker分配网络时,由之前的docker0网桥,改变成我们创建的br0网桥,此时创建出的docker就和宿主机在同一网段上。其和宿主机一样,都通过桥接的方式插入在br0网桥上,可以互相通信,也可以和宿主机之外的主机通信。[0040]诱饵节点伪装策略:[0041]网络攻击者经常使用apt等方式对系统进行攻击,而apt攻击的横向移动阶段是其占领系统的必经之路。高级攻击者不仅会通过主动侦察的方式去找寻网络中可被攻击的设备,还会通过嗅探的方式,探寻网络中的其他设备,攻击者往往是通过被动嗅探的方式,来判断网络中的主机是否是真实主机、是否是蜜罐、是否是诱饵,以此来决定其下一步的进攻路线,因此,如何对诱饵进行伪装是一件非常重要的举措,可以有效的迷惑攻击者,使得其无法判断诱饵和主机的区别。而本方法为了应对攻击者进行网络攻击的扫描阶段,针对诱饵进行相应的伪装,使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别,从而实现欺骗攻击者的目的,达到提升网络敏捷性的目的。[0042]在诱导机制中,诱饵的主要工作是主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐。对于诱饵而言,它更希望遭受到攻击者的攻击,并且避免被攻击者识别。因此,诱饵需要尽可能地伪装成真实主机,以欺骗攻击者的被动侦查,避免被攻击者识别。[0043]关于诱饵的欺骗伪装,本方法给出了设计思路。诱饵的伪装,其目的就是将诱饵伪装的尽可能相似于真实主机,因此,为了实现诱饵的伪装效果,本方法的设计主要考虑以下两个角度。[0044](1)虚假响应[0045]该部分的主要目的在于,当攻击者对部署的诱饵进行访问时,诱饵能像真实的主机一样给出回应,而本方法采取docker的方式部署诱饵,其本身就能对网络层的协议进行相应的回应,比如ping请求。但同时,为了使得诱饵的伪装效果更加逼真,本方法采集了真实主机的流量情况,从而指导诱饵的访问回应。[0046](2)诱饵节点主动释放流量[0047]该部分的目的则是让诱饵节点模拟真实主机产生流量,上方法介绍到,真实主机在没有任务执行的时候,也会定时发送诸如arp等报文,而高级攻击者往往会监听这些报文信息,从而判断此主机是真实主机,还是诱饵。因此,本方法采集了windows10系统的主机的报文发送情况,根据收集到的数据,指导诱饵也按照相应的频率、种类主动发送报文,从而达到更好的伪装效果。[0048]表1windows10主机一小时流量产生情况[0049][0050][0051]本方法使用网络抓包工具wireshark获取流量信息,并以windows10主机为例进行简要分析,表为连接校园网的windows10主机一小时内的流量产生情况。[0052]在所监测的一小时内,共捕获报方法418380条,其中主要为tcp报方法,占总报方法数目的96.9%。因此,如果在使用windows10镜像部署诱饵时,便可以参考表中的各报文占比和频率模拟产生流量。[0053]在实际使用时,用户应该收集更长时间的流量信息,并根据流量信息采用相应策略决定模拟产生哪些流量和模拟哪些流量的虚假响应。[0054]诱饵地址突变策略[0055]在本方法中,我们提出了一种有效的地址随机突变策略,称为随机诱饵地址突变(rbd),它将上方法阐述的诱饵变成无法追踪的移动目标。该技术通过允许地址随机性高度不可预测和快速且适应敌对行为,同时实现较低的操作和重新配置开销,从而实现最大的功效。[0056]为了破坏内网攻击者利用网络系统内部设备信息静态特性的侦察活动,同时,也为了应对依赖于主机ip地址的静态性所进行的扫描侦察、攻击行为,已经有研究者提出了基于dhcp或nat的ip地址随机突变技术,但这些技术归根结底仍然是对主机信息的变化,而主机无时无刻都在承担着通信的功能,指纹信息的变换会对当前通信造成巨大的影响,十分影响网络的效率,因此这些方法无法释放网络地址随机化的全部潜力,其保护内部网络免受未知攻击、扫描攻击的侵害的效果有限,而本方法提出的方法则旨在通过分析和对抗网络攻击者的攻击行为,通过极大的不可预测性和自适应性重新分配网络,从战略上提高系统的网络敏捷性,从而主动的阻止攻击方的攻击进度。rbd不是对传统网络环境的改变,而是对其进行补充,通过部署诱饵的方式,提高系统的防御能力。[0057]通过将诱饵更多的分配攻击者高度扫描的范围和危险地址,从而可以实现对攻击者感知行为的适应性。为了更好的适应高度扫描范围,本方法设置相关权重与能够分配给诱饵的每个ip范围相关联,其中范围的权重反映攻击者在该范围内的活动频率。与网络的其他范围相比,范围较大的权重表明该范围内的攻击者活动较高。适应性约束指出,当有几种分配方案可用时,必须将范围分配给诱饵,以使分配给每个诱饵的范围的总权重高于可接受的阈值。这样可确保在攻击者高度扫描时,从该范围中选择概率较高的ip,从而最大程度地增加了攻击者扫描诱饵的机会,也使得此系统能够适应性的调整分配策略,更多的捕捉到攻击者的攻击信息。[0058]表2突变策略各参数详解[0059]lfm每隔lfm间隔,更新一次权重hfm每隔hfm间隔,为节点选择一次ipωj与范围rj相关的权重rj一个ip地址范围[0060]为诱饵分配新的ip,其中ip是从当前lfm间隔中分配给诱饵的范围(突变空间)中选择的。假设将k个范围分配给当前lfm间隔的诱饵。对于每个hfm间隔,基于加权的均匀分布并基于与这些范围中的每个范围相关的权重,从这k个范围中采样ip。具体而言,假设hfm地址集{eij}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中eij是分配给该诱饵的范围rj中的第i个地址。每个地址的权重定义如下,并使用加权均匀采样来选择地址:[0061][0062]其中h表示危险范围的集合。对于ωj=0的范围,其所有地址范围的权重均为0,也不会选择它们作为ip。[0063]针对于给诱饵从选定的范围里分配新的ip,选取的均匀性是非常重要的一环,使得选取的可能性的熵最大,也是需要关注的问题。本方法采取概率调和的方式,动态的改变选取诱饵选取每个ip的概率,使得在长时间范围来看,所有的ip被选取的概率一致。针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶。[0064]对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引。[0065]在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵。[0066]为了实现上方法中所述的概率调和,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:[0067][0068]其中,sizei为此桶初始大小,根据此公式,每一个hfm间隔之后,被选中的ip所属于的桶的大小变小,而其他未被选中的ip的桶增加,这样使得下次选取ip时,能够起到概率调和的作用,增加了未被选中的ip被选中的概率。[0069]实验结果:[0070]基于上述相关研究与讨论,本发明设计了三组对比实验。第一组对比实验:测试在诱饵个数相同的情况下,不同的ip范围分配情况对btf值的影响,从而选取出最佳的ip范围分配情况。第二组对比实验:测试在ip范围分配确定的情况下,诱饵个数对于btf值的影响,从而确定最合适的诱饵分配个数。第三组实验,则测试不同诱饵个数情况下,对于网络中正常通信的影响。本节的实验物理环境包括:交换机一台、三台物理机、两台虚拟机。[0071]其中,btf值代表,诱饵收集的流量占攻击者发出流量的比例。[0072]表2实验硬件配置[0073][0074]1)实验一[0075]首先确定了实验环境,子网ip个数为255,其中使用了五个ip分配给了真实主机,同时采用arp协议进行扫描,将剩余的未被分配的ip收集起来。[0076]因此,在实验一中,将诱饵个数进行量化,固定选取的诱饵个数为十个,通过调节ip范围的个数,测试系统中诱饵捕获的流量占据攻击者流量的比例。实验使用superscan进行模拟攻击,分别测试不同ip范围个数情况下,随时间增长的效果。[0077]表3模拟攻击范围分配表[0078]范围随机选取个数占比1-20010043%1-1505022%1-1005022%1-503013%[0079]在六小时之后,诱饵捕获的流量占比趋向极限,之后一直在此范围上下徘徊,根据实验数据可知,ip范围个数在25时,得到的实验结果数据平滑,且诱饵捕获流量占比较高,故在实验二中将ip范围数设置为25。[0080]1)实验二[0081]根据实验一,确定了分配的范围个数,根据本方法的动态欺骗策略,要从范围中选取[0082]权重高的范围数和诱饵进行绑定,根据实验一的数据,在实验二中,固定ip范围数为25,对不同的诱饵个数进行实验,测试系统中诱饵捕获的流量占据攻击者流量的比例。[0083]从实验结果可以看出,随着诱饵数的增加,捕获流量占攻击者比例基本是线性增长,这也符合预期。诱饵是线性增长的,实验结果也应该是线性增长。从实验数据可以看出,当诱饵节点部署20个时,能够捕获攻击者22%左右的流量。正常情况下,如果完全随机部署诱饵,诱饵个数为20的时候,按比例,应该能够捕获不到10%的流量,而使用了本方法提出的两级分层策略,在20个诱饵的情况下,能够捕获22%左右的流量,可以看出本方法提出的两级分层策略是非常有效果的。[0084]根据实验结果,可以得出结论,诱饵个数越多越好,如果全是诱饵的话,将能够捕获攻击者所有的流量,但这样是不可以的,原因在于上文中提到,本方法的诱饵实现了伪装设计,使得攻击者无法分辨哪些是真实主机,哪些是诱饵,因此,诱饵越多,对于网络中包的传输速率影响就越大。由此,引出实验三,测试不同诱饵个数下,对于网络性能的影响。[0085]3)实验三[0086]本实验主要探究诱饵的伪装策略对于系统安全性能的提升,此实验中,在攻击方使用抓包工具,将抓取的流量进行分析,探寻不同诱饵个数下,攻击方抓取的流量中诱饵伪装策略发出的流量占比。以量化分析的方式,探究诱饵伪装策略对于攻击方的迷惑性,也即系统安全性。[0087]由实验结果可得,随着诱饵个数的增加,在攻击方捕获的流量中,诱饵流量占据的比例逐渐增加,这将会大大影响攻击者的下一步攻击目标的选取,从而使得系统中的真实主机收到更好的保护。[0088]4)实验四[0089]本实验主要探究不同诱饵个数对于网络通信的影响,从而和上述实验进行结合,选择最合适的诱饵个数、最合适的ip范围数,在网络中进行部署,且对于网络中通信的影响尽可能小。本实验使用ping、telnet两个命令,测试两个命令的响应时间,从而分别测试部署诱饵对网络层、传输层的影响,进行对比。[0090]由于本方法按照真实主机对于诱饵进行了伪装,使其自适应的发送报方法,来应对攻击者的被动嗅探功能。此实验中,通过对比不部署诱饵,部署10个、20个、30个诱饵进而测试网络中ping指令的速度,来展示添加了伪装功能的诱饵对于网络性能的影响。可以看出部署诱饵对于网络性能的影响随着诱饵个数的增多而增大,但整体影响并不大,本系统中最后采取部署了10个诱饵。当前第1页12当前第1页12
技术特征:
1.基于动态欺骗思想的侦查攻击防御系统,其特征在于:首先基于docker技术在linux系统下进行诱饵部署;之后采取诱饵伪装策略,设置诱导机制主动嗅探来自攻击者的攻击,捕获异常流量并转发至蜜罐,诱导攻击者对部署的诱饵进行访问时进行虚假响应,使诱饵节点模拟真实主机产生流量,模拟主动释放流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化,通过极大的不可预测性和自适应性重新分配网络,设置能够分配给诱饵的每个ip范围的权重,以所述ip范围的权重反映攻击者在该范围内的活动频率,并采取概率调和的方式动态的改变选取诱饵选取每个ip的概率,将诱饵更多的分配攻击者高度扫描的范围和危险地址,提高系统的网络敏捷性,最终达到欺骗侦查攻击的效果,使得利用发送数据包、监听数据包的侦查攻击者始终无法定位到真实目标。2.如权利要求1所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述诱饵部署过程为,在主机上创建一个名为docker0的虚拟网桥,并将在该主机上启动的docker容器连接到该虚拟网桥,docker0子网中为容器分配ip,并将docker0的ip地址设置为容器的默认网关,在主机上创建一对虚拟网卡veth对设备,docker将veth对设备的一端放入新创建的容器中另一端放置在主机中,然后将此网络设备添加到docker0网桥。3.如权利要求2所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述主动释放流量具体方式为:利用真实主机在没有任务执行时也定时发送报文的机制,使用网络抓包工具wireshark采集需要模拟的系统的主机的报文发送情况,根据收集到的数据,指导诱饵按照相应的频率、种类主动发送报文。4.如权利要求3所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述ip范围的权重的定义如下,并使用加权均匀采样来选择地址,参数详解见表2:其中hfm地址集{e
ij
}表示在当前lfm间隔中分配给诱饵的所有地址的集合,其中e
ij
是分配给该诱饵的范围r
j
中的第i个地址,k表示采样ip范围的数目,h表示危险范围的集合。5.如权利要求4所述一种基于动态欺骗的内网攻击防御方法,其特征在于:所述概率调和的方式为:针对于每个ip被选取的范围,假设m为此范围所拥有的ip个数,初始化一个大小为10m的桶,对于每个ip,其绑定的桶的范围为[i,10i],其中i为此ip在范围中的索引,在每个hfm时间间隔中,随机产生一个数值,对10m取模之后,判断其所属于的桶,从而将此ip分配给诱饵,每隔一个hfm间隔之后,假设此间隔选择的ip索引为s,则针对于每次hfm间隔,有:其中,sizei为此桶初始大小。
技术总结
本发明通过网络技术处理领域的方法,实现了一种基于动态欺骗的内网攻击防御方法。包括:首先基于docker技术进行诱饵部署;之后采取诱饵伪装策略,使诱饵节点模拟真实主机产生流量,从而使得高级攻击者在嗅探过程中无法分辨本方法部署的诱饵与真实主机的区别;进而进行随机诱饵地址突变策略进行诱饵地址随机化设置能够分配给诱饵的每个IP范围的权重,并采取概率调和的方式动态的改变选取诱饵选取每个IP的概率。本发明提供的方法通过诱饵伪装策略和随机诱饵地址突变策略,对攻击进行诱导防御,可以最终实现提取攻击者特征并提升对内网攻击的有效防御的效率。攻击的有效防御的效率。攻击的有效防御的效率。
技术研发人员:李博 刘旭东 杨泽平 兰景宏
受保护的技术使用者:北京航空航天大学
技术研发日:2021.12.01
技术公布日:2022/3/8
最新回复(0)