一种企业内网攻击防御系统的制作方法

1.本发明涉及网络安全领域，更具体的说，它涉及一种企业内网攻击防御系统。


背景技术：

2.随着各大领域的不断转型升级，智能化程度的不断提高，计算机网络的普及程度也在不断提高，但带来的网络安全问题也日益突出，针对于企业内网，当发生网络入侵时，可能会被窃取关键机密文件，为企业带来不可预期的损失。
3.目前针对网络入侵一般会选择被动式防御和主动式防御，其中主动式防御一般采用蜜罐技术，蜜罐通过模拟服务器引诱攻击者入侵，收集其攻击行为并进行分析，为企业内网服务器的防御提供参考，但是随着蜜罐技术和网络安全的不断普及，当攻击者发现一个服务器未设置任何防御时，很容易认定此服务器为蜜罐，而不再进行操作，使得蜜罐失去效用。


技术实现要素：

4.本发明提供一种企业内网攻击防御系统，通过将蜜罐模拟成真实服务器，具有防御措施，进一步提升蜜罐的欺骗效果；
5.为实现上述技术方案，本发明提供一种企业内网攻击防御系统，包括：
6.软件登陆模块，用于响应用户的登录操作，并生成虚拟节点信息，虚拟节点信息包括ip地址和端口号；
7.虚拟节点扫描模块，用于获取虚拟节点数量，检测虚拟节点状态，虚拟节点状态包括在线状态和离线状态；
8.蜜罐控制模块，用于根据虚拟节点信息生成对应蜜罐，并控制蜜罐的关闭和开启；
9.防御启动模块，用于在蜜罐内部启动防御模式，防御模式包括启动防火墙；
10.蜜饵管理模块，用于管理蜜饵文件的增删操作、分发操作和蜜饵文件状态检测；
11.蜜罐扫描模块，用于检测蜜罐状态，判断蜜罐是否被入侵，用于获取蜜罐的数量；
12.扫描感知模块，用于获取攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间；
13.攻击方式报告生成模块，用于根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告；
14.显示终端，用于显示虚拟节点数量、虚拟节点状态信息、蜜罐数量、蜜罐状态和攻击方式报告。
15.具体地，蜜饵文件内部包括存放的位置信息，文件类型和正文内容。
16.具体地，蜜罐的生成步骤如下：
17.s1：响应用户的登录操作，并获取用户使用的操作系统对应ip地址，根据用户使用的操作系统对应ip地址生成虚拟节点信息，虚拟节点处的ip地址和端口号和用户使用的操作系统具有一一映射关系；
18.s2：根据虚拟节点信息生成对应的蜜罐，蜜罐内置有记录的漏洞、防火墙和入侵检测系统，向虚拟节点对应的操作系统获取历史数据记录，并将历史数据记录进行打乱重组生成新的符合格式的无价值数据信息，再将无价值数据信息存入蜜罐的对应位置；
19.s3：定期获取用户输入的蜜饵文件，根据蜜饵文件的位置信息将蜜饵文件存入蜜罐内部；
20.s4：通过ssh服务在蜜罐之间建立数据传输通道，并根据数据传输规则进行数据传输实例。
21.具体地，对于企业内网攻击的防御包括如下步骤：
22.t1：当蜜罐节点被扫描时，记录扫描来源ip地址a1；
23.t2：启动蜜罐内部的入侵检测系统，满足下列两个条件之一进入t3；
24.条件一：蜜罐内部的蜜饵文件进行了数据传输；
25.条件二：蜜罐内部的入侵检测系统检测到了网络入侵行为，网络入侵行为包括文件窃取、内部参数修改和病毒投放；
26.t3：获取攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间，并根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告，启动防御模式，启动防火墙阻断蜜罐内外的网络连接，获取蜜罐对应虚拟节点的ip地址，记为adn，n初始为1，并将adn存入集合δ内，并关闭对应蜜罐，同时检测与此蜜罐建立了数据传输通道的蜜罐p1的状态信息，若已经开启，无操作，否则开启对应蜜罐；
27.t4：持续监测对蜜罐p1进行扫描的ip地址a2，判断“a1＝＝a2“是否成立，若是“a1＝＝a2”成立，进入t5；若是“a1＝＝a2”不成立，维持对蜜罐p1进行扫描的ip地址a2的监测；
28.t5：令n＝n 1，获取蜜罐p1对应的虚拟节点的ip地址，记为adn，将adn与集合δ内部的所有元素进行遍历匹配，若是匹配成功，获取攻击者ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间，并根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告；若是匹配不成功，回到t3。
29.具体地，还包括：
30.蜜罐拟真模块，用于对蜜罐内部进一步地拟真；
31.所述步骤t1中，对蜜罐进一步地的拟真，步骤如下：
32.m1：在蜜罐内部，通过拟真规则控制蜜罐进行文件打开，文件关闭和文件移动操作；
33.m2：对蜜饵文件进行文件隐藏操作，并随机分配密码；
34.m3：通过数据传输通道进行数据传输。
35.具体地，还包括：
36.攻击行为标记模块，用于对攻击行为进行标记；
37.对于攻击行为的标记，具体步骤如下：
38.e1：对攻击者的标记
39.e1.1：获取当前所有的攻击方式报告，并根据攻击者的ip地址检索属于同一攻击者的攻击方式报告；
40.e1.2：计算属于同一攻击者的攻击方式报告数量q，判断“q≤q”是否成立，q为攻击次数阈值，用于评估攻击者的攻击行为，若是“q≤q”成立，不进行操作；若是“q≤q”不成立，
进入e1.3；
41.e1.3：对对应攻击者的ip地址进行标记，并把属于此攻击者的攻击方式报告汇总发送至网络安全处理终端，通过人为审批分析此攻击者的攻击方式报告改进企业内网的防御模式；
42.e2：对虚拟节点的标记
43.e2.1：获取当前所有的攻击方式报告，并根据被攻击的虚拟节点信息检索属于同一虚拟节点的攻击方式报告；
44.e2.2：计算属于同一虚拟节点的攻击方式报告数量k，判断“k≤k”是否成立，k为被攻击次数阈值，用于评估虚拟节点的被攻击行为，若是“k≤k”成立，无操作；若是“k≤k”不成立，进入e2.3；
45.e2.3：对对应的虚拟节点进行标记，并调整虚拟节点对应的操作系统的防御策略。
46.具体地，所述显示终端动态显示攻击行为。
47.具体地，企业内网设置对应的防御模式，防御模式由防御策略确定。
48.本发明具有以下优点：
49.1、本发明通过在蜜罐被攻击时启动防御模式，模拟真实服务器，降低攻击者的警惕性，并且通过数据传输提供下一个蜜罐的ip地址，引诱攻击者进入下一个蜜罐，对攻击者的攻击行为进行充分分析，为企业内网的防御调整提供良好的参考。
50.2、本发明通过设置数据传输通道，方便攻击者从数据传输获取其他蜜罐的ip地址，而此时攻击者会认为是下一个服务器的攻击点，从而实现引诱攻击者进入下一个蜜罐，使得对于攻击者的攻击行为能够进一步地获取，方便更加全面的分析的攻击者的攻击行为。
51.3、本发明通过拟真规则控制蜜罐进行文件打开，文件关闭和文件移动操作，对蜜饵文件进行文件隐藏操作和通过数据传输通道进行数据传输，提升蜜罐的置信度。
附图说明
52.图1为本发明采用的企业内网攻击防御系统的结构示意图。
具体实施方式
53.为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
54.实施例1
55.一种企业内网攻击防御系统，如图1所示，包括：
56.软件登陆模块，用于响应用户的登录操作，并生成虚拟节点信息，虚拟节点信息包括ip地址和端口号，连接企业内网后，用户可以通过软件登陆模块登录本系统，对自己的操作系统进行保护；
57.虚拟节点扫描模块，用于获取虚拟节点数量，检测虚拟节点状态，虚拟节点状态包
括在线状态和离线状态，通过对虚拟节点的扫描，能够更加清楚明白地了解企业内网的虚拟节点状态，并以此分析网络入侵情况；
58.蜜罐控制模块，用于根据虚拟节点信息生成对应蜜罐，蜜罐是对虚拟节点所对应的操作系统的模拟，并控制蜜罐的关闭和开启，；
59.防御启动模块，用于在蜜罐内部启动防御模式，用于模拟真实服务器，提升蜜罐的可信度，防御模式包括启动防火墙；
60.蜜饵管理模块，用于管理蜜饵文件的增删操作、分发操作和蜜饵文件状态检测，蜜饵文件内部包括存放的位置信息，文件类型和正文内容；蜜饵文件由网络安全人员定期进行设置，用于引诱攻击者下载或者查看，暴露其攻击行为；
61.蜜罐扫描模块，用于检测蜜罐状态，判断蜜罐是否被入侵，用于获取蜜罐的数量，蜜罐状态更加明显地展示攻击行为；
62.扫描感知模块，用于获取攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间；
63.攻击方式报告生成模块，用于根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告，攻击方式报告用于分析攻击者的攻击行为，对企业内网的防御提供调整参考，并且可以作为证据进行后续起诉操作；
64.显示终端，用于显示虚拟节点数量、虚拟节点状态信息、蜜罐数量、蜜罐状态和攻击方式报告。
65.具体地，蜜罐的生成步骤如下：
66.s1：响应用户的登录操作，并获取用户使用的操作系统对应ip地址，根据用户使用的操作系统对应ip地址生成虚拟节点信息，虚拟节点处的ip地址和端口号和用户使用的操作系统具有一一映射关系，通过一一映射关系能够使得蜜罐具有和对应操作系统极高的相似性，能够对操作系统的防御模式的调整提供更加契合的参考；
67.s2：根据虚拟节点信息生成对应的蜜罐，蜜罐内置有记录的漏洞、防火墙和入侵检测系统，有记录的漏洞可以吸引攻击者进行攻击，而防火墙和入侵检测系统能够使得蜜罐对于攻击者具有更高的置信度，方便收集攻击者的攻击行为，向虚拟节点对应的操作系统获取历史数据记录，并将历史数据记录进行打乱重组生成新的符合格式的无价值数据信息，再将无价值数据信息存入蜜罐的对应位置，无价值数据定期进行更换，进一步提高蜜罐的置信度；
68.s3：定期获取用户输入的蜜饵文件，根据蜜饵文件的位置信息将蜜饵文件存入蜜罐内部；
69.s4：通过ssh服务在蜜罐之间建立数据传输通道，并根据数据传输规则进行数据传输实例，数据传输通道作为诱饵，当蜜罐启动防御模式时，提供新的渠道让攻击者入侵，获得更多攻击者的入侵行为。
70.具体地，对于企业内网攻击的防御包括如下步骤：
71.t1：当蜜罐节点被扫描时，记录扫描来源ip地址a1，由于蜜罐不具有域名，只有ip地址，只能通过扫描才能够获得蜜罐信息，普通网络访问是无法进行访问蜜罐的，所以将所有对蜜罐的扫描视为网络入侵行为；
72.t2：启动蜜罐内部的入侵检测系统，使得蜜罐能够像正常服务器一样具有防御措
施，使得攻击者减少对此蜜罐的怀疑程度，满足下列两个条件之一进入t3；
73.条件一：蜜罐内部的蜜饵文件进行了数据传输；
74.条件二：蜜罐内部的入侵检测系统检测到了网络入侵行为，网络入侵行为包括文件窃取、内部参数修改和病毒投放；
75.t3：获取攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间，并根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告，启动防御模式，启动防火墙阻断蜜罐内外的网络连接，此时攻击者便能更加相信此蜜罐为正常服务器，并且为了获取更多信息，会采用更多攻击手段，方便对攻击行为的手机，并且启动防御模式还能够避免攻击者将此蜜罐作为跳板攻击其他服务器，进一步保证蜜罐的安全性，获取蜜罐对应虚拟节点的ip地址，记为adn，n初始为1，并将adn存入集合δ内，并关闭对应蜜罐，同时检测与此蜜罐建立了数据传输通道的蜜罐p1的状态信息，若已经开启，无操作，否则开启对应蜜罐，由于攻击者能够通过攻击行为，从数据传输获取其他蜜罐的ip地址，而此时攻击者会认为是下一个服务器的攻击点，从而实现引诱攻击者进入下一个蜜罐；
76.t4：持续监测对蜜罐p1进行扫描的ip地址a2，判断“a1＝＝a2“是否成立，若是“a1＝＝a2”成立，说明攻击者已经入套，进入下一个蜜罐，进入t5；若是“a1＝＝a2”不成立，维持对蜜罐p1进行扫描的ip地址a2的监测；
77.t5：令n＝n 1，获取蜜罐p1对应的虚拟节点的ip地址，记为adn，将adn与集合δ内部的所有元素进行遍历匹配，若是匹配成功，获取攻击者ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间，使得对于攻击者的攻击行为能够进一步地获取，方便更加全面的分析的攻击者的攻击行为，并根据攻击者的ip地址、被攻击的虚拟节点信息、攻击方式和攻击持续时间生成攻击方式报告；若是匹配不成功，回到t3。
78.本发明通过在蜜罐被攻击时启动防御模式，模拟真实服务器，降低攻击者的警惕性，并且通过数据传输提供下一个蜜罐的ip地址，引诱攻击者进入下一个蜜罐，对攻击者的攻击行为进行充分分析，为企业内网的防御调整提供良好的参考。
79.如图1所示，还包括：
80.蜜罐拟真模块，用于对蜜罐内部进一步地拟真；
81.所述步骤t1中，对蜜罐进一步地的拟真，步骤如下：
82.m1：在蜜罐内部，通过拟真规则控制蜜罐进行文件打开，文件关闭和文件移动操作，拟真规则有操作者进行设定，并且定期进行更换；
83.m2：对蜜饵文件进行文件隐藏操作，并随机分配密码，文件简单隐藏，不会对攻击者获取信息产生影响，还能够提升蜜罐的置信度；
84.m3：通过数据传输通道进行数据传输，在入侵时进行数据传输，方便攻击者获取下一个蜜罐的ip地址。
85.如图1所示，还包括：
86.攻击行为标记模块，用于对攻击行为进行标记；
87.对于攻击行为的标记，具体步骤如下：
88.e1：对攻击者的标记
89.e1.1：获取当前所有的攻击方式报告，并根据攻击者的ip地址检索属于同一攻击者的攻击方式报告；
90.e1.2：计算属于同一攻击者的攻击方式报告数量q，判断“q≤q”是否成立，q为攻击次数阈值，用于评估攻击者的攻击行为，若是“q≤q”成立，不进行操作；若是“q≤q”不成立，进入e1.3；
91.e1.3：对对应攻击者的ip地址进行标记，并把属于此攻击者的攻击方式报告汇总发送至网络安全处理终端，通过人为审批分析此攻击者的攻击方式报告改进企业内网的防御模式；
92.e2：对虚拟节点的标记
93.e2.1：获取当前所有的攻击方式报告，并根据被攻击的虚拟节点信息检索属于同一虚拟节点的攻击方式报告；
94.e2.2：计算属于同一虚拟节点的攻击方式报告数量k，判断“k≤k”是否成立，k为被攻击次数阈值，用于评估虚拟节点的被攻击行为，若是“k≤k”成立，无操作；若是“k≤k”不成立，进入e2.3；
95.e2.3：对对应的虚拟节点进行标记，并调整虚拟节点对应的操作系统的防御策略。
96.具体地，所述显示终端动态显示攻击行为。
97.具体地，企业内网设置对应的防御模式，防御模式由防御策略确定。
98.应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。本说明书中未作详细描述的部分属于本领域专业技术人员公知的现有技术。