一种蜜罐构造方法及系统技术方案

本发明专利技术公开了一种蜜罐构造方法及系统，该系统包括流量分析装置，由协议处理服务装置和主机模拟服务装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，其中，流量分析装置分析获得可疑数据流并发送至蜜罐构造装置，蜜罐构造装置根据可疑流量的属性启动协议处理服务装置或主机模拟服务装置对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置。实现了能够自动按需部署蜜罐系统的目的。

【技术实现步骤摘要】
一种蜜罐构造方法及系统
本专利技术涉及网络安全
，特别是涉及采用微服务架构的蜜罐自动构造方法及系统。
技术介绍
根据360互联网安全中心发布的《2016年中国网站安全漏洞形势分析报告》中的数据表明，对各类网站进行扫描发现存在漏洞的网站数量较高，这就显示出公共互联网络面临着严重的安全威胁，网络安全问题日益成为一个全球性的突出问题，如何保证网络安全和避免黑客攻击成为了重要的课题。由于黑客无处不在，而安全也没有一个绝对意义上的标准。所以诱骗网络入侵者成为了很好的遏制黑客攻击的途径，通过记录其攻击流，并在此基础上进行分析整理，调查其入侵方式，掌握其规律，来保证计算机网络的正常安全地运行，就显得尤为必要了。相对于传统的数据鉴别、防火墙、数据加密和认证等安全防护技术在手段上的较为被动，蜜罐系统能够主动防御网络攻击，它通过伪造攻击目标，诱骗攻击者攻击，从而实现保护实际目标的目的。可以通过对蜜罐配置任意数量的服务或者任何种类的操作系统。高交互蜜罐模拟一个具有完整服务的操作系统环境，而低交互蜜罐通常模拟一些易遭受攻击的服务，比如网络堆栈。但是传统的蜜罐系统很可能是一个又大又复杂的单体式应用，任何单个开发者对其开发都会存在一定的困难，修正漏洞和正确地添加新功能也会变得非常困难并且比较耗时。并且高交互蜜罐系统如果被攻击者完全攻陷而不被察觉，攻击者就可以对系统进行任意的攻击，而低交互蜜罐系统只允许攻击者对齐设定的服务进行访问攻击，容易被攻击者识破。所以在现有的蜜罐系统中无论构造成高交互蜜罐还是低交互蜜罐都存在着一定的缺点。
技术实现思路
针对于上述问题，本专利技术提供一种蜜罐构造方法及系统，实现了能够自动按需部署蜜罐系统的目的。为了实现上述目的，根据本专利技术的第一方面，提供了一种蜜罐构造方法，该方法适用于蜜罐构造系统，所述系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，所述蜜罐构造方法包括：所述流量分析装置接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；所述协议处理服务装置模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；所述身份认证装置判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置；所述主机模拟服务装置模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。优选的，所述状态监听装置包括删除单元和部署单元，该方法还包括：当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。优选的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置，该方法还包括：当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述对外流量控制装置制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。优选的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，该方法还包括：所述判断单元接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。优选的，其特征在于，当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐构造系统还包括计费装置和计费数据库，该方法还包括：当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐部署装置将产生的计费信息发送至所述计费装置；所述计费装置将所述计费信息生成计费统计表存储在所述计费数据库中。优选的，所述蜜罐构造系统包括日志分析装置，该方法包括：所述日志分析装置分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应的计费信息，并将所述计费信息发送至所述计费装置。根据本专利技术的第二方面，提供了一种蜜罐构造系统，该系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，其中，所述流量分析装置，用于接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；所述协议处理服务装置，用于模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置，用于将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；所述身份认证装置，用于判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；所述蜜罐部署装置，用于将蜜罐部署信息发送至所述主机模拟服务装置；所述主机模拟服务装置，用于模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；所述状态监听装置，用于对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。优选的，所述状态监听装置包括删除单元和部署单元，其中，当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元，用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元，用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。优选的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置，其中，所述对外流量控制装置，用于制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。优选的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，其中，所述判断单元，用于接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；所述蜜罐部署装置，用于将蜜罐部署信息发送至所述蜜罐构造装置。优选的，所述蜜罐构造系统包括计费装置和计费数据库，其中，当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐部署装置将产生的计费信息发送至所述计费装置；所述计费装置，用于将所述计费信息生成计费统计表本文档来自技高网...

【技术保护点】
一种蜜罐构造方法，其特征在于，该方法适用于蜜罐构造系统，所述系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，所述蜜罐构造方法包括：所述流量分析装置接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行，并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；所述协议处理服务装置模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；所述身份认证装置判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置；所述主机模拟服务装置模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。...

【技术特征摘要】
1.一种蜜罐构造方法，其特征在于，该方法适用于蜜罐构造系统，所述系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，所述蜜罐构造方法包括：所述流量分析装置接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行，并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；所述协议处理服务装置模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；所述身份认证装置判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置；所述主机模拟服务装置模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。2.根据权利要求1所述的方法，其特征在于，所述状态监听装置包括删除单元和部署单元，该方法还包括：当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。3.根据权利要求1所述的方法，其特征在于，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置，该方法还包括：当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述对外流量控制装置制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。4.根据权利要求1所述的方法，其特征在于，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，该方法还包括：所述判断单元接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。5.根据权利4所述的方法，其特征在于，当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐构造系统还包括计费装置和计费数据库，该方法还包括：当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐部署装置将产生的计费信息发送至所述计费装置；所述计费装置将所述计费信息生成计费统计表存储在所述计费数据库中。6.根据权利要求5所述的方法，其特征在于，所述蜜罐构造系统包括日志分析装置，该方法包括：所述日志分析装置分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应...

【专利技术属性】
技术研发人员：夏飞，周静，王毅，张立强，余伟，吴立斌，张明明，李鹏，季晓凯，蒋铮，王艳青，彭轼，魏桂臣，丁一新，张利，李萌，黄高攀，汤雷，
申请(专利权)人：国家电网公司，国网江苏省电力公司信息通信分公司，
类型：发明
国别省市：北京,11