基于高交互蜜罐系统的行为激发方法及装置制造方法及图纸

本发明专利技术公开了一种基于高交互蜜罐系统的行为激发方法及装置，其中，方法包括：获取高交互蜜罐系统的通信流量；判断通信流量是否满足预设放行条件；如果不满足预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量；如果为恶意通信流量，则修改流量导向规则，以将通信流量随机牵引至其他蜜罐，并获取攻击动作。该方法可以在判定为恶意通信流量时，将恶意通信流量牵引至其他蜜罐，有效提高安全性。

Behavior Stimulation Method and Device Based on High Interactive Honeypot System

【技术实现步骤摘要】
基于高交互蜜罐系统的行为激发方法及装置
本专利技术涉及计算机安全
，特别涉及一种基于高交互蜜罐系统的行为激发方法及装置。
技术介绍
相关技术中，高交互蜜罐为真实的计算机系统，如个人PC(personalcomputer，个人计算机)、服务器等，通过暴露一些端口或者漏洞，诱使攻击者能够入侵蜜罐，与蜜罐进行交互，系统能针对攻击指令做出真实的系统行为反馈和网络反馈，通过蜜罐系统的监控分析，蜜罐能达到捕获攻击事件，分析攻击意图，加固自身防御的效果。然而，高交互蜜罐在作为攻击入侵感知环境的同时，也存在被入侵者攻陷的风险，如果不进行相关处理，则蜜罐会被当做跳板机，方便入侵者进入内网，带来更为严重安全隐患，亟待解决。
技术实现思路
本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本专利技术的一个目的在于提出一种基于高交互蜜罐系统的行为激发方法，可以。本专利技术的另一个目的在于提出一种基于高交互蜜罐系统的行为激发装置。为达到上述目的，本专利技术一方面实施例提出了一种基于高交互蜜罐系统的行为激发方法，包括以下步骤：获取高交互蜜罐系统的通信流量；判断所述通信流量是否满足预设放行条件；如果不满足所述预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量；如果为所述恶意通信流量，则修改流量导向规则，以将所述通信流量随机牵引至其他蜜罐，并获取攻击动作。本专利技术实施例的基于高交互蜜罐系统的行为激发方法，可以在判定为恶意通信流量时，将恶意通信流量牵引至其他蜜罐，使更多的蜜罐能感知，同时保证主机安全，有效提高安全性。进一步地，在本专利技术的一个实施例中，还包括：获取蜜罐虚拟网卡流量；识别所述虚拟网卡流量的ddos流量，并进行丢包处理。进一步地，在本专利技术的一个实施例中，所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。进一步地，在本专利技术的一个实施例中，所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量，所述蜜罐系统网页端与后台服务器的通信数据传输流量。进一步地，在本专利技术的一个实施例中，根据通信标识和通信特征判断满足所述预设放行条件，且根据通信规则检测是否为所述恶意通信流量。为达到上述目的，本专利技术另一方面实施例提出了一种基于高交互蜜罐系统的行为激发装置，包括：第一获取模块，用于获取高交互蜜罐系统的通信流量；第一判断模块，用于判断所述通信流量是否满足预设放行条件；第二判断模块，用于如果不满足所述预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量；牵引模块，用于如果为所述恶意通信流量，则修改流量导向规则，以将所述通信流量随机牵引至其他蜜罐，并获取攻击动作。本专利技术实施例的基于高交互蜜罐系统的行为激发装置，可以在判定为恶意通信流量时，将恶意通信流量牵引至其他蜜罐，使更多的蜜罐能感知，同时保证主机安全，有效提高安全性。进一步地，在本专利技术的一个实施例中，还包括：第二获取模块，用于获取蜜罐虚拟网卡流量；识别模块，用于识别所述虚拟网卡流量的ddos流量，并进行丢包处理。进一步地，在本专利技术的一个实施例中，所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。进一步地，在本专利技术的一个实施例中，所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量，所述蜜罐系统网页端与后台服务器的通信数据传输流量。进一步地，在本专利技术的一个实施例中，根据通信标识和通信特征判断满足所述预设放行条件，且根据通信规则检测是否为所述恶意通信流量。本专利技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：图1为根据本专利技术实施例的基于高交互蜜罐系统的行为激发方法的流程图；图2为根据本专利技术一个具体实施例的基于高交互蜜罐系统的行为激发方法的流程图；以及图3为根据本专利技术实施例的基于高交互蜜罐系统的行为激发装置的结构示意图。具体实施方式下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本专利技术，而不能理解为对本专利技术的限制。下面参照附图描述根据本专利技术实施例提出的基于高交互蜜罐系统的行为激发方法及装置，首先将参照附图描述根据本专利技术实施例提出的基于高交互蜜罐系统的行为激发方法。图1是本专利技术实施例的基于高交互蜜罐系统的行为激发方法的流程图。如图1所示，该基于高交互蜜罐系统的行为激发方法包括以下步骤：在步骤S101中，获取高交互蜜罐系统的通信流量。可以理解的是，本专利技术实施例的蜜罐系统可以拥有多个节点设备，每个节点设备分为host主机和蜜罐虚拟机两部分。蜜罐系统自身通信流量的产生包括以下几个点：host主机与蜜罐虚拟机之间管理相关的通信数据传输、蜜罐虚拟机监控感知的系统行为数据的传输，蜜罐系统web端与后台服务器的通信数据传输，并对以上通信数据进行数据验证。在步骤S102中，判断通信流量是否满足预设放行条件。其中，在本专利技术的一个实施例中，预设放行条件为通信流量为高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。可以理解的是，本专利技术实施例可以对通信流量判断是否满足预设放行条件，其中，通信流量为高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量为允许放行条件。也就是说，如果识别蜜罐系统自身通信流量或者利用通信特征识别出蜜罐访问远程控制端的通信流量，允许其正常通信，即满足预设放行条件，允许放行。在步骤S103中，如果不满足预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量。其中，在本专利技术的一个实施例中，根据通信标识和通信特征判断满足预设放行条件，且根据通信规则检测是否为恶意通信流量。可以理解的是，本专利技术实施例可以识别蜜罐虚拟机ip访问非蜜罐网段通信流量，并通过通信规则检测识别出是否为恶意通信流量。在步骤S104中，如果为恶意通信流量，则修改流量导向规则，以将通信流量随机牵引至其他蜜罐，并获取攻击动作。可以理解的是，本专利技术实施例可以通过动态修改流量导向规则，将流量牵引至另一个蜜罐虚拟机获取攻击动作同时保障其它非蜜罐系统安全。进一步地，在本专利技术的一个实施例中，本专利技术实施例的方法还包括：获取蜜罐虚拟网卡流量；识别虚拟网卡流量的ddos流量，并进行丢包处理。可以理解的是，本专利技术实施例可以实时获取蜜罐虚拟网卡流量，识别ddos流量，进行丢包处理。进一步地，在本专利技术的一个实施例中，高交互蜜罐系统的自身流量为主机与蜜罐虚拟机的通信数据传输流量、蜜罐虚拟机监控感知的系统行为数据的传输流量，蜜罐系统网页端与后台服务器的通信数据传输流量。举例而言，蜜罐虚拟机在运行的过程中，入侵者通过端口扫描器扫描到蜜罐虚拟机开放了445服务端口，该服务存在远程代码执行漏洞，对应漏洞编号cve-2017-0143，并通过漏洞利用工具，入侵者在向蜜罐虚拟机系统进程lsass.exe注本文档来自技高网...

【技术保护点】
1.一种基于高交互蜜罐系统的行为激发方法，其特征在于，包括以下步骤：获取高交互蜜罐系统的通信流量；判断所述通信流量是否满足预设放行条件；如果不满足所述预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量；以及如果为所述恶意通信流量，则修改流量导向规则，以将所述通信流量随机牵引至其他蜜罐，并获取攻击动作。

【技术特征摘要】
1.一种基于高交互蜜罐系统的行为激发方法，其特征在于，包括以下步骤：获取高交互蜜罐系统的通信流量；判断所述通信流量是否满足预设放行条件；如果不满足所述预设放行条件，则确定为非蜜罐网断流量，并进一步判断是否为恶意通信流量；以及如果为所述恶意通信流量，则修改流量导向规则，以将所述通信流量随机牵引至其他蜜罐，并获取攻击动作。2.根据权利要求1所述的基于高交互蜜罐系统的行为激发方法，其特征在于，还包括：获取蜜罐虚拟网卡流量；识别所述虚拟网卡流量的ddos流量，并进行丢包处理。3.根据权利要求1所述的基于高交互蜜罐系统的行为激发方法，其特征在于，所述预设放行条件为所述通信流量为所述高交互蜜罐系统的自身流量或者蜜罐虚拟机访问远程控制服务器流量。4.根据权利要求3所述的基于高交互蜜罐系统的行为激发方法，其特征在于，所述高交互蜜罐系统的自身流量为主机与所述蜜罐虚拟机的通信数据传输流量、所述蜜罐虚拟机监控感知的系统行为数据的传输流量，所述蜜罐系统网页端与后台服务器的通信数据传输流量。5.根据权利要求1所述的基于高交互蜜罐系统的行为激发方法，其特征在于，根据通信标识和通信特征判断满足所述预设放行条件，且根据通信规则检测是否为所述恶意通信流量。6.一种基于高交互蜜罐系统的行为激发装置，其特...

【专利技术属性】
技术研发人员：朱晴，梁月唯，康学斌，王小丰，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：北京,11