本发明专利技术公开了一种redis蜜罐部署系统,包括:流量监控模块,作为redis代理服务器,用于采集redis客户端与redis实际服务器交互的通讯数据;流量解析模块,用于将流量监控模块采集的通讯数据转换为易于识别的明文数据,泛化威胁日志;数据上报模块,用于通过Hpfeeds协议将泛化的威胁日志实时转发到云端分析模块;云端分析模块,用于分析上报的威胁日志的日志数据,并制定防御策略;数据存储模块,用于对日志数据存储到数据库以供回溯;本发明专利技术用于监控和分析入侵redis的流量,以针对性的制定防御措施,保护正常主机上的redis服务。
Redis honeypot deployment system
【技术实现步骤摘要】
redis蜜罐部署系统
本专利技术涉及计算机网络安全
,特别是一种redis蜜罐部署系统。
技术介绍
redis是一款开源的、高性能的键-值存储数据库。redis的所有键-值都是存储在内存中,具有很高的单机读写功能。它支持的存储类型很多,包括string(字符串)、list(链表)、set(集合)、zset(有序集合)和hash(哈希类型)。目前,redis被大量的公司应用,由于redis默认为无需认证即可使用,因此它十分容易受到攻击;此外,由于redis可高速进行访问,许多人使用弱密码也非常容易被爆破。被攻陷的redis可被黑客用来进行文件的修改,留下后门程序,在一定条件下,它甚至可以获得webshell、root权限。蜜罐技术是一种对互联网攻击方进行欺骗的技术。通常可以认为,蜜罐是一台无人使用但受到严密监控的网络主机,它包含虚假的高价值资源和一些漏洞,以吸引入侵者攻击蜜罐主机,以起到保护真实主机的目的。同时,蜜罐可以记录下黑客进行攻击的所有指令,以此制定防御攻击的手段,供真实主机使用。采用蜜罐技术可以一定程度上的抵御未知攻击,增强实际系统的防护能力。但是,现有的蜜罐研究中,很少有针对数据库蜜罐尤其是redis蜜罐的研究,尤其是一些蜜罐基于系统日志或第三方插件等监控操作指令,十分容易遗漏关键操作数据。此外,蜜罐的研究大多只包含对数据的采集,而没有对数据进行分析。
技术实现思路
为解决现有技术中存在的问题,本专利技术的目的是提供一种redis蜜罐部署系统,用于监控和分析入侵redis的流量,以针对性的制定防御措施,保护正常主机上的redis服务。为实现上述目的,本专利技术采用的技术方案是:一种redis蜜罐部署系统,包括:流量监控模块,作为redis代理服务器,用于采集redis客户端与redis实际服务器交互的通讯数据;流量解析模块,用于将流量监控模块采集的通讯数据转换为易于识别的明文数据,泛化威胁日志;数据上报模块,用于通过Hpfeeds协议将泛化的威胁日志实时转发到云端分析模块;云端分析模块,用于分析上报的威胁日志的日志数据,并制定防御策略;数据存储模块,用于对日志数据存储到数据库以供回溯。作为一种优选的实施方式,修改redis实际服务器的默认端口为其他未被占用的端口,由python脚本的socket和select模块搭建redis代理服务器监听redis实际服务器的原始默认端口,实时监听默认端口中redis客户端信息,所述流量监控模块通过转发redis实际服务器和redis客户端之间的通讯数据对其进行采集。作为另一种优选的实施方式,所述流量解析模块通过对redis底层通讯协议的解读,将所接收到的通讯数据转换为易于识别的明文数据,并结合套接字连接的参数、redis解析的原始指令,生成统一格式的威胁日志。作为另一种优选的实施方式,所述威胁日志包括会话id、源ip、源端口、操作指令时间、操作详情和原始日志。作为另一种优选的实施方式,当redis客户端连接redis之后,python脚本随机生成一个唯一的会话id,之后redis客户端进行的所有操作均属于此会话id。作为另一种优选的实施方式,所述云端分析模块的基本分析单位为事件日志,所述事件日志包括Hpfeeds协议所上传的威胁日志中所有会话id相同的日志,事件日志被分析为恶意ip、攻击指令和攻击目标。作为另一种优选的实施方式,事件日志被分析为恶意ip、攻击指令和攻击目标具体包括:首先,判断用户是否短时间进行多次密码认证,或在认证之后是否进行了文件查询或文件修改的动作,若是,则本次事件为恶意事件,此用户的源ip为恶意ip,若不是,说明此用户仅做试探或学习性行为,不是恶意操作;其次,依据用户的操作指令判断,是否短时间进行多次密码认证,若是,则攻击指令为密码爆破类。作为另一种优选的实施方式,在用户完成认证之后,提取用户的操作指令,若不是直接退出的指令,则所有的操作指令都是攻击指令,攻击指令包括文件查询类攻击指令和文件修改类攻击指令。作为另一种优选的实施方式,所述攻击指令还包括未知类攻击指令,用于发现0day漏洞。作为另一种优选的实施方式,所述数据存储模块分别存储恶意ip、攻击指令、攻击目标和原始日志,以会话id相关联,并在新指令到达时比对已存储的数据,如果是首次出现的攻击指令则添加存储,否则只存储原始日志,方便进行回溯。本专利技术的有益效果是:本专利技术通过redis代理服务器能收集到外部攻击者操作的全部流量,不会遗漏重要攻击数据,并且对攻击的三个重要特征:攻击来源、攻击指令、攻击目标作出提取分析,使redis实际服务能对恶意攻击针对性的防御及过滤。附图说明图1为本专利技术实施例的系统框图。具体实施方式下面结合附图对本专利技术的实施例进行详细说明。实施例如图1所示,一种redis蜜罐部署系统,包括:流量监控模块,为redis代理服务器,实时监听redis实际服务器默认端口中redis客户端信息,因此,redis客户端发送的数据会首先传送到redis代理服务器;redis代理服务器接收并转发该数据到redis实际服务器,并接收redis实际服务器返回的数据,然后将其发送到redis客户端;因此,redis代理服务器可接收全部的redis客户端、redis实际服务器之间的交互流量。流量解析模块通过对redis底层通讯协议的解读,可将所接收到的数据转换为易于阅读的明文数据,并结合套接字连接的参数、redis解析的原始指令,生成包含会话id、源ip、源端口、操作指令时间、操作详情、原始日志等内容在内的统一格式的威胁日志,其中会话id为每一次一个远程主机连接redis之后,python脚本随机生成的一个唯一的会话id,之后该远程主机进行的所有操作都属于此会话id,操作详情则是对操作指令的进一步分解,包括执行的指令、用户、结果等,最后将redis一次指令中redis客户端、redis实际服务端交互的全部数据整合成一次威胁日志进行上报。数据上报模块为Hpfeeds协议,每生成一次威胁日志,都会将其上传到云端分析模块进行分析。云端分析模块的基本分析单位为事件日志,将Hpfeeds协议所上传的日志中,所有会话id相同的日志整合在一起则为事件日志,事件日志将被分析为恶意ip、攻击指令、攻击目标等不同内容;首先,判断用户是否短时间进行多次密码认证,或在认证之后是否进行了文件查询或修改的动作,若是,则本次事件为恶意事件,此用户的源ip为恶意ip,若不是,说明此用户仅做试探或学习性行为,不是恶意操作;其次,依据用户的操作指令判断,是否短时间进行多次密码认证,若是,则攻击指令为密码爆破类;在用户完成认证之后,提取用户的操作指令,若不是直接退出的指令,则所有的操作指令都是攻击指令,可分为文件查询类攻击指令和文件修改类攻击指令,查询文件可以进行数据库的窃密,进行拖库撞库攻击等,修改文件则可以安本文档来自技高网...
【技术保护点】
1.一种redis蜜罐部署系统,其特征在于,包括:/n流量监控模块,作为redis代理服务器,用于采集redis客户端与redis实际服务器交互的通讯数据;/n流量解析模块,用于将流量监控模块采集的通讯数据转换为易于识别的明文数据,泛化威胁日志;/n数据上报模块,用于通过Hpfeeds协议将泛化的威胁日志实时转发到云端分析模块;/n云端分析模块,用于分析上报的威胁日志的日志数据,并制定防御策略;/n数据存储模块,用于对日志数据存储到数据库以供回溯。/n
【技术特征摘要】
1.一种redis蜜罐部署系统,其特征在于,包括:
流量监控模块,作为redis代理服务器,用于采集redis客户端与redis实际服务器交互的通讯数据;
流量解析模块,用于将流量监控模块采集的通讯数据转换为易于识别的明文数据,泛化威胁日志;
数据上报模块,用于通过Hpfeeds协议将泛化的威胁日志实时转发到云端分析模块;
云端分析模块,用于分析上报的威胁日志的日志数据,并制定防御策略;
数据存储模块,用于对日志数据存储到数据库以供回溯。
2.根据权利要求1所述的redis蜜罐部署系统,其特征在于,修改redis实际服务器的默认端口为其他未被占用的端口,由python脚本的socket和select模块搭建redis代理服务器监听redis实际服务器的原始默认端口,实时监听默认端口中redis客户端信息,所述流量监控模块通过转发redis实际服务器和redis客户端之间的通讯数据对其进行采集。
3.根据权利要求1所述的redis蜜罐部署系统,其特征在于,所述流量解析模块通过对redis底层通讯协议的解读,将所接收到的通讯数据转换为易于识别的明文数据,并结合套接字连接的参数、redis解析的原始指令,生成统一格式的威胁日志。
4.根据权利要求3所述的redis蜜罐部署系统,其特征在于,所述威胁日志包括会话id、源ip、源端口、操作指令时间、操作详情和原始日志。
5.根据权利要求4所述的redis蜜罐部署系统,其特征在于,当redis客户端连接redis之后,pyt...
【专利技术属性】
技术研发人员:张鑫书,杨川,龚致,
申请(专利权)人:四川长虹电器股份有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。