一种蜜罐构造方法及系统与流程

本发明涉及网络安全技术领域，特别是涉及采用微服务架构的蜜罐自动构造方法及系统。

背景技术：

根据360互联网安全中心发布的《2016年中国网站安全漏洞形势分析报告》中的数据表明，对各类网站进行扫描发现存在漏洞的网站数量较高，这就显示出公共互联网络面临着严重的安全威胁，网络安全问题日益成为一个全球性的突出问题，如何保证网络安全和避免黑客攻击成为了重要的课题。

由于黑客无处不在，而安全也没有一个绝对意义上的标准。所以诱骗网络入侵者成为了很好的遏制黑客攻击的途径，通过记录其攻击流，并在此基础上进行分析整理，调查其入侵方式，掌握其规律，来保证计算机网络的正常安全地运行，就显得尤为必要了。相对于传统的数据鉴别、防火墙、数据加密和认证等安全防护技术在手段上的较为被动，蜜罐系统能够主动防御网络攻击，它通过伪造攻击目标，诱骗攻击者攻击，从而实现保护实际目标的目的。可以通过对蜜罐配置任意数量的服务或者任何种类的操作系统。高交互蜜罐模拟一个具有完整服务的操作系统环境，而低交互蜜罐通常模拟一些易遭受攻击的服务，比如网络堆栈。

但是传统的蜜罐系统很可能是一个又大又复杂的单体式应用，任何单个开发者对其开发都会存在一定的困难，修正漏洞和正确地添加新功能也会变得非常困难并且比较耗时。并且高交互蜜罐系统如果被攻击者完全攻陷而不被察觉，攻击者就可以对系统进行任意的攻击，而低交互蜜罐系统只允许攻击者对齐设定的服务进行访问攻击，容易被攻击者识破。所以在现有的蜜罐系统中无论构造成高交互蜜罐还是低交互蜜罐都存在着一定的缺点。

技术实现要素：

针对于上述问题，本发明提供一种蜜罐构造方法及系统，实现了能够自动按需部署蜜罐系统的目的。

为了实现上述目的，根据本发明的第一方面，提供了一种蜜罐构造方法，该方法适用于蜜罐构造系统，所述系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，所述蜜罐构造方法包括：

所述流量分析装置接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；

所述协议处理服务装置模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；

当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；

所述身份认证装置判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；

所述蜜罐部署装置将蜜罐部署信息发送至所述主机模拟服务装置；

所述主机模拟服务装置模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；

所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。

优选的，所述状态监听装置包括删除单元和部署单元，该方法还包括：

当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；

当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。

优选的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置，该方法还包括：

当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述对外流量控制装置制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。

优选的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，该方法还包括：

所述判断单元接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；

所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。

优选的，其特征在于，当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐构造系统还包括计费装置和计费数据库，该方法还包括：

当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐部署装置将产生的计费信息发送至所述计费装置；

所述计费装置将所述计费信息生成计费统计表存储在所述计费数据库中。

优选的，所述蜜罐构造系统包括日志分析装置，该方法包括：

所述日志分析装置分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应的计费信息，并将所述计费信息发送至所述计费装置。

根据本发明的第二方面，提供了一种蜜罐构造系统，该系统包括流量分析装置，由协议处理服务装置、主机模拟服务装置和监听装置构成的蜜罐构造装置，身份认证装置，蜜罐部署装置和日志存储装置，其中，

所述流量分析装置，用于接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置中的协议处理服务装置；

所述协议处理服务装置，用于模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置；

当所述攻击流不能满足所设安全阈值时，则所述协议处理服务装置，用于将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；

所述身份认证装置，用于判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；

所述蜜罐部署装置，用于将蜜罐部署信息发送至所述主机模拟服务装置；

所述主机模拟服务装置，用于模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置；

所述状态监听装置，用于对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。

优选的，所述状态监听装置包括删除单元和部署单元，其中，

当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元，用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；

当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元，用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。

优选的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置，其中，

所述对外流量控制装置，用于制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。

优选的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，其中，

所述判断单元，用于接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；

所述蜜罐部署装置，用于将蜜罐部署信息发送至所述蜜罐构造装置。

优选的，所述蜜罐构造系统包括计费装置和计费数据库，其中，

当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐部署装置将产生的计费信息发送至所述计费装置；

所述计费装置，用于将所述计费信息生成计费统计表存储在所述计费数据库中。

优选的，所述蜜罐构造系统包括日志分析装置，其中，

所述日志分析装置，用于分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应的计费信息，并将所述计费信息发送至所述计费装置。

相较于现有技术，本发明将蜜罐构造系统划分为具有多个可以实现微小功能的模块，并且各个装置模块可以独立进行设置构造，然后完成对整体蜜罐系统的构造。具体的，所述蜜罐构造装置根据可疑流量的属性进行蜜罐系统的按需构造，可以通过协议处理服务装置和主机模拟服务装置对所述可疑流量进行响应，并可以通过身份认证装置对蜜罐部署请求进行验证，进而构造蜜罐系统，最终实现了能够自动按需部署蜜罐系统的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例一提供的一种蜜罐构造系统的结构示意图；

图2为本发明实施例一提供的一种蜜罐构造方法的流程示意图；

图3为本发明实施例二提供的一种蜜罐构造系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

实施例一

参见图1和图2，其中，图1为本发明实施例一提供的一种蜜罐构造系统的结构示意图，图2为为本发明实施例一提供的一种蜜罐构造方法的流程示意图。所述蜜罐构造方法适用于蜜罐构造系统，所述系统包括流量分析装置1，由协议处理服务装置21、主机模拟服务装置22和状态监听装置23构成的蜜罐构造装置2，身份认证装置3，蜜罐部署装置4和日志存储装置5，所述蜜罐构造方法包括以下步骤：

S11、所述流量分析装置1接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行，并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置2中的协议处理服务装置21；

具体的，来自互联网用户的数据流首先要进行分析和分流，所述的外部网络数据流可以流向三个区域，即业务系统、交叉区域和蜜罐系统。相应的，所述业务系统只能实现业务系统的各种服务，所述交叉区域可承载业务系统的服务又可以实现蜜罐系统的服务，所述蜜罐系统只能实现蜜罐系统的服务。

S12、所述协议处理服务装置21模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置5；

具体的，所述蜜罐构造装置包括协议处理服务装置和主机模拟服务装置。当可疑数据流进入所述蜜罐构造装置时，先由所述协议处理服务装置模拟真实的主机系统服务对所述可疑数据流做出回应，实现低交互蜜罐。可以按照需要，实现和部署应用层、传输层和网络层的各种协议处理服务。当然，这种低交互蜜罐所能获取的攻击信息是非常有限的，如果需要获取到更多的攻击信息则需要通过步骤S13实现。

S13、当所述攻击流不能满足所设安全阈值时，则所述蜜罐构造装置2将蜜罐部署申请发送至所述身份认证装置3，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；

具体的，当通过上述的协议处理服务装置实现低交互蜜罐时，所获取到的攻击流有限，即不能满足预设安全阈值时，则蜜罐构造装置可以通过身份认证装置传递蜜罐部署申请，主动申请部署更多的系统服务，甚至可以申请构造服务模拟出完整的操作系统，来实现高交互蜜罐。

安全阈值的设定可以根据实际中进行蜜罐部署的背景和领域进行设置，如果需要的安全性能级别较高，可以将安全阈值设定为较大的值。

S14、所述身份认证装置3判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置4；

S15、所述蜜罐部署装置4将蜜罐部署信息发送至所述主机模拟服务装置22；

S16、所述主机模拟服务装置22模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置5。

具体的，所述日志存储装置对应蜜罐构造系统，与其同时被部署，并且保证每个蜜罐构造系统至少有两个日志存储装置进行工作，可以将其中一个部署在交叉区域系统中，另一个部署在蜜罐系统中。

S17、所述状态监听装置对所述协议处理服务装置和主机模拟服务装置中的响应状态进行监听。

通过本发明实施例一公开的技术方案，当可疑流量进入到蜜罐构造系统时，可以先进入协议处理服务装置，如果所述协议服务处理装置实现的低交互蜜罐无法满足需求时，则所述蜜罐构造装置向身份认证装置发送部署请求，身份认证装置判断该请求合法时，将申请发送至蜜罐部署装置，所述蜜罐部署装置将启动蜜罐构造装置中的主机模拟服务装置，实现高交互蜜罐，由此可见该蜜罐构造方法可以将低交互性蜜罐和高交互性蜜罐相结合，实现了能够自动按需部署蜜罐系统的目的。

实施例二

参照本发明实施例一和图2中所描述的方法过程，并参见图3，图3为本发明实施例二提供的一种蜜罐构造系统的结构示意图，具体的，

所述状态监听装置23包括删除单元和部署单元，该方法还包括：

当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；

当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元向所述身份认证装置发送布置主机模拟服务装置的申请信息。

可以理解的是，所述蜜罐构造系统中存在状态监听装置，执行状态监听服务，当蜜罐系统遭受的攻击流量降低或者没有攻击流量时，也向身份认证装置传递申请信息，认证通过后，便可以撤离这些蜜罐系统的资源。本系统可以将低交互性蜜罐和高交互性蜜罐相结合，部署能够模拟操作系统和服务的低交互性蜜罐来吸引攻击者，也可将流向低交互性蜜罐的攻击流重定向到高交互性蜜罐，利用高交互性蜜罐中部署的真实服务与攻击者交互，实现更好的欺骗性。状态监听装置可以部署在交叉区域或蜜罐区域。

相应的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置6，该方法还包括：

所述对外流量控制装置6制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。

具体的，所述蜜罐构造装置可以向业务系统发送反馈信息，更真实的交互信息使得蜜罐系统更具迷惑性。但是出于安全性的考虑，将会对这些流量进行严格控制，由对外流量控制装置所制定的策略约束。这样既增加了与攻击者的交互性，同时能够有效的减少蜜罐系统对其他网络设备的危害，减少攻击者以蜜罐作为跳板对其他系统实施攻击的危害。对外流量控制装置只允许部署在交叉区域。

相应的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置还包括判断单元，该方法还包括：

所述判断单元接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；

所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置。

可以理解的是，所述身份认证装置，实现了对蜜罐服务的自适应申请和用户的直接部署申请认证，身份认证装置只允许部署在交叉区域，而对应的用户数据库位于业务系统中。

相应的，当所述蜜罐部署装置将蜜罐部署信息发送至所述蜜罐构造装置时，所述蜜罐构造系统包括计费装置7和计费数据库8，该方法还包括：

所述蜜罐部署装置将产生的计费信息发送至所述计费装置7；

所述计费装置7将所述计费信息生成计费统计表存储在所述计费数据库8中。

具体的，所述计费装置从蜜罐部署装置和日志分析装置中获得计费信息，生成计费统计表并存储在计费数据库中。计费装置和计费数据库均部署在业务系统中。

相应的，所述蜜罐构造系统包括日志分析装置9，该方法包括：

所述日志分析装置9分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应的计费信息，并将所述计费信息发送至所述计费装置7。

具体的，日志分析装置用于分析大量的日志数据，可以分析得到用户的动态计费数据，从而向计费服务提交计费信息存入数据库，也可以实现更多分析服务可以实现不同的功能。日志分析装置部署在业务系统区域中。

根据本发明实施例二公开的技术方案，将所述的蜜罐构造系统采用微服务架构进行设计，即将蜜罐构造系统分解为多个管理装置分支，每个装置可以很容易进行开发、理解和维护，并且每个分支可以独立部署，不会因为某个分支的故障而影响整个系统。并且根据所述的蜜罐构造方法，通过可疑流量的属性进行蜜罐系统的按需构造，可以通过协议处理服务装置和主机模拟服务装置对所述可疑流量进行响应，并可以通过身份认证装置对蜜罐部署请求进行验证，进而构造蜜罐系统，最终实现了能够自动按需部署蜜罐系统的目的。

实施例三

与本发明实施例一和实施例二所公开的蜜罐构造方法相对应，本发明的实施例三还提供了一种蜜罐构造系统，参见图3，该系统包括：流量分析装置1，由协议处理服务装置21、主机模拟服务装置22和状态监听装置23构成的蜜罐构造装置2，身份认证装置3，蜜罐部署装置4和日志存储装置5，其中，

所述流量分析装置1，用于接收外部网络数据流，对所述外部网络数据流进行分析，将所述外部网络数据流中的正常数据流放行,并发送至第一业务系统，所述第一业务系统为所述正常的数据流要访问的业务系统，将可疑数据流发送至蜜罐构造装置2中的协议处理服务装置21；

所述协议处理服务装置21，用于模拟易受攻击的协议服务对所述可疑流量进行响应，获取所述可疑数据流的攻击流，生成日志信息存储至所述日志存储装置5；

当所述攻击流不能满足所设安全阈值时，则所述蜜罐构造装置2，用于将蜜罐部署申请发送至所述身份认证装置，其中，所述安全阈值为根据实际情况设定的所要截获的攻击流；

所述身份认证装置3，用于判断所述蜜罐部署请求是否为合法请求，如果是则将所述蜜罐部署请求发送至所述蜜罐部署装置；

所述蜜罐部署装置4，用于将蜜罐部署信息发送至所述主机模拟服务装置；

所述主机模拟服务装置22，用于模拟操作系统的服务对所述可疑流量进行响应，将响应结果生成对应的日志信息存储至所述日志存储装置5。

所述状态监听装置23，用于对所述协议处理服务装置21和主机模拟服务装置22中的响应状态进行监听。

相应的，所述状态监听装置23还包括删除单元和部署单元，其中，

当所述蜜罐构造装置接收到的可疑流量较低时，所述删除单元，用于向所述身份认证装置发送删除所述蜜罐构造装置的申请信息；

当所述蜜罐构造装置接收到的可疑流量增多时，所述部署单元，用于向所述身份认证装置发送布置主机模拟服务装置的申请信息。

优选的，当所述蜜罐构造装置对所述业务系统发送反馈数据流时，所述蜜罐构造系统还包括对外流量控制装置6，其中，

所述对外流量控制装置6，用于制定约束策略，根据所述约束策略对所述反馈数据流进行限制，将限制后的数据流发送至所述业务系统。

相应的，当所述业务系统中的用户发出进行蜜罐构造的用户请求时，所述身份认证装置3还包括判断单元，其中，

所述判断单元，用于接收所述用户请求，并在在用户数据库中查找所述用户信息，判断所述用户是否为合法用户，如果是，则将所述蜜罐构造请求发送至所述蜜罐部署装置；

所述蜜罐部署装置4，用于将蜜罐部署信息发送至所述蜜罐构造装置。

相应的，所述蜜罐构造系统包括计费装置7和计费数据库8，其中，

当所述蜜罐部署装置4将蜜罐部署信息发送至所述蜜罐构造装置2时，所述蜜罐部署装置2将产生的计费信息发送至所述计费装置7；

所述计费装置7，用于将所述计费信息生成计费统计表存储在所述计费数据库8中。

相应的，所述蜜罐构造系统包括日志分析装置9，其中，

所述日志分析装置9，用于分析所述日志存储装置中的日志信息，并根据所述日志信息获取到相应的计费信息，并将所述计费信息发送至所述计费装置7。

在本发明的实施例三中，将所述的蜜罐构造系统采用微服务架构进行设计，即将蜜罐构造系统分解为多个管理装置分支，每个装置可以很容易进行开发、理解和维护，并且每个分支可以独立部署，不会因为某个分支的故障而影响整个系统。并且当流量分析装置将可疑流量发送至所述蜜罐构造装置时，所述蜜罐构造装置可以按需进行蜜罐部署与构造，并将产生的日志信息进行存储与分析，最终实现了能够自动按需部署蜜罐系统的目的。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。