一种基于蜜罐的实时监控方法及系统与流程

本发明涉及网络安全，特别涉及了一种基于蜜罐的实时监控方法及系统。

背景技术：

1、蜜罐本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐可以作为主动防御，用于网络安全的实时监控。

2、如公开号为cn112039717a的专利公开了一种基于蜜罐的实时监控方法及系统，包括：为被监控机器配置蜜罐服务，将所述被监控机器配置成蜜罐机器；将蜜罐探针设于蜜罐机器内用以监听蜜罐机器的状态数据，将蜜罐探针监听到的蜜罐机器的状态数据实时传输至监控后台；监控后台保存来自蜜罐探针的蜜罐机器的状态数据并进行整合，将蜜罐机器的状态数据整合结果推送给用户终端进行展示。不需要占用大量的物理资源，就能够完成对目标系统状态或资产状态的实时掌控。但该方案要想降低部署蜜罐的成本，就需要使用低交互蜜罐，而低交互蜜罐的防御效果较差，很容易被攻击者看穿，要想提高防御效果，就需要使用高交互蜜罐，但高交互蜜罐成本高部署困难，公开的技术方案无法在降低部署成本的同时提高防御效果。

技术实现思路

1、本发明的目的是克服现有技术中存在的利用蜜罐进行实时监控时，无法同时满足降低部署成本与提高防御效果的问题，提供了一种基于蜜罐的实时监控方法及系统，通过在内网和外网部署不同的蜜罐，并利用蜜墙，既降低了蜜罐的部署难度，降低了成本，又提高了主动防御的效果。

2、为了实现上述目的，本发明采用以下技术方案：

3、s1：将需要防御的网络环境划分为内网和外网，并根据划分结果在内网和外网中部署网络设备；

4、s2：在外网的网络设备上部署低交互蜜罐，在内网的网络设备上随机部署高交互蜜罐；

5、s3：对蜜罐检测到的攻击流量进行引导，并利用蜜墙对恶意活动进行限制；

6、s4：部署监控后台，监控低交互蜜罐和高交互蜜罐的所有行为。

7、本发明通过将网络环境划分为内网和外网，在内网和外网分别部署不同的网络设备，并在内网和外网的网络设备上部署不同的蜜罐，既节约了成本，降低了部署难度，又提高了主动防御的效果。并利用蜜墙，将所有的恶意活动均限制在密网内，进一步提高了网络安全。

8、作为优选，所述步骤s1进一步包括：将需要防御的网络环境根据保密高低要求划分为内网和外网，重点保护的网络设备部署在内网，其他网络设备部署在外网，并在内网和外网之间设置防火墙。

9、在外网中的网络设备中，能部署低交互蜜罐网络设备实现低交互蜜罐的全覆盖，降低部署成本，同时成第一层防线，能够大范围、全面的吸引攻击者。利用防火墙，形成第二层防线，用来截断已知的攻击手段，进一步提高网络安全。高交互蜜罐形成第三层防线，用来接收攻击流量并进一步迷惑困住攻击者，为管理人员提供破解攻击思路争取时间。

10、作为优选，所述步骤s3进一步表示为：

11、在外网中设置流量引导，将低交互蜜罐中检测到的攻击流量引导至高交互蜜罐；

12、在内网中设置蜜墙，在高交互蜜罐被攻陷后，将所有的恶意活动均限制在密网内。

13、低交互蜜罐向高交互蜜罐转移攻击流量，提高了主动防御的效果；同时蜜墙能确保高交互蜜罐被攻陷后，所有的恶意活动均限制在密网内，进一步提高了网络安全。

14、作为优选，所述步骤s2中，内网的网络设备中部署的高交互蜜罐数量小于外网的网络设备中部署的低交互蜜罐数量。低交互蜜罐数量多，高交互蜜罐数量少，既降低了蜜罐的部署难度，又降低了成本。

15、作为优选，所述步骤s4中，蜜墙数量与内网的网络设备中部署的高交互蜜罐数量相等。利用蜜墙，提高了主动防御的效果。

16、作为优选，所述步骤s4中，低交互蜜罐和高交互蜜罐中均存在流量时，监控后台分屏显示，两屏分别显示低交互蜜罐和高交互蜜罐内的流量情况，高交互蜜罐中不存在流量时，监控后台全屏显示低交互蜜罐中的流量情况。

17、灵活显示蜜罐的流量情况，便于使用者观察。

18、一种基于蜜罐的实时监控系统，包括：

19、内网模块，形成内网，为重点保护的网络设备提供网络使用需求；

20、外网模块，形成外网，为其他网络设备提供网络使用需求；

21、蜜罐部署模块，在外网中部署低交互蜜罐，在内网中部署高交互蜜罐；

22、流量引导模块，将低交互蜜罐中的攻击流量引导至高交互蜜罐中。

23、通过低交互蜜罐、防火墙、高交互蜜罐以及蜜墙，形成三道防线，再结合低交互蜜罐向高交互蜜罐转移攻击流量，既降低了蜜罐的部署难度，降低了成本，又提高了主动防御的效果。

24、作为优选，蜜墙模块，设置高交互蜜罐的蜜墙；

25、后台监控模块，实时监控低交互蜜罐和高交互蜜罐内的所有行为；

26、报警模块，根据设定的报警规则进行报警。

27、报警模块的报警规则包括两种，一是低交互蜜罐中产生攻击流量时报警，二是高交互蜜罐中产生攻击流量时报警。报警模块提醒用户此时网络处于被攻击状态，两种报警模式并不相同，便于使用者区分当前是低交互蜜罐还是高交互蜜罐产生攻击流量。

28、因此，本发明具有如下有益效果：通过低交互蜜罐、防火墙、高交互蜜罐以及蜜墙，形成三道防线，对网络攻击的防御效果好，通过低交互蜜罐和高交互蜜罐能实现对整体网络的实时监控，同时低交互蜜罐数量多，高交互蜜罐数量少，再结合低交互蜜罐向高交互蜜罐转移攻击流量，既降低了蜜罐的部署难度，降低了成本，又提高了主动防御的效果。

技术特征：

1.一种基于蜜罐的实时监控方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于蜜罐的实时监控方法，其特征在于，所述步骤s1进一步包括：将需要防御的网络环境根据保密高低要求划分为内网和外网，重点保护的网络设备部署在内网，其他网络设备部署在外网，并在内网和外网之间设置防火墙。

3.根据权利要求1所述的一种基于蜜罐的实时监控方法，其特征在于，所述步骤s3进一步表示为：

4.根据权利要求1或2或3所述的一种基于蜜罐的实时监控方法，其特征在于，所述步骤s2中，内网的网络设备中部署的高交互蜜罐数量小于外网的网络设备中部署的低交互蜜罐数量。

5.根据权利要求1或2或3所述的一种基于蜜罐的实时监控方法，其特征在于，所述步骤s3中，蜜墙数量与内网的网络设备中部署的高交互蜜罐数量相等。

6.根据权利要求1或2或3所述的一种基于蜜罐的实时监控方法，其特征在于，所述步骤s4中，低交互蜜罐和高交互蜜罐中均存在流量时，监控后台分屏显示，两屏分别显示低交互蜜罐和高交互蜜罐内的流量情况，高交互蜜罐中不存在流量时，监控后台全屏显示低交互蜜罐中的流量情况。

7.一种基于蜜罐的实时监控系统，采用权利要求1-6任意一项权利要求所述的一种基于蜜罐的实时监控方法，其特征在于，包括：

8.根据权利要求7所述的一种基于蜜罐的实时监控系统，其特征在于，还包括：

技术总结
本发明公开了一种基于蜜罐的实时监控方法及系统，克服现有技术中存在的利用蜜罐进行实时监控时，无法同时满足降低部署成本与提高防御效果的问题，实时监控方法包括：S1：将需要防御的网络环境划分为内网和外网，并在内网和外网中部署网络设备；S2：在外网的网络设备上部署低交互蜜罐，在内网的网络设备上随机部署高交互蜜罐；S3：对蜜罐检测到的攻击流量进行引导，并利用蜜墙对恶意活动进行限制；S4：部署监控后台，监控内网和外网的网络设备上部署的蜜罐的所有行为。通过外内网和外网部署不同的蜜罐以及蜜墙，既降低了蜜罐的部署难度，降低了成本，又提高了主动防御的效果。

技术研发人员：季奥颖,黄慧,叶吉超,柳伟,丁页顶,高源,鲍喜妮,郑华,翁伟武,陈伟荣
受保护的技术使用者：国网浙江省电力有限公司丽水供电公司
技术研发日：
技术公布日：2024/1/15