1.本发明涉及网络安全领域,具体涉及一种粘性蜜罐系统及其交互方法。
背景技术:
::2.蜜罐技术是一种对互联网攻击方进行欺骗的技术。通常可以认为,蜜罐是一台无人使用但受到严密监控的网络主机,它包含虚假的高价值资源和一些漏洞,以吸引入侵者攻击蜜罐主机,以起到保护真实主机的目的。同时,蜜罐可以记录下黑客进行攻击的所有指令,以此制定防御攻击的手段,供真实主机使用。采用蜜罐技术可以一定程度上的抵御未知攻击,增强实际系统的防护能力。3.目前已有的蜜罐技术存在以下几个问题:4.1、大多数为低交互蜜罐的数据分析技术,导致蜜罐不能有效的对黑客攻击手段进行记录;5.2、黑客通过事先设置于蜜罐系统的安全漏洞进入蜜罐后不存在相对应的数据告警和处理办法,导致蜜罐系统被黑客利用成为僵尸网络;6.3、蜜罐系统进入较为简单,增加了黑客的警惕性,导致诱骗失败;7.4、蜜罐系统同时遭到多名黑客进行攻击时,容易产生宕机现象。技术实现要素:8.本发明针对上述问题,提供一种粘性蜜罐系统及其交互方法,解决了蜜罐系统的优化、高效、安全的问题。9.本发明通过下述技术方案实现:10.一种粘性蜜罐系统,代理ip模块,用于将代理ip地址分配至虚拟机中构建新的虚拟环境;虚拟环境模块,用于根据所述代理ip地址搭建系统环境镜像模拟真实业务系统环境;环境漏洞模块,用于在所述系统环境中搭建具有漏洞的内网资产架构和web业务架构;数据记录模块,用于记录攻击者渗透时的操作记录,所述操作记录包括使用的ip地址、攻击时长和敏感操作命令;数据存储模块,用于存储攻击者的操作记录;蜜罐管理模块,用于对所述系统环境进行监控,并对监控数据进行分析、处理和展示;紧急处理模块,用于阻隔僵尸网络的入侵;负载均衡模块,用于均衡各个服务任务的负载;所述代理ip模块连接虚拟环境模块,虚拟环境模块连接环境漏洞模块,环境漏洞模块连接数据记录模块,数据记录模块连接数据存储模块,数据存储模块连接蜜罐管理模块,所述蜜罐管理模块分别连接紧急处理模块和负载均衡模块。11.本发明首先通过代理ip地址进行虚拟环境的构建,搭建系统环境镜像模拟真实业务系统环境,如linux、window或其他系统环境,避免诱捕的暴露,以更接近直接真实环境系统,提高黑客进入蜜罐系统的困难程序,降低黑客攻击警惕性的同时也为锁定攻击者争取了更多的操作时间;另外对蜜罐系统设置有蜜罐管理模块和紧急处理模块,以便实时对蜜罐系统进行监控、告警,且根据监控的情况实时采取中断网络连接等安全措施,降低蜜罐系统被黑客利用成为僵尸网络的风险;最后还设置有负载均衡模块,以应对遭受多个同时攻击时,对任务负载进行均衡分配,避免由于网络负载过重导致系统宕机,提高蜜罐系统的生存力。12.进一步的,所述代理ip模块包括由云平台搭建的代理ip池。13.进一步的,所述虚拟环境模块包括vmware虚拟机、基于vmware虚拟机的docker容器、以及在docker容器中搭建的debian系统。14.进一步的,所述内网资产架构包括数据库以及具有弱口令漏洞的ssh服务、telnet服务和smtp服务;所述web业务架构包括具有文件上传漏洞、sql注入漏洞、命令注入漏洞和跨站脚本攻击漏洞且搭建于debian的web服务器。15.进一步的,所述数据记录模块包括web服务器日志、系统日志和网络探针,所述网络探针包括用于捕获web服务器的数据包并进行过滤和记录的外网探针,以及用于捕获内网数据流量并进行过滤和记录的内网探针,所述网络探针将记录数据均发送至数据存储模块中。16.进一步的,所述数据存储模块包括mysql数据库,所述mysql数据库与内网资产架构中的数据库相互隔离,且位于不同的网段内。17.进一步的,所述蜜罐管理模块包括managementconsole平台,所述managementconsole平台通过mysql数据库对蜜罐采集到的数据进行管理,同时对系统环境的状态进行监控和实时告警。18.进一步的,所述紧急处理模块包括ttl监视器和网络终止开关,所述ttl监视器用于监视低生存时间,所述网络终止开关用于根据所述ttl监视器的情况,对网络连接进行中断或断开。通过ttl异常低的情况再结合网络探针截取的数据流,分析蜜罐系统内可能存在的僵尸网络入侵;所述网络终止开关用于断开中断不安全的网络连接,保护蜜罐不被攻击者利用成为僵尸网络。19.进一步的,所述负载均衡模块包括dnsloadbalance,用于将内网ssh服务、telnet服务和smtp服务的负载分摊到多个操作单元上进行运行。避免由攻击者同时渗透多个服务时而导致的蜜罐宕机。20.本发明的另一种实现方式,一种粘性蜜罐系统交互方法,包括:采用代理ip形式,将代理ip地址分配至虚拟机中构建新的虚拟环境;在所述新的虚拟环境中搭建系统环境镜像模拟真实业务系统环境;在所述系统环境中搭建具有漏洞的内网资产架构和web业务架构;将蜜罐系统中漏洞架构的端口由iptables重定向至真实业务环境的端口;记录并存储攻击者渗透时的操作记录,所述操作记录包括使用的ip地址、攻击时长和敏感操作命令;同时,对所述系统环境进行监控,并对监控数据进行分析、处理和展示;根据所述系统环境的实时情况,均衡各个服务任务的负载,并阻隔僵尸网络的入侵。21.本发明与现有技术相比,具有如下的优点和有益效果:22.通过代理ip池为vmware虚拟机随机提供ip,通过使用新的ip地址生成新的虚拟机,来模拟具有漏洞的虚拟环境,提高黑客进入蜜罐系统的困难程度,降低黑客攻击警惕性的同时增长了安全人员处理攻击事件,锁定攻击者的时间;通过managementconsole平台对存储黑客攻击数据的数据库进行管理分析,实时监控蜜罐状态,对出现的异常数据进行告警;通过ttl监视器和网络终止开关的使用,监测蜜罐系统的安全性,降低蜜罐系统被黑客利用成为僵尸网络的风险;通过在蜜罐系统内部署dnsloadbalance,减轻了多名黑客同时攻击蜜罐系统所造成的网络负载,增强了蜜罐系统的粘性,提高了蜜罐系统的生存能力。附图说明23.为了更清楚地说明本发明示例性实施方式的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。在附图中:24.图1为实施例1蜜罐系统的框架示意图;具体实施方式25.为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。26.实施例127.一种粘性蜜罐系统,如图1所示,包括以下几个模块:28.代理ip模块,用于将代理ip地址分配至虚拟机中构建新的虚拟环境;代理ip模块主要包括由云平台搭建的代理ip池。29.虚拟环境模块,用于根据代理ip地址搭建系统环境镜像模拟真实业务系统环境;虚拟环境模块包括vmware虚拟机、基于vmware虚拟机的docker容器、以及在docker容器中搭建的debian系统。30.环境漏洞模块,用于在系统环境中搭建具有漏洞的内网资产架构和web业务架构;内网资产架构包括数据库以及具有弱口令漏洞的ssh服务、telnet服务和smtp服务;web业务架构包括具有文件上传漏洞、sql注入漏洞、命令注入漏洞和跨站脚本攻击漏洞且搭建于debian的web服务器。31.数据记录模块,用于记录攻击者渗透时的操作记录,操作记录包括使用的ip地址、攻击时长和敏感操作命令;数据记录模块包括web服务器日志、系统日志和网络探针,网络探针包括用于捕获web服务器的数据包并进行过滤和记录的外网探针,以及用于捕获内网数据流量并进行过滤和记录的内网探针,网络探针将记录数据均发送至数据存储模块中。32.数据存储模块,用于存储攻击者的操作记录;数据存储模块包括mysql数据库,mysql数据库与内网资产架构中的数据库相互隔离,且位于不同的网段内。33.蜜罐管理模块,用于对系统环境进行监控,并对监控数据进行分析、处理和展示;蜜罐管理模块包括managementconsole平台,managementconsole平台通过mysql数据库对蜜罐采集到的数据进行管理,同时对系统环境的状态进行监控和实时告警。34.紧急处理模块,用于阻隔僵尸网络的入侵;紧急处理模块包括ttl监视器和网络终止开关,ttl监视器用于监视低生存时间,网络终止开关用于根据ttl监视器的情况,对网络连接进行中断或断开。通过ttl异常低的情况再结合网络探针截取的数据流,分析蜜罐系统内可能存在的僵尸网络入侵;网络终止开关用于断开中断不安全的网络连接,保护蜜罐不被攻击者利用成为僵尸网络。35.负载均衡模块,用于均衡各个服务任务的负载;负载均衡模块包括dnsloadbalance,用于将内网ssh服务、telnet服务和smtp服务的负载分摊到多个操作单元上进行运行。避免由攻击者同时渗透多个服务时而导致的蜜罐宕机。36.本实施例1在物理结构上,上述的几个模块均的电性的信号连接关系,具体为:代理ip模块连接虚拟环境模块,虚拟环境模块连接环境漏洞模块,环境漏洞模块连接数据记录模块,数据记录模块连接数据存储模块,数据存储模块连接蜜罐管理模块,蜜罐管理模块分别连接紧急处理模块和负载均衡模块。37.本实施例1首先通过代理ip地址进行虚拟环境的构建,搭建系统环境镜像模拟真实业务系统环境,如linux、window或其他系统环境,避免诱捕的暴露,以更接近直接真实环境系统,提高黑客进入蜜罐系统的困难程序,降低黑客攻击警惕性的同时也为锁定攻击者争取了更多的操作时间;另外对蜜罐系统设置有蜜罐管理模块和紧急处理模块,以便实时对蜜罐系统进行监控、告警,且根据监控的情况实时采取中断网络连接等安全措施,降低蜜罐系统被黑客利用成为僵尸网络的风险;最后还设置有负载均衡模块,以应对遭受多个同时攻击时,对任务负载进行均衡分配,避免由于网络负载过重导致系统宕机,提高蜜罐系统的生存力。38.实施例239.本实施例2是在实施例1的基础上的一种粘性蜜罐系统交互方法,包括:40.1)采用代理ip形式,将代理ip地址分配至虚拟机中构建新的虚拟环境;41.2)在新的虚拟环境中搭建系统环境镜像模拟真实业务系统环境;42.3)在系统环境中搭建具有漏洞的内网资产架构和web业务架构;43.4)将蜜罐系统中漏洞架构的端口由iptables重定向至真实业务环境的端口;44.5)记录并存储攻击者渗透时的操作记录,操作记录包括使用的ip地址、攻击时长和敏感操作命令;45.6)同时,对系统环境进行监控,并对监控数据进行分析、处理和展示;46.7)根据系统环境的实时情况,均衡各个服务任务的负载,并阻隔僵尸网络的入侵。47.实施例348.本实施例3是在实施例1的基础上,将实施例1的蜜罐系统部署于真实业务环境中,虚拟环境模块使用代理ip模块提供的ip地址,在真实环境中新建虚拟机,在虚拟机中使用docker容器完成虚拟业务环境的部署,因为docker容器具有更快速的启动时间,善于处理集中爆发的服务器使用压力,而且可弹性伸缩,快速扩展,所以可适用于虚拟业务环境的搭建,在docker容器中搭建debian的镜像,其中debian是以linux为内核的开源系统,相比于其他linux系统具有更强的稳定性,以及更快更容易的内存管理和安全防护,采用debian完成蜜罐系统搭建,在环境漏洞模块中,将内网资产架构中的ssh服务、telnet服务和smtp服务开启为匿名登录并提供弱密码登录,再将真实环境中的服务通过iptables做限制,例如将ssh服务端口由22改为62222,然后将蜜罐系统中所监听的端口号使用iptables重定向到22端口,23端口和25端口,当黑客对内网业务进行攻击时,会直接进入蜜罐系统的虚拟环境中,并通过内网探针和系统日志将黑客操作数据发送至mysql数据库内,当黑客对真实web站点进行攻击时,同样会通过端口重定向被定向到虚拟web业务架构,当黑客通过常见的web漏洞对web业务架构进行攻击时,外网探针和web服务器日志将数据发送至mysql数据库内,蜜罐系统中的管理模块使用managementconsole平台可对存储在mysql数据库内的攻击数据进行分析处理、展示和实时告警,为防止蜜罐系统成为僵尸网络,通过设置于蜜罐系统由蜜罐管理模块控制的ttl监视器,对ttl异常低的连接进行实时告警并通过网络终止开关及时断开危险连接,再保证蜜罐系统对黑客攻击进行防护和学习的同时避免蜜罐系统成为僵尸网络的风险,将dnsloadbalance添加于蜜罐系统内由蜜罐管理模块控制,以防止内网ssh服务,telnet服务和smtp服务出现的网络压力,其中,实施例1managementconsole平台通过不同的api接口连接ttl监视器、网络终止开关和dnsloadbalance。49.本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。50.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。51.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。52.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。53.本领域普通技术人员可以理解实现上述事实和方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,涉及的程序或者所述的程序可以存储于一计算机所可读取存储介质中,该程序在执行时,包括如下步骤:此时引出相应的方法步骤,所述的存储介质可以是rom/ram、磁碟、光盘等等。54.以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
背景技术:
::2.蜜罐技术是一种对互联网攻击方进行欺骗的技术。通常可以认为,蜜罐是一台无人使用但受到严密监控的网络主机,它包含虚假的高价值资源和一些漏洞,以吸引入侵者攻击蜜罐主机,以起到保护真实主机的目的。同时,蜜罐可以记录下黑客进行攻击的所有指令,以此制定防御攻击的手段,供真实主机使用。采用蜜罐技术可以一定程度上的抵御未知攻击,增强实际系统的防护能力。3.目前已有的蜜罐技术存在以下几个问题:4.1、大多数为低交互蜜罐的数据分析技术,导致蜜罐不能有效的对黑客攻击手段进行记录;5.2、黑客通过事先设置于蜜罐系统的安全漏洞进入蜜罐后不存在相对应的数据告警和处理办法,导致蜜罐系统被黑客利用成为僵尸网络;6.3、蜜罐系统进入较为简单,增加了黑客的警惕性,导致诱骗失败;7.4、蜜罐系统同时遭到多名黑客进行攻击时,容易产生宕机现象。技术实现要素:8.本发明针对上述问题,提供一种粘性蜜罐系统及其交互方法,解决了蜜罐系统的优化、高效、安全的问题。9.本发明通过下述技术方案实现:10.一种粘性蜜罐系统,代理ip模块,用于将代理ip地址分配至虚拟机中构建新的虚拟环境;虚拟环境模块,用于根据所述代理ip地址搭建系统环境镜像模拟真实业务系统环境;环境漏洞模块,用于在所述系统环境中搭建具有漏洞的内网资产架构和web业务架构;数据记录模块,用于记录攻击者渗透时的操作记录,所述操作记录包括使用的ip地址、攻击时长和敏感操作命令;数据存储模块,用于存储攻击者的操作记录;蜜罐管理模块,用于对所述系统环境进行监控,并对监控数据进行分析、处理和展示;紧急处理模块,用于阻隔僵尸网络的入侵;负载均衡模块,用于均衡各个服务任务的负载;所述代理ip模块连接虚拟环境模块,虚拟环境模块连接环境漏洞模块,环境漏洞模块连接数据记录模块,数据记录模块连接数据存储模块,数据存储模块连接蜜罐管理模块,所述蜜罐管理模块分别连接紧急处理模块和负载均衡模块。11.本发明首先通过代理ip地址进行虚拟环境的构建,搭建系统环境镜像模拟真实业务系统环境,如linux、window或其他系统环境,避免诱捕的暴露,以更接近直接真实环境系统,提高黑客进入蜜罐系统的困难程序,降低黑客攻击警惕性的同时也为锁定攻击者争取了更多的操作时间;另外对蜜罐系统设置有蜜罐管理模块和紧急处理模块,以便实时对蜜罐系统进行监控、告警,且根据监控的情况实时采取中断网络连接等安全措施,降低蜜罐系统被黑客利用成为僵尸网络的风险;最后还设置有负载均衡模块,以应对遭受多个同时攻击时,对任务负载进行均衡分配,避免由于网络负载过重导致系统宕机,提高蜜罐系统的生存力。12.进一步的,所述代理ip模块包括由云平台搭建的代理ip池。13.进一步的,所述虚拟环境模块包括vmware虚拟机、基于vmware虚拟机的docker容器、以及在docker容器中搭建的debian系统。14.进一步的,所述内网资产架构包括数据库以及具有弱口令漏洞的ssh服务、telnet服务和smtp服务;所述web业务架构包括具有文件上传漏洞、sql注入漏洞、命令注入漏洞和跨站脚本攻击漏洞且搭建于debian的web服务器。15.进一步的,所述数据记录模块包括web服务器日志、系统日志和网络探针,所述网络探针包括用于捕获web服务器的数据包并进行过滤和记录的外网探针,以及用于捕获内网数据流量并进行过滤和记录的内网探针,所述网络探针将记录数据均发送至数据存储模块中。16.进一步的,所述数据存储模块包括mysql数据库,所述mysql数据库与内网资产架构中的数据库相互隔离,且位于不同的网段内。17.进一步的,所述蜜罐管理模块包括managementconsole平台,所述managementconsole平台通过mysql数据库对蜜罐采集到的数据进行管理,同时对系统环境的状态进行监控和实时告警。18.进一步的,所述紧急处理模块包括ttl监视器和网络终止开关,所述ttl监视器用于监视低生存时间,所述网络终止开关用于根据所述ttl监视器的情况,对网络连接进行中断或断开。通过ttl异常低的情况再结合网络探针截取的数据流,分析蜜罐系统内可能存在的僵尸网络入侵;所述网络终止开关用于断开中断不安全的网络连接,保护蜜罐不被攻击者利用成为僵尸网络。19.进一步的,所述负载均衡模块包括dnsloadbalance,用于将内网ssh服务、telnet服务和smtp服务的负载分摊到多个操作单元上进行运行。避免由攻击者同时渗透多个服务时而导致的蜜罐宕机。20.本发明的另一种实现方式,一种粘性蜜罐系统交互方法,包括:采用代理ip形式,将代理ip地址分配至虚拟机中构建新的虚拟环境;在所述新的虚拟环境中搭建系统环境镜像模拟真实业务系统环境;在所述系统环境中搭建具有漏洞的内网资产架构和web业务架构;将蜜罐系统中漏洞架构的端口由iptables重定向至真实业务环境的端口;记录并存储攻击者渗透时的操作记录,所述操作记录包括使用的ip地址、攻击时长和敏感操作命令;同时,对所述系统环境进行监控,并对监控数据进行分析、处理和展示;根据所述系统环境的实时情况,均衡各个服务任务的负载,并阻隔僵尸网络的入侵。21.本发明与现有技术相比,具有如下的优点和有益效果:22.通过代理ip池为vmware虚拟机随机提供ip,通过使用新的ip地址生成新的虚拟机,来模拟具有漏洞的虚拟环境,提高黑客进入蜜罐系统的困难程度,降低黑客攻击警惕性的同时增长了安全人员处理攻击事件,锁定攻击者的时间;通过managementconsole平台对存储黑客攻击数据的数据库进行管理分析,实时监控蜜罐状态,对出现的异常数据进行告警;通过ttl监视器和网络终止开关的使用,监测蜜罐系统的安全性,降低蜜罐系统被黑客利用成为僵尸网络的风险;通过在蜜罐系统内部署dnsloadbalance,减轻了多名黑客同时攻击蜜罐系统所造成的网络负载,增强了蜜罐系统的粘性,提高了蜜罐系统的生存能力。附图说明23.为了更清楚地说明本发明示例性实施方式的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。在附图中:24.图1为实施例1蜜罐系统的框架示意图;具体实施方式25.为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。26.实施例127.一种粘性蜜罐系统,如图1所示,包括以下几个模块:28.代理ip模块,用于将代理ip地址分配至虚拟机中构建新的虚拟环境;代理ip模块主要包括由云平台搭建的代理ip池。29.虚拟环境模块,用于根据代理ip地址搭建系统环境镜像模拟真实业务系统环境;虚拟环境模块包括vmware虚拟机、基于vmware虚拟机的docker容器、以及在docker容器中搭建的debian系统。30.环境漏洞模块,用于在系统环境中搭建具有漏洞的内网资产架构和web业务架构;内网资产架构包括数据库以及具有弱口令漏洞的ssh服务、telnet服务和smtp服务;web业务架构包括具有文件上传漏洞、sql注入漏洞、命令注入漏洞和跨站脚本攻击漏洞且搭建于debian的web服务器。31.数据记录模块,用于记录攻击者渗透时的操作记录,操作记录包括使用的ip地址、攻击时长和敏感操作命令;数据记录模块包括web服务器日志、系统日志和网络探针,网络探针包括用于捕获web服务器的数据包并进行过滤和记录的外网探针,以及用于捕获内网数据流量并进行过滤和记录的内网探针,网络探针将记录数据均发送至数据存储模块中。32.数据存储模块,用于存储攻击者的操作记录;数据存储模块包括mysql数据库,mysql数据库与内网资产架构中的数据库相互隔离,且位于不同的网段内。33.蜜罐管理模块,用于对系统环境进行监控,并对监控数据进行分析、处理和展示;蜜罐管理模块包括managementconsole平台,managementconsole平台通过mysql数据库对蜜罐采集到的数据进行管理,同时对系统环境的状态进行监控和实时告警。34.紧急处理模块,用于阻隔僵尸网络的入侵;紧急处理模块包括ttl监视器和网络终止开关,ttl监视器用于监视低生存时间,网络终止开关用于根据ttl监视器的情况,对网络连接进行中断或断开。通过ttl异常低的情况再结合网络探针截取的数据流,分析蜜罐系统内可能存在的僵尸网络入侵;网络终止开关用于断开中断不安全的网络连接,保护蜜罐不被攻击者利用成为僵尸网络。35.负载均衡模块,用于均衡各个服务任务的负载;负载均衡模块包括dnsloadbalance,用于将内网ssh服务、telnet服务和smtp服务的负载分摊到多个操作单元上进行运行。避免由攻击者同时渗透多个服务时而导致的蜜罐宕机。36.本实施例1在物理结构上,上述的几个模块均的电性的信号连接关系,具体为:代理ip模块连接虚拟环境模块,虚拟环境模块连接环境漏洞模块,环境漏洞模块连接数据记录模块,数据记录模块连接数据存储模块,数据存储模块连接蜜罐管理模块,蜜罐管理模块分别连接紧急处理模块和负载均衡模块。37.本实施例1首先通过代理ip地址进行虚拟环境的构建,搭建系统环境镜像模拟真实业务系统环境,如linux、window或其他系统环境,避免诱捕的暴露,以更接近直接真实环境系统,提高黑客进入蜜罐系统的困难程序,降低黑客攻击警惕性的同时也为锁定攻击者争取了更多的操作时间;另外对蜜罐系统设置有蜜罐管理模块和紧急处理模块,以便实时对蜜罐系统进行监控、告警,且根据监控的情况实时采取中断网络连接等安全措施,降低蜜罐系统被黑客利用成为僵尸网络的风险;最后还设置有负载均衡模块,以应对遭受多个同时攻击时,对任务负载进行均衡分配,避免由于网络负载过重导致系统宕机,提高蜜罐系统的生存力。38.实施例239.本实施例2是在实施例1的基础上的一种粘性蜜罐系统交互方法,包括:40.1)采用代理ip形式,将代理ip地址分配至虚拟机中构建新的虚拟环境;41.2)在新的虚拟环境中搭建系统环境镜像模拟真实业务系统环境;42.3)在系统环境中搭建具有漏洞的内网资产架构和web业务架构;43.4)将蜜罐系统中漏洞架构的端口由iptables重定向至真实业务环境的端口;44.5)记录并存储攻击者渗透时的操作记录,操作记录包括使用的ip地址、攻击时长和敏感操作命令;45.6)同时,对系统环境进行监控,并对监控数据进行分析、处理和展示;46.7)根据系统环境的实时情况,均衡各个服务任务的负载,并阻隔僵尸网络的入侵。47.实施例348.本实施例3是在实施例1的基础上,将实施例1的蜜罐系统部署于真实业务环境中,虚拟环境模块使用代理ip模块提供的ip地址,在真实环境中新建虚拟机,在虚拟机中使用docker容器完成虚拟业务环境的部署,因为docker容器具有更快速的启动时间,善于处理集中爆发的服务器使用压力,而且可弹性伸缩,快速扩展,所以可适用于虚拟业务环境的搭建,在docker容器中搭建debian的镜像,其中debian是以linux为内核的开源系统,相比于其他linux系统具有更强的稳定性,以及更快更容易的内存管理和安全防护,采用debian完成蜜罐系统搭建,在环境漏洞模块中,将内网资产架构中的ssh服务、telnet服务和smtp服务开启为匿名登录并提供弱密码登录,再将真实环境中的服务通过iptables做限制,例如将ssh服务端口由22改为62222,然后将蜜罐系统中所监听的端口号使用iptables重定向到22端口,23端口和25端口,当黑客对内网业务进行攻击时,会直接进入蜜罐系统的虚拟环境中,并通过内网探针和系统日志将黑客操作数据发送至mysql数据库内,当黑客对真实web站点进行攻击时,同样会通过端口重定向被定向到虚拟web业务架构,当黑客通过常见的web漏洞对web业务架构进行攻击时,外网探针和web服务器日志将数据发送至mysql数据库内,蜜罐系统中的管理模块使用managementconsole平台可对存储在mysql数据库内的攻击数据进行分析处理、展示和实时告警,为防止蜜罐系统成为僵尸网络,通过设置于蜜罐系统由蜜罐管理模块控制的ttl监视器,对ttl异常低的连接进行实时告警并通过网络终止开关及时断开危险连接,再保证蜜罐系统对黑客攻击进行防护和学习的同时避免蜜罐系统成为僵尸网络的风险,将dnsloadbalance添加于蜜罐系统内由蜜罐管理模块控制,以防止内网ssh服务,telnet服务和smtp服务出现的网络压力,其中,实施例1managementconsole平台通过不同的api接口连接ttl监视器、网络终止开关和dnsloadbalance。49.本领域内的技术人员应明白,本技术的实施例可提供为方法、系统、或计算机程序产品。因此,本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。50.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。51.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。52.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。53.本领域普通技术人员可以理解实现上述事实和方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,涉及的程序或者所述的程序可以存储于一计算机所可读取存储介质中,该程序在执行时,包括如下步骤:此时引出相应的方法步骤,所述的存储介质可以是rom/ram、磁碟、光盘等等。54.以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。