一种基于蜜罐技术的网络防御方法及系统技术方案

本发明专利技术公开了一种基于蜜罐技术的网络防御方法，通过代理服务器将恶意流量引入基于Docker的Web应用场景蜜罐，通过Web应用场景蜜罐拦截恶意流量的恶意攻击；可见，在本方案中，通过部署基于Docker的Web应用场景蜜罐，不仅能够主动防御网络攻击，延缓攻击者对真正目标的攻击，给防御者提供宝贵的攻击溯源时间，而且本方案基于Docker的Web应用场景蜜罐，还可以有效的避免不适应客户真实场景的缺点，通过虚拟化Docker技术有效减少了存储空间，同时隔离了网络，保证蜜罐与蜜罐之间不受互相的干扰，并通过持续集成保证了蜜罐的稳定性；本发明专利技术还公开了一种基于蜜罐技术的网络防御系统，同样能实现上述技术效果。

A network defense method and system based on Honeypot Technology

The invention discloses a network defense method based on honeypot technology, through the proxy server to malicious traffic into Web application scenarios of honeypot based on Docker, through the Web application to intercept malicious traffic scene honeypot malicious attacks; visible, in this scheme, through the deployment of Web applications based on Honeypot scene Docker, not only can active defense network attacks the real goal, delay the attack, to attack defenders of precious time and the origin, application of Web scene honeypot based on Docker, but also can effectively avoid the disadvantages of the real scene to the customer, through the virtual Docker technology effectively reduces the storage space, and isolation network, guarantee not to each other the interference between the honeypot and honeypot, and continued through to ensure the stability of the honeypot integration; the invention also discloses a base The network defense system of honeypot technology can also achieve the above technical effect.

【技术实现步骤摘要】
一种基于蜜罐技术的网络防御方法及系统
本专利技术涉及网络防御
，更具体地说，涉及一种基于蜜罐技术的网络防御方法及系统。
技术介绍
目前，蜜罐作为新兴的网络防御技术，不仅能够主动防御网络攻击，而且还可以收集攻击者的重要信息。但是当前的现状是业务系统的网络结构越来越复杂，重要应用和服务器的数量及种类日益增多，一旦被黑客入侵，就可能会极大的影响系统的正常运转。虽然这些情况的出现看似偶尔，但随着时间的推移，系统规模的增加，难免会成为必然。但是现有的蜜罐的不能模拟出客户的真实场景，很占存储空间，并且很多类似的蜜罐间没有网络隔离，会互相干扰。因此，如何增加蜜罐的防御能力，提高蜜罐的防御效果是本领域技术人员需要解决的问题。
技术实现思路
本专利技术的目的在于提供一种基于蜜罐技术的网络防御方法及系统，以增加蜜罐的防御能力，提高蜜罐的防御效果。为实现上述目的，本专利技术实施例提供了如下技术方案：一种基于蜜罐技术的网络防御方法，包括：代理服务器接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐，通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。其中，述利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量包括：检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略；其中，若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略，则判定所述数据访问流量为恶意流量。其中，若存在恶意流量，则所述网络防御方法还包括：所述代理服务器设置每个恶意流量的标识；所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时，收集日志数据，并将所述日志数据发送至云端分析设备；其中，所述日志数据通过每个恶意流量的标识进行标记；所述云端分析设备利用所述日志数据分析攻击者的攻击信息；所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。其中，所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后，还包括：利用所述攻击信息训练所述代理服务器的攻击模型。其中，所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后，利用所述攻击信息对攻击者进行溯源，获取攻击者信息。其中，所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时，还包括：检测所述恶意流量的是否存在破坏蜜罐行为；若存在，则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐，以替换被破坏的Web应用场景蜜罐。一种基于蜜罐技术的网络防御系统，包括：代理服务器，用于接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐；所述Web应用场景蜜罐，用于拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。其中，所述代理服务器具体用于：检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略；其中，若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略，则判定所述数据访问流量为恶意流量。其中，本方案还包括云端分析设备；其中，所述代理服务器还用于设置每个恶意流量的标识；所述Web应用场景蜜罐还用于拦截所述恶意流量的恶意攻击时，收集日志数据，并将所述日志数据发送至云端分析设备；其中，所述日志数据通过每个恶意流量的标识进行标记；所述云端分析设备用于利用所述日志数据分析攻击者的攻击信息；所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。其中，所述云端分析设备还用于利用所述攻击信息训练所述代理服务器的攻击模型。其中，所述云端分析设备还用于利用所述攻击信息对攻击者进行溯源，获取攻击者信息。其中，所述Web应用场景蜜罐还用于检测所述恶意流量的是否存在破坏蜜罐行为；若存在，则通过持续集成设备构建与被破坏的Web应用场景蜜罐相同的蜜罐，以替换被破坏的Web应用场景蜜罐。通过以上方案可知，本专利技术实施例提供的一种基于蜜罐技术的网络防御方法，包括：代理服务器接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐，通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。可见，在本方案中，通过部署基于Docker的Web应用场景蜜罐，不仅能够主动防御网络攻击，延缓攻击者对真正目标的攻击，给防御者提供宝贵的攻击溯源时间，而且本方案基于Docker的Web应用场景蜜罐，还可以有效的避免不适应客户真实场景的缺点，通过虚拟化Docker技术有效减少了存储空间，同时隔离了网络，保证蜜罐与蜜罐之间不受互相的干扰，并通过持续集成保证了蜜罐的稳定性；本专利技术还公开了一种基于蜜罐技术的网络防御系统，同样能实现上述技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例公开的一种基于蜜罐技术的网络防御方法流程示意图；图2为本专利技术实施例公开的一种具体的网络防御方法流程示意图；图3为本专利技术实施例公开的一种基于蜜罐技术的网络防御系统结构示意图；图4为本专利技术实施例公开的另一种基于蜜罐技术的网络防御系统结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种基于蜜罐技术的网络防御方法及系统，以增加蜜罐的防御能力，提高蜜罐的防御效果。参见图1，本专利技术实施例提供的一种基于蜜罐技术的网络防御方法，包括：S101、代理服务器接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；具体的，在本实施例中，代理服务器用于接受所有的流量，确保所有的流量都会传输到代理服务器，在代理服务器中设置用来检测是否存在攻击的攻击模型，如果攻击模型判定流量可能存在攻击行为就设置成恶意流量，并引入Web应用场景蜜罐；可以理解的是，本方案中的代理服务器的作用不止可以集中的采集数据，还可以区分不同主机的响应，在本实施例中并不具体限定。S102、若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐，通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。目前，现阶段的蜜罐分析的重点放在三个方面：本文档来自技高网...

【技术保护点】
一种基于蜜罐技术的网络防御方法，其特征在于，包括：代理服务器接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐，通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。

【技术特征摘要】
1.一种基于蜜罐技术的网络防御方法，其特征在于，包括：代理服务器接收数据访问流量，利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量；若存在恶意流量，则将所述恶意流量引入基于Docker的Web应用场景蜜罐，通过所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击；其中，所述Web应用场景蜜罐通过基础内容管理系统容器以及用户的网页标准系统模拟用户真实场景。2.根据权利要求1所述的网络防御方法，其特征在于，所述利用攻击模型检测所述数据访问流量中是否存在具有攻击行为的恶意流量包括：检测所述数据访问流量是否符合攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略；其中，若所述数据访问流量符合预定攻击策略、陷阱文件访问策略、重点文件监控策略中的至少一种策略，则判定所述数据访问流量为恶意流量。3.根据权利要求1所述的网络防御方法，其特征在于，若存在恶意流量，则所述网络防御方法还包括：所述代理服务器设置每个恶意流量的标识；所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时，收集日志数据，并将所述日志数据发送至云端分析设备；其中，所述日志数据通过每个恶意流量的标识进行标记；所述云端分析设备利用所述日志数据分析攻击者的攻击信息；所述攻击信息包括攻击者的攻击手法信息和攻击者特征信息。4.根据权利要求3所述的网络防御方法，其特征在于，所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后，还包括：利用所述攻击信息训练所述代理服务器的攻击模型。5.根据权利要求3所述的网络防御方法，其特征在于，所述云端分析设备利用所述日志数据分析攻击者的攻击信息之后，利用所述攻击信息对攻击者进行溯源，获取攻击者信息。6.根据权利要求1至5任意一项所述的网络防御方法，其特征在于，所述Web应用场景蜜罐拦截所述恶意流量的恶意攻击时，还包括：检测所述恶意流量的是否存在破坏蜜罐行为；若存在，则通过持续集成设备构建...

【专利技术属性】
技术研发人员：郑天时，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44