本发明专利技术公开了一种基于实际业务系统的蜜罐数据构造方法及系统,首先,确定待保护的业务系统,在蜜罐中搭建相同的业务系统;识别所述业务系统的元数据,在蜜罐中构建相同元数据;所述元数据包括业务系统的数据存储结构和业务数据的基本信息;基于所述元数据进行可公开数据和敏感数据的标记;在蜜罐中基于预设方法填充可公开数据和敏感数据。本发明专利技术所述的方法及系统,不同于传统的虚拟机构造蜜罐的方式,而是基于实际环境搭建蜜罐,并参考运行核心业务数据的业务系统,在蜜罐中搭建相同的业务系统和相同的数据存储结构,从而使得攻击者不易发现目标是蜜罐,进而可以真正捕获到贴近业务系统安全的未知威胁。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种基于实际业务系统的蜜罐数据构造 方法及系统。
技术介绍
当前网络安全检测手段中,均采用已知攻击特征码的机制,或带有行为分析沙箱 的技术,对已知和未知威胁进行检测。而对带有针对性的攻击和带有加密传输的协议时,往 往缺少足够的检测手段。蜜罐技术可W更为合理地解决该类问题,通过部署在用户现场的 蜜罐,诱使黑客攻击蜜罐,达到检测攻击和攻击过程的目的。 而当前蜜罐技术的演进,因缺少丰富的数据而导致黑客只做了初步的入侵即可分 辨目标是否为蜜罐而导致放弃后续攻击,从而丧失了蜜罐对正常业务系统的持续性保护和 攻击行为取证的目的。 蜜罐方案对于解决未知攻击威胁的确很有效,但无法捕获到黑客更多的行为,当 前蜜罐技术主要面向攻击过程的第一阶段是有效的,即被攻击者探测到和版本识别。而第 二阶段的获取控制权和第H阶段的长期驻留和主机利用往往是我们最关也的黑客行为,但 黑客往往在第一阶段检测对目标是蜜罐就会选择放弃并进一步寻找真实业务主机。具体有 W下两个问题: 1.攻击者易于发觉目标是蜜罐。一般初级蜜罐目的仅仅是采集新型的攻击代码。而无 法对该黑客的真实意图进行定性和分析,所W当前蜜罐技术缺少识别攻击者真实意图的作 用。 2.攻击者对目标不感兴趣,高级蜜罐采用实际环境搭建,称为高交互蜜罐,但往往 缺少实际的数据,导致只能识别初级的攻击者的行为。而真正的意图是需要攻击在足够的 业务数据上进行操作才能获取的。
技术实现思路
本专利技术提供了一种基于实际业务系统的蜜罐数据构造方法及系统,该专利技术所述的 技术方案将运行核也业务数据的业务系统模拟迁移到高交互蜜罐中,将真实业务数据按照 预设方法处理后,填充到蜜罐的业务系统中,从而使得攻击者无法辨别是否为蜜罐,从而可 W捕获到真正想盗取业务数据的攻击者。 本专利技术采用如下方法来实现:一种基于实际业务系统的蜜罐数据构造方法,包 括: 确定待保护的业务系统,在蜜罐中搭建相同的业务系统; 识别所述业务系统的元数据,在蜜罐中构建相同元数据;所述元数据包括业务系统的 数据存储结构和业务数据的基本信息; 基于所述元数据进行可公开数据和敏感数据的标记; 在蜜罐中基于预设方法填充可公开数据和敏感数据。 进一步地,所述在蜜罐中基于预设方法填充可公开数据为;将待保护的业务系统 中的可公开数据直接复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述在蜜罐中基于预设方法填充可公开数据为;将待保护的业务系统 中的可公开数据进行打散、互换和/或重组后复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述在蜜罐中基于预设方法填充可公开数据为:将待保护的业务系统 中的可公开数据按照预设策略删减后,复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述在蜜罐中基于预设方法填充敏感数据为;采用随机构造的方式生 成数据并填充至蜜罐的业务系统中的敏感数据处。 更进一步地,从待保护的业务系统中定期采集新的业务数据,并在蜜罐中基于预 设方法填充可公开数据和敏感数据。 进一步地,若可公开数据和/或敏感数据的数据量超出了预设值,则按照预设策 略进行删除。 本专利技术采用如下系统来实现:一种基于实际业务系统的蜜罐数据构造系统,包 括: 业务系统搭建模块,用于确定待保护的业务系统,在蜜罐中搭建相同的业务系统; 元数据构建模块,用于识别所述业务系统的元数据,在蜜罐中构建相同元数据;所述元 数据包括业务系统的数据存储结构和业务数据的基本信息; 数据标记模块,用于基于所述元数据进行可公开数据和敏感数据的标记; 数据填充模块,用于在蜜罐中基于预设方法填充可公开数据和敏感数据。 进一步地,所述数据填充模块具体用于,将待保护的业务系统中的可公开数据直 接复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述数据填充模块具体用于,将待保护的业务系统中的可公开数据进 行打散、互换和/或重组后复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述数据填充模块具体用于,将待保护的业务系统中的可公开数据按 照预设策略删减后,复制到蜜罐的业务系统中的可公开数据处。 进一步地,所述数据填充模块具体用于,采用随机构造的方式生成数据并填充至 蜜罐的业务系统中的敏感数据处。 更进一步地,所述数据填充模块具体用于,从待保护的业务系统中定期采集新的 业务数据,并在蜜罐中基于预设方法填充可公开数据和敏感数据。 进一步地,还包括数据删除模块,用于当蜜罐中的可公开数据和/或敏感数据的 数据量超出了预设值,则按照预设策略进行删除。 综上所述,本专利技术提供了一种基于实际业务系统的蜜罐数据构造方法及系统,通 过在蜜罐中搭建与真实的业务系统中相同的业务系统,不仅业务系统类型相同,版本也要 尽量一致,并依据待保护的业务系统的元数据信息,在蜜罐的业务系统中构建相同的元数 据,基于元数据进行可公开数据和敏感数据的标识,并基于待保护的业务系统中的真实的 业务数据,利用预设方法进行处理后填充至蜜罐中。由于该蜜罐是在实际环境中搭建,其业 务系统及元数据结构等信息与待保护的业务系统几乎相同,并基于可公开数据和敏感数据 分别进行处理后填充蜜罐的业务系统中,该业务数据构造为自动化完成,从而吸引有关攻 击者,进一步暴露攻击者的真正攻击意图,并能保护待保护业务系统的真实业务数据不被 泄露。【附图说明】 为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简 单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域 普通技术人员来讲,在不付出创造性劳动的前提下,还可W根据该些附图获得其他的附图。 图1为本专利技术提供的一种基于实际业务系统的蜜罐数据构造方法实施例流程图; 图2为本专利技术提供的一种基于实际业务系统的蜜罐数据构造系统实施例结构图。【具体实施方式】 本专利技术给出了一种基于实际业务系统的蜜罐数据构造方法及系统,为了使本技术 领域的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点 能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明: 本专利技术首先提供了一种基于实际业务系统的蜜罐数据构造方法实施例,如图1所示, 包括: S101确定待保护的业务系统,在蜜罐中搭建相同的业务系统; 其中,所述待保护的业务系统可W为:0A系统(即办公自动化系统)、数据库系统、文件 存储系统或者邮件系统;所述相同的业务系统是指类型相同,并且版本尽量一致的业务系 统;待保护的业务系统要选择用户(或者企业)用来运行核也敏感数据的业务系统; S102识别所述业务系统的元数据,在蜜罐中构建相同元数据;所述元数据包括业务系 统的数据存储结构和业务数据的基本信息; 其中,所述数据存储结构根据业务系统不同而不同,例如:数据库系统的表和视图、文 件系统的文件存储目录结构、web系统的URL静态路径信息等;所述业务数据的基本信息即 与业务数据相关的信息,包括:数据库表的创建时间和大小;文件的创建时间、文件名和大 小等信息;因此,本专利技术通过识别真实的业务数据的元数据,在蜜罐系统中尽量去模拟相似 的业务系统和数据存储结构等,达到最大程度地迷惑攻击者; 例如;若原业务系统为文件存储系统,其元数据的数据存储结构为: \\host\ 本文档来自技高网...
【技术保护点】
一种基于实际业务系统的蜜罐数据构造方法,其特征在于,包括:确定待保护的业务系统,在蜜罐中搭建相同的业务系统;识别所述业务系统的元数据,在蜜罐中构建相同元数据;所述元数据包括业务系统的数据存储结构和业务数据的基本信息;基于所述元数据进行可公开数据和敏感数据的标记;在蜜罐中基于预设方法填充可公开数据和敏感数据。
【技术特征摘要】
【专利技术属性】
技术研发人员:王维,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。