一种蜜罐管理系统技术方案

本发明专利技术适用于网络技术领域，提供了蜜罐管理系统，包括：反向代理模块，用于分离第一交互类型和第二交互类型；请求响应模块，用于接收所述用户设备的操作请求，并用于返回关于所述操作请求的操作响应；日志优化模块，用于将所述蜜罐管理系统的日志数据进行优化处理；IP核查模块，用于对所述蜜罐的攻击对象进行溯源分析；规则匹配模块，用于设定关于所述蜜罐的告警事件的告警规则；蜜罐通信模块，用于与所述蜜罐进行通信，所述通信由所述蜜罐主动发起。本发明专利技术提供了实现了对蜜罐日志数据的全方位数据利用，并用有效地将用户设备与蜜罐系统之间进行通信隔离，有效地提升了系统功能的全面性。

A Honeypot Management System

The invention is applicable to the field of network technology and provides a honeypot management system, which includes: a reverse proxy module for separating the first and second interaction types; a request response module for receiving the operation request of the user equipment and returning the operation response to the operation request; and a log optimization module for storing the log data of the honeypot management system. The honeypot communication module is used to communicate with the honeypot, and the communication is initiated by the honeypot on its own initiative. The invention provides the omni-directional data utilization of the honeypot log data, and effectively isolates the communication between the user equipment and the honeypot system, thereby effectively improving the comprehensiveness of the system function.

【技术实现步骤摘要】
一种蜜罐管理系统
本专利技术属于网络
，尤其涉及一种蜜罐管理系统。
技术介绍
随着网络的普及与发展，网络安全问题也日益严竣，面对不断出现的新的攻击方法或攻击工具，传统被动防御的网络防护技术越来越无法适应网络安全的需要，而蜜罐技术作为一种主动防御的网络防护技术，日益受到网络安全人员的重视。蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而实现对攻击数据的惧，以使网络安全人员可以通过攻击数据对攻击行为进行捕获和分析，了解攻击方所使用的攻击方法或攻击工具，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。然而，在目前，基于上述技术实现的蜜罐系统仅仅是实现对攻击数据的收集与展示，就系统本身来说，数据利用率低。
技术实现思路
有鉴于此，本专利技术实施例提供了一种蜜罐管理系统，以解决现有的蜜罐系统仅仅是实现对攻击数据的收集与展示，数据利用率低的问题。本专利技术实施例的第一方面提供了一种蜜罐管理系统，包括：反向代理模块，用于分离第一交互类型和第二交互类型，所述第一交互类型为用户设备与所述蜜罐管理系统的交互，所述第二交互类型为所述蜜罐管理系统与蜜罐的交互；请求响应模块，用于接收所述用户设备的操作请求，并用于返回关于所述操作请求的操作响应；日志优化模块，用于将所述蜜罐管理系统的日志数据进行优化处理；IP核查模块，用于对所述蜜罐的攻击对象进行溯源分析；规则匹配模块，用于设定关于所述蜜罐的告警事件的告警规则；蜜罐通信模块，用于与所述蜜罐进行通信，所述通信由所述蜜罐主动发起。进一步地，所述请求处理模块包括：中间层处理模块，用于对所述用户设备进行权限验证；请求处理模块，用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理，并用于返回关于所述操作请求的操作响应。进一步地，所述中间层处理模块具体用于：若针对同一所述用户设备，权限验证失败的次数达到预设的次数阈值，对所述用户设备进行封禁处理。进一步地，所述日志优化模块包括：抽离模块，用于将所述日志数据按照预设的聚合规则进行关键字段抽离；比对模块，用于将所述抽离模块处理得到的关键字段与缓存中的关键字段进行比对，获取需要新增或修改的缓存对象；聚合模块，用于根据所述比对模块的处理结果，对所述缓存进行增量聚合。进一步地，所述蜜罐管理系统还包括：存储空间监测模块，用于定时检查磁盘和缓存的存储空间，根据检查结果清理过期文件。进一步地，所述存储空间监测模块还用于：若检查结果为所述存储空间小于预设阈值，将所述蜜罐的日志数据转发至预设服务器。进一步地，所述存储空间监测模块具体用于：若检查结果为所述存储空间小于预设阈值，将与告警事件相关的所述蜜罐的日志数据转发至预设服务器。进一步地，所述蜜罐通信模块具体用于：若接收到所述蜜罐对所述蜜罐管理系统发起的请求，通过预先存储的所述蜜罐的授权码判断所述请求的合法性；若所述请求合法，接收并处理所述请求。进一步地，若所述请求为任务拉取请求，所述蜜罐通信模块具体用于将所述设备下发的任务返回给所述蜜罐以执行。进一步地，若所述请求为状态上传请求，所述蜜罐通信模块具体用于在所述蜜罐管理系统中对所述蜜罐的状态进行实时更新。本专利技术实施例与现有技术相比存在的有益效果是：本专利技术实施例提供了一种全功能性的蜜罐管理系统，其功能不再仅仅是对攻击数据的收集与展示，而是实现了对蜜罐日志数据的全方位数据利用，并用有效地将用户设备与蜜罐系统之间进行通信隔离，有效地提升了系统功能的全面性。可以用于对蜜罐进行更科学、有效管理，对蜜罐监测的安全数据进行统一管理、数据分析、可视化展示，进而提升安全事件的分析效率。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的蜜罐管理系统的结构示意图；图2是本专利技术实施例提供的蜜罐管理系统的系统功能架构示意图。具体实施方式以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本专利技术实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本专利技术。在其它情况中，省略对众所周知的系统、装置以及方法的详细说明，以免不必要的细节妨碍本专利技术的描述。为了说明本专利技术所述的技术方案，下面通过具体实施例来进行说明。图1示出了本专利技术实施例提供的蜜罐管理系统的结构示意图，为了便于说明，仅示出了与本实施例相关的部分。参照图1，该蜜罐管理系统包括：反向代理模块，用于分离第一交互类型和第二交互类型，所述第一交互类型为用户设备与所述蜜罐管理系统的交互，所述第二交互类型为所述蜜罐管理系统与蜜罐的交互。通过反向代理模块将用户设备对蜜罐管理系统的访问，与蜜罐管理系统同蜜罐之间的通信进行分量，以保证蜜罐大量上传日志数据时的访问流畅度。请求响应模块，用于接收所述用户设备的操作请求，并用于返回关于所述操作请求的操作响应。具体地，请求响应模块包括：中间层处理模块，用于对所述用户设备进行权限验证。此外，中间层处理模块还可用于对用户设备进行行为记录。请求处理模块，用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理，并用于返回关于所述操作请求的操作响应。更进一步地，中间层处理模块具体用于：若针对同一所述用户设备，权限验证失败的次数达到预设的次数阈值，对所述用户设备进行封禁处理。日志优化模块，用于将所述蜜罐管理系统的日志数据进行优化处理。具体地，日志优化模块包括：抽离模块，用于将所述日志数据按照预设的聚合规则进行关键字段抽离；比对模块，用于将所述抽离模块处理得到的关键字段与缓存中的关键字段进行比对，获取需要新增或修改的缓存对象；聚合模块，用于根据所述比对模块的处理结果，对所述缓存进行增量聚合。即，日志优化模块通过执行定时任务，自动将蜜罐新上传的日志数据按照聚合规则进行关键字段抽离，与缓存中的旧数据进行比对，获取需要新增的缓存对象或者需要更新的缓存对象，再通过对缓存对象进行增量聚合，将聚合结果与旧缓存进行合并，保证用户访问的流畅性，以及保证缓存更新的高效性。IP核查模块，用于对所述蜜罐的攻击对象进行溯源分析。IP核查模块实现了对蜜罐的攻击对象的溯源分析，依托灯塔实验室长期积累的IP库，获取攻击对象的网络服务商，并对攻击对象进行地理定位，利于用户进行取证与威胁溯源分析工作。规则匹配模块，用于设定关于所述蜜罐的告警事件的告警规则。具体地，用于通过告警白名单、告警黑名单、通信白名单等对日志数据中的告警日志进行规则匹配，并对符合相应规则的事件采取相应的告警或忽略措施。蜜罐通信模块，用于与所述蜜罐进行通信，所述通信由所述蜜罐主动发起。蜜罐通信模块通过远程过程调用(RemoteProcedureCall，RPC)技术进行用户设备任的务派发、蜜罐状态的获取、日志数据的接收等工作。蜜罐与蜜罐管理系统之间的通信均由蜜罐主动发起，从而可以将蜜罐部署在禁止外网对内网主动发起请求的场景。进一步地，蜜罐通信模块具体用本文档来自技高网...

【技术保护点】
1.一种蜜罐管理系统，其特征在于，包括：反向代理模块，用于分离第一交互类型和第二交互类型，所述第一交互类型为用户设备与所述蜜罐管理系统的交互，所述第二交互类型为所述蜜罐管理系统与蜜罐的交互；请求响应模块，用于接收所述用户设备的操作请求，并用于返回关于所述操作请求的操作响应；日志优化模块，用于将所述蜜罐管理系统的日志数据进行优化处理；IP核查模块，用于对所述蜜罐的攻击对象进行溯源分析；规则匹配模块，用于设定关于所述蜜罐的告警事件的告警规则；蜜罐通信模块，用于与所述蜜罐进行通信，所述通信由所述蜜罐主动发起。

【技术特征摘要】
1.一种蜜罐管理系统，其特征在于，包括：反向代理模块，用于分离第一交互类型和第二交互类型，所述第一交互类型为用户设备与所述蜜罐管理系统的交互，所述第二交互类型为所述蜜罐管理系统与蜜罐的交互；请求响应模块，用于接收所述用户设备的操作请求，并用于返回关于所述操作请求的操作响应；日志优化模块，用于将所述蜜罐管理系统的日志数据进行优化处理；IP核查模块，用于对所述蜜罐的攻击对象进行溯源分析；规则匹配模块，用于设定关于所述蜜罐的告警事件的告警规则；蜜罐通信模块，用于与所述蜜罐进行通信，所述通信由所述蜜罐主动发起。2.如权利要求1所述的蜜罐管理系统，其特征在于，所述请求处理模块包括：中间层处理模块，用于对所述用户设备进行权限验证；请求处理模块，用于对经所述中间层处理模块权限验证通过的所述操作请求进行处理，并用于返回关于所述操作请求的操作响应。3.如权利要求2所述的蜜罐管理系统，其特征在于，所述中间层处理模块具体用于：若针对同一所述用户设备，权限验证失败的次数达到预设的次数阈值，对所述用户设备进行封禁处理。4.如权利要求1所述的蜜罐管理系统，其特征在于，所述日志优化模块包括：抽离模块，用于将所述日志数据按照预设的聚合规则进行关键字段抽离；比对模块，用于将所述抽离模块处理得到的关键字段与缓...

【专利技术属性】
技术研发人员：雷承霖，赵重浩，龚亮华，
申请(专利权)人：烽台科技北京有限公司，
类型：发明
国别省市：北京,11