一种面向流量的集成式蜜罐威胁数据捕获方法技术

一种面向流量的集成式蜜罐威胁数据捕获方法，由网络层面捕获和系统层面捕获组成；网络层面捕获为基于流量的被动式获取，通过各种开源工具获取原始流量数据，原始流量数据主要包括蜜网网关唯一连接点上所有流入和流出蜜网的网络连接，符合入侵特征的攻击数据，攻击方操作系统类型以及全部流入流出蜜网的网络连接；系统层面捕获为主动诱捕，设置漏洞诱惑攻击者攻击蜜罐所在机，再通过开源工具主动捕获攻击者在蜜罐主机上的行为，捕获的行为包括系统行为数据及键击记录，再将主动捕获的数据传输至中央控制系统。本发明专利技术中，通过基于流量的被动式获取与主动诱捕相结合，来捕获攻击者的攻击手段，及时更新防火墙，从而对被攻击者PC起到保护作用。

【技术实现步骤摘要】
一种面向流量的集成式蜜罐威胁数据捕获方法
本专利技术涉及计算机网络安全
，尤其涉及一种面向流量的集成式蜜罐威胁数据捕获方法。
技术介绍
蜜罐本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。在高交互式蜜罐中，用于搭建欺骗环境的真实系统、网络服务与应用软件的日志记录功能通常并不能完全满足安全威胁监控的需求，因而需要研究人员自主设计并实现相应的威胁数据捕获机制。
技术实现思路
(一)专利技术目的为解决
技术介绍
中存在的技术问题，本专利技术提出一种面向流量的集成式蜜罐威胁数据捕获方法，通过基于流量的被动式获取与主动诱捕相结合，来捕获攻击者的攻击手段，及时更新防火墙，从而对被攻击者PC起到保护作用。(二)技术方案本专利技术提出了一种面向流量的集成式蜜罐威胁数据捕获方法，威胁数据捕获系统由网络层面捕获和系统层面捕获组成；网络层面捕获主要为基于流量的被动式获取，网络层面捕获通过各种开源工具获取各种原始流量数据，原始流量数据主要包括蜜网网关唯一连接点上所有流入和流出蜜网的网络连接，符合入侵特征的攻击数据，攻击方操作系统类型以及全部流入流出蜜网的网络连接；系统层面捕获为主动诱捕，设置漏洞诱惑攻击者攻击蜜罐所在机，再通过开源工具主动捕获攻击者在蜜罐主机上的行为，捕获的行为包括系统行为数据及键击记录，再将主动捕获的数据传输至中央控制系统。优选的，蜜罐中设置较为明显的表面层bug陷阱，在表层bug陷阱下方设置破解难度依次增加的不同陷阱，每个陷阱内都对应一组文件夹，文件夹内存储一些公司非机密的信息，文件夹内的内容以及信息量同样不断增加，诱导入侵者逐级破解陷阱，蜜罐内设置强制格式化程序，当最底层的陷阱被破解后，强制格式化程序立即启动，将整台蜜罐设备进行强制格式化处理后并关闭蜜罐设备。优选的，蜜罐中表面层bug陷阱被入侵破解后，蜜罐向中央控制系统发出警告，并实时将历史记录以及网络日志等入侵信息进行备份同时发送至中央控制系统，备份及发送信息时间间隔每次不超过五秒钟。优选的，蜜罐能且只能通过网线连接进网络，断开或强制禁止蜜罐设备中的所有无线联网端口，蜜罐设置两个以上，每个蜜罐中所设的陷阱均不相同。优选的，所述的网络层面捕获中在蜜网网关唯一连接点上设置Argus监控系统，对所有流入和流出蜜网的网络连接记录；所述的网络层面捕获中设置Snort入侵检测系统，Snort入侵检测系统对进入蜜罐主机的数据进行实时分析；所述的网络层面捕获中设置pOf被动操作系统辨识工具，根据监听到的网络流中存有的指纹特征，判断攻击方操作系统的类型；所述的网络层面捕获中设置Tcpdump，将网络中传送的数据包完全截获下来并进行分析，用来监听全部流入流出蜜网的网络连接，同时记录原始流量数据；蜜罐发出被入侵警报后，每隔一个时间段向中央控制系统发送网络连接记录、攻击方操作系统以及各种原始流量数据，发送信息时间间隔不超过五秒。优选的，所述系统层面捕获的具体方式如下：设置Sebek数据捕获工具主动捕获攻击者在蜜罐主机上的行为，Sebek服务器端收集数据后每隔一个时间段向中央控制系统上传一次信息，上传信息时间间隔不超过五秒，Sebek使用无连接、不可靠的UDP协议进行通信。优选的，所述的Tcpdump工具预先定义数据过滤规则。优选的，蜜罐采用分布式部署方式，信息收集处理采用集中管理。本专利技术的上述技术方案具有如下有益的技术效果：攻击者通过攻击者PC向防火墙发起攻击，然后被管理者事先设置的漏洞引诱至集成式蜜罐内，集成式蜜罐所在机内设置多种开源工具，通过基于流量的被动式获取与主动诱捕结合来捕获各种威胁数据，并通过已知攻击事件库将攻击者的攻击形式与已知攻击手段进行对比，若判断为未知的攻击手段，则将收集到的数据传递至中央控制系统，中央控制系统再判断分析攻击手段，若为未知攻击手段则通知管理人员进行针对性防护，并及时更新防火墙，从而对被攻击者PC起到保护作用。附图说明图1为本专利技术提出的面向流量的集成式蜜罐威胁数据捕获方法的装置示意图。图2为本专利技术提出的面向流量的集成式蜜罐威胁数据捕获方法的总概要图图3为本专利技术提出的面向流量的集成式蜜罐威胁数据捕获方法中网络层面捕获的工作流程图。图4为本专利技术提出的面向流量的集成式蜜罐威胁数据捕获方法中系统层面捕获的工作流程图。图5为本专利技术提出的面向流量的集成式蜜罐威胁数据捕获方法中Snort系统的具体工作流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本专利技术进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本专利技术的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本专利技术的概念。如图1-5所示，本专利技术提出的一种面向流量的集成式蜜罐威胁数据捕获方法，威胁数据捕获系统由网络层面捕获和系统层面捕获组成；网络层面捕获主要为基于流量的被动式获取，网络层面捕获通过各种开源工具获取各种原始流量数据，原始流量数据主要包括蜜网网关唯一连接点上所有流入和流出蜜网的网络连接，符合入侵特征的攻击数据，攻击方操作系统类型以及全部流入流出蜜网的网络连接；系统层面捕获为主动诱捕，设置漏洞诱惑攻击者攻击蜜罐所在机，再通过开源工具主动捕获攻击者在蜜罐主机上的行为，捕获的行为包括系统行为数据及键击记录，再将主动捕获的数据传输至中央控制系统。本专利技术中，攻击者通过攻击者PC向防火墙发起攻击，然后被管理者事先设置的漏洞引诱至集成式蜜罐内，集成式蜜罐所在机内设置多种开源工具，通过基于流量的被动式获取与主动诱捕结合来捕获各种威胁数据，并通过已知攻击事件库将攻击者的攻击形式与已知攻击手段进行对比，若判断为未知的攻击手段，则将收集到的数据传递至中央控制系统，中央控制系统再判断分析攻击手段，若为未知攻击手段则通知管理人员进行针对性防护，并及时更新防火墙，从而对被攻击者PC起到保护作用。在一个可选的实施例中，蜜罐中设置较为明显的表面层bug陷阱，在表层bug陷阱下方设置破解难度依次增加的不同陷阱，每个陷阱内都对应一组文件夹，文件夹内存储一些公司非机密的信息，文件夹内的内容以及信息量同样不断增加，诱导入侵者逐级破解陷阱，蜜罐内设置强制格式化程序，当最底层的陷阱被破解后，强制格式化程序立即启动，将整台蜜罐设备进行强制格式化处理后并关闭蜜罐设备；通过设置难度逐渐增大的陷阱引诱入侵者在蜜罐中停留更长时间，且每层陷阱中都存储有一些非机密信息，混淆入侵者试听，误导其认为蜜罐为正常使用的电脑，从而长时间停留，有利于相关人员分析破解入侵手段从而采取相应的针对措施，且蜜罐内设置强制格式化程序，当入侵者一直破解到最底层时，相关人员仍然为制定出相关防范手段，此台蜜罐设备本文档来自技高网...

【技术保护点】
1.一种面向流量的集成式蜜罐威胁数据捕获方法，其特征在于：威胁数据捕获系统由网络层面捕获和系统层面捕获组成；网络层面捕获主要为基于流量的被动式获取，网络层面捕获通过各种开源工具获取各种原始流量数据，原始流量数据主要包括蜜网网关唯一连接点上所有流入和流出蜜网的网络连接，符合入侵特征的攻击数据，攻击方操作系统类型以及全部流入流出蜜网的网络连接；系统层面捕获为主动诱捕，设置漏洞诱惑攻击者攻击蜜罐所在机，再通过开源工具主动捕获攻击者在蜜罐主机上的行为，捕获的行为包括系统行为数据及键击记录，再将主动捕获的数据传输至中央控制系统。/n

【技术特征摘要】
1.一种面向流量的集成式蜜罐威胁数据捕获方法，其特征在于：威胁数据捕获系统由网络层面捕获和系统层面捕获组成；网络层面捕获主要为基于流量的被动式获取，网络层面捕获通过各种开源工具获取各种原始流量数据，原始流量数据主要包括蜜网网关唯一连接点上所有流入和流出蜜网的网络连接，符合入侵特征的攻击数据，攻击方操作系统类型以及全部流入流出蜜网的网络连接；系统层面捕获为主动诱捕，设置漏洞诱惑攻击者攻击蜜罐所在机，再通过开源工具主动捕获攻击者在蜜罐主机上的行为，捕获的行为包括系统行为数据及键击记录，再将主动捕获的数据传输至中央控制系统。


2.根据权利要求1所述的面向流量的集成式蜜罐威胁数据捕获方法，其特征在于，蜜罐中设置较为明显的表面层bug陷阱，在表层bug陷阱下方设置破解难度依次增加的不同陷阱，每个陷阱内都对应一组文件夹，文件夹内存储一些公司非机密的信息，文件夹内的内容以及信息量同样不断增加，诱导入侵者逐级破解陷阱，蜜罐内设置强制格式化程序，当最底层的陷阱被破解后，强制格式化程序立即启动，将整台蜜罐设备进行强制格式化处理后并关闭蜜罐设备。


3.根据权利要求2所述的面向流量的集成式蜜罐威胁数据捕获方法，其特征在于，蜜罐中表面层bug陷阱被入侵破解后，蜜罐向中央控制系统发出警告，并实时将历史记录以及网络日志等入侵信息进行备份同时发送至中央控制系统，备份及发送信息时间间隔每次不超过五秒钟。


4.根据权利要求1或2所述的面向流量的集成式蜜罐威胁数据捕获方法，其特征在于，蜜罐能且只能通过网线连接进网络，断开或强制禁止蜜罐设备中...

【专利技术属性】
技术研发人员：张晶，黄建福，陈瑜靓，刘家祥，刘琦，石小川，赵昆杨，
申请(专利权)人：福建奇点时空数字科技有限公司，
类型：发明
国别省市：福建;35