本申请涉及一种基于定向引流的蜜罐集群检测方法及系统,属于蜜罐领域,其方法包括业务系统判断流量数据是否为攻击性数据;在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理。攻击者在攻击时进入的均是业务系统,在攻击者产生请求动作时,包括访问请求、上传请求和下发请求,产生对应的流量数据。此时业务系统对流量数据进行判定,并将判定为攻击性数据的流量数据传输给蜜罐集群系统中的对应蜜罐,由蜜罐集群系统进行响应处理。本申请具有有助于提高蜜罐的使用率、匹配度和提高业务系统安全性的效果。度和提高业务系统安全性的效果。度和提高业务系统安全性的效果。
【技术实现步骤摘要】
一种基于定向引流的蜜罐集群检测方法及系统
[0001]本专利技术涉及蜜罐领域,尤其是涉及一种基于定向引流的蜜罐集群检测方法及系统。
技术介绍
[0002]蜜罐通常指蜜罐技术,是一种用于对攻击方进行诱骗和欺骗的技术。随着互联网的日益发展,信息安全越来越得到重视,为了获取黑客等攻击者的攻击信息以及保障自身系统信息的安全性,通常通过布置蜜罐,诱使攻击者进入蜜罐产生攻击行为。一方面保证了系统本身的安全性,另一方面便于获取攻击者的攻击信息,以留作证据。
[0003]相关技术中的蜜罐通常混入在主机系统中,主机系统包括若干主机,每个主机均配置有对应的业务或服务。黑客等攻击者进入主机系统后,选择一个主机进行攻击。由于主机系统中布置有若干蜜罐,对于攻击者而言,蜜罐与其他主机无异,由于蜜罐的诱惑性更大,使攻击者更容易选择蜜罐进行攻击,从而陷入到陷阱中。
[0004]针对上述中的相关技术,专利技术人认为由于蜜罐需要占用较多的资源,因此在主机系统中布置的蜜罐数量有限,而在攻击者攻击时,有一定概率攻击真实主机,而非蜜罐,在蜜罐数量有限的前提下,蜜罐的利用率较低。
技术实现思路
[0005]为了有助于提高蜜罐的使用率,本专利技术提供一种基于定向引流的蜜罐集群检测方法及系统。
[0006]第一方面,本申请提供的一种基于定向引流的蜜罐集群检测方法采用如下的技术方案:一种基于定向引流的蜜罐集群检测方法,预设有业务系统和与所述业务系统分隔设置的蜜罐集群系统,所述业务系统与所述蜜罐集群系统通信连接,所述蜜罐集群系统包括至少一个蜜罐;所述检测方法包括:所述业务系统判断流量数据是否为攻击性数据;在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理。
[0007]通过采用上述技术方案,业务系统与蜜罐集群系统分隔设置,攻击者在攻击时进入的均是业务系统,在攻击者产生请求动作时,包括访问请求、上传请求和下发请求,产生对应的流量数据。此时业务系统对流量数据进行判定,由于攻击者的流量数据与原有业务系统中运行的数据有所差异,因此会被判定为攻击性数据;此时业务系统将流量数据传输给蜜罐集群系统,即将攻击者的动作导入到蜜罐集群系统中。一方面,攻击者的流量数据不会在业务系统中运行,而是在蜜罐集群系统中运行,有助于提高了蜜罐的使用率;另一方
面,便于提高业务系统的安全性。
[0008]可选的,所述业务系统包括若干业务主机,若干所述业务主机上均布置有与所述蜜罐对应数据传输的诱骗端口;所述业务系统判断流量数据是否为攻击性数据的步骤包括:判断所述流量数据是否访问所述诱骗端口;若所述流量数据访问所述诱骗端口,判定对应的所述流量数据为攻击性数据。
[0009]通过采用上述技术方案,业务系统包括若干业务主机,业务主机上布置有诱骗端口,对于业务主机的正常业务而言,对应的业务数据均是内部数据,不会访问诱骗端口。但是对于攻击者而言,其并不知道业务主机中的哪个端口是虚假的,对攻击者而言,每个端口均是真实的端口。而诱骗端口因为具有诱骗性,因此更容易受到攻击者的访问。攻击者一旦访问诱骗端口,产生的流量数据就会被传输到蜜罐集群系统中,有助于提高蜜罐的利用率。此外,通过设置诱骗端口的形式,更容易判断出具有攻击性的流量数据,有助于保证业务系统的安全性。
[0010]可选的,所述将对应的所述流量数据传输给所述蜜罐集群系统的步骤包括:基于所述流量数据访问的所述诱骗端口与对应所述蜜罐的预设数据传输关系,将所述流量数据传输给与所述诱骗端口对应数据传输的所述蜜罐。
[0011]通过采用上述技术方案,每个诱骗端口均对应有蜜罐,流量数据访问诱骗端口后,自动将流量数据传输给指定的蜜罐。由于蜜罐是自带服务或者数据库的虚假模块,使攻击者进入到蜜罐中后,更容易相信攻入的是业务系统的真实主机。
[0012]可选的,所述业务系统包括若干业务主机;所述业务系统判断流量数据是否为攻击性数据的步骤包括:所述业务主机判断所述流量数据是否满足预设的转发规则;若满足,所述业务主机判定对应的所述流量数据为攻击性数据。
[0013]通过采用上述技术方案,在流量数据满足转发规则时,将流量数据判定为攻击性数据,有助于提高蜜罐集群系统的使用率,提高覆盖度,使满足转发规则的流量数据全部转入蜜罐集群系统。
[0014]可选的,所述蜜罐集群系统包括若干不同类型的所述蜜罐;所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理的步骤包括:基于预设的蜜罐代理端口对接收的所述流量数据进行汇总;对汇总后的所述流量数据进行分析,获得所述流量数据的类型;基于所述流量数据的类型,将对应的所述流量数据传输给对应类型的所述蜜罐。
[0015]通过采用上述技术方案,对流量数据进行分析,得到流量数据的类型;再根据流量数据的类型,将流量输出传输给对应类型的蜜罐。一方面有助于提高蜜罐的使用率;另一方面,根据流量数据的类型为流量数据匹配对应类型的蜜罐,有助于提高攻击者的受骗率,从而有助于增长攻击者在蜜罐中的逗留时间和增多攻击者在蜜罐中产生的动作。
[0016]可选的,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:调取所述流量数据的头信息;基于所述流量数据的头信息,到预设的头信息类型关系表中查找与所述流量数据
的头信息对应的所述流量数据的类型。
[0017]通过采用上述技术方案,流量数据的头信息通常代表流量数据的类型,例如FTP请求或数据库请求。到头信息类型关系表中查找与头信息对应的流量数据的类型,即可得知流量数据的类型。
[0018]可选的,所述对所述流量数据进行分析,获得所述流量数据的类型的步骤包括:调取所述流量数据的请求协议;基于所述流量数据的请求协议,到预设的协议类型关系表中查找与所述流量数据的请求协议对应的所述流量数据的类型。
[0019]通过采用上述技术方案,基于流量数据的请求协议,得知流量数据的类型,例如请求转到其他网站中的外部请求或攻击请求。。
[0020]第二方面,本申请提供的一种基于定向引流的蜜罐集群检测系统采用如下的技术方案:一种基于定向引流的蜜罐集群检测系统,包括业务系统和蜜罐集群系统;所述业务系统包括若干业务主机,所述蜜罐集群系统包括若干蜜罐;所述业务系统用于判断流量数据是否为攻击性数据,并在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;所述蜜罐集群系统用于接收所述业务系统传输的所述流量数据,并对所述流量数据进行处理。
[0021]通过采用上述技术方案,业务系统与蜜罐集群系统分开设置,攻击者在业务系统中产生的流量数据会被判定为攻击性数据,而后被传输到蜜罐集群系统中,有助于提高蜜罐的利用率。
[0022]可选的,所述蜜罐集群系统中的所述蜜罐与所述业务主机设置为不同网段。
[0023]通过采用上述技术方案,蜜罐与业务主机使用不同的网段,进行物理隔离,有助于提高业务主机和蜜本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于定向引流的蜜罐集群检测方法,其特征在于:预设有业务系统和与所述业务系统分隔设置的蜜罐集群系统,所述业务系统与所述蜜罐集群系统通信连接,所述蜜罐集群系统包括至少一个蜜罐;所述检测方法包括:所述业务系统判断流量数据是否为攻击性数据;在所述流量数据为攻击性数据时,将对应的所述流量数据传输给所述蜜罐集群系统;所述蜜罐集群系统接收所述业务系统传输的所述流量数据,对所述流量数据进行处理。2.根据权利要求1所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述业务系统包括若干业务主机,若干所述业务主机上均布置有与所述蜜罐对应数据传输的诱骗端口;所述业务系统判断流量数据是否为攻击性数据的步骤包括:判断所述流量数据是否访问所述诱骗端口;若所述流量数据访问所述诱骗端口,判定对应的所述流量数据为攻击性数据。3.根据权利要求2所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述将对应的所述流量数据传输给所述蜜罐集群系统的步骤包括:基于所述流量数据访问的所述诱骗端口与对应所述蜜罐的预设数据传输关系,将所述流量数据传输给与所述诱骗端口对应数据传输的所述蜜罐。4.根据权利要求1所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述业务系统包括若干业务主机;所述业务系统判断流量数据是否为攻击性数据的步骤包括:所述业务主机判断所述流量数据是否满足预设的转发规则;若满足,所述业务主机判定对应的所述流量数据为攻击性数据。5.根据权利要求4所述的一种基于定向引流的蜜罐集群检测方法,其特征在于,所述蜜罐集群系统包括若干不同类型的所述蜜罐;所述蜜罐集群系统接收所述业务系统传输的所述...
【专利技术属性】
技术研发人员:黄国豪,肖国颖,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。