一种防逃逸的攻击行为欺骗蜜罐构建方法技术

本发明专利技术涉及网络安全技术领域，尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。本发明专利技术通过管理平台创建不同功能的，带有守护进程的蜜罐容器，将蜜罐部署在容器中。当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时，守护进程采用白名单、sha256进行校验。校验成功，程序正常启动。校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。对攻击行为的针对性强，有效防止蜜罐逃逸风险，提高了网络环境的安全性和稳定性。提高了网络环境的安全性和稳定性。提高了网络环境的安全性和稳定性。

【技术实现步骤摘要】
一种防逃逸的攻击行为欺骗蜜罐构建方法


[0001]本专利技术涉及网络安全
，尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。

技术介绍

[0002]随着网络高速的发展，网络中的资源也在成倍的增加，如何提高暴露在网络中资源的安全性，是目前急需解决的问题。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
[0003]现有的网络安全技术中，现有的操作系统、虚拟化工具软件有可能存在漏洞，攻击者可以利用存在的漏洞，通过攻击工具实现蜜罐逃逸。造成网络环境的安全性、稳定性下降。

技术实现思路

[0004]针对
技术介绍
中存在的问题，提出一种防逃逸的攻击行为欺骗蜜罐构建方法。本专利技术通过管理平台创建不同功能的，带有守护进程的蜜罐容器，将蜜罐部署在容器中。当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时，守护进程采用白名单、sha256进行校验。校验成功，程序正常启动。校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。对攻击行为的针对性强，有效防止蜜罐逃逸风险，提高了网络环境的安全性和稳定性。
[0005]本专利技术提出一种防逃逸的攻击行为欺骗蜜罐构建方法，方法如下：
[0006]S1、建立管理平台；通过管理平台创建不同功能的蜜罐容器，并在系统环境中布置多个诱捕节点；
[0007]S2、蜜罐容器对诱捕节点进行一一隔离，蜜罐容器内布置守护进程；
[0008]S3、将蜜罐一一部署在蜜罐容器内，与诱捕节点以及守护进程进行绑定；运行蜜罐、蜜罐容器以及系统；
[0009]S4、当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭；当安装、配置合法程序或启动任一程序时，守护进程进行校验；
[0010]S5、校验成功，程序正常启动；校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。
[0011]优选的，管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
[0012]优选的，镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外，还包含为蜜罐容器运行时准备的配置参数。
[0013]优选的，蜜罐容器上设置有数据接口；数据接口设置有检测单元和截断单元；守护进程连接检测单元和截断单元。
[0014]优选的，校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元，用于提前采集用户行为数据，建立白名单，并将系统中的进程与白名单对比，判断是否为允许的工作进程。
[0015]优选的，采集单元对正常行为数据和异常行为数据进行收集，分别提取上述数据包的特征值序列，并分类存储；白名单为正常行为数据的特征值序列合集。
[0016]优选的，守护进程进行校验会对当前执行的进程进行白名单校验，只有在白名单内的程序可以启动。
[0017]优选的，白名单校验方法为：需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列合集匹配，判断为校验合格。
[0018]优选的，安装、配置合法程序或启动任一程序时，守护进程采用sha256对宿主文件进行校验，需要输入Hash函数之前的数据和通过Hash函数处理过后得到的编号必须一一对应；需要每一个编号的长度都是固定的；且无法通过编号倒推出数据的内容。
[0019]优选的，守护进程同时会校验其它程序的启动代码参数，该启动参数由系统随机生成且固定，若攻击者通过代码溢出的程序启动该通信程序，因为不知道启动代码参数，所以也无法正常启动，同时蜜罐写入报警日志。
[0020]与现有技术相比，本专利技术具有如下有益的技术效果：
[0021]本专利技术通过管理平台创建不同功能的，带有守护进程的蜜罐容器，将蜜罐部署在容器中。当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时，守护进程采用白名单、sha256进行校验。校验成功，程序正常启动。校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。对攻击行为的针对性强，有效防止蜜罐逃逸风险，提高了网络环境的安全性和稳定性。
附图说明
[0022]图1为本专利技术一种实施例的方法流程图。
具体实施方式
[0023]实施例一
[0024]如图1所示，本专利技术提出的一种防逃逸的攻击行为欺骗蜜罐构建方法，方法如下：
[0025]S1、建立管理平台；通过管理平台创建不同功能的蜜罐容器，并在系统环境中布置多个诱捕节点；
[0026]S2、蜜罐容器对诱捕节点进行一一隔离，蜜罐容器内布置守护进程；
[0027]S3、将蜜罐一一部署在蜜罐容器内，与诱捕节点以及守护进程进行绑定；运行蜜罐、蜜罐容器以及系统；
[0028]S4、当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭；当安装、配置合法程序或启动任一程序时，守护进程进行校验；
[0029]S5、校验成功，程序正常启动；校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。
[0030]实施例二
[0031]如图1所示，本专利技术提出的一种防逃逸的攻击行为欺骗蜜罐构建方法，方法如下：
[0032]S1、建立管理平台；通过管理平台创建不同功能的蜜罐容器，并在系统环境中布置多个诱捕节点；
[0033]S2、蜜罐容器对诱捕节点进行一一隔离，蜜罐容器内布置守护进程；
[0034]S3、将蜜罐一一部署在蜜罐容器内，与诱捕节点以及守护进程进行绑定；运行蜜罐、蜜罐容器以及系统；
[0035]S4、当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭；当安装、配置合法程序或启动任一程序时，守护进程进行校验；
[0036]S5、校验成功，程序正常启动；校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。
[0037]进一步的，管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。
[0038]进一步的，镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外，还包含为蜜罐容器运行时准备的配置参数。
[0039]进一步的，蜜罐容器上设置有数据接口；数据接口设置有检测单元和截断单元；守护进程连接检测单元和截断单元。
[0040]进一步的，校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元，用于提前采集用户行为数据，建立白名单，并将系统中的进程与白名单对比，判断是否为允许的工作进程。
[0041]进一步的，采集单元对正常行为数据和异常行为数据进行收集，分别提取上述数据包的特征值序列，并分类存储；白名单为正常行为数据的特征值序列合本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防逃逸的攻击行为欺骗蜜罐构建方法，其特征在于，方法如下：S1、建立管理平台；通过管理平台创建不同功能的蜜罐容器，并在系统环境中布置多个诱捕节点；S2、蜜罐容器对诱捕节点进行一一隔离，蜜罐容器内布置守护进程；S3、将蜜罐一一部署在蜜罐容器内，与诱捕节点以及守护进程进行绑定；运行蜜罐、蜜罐容器以及系统；S4、当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭；当安装、配置合法程序或启动任一程序时，守护进程进行校验；S5、校验成功，程序正常启动；校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。2.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法，其特征在于，管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。3.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法，其特征在于，镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外，还包含为蜜罐容器运行时准备的配置参数。4.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法，其特征在于，蜜罐容器上设置有数据接口；数据接口设置有检测单元和截断单元；守护进程连接检测单元和截断单元。5.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法，其特征在于，校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元，用于提前采集用户行为数据，...

【专利技术属性】
技术研发人员：黄龙飞，刘可渔，
申请(专利权)人：上海磐御网络科技有限公司，
类型：发明
国别省市：