一种基于流数据处理的网络安全蜜罐系统及实现方法技术方案

本发明专利技术提供了一种基于流数据处理的网络安全蜜罐系统及实现方法，所述实现方法包括蜜罐服务管理模块和蜜罐客户端建立连接；蜜罐客户端监听到蜜罐服务管理队列中有消息时，对蜜罐服务进行管理；蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当队列中存在蜜罐服务状态信息时取出数据进行处理和展示；流量信息消费服务模块监听蜜罐访问流量队列，当队列中存在蜜罐网络访问流量信息时，将其取出包装成事件，发送至流数据处理引擎模块；当接收到的事件符合事件处理条件时，流数据处理引擎模块触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。该实现方法能够有效提高蜜罐的流量解析能力，实现网络攻击行为的实时预警。预警。预警。

【技术实现步骤摘要】
一种基于流数据处理的网络安全蜜罐系统及实现方法


[0001]本专利技术属于网络信息安全蜜罐领域，具体涉及一种基于流数据处理的网络安全蜜罐系统及实现方法。

技术介绍

[0002]网络安全蜜罐运用仿真技术形成网络安全诱捕环境，并通过一系列引诱和伪装手段，诱使攻击者将攻击目标转移到诱捕环境中，并对其采取拦截阻断、行为分析、追踪溯源等措施，从而实现攻击者攻击行为记录分析和保护自身真实业务环境的目的。目前市面上的蜜罐系统大部分是基于容器化部署和日志收集分析的技术来实现的，容器化部署增加了蜜罐系统部署和应用的复杂度，同时日志收集分析往往都是事后分析，实时性较差。

技术实现思路

[0003]专利技术目的：本专利技术所要解决的技术问题是针对现有技术的不足，提供一种基于流数据处理的网络安全蜜罐系统及实现方法。
[0004]为了解决上述技术问题，第一方面，公开了一种基于流数据处理的网络安全蜜罐系统，包括蜜罐服务管理模块、蜜罐客户端、蜜罐服务运行状态收集服务模块、流量信息消费服务模块、流数据处理引擎模块、蜜罐服务管理队列、蜜罐服务状态队列和蜜罐访问流量队列；
[0005]所述蜜罐服务管理模块，用于将蜜罐服务管理指令存储至蜜罐服务管理队列，接收并处理蜜罐客户端的连接请求，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；
[0006]所述蜜罐客户端，用于载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求，根据所述蜜罐服务管理队列的连接配置信息连接和监听蜜罐服务管理队列；监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；
[0007]所述蜜罐服务管理队列，用于存储蜜罐服务管理指令；
[0008]所述蜜罐服务状态队列，用于存放蜜罐服务的运行状态信息；
[0009]所述蜜罐访问流量队列，用于存放蜜罐服务的访问流量信息；
[0010]所述蜜罐服务运行状态收集服务模块，用于监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；
[0011]所述流量信息消费服务模块，用于监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；
[0012]所述流数据处理引擎模块，用于创建蜜罐服务的事件类型和事件处理规则，根据接收到的事件匹配事件处理规则，输出蜜罐服务被攻击预警信息。
[0013]进一步的，所述网络安全蜜罐系统还包括守护进程，所述守护进程用于监测蜜罐客户端的工作状态，当蜜罐客户端工作状态出现异常或者停止工作时，关闭并重启蜜罐客户端。
[0014]第二方面，公开了一种基于流数据处理的网络安全蜜罐系统实现方法，包括：
[0015]步骤1，蜜罐服务管理模块等待蜜罐客户端连接；
[0016]步骤2，蜜罐客户端载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求；
[0017]步骤3，蜜罐服务管理模块接收并处理蜜罐客户端的连接请求，连接成功后，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；
[0018]步骤4，蜜罐客户端连接和监听蜜罐服务管理队列，监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；
[0019]步骤5，蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；
[0020]步骤6，流量信息消费服务模块监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；
[0021]步骤7，流数据处理引擎模块创建蜜罐服务的事件类型、事件处理规则和事件处理条件，当接收到的事件符合事件处理条件时，触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。
[0022]进一步的，蜜罐服务管理模块和蜜罐客户端基于TCP协议的服务器/客户端模式，步骤1包括：蜜罐服务管理模块创建socket套接字，使用套接字绑定本地的网络地址和端口，套接字在绑定的端口上进行监听，等待蜜罐客户端的连接请求；
[0023]步骤2包括：蜜罐客户端载入蜜罐服务配置信息，所述蜜罐服务配置信息是一个四元组<id，honeypotServiceName，honeypotServiceType，honeypotServiceFilePath>，其中id是蜜罐服务的唯一标识；honeypotServiceName表示蜜罐服务的名称；honeypotServiceType表示蜜罐服务的类型；honeypotServiceFilePath表示蜜罐服务静态文件的本地路径信息；蜜罐客户端创建socket套接字，向蜜罐服务管理模块发起连接请求。
[0024]进一步的，步骤3中，蜜罐服务管理模块处理蜜罐客户端的连接请求包括：
[0025]蜜罐客户端发送蜜罐客户端所在的节点信息给蜜罐服务管理模块，节点信息包括节点的名称、节点的网络地址和节点的校验码；
[0026]蜜罐服务管理模块对蜜罐客户端发送的节点信息进行校验，判断是否为能够进行连接的合法节点；
[0027]如果节点校验不通过，则蜜罐服务管理模块断开当前连接，连接失败；如果节点校验通过，连接成功。
[0028]进一步的，步骤4中所述蜜罐服务包括蜜罐服务协议和蜜罐服务静态文件；
[0029]所述蜜罐服务管理指令包括对蜜罐服务进行配置的配置指令和对蜜罐服务进行操作的操作指令，所述操作指令包括开启和关闭蜜罐服务；所述对蜜罐服务进行管理包括对蜜罐服务进行配置和对蜜罐服务进行开启和关闭操作。
[0030]进一步的，步骤5中所述蜜罐服务状态包括端口状态、心跳、系统资源使用情况、服务创建时间和服务运行时间信息。
[0031]进一步的，步骤6中所述事件是一个四元组E＝(id,honeypotType,flowData,timeStamp)，其中id是该事件的唯一标识，honeypotType表示事件的属性即蜜罐服务的类型，对于不同类型蜜罐服务收集的网络访问流量信息被包装成不同属性的事件，flowData
表示事件中携带的蜜罐服务收集的网络访问流量信息数据，timeStamp表示事件发生的时间，标识蜜罐服务收集的网络流量信息的时间；流量信息消费服务模块将蜜罐访问流量队列中获取的原始网络访问流量信息通过调用事件类的构造函数创建事件实例。
[0032]进一步的，步骤7包括：
[0033]步骤7
‑
1，基于复杂事件处理CEP(Complex Event Processing)创建流数据处理引擎；
[0034]步骤7
‑
2，在流数据处理引擎中注册事件类型，并生成相关的配置对象，其中事件类型与蜜罐服务类型相对应；
[0035]步骤7
‑
3，根据7
‑
...

【技术保护点】

【技术特征摘要】
1.一种基于流数据处理的网络安全蜜罐系统，其特征在于，包括蜜罐服务管理模块、蜜罐客户端、蜜罐服务运行状态收集服务模块、流量信息消费服务模块、流数据处理引擎模块、蜜罐服务管理队列、蜜罐服务状态队列和蜜罐访问流量队列，所述蜜罐服务管理模块，用于将蜜罐服务管理指令存储至蜜罐服务管理队列，接收并处理蜜罐客户端的连接请求，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；所述蜜罐客户端，用于载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求，连接和监听蜜罐服务管理队列；监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；所述蜜罐服务管理队列，用于存储蜜罐服务管理指令；所述蜜罐服务状态队列，用于存放蜜罐服务的运行状态信息；所述蜜罐访问流量队列，用于存放蜜罐服务的访问流量信息；所述蜜罐服务运行状态收集服务模块，用于监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；所述流量信息消费服务模块，用于监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；所述流数据处理引擎模块，用于创建蜜罐服务的事件类型和事件处理规则，根据接收到的事件匹配事件处理规则，输出蜜罐服务被攻击预警信息。2.根据权利要求1所述的一种基于流数据处理的网络安全蜜罐系统，其特征在于，还包括守护进程，所述守护进程用于监测蜜罐客户端的工作状态，当蜜罐客户端工作状态出现异常或者停止工作时，关闭并重启蜜罐客户端。3.一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，包括：步骤1，蜜罐服务管理模块等待蜜罐客户端连接；步骤2，蜜罐客户端载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求；步骤3，蜜罐服务管理模块接收并处理蜜罐客户端的连接请求，连接成功后，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；步骤4，蜜罐客户端连接和监听蜜罐服务管理队列，监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；步骤5，蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；步骤6，流量信息消费服务模块监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；步骤7，流数据处理引擎模块创建蜜罐服务的事件类型、事件处理规则和事件处理条件，当接收到的事件符合事件处理条件时，触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。4.根据权利要求3所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，蜜罐服务管理模块和蜜罐客户端基于TCP协议的服务器/客户端模式，步骤1包括：蜜罐服务管理模块创建socket套接字，使用套接字绑定本地的网络地址和端口，套接字在绑
定的端口上进行监听，等待蜜罐客户端的连接请求；步骤2包括：蜜罐客户端载入蜜罐服务配置信息，所述蜜罐服务配置信息是一个四元组<id，honeypotServiceName，honeypotServiceType，honeypotServiceFilePath>，其中id是蜜罐服务的唯一标识；honeypotServiceName表示蜜罐服务的名称；honeypotServiceType表示蜜罐服务的类型；hon...

【专利技术属性】
技术研发人员：田闯，苏志鹏，王小鹏，石启良，陈昊望，
申请(专利权)人：中通服咨询设计研究院有限公司，
类型：发明
国别省市：