全舰计算环境云端蜜罐、攻击事件感知和行为分析方法技术

本发明专利技术公开了全舰计算环境云端蜜罐、攻击事件感知和行为分析方法，属于数据安全领域。所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境。本发明专利技术通过在全舰计算环境中构建一个兼具实系统蜜罐和伪系统蜜罐优点的蜜罐，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁。解决了在无法实时获取互联网云端赋能的情况下，对未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力。统的安全防护能力。统的安全防护能力。

【技术实现步骤摘要】
全舰计算环境云端蜜罐、攻击事件感知和行为分析方法


[0001]本专利技术属于数据安全领域，更具体地，涉及全舰计算环境云端蜜罐、攻击事件感知和行为分析方法。

技术介绍

[0002]随着网络攻击技术的进步，传统防火墙建立在基于已知危险的规则体系上进行防御的局限性和脆弱性越来越明显，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。蜜罐技术通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
[0003]蜜罐可分为实系统蜜罐和伪系统蜜罐。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等，但可记录下最真实的入侵信息。伪系统蜜罐是管理员利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，让入侵者即使成功“渗透”，自以为得逞，但实际只能是在一个程序框架里打转，在程序制造的梦境的在里面瞎忙，以实现对入侵者的跟踪记录。
[0004]在现有公开的云端蜜罐技术中，一种是从当前运行的所有进程中筛选出不可信进程，向不可信进程注入钩子函数，获取不可信进程的调用函数记录和函数执行记录，遍历所获取的调用函数记录和函数执行记录，识别不可信进程是否存在风险，该方法对未产生恶意进程网络攻击行为无效。另一种是通过将用户发送的套接字跟预先获取的蜜罐系统内指定的套接字比对，只要用户发送的套接字属于预先获取的蜜罐系统内指定的套接字，不管用户发送的访问请求是否产生恶意进程，均会被识别出具有风险，该方法若无法第一时间联动威胁情报，对于未知新型攻击手段的威胁无法预报和阻止。
[0005]全舰计算环境(TSCE)是一种私有云，它以网络为中心，基于开放式体系结构和民用现成技术，将现代舰艇战时、平时的所有传感器、武器资源与指控系统和舰艇平台管理系统的各类运算操作、基础数据集成到一起。作为一种私有云，同样会受到系统内部和外部的各种安全威胁。有别于一般的私有云，全舰计算环境与互联网物理隔离，不能通过互联网实时获取威胁情报。因此，亟需一种全舰计算环境云端蜜罐技术，用于在无法实时获取互联网云端赋能的情况下，对未知攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，从而增强实际系统的安全防护能力。

技术实现思路

[0006]针对现有技术的缺陷，本专利技术的目的在于提供全舰计算环境云端蜜罐、攻击事件感知和行为分析方法，旨在解决在无法实时获取互联网云端赋能的情况下，对对于未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力的问题。
[0007]为实现上述目的，第一方面，本专利技术提供了一种全舰计算环境云端蜜罐，所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境；
[0008]所述链路网关，用于为全舰计算环境中各终端提供点对点的RDP连接；
[0009]所述TCP/UDP协议解析认证引擎，用于对来自链路网关的信息和服务请求进行解析和认证，对于合法访问，将信息和服务请求传递给代理网关，对于非法访问或攻击，将攻击者访问流量引流至虚拟计算存储环境中，并同时对攻击者的非法活动进行监视和检测，将攻击和非法访问数据送入数据分析引擎；
[0010]所述数据分析引擎，用于实时旁路地检测经过虚拟计算存储环境的应用流量，对流量进行记录和应用解析，对解析后的应用数据匹配特征库，发现数据流中存在的对服务器漏洞攻击的行为；对于越权行为可怀疑为利用未知漏洞的攻击行为；对应用流量中识别到的攻击行为进行域名进程关系链关联举证，并提交运维管理终端，以进行判读并截断攻击链；
[0011]所述蜜罐仿真计算服务节点，用于响应攻击者的计算服务请求，给攻击者提供非真实的计算服务，为攻击者提供基于仿真蜜罐资源的虚拟计算服务，包括基础设施、平台和软件，攻击者可以在蜜罐内创建虚拟机、构建应用程序和服务平台、使用应用程序；所有通过蜜罐仿真服务节点发起的访问请求都被引导至蜜罐仿真计算服务节点和蜜罐仿真存储节点并获得响应，使攻击者误认为获取到真实的计算服务；
[0012]所述蜜罐仿真存储节点，用于响应攻击者的数据读写服务请求，给攻击者提供非真实的结构化数据，使攻击者误认为获取窃取到真实的数据，获得真实的存储服务；
[0013]所述代理网关，用于对通过TCP/UDP协议解析认证引擎认证的报文进一步认证，并对最终通过认证的用户提供真实的全舰计算环境云服务平台的访问。
[0014]优选地，所述蜜罐仿真计算服务节点按全舰计算环境云服务平台部署，提供3种服务模式；
[0015]所述蜜罐仿真计算服务节点提供的3种服务分别为：基础设施即服务(IaaS)，为攻击者虚拟化计算资源，如虚拟机、存储、网络和操作系统；平台即服务(PaaS)，为攻击者构建应用程序和服务平台，提供按需开发的环境；软件即服务(SaaS)，为攻击者提供应用程序并运行其访问蜜罐内数据；
[0016]上述计算资源、应用程序和服务平台按全舰计算环境云服务平台部署，但其数据和算法均已经进行脱密处理，其访问数据局限在蜜罐仿真存储节点内；
[0017]所述蜜罐仿真存储节点的数据结构是按全舰计算环境云服务平台部署，所述数据采用云服务平台真实数据将敏感数据进行修改，进行脱密处理，拥有全舰计算环境基本的数据库，以模拟云存储服务。
[0018]需要说明的是，本专利技术通过对攻击过程全链条欺骗，使攻击者认为攻击的是真实
系统，能够获得迷惑攻击者的“真实”服务和数据，拖延攻击者时间和精力，为精准捕获维修争取时间。
[0019]优选地，所述链路网关由汇聚模块、RDP模块、NAP模块和NP模块组成；
[0020]所述汇聚模块，用于将外部连接的多个物理端口的数据汇聚到1个端口，发送到数据分析引擎；
[0021]所述RDP模块，用于实现信息和服务请求的转换；
[0022]所述NAP模块，用于根据预设规则对接入全舰计算环境的终端强制实施健康状况要求，包括硬件要求、安全更新要求、所需的计算机配置以及其他设置；
[0023]所述NP模块，用于根据PDP模块和NAP模块的处理结果，将信息和服务请求分为3类，并将经标注的信息和服务请求发送至TCP/UDP协议解析认证引擎，分类规则如下：对于全舰计算环境系统内认证设备发出的信息和服务请求被标记为A类，对于系统外符合认证条件的设备发出的信息和服务请求被标记为B类本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种全舰计算环境云端蜜罐，其特征在于，所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境；所述链路网关，用于为全舰计算环境中各终端提供点对点的RDP连接；所述TCP/UDP协议解析认证引擎，用于对来自链路网关的信息和服务请求进行解析和认证，对于合法访问，将信息和服务请求传递给代理网关，对于非法访问或攻击，将攻击者访问流量引流至虚拟计算存储环境中，并同时对攻击者的非法活动进行监视和检测，将攻击和非法访问数据送入数据分析引擎；所述数据分析引擎，用于实时旁路地检测经过虚拟计算存储环境的应用流量，对流量进行记录和应用解析，对解析后的应用数据匹配特征库，发现数据流中存在的对服务器漏洞攻击的行为；对于越权行为可怀疑为利用未知漏洞的攻击行为；对应用流量中识别到的攻击行为进行域名进程关系链关联举证，并提交运维管理终端，以进行判读并截断攻击链；所述蜜罐仿真计算服务节点，用于响应攻击者的计算服务请求，给攻击者提供非真实的计算服务，为攻击者提供基于仿真蜜罐资源的虚拟计算服务，包括基础设施、平台和软件，攻击者可以在蜜罐内创建虚拟机、构建应用程序和服务平台、使用应用程序；所有通过蜜罐仿真服务节点发起的访问请求都被引导至蜜罐仿真计算服务节点和蜜罐仿真存储节点并获得响应，使攻击者误认为获取到真实的计算服务；所述蜜罐仿真存储节点，用于响应攻击者的数据读写服务请求，给攻击者提供非真实的结构化数据，使攻击者误认为获取窃取到真实的数据，获得真实的存储服务；所述代理网关，用于对通过TCP/UDP协议解析认证引擎认证的报文进一步认证，并对最终通过认证的用户提供真实的全舰计算环境云服务平台的访问。2.如权利要求1所述的云端蜜罐，其特征在于，所述蜜罐仿真计算服务节点按全舰计算环境云服务平台部署，提供3种服务模式；所述蜜罐仿真计算服务节点提供的3种服务分别为：基础设施即服务，为攻击者虚拟化计算资源，如虚拟机、存储、网络和操作系统；平台即服务，为攻击者构建应用程序和服务平台，提供按需开发的环境；软件即服务，为攻击者提供应用程序并运行其访问蜜罐内数据；上述计算资源、应用程序和服务平台按全舰计算环境云服务平台部署，但其数据和算法均已经进行脱密处理，其访问数据局限在蜜罐仿真存储节点内；所述蜜罐仿真存储节点的数据结构是按全舰计算环境云服务平台部署，所述数据采用云服务平台真实数据将敏感数据进行修改，进行脱密处理，拥有全舰计算环境基本的数据库，以模拟云存储服务。3.如权利要求1所述的云端蜜罐，其特征在于，所述链路网关由汇聚模块、RDP模块、NAP模块和NP模块组成；所述汇聚模块，用于将外部连接的多个物理端口的数据汇聚到1个端口，发送到数据分析引擎；所述RDP模块，用于实现信息和服务请求的转换；所述NAP模块，用于根据预设规则对接入全舰计算环境的终端强制实施健康状况要求，包括硬件要求、安全更新要求、所需的计算机配置以及其他设置；所述NP模块，用于根据PDP模块和NAP模块的处理结果，将信息和服务请求分为3类，并
将经标注的信息和服务请求发送至TCP/UDP协议解析认证引擎，分类规则如下：对于全舰计算环境系统内认证设备发出的信息和服务请求被标记为A类，对于系统外符合认证条件的设备发出的信息和服务请求被标记为...

【专利技术属性】
技术研发人员：杜祖升，
申请(专利权)人：中国船舶集团有限公司第七〇九研究所，
类型：发明
国别省市：