[发明专利]多层次蜜网数据传输方法及系统

权利要求书

1.一种多层次蜜网数据传输方法，其步骤包括：

1)由蜜网网关统一接收外部网络数据流；

2)蜜网网关对所接收的数据流进行网络入侵检测分析；

3)将正常数据流放行，发送给该数据流的目标主机；

4)将非正常数据流按照威胁级别分为高级、中级、低级三类；

5)将高威胁级数据流重定向至物理蜜罐系统，将中威胁级数据流重定向至虚拟机蜜罐系统，将低威胁级数据流重定向至虚拟蜜罐系统。

2.如权利要求1所述的多层次蜜网数据传输方法，其特征在于对于重定向至虚拟机蜜罐系统的数据流，分析该数据流是否包含虚拟机蜜罐识别操作信息，如包含该信息，则将该数据流重定向至具有相同操作系统的物理蜜罐系统；或模拟网络断开现象，断开该数据流对虚拟机蜜罐系统的访问。

3.如权利要求1所述的多层次蜜网数据传输方法，其特征在于在网络入侵检测前对网络数据流进行用户定义规则分析，对于满足用户定义规则的数据流，按照定义规则进行威胁等级分级。

4.如权利要求1或2所述的多层次蜜网数据传输方法，其特征在于所述虚拟机蜜罐系统中设置若干虚拟机，每台虚拟机配置多种操作系统；所述物理蜜罐系统设置一台或若干台物理主机，每物理主机配置一种操作系统。

5.如权利要求4所述的多层次蜜网数据传输方法，其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同，但总数少于虚拟机蜜罐。

6.一种多层次蜜网数据传输系统，包括一蜜网网关，和分层部署的虚拟蜜罐系统、虚拟机蜜罐系统和物理蜜罐系统，其特征在于所述蜜网网关包括网络入侵检测系统分析模块，用于分析网络数据流是否包含网络攻击特征信息，然后将正常数据流放行，发送给该数据流的目标主机，将非正常数据流发送给威胁等级分析模块；威胁等级分析模块，将非正常数据流按照威胁等级分为高级、中级、低级三类；和数据重定向模快，按照高级、中级、低级三类分别将非正常数据流重定向至物理蜜罐系统，虚拟机蜜罐系统和虚拟蜜罐系统。

7.如权利要求6所述的多层次蜜网数据传输系统，其特征在于所述虚拟机蜜罐系统包括一虚拟机蜜罐识别操作信息检测模块，以检测重定向至该系统的数据流是否包含虚拟机蜜罐识别操作信息。

8.如权利要求6所述的多层次蜜网数据传输系统，其特征在于所述蜜网网关还包括一用户规则定义模块，用于判定网络数据流是否满足用户自定义规则，并进行威胁分类级。

9.如权利要求6或7或8所述的多层次蜜网数据传输系统，其特征在于所述虚拟机蜜罐系统中设置若干虚拟机，每台虚拟机配置多种操作系统；所述物理蜜罐系统设置一台或若干台物理主机，每物理主机配置一种操作系统。

10.如权利要求9所述的多层次蜜网数据传输系统，其特征在于上述物理主机的操作系统与服务配置与虚拟机蜜罐中的部分主机相同，但总数少于虚拟机蜜罐。