[发明专利]一种漏洞拟真超载蜜罐方法

权利要求书

1.一种漏洞拟真超载蜜罐方法，其特征在于：包括主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块、漏洞攻击欺骗模拟模块、数据审计模块和漏洞利用模块；主机、端口扫描欺骗模拟模块、漏洞扫描欺骗模拟模块组成虚拟蜜罐系统；漏洞攻击欺骗模拟模块在漏洞蜜罐系统上实现；漏洞利用模块在物理蜜罐上实现；

虚拟蜜罐系统根据用户要求配置虚拟主机信息，在一台主机上虚拟出多台虚拟主机，并配置虚拟网络连接信息；在攻击者看来虚拟主机与网络中其它真实的主机并无区别；漏洞蜜罐系统指在虚拟蜜罐系统上配置攻击者可利用的漏洞信息和参数，物理蜜罐系统是真实的主机或服务器，当攻击者利用某个漏洞攻击成功后，物理蜜罐提供攻击者一个数据交互的场所；

主机、端口扫描欺骗模拟模块完成对简单扫描器的欺骗；

漏洞扫描欺骗模拟模块完成对各种不同操作系统的不同漏洞的模拟；

漏洞攻击欺骗模拟模块对攻击者对漏洞的攻击进行处理和响应；

漏洞利用模块利用物理蜜罐系统来处理漏洞被攻破后攻击者对系统的操作信息，

数据审计模块将所有攻击者攻击的过程以及回复过程的任何相关信息数据记录；

所述的漏洞拟真超载蜜罐方法的具体步骤为：

首先，配置虚拟蜜罐系统、漏洞蜜罐系统和物理蜜罐系统，配置虚拟蜜罐系统指配置虚拟主机的操作系统及端口特性，设置相应虚拟主机中存在的漏洞而形成虚拟蜜网网络拓扑；漏洞蜜罐系统配置攻击者可利用的漏洞信息和参数，物理蜜罐系统配置其系统信息和参数设置；

第二步，在攻击过程中，攻击者首先对目标网络进行扫描，即指攻击序列到达虚拟蜜罐时，根据情况由虚拟蜜罐部分根据网络配置来进行处理，然后攻击者对虚拟主机进行端口扫描，端口扫描由虚拟蜜罐根据端口配置情况来进行处理，接下来，攻击者对虚拟主机进行漏洞扫描，虚拟蜜罐根据漏洞配置信息 进行响应处理；

情况A：对于主机或端口扫描，系统利用主机、端口扫描欺骗模拟模块根据配置文件直接进行回复，

情况B：对漏洞的扫描时，系统进行模拟的漏洞则由漏洞攻击欺骗模拟模块直接回复；系统匹配漏洞扫描特征码，匹配成功则根据漏洞特征进行回复，即指目标主机的端口和服务进行扫描后继续对相应端口可能存在的漏洞进行扫描，针对开放端口的漏洞扫描信息由漏洞攻击欺骗模拟模块根据配置情况进行处理；

第三步，攻击者扫描出虚拟蜜罐系统模拟的不同漏洞之后，会利用这些漏洞进一步攻击，此时，虚拟蜜罐系统将漏洞攻击数据流转发至漏洞蜜罐系统，由漏洞攻击欺骗模拟模块对攻击者的漏洞利用攻击进行处理和响应；

第四步，当攻击者利用漏洞攻击成功获取控制权时，则将此时的攻击数据转交至物理蜜罐系统，攻击者与目标主机的交互过程由真实主机来完成；

以上所有过程在回复攻击者之前都经过数据审计模块，将所有的攻击过程和相关数据记录下来，最后，由数据审计模块综合分析整个攻击过程，描述攻击者的入侵方法和意图。

2.根据权利要求1所述的一种漏洞拟真超载蜜罐方法，其特征在于：在虚拟蜜罐系统中，在为每台虚拟主机的漏洞进行配置时，能为一个虚拟主机配置多个不同的漏洞。

3.根据权利要求1所述的一种漏洞拟真超载蜜罐方法，其特征在于：在虚拟蜜罐系统中，能多台虚拟主机同时提供漏洞模拟功能，引导攻击者误以为可对不同虚拟主机的漏洞进行攻击利用。