[发明专利]基于数字水印和蜜罐技术的网络追踪系统

权利要求书

1.一种利用数字水印和蜜罐技术的网络追踪系统，其特征在于，它包括，蜜罐系统模块，安装在主机设备的操作系统；它以伪装服务、开放访问端口和设置敏感信息文件等方式对网络扫描、探测和访问进行欺骗，并引诱攻击者对其实施攻击；监听网络上的扫描、探测事件，判断该事件是否符合系统安全策略，若不符合，则蜜罐系统根据欺骗、诱导策略对攻击者进行欺骗，将攻击连接引向蜜罐主机，并诱导其访问敏感信息文件；一旦蜜罐系统监控到有对数字水印系统的访问，马上生成追踪申请信息发送到追踪服务控制台，并且接受追踪服务控制台的返回结果；

数字水印系统模块，安装在主机设备上，并挂入主机设备的操作系统；其主要包括水印设置模块，用于生成数字水印，并将数字水印嵌入到所述蜜罐系统的敏感信息文件中；

追踪服务控制台系统模块，安装在所述追踪服务控制台设备上，其作用在于，追踪服务控制台系统接收到蜜罐系统的追踪申请信息后，对该追踪申请信息进行编号，提取该追踪申请信息中的数字水印特征，然后对追踪Agent发出追踪该水印的追踪指令；追踪服务控制台接收追踪Agent的初步追踪结果并进行数据融合分析，构造出攻击路径，确定攻击源，形成追踪事件信息，报告编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪 结果及证据数据、融合处理后的追踪结果等存入数据库模块，并提供统计查询功能；

追踪Agent系统模块，安装在所述追踪Agent设备是，其作用在于，追踪Agent收到所述追踪指令后，对最近滑动时间窗内网络的入流量和出流量进行分析，并根据该追踪指令包含的数字水印特征进行水印检测，根据检测结果，形成初步追踪结果返回到追踪服务控制台系统；

上述蜜罐系统模块的数字水印系统模块构成网络追踪系统中的陷阱系统，追踪服务控制台系统模块和追踪Agent系统模块构成网络追踪系统中攻击追踪系统。

2.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统，其特征在于，所述蜜罐系统模块包括，

网络欺骗功能模块,其作用在于以伪装服务、开放访问端口和设置敏感信息等方式对网络扫描、探测和访问进行欺骗，并引诱攻击者对实施攻击；

信息捕获功能模块，其作用在于实时地监听各种事件，包括来自网络中的各种扫描、探测和访问，也包括攻击者侵入到蜜罐系统后进行的文件读取、数据删改等操作，并对各种行为进行记录；当监听到某事件后，先判断其行为是否符合系统安全策略，若不符合，则根据欺骗、诱导策略进行欺骗和诱导，将攻击链接引向蜜罐主机，并诱导期对数字水印文件进行访问，一旦监控到有对数字水印文件的访问，马上生成追踪申请信息并提交通信控制功能模块，其中，追踪信息包含水印文件的水印特征信息、水印文件的大小、访问时间和水印文件接收方的目的IP地址，

信息控制功能模块，其用于对进入蜜罐系统的行为进行限制，一旦蜜罐系统被攻陷，将阻止攻击者利用蜜罐作为跳板去估计其他系统；

第三通信控制功能模块，其用于对接收到信息捕获模块提交的追踪申请最终追踪结果。

3.根据权利要求1所述的利用数字水印和蜜罐技术的网络追踪系统，其特征在于，所述追踪服务控制台系统模块包括，

第一时间模块，其用于为追踪服务控制台系统提供与追踪Agent系统相一致的时间，为系统进行时间关联追踪提供条件，同时为追踪事件信息记录入库提供统一的时间；

数据融合处理模块，其用于对追踪Agent系统返回的追踪信息进行融合处理，构造攻击路径，形成最终追踪结果，并提交数据库模块存储；

数据库模块，其提供两方面的功能，一方面存储记录追踪事件信息，包括攻击事件的编号、发起追踪申请源、发起追踪时间、各追踪Agent返回的追踪结果及证据数据、融合处理后的追踪结果等；另一方面是对所有追踪时间信息提供统计查询功能，提供统计查询界面，根据查询条件，自动生成相关查询结果；

第一通信控制模块，其作用在于，一方面接收蜜罐系统发来的追踪申请信息，并返回最终追踪结果；另一方面对追踪申请进行编号，向各追踪Agent系统发送追踪指令，并接收追踪Agent系统返回的追踪结果信息与证据数据，即含有数字水印的数据包。