[发明专利]一种高级可持续威胁诱捕系统及方法

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及一种高级可持续威胁诱捕系统及方法。

背景技术

高级可持续威胁是在传统攻击威胁的基础上，进一步升级为定向目标的攻击，可以长期潜伏的攻击，大多威胁到企业、政府、军队或工厂等重要单位。当前反高级可持续威胁攻击的主要方法是对未知恶意代码的自动化分析和判定上，并将捕获的源头假设在关键服务器和网关上，但存在的问题是，无法全面捕获到未知程序，并且对于在内网的攻击者是无法检测出来的。并且由于在实际业务服务器中进行未知程序的跟踪分析，代价较高，难于实施。被动对未知恶意代码进行检测，而无法主动获取可疑数据。

发明内容

本发明提供了一种高级可持续威胁诱捕系统及方法，能够解决上述所存在的问题，通过本发明可以主动诱导未知恶意程序的攻击，并能够对其攻击过程进行监控记录，便于进行取证和分析，同时能够分担对正常业务系统的安全威胁。

一种高级可持续威胁诱捕系统，包括：

应用型蜜罐，用于根据要模拟的应用服务器，建立相同服务器应用及应用环境的应用型蜜罐，设置所述应用型蜜罐的登陆账户与要模拟的应用服务器相同，并设置登录账户口令为弱口令；设置弱口令，降低应用型蜜罐的账户密码口令难度，可以使应用型蜜罐更容易受到攻击，同时分担正常业务系统受到攻击的概率；

将所述要模拟的应用服务器中的可公开信息，拷贝到所述应用型蜜罐中；通过真实的应用服务器中的信息，能够迷惑攻击者认为应用型蜜罐为真实的应用服务器；

设置所述应用型蜜罐的IP地址与要模拟的应用服务器IP地址相邻或相近；能够便于攻击者扫描到应用型蜜罐；

所述应用型蜜罐检测从应用客户端代理模块获取的可疑数据；

应用数据捕获模块，用于部署在交换机、安全数据过滤产品中或后台审计系统中，将数据重定向到应用客户端代理模块中；通过该模块，能够把直接进入应用服务器的数据或被过滤掉的数据，最终再定向到应用型蜜罐中，使得攻击者能够将蜜罐误以为是应用服务器，进而进行潜伏或攻击，便于对攻击行为进行监控并记录；

应用客户端代理模块，用于将收到的数据代理提交到应用型蜜罐当中，并保存数据来源。

所述的系统中，所述应用型蜜罐还用于，直接获取攻击者的访问数据，并根据IP地址来源，确认所获取的数据来源于应用客户端代理模块，或攻击者，如果来源于攻击者，则报警并输出日志信息。通过该方法，来自于内网的攻击，便可以直接获取到相应信息；

所述的系统中，所述应用型蜜罐还用于，当确定所述可疑数据为恶意时，将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存，并进行告警。

所述的系统中，如果所述应用数据捕获模块部署在交换机中，则根据IP端口镜像功能，将流量定向到协议解析模块中，在协议解析模块中将流量还原为数据，发送到应用客户端代理模块中。

所述的系统中，如果所述应用数据捕获模块部署在安全数据过滤产品中，则设定将属于所述安全数据过滤产品的非白名单的数据定向到应用客户端代理模块中。在安全数据过滤产品，如防火墙或UTM等中部署该模块后，可以将可疑数据投放到应用型蜜罐中进行进一步验证。

所述的系统中，如果所述应用数据捕获模块部署在后台审计系统中，则获取所述后台审计系统的全部数据，并发送到应用客户端代理模块中。

一种高级可持续威胁诱捕方法，包括：

根据要模拟的应用服务器，建立相同服务器应用及应用环境的应用型蜜罐；

设置所述应用型蜜罐的登陆账户与要模拟的应用服务器相同，并设置登录账户口令为弱口令；

将所述要模拟的应用服务器中的可公开信息，拷贝到所述应用型蜜罐中；

设置所述应用型蜜罐的IP地址与要模拟的应用服务器IP地址相邻或相近；

所述应用型蜜罐检测从应用客户端代理获取的可疑数据；

应用数据捕获模块部署在交换机、安全数据过滤产品中或后台审计系统中，将数据重定向到应用客户端代理模块中；

应用客户端代理将收到的数据代理提交到应用型蜜罐当中，并保存数据来源。

所述的方法中，所述应用型蜜罐还用于，直接获取攻击者的访问数据，并根据IP地址来源，确认所获取的数据来源于应用客户端代理模块，或攻击者，如果来源于攻击者，则报警并输出日志信息。

所述的方法中，所述应用型蜜罐还用于，当确定所述可疑数据为恶意时，将所述可疑数据上报到指定的安全事件上报服务器或定期在本地保存，并向管理员报警。