[发明专利]一种基于实际业务系统的蜜罐数据构造方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于实际业务系统的蜜罐数据构造方法及系统。

背景技术

当前网络安全检测手段中，均采用已知攻击特征码的机制，或带有行为分析沙箱的技术，对已知和未知威胁进行检测。而对带有针对性的攻击和带有加密传输的协议时，往往缺少足够的检测手段。蜜罐技术可以更为合理地解决这类问题，通过部署在用户现场的蜜罐，诱使黑客攻击蜜罐，达到检测攻击和攻击过程的目的。

而当前蜜罐技术的演进，因缺少丰富的数据而导致黑客只做了初步的入侵即可分辨目标是否为蜜罐而导致放弃后续攻击，从而丧失了蜜罐对正常业务系统的持续性保护和攻击行为取证的目的。

蜜罐方案对于解决未知攻击威胁的确很有效，但无法捕获到黑客更多的行为，当前蜜罐技术主要面向攻击过程的第一阶段是有效的，即被攻击者探测到和版本识别。而第二阶段的获取控制权和第三阶段的长期驻留和主机利用往往是我们最关心的黑客行为，但黑客往往在第一阶段检测对目标是蜜罐就会选择放弃并进一步寻找真实业务主机。具体有以下两个问题：

1.攻击者易于发觉目标是蜜罐。一般初级蜜罐目的仅仅是采集新型的攻击代码。而无法对该黑客的真实意图进行定性和分析，所以当前蜜罐技术缺少识别攻击者真实意图的作用。

2.攻击者对目标不感兴趣，高级蜜罐采用实际环境搭建，称为高交互蜜罐，但往往缺少实际的数据，导致只能识别初级的攻击者的行为。而真正的意图是需要攻击在足够的业务数据上进行操作才能获取的。

发明内容

本发明提供了一种基于实际业务系统的蜜罐数据构造方法及系统，该发明所述的技术方案将运行核心业务数据的业务系统模拟迁移到高交互蜜罐中，将真实业务数据按照预设方法处理后，填充到蜜罐的业务系统中，从而使得攻击者无法辨别是否为蜜罐，从而可以捕获到真正想盗取业务数据的攻击者。

本发明采用如下方法来实现：一种基于实际业务系统的蜜罐数据构造方法，包括：

确定待保护的业务系统，在蜜罐中搭建相同的业务系统；

识别所述业务系统的元数据，在蜜罐中构建相同元数据；所述元数据包括业务系统的数据存储结构和业务数据的基本信息；

基于所述元数据进行可公开数据和敏感数据的标记；

在蜜罐中基于预设方法填充可公开数据和敏感数据。

进一步地，所述在蜜罐中基于预设方法填充可公开数据为：将待保护的业务系统中的可公开数据直接复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述在蜜罐中基于预设方法填充可公开数据为：将待保护的业务系统中的可公开数据进行打散、互换和/或重组后复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述在蜜罐中基于预设方法填充可公开数据为：将待保护的业务系统中的可公开数据按照预设策略删减后，复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述在蜜罐中基于预设方法填充敏感数据为：采用随机构造的方式生成数据并填充至蜜罐的业务系统中的敏感数据处。

更进一步地，从待保护的业务系统中定期采集新的业务数据，并在蜜罐中基于预设方法填充可公开数据和敏感数据。

进一步地，若可公开数据和/或敏感数据的数据量超出了预设值，则按照预设策略进行删除。

本发明采用如下系统来实现：一种基于实际业务系统的蜜罐数据构造系统，包括：

业务系统搭建模块，用于确定待保护的业务系统，在蜜罐中搭建相同的业务系统；

元数据构建模块，用于识别所述业务系统的元数据，在蜜罐中构建相同元数据；所述元数据包括业务系统的数据存储结构和业务数据的基本信息；

数据标记模块，用于基于所述元数据进行可公开数据和敏感数据的标记；

数据填充模块，用于在蜜罐中基于预设方法填充可公开数据和敏感数据。

进一步地，所述数据填充模块具体用于，将待保护的业务系统中的可公开数据直接复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述数据填充模块具体用于，将待保护的业务系统中的可公开数据进行打散、互换和/或重组后复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述数据填充模块具体用于，将待保护的业务系统中的可公开数据按照预设策略删减后，复制到蜜罐的业务系统中的可公开数据处。

进一步地，所述数据填充模块具体用于，采用随机构造的方式生成数据并填充至蜜罐的业务系统中的敏感数据处。