[发明专利]一种多层次检测的应用型数据库蜜罐实现系统及方法

权利要求书

1.一种多层次检测的应用型数据库蜜罐实现系统，其特征在于，包括：

前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，直接将所述数据流量定向到预处理模块；否则，根据目的端口，识别是否为预处理模块支持检测的数据流量，如果是，则将所述数据流量定向到预处理模块，否则丢弃所述数据流量，拒绝响应；

预处理模块，包括：标记判断子模块，用于判断接收的数据流量是否为已标记的数据流量，如果是，则还原所述流量，并进入完整性检测子模块，否则进入漏洞判断子模块；

完整性检测子模块，用于判断是否为完整攻击请求，如果是，则进入威胁判断子模块，否则返回标记判断子模块；

漏洞判断子模块，用于判断所述数据流量是否为漏洞攻击，如果是，则断开数据库蜜罐与客户端的单向连接，标记并还原所述数据流量，返回标记判断子模块，否则将所述数据流量代理转发到数据库蜜罐中；

威胁判断子模块，用于判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响，如果是，则断开客户端与数据库蜜罐的双向连接，并向客户端反馈未知错误；否则进入漏洞模拟子模块；

漏洞模拟子模块，用于模拟所述数据流量使用的漏洞，完成数据库的初级交互，并代理执行在数据库蜜罐上的操作请求；

数据库蜜罐，用于模拟建立与想要保护的服务器相同的数据库蜜罐服务器，并完成预处理模块发送的操作请求。

2.如权利要求1所述的系统，其特征在于，所述前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，直接将所述数据流量定向到预处理模块，替换为：前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，则根据IP及目的端口判断是否为访问当前数据库蜜罐请求，如果是，则进一步判断是否为来自想要保护的服务器的重定向，如果是，则标记所述数据流量，再将所述数据流量定向到预处理模块，否则直接将所述数据流量定向到预处理模块；如果为非访问当前数据库蜜罐请求，则标记所述数据流量，再将所述数据流量定向到预处理模块。

3.如权利要求1所述的系统，其特征在于，所述系统还包括监控模块，用于监控并保存数据库蜜罐的运行状态，并在状态异常时进行告警及结束进程，所述运行状态包括：进程的创建、退出或崩溃状态。

4.如权利要求3所述的系统，其特征在于，所述监控模块保留预设时间期限内的数据库蜜罐运行状态数据。

5.如权利要求3或4所述的系统，其特征在于，所述监控模块在监控数据库蜜罐的运行状态时，与已知白名单进行匹配，若所述进程在白名单中，则不进行监控。

6.一种多层次检测的应用型数据库蜜罐实现方法，其特征在于，包括：

a.前置分流模块获取数据流量，判断是否为访问数据库请求，如果是，则将所述数据流量定向到预处理模块，否则执行步骤b；

b.根据目的端口，识别是否为预处理模块支持检测的数据流量，如果是，则将所述数据流量定向到预处理模块；否则丢弃所述数据流量，拒绝响应；

c.预处理模块判断接收的数据流量是否为已标记的数据流量，如果是，则还原所述数据流量，执行步骤d；否则执行步骤e；

d.判断所述数据流量是否为完整攻击请求，如果是，则执行步骤f，否则返回步骤c；

e.判断是否为漏洞攻击，如果是，则断开数据库蜜罐与客户端的单向连接，标记并还原所述数据流量，返回步骤c；否则将所述数据流量代理转发到数据库蜜罐；

f.判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响，如果是，则断开客户端与数据库蜜罐的双向连接，并向客户端反馈未知错误；否则，模拟所述数据流量使用的漏洞，完成数据库的初级交互，并代理执行在数据库蜜罐上的操作请求；

g.数据库蜜罐模拟建立与想要保护的服务器相同的数据库蜜罐服务器，并完成预处理模块发送的操作请求。