[发明专利]一种蜜罐数据库的更新和还原方法及系统

说明书

本发明公开了一种蜜罐数据库的更新和还原方法及系统，首先，将真实业务数据处理后填充至蜜罐数据库中，并设置所述蜜罐数据库为低权限；复制蜜罐数据库中的元数据和处理后的真实业务数据形成备份数据库，并设置所述备份数据库为高权限；对外开放蜜罐数据库；定时将真实业务数据的增量数据处理后同时更新至蜜罐数据库和备份数据库中；若接收到还原请求，则删除原蜜罐数据库，将备份数据库复制形成新的蜜罐数据库。本发明所述的技术方案不仅解决了蜜罐数据库被入侵导致数据改变进而影响后续使用的问题，同时可以在攻击者入侵的过程中完成增量数据的导入，使得蜜罐数据库更加真实可信。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种蜜罐数据库的更新和还原方法及系统。

背景技术

当前蜜罐技术的演进，因缺少丰富的数据而导致黑客只做了初步的入侵即可分辨目标是否为蜜罐而导致放弃后续攻击，这时，即使捕获到攻击来源，并定位到人，但由于操作行为少，可以“无意看到”，“输入错误”，“安全检查”等理由逃避公司规定处罚和法律的制裁。

在面向数据库的应用级蜜罐技术的演进中，尤其针对业务系统的仿真实现，同时在其中也加入大量的数据，有助于更详细地分析攻击者的入侵过程和目的，攻击者将无理由逃避制裁。

在面向数据库的应用级蜜罐实现过程中，对于一次入侵后对数据的修改和破坏，如不修复，将影响下一次入侵的质量。在现有系统修复和还原的方法，一般考虑如下两个方案实现：虚拟化方案和数据库快照方案。

虚拟化方案，则以虚拟机为基础搭建，在每次完成业务数据增量同步后，制作快照镜像。在每完成一次入侵后，恢复快照。其优点是针对虚拟机的交互较多，缺点是在进行业务数据同步的时候，为避免外部在这时候入侵，要对网络进一步隔离，从另外通道导入数据，所以快照生成和恢复的成本均较高，运行期的CPU成果也较高。同时对于入侵时，有很多方法可以感知目标是虚拟机，而且目前的隐藏虚拟机指纹的方案也不尽完美。

数据库快照方案，采用数据库的日志备份技术，当有增量数据的导入时，关闭外部访问连接，而内部需要恢复日志快照，然后完成导入，再生成新的快照。当完成一次入侵行为后，依然可以采用恢复上一次快照的方式。优点是业务模式操作简单，无虚拟化可被感知的风险。而缺点是切换时间长，数据导入导出速度慢，而可能错过被入侵的时机。

以上现有技术均存在的最大问题是，攻击者在入侵的过程中很可能会观察是否有增量数据的导入，也同时会修改数据库内容，但以上两种方案为了不影响快照内容的安全性，都无法在被攻击的过程中完成增量数据的补充，这将影响蜜罐数据库的真实性。

发明内容

本发明提供了一种蜜罐数据库的更新和还原方法及系统，该发明所述的技术方案设置了一个备份数据库，其初始数据与蜜罐数据库相同，对于真实业务数据的增量数据进行处理后可以同时更新至蜜罐数据库和备份数据库中，这样攻击者在入侵蜜罐数据库时可以感受到数据的更新，诱使其信任该蜜罐数据库为真实业务数据，并进行进一步的操作。当蜜罐数据库被攻击者改变后，则随时可以复制备份数据库形成新的蜜罐数据库投入使用，其所耗费的时间远远小于现有技术。

本发明采用如下方法来实现：一种蜜罐数据库的更新和还原方法，包括初始化阶段和投入使用阶段：

所述初始化阶段包括：

将真实业务数据处理后填充至蜜罐数据库中，并设置所述蜜罐数据库为低权限；

复制蜜罐数据库中的元数据和处理后的真实业务数据形成备份数据库，并设置所述备份数据库为高权限；

所述投入使用阶段包括：

对外开放蜜罐数据库；

定时将真实业务数据的增量数据处理后同时更新至蜜罐数据库和备份数据库中；