[发明专利]基于蜜网技术的内网敏感信息泄露取证系统及方法

权利要求书

1.基于蜜网技术的内网敏感信息泄露取证系统，其特征在于，包括：蜜网、企业内网及连接于所述企业内网中的用户终端；

所述蜜网中包括蜜饵服务器、蜜墙及取证服务器；所述蜜饵服务器通过蜜墙连接于所述企业内网中；所述取证服务器与所述蜜墙连接；

所述蜜饵服务器，用于预先设置蜜饵；

所述蜜墙，用于过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据包，并传输给所述取证服务器；

所述取证服务器，用于根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证；

所述取证服务器包括：

可疑终端确定模块，用于根据接收的所述交互数据，确定与所述交互数据对应的用户终端是否为可疑终端；

过滤规则生成模块，用于确定所述用户终端为可疑终端时，对所述可疑终端进行标识，并生成针对所述可疑终端的过滤规则；

传输模块，用于将所述过滤规则传输给所述蜜墙，以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。

2.基于蜜网技术的内网敏感信息泄露取证方法，其特征在于，包括：

位于蜜网中的蜜饵服务器预先设置蜜饵，其中所述蜜饵服务器通过蜜墙连接于企业内网中，所述企业内网中连接有用户终端，所述蜜墙还与取证服务器连接；

所述蜜墙过滤和抓取所述用户终端通过所述企业内网访问所述蜜饵的交互数据，并传输给所述取证服务器；

所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证；

所述取证服务器根据接收的所述交互数据对企业内网中的敏感信息泄露行为进行取证，包括：

所述取证服务器根据接收的所述交互数据，确定与所述交互数据对应的用户终端是否为可疑终端；

所述取证服务器确定所述用户终端为可疑终端时，对所述可疑终端进行标识，并生成针对所述可疑终端的过滤规则；

所述取证服务器将所述过滤规则传输给所述蜜墙，以使所述蜜墙基于所述过滤规则获取所述可疑终端与所述蜜饵服务器的所有通信信息并传输给所述取证服务器。

3.根据权利要求2所述的方法，其特征在于，所述蜜饵包括：数据库服务、空口令虚拟机、弱口令虚拟机或虚拟机中存储的既定文件。

4.根据权利要求2所述的方法，其特征在于，所述生成针对所述可疑终端的过滤规则包括：

生成针对所述可疑终端的伯克利数据包过滤器BPF过滤规则。

5.根据权利要求2所述的方法，其特征在于，所述取证服务器根据接收的所述交互数据，确定与所述交互数据对应的用户终端是否为可疑终端，包括：

所述取证服务器根据接收的所述交互数据，统计与所述交互数据对应的用户终端在预设时间范围内，尝试访问所述蜜饵的尝试次数；

所述取证服务器判断所述尝试次数是否大于预设的阈值次数，如果是，则确定对应的用户终端为可疑终端。

6.根据权利要求2所述的方法，其特征在于，该方法还包括：所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息，对所述可疑终端的访问行为的危险程度进行分级，分别为初级危险、中级危险及高级危险。

7.根据权利要求6所述的方法，其特征在于，当所述蜜饵为数据库类型蜜饵时，所述取证服务器依据所述可疑终端与所述蜜饵服务器的通信信息，对所述可疑终端的访问行为的危险程度进行分级，包括：

将一般连接请求和/或尝试连接数据库端口的访问行为确定为初级危险访问行为；

将数据库登录请求和/或尝试猜解数据库登录口令的访问行为确定为中级危险访问行为；

将暴力破解、成功登录数据库、登录数据库后进行的操作过程、登录数据库后访问的数据库信息和/或尝试删除访问记录的访问行为确定为高级危险访问行为。

8.根据权利要求7所述的方法，其特征在于，该方法还包括：取证服务器根据可疑终端对蜜饵的访问尝试过程行为，生成取证报告，其中所述取证报告包括所述可疑终端的访问时间、IP地址、所述可疑终端的危险行为、危险级别及所述可疑终端访问行为的界定。