[发明专利]一种蜜网防护方法及系统

说明书

本发明涉及网络安全领域，尤其涉及一种蜜网防护方法及系统，该方法为，对进入业务系统的数据流量进行异常检测；在检测到异常数据流量后，根据异常数据流量访问的目的地址对应的业务系统，创建虚拟蜜网系统；根据业务系统的网络配置，对虚拟蜜网系统进行网络配置，并将异常数据流量调度到虚拟蜜网系统中，这样，创建和业务系统的业务服务一致的虚拟蜜网系统，并对虚拟蜜网系统进行网络配置，保证了虚拟蜜网系统与业务系统在业务逻辑和网络配置上的一致性，提高了虚拟蜜网系统的隐蔽性，使得攻击引诱和分析取证更加隐蔽，不容易被攻击者发现，并且，部署也比较简单，能够在不增加业务网络开销的前提下，快速的部署到SDN网络中实现安全防护。

技术领域

本发明涉及网络安全领域，尤其涉及一种蜜网防护方法及系统。

背景技术

蜜网是在蜜罐的基础上逐渐发展起来的一种新型的诱捕网络系统，是攻防博弈方在被动的环境中提出的一种主动防御手段。随着虚拟化技术的不断发展，动态虚拟蜜网越来越受到人们的关注，虚拟蜜网能够根据攻击者的访问行为，动态的进行蜜网的规划和组建，能够更快速的进行攻击诱骗，并且对攻击行为进行分析取证。

动态虚拟蜜网的实现，离不开对业务网络的精确模拟以及流量的灵活调度。随着软件定义网络(Software Defined Networking，SDN)技术的不断成熟，其逻辑上分离的控制平面提供了开放的网络编程接口，这样在其控制平面上就能够动态、灵活的实现业务网络的模拟，并且进行相关流量的调度。

现有技术中，蜜网系统通常包括以下几个部分：入侵检测模块、蜜网管理模块和流量管理模块。入侵检测模块对数据流进行入侵检测分析；流量管理模块将正常的数据流直接放行，进入真实的业务系统；蜜网管理模块将非正常数据流调度到蜜网系统中进行进一步的威胁分析、取证。

但是，现有技术中，蜜网系统在构建时，仅考虑到了业务系统的模拟，即蜜网系统能够提供像真实业务系统一样的业务逻辑的响应交互，而网络上却采用不同于业务系统的网络地址进行组网配置，这对于高级入侵威胁，蜜网系统很容易被攻击者所发现，无法实现蜜网隐蔽性防护与取证等目的。

发明内容

本发明实施例提供一种蜜网防护方法及系统，以进一步提高蜜网系统的隐蔽性。

本发明实施例提供的具体技术方案如下：

一种蜜网防护方法，包括：

对进入业务系统的数据流量进行异常检测；

在检测到异常数据流量后，根据所述异常数据流量访问的目的地址对应的业务系统，创建虚拟蜜网系统；

根据所述业务系统的网络配置，对所述虚拟蜜网系统进行网络配置，并将所述异常数据流量调度到所述虚拟蜜网系统中。

较佳的，将所述异常数据流量调度到所述虚拟蜜网系统中之后，进一步包括：

对所述虚拟蜜网系统中的所述异常数据流量进行行为分析，判断所述异常数据流量是否为恶意攻击，在确定所述异常数据流量是恶意攻击时，调用预设的安全资源池的安全防护服务进行防护。

较佳的，根据所述业务系统的网络配置，对所述虚拟蜜网系统进行网络配置，具体包括：

为所述虚拟蜜网系统分配与所述业务系统一致的IP地址和MAC地址。

较佳的，进一步包括：

根据异常数据流量的源IP地址和所述虚拟蜜网系统的IP地址，配置软件定义网络SDN交换机，使所述异常数据流量调度到所述虚拟蜜网系统，并且，使所述虚拟蜜网系统对所述异常数据流量的回应发送给所述异常数据流量的源IP地址。

较佳的，进一步包括：