[发明专利]利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法

说明书

本申请涉及利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法，装置包括虚拟蜜罐、中央控制系统和云部署平台；本发明利用虚拟蜜罐捕获攻击活动及攻击特征；虚拟蜜罐将捕获到的攻击特征上传到中央控制系统；中央控制系统对上传的攻击特征进行分析；云部署平台启动包含该攻击特征对应漏洞的高交互蜜罐；将虚拟蜜罐流量导入已启动的高交互蜜罐中，相对应的高交互蜜罐被感染。本发明采用低交互性蜜罐与基于漏洞服务或系统的高交互性蜜罐配合，利用低交互蜜罐来快速发现存在恶意样本问题，利用云部署平台来快速部署基于漏洞服务或系统的高交互蜜罐，与基于漏洞服务或系统的高交互蜜罐与低交互蜜罐配合来实现恶意样本的捕获。

技术领域

本发明属于计算机网络安全领域，具体地是涉及一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。

背景技术

蜜罐就是指那些经过精心设计和部署的计算机设备，用于吸引入侵者来搜集信息进行研究分析或者延长攻击者的攻击意图。蜜罐按交互能力分为低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐的主要特点是模拟，欺骗技术采用模拟操作系统和服务来实现，攻击者与蜜罐只有少量的交互行为，因而获取的攻击信息相对比较少，比较合适用于捕获自动攻击工具或网络蠕虫等发动的攻击活动，低交互蜜罐一般采用虚拟方式部署。高交互蜜罐是一般采用真实系统来构建，蜜罐和攻击者的交互程度较高，系统承担的风险比较大，但是可以获得大量有用攻击信息。另外高交互蜜罐主要利用真实的机器来实现，资源要求较高，且一旦遭到破坏，攻击者可以利用此设备对本地网络资源或者互联网资源发起攻击。

恶意代码的传播手段可以分为两大类：一类是利用漏洞传播，另一类是利用社会工程学传播。社会工程学传播是通过对受害者本能反应、好奇心、信任、贪婪等弱点进行分析利用，达到欺骗入侵的目的，其传播过程需要用户的参与。利用漏洞传播不需要与受害者进行交互即可完成传播，如2017年的“WannaCry”勒索软件的传播。

当前利用漏洞攻击越来越多，有漏洞的系统和服务越来越多，然而现有的恶意样本获取技术至少存在以下不足：

第一、现有的恶意样本获取技术难以实现对大量漏洞服务或系统的仿真；当同时有多台PC扩散恶意样本时，有可能存在大量的相同或者不同的攻击特征同时发生，现有技术很难对同时攻击的多种恶意样本进行全部捕获。

第二、现有技术中对于利用漏洞攻击的恶意样本无法准确转发到包含相应漏洞服务或系统的高交互蜜罐，现有技术中由于高交互蜜罐中没有相关的漏洞，因此高交互蜜罐无法保证能被正确感染，进而难于捕获基于漏洞攻击的恶意样本。

第三、现有技术无法针对攻击所使用的漏洞来动态的部署。

第四、现有的恶意样本的捕获需要占用大量的计算资源，大规模的部署高交互蜜罐成本很高。

发明内容

为至少在一定程度上克服相关技术中存在的问题，本申请提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法。

根据本申请实施例的第一方面，提供一种利用蜜罐有针对性的动态部署捕获恶意样本的装置，所述装置包括虚拟蜜罐、中央控制系统和云部署平台；

所述虚拟蜜罐用于捕获恶意样本的攻击活动及攻击特征，并将攻击情况上报给中央控制系统；

所述中央控制系统用于控制虚拟蜜罐的运行、监控内部云的运行；

所述云部署平台含有一个以上的高交互蜜罐，利用云来快速部署基于漏洞服务或系统的高交互性蜜罐，所述云部署平台根据中央控制系统指令，启动对应恶意样本的高交互蜜罐。

进一步的，漏洞利用特征数据库，所述漏洞利用特征数据库中存储大量的已知的漏洞利用特征数据库，针对已知的攻击特征来加快分析结果。