[发明专利]一种蜜罐操作系统指纹隐蔽方法及装置

说明书

本发明公开了一种蜜罐操作系统指纹隐蔽方法及装置，所述方法包括：构建系统伪指纹，并根据所述系统伪指纹生成伪装操作系统指纹文件，所述系统伪指纹属于物理机操作系统指纹；劫持操作系统指纹访问指令，并访问所述伪装操作系统指纹文件，所述操作系统指纹访问指令包括操作系统指纹打开指令或操作系统指纹读取指令；将所述系统伪指纹作为操作系统指纹访问指令的访问结果进行输出。本发明伪造物理正常主机指纹，防御常规的虚拟化蜜罐检测，提高虚拟化蜜罐的隐蔽性；同时以低成本方式使虚拟化蜜罐拥有物理机蜜罐的基本系统特征，间接解决了物理机蜜罐在实际使用中高成本、难管理的问题。

技术领域

本发明涉及安全防御领域，尤其一种蜜罐操作系统指纹隐蔽方法及装置。

背景技术

蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析。如图1所示，蜜罐引诱黑客前来攻击，进而了解黑客所使用的工具与方法，推测其意图和动机。

现有技术布置蜜罐主要有两种方法：

第一种：虚拟化蜜罐。基于虚拟机或开源容器部署和管理蜜罐，其操作简单，使用方便，获得了广泛的使用，但是由于其广泛性，黑客对此类蜜罐非常敏感，只要发现某个待攻击对象存在虚拟机或开源容器中，就会进一步探测其是否是蜜罐，并很可能放弃攻击。

第二种：物理机蜜罐。直接把蜜罐部署在物理机上，这种蜜罐本身具有与真实机器最相似的物理环境，隐蔽性高，但是却受限于部署和管理不方便以及成本高的问题，所以应用较少。

发明内容

本发明提供了一种蜜罐操作系统指纹隐蔽方法及装置。

一方面，本发明提供了一种蜜罐操作系统指纹隐蔽方法，所述方法包括：

构建系统伪指纹，并根据所述系统伪指纹生成伪装操作系统指纹文件，所述系统伪指纹属于物理机操作系统指纹；

劫持操作系统指纹访问指令，并访问所述伪装操作系统指纹文件，所述操作系统指纹访问指令包括操作系统指纹打开指令或操作系统指纹读取指令；

将所述系统伪指纹作为操作系统指纹访问指令的访问结果进行输出。

另一方面提供了一种蜜罐操作系统指纹隐蔽装置，所述装置包括：

系统伪指纹构建模块，用于构建系统伪指纹，并根据所述系统伪指纹生成伪装操作系统指纹文件，所述系统伪指纹属于物理机操作系统指纹；

操作系统指纹访问指令劫持模块，用于劫持操作系统指纹访问指令，并访问所述伪装操作系统指纹文件，所述操作系统指纹访问指令包括操作系统指纹打开指令或操作系统指纹读取指令；

输出模块，用于将所述系统伪指纹作为操作系统指纹访问指令的访问结果进行输出。

本发明提供的一种蜜罐操作系统指纹隐蔽方法及装置，伪造物理机正常主机指纹，防御常规的虚拟化蜜罐检测，提高虚拟化蜜罐的隐蔽性；同时以低成本方式使虚拟化蜜罐拥有物理机蜜罐的基本系统特征，间接解决了物理机蜜罐在实际使用中高成本、难管理的问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本发明提供的蜜罐系统示意图；

图2是本发明提供的部署于CentOS6.5的VMware虚拟机中的蜜罐的操作系统指纹示意图；

图3是本发明提供的部署于ubuntu14.01的docker虚拟化设备中的蜜罐的操作系统指纹示意图；