[发明专利]一种基于虚拟化的攻击智能诱骗系统与方法

权利要求书

1.一种基于虚拟化的攻击智能诱骗系统，其特征在于，包括：

两级蜜罐结构，包括一级蜜罐和二级蜜罐，所述蜜罐是以Docker容器技术为基础构建服务形成的，对于每种服务，尽可能收集公众仍在使用的所有版本，并将它们制作为蜜罐；其中，第一级蜜罐为侦察蜜罐，第二级蜜罐为特种蜜罐；所述侦察蜜罐主要提供每种服务的某一个特定版本，以使攻击者能够初步与蜜罐进行交互，从而捕获并分析攻击流量信息；特种蜜罐相对于侦察蜜罐服务更加全面，更加有针对性，提供特定版本和特定配置的服务，以提供和攻击者的深度交互；所述侦察蜜罐和特种蜜罐基于容器和云端虚拟主机，在有限资源的情况下尽量提供丰富种类的真实服务；在一个服务器主机上提供多个蜜罐，每个蜜罐分配公网IP，并设置流量重定向规则以模拟多个主机服务，以有限资源提供尽可能多的网络资源供攻击者扫描及攻击；

攻击意图识别模块，进行攻击流量捕获和攻击意图识别，捕获所有进入系统的流量，根据进流量的目的端口进行分类，针对于某一个端口的攻击定义为同一类型的攻击，将攻击粗筛为某一特定攻击类型；确定攻击类型之后，进一步捕获攻击者与蜜罐的交互流量，根据攻击者在某个蜜罐上停留的时间，以及攻击请求和回应请求的内容，进一步细筛出攻击者最可能攻击的蜜罐，从而识别出其攻击意图；

蜜罐调度模块，用于调度蜜罐，形成特定的蜜罐分布结构，先根据收到的粗筛结果，开启所述侦察蜜罐提供的每种服务的某一个特定版本，再根据收到的细筛结果，开启攻击目标蜜罐服务中特种蜜罐提供的特定版本，实现与攻击者的深度交互。

2.根据权利要求1所述基于虚拟化的攻击智能诱骗系统，其特征在于，所述蜜罐调度模块基于容器编排技术。

3.根据权利要求1所述基于虚拟化的攻击智能诱骗系统，其特征在于，所述攻击意图识别模块设定间隔时间，每隔一段时间，对在该时间段内的攻击进行特征分析和提取，包括攻击频率、攻击目标和攻击请求特点，补充场景知识库，以提升攻击意图识别效果，并改进蜜罐调度策略；所述蜜罐调度模块通过网络虚拟化技术给蜜罐绑定浮动IP使蜜罐能够被外网攻击者所访问，以达到每个蜜罐都是一个单独主机的效果。

4.根据权利要求3所述基于虚拟化的攻击智能诱骗系统，其特征在于，所述场景知识库具体包括：

对攻击中产生的数据进行分析，得到攻击类型、攻击目标、攻击数据特征、响应数据特征、目标版本信息、目标镜像名以及上传文件后缀名在内的特征，并形成攻击特征知识库；

根据实际需求提前得到或自行制作蜜罐元数据，存放于镜像仓库中，形成响应攻击行为库；

攻击特征知识库与响应攻击行为库组合成为场景知识库。

5.根据权利要求1所述基于虚拟化的攻击智能诱骗系统，其特征在于，根据网上公开的中英文资料库，查找已公布的攻击方式，并进行攻击实验，获取攻击中产生的数据。

6.根据权利要求1所述基于虚拟化的攻击智能诱骗系统，其特征在于，还包括：

蜜罐监控模块，包括监控模块和防火墙模块，监控模块用于对蜜罐状态的监控，以维持蜜罐的高可用状态；对于攻击过程中的蜜罐状态进行监控，给攻击意图识别模块提取攻击特征，补充场景知识库；防火墙模块用于防止攻击者将蜜罐作为跳板，危害正常的主机；通过系统的防火墙设置一定的规则，让被攻击者攻陷的蜜罐访问正常服务的请求过滤掉；同时监控系统的网络情况，对于网络流量很大的情况下，对网络速度及并发会话情况进行限制；

Web系统界面，提供管理员操作界面，包括用户认证、蜜罐状态显示、蜜罐网络管理、蜜罐生命周期管理、系统日志监控以及蜜罐镜像管理功能，以达到对系统的全面管理。

7.基于权利要求1所述基于虚拟化的攻击智能诱骗系统的攻击智能诱骗方法，其特征在于，包括：

攻击者进行攻击时，侦察蜜罐前期与攻击者进行交互，初步捕获攻击者的攻击数据；

攻击过程中，根据初步捕获到的数据同步识别攻击者的攻击目标并预测攻击行为；

根据攻击行为的识别和预测结果，启动特种蜜罐，将攻击者的攻击流量迁移至特种蜜罐中，使攻击者与特种蜜罐进行深度交互。