[发明专利]一种基于虚拟化的攻击智能诱骗系统与方法

说明书

本发明提供一种基于虚拟化的攻击智能诱骗系统，通过在SDN网络中构建两级蜜罐，实现对攻击者的智能诱骗。第一级为侦察蜜罐，提供真实服务，当攻击者对系统进行扫描和攻击者时，侦察蜜罐与攻击者进行初步交互得到攻击数据。对初步攻击数据进行分析识别攻击者的攻击目标以及预测攻击者的攻击意图，结合场景知识库，启动相应的第二级蜜罐，即特种蜜罐，并且将攻击流量迁移到特种蜜罐中，使攻击者与其进行深度交互，攻击结束后保存特种蜜罐状态以供后续分析。

技术领域

本发明属于互联网安全技术领域，涉及蜜罐系统，具体涉及一种基于虚拟化的攻击智能诱骗系统与方法。

背景技术

现有能对攻击者进行很好地欺骗的技术是蜜罐技术，通过布置一些诱饵地主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐也可以看作是情报收集系统，其故意暴露让人攻击的目标，引诱黑客前来攻击，攻击者入侵后，我们就可以知道他是如何进行攻击的，从而了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

然而传统的蜜罐系统主要为硬件服务器部署的方式，这样一方面蜜罐结构很难根据攻击行为进行动态的调整，即无法动态改变诱骗场景，达到智能诱骗的效果，另一方面，大量的物理基础设施用来进行蜜罐系统的部署运行，安全防护成本较高。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于虚拟化的攻击智能诱骗系统与方法，使用轻量级虚拟化工具Docker和云端虚拟主机提供两级蜜罐结构——侦察蜜罐和特种蜜罐。侦察蜜罐与攻击者进行初步交互捕获攻击者的攻击数据，从而识别攻击者的攻击目标，预测其攻击行为。特种蜜罐根据识别结果即时启动，并将攻击者的流量迁移到特种蜜罐中，特种蜜罐与攻击者进行深度交互，并记录下与攻击者的深度交互数据。本发明能够提供丰富的场景来诱骗攻击者，同时能够根据攻击需求进行动态调整，捕获攻击者的攻击行为，挖掘攻击特征，并产生相应的防御策略，从而为现有的系统提供保障，具有很高的实用价值。另外，本发明以虚拟化的方式提供蜜罐，可以以少量的资源仿真更多的服务，同时能够根据攻击者的攻击行为进行动态调整蜜罐结构，达到智能诱骗的效果且安全防护成本较低。

为了实现上述目的，本发明采用的技术方案是：

一种基于虚拟化的攻击智能诱骗系统，包括：

两级蜜罐结构，包括第一级蜜罐和第二级蜜罐，其中，第一级蜜罐为侦察蜜罐，第二级蜜罐为特种蜜罐；所述侦察蜜罐主要提供每种服务的某一个特定版本，以使攻击者能够初步与蜜罐进行交互，从而捕获并分析攻击流量信息；特种蜜罐相对于侦察蜜罐服务更加全面，更加有针对性，提供特定版本和特定配置的服务，以提供和攻击者的深度交互；

攻击意图识别模块，进行攻击流量捕获和攻击意图识别，先粗筛识别出攻击类型，再细筛识别出攻击者最可能攻击的蜜罐，从而识别出其攻击意图；

蜜罐调度模块，用于调度蜜罐，形成特定的蜜罐，先根据收到的粗筛结果，开启所有在对应端口的服务，即常用版本，再根据收到的细筛结果，开启攻击目标蜜罐服务的所有版本，实现与攻击者的深度交互。

优选地，所述蜜罐是以虚拟化容器技术(例如，Docker容器技术)为基础构建服务形成的，对于每种服务，尽可能收集公众仍在使用的所有版本，并将它们制作为蜜罐；所述蜜罐调度模块基于容器编排技术(例如，kubernetes技术)。

优选地，所述侦察蜜罐和特种蜜罐基于容器和云端虚拟主机，在有限资源的情况下尽量提供丰富种类的真实服务；在一个服务器主机上提供多个蜜罐，每个蜜罐分配公网IP，并设置流量重定向规则以模拟多个主机服务，以有限资源提供尽可能多的网络供攻击者扫描及攻击。