[发明专利]redis蜜罐部署系统

权利要求书

1.一种redis蜜罐部署系统，其特征在于，包括：

流量监控模块，作为redis代理服务器，用于采集redis客户端与redis实际服务器交互的通讯数据；

流量解析模块，用于将流量监控模块采集的通讯数据转换为易于识别的明文数据，泛化威胁日志；

数据上报模块，用于通过Hpfeeds协议将泛化的威胁日志实时转发到云端分析模块；

云端分析模块，用于分析上报的威胁日志的日志数据，并制定防御策略；

数据存储模块，用于对日志数据存储到数据库以供回溯。

2.根据权利要求1所述的redis蜜罐部署系统，其特征在于，修改redis实际服务器的默认端口为其他未被占用的端口，由python脚本的socket和select模块搭建redis代理服务器监听redis实际服务器的原始默认端口，实时监听默认端口中redis客户端信息，所述流量监控模块通过转发redis实际服务器和redis客户端之间的通讯数据对其进行采集。

3.根据权利要求1所述的redis蜜罐部署系统，其特征在于，所述流量解析模块通过对redis底层通讯协议的解读，将所接收到的通讯数据转换为易于识别的明文数据，并结合套接字连接的参数、redis解析的原始指令，生成统一格式的威胁日志。

4.根据权利要求3所述的redis蜜罐部署系统，其特征在于，所述威胁日志包括会话id、源ip、源端口、操作指令时间、操作详情和原始日志。

5.根据权利要求4所述的redis蜜罐部署系统，其特征在于，当redis客户端连接redis之后，python脚本随机生成一个唯一的会话id，之后redis客户端进行的所有操作均属于此会话id。

6.根据权利要求5所述的redis蜜罐部署系统，其特征在于，所述云端分析模块的基本分析单位为事件日志，所述事件日志包括Hpfeeds协议所上传的威胁日志中所有会话id相同的日志，事件日志被分析为恶意ip、攻击指令和攻击目标。

7.根据权利要求6所述的redis蜜罐部署系统，其特征在于，事件日志被分析为恶意ip、攻击指令和攻击目标具体包括：首先，判断用户是否短时间进行多次密码认证，或在认证之后是否进行了文件查询或文件修改的动作，若是，则本次事件为恶意事件，此用户的源ip为恶意ip，若不是，说明此用户仅做试探或学习性行为，不是恶意操作；其次，依据用户的操作指令判断，是否短时间进行多次密码认证，若是，则攻击指令为密码爆破类。

8.根据权利要求7所述的redis蜜罐部署系统，其特征在于，在用户完成认证之后，提取用户的操作指令，若不是直接退出的指令，则所有的操作指令都是攻击指令，攻击指令包括文件查询类攻击指令和文件修改类攻击指令。

9.根据权利要求8所述的redis蜜罐部署系统，其特征在于，所述攻击指令还包括未知类攻击指令，用于发现0day漏洞。

10.根据权利要求9所述的redis蜜罐部署系统，其特征在于，所述数据存储模块分别存储恶意ip、攻击指令、攻击目标和原始日志，以会话id相关联，并在新指令到达时比对已存储的数据，如果是首次出现的攻击指令则添加存储，否则只存储原始日志，方便进行回溯。