[发明专利]一种攻击流量转发至蜜罐的方法

说明书

本发明公开了一种攻击流量转发至蜜罐的方法，采用网关代理的方式，通过简单部署网关与流量转发模块，将对真实业务服务器上敏感端口的请求访问都转发给网关，网关进行流量转发模块规则配置，将攻击者的请求转发给蜜罐，由蜜罐进行攻击取证并回复攻击者的访问请求，利用网关轻松实现数据包的转发，防止了伪装代理过程中产生的不稳定影响整个通信质量。本发明进行入侵检测，部署简便，可操作性强，维护网络安全、企业业务安全和稳定性，为中小型企业部署伪装代理提供了便利。

技术领域

本发明涉及一种计算机信息安全，具体涉及一种攻击流量转发至蜜罐的方法。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

现有伪装代理技术无法通过简单的流量转发模块规则配置实现攻击者与蜜罐的交互，而需要通过部署蜜罐代理端和蜜罐管理端进行管理，使伪装代理成本变高，且现有的伪装代理技术，部署成本较大，数据传输过程较复杂。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种攻击流量转发至蜜罐的方法，大大减少了不熟成本，简化了数据传输过程。

攻击者访问真实业务客户端的敏感内容；

真实业务客户端接收到访问请求后进行流量转发，将对真实业务服务器上敏感端口的请求访问都转发给网关；

网关进行流量转发模块规则配置；

蜜罐接收到网关配置的流量转发后进行对攻击者其取证并回复访问请求；

网关将蜜罐回复的内容拦截并发送给真实业务服务器；

真实业务服务器将网关发来的内容转发至攻击者。

所述真实业务数据转发通过代码实现，所述真实业务数据转发通过Java开发出的小程序安装在真实业务机上，虚拟出端口，实现数据流量转发。

所述网关配置流量转发模块规则，将真实业务发来的攻击者请求都转发给蜜罐，在转发过程中将数据包重新封装，修改访问来源为攻击者。

所述网关配置流量转发模块规则包括四条：（1）从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包，如果网关检测到该数据包中含有攻击者信息，则启用内核模块，将该数据包的去向改成蜜罐IP和对应的敏感端口；（2）从真实业务端发过来的数据包通过网关中字符串匹配套接字数据包，如果网关检测到该数据包中含有攻击者信息，则启用内核模块，将数据包的访问来源修改成攻击者IP；（3）如果网关经过字符串匹配，发现有从蜜罐反馈的数据包，则启用内核模块，把数据包的去向改成真实业务端；（4）在整个过程中，通过编写蜜罐的路由规则，将蜜罐的gateway改成网关，使得整个过程可以通信。

所述网关配置流量转发模块规则，在网关配置规则之前配置两条预设规则，包括（1）清空本条数据传输链的规则；（2）允许数据转发的规则。

所述蜜罐收到网关发过来的数据包，对这个数据包作出回应。

有益效果：由于本发明采用的伪装代理技术，将攻击者对真实业务的敏感端口的请求转发给蜜罐，蜜罐进行相应的请求回复和进行攻击行为的取证，极大程度上保护了真实业务，加上部署简便，为中小型企业部署伪装代理提供了便利。本发明进行入侵检测，部署简便，可操作性强，维护网络安全、企业的业务安全和稳定性。

附图说明

图1为本发明整体流程图；

图2为本发明蜜罐回复的流程图。

具体实施方式