[发明专利]一种基于蜜场架构的诱捕节点故障实时检测方法

说明书

本发明提供了一种基于蜜场架构的诱捕节点故障实时检测方法，涉及网络安全领域。本发明将蜜场环境分为运行环境和连通环境双环境，将诱捕节点故障点划分为六个阶段，针对不同环境不同阶段，诱捕节点有不同的特征组，诱捕节点将不同环境下不同阶段的特征组反馈到状态观察表，参照正常值范围对照表，监控状态观察表中信息，发现异常并报警。该方法基于蜜场架构的诱捕节点故障实时检测，有利于网络安全人员及时了解诱捕节点的故障情况，精准定位故障点，有利于快速恢复蜜场可用状态。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于蜜场架构的诱捕节点故障实时检测方法。

背景技术

随着互联网的飞速发展，网络安全已成为人们非常关注的问题。提升网络安全性，成为互联网中的头等大事。在网络安全领域中，蜜罐是网络安全人员熟知的网络攻击检测技术，其实质是通过布置一些作为诱饵的主机、网络服务或者信息，也就是作为网络安全中的一种入侵诱饵，诱使攻击方对它们实施攻击，捕获黑客相关的证据和信息，从而可以对攻击行为进行分析。蜜网是采用了其他技术的蜜罐，从而以合理方式记录下黑客的行动，同时尽量减小或排除对因特网上其它系统造成的风险。密网是一个网路系统，这一网路系统是隐藏在防火墙后面的，所有进出的资料都受到监控、捕获及控制。蜜场是一种分布式的蜜罐系统，它是蜜罐技术发展的新趋势。如果要在一个大型的分布式环境中部署蜜网，为了对各个子网的安全威胁进行收集，就需要部署大量高交互的蜜罐。但按传统的方法来部署和维护这些高交互蜜罐则代价太高，针对此问题，为了简化大规模网蜜罐的部署和维护，可以将这些蜜罐放在一个蜜场中。集中部署蜜罐的单一化网络就是一个蜜场，它是一个专用的安全资源。

蜜场采用网络隧道和回流标签技术，可以有效管控蜜罐资源，并可以从网络层面隔离攻击者，防止攻击者从蜜场内对真实网络展开攻击。所以蜜场是一种资源高度集中，可对网络管控进行有效管控的新一代蜜罐技术。

诱捕节点的稳定性是蜜场的稳定性的重要基石，如果诱捕节点稳定性不良，那么攻击者将无法进入蜜场，或者在蜜场中展开攻击时连接不稳定，会极大的影响蜜场吸引攻击者偏离真正攻击目标的效果。

由于蜜场架构下的诱捕节点运行环境和连通环境比普通蜜罐节点复杂，所以蜜场架构下的诱捕节点容易出现运行故障和连通故障，而当前缺少实时检测诱捕节点故障的方法，难以快速定位故障点。现有技术对蜜场中诱捕节点状态的常见故障检测方法一般包括两种：一种是逐个检查各个组件的日志并汇总；另一种是通过现场测试的方式，查看通过诱捕节点的网络攻击，是否在蜜罐中产生数据。这些手段既繁琐，又费时。

中国专利申请文献CN110474787A中，公开了一种节点故障检测方法：主节点将任务发送至从节点，获取从节点的故障概率模型；根据从节点的故障概率模型，确定第一故障检测组；第一故障检测组为从节点运行任务时所述的故障检测组，第一故障检测组为至少一个故障检测组中的一个，其中，至少一个故障检测组中不同的故障检测组采用不同的故障检测方法；若接收到从节点发送的任务运行成功消息，且第一故障检测组与第二故障检测组不同，第二故障检测组为从节点当前所述故障检测组，则发送与第一故障检测组对应的故障检测任务到从节点。该方法主要解决当前不能根据节点运行任务的不同调整故障检测方法的问题，采用主从串联方式，顺序排查，一个故障检测组如果出错，则会影响后续所有的检测组，而且没有细分环境和特征组，难于定位故障点，耗时长。