[发明专利]一种在蜜罐场景下扩展攻击流量牵引能力的方法

说明书

本发明涉属于网络安全领域，其公开了一种在蜜罐场景下扩展攻击流量牵引能力的方法，解决传统技术中攻击流量牵引方案采用路由协议或者网关控制存在的牵引流量有限、牵引控制粒度较大、兼容性差的问题。其技术方案概括为：通过报文修改模块在业务服务器应用层利用iptables+ipset进行攻击流量捕获修改，释放与正常业务的连接资源，修改请求目的端口和响应源端口重定向攻击流量到报文转发模块，细粒度控制报文的牵引转发，直接在被攻击业务服务器进行攻击流量牵引，且兼容性高；通过报文转发模块在业务服务器应用层监听攻击流量，与攻击流量建立代理连接后，将攻击流量封装转发给代理，代理将流量转发给真实蜜罐服务器，直接在被攻击业务服务器进行攻击流量牵引。

技术领域

本发明涉属于网络安全领域，具体涉及一种在蜜罐场景下扩展攻击流量牵引能力的方法。

背景技术

目前在蜜罐场景下进行攻击流量牵引主要有两种方法，其一为通过路由协议牵引的方式，其二为通过网关方式进行将攻击者流量进行转发，具体说明如下：

一、通过路由协议牵引方式：

具体流程是发布BGP或者ARP通告，在路由设备或者交换机上将攻击目标IP的攻击流量到达路径修改为蜜罐或者清洗设备，清洗设备会将攻击流量进行清除，蜜罐系统会将攻击流量牵引到蜜罐内部诱捕攻击，该技术方案存在的控制粒度大、需要控制入口路由设备或者交换机设备、攻击流量牵引覆盖面较窄、云环境下控制困难等缺陷，主要由于以下原因导致：

(1)路由协议本质上只能控制网络上以太帧的选路，无法控制某些来源IP或者访问某些端口的流量进行细粒度的攻击流量牵引；

(2)路由协议需要通过路由设备或者交换机设备才能进行控制选路，且部署在IDC入口，如果对应的攻击流量发生在内网，该方案无法进行牵引，访问流量通过该设备才能进行攻击流量牵引；

(3)在云环境下，云服务提供商无法提供适用于攻击流量牵引的路由控制。

二、通过网关方式进行将攻击者流量进行转发：

具体流程是所有访问流量通过网关转发给业务服务器，当网关检测到攻击后，将攻击者的流量单独转发给蜜罐系统，该技术方案存在的缺陷是需要改造网关逻辑、攻击流量牵引覆盖面较窄等，主要是由于以下原因导致：

(1)需要在网关上将攻击流量单独区分，由于网关是外部访问流量入口，容易影响整体访问；

(2)访问流量通过该网关设备才能进行攻击流量牵引，如果对应的攻击流量发生在内网且流量不经过网关设备，则该方案无法进行牵引。

发明内容

本发明所要解决的技术问题是：提出一种在蜜罐场景下扩展攻击流量牵引能力的方法，解决传统技术中攻击流量牵引方案采用路由协议或者网关控制存在的牵引流量有限、牵引控制粒度较大、兼容性差的问题。

本发明解决上述技术问题采用的技术方案是：

一种在蜜罐场景下扩展攻击流量牵引能力的方法，应用于蜜罐场景下的攻击流量牵引，所述蜜罐场景中分开部署有业务区和蜜罐分析区，所述业务区用于部署业务服务器，在业务服务器上部署报文修改模块和报文转发模块；所述蜜罐分析区用于部署转发模块和真实蜜罐；

该方法包括以下步骤：

步骤1、根据需要牵引的服务类型配置多个ipset集合，并初始化端口映射关系；

步骤2、添加待牵引IP到各服务的ipset集合；

步骤3、通过iptables将各服务的ipset集合流量重定向到业务服务器的应用层；