[发明专利]一种基于流量转发的局域网高覆盖检测的蜜网系统

说明书

本发明属于信息安全领域。其公开了一种基于流量转发的局域网高覆盖检测的蜜网系统，解决传统蜜网在局域网内检测覆盖面低的问题。本发明的蜜网系统包括云端蜜网系统和局域网部分；所述局域网部分包括处于同一局域网的多个主机，其中一个主机上部署有蜜网探针，各个主机上均设置有内网流量转发模块；所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上，通过所述蜜网探针接入云端蜜网系统；所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块；所述蜜场中部署有多种类型蜜罐，由管理模块统一管理，所述蜜网代理模块用于接收蜜网探针流量，并将流量转发到蜜场中对应的蜜罐内，完成外部网络对蜜场中蜜罐的请求访问。

技术领域

本发明涉及一种基于流量转发的局域网高覆盖检测的蜜网系统，属于信息安全领域。

背景技术

随着互联网技术的不断发展，各种各样的网络技术出现，同时也导致了越来越多的信息安全事件发生。为了提高信息安全，越来越多的安全产品出现，比如waf、蜜罐等。蜜罐技术将被动防御变为了主动出击，在信息安全领域具有重要作用。

蜜罐技术发展至今，演变后的通用技术是蜜网技术。传统的蜜网系统通常是在云端实现“蜜场”、“蜜网代理模块”、“管理模块”。在云端各种蜜罐统一部署，形成“蜜场”，由管理模块进行统一管理。蜜网系统为客户端提供“蜜网探针”，用于将外部局域网接入蜜网系统。蜜网探针通过与蜜网代理模块交互，实现配置获取、流量转发、心跳上传等功能。

传统蜜网系统部署时，探针需要与被保护业务部署在同一主机，检测面只能覆盖部署了探针的主机。如果需要覆盖多个主机，则需要在对应主机上均部署蜜网探针。然而，蜜网探针功能繁重，需要依赖额外组件，常用的部署方式是基于docker容器技术部署。但是一个网络中，个人电脑与办公电脑数量往往远远大于业务服务器数量。而个人电脑、办公电脑上一般没有安装docker服务，因此局域网内大多数主机无法部署蜜网探针，所以，传统蜜网无法实现客户端局域网内的高覆盖检测。

发明内容

本发明所要解决的技术问题是：提出一种基于流量转发的局域网高覆盖检测的蜜网系统，解决传统蜜网在局域网内检测覆盖面低的问题。

本发明解决上述技术问题采用的技术方案是：

一种基于流量转发的局域网高覆盖检测的蜜网系统，包括云端蜜网系统和局域网部分；

所述局域网部分包括处于同一局域网的多个主机，其中一个主机上部署有蜜网探针，各个主机上均设置有内网流量转发模块；所述内网流量转发模块用于将相应主机的流量转发到所述蜜网探针上，通过所述蜜网探针接入云端蜜网系统；

所述云端蜜网系统部署有蜜场、蜜网代理模块和管理模块；所述蜜场中部署有多种类型蜜罐，由管理模块统一管理，所述蜜网代理模块用于接收蜜网探针流量，并将流量转发到蜜场中对应的蜜罐内，完成外部网络对蜜场中蜜罐的请求访问。

作为进一步优化，所述蜜网代理模块还用于接收蜜网探针的配置请求，将相关配置下发到对应蜜网探针以及用于接收蜜网探针的心跳上传，将心跳包转发到管理模块。

作为进一步优化，所述内网流量转发模块通过socket数据传输将对应主机的流量转发到局域网中的蜜网探针。

作为进一步优化，所述内网流量转发模块采用通用的python编程语言实现，再利用pyinstaller打包技术将其打包为可执行文件。

本发明的有益效果是：

通过在蜜网探针前，增加一层零依赖、可快速运行的“内网流量转发”节点，实现局域网内高覆盖检测的需求。由“内网流量转发”节点将所在主机流量转发到探针节点，实现蜜网接入功能。由于“内网流量转发”节点功能唯一，仅仅包括流量转发功能，可以通过最基本的socket技术实现，不需要额外的组件依赖。

附图说明