[发明专利]一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统

说明书

本发明提供了一种蜜罐系统服务自适应的方法及自适应服务蜜罐系统，属于网络安全技术领域。本发明提供了一种蜜罐系统服务自适应的方法，通过主动探测攻击者主机环境，匹配其攻击工具，针对真人攻击且不是傀儡机的有价值攻击，通过主动式蜜罐部署执行系统根据攻击者主机开放的服务和端口，自适应提供伪装应用服务和操作系统，提升蜜罐系统可被利用率、攻破率。本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务，能够提升蜜罐系统的安全性，不会让攻击者对探测行为怀疑，快速变换伪装服务，提升蜜罐系统的仿真性；设置了多重判定条件，可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱捕其进入蜜罐系统，大大提升蜜罐系统的价值。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种蜜罐系统自适应服务伪装方法及蜜罐系统。

背景技术

蜜罐技术通过虚拟和伪装带有漏洞的虚假操作系统、应用服务，来诱捕攻击者主动攻击，并对其进行监控，收集并分析其攻击数据。

主动探测技术是通过多种主动探测手法，对目标主机进行应用服务、端口开放情况进行扫描和探测，并记录其开启服务类型、端口开放情况。

自适应是在数据处理和分析过程中，根据数据特征自动调整处理方法和约束条件，使其与所处理数据的统计分布特征、结构特征相适应，以取得最佳的处理效果的过程。

当蜜罐系统面对互联网开放web应用、系统服务时，可吸引和诱捕攻击者对蜜罐系统进行攻击，从而蜜罐可对其攻击行为进行完整记录。但面对高交互类型的蜜罐系统，大多数攻击者都是通过扫描工具进行广泛扫描和探测，而其攻击主机也部署了一定的应用服务并开启对应的服务端口，以便进行攻击操作，而一旦蜜罐系统部署在互联网的应用服务、系统服务以及开启的服务端口等无法匹配其攻击主机开放的应用服务和攻击工具利用的端口，则诱捕率大大降低，攻击者无法针对性利用蜜罐系统进行进一步的攻击操作，从而蜜罐系统无法记录更多攻击者的行为和特征。

现有技术至少存在以下不足：

1.现有方法都是通过被动式部署蜜罐系统伪装的应用服务和操作系统，被动式即根据自身的网络环境情况、以往获取的攻击行为数据进行分析而部署，无法实时针对现有攻击者的攻击主机环境、攻击工具情况进行主动针对性部署，提升蜜罐系统可被利用率、诱捕率，从而取证信息更丰富。

2.现有方法针对攻击者的探测行为，主要是展示攻击者的主机环境和服务开启情况，而无法

将该数据利用到蜜罐系统的应用服务伪装方法中，从而无法实现该数据信息的最大价值；3.现有方法利用人工分析、判断主动探测攻击者的主机情况，从而实现对蜜罐系统伪装的应

用服务、操作系统的部署更换和服务端口的开启、关闭，效率低下，费时费力。

发明内容

为解决现有技术中存在的技术问题，本发明提供了一种蜜罐系统服务自适应的方法，通过主动探测攻击者主机环境，匹配其攻击工具，从而主动式部署蜜罐系统伪装的应用服务和操作系统，提升蜜罐系统可被利用率、攻破率，从而取证信息更丰富。本发明通过自动化脚本运行的方式来更换蜜罐系统的伪装服务，比人工手动更加具备高效和可持续性；通过前端探测节点、后端蜜罐系统的部署形式，能够提升蜜罐系统的安全性和仿真性，不会让攻击者对探测行为怀疑，从而快速变换伪装服务，也进一步提升蜜罐系统的仿真性；设置了多重判定条件，可实现对有捕获价值的攻击者进行针对性部署伪装服务并诱捕其进入蜜罐系统，大大提升蜜罐系统的价值。

本发明提供了一种蜜罐系统服务自适应的方法，包括以下步骤：

S100：监测攻击者对伪装服务的攻击扫描，判断监测到的攻击是否为真人攻击：

如果是真人攻击，再判断是否为基站IP地址或移动数据网公共出口IP地址：

如果不是基站IP地址或移动数据网公共出口IP地址，则发送攻击源IP地址到前端探测节点，同时激活前端探测节点执行步骤S200；