[发明专利]一种基于流量分析的动态蜜网系统

权利要求书

1.一种基于流量分析的动态蜜网系统，其特征是：包括三层结构进行划分和搭建，分别是：欺骗环境层、数据处理层及蜜网管理层；所述蜜网管理层的实现即动态调整的实现，包括蜜网状态监测服务和流量转发服务；动态调整模块是整个动态蜜网的核心，使用Docker配置模块对欺骗环境中的蜜罐进行管理，管理的依据是动态调整模块生成的蜜网配置；Docker配置模块负责维护各个蜜罐的端口映射规则以及网络访问规则；动态调整服务利用解析出的工控协议报文，实现蜜网调整算法，根据蜜网的实时流量数据对蜜网做出调整；所述调整流程包括如下步骤：

步骤1.按照固定时间间隔抓取蜜网中的流量数据；

步骤2.以与蜜网节点进行交互的数据包作为模型的基础数据，以数据包的IP来源作为统计考量，计算扫描深度；计算公式如下：

式中，|M_i|表示来自同一IP源地址的数据包总量，表示接收到同一IP源地址的大数据包数量；

步骤3.当扫描深度小于设定的阈值或满足用户自定义的调整方法时，根据蜜罐的访问量定义其年龄为三个阶段：YOUNG、MATURE和OLD，并定义YOUNG状态的上下年龄阈值b，a；

步骤4.蜜网部署后蜜罐年龄的初始值为1；

步骤5.对蜜网流量进行抓包流量数据统计分析：根据相同协议蜜罐访问量排序；

步骤6.最大访问量的年龄增加1，最小访问量的蜜罐年龄减1；

步骤7.更新蜜罐年龄阶段：年龄小于a的进入OLD阶段，年龄大于b的进入MATURE阶段；

步骤8.OLD阶段的蜜罐移除并记录IP，此IP不再使用；

步骤9.MATURE阶段的蜜罐配置被记录，用来生成新的蜜罐加入蜜网，年龄初始值为1；

步骤10.遍历蜜网内蜜罐配置文件，根据被移除IP记录，修改与被移除IP有交互的蜜罐配置，加入新蜜罐的IP；

步骤12.当扫描深度大于设定的阈值或满足用户自定义的调整方法时，计算蜜网的诱惑能力；蜜网的诱骗能力表示整个蜜网的欺骗效果，如下所示：D_i表示蜜网在t_i时刻的诱骗能力，表示单个蜜罐在t_i时刻捕获的数据包大小，而表示在t₁到t_i之间捕获到的数据包的平均大小；

步骤13.当诱骗能力降低到设定的阈值时，蜜网按照调整算法对蜜罐的配置进行调整来提高诱骗能力：

步骤14.统计每个蜜罐的TCP连接和ICMP消息的数量和TCP连接和ICMP消息的权重，计算对应蜜罐的活跃度；如果流量抓取时间为T＝t₁,t₂,…,t_n，则到t_n时刻蜜罐的活跃度通过下式进行计算；

步骤15.建立两个哈希表potActiveMap，maxActiveMap来保存IP和活跃度以及协议和活跃度的对应关系，填写哈希表potActiveMap；

步骤16.更新哈希表maxActiveMap，相同活跃度选择TCP连接数最大的作为结果；

步骤17.遍历蜜罐的配置文件，对每一个蜜罐，通过一个随机数和对齐程度ρ进行比较，当随机数小于ρ时，按照最大活跃度的蜜罐的配置进行调整，将调整后的配置文件加入结果集；否则，将原始配置文件加入结果集，最后得到新的蜜网配置文件并返回；

所述流量转发服务是在Snort的规则匹配基础上，利用策略引擎对流量数据进行二次过滤，根据过滤结果对特定结构的流量数据转发到某个蜜网进行响应；首先进行前置流量分析，在蜜网网关中按照规则对进入蜜网的流量进行分类，不同类型的流量进入不同的蜜网或蜜罐；前置流量分析用于攻击流量的过滤和转发，按照定义的规则集对解析后的流量数据进行匹配，根据匹配的结果进行流量的转发；其次，蜜网网关的流量转发在蜜网层面进行优化，通过将不同特征的流量转发到经过具有不同配置和交互度的蜜网，让攻击者和蜜网进行的通信层次更加深入，为发掘恶意攻击者的数据分析工作进行数据收集；

所述策略引擎包括规则集、控制器和分类器三部分；

所述规则集由蜜网管理者将待匹配的流量的特征写入，包括：IP地址、端口号、数据部分大小规则，及工控协议特有的、具有威胁性的功能码字段与其对应值写入规则集；

所述控制器用于协调规则集和分类器，确保规则集的格式正确，以及调用iptables将分类器的匹配结果进行转发；

所述分类器用于将流量数据与规则集中的流量特征进行匹配，根据匹配结果进行转发；

其中，工控蜜网规则匹配是针对工控协议中TCP协议封装的具有高威胁性的流量数据；规则匹配最终输出多个规则行为，每个规则行为按照功能码的作用进行划分，根据工控协议解析出的字段值，简化规则的编写；其中，drop规则的动作是丢弃符合规则的数据包，并且拒绝后面具有相同规则的所有连接请求；ftm2s7c表示将当前的S7comm协议连接转发到一个具有更高交互度的蜜网；ftm1s7c表示将S7comm连接转发到正常中等交互度的蜜网环境；第二种规则通过大部分S7comm连接触发，对应一个中等交互度的蜜网环境，只提供设备类型、线圈数量、设备型号的查询功能；而第一种规则的触发是由于匹配到了具有较大威胁的功能码，需要通过一个交互度更高、安全防护更全面，同时对此协议中的功能码进行响应的蜜网进行连接；

规则匹配算法如下：首先读取pcap流量数据文件，对其中的每一条报文，对数据部分的有效性进行判断；如果当前报文的数据部分有效，则根据策略引擎生成匹配规则并返回；利用确定的有限状态自动机，每次读取报文的一个字节，在读取的过程中将当前状态status更新为status'；若读取某个字符后的状态不存在，则将status'更新为FAIL；如果报文的数据部分成功匹配到了转发规则，则将此规则返回；

所述流量转发的基本流程如下：当外部地址和蜜网建立通信连接时，首先判断当前连接的数据部分是否有效，如果没有有效的payload，则直接将该连接转发到低交互的蜜网环境；否则，对本次连接的数据部分进行解析，并利用策略引擎进行规则匹配，控制器根据匹配结果进行转发操作：如果匹配为drop并且对同一IP的连接拒绝次数小于阈值，则立即关闭连接，结束本次通信，同时将源IP进行标识，记录连接断开的次数；如果对同一IP的拒绝次数超过阈值，则将来自此IP的流量转向一个低交互的蜜网环境；如果匹配结果为ftm2s7c或ftm1s7c，则根据本次连接的功能码将流量转发到不同交互度的蜜网。