[发明专利]一种云化插件式漏洞响应的蜜网架构实现方法

说明书

本发明公开了一种云化插件式漏洞响应的蜜网架构实现方法，包括搭建云化沙箱管理平台，用于将仿真沙箱放在云端，仿真沙箱通过kvm的方式，模拟最新漏洞组件，通过网络中的漏洞组件识别，快速更新仿真沙箱，来达到最新漏洞的快速检测和响应；在用户端安装蜜罐系统，所述系统集成漏洞检测引擎，当检测到该组件漏洞时，通过无线网络请求云化沙箱管理平台，请求更新该沙箱，并实时接收云化沙箱管理平台发送漏洞预警数据。本方法通过将仿真沙箱放在云端，仿真沙箱通过kvm的方式，模拟最新漏洞，通过网络中的漏洞组件识别，快速更新仿真沙箱，来达到最新0day或者nday的快速检测和响应方式。

技术领域

本发明涉及计算机信息安全领域，具体为一种云化插件式漏洞响应的蜜网架构实现方法。

背景技术

现有技术中蜜罐老旧，无法适应最新攻击方式，蜜网和用户真实环境脱离，无法对多种组件的漏洞进行响应，现有蜜罐无法自动化更新仿真沙箱插件，现有蜜罐无法适配用户真实资产，现有蜜罐信息孤立，威胁情报共享不及时。

发明内容

本发明在于克服现有技术的不足，提供一种云化插件式漏洞响应的蜜网架构实现方法。

本发明解决上述技术问题的技术方案是：搭建云化沙箱管理平台，用于将仿真沙箱放在云端，仿真沙箱通过kvm的方式，模拟最新漏洞组件，通过网络中的漏洞组件识别，快速更新仿真沙箱，来达到最新0day或者nday的快速检测和响应；

在用户端安装蜜罐系统，所述系统集成漏洞检测引擎，当检测到该组件漏洞时，通过无线网络请求云化沙箱管理平台，请求更新该沙箱，并实时接收云化沙箱管理平台发送漏洞预警数据；

系统自动将最新安全漏洞通过插件方式更新最新仿真沙箱环境到云化沙箱管理平台，云化沙箱管理平台接收到该漏洞后，通过无线网络将漏洞预警消息发送给用户，并将该漏洞测试代码下发给蜜罐，蜜罐通过漏洞测试代码测试，验证该用户网络里面是否存在该类漏洞，如果存在该漏洞，则会请求云化平台下载安装仿真沙箱，检测最新漏洞的攻击。

优选的，所述漏洞测试代码为Poc，导入运行poc需要的库，包括socket，struct,sys,netaddr。

优选的，所述仿真沙箱的制作通过kvm高交互技术模式，安装对应协议版本服务，形成kvm 镜像格式文件，包括winms17010.qcow2仿真沙箱文件，并通过加密压缩，将其推送到云化沙箱管理平台上去，供用户更新。

优选的，所述仿真沙箱文件包括加密码的kvm仿真沙箱系统的压缩文件和所述CVE-2020-0796.zip和kvm.json两个文件，所述CVE-2020-0796.zip一个漏洞示列文件，所述Kvm.json是一个配置文件。

优选的，所述的kvm.json内容包括：name：漏洞镜像的名字，alias：漏洞镜像别名，type：漏洞镜像的名称，system：漏洞镜像所用的操作系统，zipSha1：漏洞镜像压缩包的Sha1值，zipName：漏洞镜像压缩包的名称，feature：这个漏洞镜像能进行的操作特征。

优选的，所述仿真沙箱的更新步骤包括：

步骤（1），下载安装仿真沙箱kvm镜像源至用户本地；

步骤（2），校验zipsha1，如果校验正确进入步骤（3），如果校验错误则升级失败；

步骤（3），根据name测试运行，升级之前，运行一遍该沙箱，如果程序检测到沙箱正常，就升级沙箱，如果测试不正常，检测到沙箱异常，就停止升级，如果运行正确则升级成功，如果运行错误则升级失败；

优选的，所述仿真沙箱更新后，会自动生成该类沙箱，和资产混杂在一起，混淆攻击。

优选的，所述用户端还包括指纹识别系统，所述指纹识别系统通过程序调用程序对资产服务进行指纹识别。