[发明专利]一种基于集中管控的积极的安全防御的系统

权利要求书

1.一种基于集中管控的积极的安全防御的系统，其特征在于，所述系统，包括诱饵模块和监控模块，并通过可视化展示恶意的活动；

所述诱饵模块，创建、管理和部署诱饵，并支持动态地部署和动态地配置诱饵网络；

所述创建诱饵，能够根据黑客发起攻击的不同阶段来创建适合的诱饵，包括侦察阶段诱饵、交付阶段诱饵、安装阶段诱饵、特权提升阶段诱饵、横向扩张阶段诱饵、攻击对象阶段诱饵和撤出阶段诱饵，诱饵使得威胁行为者无法实现其攻击目标，其恶意活动也将被发现；

所述监控模块，采集和分析诱饵模块所产生的日志数据，监视攻击者与诱饵的交互，预测和早期发现企业网络中的黑客的攻击活动，并进行预警，包括日志采集、负载均衡、前端GUI和搜索引擎四个子模块；

所述日志采集，采集诱饵模块产生的日志，并上报给负载均衡；

所述负载均衡，负责将接收到的日志转发给搜索引擎和将恶意交互跳转到诱饵网络；

所述搜索引擎，用于解析和索引所接收到的日志数据，然后将其输出到前端GUI进行可视化展示；

所述前端GUI，是一个前端web GUI，使安全分析所能够确定攻击者是否与部署的诱饵进行交互；

所述可视化展示，每当通过SSH连接到诱饵网络内的设备并与诱饵交互时，均会触发诱饵模块产生日志并上报给负载均衡子模块，负载均衡子模块将所产生的日志及时地转发至搜索引擎子模块，从而在系统中记录入侵告警，并在可视化的后台运行的搜索引擎子模块的Elasticsearch API查询此日志并确定有新的告警，所述新的告警被发送到Flask后端，在该后端，可视化将解析数据并将信息保存到本地日志文件中，同时，可视化利用websocket通知前端GUI子模块有新的告警，所述通知会更新前端GUI子模块的图形以显示告警，并使受恶意活动影响的诱饵网络的节点闪烁。

2.如权利要求1所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述攻击对象阶段诱饵，包括密码诱饵、数据库诱饵和用户或系统文件诱饵。

3.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述密码诱饵，将多个假密码与真实密码一起分配给每个帐户，通过这种方式，即使攻击者设法破解被盗密码哈希(Hash)文件中的密码，他仍然不确定哪些密码是真实的，如果使用假密码登录，则会触发告警。

4.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述数据库诱饵，将诸如TABLE CREDIT_CARDS or VIEW EMPLOYEES_SALARY条目插入数据库以诱使攻击者，并通过数据库管理系统的实现模块监视对该诱饵的访问，向数据库管理员发出告警，并记录恶意活动。

5.如权利要求2所述的一种基于集中管控的积极的安全防御的系统，其特征在于，所述用户或系统文件诱饵，自动部署诱饵文件，监控诱饵文件，一旦访问了这些文件，就会向系统用户发送告警，为了增加诱饵的诱惑力，从目标目录和目标文件系统收集的单词的替换和换位来生成假文件内容，基于文件的欺骗技术主要集中在诱饵用户数据文件上，为了防止合法活动访问诱饵系统文件而触发假告警，引入了一个隐藏接口，通过该接口排除诱饵文件，由于攻击必须调用一些系统文件，这种方法能够进一步地提高对黑客的检测。