[发明专利]一种基于流数据处理的网络安全蜜罐系统及实现方法

权利要求书

1.一种基于流数据处理的网络安全蜜罐系统，其特征在于，包括蜜罐服务管理模块、蜜罐客户端、蜜罐服务运行状态收集服务模块、流量信息消费服务模块、流数据处理引擎模块、蜜罐服务管理队列、蜜罐服务状态队列和蜜罐访问流量队列，

所述蜜罐服务管理模块，用于将蜜罐服务管理指令存储至蜜罐服务管理队列，接收并处理蜜罐客户端的连接请求，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；

所述蜜罐客户端，用于载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求，连接和监听蜜罐服务管理队列；监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；

所述蜜罐服务管理队列，用于存储蜜罐服务管理指令；

所述蜜罐服务状态队列，用于存放蜜罐服务的运行状态信息；

所述蜜罐访问流量队列，用于存放蜜罐服务的访问流量信息；

所述蜜罐服务运行状态收集服务模块，用于监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；

所述流量信息消费服务模块，用于监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；

所述流数据处理引擎模块，用于创建蜜罐服务的事件类型和事件处理规则，根据接收到的事件匹配事件处理规则，输出蜜罐服务被攻击预警信息。

2.根据权利要求1所述的一种基于流数据处理的网络安全蜜罐系统，其特征在于，还包括守护进程，所述守护进程用于监测蜜罐客户端的工作状态，当蜜罐客户端工作状态出现异常或者停止工作时，关闭并重启蜜罐客户端。

3.一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，包括：

步骤1，蜜罐服务管理模块等待蜜罐客户端连接；

步骤2，蜜罐客户端载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求；

步骤3，蜜罐服务管理模块接收并处理蜜罐客户端的连接请求，连接成功后，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；

步骤4，蜜罐客户端连接和监听蜜罐服务管理队列，监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；

步骤5，蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；

步骤6，流量信息消费服务模块监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；

步骤7，流数据处理引擎模块创建蜜罐服务的事件类型、事件处理规则和事件处理条件，当接收到的事件符合事件处理条件时，触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。

4.根据权利要求3所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，蜜罐服务管理模块和蜜罐客户端基于TCP协议的服务器/客户端模式，步骤1包括：蜜罐服务管理模块创建socket套接字，使用套接字绑定本地的网络地址和端口，套接字在绑定的端口上进行监听，等待蜜罐客户端的连接请求；

步骤2包括：蜜罐客户端载入蜜罐服务配置信息，所述蜜罐服务配置信息是一个四元组id，honeypotServiceName，honeypotServiceType，honeypotServiceFilePath，其中id是蜜罐服务的唯一标识；honeypotServiceName表示蜜罐服务的名称；honeypotServiceType表示蜜罐服务的类型；honeypotServiceFilePath表示蜜罐服务静态文件的本地路径信息；蜜罐客户端创建socket套接字，向蜜罐服务管理模块发起连接请求。