[发明专利]一种基于拟态架构的蜜罐服务系统及其处理方法

说明书

本发明公开一种基于拟态架构的蜜罐服务系统及其处理方法，该系统包括：流量代理模块用于接收来自攻击者的流量，将流量分发到各异构执行体中，还用于将异构执行体反馈的结果发送给攻击者；异构执行体用于对来自攻击者的流量做出应答，并将结果反馈到流量裁决模块；内核监控模块用于实时监控虚拟化平台的宿主机，当具有危险指令的流量进入到异构执行体，并在虚拟机上产生逃逸时，将流量信息发送给流量裁决模块进行判断；流量裁决模块用于根据内核监控模块和异构执行体的反馈结果进行裁决，并把裁决结果发给调度模块；调度模块用于根据流量裁决模块的反馈结果，发送指令给异构执行体和流量代理模块。本发明实现了对虚拟机逃逸的检测与防御。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于拟态架构的蜜罐服务系统及其处理方法。

背景技术

随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。然而，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。

信息安全的本质是持续对抗，例如网络渗透与系统入侵要面对防火墙、入侵检测和应用程序安全加固等等。防火墙、入侵检测和应用程序安全加固分别都有自己的应用场景，都能解决一些特定条件下的网络攻击防御、预警、缓解和加固需求，但由于零日漏洞的存在和安全策略设计缺陷、安全机制配置和实现不当，攻击者总能找到一些缺口突破保护。所以，在实际的网络安全战场上持续对抗的双方实际是在进行着一场非对称的对抗。具体来说，这种非对称性主要体现在以下几个方面：

(1)工作量不对称，攻击方可以选择在白天和工作日养精蓄锐，夜深人静、节假日展开攻击行动，攻其不备。防守方为了保障网络和系统安全，一刻不能懈怠，“24小时x7日”不间断、全面防护，即使这样，还要随时承受木桶原理给自己带来的致命突破。

(2)信息不对称，攻击方通过信息收集、网络扫描、探测、踩点可以随时对攻击目标进行全面了解，而防守方由于处在“明处”，对“暗处”的攻击者一无所知，不知道它是谁、有何攻击意图、掌握哪些攻击手段和本方信息等。

(3)后果不对称，攻击方一次任务失败，极少受到损失。重整旗鼓，随时可以发起第二次，第三次，第N次攻击。防守方的安全机制一旦被突破，资产立刻面临损失风险并可能带来其他不良影响。

正是由于上述对防御一方的种种不利因素和现状，蜜罐和蜜网的出现就是为了扭转这种不对称的对抗局面。通过设置“假目标”，增加攻击成本，扭转工作量不对称。通过持续观察攻击者在蜜罐和蜜网中的行动了解攻击者是谁，用什么工具，如何操作，为什么攻击你。蜜罐和蜜网被攻陷是可预期和可控的结果，通常不会对真实资产造成损失和不利影响。防御一方反而可以有机会通过计算机取证技术发现和定位攻击者身份，通过计算机取证技术分析和提取出攻击者使用的零日漏洞利用工具，使得这些工具不能第一时间被用于攻击真实网络和系统，反而暴露了最新的攻击技术，为防御者及时研发和部署更新安全系统争取了更多时间，降低了攻击者的攻击成功率，这些都能起到对攻击方的威慑和限制作用。但是现有蜜罐技术中，对蜜罐本身安全性重视程度不足，其底层虚拟化平台存在逃逸风险的问题。

发明内容

本发明针对现有蜜罐技术中，对蜜罐本身安全性重视程度不足，其底层虚拟化平台存在逃逸风险的问题，本发明公开了一种基于拟态架构的蜜罐服务系统及其处理方法，利用拟态架构的思想，将蜜罐系统的虚拟化平台异构化，对虚拟机逃逸进行检测与防御，为网络空间提供攻击威胁识别和安全防护。

为了实现上述目的，本发明采用以下技术方案：

本发明一方面公开一种基于拟态架构的蜜罐服务系统，包括流量代理模块，异构执行体，内核监控模块，流量裁决模块及调度模块；

所述流量代理模块用于接收来自攻击者的流量，将来自攻击者的流量分发到各异构执行体中，还用于将异构执行体反馈的结果发送给攻击者；