一种增强蜜网诱骗力度的方法和蜜网系统

摘要

本发明实施例提出一种增强蜜网诱骗力度的方法和蜜网系统，该方法包括：在蜜网系统中建立一诱骗子网，所述诱骗子网包括至少一个物理服务器；模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。本发明实施例中，不仅模拟了网络环境，而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真实性和交互性，从而提高了蜜网系统的诱骗力度。

说明书

技术领域

本发明是关于计算机网络安全技术领域，特别是关于一种增强蜜网诱骗力度的方法和蜜网系统。

背景技术

目前，随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等是网络上每台主机随时都可能面对的危险。为了应对上述危险，防病毒软件和防火墙等安全技术发展起来，不过它们都只是在被动地应对上述危险。蜜罐和蜜网技术的提出正是为了主动出击研究网络上这些安全威胁而产生的。

蜜罐是指部署在网络上，伪装成真实的网络、主机和服务，诱惑恶意攻击的诱饵，其价值在于收集网络上的攻击活动信息，并对这些信息进行监视、检测和分析。

蜜网是指诱捕这些攻击活动的整体网络体系架构，一个蜜网系统中通常包含一个或多个蜜罐。

蜜网系统是为了收集入侵者的攻击信息，因而如何引诱攻击者对蜜网进行攻击是蜜网系统中一个重要的组成部分。攻击诱骗环节的成功与否将直接影响到整个蜜网系统能收集到的攻击数量和质量，因此必须解决好如何为蜜网系统提供一个高性能的诱骗体制的问题。

目前蜜网的部署主要有低交互的虚拟蜜罐系统、高交互的虚拟机蜜罐系统和高交互的物理蜜罐系统三大类，这几类蜜罐各有优点，但也有各自的局限性。

低交互的虚拟蜜罐系统能够模拟虚拟的网络拓扑、操作系统和网络服务，并根据模拟的网络系统特点对扫描攻击行为做出回应，从而达到欺骗的目的，有些虚拟蜜罐还可以模拟系统存在的漏洞，诱骗黑客或蠕虫在扫描后进一步传送攻击代码，从而达到抓取恶意代码样本的目的。

高交互虚拟机蜜罐系统是指在一台主机上配置若干台虚拟主机，并在虚拟主机中安装真实的操作系统和网络服务的蜜罐系统。

高交互物理蜜罐系统是指使用真实的物理主机，安装真实的操作系统并开放真实的服务的蜜罐系统。

但是，发明人在实现本发明的过程中，发现现有技术中只是模拟一种环境，且上述蜜网系统中用户行为长期不变会引起攻击者的怀疑，同时，攻击者可能发现系统中用户数量固定不变而怀疑自己处于一个蜜网系统之中，因此，虽然上述三类蜜网系统都有各自的优点，但是都没有解决蜜网系统的高诱骗性问题。

发明内容

本发明实施例在于提供一种增强蜜网诱骗力度的方法和蜜网系统，用于提高蜜网系统的诱骗力度。

本发明实施例提出一种增强蜜网诱骗力度的方法，该方法包括：在蜜网系统中建立一诱骗子网，所述诱骗子网包括至少一个物理服务器；模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。

本发明实施例还提出一种增强蜜网诱骗力度的蜜网系统，该系统包括：诱骗子网和用户行为模拟模块，所述诱骗子网包括至少一个物理服务器；所述用户行为模拟模块用于模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。

本发明实施例中，通过在蜜网系统中建立包括至少一个物理服务器的诱骗子网，并且模拟诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为，从而不仅模拟网络环境，而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真实性和交互性，提高了蜜网系统的诱骗力度。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种增强蜜网诱骗力度的方法流程图；

图2为本发明实施二提供的一种模拟网络用户主机访问诱骗子网内部物理服务器的流程图；

图3为本发明实施二提供的一种模拟本地用户主机访问外部网络的流程图；

图4为本发明实施二提供的另一种模拟本地用户主机访问外部网络的流程图；

图5为本发明实施例三提供的一种模拟网络用户主机访问过程中的修改和还原IP交互示意图；

图6为本发明实施例三提供的一种模拟本地用户主机访问过程中的修改和还原IP交互示意图；

图7为本发明实施例四提供的一种增强蜜网诱骗力度的蜜网系统结构示意图；

图8为本发明实施例五提供的一种增强蜜网诱骗力度的蜜网系统结构示意图；

图9为本发明实施例六提供的一种蜜网系统的网络结构图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚明白，下面结合具体实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。

本发明实施例中，利用流量模拟的手段增强蜜网诱骗力度。即，通过模拟网络用户行为和本地用户行为，让蜜网系统中看起来真正存在众多用户，使得整个蜜网系统和真实系统无异，从而提高蜜网系统的诱骗力度。

实施例一

如图1所示为本发明实施例一提供的一种增强蜜网诱骗力度的方法流程图，该方法包括：

S101：在蜜网系统中建立一诱骗子网，诱骗子网是用以引诱攻击者对其进行攻击的主体部分，攻击者最感兴趣的是各种类型的服务器，因此，本实施例中，诱骗子网包括了至少一个物理服务器，当然服务器种类越多，其诱骗力度也相应地越高。服务器在本实施例中是采用真实的物理服务器，这样可以使诱骗子网看上去更具真实性，从而提高诱骗子网的诱骗力度，该物理服务器可以是FTP服务器、HTTP服务器、WEB服务器、邮件服务器等。在本实施例中，蜜罐主机和物理服务器之间可以通过集线器、路由器或者交换机相连。

作为本发明的一个实施例，在诱骗子网中还可以设置蜜罐主机，该蜜罐主机可以虚拟出众多主机，使诱骗子网看起来像拥有众多本地用户一样，其采用现有技术中的虚拟机蜜罐进行配置，但是，本实施例并不限定以虚拟机蜜罐来实现蜜罐主机，其也可以采用现有技术中的虚拟蜜罐或者物理蜜罐。

S102：模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。

为了使本实施例提供的诱骗子网具有真实性，本实施例通过对两类用户进行了行为模拟：诱骗子网外部的网络用户以及诱骗子网内部的本地用户，该两类用户行为可以分别通过模拟网络用户主机和模拟本地用户主机来实现。该行为模拟是基于传输控制协议/互联网络协议(Transmission ControlProtocol/Internet Protocol，TCP/IP)之上的，即模拟网络用户主机和模拟本地用户主机通过TCP/IP协议向服务器发送TCP数据包或者UDP数据包，并接受服务器返回的TCP数据包或者UDP数据包。

可见，本发明实施例通过在蜜网系统中建立包括至少一个物理服务器的诱骗子网，并且模拟诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为，从而不仅模拟网络环境，而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真实性和交互性，从而提高了蜜网系统的诱骗力度。

模拟本地用户主机和模拟网络用户主机都属于蜜网系统，以诱骗子网为界，模拟网络用户主机模拟诱骗子网外部的网络用户访问，而模拟本地用户主机模拟诱骗子网内部用户访问。

实施例二

在本实施例中，我们对实施例一中S102中用户行为模拟作进一步详细的介绍。首先我们对模拟诱骗子网外部的网络用户访问诱骗子网内物理服务器的行为作介绍：

如图2所示为本发明实施提供的一种模拟网络用户主机访问诱骗子网内部物理服务器的流程示意图。该访问过程包括如下步骤：

S201：诱骗子网外部的模拟网络用户主机建立一存储物理服务器上网页地址的地址文件。不论是FTP服务器、HTTP服务器、WEB服务器还是邮件服务器，要对其实现访问，都需要输入其网页地址，即统一资源定位符(Uniform Resource Locator，URL)地址，因此该地址文件的建立是为后续访问提供一访问基础。

S202：模拟网络用户主机从地址文件中随机读取一网页地址来访问物理服务器上的相关网页。具体来说，就是根据随机选取的网页地址向对应的物理服务器发送请求数据包，该请求数据包可以为一TCP/IP请求，其包含第一源IP地址(模拟网络用户主机的真实IP地址)和目的IP地址(物理服务器的IP地址)，例如该请求数据包的第一源IP地址为202.115.22.213，而目的IP地址为202.115.22.218。

作为本发明的一个实施例，当上述请求数据包经过防火墙时，防火墙接收该请求数据包，判断该请求数据包是否为模拟网络用户主机所发送。具体的判断过程可以通过该请求数据包内包含的网络用户的第一源IP地址来判断，或者也可以通过绑定在防火墙的端口来判断。如果该请求数据包是诱骗子网外部的模拟网络用户主机发送的，防火墙则将该请求数据包的第一源IP地址修改为第二源IP地址并转发，该修改过程是一随机过程，假设经过修改后，该请求数据包的第二源IP地址为22.124.153.202；如果该请求数据包不是模拟网络用户主机发送的，则不对其进行任何修改，并将该请求数据包发往与该请求数据包内网页地址相对应的物理服务器。

作为本发明的一个实施例，当防火墙修改上述第一源IP地址后，可以用一链表记录下修改后的第二源IP地址，即22.124.153.202。当物理服务器收到上述请求数据包，并返回应答数据包时，此时应答数据包内的源IP地址为202.115.22.218，而目标IP地址为22.124.153.202。防火墙根据目标IP地址：22.124.153.202在上述链表中进行查询，如果链表中有该IP地址，则将应答数据包的目标IP地址还原为第一源IP地址，即模拟网络用户主机的真实IP地址：202.115.22.213，如果链表中没有该IP地址则正常返回。

但是，需要指出的是，如果有某一非模拟网络用户主机向物理服务器发送的请求数据包的源IP地址为22.124.153.202，由于经过防火墙判断，其不是模拟网络用户，因此就不会对其源IP进行修改，这就导致防火墙在收到物理服务器返回的应答数据包时，会误以为该应答数据包是返回给模拟网络用户主机的，从而将其目的IP地址修改为202.115.22.213，如此就会使实施例的蜜网系统可能出现漏洞。

针对上述漏洞，优选的，本发明实施例在修改模拟网络用户主机访问物理服务器时发送的请求数据包的第一源IP地址时，还对该请求数据包打个标记，以标志该请求数据包是由模拟网络用户主机所发。防火墙在收到物理服务器返回的应答数据包时，不仅根据其目的IP地址在链表中进行查找，还会依据该标记来判断其是否是模拟网络用户主机所发。如此就克服了上述可能出现的漏洞。至于该标记，可以在请求数据包包头中的标志位上设置一特殊值来实现。应当理解的是，链表仅是记录修改后的第二源IP地址的一种载体，本发明不限于此，也可以采用其他形式的载体。

S203：接收从物理服务器上返回的相关网页数据文件，并返回执行步骤S202。模拟网络用户主机接收由物理服务器发出的经过防火墙转发后的应答数据包，该些应答数据包中包括了其请求的相关网页数据，接收完毕后，可以再次从地址文件中随机读取一网页地址来访问物理服务器上的相关网页。

接下来我们再对模拟诱骗子网内部的本地用户访问外部网络的行为作介绍：

如图3所示为本发明实施提供的一种模拟本地用户主机访问外部网络的流程示意图。该访问过程包括如下步骤：

S301：所述诱骗子网内部的模拟本地用户主机首先在本地初始化访问程序，包括设置初始的网页地址列表。设置初始的网页地址列表是指预先选择几个外部网络的网站地址将其存入列表中，比如说新浪、雅虎等。

作为本发明的一个实施例，在设置初始网页地址列表的同时，还可以设置并发获取网页的链接数、爬取深度以及不处理的文件扩展名等。其中，并发获取网页的链接数就是以多少个线程来分别读取网页地址列表中的网页地址，并分别进行访问；而爬取深度则是指浏览网页的层次深度；不处理的文件扩展名则是剔出网页数据文件中不需要处理的文件后缀名，如图片文件、音乐文件等。

S302：循环地从所述网页地址列表中随机读取一个未访问网页地址进行访问，即根据该网页地址发送请求数据包。该请求数据包经过防火墙后，到达外部网络，比如Internet，其经过防火墙时，防火墙对该请求数据包的处理和上述步骤S202中相类似，在此不再对其进行赘述。这里，为了让黑客看起来用户行为呈现多样化，需要在初始网页列表中设置尽可能多的网页地址。

如图4所示为本发明实施提供的另一种模拟本地用户主机访问外部网络的流程示意图。该访问过程包括如下步骤：

S401：所述诱骗子网内部的模拟本地用户主机首先在本地初始化访问程序，包括设置初始的网页地址列表。

S402：判断网页地址列表中是否还有未被访问的网页地址，如果没有，则等待超时，重新初始化访问程序；如果有，则进入步骤S403；

S403：从未访问的网页地址中随机读取一个，根据该网页地址发送请求数据包。

S404：接收外部网络(具体可以是外部网络中的服务器)根据上述请求数据包内网页地址返回的网页数据文件。

S405：解析该网页数据文件并提取所述网页数据文件中网页地址。

S406：判断提取得到的网页地址是否已保存在网页地址列表中，如果是，则将该网页地址丢弃，如果未被保存，则进入步骤S407。

S407：将未被保存的网页地址存入网页地址列表并返回执行步骤S402。

上述模拟本地用户主机访问外部网络的流程加入了自动根据原有网页地址获得其他网页地址的功能，避免了在初始网页列表中设置过多网页地址所带来的麻烦。

作为本发明的一个实施例，在模拟网络用户主机访问诱骗子网内的物理服务器或者模拟本地用户主机访问外部网络时，可以模拟多个网络用户和多个本地用户同时进行访问行为，为了实现多模拟用户同时访问，可以采用多线程技术来实现，即一个线程负责一个用户的访问，这样，可以降低配置模拟用户主机的数量，降低蜜网系统的成本。

作为本发明的一个实施例，在模拟网络用户主机访问物理服务器或者模拟本地用户主机访问外部网络时，还可以选用如下的访问策略以提高蜜网系统的诱骗力度：在第一预定期间内随机选取时间段增加访问的线程以增加访问流量，以此来模拟访问的高峰期；在第二预定期间内让访问线程断续的停止访问以减少访问流量，以此来模拟访问的低谷期。比如，上述第一预定期间可以为凌晨8点至晚上6点，而第一预定期间可以为晚上6点至凌晨8点。

可见，本发明实施例在模拟网络用户和本地用户行为的基础上，通过修改模拟网络用户以及模拟本地用户发出的数据包的源IP，使模拟网络用户和模拟本地用户每次发出的数据包经过防火墙后都具有不同的源IP，使蜜网系统看起来像拥有众多不同用户访问一般，从而使攻击者以为是有许多网络用户或本地用户在进行访问行为，让攻击者不会因觉察只有单个用户访问服务器而起疑，这样，蜜网系统就显得更为真实。另外其特有的访问策略使得访问行为的流量模拟更为真实，因此本发明实施例具有很高的诱骗性。

实施例三

本实施例三是对实施例二中模拟网络用户主机以及模拟本地用户主机访问过程中的修改和还原IP加以说明。如图5所示为本发明实施例三提供的一种模拟网络用户主机访问过程中的修改和还原IP交互示意图，该流程包括如下步骤：

S501：模拟网络用户主机向诱骗子网内的物理服务器发送请求数据包，以访问该物理服务器。

S502：当请求数据包经过防火墙时，防火墙判断该请求数据包是否是模拟网络用户主机所发的请求数据包：如果不是，则直接让该请求数据包进入诱骗子网；如果是，则进入步骤S503。模拟用户的判断在实施例二中以论述过，在此不再赘述了。

S503-504：修改该请求数据包的源IP地址并转发修改后的请求数据包，源IP地址的修改也已在实施例二中已论述过，即将该请求数据包的第一源IP地址修改为第二源IP地址。

S505-506：当诱骗子网内的物理服务器返回的应答数据包经过防火墙时，防火墙判断该返回的应答数据包是否返回给模拟网络用户主机：如果不是，则按照应答数据包内的目的IP地址进行发送；如果是，则进入步骤S507。该判断可以通过应答数据包内的标记来进行。

S507-508：将应答数据包的目的IP地址还原为第一源IP地址，并发送该应答数据包给模拟网络用户主机。

如图6所示为本发明实施例三提供的一种模拟本地用户主机访问过程中的修改和还原IP交互示意图。该流程包括如下步骤：

S601：模拟本地用户主机向外部网络中内的服务器发送请求数据包，以访问这些服务器。

S602：当请求数据包经过防火墙时，防火墙判断该请求数据包是否是模拟本地用户主机所发的请求数据包：如果不是，则直接让该请求数据包进入外部网络；如果是，则进入步骤S603。

S603-604：修改该请求数据包的源IP地址并转发修改后的请求数据包，即将该请求数据包的第三源IP地址修改为第四源IP地址。

S605-606：当外部网络内的服务器返回的应答数据包经过防火墙时，防火墙判断该返回的应答数据包是否返回给模拟本地用户主机：如果不是，则按照应答数据包内的目的IP地址进行发送；如果是，则进入步骤S607。

S607-608：将应答数据包的目的IP地址还原为第三源IP地址，并发送该应答数据包给模拟本地用户主机。

本实施例在具有前述实施例有益效果的基础上，通过修改模拟网络用户主机以及模拟本地用户主机发出的数据包的源IP，使模拟网络用户主机和模拟本地用户主机每次发出的数据包经过防火墙后都具有不同的源IP，从而使攻击者以为是有许多不同网络用户或本地用户在进行访问行为，这样，蜜网系统就显得更为真实。

实施例四

如图7所示为本发明实施例四提供的一种增强蜜网诱骗力度的蜜网系统逻辑结构示意图。该蜜网系统包括用户行为模拟模块710和诱骗子网720；

诱骗子网720包括至少一个物理服务器721，物理服务器721的作用是充当一服务模拟模块，为外界提供各种服务，比如FTP、WEB、邮件等服务。服务器在本实施例中是采用真实的物理服务器，这样可以使诱骗子网看上去更具真实性，从而提高诱骗子网的诱骗力度，该物理服务器721可以是FTP服务器、HTTP服务器、WEB服务器、邮件服务器等，服务器的种类越多，对于攻击者的诱惑力就越高，更容易诱使攻击者对本蜜网系统发起攻击。

作为本发明的一个实施例，诱骗子网720还可以包括蜜罐主机722，该蜜罐主机722可以虚拟出众多主机，使诱骗子网720看起来像拥有众多本地用户一样，其采用现有技术中的虚拟机蜜罐进行配置，但是，本实施例并不限定以虚拟机蜜罐来实现蜜罐主机722，其也可以采用现有技术中的虚拟蜜罐或者物理蜜罐。在本实施例中，蜜罐主机722和物理服务器721之间可以通过集线器、路由器或者交换机相连。

用户行为模拟模块710用于模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为，和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。

具体的，用户行为模拟模块710可以包括网络用户模拟子模块711和/或本地用户模拟子模块712，其中网络用户模拟子模块711用于模拟诱骗子网外部的网络用户访问诱骗子网内物理服务器的行为，而本地用户模拟子模块712用于模拟诱骗子网内部的本地用户访问外部网络的行为。具体来说，就是网络用户模拟子模块711向物理服务器721发送访问请求数据包，并接收物理服务器721返回的应答数据包；本地用户模拟子模块712向外部网络中的服务器730发送访问请求数据包，并接收这些服务器返回的应答数据包。

需要说明的是，网络用户模拟子模块711一般部署在诱骗子网720之外，一般以模拟网络用户主机的形式存在。

本地用户模拟子模块712一般部署在诱骗子网720内，一般以模拟本地用户主机的形式存在。

可见，本发明实施例通过模拟蜜网系统外部的网络用户以及内部的本地用户的行为，使蜜网系统中用户的行为看起来和真实系统一样，提高了蜜网系统的诱骗力度。

实施例五

如图8所示为本发明实施例五提供的一种增强蜜网诱骗力度的蜜网系统逻辑结构示意图。该蜜网系统包括用户行为模拟模块710和诱骗子网720，其作用和实施例四中相类似，在此不再赘述。

和实施例四所不同的是，本实施例的蜜网系统还包括防火墙设备740，其用于当收到模拟网络用户访问所述物理服务器的请求数据包时，将所述请求数据包的第一源IP地址修改为第二源IP地址并转发，以及当收到所述物理服务器向所述网络用户返回的对应的应答数据包时，将所述应答数据包的目的IP地址还原成所述第一源IP地址并转发；和/或，当收到模拟本地用户访问外部网络的请求数据包时，将所述请求数据包的第三源IP地址修改为第四源IP地址并转发，以及当收到所述外部网络向所述本地用户返回的对应的应答数据包时，将所述应答数据包的目的IP地址还原成第三源IP地址并转发。

在一种实现下，该防火墙设备740具体可以包括通信模块741、模拟用户判断模块742和IP修改和还原模块743，其中：

通信模块741用于接收或转发经过防火墙设备740的请求数据包或应答数据包；

模拟用户判断模块742用于判断经过本防火墙设备的请求数据包是否属于模拟所述网络用户或所述本地用户行为产生的请求数据包，和/或判断经过本防火墙设备的应答数据包是否属于模拟所述网络用户或所述本地用户行为产生的请求数据包所对应的应答数据包；

IP修改和还原模块743用于当所述请求数据包属于模拟所述网络用户行为产生的请求数据包时，将所述模拟网络用户发往所述物理服务器的请求数据包的第一源IP地址修改为第二源IP地址并由所述通信模块转发，以及当所述应答数据包属于模拟所述本地用户行为产生的请求数据包所对应的应答数据包时，将所述物理服务器向所述网络用户返回的对应的应答数据包的目的IP地址还原成第一源IP地址并由所述通信模块转发；和/或，用于当所述请求数据包属于模拟所述本地用户行为产生的请求数据包时，将所述模拟本地用户发往外部网络的请求数据包的第三源IP地址修改为第四源IP地址并由所述通信模块转发，以及当所述应答数据包属于模拟所述网络用户行为产生的请求数据包所对应的应答数据包时，将所述外部网络向所述本地用户返回的对应的应答数据包的目的IP地址还原成第三源IP地址并由所述通信模块转发。

当模拟用户判断模块742判断经过防火墙设备740的请求数据包是属于网络用户模拟子模块711发送的请求数据包时，IP修改和还原子模块743用于将该请求数据包的第一源IP地址修改为第二源IP地址，可选的，还可以对该请求数据包打上标记，交由通信模块741转发给诱骗子网内的物理服务器721；当模拟用户判断子模块742判断经过防火墙设备740的应答数据包是返回给网络用户模拟子模块711(具体可以是通过应答数据包内的标记来判断)时，将该应答数据包内的目的IP地址还原为第一源IP地址并由通信模块743转发给网络用户模拟子模块711；

当模拟用户判断模块742判断经过防火墙设备740的请求数据包是属于本地用户模拟子模块712发送的请求数据包时，IP修改和还原子模块743用于将该请求数据包的第三源IP地址修改为第四源IP地址，可选的，还可以对该请求数据包打上标记，交由通信模块743转发给外部网络中的服务器730；当模拟用户判断子模块742判断经过防火墙设备740的应答数据包是返回给本地用户模拟子模块712(具体可以是，通过应答数据包内的标记来判断)时，将该应答数据包内的目的IP地址还原为第三源IP地址并由通信模块743转发给本地用户模拟子模块712；可见，本发明实施例在模拟网络用户和本地用户行为的基础上，还通过修改模拟网络用户以及模拟本地用户发出的数据包的源IP地址，使模拟网络用户和模拟本地用户每次发出的数据包经过防火墙后都具有不同的源IP，从而使攻击者以为是有许多不同的网络用户及本地用户在进行访问行为，因此本发明实施例具有很高的诱骗性。

实施例六

本实施例是通过一具体的蜜网系统的网络架构来对实施例五进行进一步说明。如图9所示为本发明实施例六提供的一种蜜网系统的网络结构示意图。该蜜网系统包括模拟网络用户主机910、诱骗子网930和防火墙940，其中诱骗子网930内包括虚拟机蜜罐931、邮件服务器932、FTP服务器933、WEB服务器934和模拟本地用户主机935。模拟网络用户主机910和模拟本地用户主机935分别通过交换机950及960和防火墙940相互通信，而诱骗子网930内的虚拟机蜜罐931、邮件服务器932、FTP服务器933和WEB服务器934则分别通过集线器970连接至交换机960。

模拟网络用户主机910用于模拟诱骗子网外部的网络用户访问诱骗子网内邮件服务器932、FTP服务器933和WEB服务器934的行为，其内部有一保存了上述三个服务器内网页地址的地址文件。在本实施例中，模拟网络用户主机910采用多线程技术对上述三个服务器进行访问，比如采用3个线程分别对上述三个服务器进行循环访问。其一次访问过程如下：

模拟网络用户主机910从地址文件中随机选取一地址，比如WEB服务器934内某一网页的地址，其将该地址作为目的IP地址发送请求数据包，该请求数据包经交换机950后到达防火墙940。防火墙940判断出该请求数据包来自模拟网络用户主机910，随机修改该请求数据包的源IP地址，并对数据包打上标记，通过交换机960和集线器970转发给WEB服务器934。

WEB服务器934根据该请求数据包返回应答数据包，该应答数据包中包括了模拟网络用户主机910所请求的网页数据文件。应答数据包经过集线器970和交换机960后到达防火墙940，防火墙940判断该应答数据包是发往模拟网络用户主机910的，就将其目的IP地址还原为模拟网络用户主机910的真实IP地址，并转发该应答数据包。

模拟网络用户主机910收到上述返回的应答数据包后，再次从地址文件中随机选取一地址以进行访问。

模拟本地用户主机935用于模拟诱骗子网内部的本地用户访问外部网络的行为，在本实施例中，该外部网络为Internet。其中一次访问过程如下：

模拟本地用户主机935初始化访问程序，得到一初始的网页地址列表，该网页地址列表可以是外部网络中的一个或多个网站地址，一般选择包含较多连接信息的大型网站。从网页地址列表中随机选取一网页地址，发送请求数据包。该请求数据包经过交换机960后到达防火墙940，防火墙940判断出该请求数据包来自模拟本地用户主机935，随机修改该请求数据包的源IP地址，并对数据包打上标记，进入Internet中该网页所在的服务器。

上述服务器返回的应答数据包到达防火墙940，防火墙940判断该应答数据包是发往模拟本地用户主机935的，就将其目的IP地址还原为模拟本地用户主机935的真实IP地址，并转发该应答数据包。

模拟本地用户主机935收到返回的应答数据包后对其中的网页数据文件进行分析，找出其中包含的所有网页地址信息，并将未访问过的地址保存进网页地址列表，从网页地址列表中选取未访问过的地址进行再次访问。

该模拟本地用户主机935的访问过程也可以采用多线程进行，比如同时采用10个线程读取10网页地址同时进行访问。

作为本发明的另一个实施例，上述模拟本地用户主机935的功能也可以由虚拟机蜜罐931来完成。

作为本发明的一个实施例，模拟网络用户主机910和模拟本地用户主机935在访问时可以采用如下访问策略：在第一预定期间内随机选取时间段增加访问的线程以增加访问流量，以此来模拟访问的高峰期；在第一预定期间内让访问线程断续的停止访问以减少访问流量，以此来模拟访问的低谷期。

可见，本发明实施例通过模拟诱骗子网外部的网络用户以及内部的本地用户的行为，以及采用相应的访问策略来模拟用户的行为流量，使得蜜网系统用户的行为看起来和真实系统一样；另外通过修改模拟网络用户发往物理服务器的数据包源IP地址，来使蜜网系统看起来像真正拥有众多用户一样，因此本发明实施例的蜜网系统具有高诱骗性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。