基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法

摘要

本发明涉及蜜罐技术领域，提供了一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法，蜜网系统：收到报警蜜罐的信息，分析攻击者特征，根据设置好的判断条件来判断是否需要启动切换主机蜜罐，如果需要切换，选择功能相应的同时处于备用状态的主机蜜罐，触发将报警蜜罐自动切换为相应的主机蜜罐；监听一段时间后，如果攻击者没有后续动作，蜜网系统控制将主机蜜罐自动切换回到相应的报警蜜罐，主机蜜罐回到备用状态。输出相应的告警和日志。

说明书

技术领域

本发明涉及蜜罐技术领域，具体涉及一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法。

背景技术

在蜜网系统中，主要包括高交互蜜罐(主机蜜罐)，中交付蜜罐和低交付蜜罐(报警蜜罐)；高交付蜜罐的功能强大，可以捕获攻击是行为：攻击分析、攻击溯源、攻击回放、攻击反制等，但是交付蜜罐的成本较高。低交付蜜罐(报警蜜罐)，使用进程的方式模仿，使用的资源较少，主要功能是当攻击进行攻击的时候进行报警，没有攻击分析、攻击溯源、攻击回放、攻击反制的功能。

在现网的环境中，一般的蜜网系统配置3个高交付的主机蜜罐，和17个低交付的告警蜜罐，节点配置20个到37个不等；高配置蜜网系统配置的10个高交付的主机蜜罐，和40个低交付的告警蜜罐，节点配置50个到90个不等；目前针对高交互蜜罐，为了体现真实性，蜜网支持一个诱捕节点绑定一个高交互主机蜜罐；针对低交互蜜罐，目前蜜网支持两个诱捕节点绑定一个低交互报警蜜罐。

在现网实际应用场景中，攻击者踩中报警蜜罐的概率大，而踩中主机蜜罐的概率小，所以主机蜜罐的利用效率较低；攻击者的特征是一个VPN的攻击，但是配置的主机蜜罐功能不是VPN功能的蜜罐，这样蜜罐的功能也会大打折扣。

因此，现有技术蜜网系统存在以下缺点：

1.节点和告警蜜罐提前绑定，节点和主机蜜罐提前绑定，无法在告警蜜罐发现攻击者后，按照攻击者特征，进行节点自动切换为相应功能的主机蜜罐。

2.攻击者踩中主机蜜罐的几率较低，踩中到相应功能的几率就更低。

发明内容

为了解决以上技术问题，本发明提供了一种基于报警蜜罐信息分析，自动切换至主机蜜罐的应用方法，通过告警蜜罐初步分析攻击者的攻击行为和特征来自动切换至主机蜜罐，除告警外，更加具备攻击分析、攻击溯源、攻击回放、攻击反制等功能。

具体地，本发明提供了一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法，包括：蜜网系统配置若干个不同功能的主机蜜罐，配置若干个报警蜜罐和配置若干个诱捕节点；

诱捕节点绑定蜜罐：每一个诱捕节点绑定其中一个报警蜜罐，状态为主用Primary，再绑定所有不同功能的主机蜜罐，状态全部为备用Standby；

蜜网系统配置并切换出触发规则，攻击者攻击，报警蜜罐进行报警；

根据报警蜜罐的报警信息查寻报警库判断是否满足触发切换主机蜜罐条件，若满足，则根据报警信息切换至相应的主机蜜罐功能进行选择主机蜜罐类型；

蜜网系统控制切换：蜜网系统控制诱捕节点，将报警蜜罐状态从主用Primary设置为备用Standby；将选择好的相应的主机蜜罐的状态从备用Standby设置为主用Primary；建立诱捕节点和主机蜜罐的映射关系，在蜜网系统将相应的主机蜜罐设置忙busy；

蜜网系统控制切换倒回：在预设时间段内，攻击者无任何操作，视为达到倒回条件；控制诱捕节点，主机蜜罐的状态从主用Primary设置为备用Standby；将报警蜜罐状态从备用Standby设置为主用Primary；建立诱捕节点和报警蜜罐的映射关系，在蜜网系统将该主机蜜罐设置空闲free。

优选地，报警信息包括报警蜜罐有FTP访问，报警蜜罐有telnet访问，报警蜜罐有mysql访问，报警蜜罐有https、http访问，尝试登录SSH服务。

优选地，所述报警库包括一般报警信息和紧急报警信息，若为一般报警信息，则不满足触发切换主机蜜罐条件，若为紧急报警信息，则满足触发切换主机蜜罐条件。

优选地，若任何一条紧急报警信息，且源地址为3天内未触发过切换的报警的IP，就满足触发切换主机蜜罐条件。

优选地，在两个小时内，攻击者无任何操作，视为达到倒回条件。

优选地，所述报警信息包括报警区域和报警名称，蜜网系统选择主机蜜罐类型是根据报警区域和报警名称决定的。

优选地，主机蜜罐分为VPN功能主机蜜罐，WEB功能主机蜜罐和HTTPS功能主机蜜罐，若报警区域为客户的维护区域，报警名称为“RDP”、“菜刀攻击”或“访问HTTP页面高危行为”，则触发VPN功能主机蜜罐；若报警区域为客户的网站保护区域，报警名称为“webshell攻击”、“WEBSPHERE攻击事件”或“尝试登陆POSTGRESQL”，则触发WEB功能主机蜜罐；若报警区域为客户的服务器数据库区域，报警名称为“SQLServer操作”、“DB2操作”或“MYSQL操作”，则触发HTTPS功能主机蜜罐。

优选地，建立诱捕节点和主机蜜罐的映射关系具体包括以下步骤：

S1：安装虚拟机；

S2：安装完成操作系统的诱捕节点，使所有端口为开放状态；

S3：在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64；

S4：安装完成诱捕节点专用软件trapnode-x86_64后，除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外，关闭其余所有的端口；

S5：创建蜜罐：通过虚拟化软件，创建高交互主机蜜罐，IP地址为：192.168.77.0/24；每个主机蜜罐均有一个IP；

S6：诱捕节点绑定主机蜜罐：通过专用加密方式将诱捕节点的IP映射到一个主机蜜罐的IP上。

优选地，假设诱捕节点的IP为172.19.1.1；需要绑定一个主机蜜罐，IP为192.168.77.25；诱捕节点绑定主机蜜罐的操作，就是将访问诱捕节点的IP为172.19.1.1的流量，通过专用加密方式，映射到IP为192.168.77.25的流量上。

优选地，建立诱捕节点和报警蜜罐的映射关系具体包括以下步骤：

S01：安装虚拟机；

S02：安装完成操作系统的诱捕节点，使所有端口为开放状态；

S03：在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64；

S04：安装完成诱捕节点专用软件trapnode-x86_64后，除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外，关闭其余所有的端口；

S05：创建蜜罐：通过虚拟化软件，创建低交互报警蜜罐，IP地址为：192.168.77.0/24；每个报警蜜罐均有一个IP；

S06：诱捕节点绑定报警蜜罐：通过专用加密方式将诱捕节点的IP映射到一个报警蜜罐的IP上。

与现有技术相比，本发明所产生的有益效果是：

(1)利用攻击者的大概率踩中报警蜜罐，再通过攻击行为分析，自动将告警蜜罐切换为主机蜜罐，提供攻击分析、攻击溯源、攻击回放、攻击反制等功能；提高主机蜜罐利用效率；

(2)通过告警蜜罐的分析，选择主机蜜罐的功能类型(比如VPN功能，WEB功能，HTTPS功能等)，可以更加准确的收集到攻击信息；

(3)依据告警蜜罐的信息进行判断是否将告警蜜罐自动切换至主机蜜罐，提供攻击分析、攻击溯源、攻击回放、攻击反制等功能从而提高主机蜜罐利用效率。

附图说明

图1为本发明提供的基于报警蜜罐信息分析自动切换至主机蜜罐的方法实现原理图。

具体实施方式

下面结合附图对本发明做进一步的详细说明。

如图1所示，本发明提供的本方法主要分为以下步骤实现：

1.蜜网系统配置若干个不同功能的主机蜜罐；

2.蜜网系统配置若干个告警蜜罐；

3.蜜网系统配置若干个诱捕节点；

4.诱捕节点绑定蜜罐：诱捕节点绑定一个报警蜜罐，状态为主用Primary，再绑定其他几个不同功能的主机蜜罐，状态全部为备用Standby。主机蜜罐可以被所有的节点同时绑定，状态都为备用Standby。

5.蜜网系统配置切换出触发规则：攻击者攻击，导致报警蜜罐报警如下：

报警蜜罐有FTP访问

报警蜜罐有telnet访问

报警蜜罐有mysql访问

报警蜜罐有https、http访问

尝试登录SSH服务；

触发条件：如有上面任何一条报警，而且源地址为3天内未触发过切换的告警的IP，就满足触发切换主机蜜罐条件。

6.蜜网系统分析选择主机蜜罐类型：

7.蜜网系统控制切换：控制诱捕节点，将告警蜜罐状态从主用Primary设置为备用Standby；将选择好的主机蜜罐的状态从备用Standby设置为主用Primary；建立节点和主机蜜罐的映射关系。在蜜网系统将该主机蜜罐设置忙busy。

8.蜜网系统控制切换倒回：在两个小时内，攻击者无任何操作，视为达到倒回条件。控制诱捕节点，主机蜜罐的状态从主用Primary设置为备用Standby；将告警蜜罐状态从备用Standby设置为主用Primary；建立节点和告警蜜罐的映射关系。在蜜网系统将该主机蜜罐设置空闲free。

9.蜜网系统输出系统日志和告警等信息：

如图1所示，本发明提供的应用方法原理图主要分为以下模块：

攻击者：在攻击的过程中，有很大概率踩中报警蜜罐，踩中主机蜜罐的概率交小；

报警蜜罐：告警蜜罐处于工作状态，将攻击者信息发送蜜网系统进行分析；

蜜网系统：收到告警蜜罐的信息，分析攻击者特征，根据设置好的判断条件来判断是否需要启动切换主机蜜罐，如果需要切换，选择功能相应的同时处于备用状态的主机蜜罐，触发将告警蜜罐自动切换为相应的主机蜜罐；监听一段时间(如2小时)后，如果攻击者没有后续动作，蜜网系统控制将主机蜜罐自动切换回到相应的告警蜜罐，主机蜜罐回到备用状态。输出相应的告警和日志。

其中，主机蜜罐大约有100多种，客户可以根据自己的业务需要选择主机蜜罐的种类和数量，下面有典型的10种蜜罐；如表1：

表1

假设客户有三个服务器区，一个选择了10种典型主机蜜罐(如表1)，那么报警对于主机蜜罐的关系，如表2所示

实施例1：

一种基于报警蜜罐信息分析自动切换至主机蜜罐的应用方法，包括：蜜网系统配置若干个不同功能的主机蜜罐，配置若干个报警蜜罐和配置若干个诱捕节点；

诱捕节点绑定蜜罐：每一个诱捕节点绑定其中一个报警蜜罐，状态为主用Primary，再绑定所有不同功能的主机蜜罐，状态全部为备用Standby；

蜜网系统配置并切换出触发规则，攻击者攻击，报警蜜罐进行报警；

根据报警蜜罐的报警信息查寻报警库判断是否满足触发切换主机蜜罐条件，若满足，则根据报警信息切换至相应的主机蜜罐功能进行选择主机蜜罐类型；

蜜网系统控制切换：蜜网系统控制诱捕节点，将报警蜜罐状态从主用Primary设置为备用Standby；将选择好的相应的主机蜜罐的状态从备用Standby设置为主用Primary；建立诱捕节点和主机蜜罐的映射关系，在蜜网系统将相应的主机蜜罐设置忙busy；

蜜网系统控制切换倒回：在两个小时内，攻击者无任何操作，视为达到倒回条件。控制诱捕节点，主机蜜罐的状态从主用Primary设置为备用Standby；将报警蜜罐状态从备用Standby设置为主用Primary；建立诱捕节点和报警蜜罐的映射关系，在蜜网系统将该主机蜜罐设置空闲free。

其中，本发明提供的报警库包括一般报警信息和紧急报警信息，若为一般报警信息，则不满足触发切换主机蜜罐条件，若为紧急报警信息，则满足触发切换主机蜜罐条件，若任何一条紧急报警信息，且源地址为3天内未触发过切换的报警的IP，就满足触发切换主机蜜罐条件。

其中，本发明提供的报警信息包括报警区域和报警名称，蜜网系统选择主机蜜罐类型是根据报警区域和报警名称决定的。

如，本发明提供的主机蜜罐分为VPN功能主机蜜罐，WEB功能主机蜜罐和HTTPS功能主机蜜罐，若报警区域为客户的维护区域，报警名称为“RDP”、“菜刀攻击”或“访问HTTP页面高危行为”，则触发VPN功能主机蜜罐；若报警区域为客户的网站保护区域，报警名称为“webshell攻击”、“WEBSPHERE攻击事件”或“尝试登陆POSTGRESQL”，则触发WEB功能主机蜜罐；若报警区域为客户的服务器数据库区域，报警名称为“SQLServer操作”、“DB2操作”或“MYSQL操作”，则触发HTTPS功能主机蜜罐。

其中，本实施例中建立诱捕节点和主机蜜罐的映射关系具体包括以下步骤：

S1：安装虚拟机；

S2：安装完成操作系统的诱捕节点，使所有端口为开放状态；

S3：在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64；

S4：安装完成诱捕节点专用软件trapnode-x86_64后，除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外，关闭其余所有的端口；

S5：创建蜜罐：通过虚拟化软件，创建高交互主机蜜罐，IP地址为：192.168.77.0/24；每个主机蜜罐均有一个IP；

S6：诱捕节点绑定主机蜜罐：通过专用加密方式将诱捕节点的IP映射到一个主机蜜罐的IP上。

本实施例中诱捕节点的IP为172.19.1.1；需要绑定一个主机蜜罐的IP为192.168.77.25；诱捕节点绑定主机蜜罐的操作，就是将访问诱捕节点的IP为172.19.1.1的流量，通过专用加密方式，映射到IP为192.168.77.25的流量上。

本实施例中建立诱捕节点和报警蜜罐的映射关系具体包括以下步骤：

S01：安装虚拟机；

S02：安装完成操作系统的诱捕节点，使所有端口为开放状态；

S03：在诱捕节点的虚拟机上安装诱捕节点专用软件trapnode-x86_64；

S04：安装完成诱捕节点专用软件trapnode-x86_64后，除和密网中心的端443端口和UDP端口1701允许访问和SSH维护的22端口开放外，关闭其余所有的端口；

S05：创建蜜罐：通过虚拟化软件，创建低交互报警蜜罐，IP地址为：192.168.77.0/24；每个报警蜜罐均有一个IP；

S06：诱捕节点绑定报警蜜罐：通过专用加密方式将诱捕节点的IP映射到一个报警蜜罐的IP上。

所属领域的普通技术人员应当理解：以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。