[发明专利]基于高交互蜜罐的网络安全系统及实现方法

权利要求书

1.一种基于高交互蜜罐的网络安全系统，其特征在于，包括：上级节点、以及分布式部署于所述上级节点下的蜜网站点，其中，所述蜜网站点包括：蜜网网关节点、蜜罐节点、以及站点管理节点，所述蜜网网关节点和所述蜜罐节点上布置有蜜罐监测模块，所述站点管理节点上布置有站点关联分析模块，上级节点上布置有汇总分析展示模块；

所述蜜罐监测模块，用于对攻击事件网络行为日志和主机行为日志进行分类采集；

所述站点关联分析模块，用于对所述攻击事件网络行为日志和所述主机行为日志进行汇总和自动关联分析，根据自动关联分析结果过滤无效网络告警、捕获已知攻击事件、自动发现未知攻击事件、以及提取隐蔽的互联网恶意资源信息；

所述汇总分析展示模块，用于汇总并统计所有蜜网站点上捕获的已知攻击事件和/或未知攻击事件，为用户展示还原选定攻击事件的场景，并根据所述隐蔽的互联网恶意资源信息对隐蔽的互联网恶意资源进行自动探测。

2.如权利要求1所述的系统，其特征在于，所述蜜网站点设置至少两块网卡，分别为攻击者可见的网络攻击链路和攻击者不可见的数据采集链路提供服务，其中，所述网络攻击链路用于实现各类网络安全事件的交互，所述数据采集链路用于实现蜜罐配置数据的下发以及所述攻击事件网络行为日志和所述主机行为日志的分类采集和传输。

3.如权利要求2所述的系统，其特征在于，所述蜜罐监测模块具体包括：

部署于所述蜜罐节点上的主机监测子模块，用于通过挂钩技术对操作系统进行监控，获取所述站点管理节点下发的系统白名单，根据所述系统白名单实时采集所述操作系统的变化信息，生成标准化格式的主机行为日志，并汇总恶意代码样本文件；

部署于所述蜜网网关节点上的网络监测子模块，用于获取所述站点管理节点下发的网络检测规则，通过入侵检测技术，根据获取的网络检测规则对流入流出的网络攻击数据进行特征匹配，获取告警事件，根据所述告警事件生成所述攻击事件网络行为日志，并提取原始网络数据包。

4.如权利要求3所述的系统，其特征在于，所述蜜网网关节点上设置三块网卡，并分别对应于三个网络接口：攻击者可见的外网口和内网口、以及攻击者不可见的管理口，其中，所述外网口与所述内网口构成透明网桥，用于实现所述网络攻击数据的流入流出，所述管理口用于实现蜜网网关节点配置数据的下发以及所述攻击事件网络行为日志和所述原始网络数据包的传输。

5.如权利要求4所述的系统，其特征在于，所述站点关联分析模块具体包括：

下发子模块，用于向所述网络监测子模块下发所述网络检测规则，向所述主机监测子模块下发所述系统白名单；

汇总子模块，用于通过所述数据采集链路接收所述主机监测子模块发送的主机行为日志，对所述主机行为日志进行解析，生成主机监测日志，并定期删除过期的主机监测日志；通过所述数据采集链路接收所述网络监测子模块发送的攻击事件网络行为日志和所述原始网络数据包，按照标准格式从所述原始网络数据包中提取网络流信息并保存，基于预先配置的HTTP请求报文及DNS解析请求报文的网络规则，从所述原始网络数据包中获取相关网络原始报文，并提取所述相关网络原始报文中的URL信息核IP地址信息，汇总生成包含IP地址信息和URL信息的列表；

关联分析子模块，用于根据所述主机监测日志和所述攻击事件网络行为日志依次判断攻击事件是否存在、所述攻击事件是否成功、以及所述攻击事件属于已知攻击事件还是未知攻击事件，对攻击事件进行提取，并对提取的所述攻击事件的相关日志进行提取，生成关联事件表。

6.如权利要求5所述的系统，其特征在于，所述汇总分析展示模块具体用于：为用户展示选定蜜网站点上某个攻击事件的发生过程，按照攻击事件发生的时间序列展示蜜罐节点的主机变化情况；跟踪互联网上已知攻击事件的活跃程度、以及地域分布，对未知攻击事件进行宏观统计和预警；根据所述关联事件表及规则库信息，更新已有的网络检测规则；提取未知攻击事件的特征，完善网络检测规则。