[发明专利]信息化生产环境下基于蜜网的风险预警系统及方法

权利要求书

1.一种信息化生产环境下基于蜜网的风险预警系统，其特征是，包括若干个客户端、蜜网，蜜网与客户端之间通过互联网连接，所述蜜网包括蜜罐、服务器、滤器、交换机、数据库、至少一个网络分析仪、交换机、业务信息发送器、自动决策装置，所述自动决策装置包括入侵检测系统控制台、分析控制台，所述蜜网是通过互联网连接的，所述服务器通过交换机与数据库连接，数据库通过网络分析仪与交换机连接，所述交换机连接自动决策装置，所述交换机还通过互联网与业务信息发送器连接，所述滤器分别与网络分析仪和数据库连接，所述客户端包括反攻击盒，交换机和远端客户，所述反攻击盒通过交换机与远端客户连接；当某一蜜网中的一个蜜罐被攻击时，蜜罐提前预警，告知即将被攻击的客户端，这样客户端能够采取适当的措施；被攻击的蜜罐同时通知其他蜜网；其他蜜网也预警其对应的客户端提前采取适当的措施防止攻击，蜜网中的分析控制台通过智能分析，将客户端采取措施后生成的报表传输给管理员。

2.如权利要求1所述的一种信息化生产环境下基于蜜网的风险预警系统，其特征是，所述网络分析仪用来接收数据，并根据数据进行分分类显示，并尽可能的达到预定的属性层次结构，排列按照预定属性的涉密数据，传达一个或多个预定到客户端的属性相关主题，收到从另一个客户端传达的请求。

3.如权利要求2所述的一种信息化生产环境下基于蜜网的风险预警系统，其特征是，所述预定的属性包括来源、地理位置、主题、严重性、频率、时间、网络协议。

4.如权利要求1所述的一种信息化生产环境下基于蜜网的风险预警系统所采用的工作方法，其特征是，具体步骤如下：

步骤一：蜜网的网络分析仪监听端口的网络流量；

步骤二：蜜网的滤器进行过滤，将监听结果存储到数据库；

步骤三：蜜网进入三种并行分析阶段：签名分析，统计异常分析和基于数据流的分析；

步骤四：蜜网将三种分析的结果直接送入分析控制台和入侵检测系统控制台,其中送入分析控制台的数据经分析控制台处理后进入自动决策，然后进入入侵检测系统控制台；或者，将三种分析结果先存入数据库，然后由数据库中的数据再分别送入分析控制台和入侵检测系统控制台，其中送入分析控制台的数据经分析控制台处理后进入自动决策，然后进入入侵检测系统控制台。

5.如权利要求4所述的一种信息化生产环境下基于蜜网的风险预警方法，其特征是，所述步骤四中的分析控制台的具体工作步骤如下：

步骤一：开始；

步骤二：网络分析仪接收数据，接收至少来自一个网络分析仪的数据；同时所述网络分析仪至少是一个蜜网的一部分；

步骤三：生成分类数据，通过把数据按照一定的层次结构属性进行筛选分类；

步骤四：对分类的数据进行排序，至少使用一个预先确定的属性；

步骤五：与一个客户端进行会话，至少有一个相关的属性；

步骤六：接收来自客户端的请求，执行一个话题；

步骤七：根据客户的有关信息的请求，发送相关材料，并及时通知。

6.如权利要求4所述的一种信息化生产环境下基于蜜网的风险预警方法，其特征是，所述签名分析是在入侵检测系统的实现，是基于字符串匹配，字符串匹配，也就是一串代码，通常表示通过比较传入的数据包来检测特定的恶意流量特征；签名包括一个短语或经常攻击的命令，如果找到一个匹配，就会产生警报；如果没有，分组对比名单上的签名；直到所有的签名已经过检查；一旦完成，下一个数据包会被读入内存，其中签名检查的过程中会又重新开始。

7.如权利要求4所述的一种信息化生产环境下基于蜜网的风险预警方法，其特征是，所述统计异常分析是通过比较观察到的行为与预期的行为来试图寻找入侵；统计异常分析是基于特征分析的，它用于检测新的未知的攻击，而不必依赖于匹配观测数据与数据库中已知的攻击。

8.如权利要求4所述的一种信息化生产环境下基于蜜网的风险预警方法，其特征是，所述基于数据流的分析是比较当前蜜罐的流量以及网络总的流量；观察网络流量，集中在一些恶意流量，互联网的最终用户是看到恶意流量的数量、识别恶意流量来源的特点、网络流量的类型、传输层协议、并根据五元组，其中包括源目的IP地址，源和目标端口和TLP；对于每个流，统计数据收集不同的时间，发送或接收数据包的数量，源和目标参数，故障标志，窗口大小，每个流，甚至仅有一个本地IP和端口号和远程IP及端口号；本地计算机通常是指客户端运行并收集信息的主机，远程机通常是指在当前网络的其他主机；从本地IP和远端IP收集后一定量的数据，每个数据集进行比较，并使用一个特定的格式，分析最后确定数据。