[发明专利]一种蜜罐部署系统

说明书

技术领域

本发明涉及计算机网络安全，尤其涉及一种蜜罐部署系统。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析。为增大攻击者对蜜罐攻击的概率，其中最有效的方式是，在可能被攻击的环境中，布置海量的蜜罐，增强蜜罐在攻击者前的曝光率。比如：如果蜜罐部署的密度能够和真实的企业资产达到1:1甚至更高的比例，那么攻击者就有很高的概率会踩到蜜罐，从而被感知到。然而，大量部署蜜罐的部署成本高且占用大量的服务器资源，另一方面，如此多蜜罐(应用程序)的运行和维护成本极高。

发明内容

为了克服现有技术的不足，本发明提供了一种蜜罐部署系统，通过部署蜜罐代理客户端到业务主机上，大大减少了部署成本，其具体采用的技术方案如下：

一种蜜罐部署系统，包括蜜罐代理客户端、蜜罐代理服务端、内核网络模块和真实蜜罐；

所述蜜罐代理客户端用于和客户端建立连接，并将包括客户IP地址和端口号的信息封装成客户协议包后发送给所述蜜罐代理服务端；

所述蜜罐代理服务端接收所述客户协议包后，申请代理端口号、并注册一条改写记录传递给所述内核网络模块，所述内核网络模块根据所述改写记录将代理IP地址和端口号改写成所述客户IP地址和端口号，并利用所述代理IP地址和端口号与所述真实蜜罐建立连接，传递所述客户协议包。

优选的，当所述真实蜜罐向所述客户端发送反馈报文时，所述内核网络模块将所述客户IP地址和端口号改为代理IP地址和端口号后，所述蜜罐代理服务端接收所述反馈报文、并封装成反馈协议包后发送至所述蜜罐代理客户端，最后所述蜜罐代理客户端将所述反馈协议包发送至所述客户端。

优选的，当所述蜜罐代理客户端与所述客户端断开连接后，封装一个断开协议包，并发送至所述蜜罐代理服务端；所述蜜罐代理服务端接收到所述断开协议包后，所述蜜罐代理服务端通过代理IP地址和端口号与所述真实蜜罐断开连接且所述内核网络模块将所述代理IP地址和端口号改为所述客户IP地址和端口号。

优选的，当所述蜜罐代理服务端接收到所述蜜罐代理客户端的断开请求后，注册一条包含所述代理IP地址和端口号、所述客户IP地址和端口号和蜜罐IP地址和端口号信息的反改写记录，并发至所述内核网络模块，所述内核网络模块接收到所述反改写记录后，不再对所述客户IP地址和端口号与所述代理IP地址和端口号进行改写。

优选的，还包括蜜罐管理端，所述蜜罐管理端与所述真实蜜罐进行通信，用于对所述真实蜜罐进行管理。

优选的，还包括系统管理端，所述系统管理端与所述蜜罐代理客户端和所述蜜罐管理端进行通信，用于为所述蜜罐代理客户端提供代理策略，和对所述蜜罐管理端进行管理。

优选的，所述蜜罐代理客户端位于业务计算机上，所述蜜罐代理服务端、所述内核网络模块、所述真实蜜罐和所述蜜罐管理端位于与所述业务计算机网络互通的另一计算机上。

优选的，所述真实蜜罐为存在于虚拟系统上的多种虚拟蜜罐。

优选的，所述蜜罐代理客户端绑定了3306端口、22端口和80端口中的一种或多种端口，所述端口号和所述虚拟蜜罐种类对应。

与现有技术相比，本技术方案的有益效果是：本发明通过在业务主机上部署蜜罐代理客户端，让客户端以为访问蜜罐代理客户端即访问了业务信息，而实际上本发明通过蜜罐代理服务端将客户端的访问引进到真实蜜罐，并且通过内核网络模块进行代理IP地址和端口号与客户IP地址和端口号的改写，实现客户IP地址和端口号的跟踪；本发明提供的一种蜜罐部署系统，不仅部署成本低，还能跟踪到攻击者(即客户端)的IP地址和端口号。

附图说明

图1是一个实施例中的蜜罐部署系统结构框图；

图2是另一个实施例中的蜜罐部署系统结构框图。

具体实施方式

下面结合附图，通过具体实施例，对本发明的技术方案进行清楚、完整的描述。

蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。现有技术中，常见以下3中蜜罐部署方式，但都存在相应的缺点：

一、在大量机器上部署蜜罐。

缺点：部署成本高，占用大量的服务器资源。且如此多蜜罐(应用程序)的运营维护成本极高。