[发明专利]基于动静结合方式和蜜标技术的网络攻击溯源方法及系统

权利要求书

1.一种基于动静结合方式和蜜标技术的网络攻击溯源方法，包括如下步骤：

S01.初始化系统；

S02.设置蜜罐主机；

S03.模拟蜜罐主机传输过程，生成蜜标数据；

S04.攻击者扫描或截取蜜标数据后传送至攻击者主机；

S05.攻击者打开蜜标数据后，蜜标被触发，收集溯源信息；

S06.自动将攻击者的溯源信息回传至数据库服务器；

S07.安全管理员依据传回的溯源信息制定安全防范策略；

其特征为：步骤S03中生成的蜜标数据包括静态蜜标数据和动态蜜标数据，所述静态蜜标数据和动态蜜标数据均包括敏感文件、特定标识和脚本，所述敏感文件包括在蜜罐主机上保存的静态敏感数据和蜜罐主机间产生的动态数据流；所述静态敏感数据包括账号、密码和文件，所述动态数据流通过蜜罐主机间定时备份、定时传输或定时访问的手段产生；所述脚本的作用在于获取攻击者的特征信息或者可以使脚本自动打开摄像头拍照，获取真人头像，将这些溯源信息回传到我们的数据库服务器上；所述特征信息包括ip和mac地址；

所述定时备份的具体操作为在蜜罐主机上执行定时备份脚本，将伪装的蜜标数据备份到其它蜜罐主机上；所述定时传输的具体操作为使用NetCat创建虚假服务器，传输伪装的蜜标数据；所述定时访问的具体操作为通过shell软件定时登录蜜罐主机，执行数据操作，产生操作日志。

2.一种基于动静结合方式和蜜标技术的网络攻击溯源系统，用于实现如权利要求1所述的网络攻击溯源方法，其特征在于，包括：

蜜罐主机单元，用于提供数据存储及传输环境；

蜜标数据部署单元，用于在蜜罐主机上部署静态蜜标数据以及在蜜罐主机之间产生动态蜜标数据；

溯源信息回传模块，用于收集攻击者的溯源信息并将信息回传；

数据库服务器模块，用于接收溯源信息回传模块传输的溯源信息；

多组蜜罐主机模块互相连接，所述蜜标数据部署模块内嵌在所述蜜罐主机模块中，所述溯源信息回传模块设置于蜜标数据部署模块产生的蜜标数据中，当攻击者扫描或截取到蜜标数据部署模块产生的蜜标数据并打开后，所述溯源信息回传模块将攻击者的溯源信息传回至所述数据库服务器模块，安全人员可从数据库服务器模块中获取溯源信息，进行安全防范。