[发明专利]欺骗防御系统

权利要求书

1.一种欺骗防御系统，其特征在于，所述欺骗防御系统包括仿真子系统；

所述仿真子系统包括：

仿真能力模块，用于生成蜜罐；

危险感知模块，用于对埋下所述蜜罐后的网络进行监控，获取监控数据，并在发现攻击后发出告警；

智能分析引擎模块，用于通过对所述监控数据进行分析，获取所述攻击的详细信息，对所述攻击的攻击过程进行全面取证；

溯源反制模块，用于在所述攻击进入蜜罐后，对所述攻击进行溯源，得到所述攻击的攻击数据；

所述仿真能力模块、危险感知模块、智能分析引擎模块、溯源反制模块之间相互连接；

所述仿真能力模块包括定制仿真单元，所述定制仿真单元用于生成根据目标客户实际业务定制的蜜罐。

2.如权利要求1所述的欺骗防御系统，其特征在于，所述仿真能力模块还包括：

应用服务仿真单元，用于生成Web类蜜罐、数据库蜜罐、系统服务蜜罐；

漏洞仿真单元，用于生成带有漏洞的高甜度蜜罐。

3.如权利要求1所述的欺骗防御系统，其特征在于，所述危险感知模块包括：

文件监控单元，用于对文件的操作、创建、内容修改、属性修改、删除、样本上传进行监控以及对文件进行防删保护；

网络监控单元，用于对TDI层进行流量监控；

进程监控单元，用于实现对攻击者的端口扫描操作、上传文件操作、操作日志进行监控；

所述进程监控单元还用于对进线程、内存、CPU、磁盘负载、网络连接信息、控制台命令行输入输出进行监控以及实现所述进程监控单元自身的隐藏；

实时告警单元，用于在发现所述攻击时发出告警；

互联网诱饵单元，用于在公开的网站中设置预设的蜜罐诱饵；

主机诱饵单元，所述主机诱饵单元为蜜罐，设置于主机中，所述主机诱饵单元中预留有连接到其他蜜罐的历史操作指令、SSH连接所述其他蜜罐过程中的公钥记录。

4.如权利要求1所述的欺骗防御系统，其特征在于，所述智能分析引擎模块还用于展示所述攻击在入侵阶段、安装阶段、控制阶段、意图阶段的详细信息；

所述入侵阶段的行为包括端口扫描、连接端口、登录服务；

所述安装阶段的行为包括注入代码、下载恶意样本、设置注册表自动启动、程序自动删除；

所述控制阶段的行为包括连接CC服务器、攻击者远程攻击命令输入；

所述意图阶段的行为包括数据窃取、勒索。

5.如权利要求1所述的欺骗防御系统，其特征在于，所述溯源反制模块包括：

数据展示单元，用于在所述攻击进入所述蜜罐后，记录所述攻击的攻击数据，所述攻击数据包括攻击报文、攻击样本；

追踪溯源单元，用于在所述攻击进入所述蜜罐后，获取攻击者信息；

数据分类单元，用于对攻击行为日志进行分类展示，同时对所述危险感知模块产生的噪音数据进行合并展示。

6.如权利要求1所述的欺骗防御系统，其特征在于，所述仿真子系统还包括联动方案模块；

所述联动方案模块包括：

WAF联动单元，用于对所述攻击数据进行格式处理得到攻击情报，并将所述攻击情报传输至防御设备；

威胁情报联动单元，用于实现和威胁情报的联动；

所述联动方案模块与所述仿真能力模块、危险感知模块、智能分析引擎模块、溯源反制模块之间相互连接。

7.如权利要求5所述的欺骗防御系统，其特征在于，所述欺骗防御系统还包括管理子系统，所述管理子系统与所述仿真子系统相连，所述管理子系统包括：

用户管理模块，用于供用户管理员使用，对配置管理员、审计管理员的账户进行增加、删除，对所述配置管理员、审计管理员的账户密码进行修改；

配置管理模块，用于供所述配置管理员使用，对所述攻击数据、所述攻击的详细信息、所述蜜罐的配置信息进行展示，对所述蜜罐的参数进行配置；

审计管理模块，用于供所述审计管理员使用，对管理员操作日志、所述攻击行为日志进行查看。