[发明专利]全舰计算环境云端蜜罐、攻击事件感知和行为分析方法

说明书

本发明公开了全舰计算环境云端蜜罐、攻击事件感知和行为分析方法，属于数据安全领域。所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境。本发明通过在全舰计算环境中构建一个兼具实系统蜜罐和伪系统蜜罐优点的蜜罐，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁。解决了在无法实时获取互联网云端赋能的情况下，对未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力。

技术领域

本发明属于数据安全领域，更具体地，涉及全舰计算环境云端蜜罐、攻击事件感知和行为分析方法。

背景技术

随着网络攻击技术的进步，传统防火墙建立在基于已知危险的规则体系上进行防御的局限性和脆弱性越来越明显，如果入侵者发动新形式的攻击，防火墙没有相对应的规则去处理，这个防火墙就形同虚设了，防火墙保护的系统也会遭到破坏，因此技术员需要蜜罐来记录入侵者的行动和入侵数据，必要时给防火墙添加新规则或者手工防御。蜜罐技术通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐可分为实系统蜜罐和伪系统蜜罐。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，属于最危险的漏洞，入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等，但可记录下最真实的入侵信息。伪系统蜜罐是管理员利用一些工具程序强大的模仿能力，伪造出不属于自己平台的“漏洞”，入侵这样的“漏洞”，让入侵者即使成功“渗透”，自以为得逞，但实际只能是在一个程序框架里打转，在程序制造的梦境的在里面瞎忙，以实现对入侵者的跟踪记录。

在现有公开的云端蜜罐技术中，一种是从当前运行的所有进程中筛选出不可信进程，向不可信进程注入钩子函数，获取不可信进程的调用函数记录和函数执行记录，遍历所获取的调用函数记录和函数执行记录，识别不可信进程是否存在风险，该方法对未产生恶意进程网络攻击行为无效。另一种是通过将用户发送的套接字跟预先获取的蜜罐系统内指定的套接字比对，只要用户发送的套接字属于预先获取的蜜罐系统内指定的套接字，不管用户发送的访问请求是否产生恶意进程，均会被识别出具有风险，该方法若无法第一时间联动威胁情报，对于未知新型攻击手段的威胁无法预报和阻止。

全舰计算环境(TSCE)是一种私有云，它以网络为中心，基于开放式体系结构和民用现成技术，将现代舰艇战时、平时的所有传感器、武器资源与指控系统和舰艇平台管理系统的各类运算操作、基础数据集成到一起。作为一种私有云，同样会受到系统内部和外部的各种安全威胁。有别于一般的私有云，全舰计算环境与互联网物理隔离，不能通过互联网实时获取威胁情报。因此，亟需一种全舰计算环境云端蜜罐技术，用于在无法实时获取互联网云端赋能的情况下，对未知攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解它们所面对的安全威胁，从而增强实际系统的安全防护能力。

发明内容

针对现有技术的缺陷，本发明的目的在于提供全舰计算环境云端蜜罐、攻击事件感知和行为分析方法，旨在解决在无法实时获取互联网云端赋能的情况下，对对于未知新型攻击手段进行捕获和分析，从而增强实际系统的安全防护能力的问题。

为实现上述目的，第一方面，本发明提供了一种全舰计算环境云端蜜罐，所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境；

所述链路网关，用于为全舰计算环境中各终端提供点对点的RDP连接；