[发明专利]基于蜜点生成的防网络攻击方法、系统及装置

说明书

本发明公开了一种基于蜜点生成的防网络攻击方法、系统及装置，包括：蜜点控制器，用于获取用户网络环境信息，自动创建docker组件，docker根据docker组件自动构建蜜点镜像，自动生成欺骗策略代码放入蜜点镜像中；蜜点镜像，用于收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码；反馈接收器，用于存储攻击痕迹，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码。本发明可以实现防网络攻击。

技术领域

本发明涉及防网络攻击领域，尤其是涉及一种基于蜜点生成的防网络攻击方法、系统及装置。

背景技术

网络欺骗技术是防守方采取的一种主动的防御策略，通过在目标用户网络中放置虚假信息来迷惑攻击者的感知、引诱并捕获攻击者，从而保护用户真实的资产。世界上第一个开源欺骗工具DTK(欺骗工具箱)发布于1998年，这也是欺骗技术的起源。随着蠕虫、僵尸网络、APT(高级可持续威胁攻击)的出现，攻击者的攻击手段越来越高明，传统的被动防御机制的弊端也越来越明显：防御者规则库的更新是基于攻击者最新的攻击技术来编写的，这就代表防御规则永远可以被攻击者用新的技术绕过。所以从2010年开始，基于网络欺骗的新型安全系统成为各安全公司的重点研究方向。

关于主动欺骗防御的研究，主要还是针对蜜罐、蜜饵进行的。蜜罐可以按照交互类型范围低、中、高交互三个等级。低交互蜜罐只会对网络层协议(ICMP、TCP、UDP等)和一些简单的应用层协议(HTTP等)进行应答，一般用于探测网络中的扫描器，代表产品有Honeyd、Opencanary等；中交互蜜罐具备一定的交互能力，可以与攻击者完成一些简单的交互，一般用于短时间吸引攻击者注意力，并及时发现攻击者，代表产品有Cowire、WordPot等；高交互蜜罐一般是基于虚拟化技术docker、虚拟机实现的，它能够模拟整个操作系统的运行，对攻击者有着极强的吸引力，一般用于分析、研究攻击者的行为与窃取攻击者的攻击技术，而蜜饵主要由一些包含虚假信息的文档或者网页组成，攻击者如果访问到了蜜饵，那就会被防守方发现并捕获。

发明内容

本发明的目的在于提供一种基于蜜点生成的防网络攻击方法、系统及装置，旨在解决基于蜜点生成的防网络攻击。

本发明还提供一种基于蜜点生成的防网络攻击系统，包括：

蜜点控制器，用于获取用户网络环境信息，根据网络环境信息自动创建docker组件，docker根据docker组件自动构建蜜点镜像；自动生成欺骗策略代码放入蜜点镜像中；

蜜点镜像，用于收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码；

反馈接收器，用于存储攻击痕迹，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码。

本发明提供一种基于蜜点生成的防网络攻击方法，包括：

通过蜜点控制器获取用户网络环境信息，根据网络环境信息自动创建docker组件，docker根据docker组件自动构建蜜点镜像；自动生成欺骗策略代码放入蜜点镜像中；

通过蜜点镜像收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码；

通过反馈接收器存储攻击痕迹，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码。

本发明实施例还提供一种基于蜜点生成的防网络攻击装置，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述方法的步骤。

本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现上述方法的步骤。