专利名称:一种增强蜜网诱骗力度的方法和蜜网系统的制作方法
技术领域:
本发明是关于计算机网络安全技术领域,特别是关于一种增强蜜网诱骗 力度的方法和蜜网系统。
背景技术:
目前,随着互联网技术的发展,网络扫描、蠕虫与病毒代码的传播以及 黑客恶意攻击等是网络上每台主机随时都可能面对的危险。为了应对上述危 险,防病毒软件和防火墙等安全技术发展起来,不过它们都只是在被动地应 对上述危险。蜜罐和蜜网技术的提出正是为了主动出击研究网络上这些安全 威胁而产生的。
蜜罐是指部署在网络上,伪装成真实的网络、主机和服务,诱惑恶意攻 击的诱饵,其价值在于收集网络上的攻击活动信息,并对这些信息进行监视、 检测和分析。
蜜网是指诱捕这些攻击活动的整体网络体系架构, 一个蜜网系统中通常 包含一个或多个蜜罐。
蜜网系统是为了收集入侵者的攻击信息,因而如何引诱攻击者对蜜网进 行攻击是蜜网系统中一个重要的组成部分。攻击诱骗环节的成功与否将直接 影响到整个蜜网系统能收集到的攻击数量和质量,因此必须解决好如何为蜜 网系统提供一个高性能的诱骗体制的问题。
目前蜜网的部署主要有低交互的虚拟蜜罐系统、高交互的虚拟机蜜罐系 统和高交互的物理蜜罐系统三大类,这几类蜜罐各有优点,但也有各自的局 限性。
6低交互的虚拟蜜罐系统能够模拟虚拟的网络拓扑、操作系统和网络服务, 并根据模拟的网络系统特点对扫描攻击行为做出回应,从而达到欺骗的目的, 有些虚拟蜜罐还可以模拟系统存在的漏洞,诱骗黑客或蠕虫在扫描后进一步 传送攻击代码,从而达到抓取恶意代码样本的目的。
高交互虚拟机蜜罐系统是指在一台主机上配置若干台虚拟主机,并在虚 拟主机中安装真实的操作系统和网络服务的蜜罐系统。
高交互物理蜜罐系统是指使用真实的物理主机,安装真实的操作系统并 开放真实的服务的蜜罐系统。
但是,发明人在实现本发明的过程中,发现现有技术中只是模拟一种环 境,且上述蜜网系统中用户行为长期不变会引起攻击者的怀疑,同时,攻击 者可能发现系统中用户数量固定不变而怀疑自己处于一个蜜网系统之中,因 此,虽然上述三类蜜网系统都有各自的优点,但是都没有解决蜜网系统的高 诱骗性问题。
发明内容
本发明实施例在于提供一种增强蜜网诱骗力度的方法和蜜网系统,用于 提高蜜网系统的诱骗力度。
本发明实施例提出一种增强蜜网诱骗力度的方法,该方法包括:在蜜网系
统中建立一诱骗子网,所述诱骗子网包括至少一个物理服务器;模拟所述诱 骗子网外部的网络用户访问所述物理服务器的行为,和/或模拟所述诱骗子网 内部的本地用户访问外部网络的行为。
本发明实施例还提出一种增强蜜网诱骗力度的蜜网系统,该系统包括 诱骗子网和用户行为模拟模块,所述诱骗子网包括至少一个物理服务器;所 述用户行为模拟模块用于模拟所述诱骗子网外部的网络用户访问所述物理服 务器的行为,和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。
本发明实施例中,通过在蜜网系统中建立包括至少一个物理服务器的诱骗子网,并且模拟诱骗子网外部的网络用户访问所述物理服务器的行为,和/ 或模拟所述诱骗子网内部的本地用户访问外部网络的行为,从而不仅模拟网 络环境,而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真实 性和交互性,提高了蜜网系统的诱骗力度。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例一提供的一种增强蜜网诱骗力度的方法流程图;图2为本发明实施二提供的一种模拟网络用户主机访问诱骗子网内部物 理服务器的流程图;图3为本发明实施二提供的一种模拟本地用户主机访问外部网络的流程图;图4为本发明实施二提供的另一种模拟本地用户主机访问外部网络的流 程图;图5为本发明实施例三提供的一种模拟网络用户主机访问过程中的修改 和还原IP交互示意图;图6为本发明实施例三提供的一种模拟本地用户主机访问过程中的修改 和还原IP交互示意图;图7为本发明实施例四提供的一种增强蜜网诱骗力度的蜜网系统结构示 意图;图8为本发明实施例五提供的一种增强蜜网诱骗力度的蜜网系统结构示 意图;图9为本发明实施例六提供的一种蜜网系统的网络结构图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚明白,下面结合具体实 施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方 式及其说明用于解释本发明,但并不作为对本发明的限定。本发明实施例中,利用流量模拟的手段增强蜜网诱骗力度。即,通过模 拟网络用户行为和本地用户行为,让蜜网系统中看起来真正存在众多用户, 使得整个蜜网系统和真实系统无异,从而提高蜜网系统的诱骗力度。实施例一如图1所示为本发明实施例一提供的一种增强蜜网诱骗力度的方法流程 图,该方法包括S101:在蜜网系统中建立一诱骗子网,诱骗子网是用以引诱攻击者对其 进行攻击的主体部分,攻击者最感兴趣的是各种类型的服务器,因此,本实 施例中,诱骗子网包括了至少一个物理服务器,当然服务器种类越多,其诱 骗力度也相应地越高。服务器在本实施例中是采用真实的物理服务器,这样 可以使诱骗子网看上去更具真实性,从而提高诱骗子网的诱骗力度,该物理 服务器可以是FTP服务器、HTTP服务器、WEB服务器、邮件服务器等。在本 实施例中,蜜罐主机和物理服务器之间可以通过集线器、路由器或者交换机 相连。作为本发明的一个实施例,在诱骗子网中还可以设置蜜罐主机,该蜜罐 主机可以虚拟出众多主机,使诱骗子网看起来像拥有众多本地用户一样,其 采用现有技术中的虚拟机蜜罐进行配置,但是,本实施例并不限定以虛拟机 蜜罐来实现蜜罐主机,其也可以采用现有技术中的虚拟蜜罐或者物理蜜罐。S102:模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为, 和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。9为了使本实施例提供的诱骗子网具有真实性,本实施例通过对两类用户 进行了行为模拟诱骗子网外部的网络用户以及诱骗子网内部的本地用户, 该两类用户行为可以分别通过模拟网络用户主机和模拟本地用户主机来实现。该行为模拟是基于传输控制协议/互联网络协议(Transmission Control Protocol/Internet Protocol, TCP/IP)之上的,即模拟网络用户主机和模 拟本地用户主机通过TCP/IP协议向服务器发送TCP数据包或者UDP数据包, 并接受服务器返回的TCP数据包或者UDP数据包。可见,本发明实施例通过在蜜网系统中建立包括至少一个物理服务器的 诱骗子网,并且模拟诱骗子网外部的网络用户访问所述物理服务器的行为, 和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为,从而不仅模拟 网络环境,而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真 实性和交互性,从而提高了蜜网系统的诱骗力度。模拟本地用户主机和模拟网络用户主机都属于蜜网系统,以诱骗子网为 界,模拟网络用户主机模拟诱骗子网外部的网络用户访问,而模拟本地用户 主机模拟诱骗子网内部用户访问。实施例二在本实施例中,我们对实施例一中S102中用户行为模拟作进一步详细的 介绍。首先我们对模拟诱骗子网外部的网络用户访问诱骗子网内物理服务器 的行为作介绍如图2所示为本发明实施提供的一种模拟网络用户主机访问诱骗子网内 部物理服务器的流程示意图。该访问过程包括如下步骤S201:诱骗子网外部的模拟网络用户主机建立一存储物理服务器上网页 地址的地址文件。不论是FTP服务器、HTTP服务器、WEB服务器还是邮件服 务器,要对其实现访问,都需要输入其网页地址,即统一资源定位符(Unifo rm Resource Locator, URL)地址,因此该地址文件的建立是为后续访问提 供一访问基础。S202 :模拟网络用户主机从地址文件中随机读取一 网页地址来访问物理 服务器上的相关网页。具体来说,就是根据随机选取的网页地址向对应的物理服务器发送请求数据包,该请求数据包可以为一 TCP/IP请求,其包含第一源IP地址(模拟网络用户主机的真实IP地址)和目的IP地址(物理服务器的IP地址),例如该请求数据包的第一源IP地址为202. 115.22.213,而目 的IP地址为202. 115.22.218。作为本发明的一个实施例,当上述请求数据包经过防火墙时,防火墙接 收该请求数据包,判断该请求数据包是否为模拟网络用户主机所发送。具体 的判断过程可以通过该请求数据包内包含的网络用户的第一源IP地址来判 断,或者也可以通过绑定在防火墙的端口来判断。如果该请求数据包是诱骗 子网外部的模拟网络用户主机发送的,防火墙则将该请求数据包的第一源IP 地址修改为第二源IP地址并转发,该修改过程是一随机过程,假设经过修改 后,该请求数据包的第二源IP地址为22. 124. 153.202;如果该请求数据包不 是模拟网络用户主机发送的,则不对其进行任何修改,并将该请求数据包发 往与该请求数据包内网页地址相对应的物理服务器。作为本发明的一个实施例,当防火墙修改上述第一源IP地址后,可以用一链表记录下修改后的第二源IP地址,即22. 124. 153. 202。当物理服务器收 到上述请求数据包,并返回应答数据包时,此时应答数据包内的源IP地址为 202.115.22.218,而目标工P地址为22. 124. 153. 202。防火墙根据目标IP地 址22. 124. 153.202在上述链表中进行查询,如果链表中有该IP地址,则将 应答数据包的目标IP地址还原为第一源IP地址,即模拟网络用户主机的真 实IP地址202. 115. 22. 213,如果链表中没有该IP地址则正常返回。但是,需要指出的是,如果有某一非模拟网络用户主机向物理服务器发 送的请求数据包的源IP地址为22. 124. 153.202,由于经过防火墙判断,其不 是模拟网络用户,因此就不会对其源IP进行修改,这就导致防火墙在收到物 理服务器返回的应答数据包时,会误以为该应答数据包是返回给模拟网络用户主机的,从而将其目的IP地址修改为202. 115.22.213,如此就会使实施例 的蜜网系统可能出现漏洞。针对上述漏洞,优选的,本发明实施例在修改模拟网络用户主机访问物 理服务器时发送的请求数据包的第一源IP地址时,还对该请求数据包打个标 记,以标志该请求数据包是由模拟网络用户主机所发。防火墙在收到物理服 务器返回的应答数据包时,不仅根据其目的IP地址在链表中进行査找,还会 依据该标记来判断其是否是模拟网络用户主机所发。如此就克服了上述可能 出现的漏洞。至于该标记,可以在请求数据包包头中的标志位上设置一特殊 值来实现。应当理解的是,链表仅是记录修改后的第二源IP地址的一种载体, 本发明不限于此,也可以采用其他形式的载体。S203:接收从物理服务器上返回的相关网页数据文件,并返回执行步骤S 202。模拟网络用户主机接收由物理服务器发出的经过防火墙转发后的应答数 据包,该些应答数据包中包括了其请求的相关网页数据,接收完毕后,可以 再次从地址文件中随机读取一网页地址来访问物理服务器上的相关网页。接下来我们再对模拟诱骗子网内部的本地用户访问外部网络的行为作介绍如图3所示为本发明实施提供的一种模拟本地用户主机访问外部网络的 流程示意图。该访问过程包括如下步骤S301:所述诱骗子网内部的模拟本地用户主机首先在本地初始化访问程 序,包括设置初始的网页地址列表。设置初始的网页地址列表是指预先选择 几个外部网络的网站地址将其存入列表中,比如说新浪、雅虎等。作为本发明的一个实施例,在设置初始网页地址列表的同时,还可以设 置并发获取网页的链接数、爬取深度以及不处理的文件扩展名等。其中,并 发获取网页的链接数就是以多少个线程来分别读取网页地址列表中的网页地 址,并分别进行访问;而爬取深度则是指浏览网页的层次深度;不处理的文 件扩展名则是剔出网页数据文件中不需要处理的文件后缀名,如图片文件、音乐文件等。S302:循环地从所述网页地址列表中随机读取一个未访问网页地址进行 访问,即根据该网页地址发送请求数据包。该请求数据包经过防火墙后,到 达外部网络,比如Internet,其经过防火墙时,防火墙对该请求数据包的处 理和上述步骤S202中相类似,在此不再对其进行赘述。这里,为了让黑客看 起来用户行为呈现多样化,需要在初始网页列表中设置尽可能多的网页地址。如图4所示为本发明实施提供的另一种模拟本地用户主机访问外部网络 的流程示意图。该访问过程包括如下步骤S401:所述诱骗子网内部的模拟本地用户主机首先在本地初始化访问程 序,包括设置初始的网页地址列表。S402:判断网页地址列表中是否还有未被访问的网页地址,如果没有, 则等待超时,重新初始化访问程序;如果有,则进入步骤S403;S403:从未访问的网页地址中随机读取一个,根据该网页地址发送请求 数据包oS404:接收外部网络(具体可以是外部网络中的服务器)根据上述请求数据包内网页地址返回的网页数据文件。S405:解析该网页数据文件并提取所述网页数据文件中网页地址。 S406:判断提取得到的网页地址是否已保存在网页地址列表中,如果是,则将该网页地址丢弃,如果未被保存,则进入步骤S407。S407:将未被保存的网页地址存入网页地址列表并返回执行步骤S402。 上述模拟本地用户主机访问外部网络的流程加入了自动根据原有网页地址获得其他网页地址的功能,避免了在初始网页列表中设置过多网页地址所带来的麻烦。作为本发明的一个实施例,在模拟网络用户主机访问诱骗子网内的物理 服务器或者模拟本地用户主机访问外部网络时,可以模拟多个网络用户和多 个本地用户同时进行访问行为,为了实现多模拟用户同时访问,可以采用多线程技术来实现,即一个线程负责一个用户的访问,这样,可以降低配置模 拟用户主机的数量,降低蜜网系统的成本。作为本发明的一个实施例,在模拟网络用户主机访问物理服务器或者模 拟本地用户主机访问外部网络时,还可以选用如下的访问策略以提高蜜网系统的诱骗力度在第一预定期间内随机选取时间段增加访问的线程以增加访 问流量,以此来模拟访问的高峰期;在第二预定期间内让访问线程断续的停 止访问以减少访问流量,以此来模拟访问的低谷期。比如,上述第一预定期 间可以为凌晨8点至晚上6点,而第一预定期间可以为晚上6点至凌晨8点。可见,本发明实施例在模拟网络用户和本地用户行为的基础上,通过修 改模拟网络用户以及模拟本地用户发出的数据包的源IP,使模拟网络用户和 模拟本地用户每次发出的数据包经过防火墙后都具有不同的源IP,使蜜网系 统看起来像拥有众多不同用户访问一般,从而使攻击者以为是有许多网络用 户或本地用户在进行访问行为,让攻击者不会因觉察只有单个用户访问服务 器而起疑,这样,蜜网系统就显得更为真实。另外其特有的访问策略使得访 问行为的流量模拟更为真实,因此本发明实施例具有很高的诱骗性。实施例三本实施例三是对实施例二中模拟网络用户主机以及模拟本地用户主机访 问过程中的修改和还原IP加以说明。如图5所示为本发明实施例三提供的一 种模拟网络用户主机访问过程中的修改和还原IP交互示意图,该流程包括如 下步骤S501:模拟网络用户主机向诱骗子网内的物理服务器发送请求数据包, 以访问该物理服务器。S502:当请求数据包经过防火墙时,防火墙判断该请求数据包是否是模拟 网络用户主机所发的请求数据包如果不是,则直接让该请求数据包进入诱 骗子网;如果是,则进入步骤S503。模拟用户的判断在实施例二中以论述过, 在此不再赘述了。S503_504:修改该请求数据包的源IP地址并转发修改后的请求数据包, 源IP地址的修改也已在实施例二中已论述过,即将该请求数据包的第一源I P地址修改为第二源IP地址。S505 — 506:当诱骗子网内的物理服务器返回的应答数据包经过防火墙 时,防火墙判断该返回的应答数据包是否返回给模拟网络用户主机如果不 是,则按照应答数据包内的目的IP地址进行发送;如果是,则进入步骤S50 7。该判断可以通过应答数据包内的标记来进行。S507 — 508:将应答数据包的目的IP地址还原为第一源IP地址,并发送该应答数据包给模拟网络用户主机。如图6所示为本发明实施例三提供的一种模拟本地用户主机访问过程中 的修改和还原IP交互示意图。该流程包括如下步骤S601:模拟本地用户主机向外部网络中内的服务器发送请求数据包,以 访问这些服务器。S602:当请求数据包经过防火墙时,防火墙判断该请求数据包是否是模拟 本地用户主机所发的请求数据包如果不是,则直接让该请求数据包进入外 部网络;如果是,则进入步骤S603。S603 _604:修改该请求数据包的源IP地址并转发修改后的请求数据包, 即将该请求数据包的第三源IP地址修改为第四源IP地址。S605 — 606:当外部网络内的服务器返回的应答数据包经过防火墙时,防火墙判断该返回的应答数据包是否返回给模拟本地用户主机如果不是,则 按照应答数据包内的目的IP地址进行发送;如果是,则进入步骤S607。S607—608:将应答数据包的目的IP地址还原为第三源IP地址,并发送 该应答数据包给模拟本地用户主机。本实施例在具有前述实施例有益效果的基础上,通过修改模拟网络用户 主机以及模拟本地用户主机发出的数据包的源IP,使模拟网络用户主机和模 拟本地用户主机每次发出的数据包经过防火墙后都具有不同的源IP,从而使攻击者以为是有许多不同网络用户或本地用户在进行访问行为,这样,蜜网 系统就显得更为真实。 实施例四如图7所示为本发明实施例四提供的一种增强蜜网诱骗力度的蜜网系统 逻辑结构示意图。该蜜网系统包括用户行为模拟模块710和诱骗子网720;诱骗子网720包括至少一个物理服务器721,物理服务器721的作用是充 当一服务模拟模块,为外界提供各种服务,比如FTP、 WEB、邮件等服务。服 务器在本实施例中是采用真实的物理服务器,这样可以使诱骗子网看上去更 具真实性,从而提高诱骗子网的诱骗力度,该物理服务器721可以是FTP服 务器、HTTP服务器、WEB服务器、邮件服务器等,服务器的种类越多,对于 攻击者的诱惑力就越高,更容易诱使攻击者对本蜜网系统发起攻击。作为本发明的一个实施例,诱骗子网720还可以包括蜜罐主机722,该蜜 罐主机722可以虚拟出众多主机,使诱骗子网720看起来像拥有众多本地用 户一样,其采用现有技术中的虚拟机蜜罐进行配置,但是,本实施例并不限 定以虚拟机蜜罐来实现蜜罐主机722,其也可以采用现有技术中的虚拟蜜罐或 者物理蜜罐。在本实施例中,蜜罐主机722和物理服务器721之间可以通过 集线器、路由器或者交换机相连。用户行为模拟模块710用于模拟所述诱骗子网外部的网络用户访问所述 物理服务器的行为,和/或模拟所述诱骗子网内部的本地用户访问外部网络的 行为。具体的,用户行为模拟模块710可以包括网络用户模拟子模块711和/或 本地用户模拟子模块712,其中网络用户模拟子模块711用于模拟诱骗子网外 部的网络用户访问诱骗子网内物理服务器的行为,而本地用户模拟子模块71 2用于模拟诱骗子网内部的本地用户访问外部网络的行为。具体来说,就是网 络用户模拟子模块711向物理服务器721发送访问请求数据包,并接收物理 服务器721返回的应答数据包;本地用户模拟子模块712向外部网络中的服务器730发送访问请求数据包,并接收这些服务器返回的应答数据包。需要说明的是,网络用户模拟子模块711 —般部署在诱骗子网720之外, 一般以模拟网络用户主机的形式存在。本地用户模拟子模块712 —般部署在诱骗子网720内, 一般以模拟本地 用户主机的形式存在。可见,本发明实施例通过模拟蜜网系统外部的网络用户以及内部的本地 用户的行为,使蜜网系统中用户的行为看起来和真实系统一样,提高了蜜网 系统的诱骗力度。实施例五如图8所示为本发明实施例五提供的一种增强蜜网诱骗力度的蜜网系统 逻辑结构示意图。该蜜网系统包括用户行为模拟模块710和诱骗子网720,其 作用和实施例四中相类似,在此不再赘述。和实施例四所不同的是,本实施例的蜜网系统还包括防火墙设备740,其 用于当收到模拟网络用户访问所述物理服务器的请求数据包时,将所述请求 数据包的第一源IP地址修改为第二源IP地址并转发,以及当收到所述物理 服务器向所述网络用户返回的对应的应答数据包时,将所述应答数据包的目 的IP地址还原成所述第一源IP地址并转发;和/或,当收到模拟本地用户访 问外部网络的请求数据包时,将所述请求数据包的第三源IP地址修改为第四 源IP地址并转发,以及当收到所述外部网络向所述本地用户返回的对应的应 答数据包时,将所述应答数据包的目的IP地址还原成第三源IP地址并转发。在一种实现下,该防火墙设备740具体可以包括通信模块741、模拟用户 判断模块742和IP修改和还原模块743,其中通信模块741用于接收或转发经过防火墙设备740的请求数据包或应答 数据包;模拟用户判断模块742用于判断经过本防火墙设备的请求数据包是否属 于模拟所述网络用户或所述本地用户行为产生的请求数据包,和/或判断经过本防火墙设备的应答数据包是否属于模拟所述网络用户或所述本地用户行为 产生的请求数据包所对应的应答数据包;IP修改和还原模块743用于当所述请求数据包属于模拟所述网络用户行 为产生的请求数据包时,将所述模拟网络用户发往所述物理服务器的请求数 据包的第一源IP地址修改为第二源IP地址并由所述通信模块转发,以及当 所述应答数据包属于模拟所述本地用户行为产生的请求数据包所对应的应答 数据包时,将所述物理服务器向所述网络用户返回的对应的应答数据包的目 的IP地址还原成第一源IP地址并由所述通信模块转发;和/或,用于当所述请求数据包属于模拟所述本地用户行为产生的请求数据包时,将所述模拟本 地用户发往外部网络的请求数据包的第三源IP地址修改为第四源IP地址并 由所述通信模块转发,以及当所述应答数据包属于模拟所述网络用户行为产 生的请求数据包所对应的应答数据包时,将所述外部网络向所述本地用户返 回的对应的应答数据包的目的IP地址还原成第三源IP地址并由所述通信模 块转发。当模拟用户判断模块742判断经过防火墙设备740的请求数据包是属于 网络用户模拟子模块711发送的请求数据包时,IP修改和还原子模块743用 于将该请求数据包的第一源IP地址修改为第二源IP地址,可选的,还可以 对该请求数据包打上标记,交由通信模块741转发给诱骗子网内的物理服务 器721;当模拟用户判断子模块742判断经过防火墙设备740的应答数据包是 返回给网络用户模拟子模块711 (具体可以是通过应答数据包内的标记来判 断)时,将该应答数据包内的目的IP地址还原为第一源IP地址并由通信模 块743转发给网络用户模拟子模块711;当模拟用户判断模块742判断经过防火墙设备740的请求数据包是属于 本地用户模拟子模块712发送的请求数据包时,IP修改和还原子模块743用 于将该请求数据包的第三源IP地址修改为第四源IP地址,可选的,还可以 对该请求数据包打上标记,交由通信模块743转发给外部网络中的服务器730;当模拟用户判断子模块742判断经过防火墙设备740的应答数据包是返回 给本地用户模拟子模块712 (具体可以是,通过应答数据包内的标记来判断) 时,将该应答数据包内的目的IP地址还原为第三源IP地址并由通信模块74 3转发给本地用户模拟子模块712;可见,本发明实施例在模拟网络用户和本 地用户行为的基础上,还通过修改模拟网络用户以及模拟本地用户发出的数 据包的源工P地址,使模拟网络用户和模拟本地用户每次发出的数据包经过防 火墙后都具有不同的源IP,从而使攻击者以为是有许多不同的网络用户及本 地用户在进行访问行为,因此本发明实施例具有很高的诱骗性。本实施例是通过一具体的蜜网系统的网络架构来对实施例五进行进一步 说明。如图9所示为本发明实施例六提供的一种蜜网系统的网络结构示意图。 该蜜网系统包括模拟网络用户主机910、诱骗子网930和防火墙940,其中诱 骗子网930内包括虚拟机蜜罐931、邮件服务器932、 FTP服务器933、 WEB服 务器934和模拟本地用户主机935。模拟网络用户主机910和模拟本地用户主 机935分别通过交换机950及960和防火墙940相互通信,而诱骗子网930 内的虚拟机蜜罐931、邮件服务器932、 FTP服务器933和WEB服务器934则 分别通过集线器970连接至交换机960。模拟网络用户主机910用于模拟诱骗子网外部的网络用户访问诱骗子网 内邮件服务器932、 FTP服务器933和WEB服务器934的行为,其内部有一保 存了上述三个服务器内网页地址的地址文件。在本实施例中,模拟网络用户 主机910采用多线程技术对上述三个服务器进行访问,比如采用3个线程分 别对上述三个服务器进行循环访问。其一次访问过程如下模拟网络用户主机910从地址文件中随机选取一地址,比如WEB服务器9 34内某一网页的地址,其将该地址作为目的IP地址发送请求数据包,该请求 数据包经交换机950后到达防火墙940。防火墙940判断出该请求数据包来自 模拟网络用户主机910,随机修改该请求数据包的源IP地址,并对数据包打上标记,通过交换机960和集线器970转发给WEB服务器934。WEB服务器934根据该请求数据包返回应答数据包,该应答数据包中包括 了模拟网络用户主机910所请求的网页数据文件。应答数据包经过集线器97 0和交换机960后到达防火墙940,防火墙940判断该应答数据包是发往模拟 网络用户主机910的,就将其目的IP地址还原为模拟网络用户主机910的真 实IP地址,并转发该应答数据包。模拟网络用户主机910收到上述返回的应答数据包后,再次从地址文件 中随机选取一地址以进行访问。模拟本地用户主机935用于模拟诱骗子网内部的本地用户访问外部网络 的行为,在本实施例中,该外部网络为Internet。其中一次访问过程如下模拟本地用户主机935初始化访问程序,得到一初始的网页地址列表, 该网页地址列表可以是外部网络中的一个或多个网站地址, 一般选择包含较 多连接信息的大型网站。从网页地址列表中随机选取一网页地址,发送请求 数据包。该请求数据包经过交换机960后到达防火墙940,防火墙940判断出 该请求数据包来自模拟本地用户主机935,随机修改该请求数据包的源IP地 址,并对数据包打上标记,进入Internet中该网页所在的服务器。上述服务器返回的应答数据包到达防火墙940,防火墙940判断该应答数 据包是发往模拟本地用户主机935的,就将其目的IP地址还原为模拟本地用 户主机935的真实IP地址,并转发该应答数据包。模拟本地用户主机935收到返回的应答数据包后对其中的网页数据文件 进行分析,找出其中包含的所有网页地址信息,并将未访问过的地址保存进 网页地址列表,从网页地址列表中选取未访问过的地址进行再次访问。该模拟本地用户主机935的访问过程也可以采用多线程进行,比如同时 采用10个线程读取10网页地址同时进行访问。作为本发明的另一个实施例,上述模拟本地用户主机935的功能也可以 由虚拟机蜜罐931来完成。作为本发明的一个实施例,模拟网络用户主机910和模拟本地用户主机935在访问时可以采用如下访问策略在第一预定期间内随机选取时间段增加 访问的线程以增加访问流量,以此来模拟访问的高峰期;在第一预定期间内 让访问线程断续的停止访问以减少访问流量,以此来模拟访问的低谷期。可见,本发明实施例通过模拟诱骗子网外部的网络用户以及内部的本地 用户的行为,以及采用相应的访问策略来模拟用户的行为流量,使得蜜网系 统用户的行为看起来和真实系统一样;另外通过修改模拟网络用户发往物理 服务器的数据包源IP地址,来使蜜网系统看起来像真正拥有众多用户一样, 因此本发明实施例的蜜网系统具有高诱骗性。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于 一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施 例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上所述的具体实施方式
,对本发明的目的、技术方案和有益效果进行 了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式
而 已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做 的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种增强蜜网诱骗力度的方法,其特征在于,该方法包括在蜜网系统中建立一诱骗子网,所述诱骗子网包括至少一个物理服务器;模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为,和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。
2. 如权利要求1所述的增强蜜网诱骗力度的方法,其特征在于,所述模拟 所述诱骗子网外部的网络用户访问所述物理服务器的行为包括当收到所述 诱骗子网外部的模拟网络用户主机发出的访问所述物理服务器的请求数据包 时,将所述请求数据包的第一源IP地址修改为第二源IP地址并转发;以及当 收到所述物理服务器向所述模拟网络用户主机返回的对应的应答数据包时, 将所述应答数据包的目的IP地址还原成所述第一源IP地址并转发;和/或,所述模拟所述诱骗子网内部的本地用户访问外部网络的行为包括当收 到所述诱骗子网内部的模拟本地用户主机发出访问外部网络的请求数据包 时,将所述请求数据包的第三源IP地址修改为第四源IP地址并转发,以及当 收到所述外部网络向所述模拟本地用户主机返回的对应的应答数据包时,将 所述应答数据包的目的IP地址还原成所述第三源IP地址并转发。
3. 如权利要求1所述的增强蜜网诱骗力度的方法,其特征在于,所述模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为包括当收到所述诱骗子网外部的模拟网络用户主机发出的访问所述物理服务 器的请求数据包时,将所述请求数据包的第一源IP地址修改为第二源IP地址,对所述请求数据包打上标记并转发,并记录修改后的第二源IP地址;以及, 当收到所述物理服务器向所述模拟网络用户主机返回的应答数据包时,如果 所述应答数据包的目的IP地址已经被记录,且所述应答数据包具有所述标记, 则将所述应答数据包的目的IP地址还原成所述第一源IP地址并转发; 和/或,所述模拟所述诱骗子网内部的本地用户访问外部网络的行为包括 当收到所述诱骗子网内部的模拟本地用户主机访问外部网络的请求数据 包时,将所述请求数据包的第三源IP地址修改为第四源IP地址,对所述请求 数据包打上标记并转发,并记录修改后的第四源IP地址;以及,当收到所述 外部网络向所述模拟本地用户主机返回的应答数据包时,如果所述应答数据 包的目的IP地址已经被记录,且所述应答数据包具有所述标记,则将所述应 答数据包的目的IP地址还原成所述第三源IP地址并转发。
4. 如权利要求1所述的增强蜜网诱骗力度的方法,其特征在于,所述模拟 所述诱骗子网外部的网络用户访问所述物理服务器的行为,包括接收所述诱骗子网外部的模拟网络用户主机发出的访问所述物理服务器 的请求数据包,其中,所述请求数据包是由所述诱骗子网外部的模拟网络用 户主机根据从地址文件中随机读取的网页地址发送的请求数据包;并将所述请求数据包发往与所述网页地址对应的物理服务器。
5. 如权利要求1所述的增强蜜网诱骗力度的方法,其特征在于,所述模拟 所述诱骗子网内部的本地用户访问外部网络的行为包括接收所述诱骗子网内部的模拟本地用户主机发出的访问外部网络的请求 数据包,其中,所述请求数据包是由所述诱骗子网内部的模拟本地用户主机 根据从网页地址列表中随机读取的一个未访问的网页地址发出的请求数据 包;并将所述请求数据包发往与所述网页地址对应的网络服务器。
6. 如权利要求5所述的增强蜜网诱骗力度的方法,其特征在于,所述将所 述请求数据包发往与所述网页地址对应的网络服务器的步骤之后,进一步包 括接收返回的包含网页数据文件的应答数据包,并向所述模拟本地用户主 机发送所述包含网页数据文件的应答数据包,所述网页数据文件中的网页地 址被所述模拟本地用户主机存入所述网页地址列表。
7. 如权利要求6所述的增强蜜网诱骗力度的方法,其特征在于,所述网页 数据文件中的网页地址被所述模拟本地用户主机存入所述网页地址列表的步骤,包括所述网页数据文件中的网页地址被所述模拟本地用户主机提取,如果提 取的网页地址已保存在所述网页地址列表中,则所述网页地址被所述模拟本 地用户主机所丢弃;如果提取的网页地址未保存在所述网页地址列表中,则 所述网页地址被所述模拟本地用户主机存入所述网页地址列表。
8. —种增强蜜网诱骗力度的蜜网系统,其特征在于,包括诱骗子网和用 户行为模拟模块,所述诱骗子网包括至少一个物理服务器;所述用户行为模拟模块用于模拟所述诱骗子网外部的网络用户访问所述 物理服务器的行为,和/或模拟所述诱骗子网内部的本地用户访问外部网络的 行为。
9. 如权利要求8所述的增强蜜网诱骗力度的蜜网系统,其特征在于,所述 蜜网系统还包括一防火墙设备,其用于当收到模拟网络用户访问所述物理服务器的请求数据包时,将所 述请求数据包的第一源IP地址修改为第二源IP地址并转发,以及当收到所述 物理服务器向所述网络用户返回的对应的应答数据包时,将所述应答数据包 的目的IP地址还原成所述第一源IP地址并转发;和/或当收到模拟本地用户访问外部网络的请求数据包时,将所述请求数据包 的第三源IP地址修改为第四源IP地址并转发,以及当收到所述外部网络向所 述本地用户返回的对应的应答数据包时,将所述应答数据包的目的IP地址还 原成第三源IP地址并转发。
10. 如权利要求9所述的增强蜜网诱骗力度的蜜网系统,其特征在于,所述防火墙设备包括通信模块、模拟用户判断模块及IP修改和还原模块,所述通信模块用于接收或转发经过本防火墙设备的请求数据包或应答数据包;所述模拟用户判断模块用于判断经过本防火墙设备的请求数据包是否属 于模拟所述网络用户或所述本地用户行为产生的请求数据包,和/或判断经过 本防火墙设备的应答数据包是否属于模拟所述网络用户或所述本地用户行为产生的请求数据包所对应的应答数据包;所述IP修改和还原模块用于当所述请求数据包属于模拟所述网络用户行 为产生的请求数据包时,将所述模拟网络用户发往所述物理服务器的请求数 据包的第一源IP地址修改为第二源IP地址并由所述通信模块转发,以及当所 述应答数据包属于模拟所述本地用户行为产生的请求数据包所对应的应答数 据包时,将所述物理服务器向所述网络用户返回的对应的应答数据包的目的I P地址还原成第一源IP地址并由所述通信模块转发;和/或,用于当所述请求 数据包属于模拟所述本地用户行为产生的请求数据包时,将所述模拟本地用 户发往外部网络的请求数据包的第三源IP地址修改为第四源IP地址并由所述 通信模块转发,以及当所述应答数据包属于模拟所述网络用户行为产生的请 求数据包所对应的应答数据包时,将所述外部网络向所述本地用户返回的对 应的应答数据包的目的IP地址还原成第三源IP地址并由所述通信模块转发。全文摘要
本发明实施例提出一种增强蜜网诱骗力度的方法和蜜网系统,该方法包括在蜜网系统中建立一诱骗子网,所述诱骗子网包括至少一个物理服务器;模拟所述诱骗子网外部的网络用户访问所述物理服务器的行为,和/或模拟所述诱骗子网内部的本地用户访问外部网络的行为。本发明实施例中,不仅模拟了网络环境,而且还利用用户行为产生的流量模拟的手段以增加蜜网系统的真实性和交互性,从而提高了蜜网系统的诱骗力度。
文档编号H04L29/12GK101582907SQ20091015073
公开日2009年11月18日 申请日期2009年6月24日 优先权日2009年6月24日
发明者周世杰, 顾凌志 申请人:成都市华为赛门铁克科技有限公司;电子科技大学