基于蜜罐技术的攻击反制实现系统及方法与流程

本发明涉及网络安全技术领域，更具体地说，它涉及基于蜜罐技术的攻击反制实现系统及方法。

背景技术：

近年来，计算机网络近年来获得了飞速的发展。在网络高速发展的过程中，网络技术的日趋成熟使得网络连接更加容易，人们在享受网络带来便利的同时，网络的安全也日益受到威胁。

网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。黑客攻击行为组织性更强，攻击目标从单纯的追求"荣耀感"向获取多方面实际利益的方向转移，网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥；手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。

蜜罐好比是情报收集系统，蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

传统蜜罐只能被动的等待攻击者的攻击，无法针对攻击者做出有效的反制动作，当前需要能够有效反制攻击者的方式，变被动防御为主动追踪攻击者，需要实现对攻击者的有效溯源和反向控制技术方法。

在现有技术中，通过蜜罐难以获取攻击者的有效信息并溯源，更做不到反向控制攻击者，其存在显著的缺陷：

(一)攻击者通过多层跳板进入蜜罐，从蜜罐中难以直接获取攻击者所在真实主机的信息；

(二)传统蜜罐无法反向控制攻击者。

随着网络的普及，我们已迈入了信息时代的21世纪，在大家的生活中计算机已经成为了必不可少的东西。网络安全的技术市场需求巨大，具有广阔的前景，因而开发一种基于蜜罐技术的攻击反制实现系统及方法，具有较大意义。

技术实现要素：

针对现有技术存在的不足，本发明的目的在于提供基于蜜罐技术的攻击反制实现系统及方法，解决了对攻击者实现有效溯源和反向控制的技术问题。

为实现上述目的，本发明提供了如下技术方案：

基于蜜罐技术的攻击反制实现系统，包括蜜罐主机、以及蜜罐环境部署模块、反制机制设置模块和反制模块服务端，在攻击者所在主机和网络环境中设置有用于采集信息的反制模块客户端，所述的蜜罐主机内包括有特定文档及特定系统机制；

所述的蜜罐环境部署模块将信号发送于蜜罐主机，所述的反制机制设置模块将信号发送于蜜罐主机中的特定文档及特定系统机制，所述的特定文档及特定系统机制均将信号发送于反制模块客户端，所述的反制模块客户端将信号发送于反制模块服务端。

进一步的，所述的反制模块客户端采集的信息包括获取攻击者信息及控制攻击者所在环境。

进一步的，所述的特定文档包括word文档漏洞及rtf文档漏洞。

采用上述技术方案，利用特定的文档植入程序，在蜜罐中留存对攻击者有价值的诱骗文档，攻击者把文档复制回自身主机后打开就会执行特定程序。

进一步的，所述的特定系统机制包括Windows RDP植入方式。

采用上述技术方案，利用特定的系统机制植入程序，攻击者通过RDP协议登录Windows系统之后，通过RDP反向植入机制，在攻击者的主机上执行控制程序。

基于蜜罐技术的攻击反制实现方法，其特征在于，包括以下步骤：

S1、初始化系统；

S2、设置蜜罐主机环境；

S3、设置多种攻击反制机制，包括设置特定文档，以及设置特定系统机制；

S4、攻击者在攻击蜜罐时被反制，包括获取攻击信息，以及控制攻击者所在主机和网络环境；

S5、反制结束。

与现有技术相比，本发明的优点是：

该基于蜜罐技术的攻击反制实现系统设置简单合理，解决了以往蜜罐只能被动等待攻击者，而无法有效溯源和反向控制的问题；

另外，该基于蜜罐技术的攻击反制实现方法简单，容易规模推广使用。

附图说明

图1为发明实施例中结构示意图；

图2为发明实施例2中方法流程示意图。

附图标记说明：1、蜜罐主机；2、蜜罐环境部署模块；3、反制机制设置模块；4、反制模块服务端；5、反制模块客户端；101、特定文档；102、特定系统机制；103、攻击者信息；104、控制攻击者所在环境。

具体实施方式

实施例一：

参照图1，基于蜜罐技术的攻击反制实现系统，包括蜜罐主机1、以及蜜罐环境部署模块2、反制机制设置模块3和反制模块服务端4，在攻击者所在主机和网络环境中设置有用于采集信息的反制模块客户端5，所述的蜜罐主机1内包括有特定文档101及特定系统机制102；

所述的蜜罐环境部署模块2将信号发送于蜜罐主机1，所述的反制机制设置模块3将信号发送于蜜罐主机1中的特定文档101及特定系统机制102，所述的特定文档101及特定系统机制102均将信号发送于反制模块客户端5，所述的反制模块客户端5将信号发送于反制模块服务端4。

实施例二：

本实施例在实施例一的基础之上的结构进行了改进。

参照图1及图2，基于蜜罐技术的攻击反制实现系统，包括蜜罐主机1、以及蜜罐环境部署模块2、反制机制设置模块3和反制模块服务端4，在攻击者所在主机和网络环境中设置有用于采集信息的反制模块客户端5，所述的蜜罐主机1内包括有特定文档101及特定系统机制102；

所述的蜜罐环境部署模块2将信号发送于蜜罐主机1，所述的反制机制设置模块3将信号发送于蜜罐主机1中的特定文档101及特定系统机制102，所述的特定文档101及特定系统机制102均将信号发送于反制模块客户端5，所述的反制模块客户端5将信号发送于反制模块服务端4。

在该实施例中，所述的反制模块客户端5采集的信息包括获取攻击者信息103及控制攻击者所在环境104。

在该实施例中，所述的特定文档101包括word文档漏洞及rtf文档漏洞。利用特定的文档植入程序，在蜜罐中留存对攻击者有价值的诱骗文档，攻击者把文档复制回自身主机后打开就会执行特定程序。

在该实施例中，所述的特定系统机制102包括Windows RDP植入方式。利用特定的系统机制植入程序，攻击者通过RDP协议登录Windows系统之后，通过RDP反向植入机制，在攻击者的主机上执行控制程序。

基于蜜罐技术的攻击反制实现方法，其特征在于，包括以下步骤：

S1、初始化系统；

S2、设置蜜罐主机1环境；

S3、设置多种攻击反制机制，包括设置特定文档101，以及设置特定系统机制102；

S4、攻击者在攻击蜜罐时被反制，包括获取攻击信息，以及控制攻击者所在主机和网络环境；

S5、反制结束。

该基于蜜罐技术的攻击反制实现系统设置简单合理，解决了以往蜜罐只能被动等待攻击者，而无法有效溯源和反向控制的问题；另外，该基于蜜罐技术的攻击反制实现方法简单，容易规模推广使用。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。