基于攻击检测和负载调度的蜜罐防御方法及系统与流程

本发明属于网络安全领域，具体涉及一种基于攻击检测和负载调度的蜜罐防御方法及系统。

背景技术：

1、随着经济技术的发展和人们生活水平的提高，网络通信技术已经广泛应用于人们的生产和生活当中，给人们的生产和生活带来了无尽的便利。因此，保障网络通信过程的安全性，就成为了网络通信研究人员的研究重点之一。

2、目前，网络攻击工具层出不穷，手段不断升级，整体呈现出多元化、复杂化和高频化的特点；然而，以防火墙、入侵检测系统等为代表的边界控制与过滤技术存在易漏报和易误报的缺陷，无法高效应对网络流量中潜在的安全风险；因此，需要通过以蜜罐为代表的欺骗防御技术进行溯源反制，扭转攻防不对称的现状。

3、蜜罐是一种主动防御型网络安全工具，主要由诱饵环境和监控模块两部分组成。其中，诱饵环境能够通过部署可控的陷阱服务或应用的方式，引诱攻击行为，延缓攻击进程；监控模块则负责捕捉攻击信息，限制攻击范围。相对于其他网络安全机制，蜜罐具有攻击误报少、数据价值高、消耗资源少等独特优势，适用于各种类型的网络，而且可以和现有的防火墙、入侵检测系统等安全措施相互配合，在不改变原有网络架构的前提下，提升网络安全主动防御能力。

4、但是，现有的蜜罐防御方法主要通过路由协议和网关方式转发攻击流量，其本质是根据预先配置的协议和策略实现流量牵引，只能被动式等待攻击者入侵，其安全性相对较差，而且溯源效率也较差。

技术实现思路

1、本发明的目的之一在于提供一种安全性高、溯源效率高且稳定科学的基于攻击检测和负载调度的蜜罐防御方法。

2、本发明的目的之二在于提供一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统。

3、本发明提供的这种基于攻击检测和负载调度的蜜罐防御方法，包括如下步骤：

4、s1.对负载均衡进行预配置，从而初始化负载均衡对蜜罐系统的调度策略；

5、s2.对待监测业务进行实时监测，将待监测业务所遭受的网络攻击进行监测，并获取对应的攻击告警；

6、s3.对步骤s2监测到的攻击进行研判，并进行负载均衡策略调度；

7、s4.通过负载均衡策略调度过程，将监测到的攻击牵引到蜜罐系统；

8、s5.将蜜罐系统捕获的数据进行反馈，同时进行网络安全处置，完成基于攻击检测和负载调度的蜜罐防御。

9、步骤s1所述的对负载均衡进行预配置，从而初始化负载均衡对蜜罐系统的调度策略，具体包括如下步骤：

10、新建蜜罐pool池，将需要引流的蜜罐ip与端口{iph,porth}保存在蜜罐pool池中；具体实施时，通过负载均衡设备的local traffiic->pools->pool list新建pool池，并配置蜜罐的地址：load balancing method：round robin，health monitors:tcp,address:iph,service port:porth；对于每一个蜜罐地址，新建一个pool池poolh；

11、在负载均衡中配置引流地址组，用于后续添加需要引流的攻击源ip；具体实施时，通过负载均衡设备的local traffiic->irules->data group list，新建地址组：type：adress；对于每一个蜜罐地址，新建一个地址组addrh；

12、配置引流策略：通过负载均衡设备的local traffiic->irules->irule list新建一个负载均衡调度策略，该策略的主要用途为将源ip地址在地址组addrh中的流量自动调度至poolh对应的蜜罐中；对于每一个蜜罐地址，新建一个引流策略ruleh；

13、关联引流策略至业务，通过负载均衡设备的local traffiic->virtual servers->virtual server list，将引流策略ruleh关联对应至需要保护的真实业务系统上：default pool:poolh,irules name：ruleh；对于每一个蜜罐，关联至一个它保护的业务地址dh；引流的蜜罐为对应真实业务的仿真蜜罐。

14、步骤s2所述的对待监测业务进行实时监测，将待监测业务所遭受的网络攻击进行监测，并获取对应的攻击告警，具体包括如下步骤：

15、获取攻击告警a＝＜sip,dip,dport,time,type,detail＞，其中sip为源ip，dip为目的ip，dport为目的端口，time为攻击时间，type为攻击类型，detail为攻击详情；其中攻击详情detail为触发告警的攻击内容；具体实施时，攻击告警通过网络中串联或旁路的安全监测设备获取，通过配置接口获取设备监测的攻击告警日志。

16、步骤s3所述的对步骤s2监测到的攻击进行研判，并进行负载均衡策略调度，具体包括如下步骤：

17、根据收集的攻击告警信息集合a，对不同的攻击源sk、攻击目标地址dk组合{sk,dk}进行综合研判；攻击牵引研判函数f(sk,dk)为：

18、

19、式中g(time)为与当前时间相关的分段函数，且g(time)→{w1,w2,w3}，w1、w2和w3为当前时间前x1时间、x2时间和x3时间的权重，且x1＜x2＜x3；λi为针对攻击类型typei的威胁程度所设定的权重值且λi的取值为λ1、λ2或λ3，λ1对应高危程度，λ2对应中危程度，λ3对应低危程度；m(typei)为根据收集的蜜罐历史溯源日志得到的价值系数且h为蜜罐有对应溯源记录的攻击日志总数，h(typei)为蜜罐有对应溯源记录的攻击类型为typei的攻击日志数；n(detaili)为根据收集的攻击日志得到的价值系数且p(detaili)为将detaili在蜜罐有对应溯源记录攻击日志的攻击详情中进行模糊匹配时所命中的个数；

20、对于每个业务bj，对应的地址为dj，dj＝{ipj,portj}分别代表对应的ip地址与端口；设定对应的负载均衡主动调度阈值βj，实时计算攻击牵引研判函数f(sj,dj)的值：若f(sj,dj)＞βj则启用负载均衡策略调度，否则不启用负载均衡策略调度。

21、步骤s4所述的通过负载均衡策略调度过程，将监测到的攻击牵引到蜜罐系统，具体包括如下步骤：

22、将需要引流的流量特征实时添加到对应的引流策略中；具体实施时，通过网页爬虫模拟http请求，将满足启用负载均衡策略调度的对应攻击源sj，添加至业务bj关联的地址组addrj中；通过预先配置的策略，实现将后续所有满足攻击源为sj、目的地址和端口为dj的网络流量牵引至对应的蜜罐中。

23、步骤s5所述的将蜜罐系统捕获的数据进行反馈，同时进行网络安全处置，具体包括如下步骤：

24、启用负载均衡策略调度后，攻击者利用攻击源sj对于真实业务bj后续所有攻击实际都为对蜜罐的攻击；通过蜜罐的攻击记录、攻击溯源和攻击反制功能，捕获溯源日志与攻击日志；通过捕获的溯源日志和攻击日志，感知攻击威胁，获取安全态势，追溯、威慑甚至反向控制攻击者；

25、同时，将溯源日志和攻击日志实时反馈至步骤s3中，使得步骤s3中判断攻击牵引研判的价值系数能够获得更好的效果。

26、本发明还提供了一种实现所述基于攻击检测和负载调度的蜜罐防御方法的系统，具体包括初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块；初始化模块、监测模块、负载均衡策略调度模块、蜜罐牵引模块和处理模块依次串接；初始化模块用于对负载均衡进行预配置，从而初始化负载均衡对蜜罐系统的调度策略，并将数据上传监测模块；监测模块用于根据获取的数据，对待监测业务进行实时监测，将待监测业务所遭受的网络攻击进行监测，并获取对应的攻击告警，并将数据上传负载均衡策略调度模块；负载均衡策略调度模块用于根据获取的数据，对监测到的攻击进行研判，进行负载均衡策略调度，并将数据上传蜜罐牵引模块；蜜罐牵引模块用于根据获取的数据，通过负载均衡策略调度过程，将监测到的攻击牵引到蜜罐系统，并将数据上传处理模块；处理模块用于根据获取的数据，将蜜罐系统捕获的数据进行反馈，同时进行网络安全处置，完成基于攻击检测和负载调度的蜜罐防御。

27、本发明提供的这种基于攻击检测和负载调度的蜜罐防御方法及系统，提出了一种基于攻击检测及负载调度策略的网络攻击流量主动牵引方法，有效拓展蜜罐捕获面，并能够更有效的迷惑攻击者、保护真实业务，增强主动防御能力；而且本发明的安全性高、溯源效率高且稳定科学。