[发明专利]信息化生产环境下基于蜜网的风险预警系统及方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种信息化生产环境下基于蜜网的风险预警系统及方法。

背景技术

目前，随着互联网技术的发展，网络扫描、蠕虫与病毒代码的传播以及黑客恶意攻击等已经是网络上每台主机随时可能遇到的危险。为了应对上述危险，防病毒软件和防火墙技术发展起来，但是他们都是被动的。蜜罐和蜜网技术的提出正式为了主动出击研究网络上这些安全威胁而产生的。

蜜网是在蜜罐技术上逐渐发展起来的一个新的概念，又可成为诱捕网络。一个蜜网中通常包含一个或多个蜜罐，蜜罐技术实质上还是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。

蜜罐是指部署在网络上的，能够伪装成真实的网络、主机和服务，诱惑恶意攻击的诱饵，其价值在于能够收集网络上的攻击活动信息，并对这些信息进行监视、检测和分析。

蜜网系统是为了收集入侵者的攻击信息，因而，如何发出网络警报、如何做出实时防护是蜜网系统的一个重要的组成部分。

蜜网是一种架构，而不是产品（如计算机软件），即由一个或多个蜜罐组成。蜜罐是一个普遍通用的工具，它可以诱骗攻击者进入该网络，从而分析该网络数据源的相关信息，获取入侵者的登录情况。通常，一个蜜网没有生产价值，相反，它的价值在于检测是否未将授权而非法使用信息系统资源。任何进入或离开一个蜜罐的数据可能被视为探针，攻击或妥协。通过学习如何诱骗攻击者进入网络中，管理员可以学习这些知识，以增强其网络的防御能力，关闭在实际网络中的相关漏洞。

值得特别关注的是，蜜网是用来捕捉构成威胁的数据类型的一种高交互蜜罐，该蜜罐是一般黑客使用的实时操作系统、应用或者是服务，它的优势就是在于允许网络管理员可以看到攻击者使用什么工具捕获更多攻击者的入侵信息，此外，这种具备高交互式的蜜罐很难被攻击者发现，由于他的复杂性，也难以部署和维护。

高交互式的蜜罐不同于低交互式蜜罐，这往往提供有限的交互模拟操作系统、应用程序和服务，但是低交互蜜罐可能更易于部署和维护，这些较复杂的系统，更不易察觉。此外，管理员往往只能获得有限的信息包括攻击者的相关战术。

蜜罐既不是一台计算机，也不作为一台计算机来使用。蜜网通常是由一个是由一个或多个蜜罐系统架构组成。该系统可以包含多个相似或不同的数据库、服务器、网络服务器、路由器或打印机。此外，在这个架构中，网络系统设计为允许黑客相互互动，可监控该发生的所有活动。

蜜网架构一旦被创建，需要及时的部署，以吸引敌对活动。众所周知，成功的部署，要求数据控制和数据采集相结合。数据控制要求在黑客不知道的情况下，系统自动记录黑客的各种活动，并且采集黑客所有的相关信息，综上所述，数据控制阶段优先对数据进行采集并集中分析。

在一般情况下，数据控制主要遏制相关活动并有助于减少黑客使用蜜网来攻击非蜜网系统的风险。数据控制要求给予黑客进入蜜网并限制其活动的自由，当黑客获取更多的自由时，黑客会绕过数据控制并损害非蜜网的系统，从而给系统增加风险。然而，当更多的活动受到限制时，它变得更难了解黑客如何渗透到组织内网。想要成功部署实施就要利用多层次的数据控制的实施方案，层次包括但不仅限于这些，比如说：出站连接、入侵防御网关或者是宽带限制等等，结合几种不同的机制，可有助于防止单一故障点，尤其在处理新的或者是未知的攻击。蜜网项目也公开建议在一个被封闭的实验环境下运作。当然，如果有任何机制的失败（例如，一个进程死掉，硬盘驱动器已满，或规则配置错误）蜜网的架构可能会阻止所有的出站活动。

普通的蜜网环境必须要求有数据控制，以满足特定的目标。比如说，他应该同时可实现自定义以及全自动，同时至少有两个数据控制层，以防止故障。当数据控制系统出现故障时，不允许在一个开放的状态下离开系统，只能允许在蜜罐中访问，也应该保持所有入站和出站的连接状态，管理员可以在任何时间能够在本地或者是远程配置数据控制中心，连接应该是难以察觉，当一个蜜罐被攻破时，自动报警应立即生效。

数据采集主要是在蜜网中监测和记录黑客的活动。一旦数据被捕获，它将主动被分析，以了解黑客的工具、战术和动机。像数据控制以及捕捉信息相结合组成机制都是至关重要的，一般条件下，层数越多，被捕获的信息往往获得的信息越多。