[发明专利]一种多层次检测的应用型数据库蜜罐实现系统及方法

说明书

技术领域

本发明涉及网络安全领域，特别涉及一种多层次检测的应用型数据库蜜罐实现系统及方法。

背景技术

网络安全领域的蜜罐一般指通过部署模拟正常的、有价值的网络节点，诱使黑客或恶意程序攻击，以暴露其黑客行径和攻击手段的目的。

传统蜜罐技术一般分为低交互式和高交互式的蜜罐，低交互的实现能力有限，一般用于触发入侵告警和捕获病毒样本为目的。高交互式蜜罐的交互能力优秀，采用虚拟机部署，可达到与正常系统一致的交互能力，一般用于研究黑客高级攻击技术，达到跟踪botnet网络等目的。当前的蜜罐技术可以有限地模拟或利用少量第三方数据与攻击方交互，在有针对性的攻击面前，很容易被发觉和感知。如：

低交互型蜜罐：交互程度低，一般的扫描工具即可以识别。

高交互型蜜罐：交互程度高，但数据伪装程度差，一般仅包括个别网页或仅仅是系统级的监控，在面对有目标的黑客攻击者，当发现不是有效数据时，即会放弃进一步攻击。致使事后发现也难于取证。

针对上述蜜罐的问题，现有一种应用型蜜罐技术：在完全参照业务应用系统进行了带有仿造业务数据的部署，一方面可进以复制业务流，从而二次验证业务系统可能出现的问题；另一方面，也可以达到诱惑攻击者驻留并实施其目的。但面对水平较低的攻击者，多数是利用公开的漏洞，和常见的攻击工具，对于数据库蜜罐的构建是完全参照业务数据库的版本安装的，两者一致才可以做二次验证。而业务数据库往往因为管理的要求已经及时打上补丁，以致蜜罐数据库在所开放的端口上已经无法实施已公开的漏洞攻击了，而这种攻击在应用级数据库蜜罐内部就自动阻断掉，而蜜罐监控模块是无法感知到的，所以存在一种外部受到攻击，而蜜罐无法感知的情况，而这种潜在威胁会一直存在于企业，政府机关等单位内部，这种潜在威胁存在越久，就越可能被攻击者识别出真实业务数据库和蜜罐数据库。

发明内容

本发明提供了一种多层次检测的应用型数据库蜜罐实现系统及方法，解决了现有应用型数据库蜜罐无法感知并检测已无效的漏洞的情况，能够对已知或未知的威胁进行多层次检测，提高了应用型数据库蜜罐的交互能力，保证了与后端数据库蜜罐代理连接的同时，又能够提供前置漏洞模拟能力，使得蜜罐的能力有极大提升。

一种多层次检测的应用型数据库蜜罐实现系统，包括：

前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，直接将所述数据流量定向到预处理模块；否则，根据目的端口，识别是否为预处理模块支持检测的数据流量，如果是，则将所述数据流量定向到预处理模块，否则丢弃所述数据流量，拒绝响应；

预处理模块，包括：标记判断子模块，用于判断接收的数据流量是否为已标记的数据流量，如果是，则还原所述流量，并进入完整性检测子模块，否则进入漏洞判断子模块；

完整性检测子模块，用于判断是否为完整攻击请求，如果是，则进入威胁判断子模块，否则返回标记判断子模块；

漏洞判断子模块，用于判断所述数据流量是否为漏洞攻击，如果是，则断开数据库蜜罐与客户端的单向连接，标记并还原所述数据流量，返回标记判断子模块，否则将所述数据流量代理转发到数据库蜜罐中；

威胁判断子模块，用于判断所述攻击请求是否对预处理模块或数据库蜜罐造成未知影响，如果是，则断开客户端与数据库蜜罐的双向连接，并向客户端反馈未知错误；否则进入漏洞模拟子模块；所述未知影响如需要在数据库蜜罐系统上进行提权和后门行为，处于安全考虑，则拒绝执行；

漏洞模拟子模块，用于模拟所述数据流量使用的漏洞，完成数据库的初级交互，并代理执行在数据库蜜罐上的操作请求；如创建账户，新建存储过程，新建计划任务等；

数据库蜜罐，用于模拟建立与想要保护的服务器相同的数据库蜜罐服务器，并完成预处理模块发送的操作请求。所述的数据库蜜罐与现有已知的应用型蜜罐搭建方式相类似。

所述的系统中，所述前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，直接将所述数据流量定向到预处理模块，替换为：前置分流模块，用于根据获取的数据流量，判断是否为访问数据库请求，如果是，则根据IP及目的端口判断是否为访问当前数据库蜜罐请求，如果是，则进一步判断是否为来自想要保护的服务器的重定向，如果是，则标记所述数据流量，再将所述数据流量定向到预处理模块，否则直接将所述数据流量定向到预处理模块；如果为非访问当前数据库蜜罐请求，则标记所述数据流量，再将所述数据流量定向到预处理模块。