[发明专利]基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法

权利要求书

1.一种基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，包括以下步骤：

(1)业务方诱捕节点流量转发：部署在业务方网络中，并将访问该业务节点的流量首次转发到后端诱捕节点，转发过程实现数据加密且支持优化的代理协议，并通过代理协议将用户信息及节点信息转发至透明代理节点；

(2)业务方诱捕节点动态实现虚拟IP模拟：根据从所述诱捕节点处拉取到的节点配置，进行虚拟多IP模拟；

(3)诱捕节点端口扫描监控：在诱捕节点处进行扫描流量监控，实现全流量端口扫描监控，发现扫描行为上报至云端日志收集系统；

(4)透明代理节点TCP/UPD流量转发：将业务网络中各诱捕节点的访问流量透明转发到后端真实的蜜罐服务中，实现透明代理；

(5)多转发节点场景下的流量实现对应节点定位：利用透明代理节点获取到所有诱捕节点的来源及目的两方的信息，利用攻击流量来源及节点信息映射，以实现攻击节点定位。

2.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，还包括以下步骤：

云端分析程序对攻击日志进行泛化及入库：通过读取日志收集系统中的收集到的各类日志，分析当前日志内容，综合当前日志的信息及透明代理记录到redis中的请求信息，对日志进行分析、溯源、泛化、入库等操作。

3.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，所述诱捕节点采用SOCKET+EPOLL架构实现节点转发，收到SOCKET连接之后，接受数据并向后端透明代理服务器建立对应的转发连接并转发数据。

4.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，所述代理协议的原理为在连接建立后，数据转发前，先发送一个固定格式的携带请求信息，包括请求来源IP、来源端口、目的IP、目的端口、节点IP、节点MAC的特定数据包。

5.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，虚拟IP模拟采用python第三方库实现，同时虚拟IP均对应本机的LO回环网络。

6.根据权利要求1所述的基于TCP/UDP透明代理实现的蜜罐攻击者溯源的方法，其特征在于，攻击节点的定位具体包括在透明代理节点记录流量的来源端口、来源IP、以及对应的真实蜜罐服务的端口及IP、时间戳信息，并以HASH结构存储在redis中，便于后续云端分析。