[发明专利]一种防逃逸的攻击行为欺骗蜜罐构建方法

说明书

本发明涉及网络安全技术领域，尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。本发明通过管理平台创建不同功能的，带有守护进程的蜜罐容器，将蜜罐部署在容器中。当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时，守护进程采用白名单、sha256进行校验。校验成功，程序正常启动。校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。对攻击行为的针对性强，有效防止蜜罐逃逸风险，提高了网络环境的安全性和稳定性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种防逃逸的攻击行为欺骗蜜罐构建方法。

背景技术

随着网络高速的发展，网络中的资源也在成倍的增加，如何提高暴露在网络中资源的安全性，是目前急需解决的问题。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

现有的网络安全技术中，现有的操作系统、虚拟化工具软件有可能存在漏洞，攻击者可以利用存在的漏洞，通过攻击工具实现蜜罐逃逸。造成网络环境的安全性、稳定性下降。

发明内容

针对背景技术中存在的问题，提出一种防逃逸的攻击行为欺骗蜜罐构建方法。本发明通过管理平台创建不同功能的，带有守护进程的蜜罐容器，将蜜罐部署在容器中。当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭。当安装、配置合法程序或启动任一程序时，守护进程采用白名单、sha256进行校验。校验成功，程序正常启动。校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。对攻击行为的针对性强，有效防止蜜罐逃逸风险，提高了网络环境的安全性和稳定性。

本发明提出一种防逃逸的攻击行为欺骗蜜罐构建方法，方法如下：

S1、建立管理平台；通过管理平台创建不同功能的蜜罐容器，并在系统环境中布置多个诱捕节点；

S2、蜜罐容器对诱捕节点进行一一隔离，蜜罐容器内布置守护进程；

S3、将蜜罐一一部署在蜜罐容器内，与诱捕节点以及守护进程进行绑定；运行蜜罐、蜜罐容器以及系统；

S4、当守护进程发现系统执行的工作进程被停止或启动了不明进程时，蜜罐容器自动关闭；当安装、配置合法程序或启动任一程序时，守护进程进行校验；

S5、校验成功，程序正常启动；校验失败，程序被写入报警日志，并被锁定在蜜罐容器中。

优选的，管理平台包括镜像模块、蜜罐容器、镜像仓库、守护模块、控制模块和校验模块。

优选的，镜像模块除了提供蜜罐容器运行时所需的程序、库、资源、配置文件外，还包含为蜜罐容器运行时准备的配置参数。

优选的，蜜罐容器上设置有数据接口；数据接口设置有检测单元和截断单元；守护进程连接检测单元和截断单元。

优选的，校验模块包括数据采集单元、白名单存储库、校验单元和反馈单元，用于提前采集用户行为数据，建立白名单，并将系统中的进程与白名单对比，判断是否为允许的工作进程。

优选的，采集单元对正常行为数据和异常行为数据进行收集，分别提取上述数据包的特征值序列，并分类存储；白名单为正常行为数据的特征值序列合集。

优选的，守护进程进行校验会对当前执行的进程进行白名单校验，只有在白名单内的程序可以启动。

优选的，白名单校验方法为：需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列合集匹配，判断为校验合格。