[发明专利]全舰计算环境云端蜜罐、攻击事件感知和行为分析方法

权利要求书

1.一种全舰计算环境云端蜜罐，其特征在于，所述云端蜜罐包括：链路网关、TCP/UDP协议解析认证引擎、数据分析引擎、蜜罐仿真计算服务节点、罐仿真存储节点及代理网关，其中，蜜罐仿真计算服务节点和蜜罐仿真存储节点共同构建虚拟计算存储环境；

所述链路网关，用于为全舰计算环境中各终端提供点对点的RDP连接；

所述TCP/UDP协议解析认证引擎，用于对来自链路网关的信息和服务请求进行解析和认证，对于合法访问，将信息和服务请求传递给代理网关，对于非法访问或攻击，将攻击者访问流量引流至虚拟计算存储环境中，并同时对攻击者的非法活动进行监视和检测，将攻击和非法访问数据送入数据分析引擎；

所述数据分析引擎，用于实时旁路地检测经过虚拟计算存储环境的应用流量，对流量进行记录和应用解析，对解析后的应用数据匹配特征库，发现数据流中存在的对服务器漏洞攻击的行为；对于越权行为可怀疑为利用未知漏洞的攻击行为；对应用流量中识别到的攻击行为进行域名进程关系链关联举证，并提交运维管理终端，以进行判读并截断攻击链；

所述蜜罐仿真计算服务节点，用于响应攻击者的计算服务请求，给攻击者提供非真实的计算服务，为攻击者提供基于仿真蜜罐资源的虚拟计算服务，包括基础设施、平台和软件，攻击者可以在蜜罐内创建虚拟机、构建应用程序和服务平台、使用应用程序；所有通过蜜罐仿真服务节点发起的访问请求都被引导至蜜罐仿真计算服务节点和蜜罐仿真存储节点并获得响应，使攻击者误认为获取到真实的计算服务；

所述蜜罐仿真存储节点，用于响应攻击者的数据读写服务请求，给攻击者提供非真实的结构化数据，使攻击者误认为获取窃取到真实的数据，获得真实的存储服务；

所述代理网关，用于对通过TCP/UDP协议解析认证引擎认证的报文进一步认证，并对最终通过认证的用户提供真实的全舰计算环境云服务平台的访问。

2.如权利要求1所述的云端蜜罐，其特征在于，所述蜜罐仿真计算服务节点按全舰计算环境云服务平台部署，提供3种服务模式；

所述蜜罐仿真计算服务节点提供的3种服务分别为：基础设施即服务，为攻击者虚拟化计算资源，如虚拟机、存储、网络和操作系统；平台即服务，为攻击者构建应用程序和服务平台，提供按需开发的环境；软件即服务，为攻击者提供应用程序并运行其访问蜜罐内数据；

上述计算资源、应用程序和服务平台按全舰计算环境云服务平台部署，但其数据和算法均已经进行脱密处理，其访问数据局限在蜜罐仿真存储节点内；

所述蜜罐仿真存储节点的数据结构是按全舰计算环境云服务平台部署，所述数据采用云服务平台真实数据将敏感数据进行修改，进行脱密处理，拥有全舰计算环境基本的数据库，以模拟云存储服务。

3.如权利要求1所述的云端蜜罐，其特征在于，所述链路网关由汇聚模块、RDP模块、NAP模块和NP模块组成；

所述汇聚模块，用于将外部连接的多个物理端口的数据汇聚到1个端口，发送到数据分析引擎；

所述RDP模块，用于实现信息和服务请求的转换；

所述NAP模块，用于根据预设规则对接入全舰计算环境的终端强制实施健康状况要求，包括硬件要求、安全更新要求、所需的计算机配置以及其他设置；

所述NP模块，用于根据PDP模块和NAP模块的处理结果，将信息和服务请求分为3类，并将经标注的信息和服务请求发送至TCP/UDP协议解析认证引擎，分类规则如下：对于全舰计算环境系统内认证设备发出的信息和服务请求被标记为A类，对于系统外符合认证条件的设备发出的信息和服务请求被标记为B类，其他信息和服务请求被标记为C类。

4.如权利要求1所述的云端蜜罐，其特征在于，所述数据分析引擎用于将待检测的数据包镜像一份到待检测队列，检测进程对检测的数据包进行扫描检测，并根据运维管理终端的指令临时对各类信息和服务请求进行放行或阻止：

所述扫描检测包括：通过对访问者的IP地址进行归属地判断，同时检测该终端健康状况，判断该终端是否具有相应的业务进行访问权限。