技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種信息化生產環境下基于蜜網的風險預警系統及方法。

背景技術

目前，隨著互聯網技術的發展，網絡掃描、蠕蟲與病毒代碼的傳播以及黑客惡意攻擊等已經是網絡上每臺主機隨時可能遇到的危險。為了應對上述危險，防病毒軟件和防火墻技術發展起來，但是他們都是被動的。蜜罐和蜜網技術的提出正式為了主動出擊研究網絡上這些安全威脅而產生的。

蜜網是在蜜罐技術上逐漸發展起來的一個新的概念，又可成為誘捕網絡。一個蜜網中通常包含一個或多個蜜罐，蜜罐技術實質上還是一類研究型的高交互蜜罐技術。其主要目的是收集黑客的攻擊信息。但與傳統的蜜罐技術的差異在于，蜜網構成了一個黑客誘捕網絡體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證網絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。

蜜罐是指部署在網絡上的，能夠偽裝成真實的網絡、主機和服務，誘惑惡意攻擊的誘餌，其價值在于能夠收集網絡上的攻擊活動信息，并對這些信息進行監視、檢測和分析。

蜜網系統是為了收集入侵者的攻擊信息，因而，如何發出網絡警報、如何做出實時防護是蜜網系統的一個重要的組成部分。

蜜網是一種架構，而不是產品（如計算機軟件），即由一個或多個蜜罐組成。蜜罐是一個普遍通用的工具，它可以誘騙攻擊者進入該網絡，從而分析該網絡數據源的相關信息，獲取入侵者的登錄情況。通常，一個蜜網沒有生產價值，相反，它的價值在于檢測是否未將授權而非法使用信息系統資源。任何進入或離開一個蜜罐的數據可能被視為探針，攻擊或妥協。通過學習如何誘騙攻擊者進入網絡中，管理員可以學習這些知識，以增強其網絡的防御能力，關閉在實際網絡中的相關漏洞。

值得特別關注的是，蜜網是用來捕捉構成威脅的數據類型的一種高交互蜜罐，該蜜罐是一般黑客使用的實時操作系統、應用或者是服務，它的優勢就是在于允許網絡管理員可以看到攻擊者使用什么工具捕獲更多攻擊者的入侵信息，此外，這種具備高交互式的蜜罐很難被攻擊者發現，由于他的復雜性，也難以部署和維護。

高交互式的蜜罐不同于低交互式蜜罐，這往往提供有限的交互模擬操作系統、應用程序和服務，但是低交互蜜罐可能更易于部署和維護，這些較復雜的系統，更不易察覺。此外，管理員往往只能獲得有限的信息包括攻擊者的相關戰術。

蜜罐既不是一臺計算機，也不作為一臺計算機來使用。蜜網通常是由一個是由一個或多個蜜罐系統架構組成。該系統可以包含多個相似或不同的數據庫、服務器、網絡服務器、路由器或打印機。此外，在這個架構中，網絡系統設計為允許黑客相互互動，可監控該發生的所有活動。

蜜網架構一旦被創建，需要及時的部署，以吸引敵對活動。眾所周知，成功的部署，要求數據控制和數據采集相結合。數據控制要求在黑客不知道的情況下，系統自動記錄黑客的各種活動，并且采集黑客所有的相關信息，綜上所述，數據控制階段優先對數據進行采集并集中分析。

在一般情況下，數據控制主要遏制相關活動并有助于減少黑客使用蜜網來攻擊非蜜網系統的風險。數據控制要求給予黑客進入蜜網并限制其活動的自由，當黑客獲取更多的自由時，黑客會繞過數據控制并損害非蜜網的系統，從而給系統增加風險。然而，當更多的活動受到限制時，它變得更難了解黑客如何滲透到組織內網。想要成功部署實施就要利用多層次的數據控制的實施方案，層次包括但不僅限于這些，比如說：出站連接、入侵防御網關或者是寬帶限制等等，結合幾種不同的機制，可有助于防止單一故障點，尤其在處理新的或者是未知的攻擊。蜜網項目也公開建議在一個被封閉的實驗環境下運作。當然，如果有任何機制的失敗（例如，一個進程死掉，硬盤驅動器已滿，或規則配置錯誤）蜜網的架構可能會阻止所有的出站活動。

普通的蜜網環境必須要求有數據控制，以滿足特定的目標。比如說，他應該同時可實現自定義以及全自動，同時至少有兩個數據控制層，以防止故障。當數據控制系統出現故障時，不允許在一個開放的狀態下離開系統，只能允許在蜜罐中訪問，也應該保持所有入站和出站的連接狀態，管理員可以在任何時間能夠在本地或者是遠程配置數據控制中心，連接應該是難以察覺，當一個蜜罐被攻破時，自動報警應立即生效。

數據采集主要是在蜜網中監測和記錄黑客的活動。一旦數據被捕獲，它將主動被分析，以了解黑客的工具、戰術和動機。像數據控制以及捕捉信息相結合組成機制都是至關重要的，一般條件下，層數越多，被捕獲的信息往往獲得的信息越多。