本發明公開了一種蜜罐數據庫的更新和還原方法及系統，首先，將真實業務數據處理后填充至蜜罐數據庫中，并設置所述蜜罐數據庫為低權限；復制蜜罐數據庫中的元數據和處理后的真實業務數據形成備份數據庫，并設置所述備份數據庫為高權限；對外開放蜜罐數據庫；定時將真實業務數據的增量數據處理后同時更新至蜜罐數據庫和備份數據庫中；若接收到還原請求，則刪除原蜜罐數據庫，將備份數據庫復制形成新的蜜罐數據庫。本發明所述的技術方案不僅解決了蜜罐數據庫被入侵導致數據改變進而影響后續使用的問題，同時可以在攻擊者入侵的過程中完成增量數據的導入，使得蜜罐數據庫更加真實可信。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種蜜罐數據庫的更新和還原方法及系統。

背景技術

當前蜜罐技術的演進，因缺少豐富的數據而導致黑客只做了初步的入侵即可分辨目標是否為蜜罐而導致放棄后續攻擊，這時，即使捕獲到攻擊來源，并定位到人，但由于操作行為少，可以“無意看到”，“輸入錯誤”，“安全檢查”等理由逃避公司規定處罰和法律的制裁。

在面向數據庫的應用級蜜罐技術的演進中，尤其針對業務系統的仿真實現，同時在其中也加入大量的數據，有助于更詳細地分析攻擊者的入侵過程和目的，攻擊者將無理由逃避制裁。

在面向數據庫的應用級蜜罐實現過程中，對于一次入侵后對數據的修改和破壞，如不修復，將影響下一次入侵的質量。在現有系統修復和還原的方法，一般考慮如下兩個方案實現：虛擬化方案和數據庫快照方案。

虛擬化方案，則以虛擬機為基礎搭建，在每次完成業務數據增量同步后，制作快照鏡像。在每完成一次入侵后，恢復快照。其優點是針對虛擬機的交互較多，缺點是在進行業務數據同步的時候，為避免外部在這時候入侵，要對網絡進一步隔離，從另外通道導入數據，所以快照生成和恢復的成本均較高，運行期的CPU成果也較高。同時對于入侵時，有很多方法可以感知目標是虛擬機，而且目前的隱藏虛擬機指紋的方案也不盡完美。

數據庫快照方案，采用數據庫的日志備份技術，當有增量數據的導入時，關閉外部訪問連接，而內部需要恢復日志快照，然后完成導入，再生成新的快照。當完成一次入侵行為后，依然可以采用恢復上一次快照的方式。優點是業務模式操作簡單，無虛擬化可被感知的風險。而缺點是切換時間長，數據導入導出速度慢，而可能錯過被入侵的時機。

以上現有技術均存在的最大問題是，攻擊者在入侵的過程中很可能會觀察是否有增量數據的導入，也同時會修改數據庫內容，但以上兩種方案為了不影響快照內容的安全性，都無法在被攻擊的過程中完成增量數據的補充，這將影響蜜罐數據庫的真實性。

發明內容

本發明提供了一種蜜罐數據庫的更新和還原方法及系統，該發明所述的技術方案設置了一個備份數據庫，其初始數據與蜜罐數據庫相同，對于真實業務數據的增量數據進行處理后可以同時更新至蜜罐數據庫和備份數據庫中，這樣攻擊者在入侵蜜罐數據庫時可以感受到數據的更新，誘使其信任該蜜罐數據庫為真實業務數據，并進行進一步的操作。當蜜罐數據庫被攻擊者改變后，則隨時可以復制備份數據庫形成新的蜜罐數據庫投入使用，其所耗費的時間遠遠小于現有技術。

本發明采用如下方法來實現：一種蜜罐數據庫的更新和還原方法，包括初始化階段和投入使用階段：

所述初始化階段包括：

將真實業務數據處理后填充至蜜罐數據庫中，并設置所述蜜罐數據庫為低權限；

復制蜜罐數據庫中的元數據和處理后的真實業務數據形成備份數據庫，并設置所述備份數據庫為高權限；

所述投入使用階段包括：

對外開放蜜罐數據庫；

定時將真實業務數據的增量數據處理后同時更新至蜜罐數據庫和備份數據庫中；