本發明公開了一種網絡安全防護系統及相關方法，涉及網絡安全領域。所述網絡安全防護系統包括：至少一個邊界蜜罐和與所述至少一個邊界蜜罐連接的蜜網；其中：所述至少一個邊界蜜罐位于業務網絡中，所述至少一個蜜網與所述業務網絡相隔離；所述至少一個邊界蜜罐用于誘導攻擊者攻擊自身并引導所述攻擊者進入所連接的蜜網。本發明誘導攻擊者攻擊邊界蜜罐，進一步從邊界蜜罐引導進入蜜網，由于蜜網與業務網絡相隔離，與現有技術相比，一方面可以通過邊界蜜罐和蜜網誘導和欺騙攻擊者，不論是已知的攻擊方式還是未知的攻擊方式，都可以實現更有效的防御，同時拖延攻擊者的攻擊時間改變攻擊者的攻擊路徑，從而及時地阻斷攻擊者對正常業務網絡的攻擊。

技術領域

本發明涉及網絡安全技術領域，特別涉及一種網絡安全防護系統及相關方法。

背景技術

在網絡安全領域，入侵攻擊手段在近年來發展迅速，攻擊方式繁多、手法新穎，傳統的安全防御思路并不能阻攔一切外部的入侵攻擊行為。單一依靠安全防御產品去阻攔攻擊的方案不再可行。

傳統的安全防御思想在于如何依靠邊界防御設備將攻擊阻攔在外網，或是通過入侵檢測系統(IDS，Intrusion Detection Systems)、入侵防御系統(IPS，IntrusionPrevention System)等設備檢測到攻擊流量，從而阻攔攻擊。但由于攻擊者手法的多樣性，攻擊者以繞過邊界防御的方式進入內網，或是直接突破邊界防御設備。

目前傳統內網的安全防護產品主要是采用被動安全防御的方式，包括流量分析和日志審核等，不論是硬件設備還是軟件，主要是通過使用自身規則庫匹配的方式來識別是否是攻擊行為，但存在下述缺點：1、規則庫保存的歷史攻擊特征，并不能識別未知攻擊；2、規則匹配準確性不高，導致容易存在漏報、誤報等；3、現有的傳統內網安全產品如果發現攻擊行為，并不能及時地阻斷攻擊。

發明內容

鑒于上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的一種網絡安全防御系統及相關方法。

第一方面，本發明實施例提供一種網絡安全防護系統，包括：至少一個邊界蜜罐和與所述至少一個邊界蜜罐連接的蜜網；其中：所述至少一個邊界蜜罐位于業務網絡中，所述至少一個蜜網與所述業務網絡相隔離；

所述至少一個邊界蜜罐用于誘導攻擊者攻擊自身并引導所述攻擊者進入所連接的蜜網。

在一個實施例中，所述至少一個邊界蜜罐部署于所述業務網絡的至少一個預設的網段中。

在一個實施例中，在同一個所述預設的網段中，邊界蜜罐的數量不少于所述預設的網段中除所述邊界蜜罐之外提供正常服務的服務器的數量。

在一個實施例中，所述預設的網段為提供Web服務的網段或存在核心數據的網段。

在一個實施例中，所述邊界蜜罐用于通過下述任一種或兩種方式的組合來誘導攻擊者攻擊自身：

開啟服務的類型與所在網段所提供的服務的類型相同或相似；

具備與所在網段中提供正常服務的服務器相同或近似的屬性。

在一個實施例中，所述至少一個邊界蜜罐，用于通過使用網絡欺騙和/或數據欺騙來引導攻擊者進入所連接的蜜網。

在一個實施例中，所述網絡欺騙，包括：提供偽裝的路由信息；

所述數據欺騙，包括下述任一項或多項：提供偽裝的Web服務內容、偽裝的數據庫數據、偽裝的敏感文件、偽裝的系統歷史操作和偽裝的網絡配置文件。

在一個實施例中，所述蜜網為利用軟件定義網絡(SDN)技術構建的蜜罐網絡。

在一個實施例中，所述邊界蜜罐，還用于記錄攻擊者的攻擊行為；

所述蜜網，還用于記錄攻擊者的攻擊行為以及攻擊行為路線。