本發明公開了一種蜜罐構造方法及系統，該系統包括流量分析裝置，由協議處理服務裝置和主機模擬服務裝置構成的蜜罐構造裝置，身份認證裝置，蜜罐部署裝置和日志存儲裝置，其中，流量分析裝置分析獲得可疑數據流并發送至蜜罐構造裝置，蜜罐構造裝置根據可疑流量的屬性啟動協議處理服務裝置或主機模擬服務裝置對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置。實現了能夠自動按需部署蜜罐系統的目的。

技術領域

本發明涉及網絡安全技術領域，特別是涉及采用微服務架構的蜜罐自動構造方法及系統。

背景技術

根據360互聯網安全中心發布的《2016年中國網站安全漏洞形勢分析報告》中的數據表明，對各類網站進行掃描發現存在漏洞的網站數量較高，這就顯示出公共互聯網絡面臨著嚴重的安全威脅，網絡安全問題日益成為一個全球性的突出問題，如何保證網絡安全和避免黑客攻擊成為了重要的課題。

由于黑客無處不在，而安全也沒有一個絕對意義上的標準。所以誘騙網絡入侵者成為了很好的遏制黑客攻擊的途徑，通過記錄其攻擊流，并在此基礎上進行分析整理，調查其入侵方式，掌握其規律，來保證計算機網絡的正常安全地運行，就顯得尤為必要了。相對于傳統的數據鑒別、防火墻、數據加密和認證等安全防護技術在手段上的較為被動，蜜罐系統能夠主動防御網絡攻擊，它通過偽造攻擊目標，誘騙攻擊者攻擊，從而實現保護實際目標的目的。可以通過對蜜罐配置任意數量的服務或者任何種類的操作系統。高交互蜜罐模擬一個具有完整服務的操作系統環境，而低交互蜜罐通常模擬一些易遭受攻擊的服務，比如網絡堆棧。

但是傳統的蜜罐系統很可能是一個又大又復雜的單體式應用，任何單個開發者對其開發都會存在一定的困難，修正漏洞和正確地添加新功能也會變得非常困難并且比較耗時。并且高交互蜜罐系統如果被攻擊者完全攻陷而不被察覺，攻擊者就可以對系統進行任意的攻擊，而低交互蜜罐系統只允許攻擊者對齊設定的服務進行訪問攻擊，容易被攻擊者識破。所以在現有的蜜罐系統中無論構造成高交互蜜罐還是低交互蜜罐都存在著一定的缺點。

發明內容

針對于上述問題，本發明提供一種蜜罐構造方法及系統，實現了能夠自動按需部署蜜罐系統的目的。

為了實現上述目的，根據本發明的第一方面，提供了一種蜜罐構造方法，該方法適用于蜜罐構造系統，所述系統包括流量分析裝置，由協議處理服務裝置、主機模擬服務裝置和監聽裝置構成的蜜罐構造裝置，身份認證裝置，蜜罐部署裝置和日志存儲裝置，所述蜜罐構造方法包括：

所述流量分析裝置接收外部網絡數據流，對所述外部網絡數據流進行分析，將所述外部網絡數據流中的正常數據流放行,并發送至第一業務系統，所述第一業務系統為所述正常的數據流要訪問的業務系統，將可疑數據流發送至蜜罐構造裝置中的協議處理服務裝置；

所述協議處理服務裝置模擬易受攻擊的協議服務對所述可疑流量進行響應，獲取所述可疑數據流的攻擊流，生成日志信息存儲至所述日志存儲裝置；

當所述攻擊流不能滿足所設安全閾值時，則所述協議處理服務裝置將蜜罐部署申請發送至所述身份認證裝置，其中，所述安全閾值為根據實際情況設定的所要截獲的攻擊流；

所述身份認證裝置判斷所述蜜罐部署請求是否為合法請求，如果是則將所述蜜罐部署請求發送至所述蜜罐部署裝置；

所述蜜罐部署裝置將蜜罐部署信息發送至所述主機模擬服務裝置；

所述主機模擬服務裝置模擬操作系統的服務對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置；

所述狀態監聽裝置對所述協議處理服務裝置和主機模擬服務裝置中的響應狀態進行監聽。

優選的，所述狀態監聽裝置包括刪除單元和部署單元，該方法還包括：