技術領域

本發明涉及網絡防御技術領域，更具體地說，涉及一種基于蜜罐技術的網絡防御方法及系統。

背景技術

目前，蜜罐作為新興的網絡防御技術，不僅能夠主動防御網絡攻擊，而且還可以收集攻擊者的重要信息。但是當前的現狀是業務系統的網絡結構越來越復雜，重要應用和服務器的數量及種類日益增多，一旦被黑客入侵，就可能會極大的影響系統的正常運轉。雖然這些情況的出現看似偶爾，但隨著時間的推移，系統規模的增加，難免會成為必然。但是現有的蜜罐的不能模擬出客戶的真實場景，很占存儲空間，并且很多類似的蜜罐間沒有網絡隔離，會互相干擾。

因此，如何增加蜜罐的防御能力，提高蜜罐的防御效果是本領域技術人員需要解決的問題。

發明內容

本發明的目的在于提供一種基于蜜罐技術的網絡防御方法及系統，以增加蜜罐的防御能力，提高蜜罐的防御效果。

為實現上述目的，本發明實施例提供了如下技術方案：

一種基于蜜罐技術的網絡防御方法，包括：

代理服務器接收數據訪問流量，利用攻擊模型檢測所述數據訪問流量中是否存在具有攻擊行為的惡意流量；

若存在惡意流量，則將所述惡意流量引入基于Docker的Web應用場景蜜罐，通過所述Web應用場景蜜罐攔截所述惡意流量的惡意攻擊；

其中，所述Web應用場景蜜罐通過基礎內容管理系統容器以及用戶的網頁標準系統模擬用戶真實場景。

其中，述利用攻擊模型檢測所述數據訪問流量中是否存在具有攻擊行為的惡意流量包括：

檢測所述數據訪問流量是否符合攻擊策略、陷阱文件訪問策略、重點文件監控策略中的至少一種策略；

其中，若所述數據訪問流量符合預定攻擊策略、陷阱文件訪問策略、重點文件監控策略中的至少一種策略，則判定所述數據訪問流量為惡意流量。

其中，若存在惡意流量，則所述網絡防御方法還包括：

所述代理服務器設置每個惡意流量的標識；

所述Web應用場景蜜罐攔截所述惡意流量的惡意攻擊時，收集日志數據，并將所述日志數據發送至云端分析設備；其中，所述日志數據通過每個惡意流量的標識進行標記；

所述云端分析設備利用所述日志數據分析攻擊者的攻擊信息；所述攻擊信息包括攻擊者的攻擊手法信息和攻擊者特征信息。

其中，所述云端分析設備利用所述日志數據分析攻擊者的攻擊信息之后，還包括：

利用所述攻擊信息訓練所述代理服務器的攻擊模型。

其中，所述云端分析設備利用所述日志數據分析攻擊者的攻擊信息之后，

利用所述攻擊信息對攻擊者進行溯源，獲取攻擊者信息。

其中，所述Web應用場景蜜罐攔截所述惡意流量的惡意攻擊時，還包括：

檢測所述惡意流量的是否存在破壞蜜罐行為；

若存在，則通過持續集成設備構建與被破壞的Web應用場景蜜罐相同的蜜罐，以替換被破壞的Web應用場景蜜罐。

一種基于蜜罐技術的網絡防御系統，包括：

代理服務器，用于接收數據訪問流量，利用攻擊模型檢測所述數據訪問流量中是否存在具有攻擊行為的惡意流量；若存在惡意流量，則將所述惡意流量引入基于Docker的Web應用場景蜜罐；

所述Web應用場景蜜罐，用于攔截所述惡意流量的惡意攻擊；其中，所述Web應用場景蜜罐通過基礎內容管理系統容器以及用戶的網頁標準系統模擬用戶真實場景。

其中，所述代理服務器具體用于：

檢測所述數據訪問流量是否符合攻擊策略、陷阱文件訪問策略、重點文件監控策略中的至少一種策略；其中，若所述數據訪問流量符合預定攻擊策略、陷阱文件訪問策略、重點文件監控策略中的至少一種策略，則判定所述數據訪問流量為惡意流量。

其中，本方案還包括云端分析設備；其中，所述代理服務器還用于設置每個惡意流量的標識；

所述Web應用場景蜜罐還用于攔截所述惡意流量的惡意攻擊時，收集日志數據，并將所述日志數據發送至云端分析設備；其中，所述日志數據通過每個惡意流量的標識進行標記；

所述云端分析設備用于利用所述日志數據分析攻擊者的攻擊信息；所述攻擊信息包括攻擊者的攻擊手法信息和攻擊者特征信息。

其中，所述云端分析設備還用于利用所述攻擊信息訓練所述代理服務器的攻擊模型。

其中，所述云端分析設備還用于利用所述攻擊信息對攻擊者進行溯源，獲取攻擊者信息。