本發明涉及一種基于windows操作系統的誘捕節點實現技術及裝置，包括步驟：S01.攻擊者發起掃描連接；S02.啟動windows誘捕節點轉發服務與攻擊者建立連接；S03.windows誘捕節點將身份信息轉發給linux中間層轉發服務；S04.linux中間層轉發服務發起與蜜罐主機服務的連接請求；S05.蜜罐主機服務響應連接，轉發給linux中間層轉發服務；S06.linux中間層轉發服務將連接響應信息轉發回windows誘捕節點；S07.windows誘捕節點轉發服務響應信息回應給攻擊者，本發明增加了誘捕節點密度，同時降低了部署成本和維護成本，提高了系統穩定性。

技術領域

本發明涉及網絡安全技術領域，具體的說是一種基于windows操作系統的誘捕節點實現方法及裝置。

背景技術

為了把攻擊者攻擊引入到蜜網的蜜罐主機中來，目前除了須有具備完善的系統監控和告警能力的蜜罐主機外，還要看誘捕節點的能力及在客戶網絡中的部署密度，充分的將攻擊行為引入到蜜罐主機中來，讓安全管理人員及時知道攻擊者滲透了內網、知道哪些服務器被攻擊、以及攻擊者的具體攻擊行為等。

現有誘捕節點的實現技術主要采用：

1.在現有各網段中新增物理服務器：在各網段中添加專門的物理服務器，在此機的物理網卡上配置多個虛擬網卡，并分配相應IP，通過策略路由的方式實現與蜜罐主機IP的互連。

2.在現有不太關鍵的服務器上安裝虛擬機：在各網段中找一臺在用但重要程度不高的服務器上安裝虛擬機，在虛擬系統中在現有的網卡下配置多個虛擬網卡，并分配相應IP，通過策略路由的方式實現與蜜罐主機IP的互連。

3.通過虛擬網卡及策略路由或端口轉發技術：在各網段中找一臺在用但重要程度不高的服務器上安裝多塊物理網卡，在現有的網卡下配置多個虛擬網卡，并分配相應IP，通過策略路由的方式實現與蜜罐主機IP的互連。

但是上述方法中方法1部署物理服務器成本高昂，方法2和方法3不僅存在改造成本，同時還在存在兼容性的風險和節點可靠性依賴的風險，同時這3種方法都存在IP地址資源的分配和沖突的風險，日常維護要求高，需要配備專業的網管人員，增加人力成本。

中國專利文獻CN107360145A公開了一種多節點蜜罐系統及其數據分析方法，所述多節點蜜罐系統包括多個單節點蜜罐系統，所述多個單節點蜜罐系統互聯形成網絡拓撲結構；所述方法包括：獲取各個單節點蜜罐系統的原始數據；利用主成分分析法對所述原始數據進行特征篩選，得到中間數據；對所述中間數據進行聚類分析以及監督學習，得到多個簇，其中，每個簇包括多個實例；在各個所述簇內針對惡意攻擊命令進行關聯規則提取；將提取出的關聯規則作為攻擊特征存儲至特征標注集中，該專利中針對攻擊者采用虛擬系統中配置多個虛擬網卡，并分配相應IP，通過策略路由的方式實現與蜜罐主機IP的互連，從而達到誘捕攻擊者的作用，但該方法存在IP地址資源的分配和沖突的風險，系統穩定性較差。

中國專利文獻CN109347794A公開了一種Web服務器安全防御方法，該方法包括：安全防御系統實時檢測訪問Web服務器的網絡流量中是否存在違反安全策略的攻擊行為。如果存在違反安全規則的異常流量，則通過安全防御系統中的虛假響應單元對攻擊行為進行虛假響應，同時將異常流量遷移至蜜罐中，進行細粒度的分析，從而有效地迷惑攻擊者，打亂攻擊者的決策，進而有效抵御攻擊者對服務器的掃描探測及多次嘗試攻擊，維護Web服務器的安全穩定，該專利同樣采用虛擬系統中配置多個虛擬網卡的方式，來誘騙攻擊者，該專利同樣存在IP地址資源的分配和沖突的風險。

發明內容