本發明公開了一種在蜜罐場景下獲取攻擊者信息的系統，包括蜜罐分析區以及多個分別與所述蜜罐分析區連接的業務區，所述業務區用于部署對攻擊者的攻擊行為進行誘捕的蜜罐誘捕節點；所述蜜罐分析區用于部署TCP轉發模塊和真實攻擊信息獲取模塊；本發明還公開了一種在蜜罐場景下獲取攻擊者信息的方法，本發明解決了在蜜罐場景下獲取真實攻擊者IP地址端口等信息需要修改蜜罐應用層代碼、環境兼容性差、性能低的問題。

技術領域

本發明涉及網絡安全技術領域，特別是一種在蜜罐場景下獲取攻擊者信息的系統及方法。

背景技術

目前在蜜罐場景下采用的方法一是通過透明代理的方式進行攻擊者真實IP地址和端口的傳輸，具體流程是通過蜜罐代理客戶端獲取到攻擊TCP流量后，在應用層封裝包且將攻擊者真實IP地址和端口傳遞給透明代理，透明代理通過tproxy技術偽造來源IP地址和端口為攻擊者信息連接真實蜜罐，該技術方案存在的缺陷是配置復雜且局限、跨網絡或者云環境下丟包，缺陷是由于以下原因導致：(1)因為蜜罐在網絡層拿到的真實的IP地址回報的時候必須將蜜罐的網關配置成透明代理；(2)由于透明代理通過tproxy技術偽造來源IP地址和端口連接真實蜜罐，在云環境或者跨網絡時候TCP連接包會被丟棄，且無法攜帶其他信息。

在蜜罐場景下采用的方法二是通過映射的方式進行攻擊者真實IP地址和端口以及連接蜜罐的IP地址和端口進行關聯，具體流程是通過蜜罐代理客戶端獲取到攻擊TCP流量后，在應用層封裝包且將攻擊者真實IP地址和端口傳遞給轉發代理，轉發代理分配自身的連接IP和端口，并將攻擊者來源IP地址和端口進行關聯存儲，通過代理分配自身的連接IP和端口連接真實蜜罐，真實蜜罐通過關聯存儲獲取攻擊者信息，該技術方案存在的缺陷是大流量對應異常且有時延，缺陷是由于以下原因導致：(1)在流量較大的情況可能會導致轉發代理自身的連接IP和端口不夠使用；(2)蜜罐先拿到的是代理自身的連接IP和端口，然后再通過關聯存儲獲取攻擊者信息。

在蜜罐場景下采用的方法三是通過部署蜜罐到誘捕區域，具體流程是蜜罐直接暴露給攻擊者發現，該技術方案存在的缺陷是蜜罐本身安全性較弱、蜜罐部署無法復用，缺陷是由于以下原因導致：(1)蜜罐本身是將弱點暴露進行誘捕，在真實業務區域進行部署會導致容易感染真實業務；(2)在真實業務區域部署無法針對其他業務進行復用。

發明內容

為解決現有技術中存在的問題，本發明的目的是提供一種在蜜罐場景下獲取攻擊者信息的系統及方法，本發明解決了在蜜罐場景下獲取真實攻擊者IP地址端口等信息需要修改蜜罐應用層代碼、環境兼容性差、性能低的問題。

為實現上述目的，本發明采用的技術方案是：一種在蜜罐場景下獲取攻擊者信息的系統，包括蜜罐分析區以及多個分別與所述蜜罐分析區連接的業務區，所述業務區用于部署對攻擊者的攻擊行為進行誘捕的蜜罐誘捕節點；所述蜜罐分析區用于部署TCP轉發模塊和真實攻擊信息獲取模塊，其中：

所述TCP轉發模塊，在應用層通過提供自定義IP選項將攻擊者信息關聯到內核套接字，在內核層將攻擊者信息添加到TCP選項中，不修改源IP、源端口、目的IP和目的端口，并通過TCP轉發模塊自身IP端口連接真實攻擊信息獲取模塊；

所述真實攻擊信息獲取模塊，在內核層檢測是TCP轉發模塊的流量，將TCP轉發模塊的流量中攻擊者信息提取到內核套接字進行存儲，并hook應用層獲取TCP連接信息的內核函數，蜜罐應用層無需任何修改；

作為本發明的進一步改進，所述真實攻擊信息獲取模塊在應用層還提供自定義IP選項獲取除攻擊者IP和端口額外的信息。

本發明還提供一種在蜜罐場景下獲取攻擊者信息的方法，包括以下步驟：

(1)攻擊者攻擊蜜罐誘捕節點：攻擊者攻擊蜜罐誘捕節點某個端口，并進行TCP連接和攻擊數據傳輸；

(2)蜜罐誘捕節點獲取到攻擊者TCP負荷、攻擊者IP端口、MAC地址以及目標蜜罐信息；