本申請實施例提出了基于內外網引流異常第三方交互式蜜罐實現方法，包括構建可信交換防御系統，經可信交換防御系統引入內網、外網的流量，對內網、外網的流量進行初步攔截和區域劃分；將內網和外網進行隔離和引流，對內網和外網分別進行數據監測，判斷是否有異常狀況出現；如果內網和外網出現引流異常時，接入第三方進行包括蜜罐誘捕的交互處理；分析欺騙環境的核心功能需求，采集數據信息并進行標注記錄。通過監測內外網的引流異常狀況可及時對內外網引流處理，第三方交互有兩種接入方式，適用于不同流量大小的狀況，接入效果較好；蜜罐誘捕的誘捕環境帶有優化功能，提升誘捕效果，提升虛擬蜜罐的真實性，增強整個系統的安全防護能力。

技術領域

本申請屬于數據分析領域，尤其涉及基于內外網引流異常第三方交互式蜜罐實現方法。

背景技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

在對內外網引流處理時，不便監測引流異常狀況，第三方交互的接入方式有限，不利于不同流量大小的應用，且蜜罐誘捕的欺騙環境缺乏優化，誘捕效果有限，整個系統的安全防護能力有限。因此，針對上述問題提出一種基于內外網引流異常第三方交互式蜜罐實現方法。

發明內容

為了解決現有技術中存在的缺點和不足，本申請提出的基于內外網引流異常第三方交互式蜜罐實現方法，用于采用兩種接入方式，適用于不同流量大小的環境需求。

具體的，本申請實施例提出的基于內外網引流異常第三方交互式蜜罐實現方法，包括：

構建可信交換防御系統，經可信交換防御系統引入內網、外網的流量，對內網、外網的流量進行初步攔截和區域劃分；

將內網和外網進行隔離和引流，對內網和外網分別進行數據監測，判斷是否有異常狀況出現；

如果內網和外網出現引流異常時，接入第三方進行包括蜜罐誘捕的交互處理；

分析欺騙環境的核心功能需求，采集數據信息并進行標注記錄。

可選的，所述如果內網和外網出現引流異常時，接入第三方進行包括蜜罐誘捕的交互處理,包括：

內置的網卡芯片陣列基于網絡層創建用于構建欺騙環境蜜罐誘捕方式；

對已構建的蜜罐誘捕方式進行誘捕優化處理。

可選的，所述對已構建的蜜罐誘捕方式進行誘捕優化處理，包括：

利用低交互式和高交互式兩種蜜罐法對誘捕環境進行優化。

可選的，所述低交互式蜜罐模擬網絡服務響應，模擬漏洞，控制攻擊，捕獲已知攻擊，高交互式蜜罐提高的安全威脅可適性，增強數據獲取能力、偽裝性。

可選的，所述對已構建的蜜罐誘捕方式進行誘捕優化處理中每個由蜜罐產生的包都通過個性化引擎，引入操作系統特定的指紋，讓Nmap/Xprobe進行識別，使用Nmap指紋庫作為TCP/UDP連接的參考，使用Xprobe指紋庫作為ICMP包的參考。

可選的，所述構建可信交換防御系統，包括：

主動監測網絡中的流量；

以接入層交換機的角色接入網絡，交換口接入真實服務器或終端，將控制節點下沉到各服務器的接入端口。

可選的，所述將內網和外網進行隔離和引流，還包括：

將來自內網和外網的流量引流至第三方交互式蜜罐或其他安全檢測設備，進一步分析可疑流量。