本發明涉及網絡安全技術領域，尤其涉及一種防逃逸的攻擊行為欺騙蜜罐構建方法。本發明通過管理平臺創建不同功能的，帶有守護進程的蜜罐容器，將蜜罐部署在容器中。當守護進程發現系統執行的工作進程被停止或啟動了不明進程時，蜜罐容器自動關閉。當安裝、配置合法程序或啟動任一程序時，守護進程采用白名單、sha256進行校驗。校驗成功，程序正常啟動。校驗失敗，程序被寫入報警日志，并被鎖定在蜜罐容器中。對攻擊行為的針對性強，有效防止蜜罐逃逸風險，提高了網絡環境的安全性和穩定性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種防逃逸的攻擊行為欺騙蜜罐構建方法。

背景技術

隨著網絡高速的發展，網絡中的資源也在成倍的增加，如何提高暴露在網絡中資源的安全性，是目前急需解決的問題。蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

現有的網絡安全技術中，現有的操作系統、虛擬化工具軟件有可能存在漏洞，攻擊者可以利用存在的漏洞，通過攻擊工具實現蜜罐逃逸。造成網絡環境的安全性、穩定性下降。

發明內容

針對背景技術中存在的問題，提出一種防逃逸的攻擊行為欺騙蜜罐構建方法。本發明通過管理平臺創建不同功能的，帶有守護進程的蜜罐容器，將蜜罐部署在容器中。當守護進程發現系統執行的工作進程被停止或啟動了不明進程時，蜜罐容器自動關閉。當安裝、配置合法程序或啟動任一程序時，守護進程采用白名單、sha256進行校驗。校驗成功，程序正常啟動。校驗失敗，程序被寫入報警日志，并被鎖定在蜜罐容器中。對攻擊行為的針對性強，有效防止蜜罐逃逸風險，提高了網絡環境的安全性和穩定性。

本發明提出一種防逃逸的攻擊行為欺騙蜜罐構建方法，方法如下：

S1、建立管理平臺；通過管理平臺創建不同功能的蜜罐容器，并在系統環境中布置多個誘捕節點；

S2、蜜罐容器對誘捕節點進行一一隔離，蜜罐容器內布置守護進程；

S3、將蜜罐一一部署在蜜罐容器內，與誘捕節點以及守護進程進行綁定；運行蜜罐、蜜罐容器以及系統；

S4、當守護進程發現系統執行的工作進程被停止或啟動了不明進程時，蜜罐容器自動關閉；當安裝、配置合法程序或啟動任一程序時，守護進程進行校驗；

S5、校驗成功，程序正常啟動；校驗失敗，程序被寫入報警日志，并被鎖定在蜜罐容器中。

優選的，管理平臺包括鏡像模塊、蜜罐容器、鏡像倉庫、守護模塊、控制模塊和校驗模塊。

優選的，鏡像模塊除了提供蜜罐容器運行時所需的程序、庫、資源、配置文件外，還包含為蜜罐容器運行時準備的配置參數。

優選的，蜜罐容器上設置有數據接口；數據接口設置有檢測單元和截斷單元；守護進程連接檢測單元和截斷單元。

優選的，校驗模塊包括數據采集單元、白名單存儲庫、校驗單元和反饋單元，用于提前采集用戶行為數據，建立白名單，并將系統中的進程與白名單對比，判斷是否為允許的工作進程。

優選的，采集單元對正常行為數據和異常行為數據進行收集，分別提取上述數據包的特征值序列，并分類存儲；白名單為正常行為數據的特征值序列合集。

優選的，守護進程進行校驗會對當前執行的進程進行白名單校驗，只有在白名單內的程序可以啟動。

優選的，白名單校驗方法為：需要當前執行的進程特征值序列與預先存儲的正常行為數據的特征值序列合集匹配，判斷為校驗合格。