本發明涉及一種基于多樣性擴展的誘捕蜜罐實現系統及方法，屬于網絡安全技術領域。本發明提供的基于多樣性擴展的誘捕蜜罐實現系統及方法通過強化學習模型調整和擴展現有蜜罐，能夠提高誘捕的效率，且擴大誘捕范圍，實現了面向戰場等復雜網絡的誘捕蜜罐的多樣性和動態擴展，在一定程度上解決了傳統蜜罐靜態單一、命中率低等問題，整體上提高蜜網的靈活性。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于多樣性擴展的誘捕蜜罐實現系統及方法。

背景技術

隨著信息化戰爭的不斷演化變革，網絡威脅形勢愈發嚴峻。在面對業務環境復雜多樣、攻擊手段層出不窮的復雜網絡攻防情況下，傳統的防火墻、入侵檢測等被動安全防護手段已然捉襟見肘。而蜜罐技術作為一種有效的主動防御技術，通過欺騙的手段，誘騙入侵者在特定環境內發起攻擊，一方面減少對實際系統的威脅，另一方面能夠獲取攻擊工具、掌握攻擊手段、支持攻擊溯源，成為網絡安全防御領域的重要方向。

現階段，靜態單一蜜罐、廣泛撒網蜜罐、動態部署蜜罐是最常見的三種蜜罐形式，存在以下的不足之處：

(1)靜態單一蜜罐，只部署單一的、靜態的蜜罐，被動等待攻擊者入侵，大多數攻擊者會輕而易舉發現蜜罐，從而進行跳轉逃脫。

(2)廣泛撒網蜜罐，采用廣撒網的被動部署方式，在蜜罐節點部署后，守株待兔，被動等待入侵者的發現和攻擊，開銷大，命中率低，若攻擊者未進入蜜罐，則功虧一簣。

(3)動態部署蜜罐，利用監控到的網絡信息進行動態部署和配置，感知周圍網絡環境，配置適當數量的蜜罐，并隨網絡環境的變化做出調整。但是，動態部署蜜罐多隨著網絡環境變化而變化，并不會主動地去擴展更多樣性的蜜罐，且虛擬蜜罐之間通信交互行為少，誘捕效率低，不能達到引誘敵人發起更多攻擊的目的。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：如何解決傳統蜜罐靜態單一、命中率低等問題，整體上提高蜜網的靈活性。

(二)技術方案

為了解決上述技術問題，本發明提供了一種基于多樣性擴展的誘捕蜜罐實現系統，包括：

異常檢測模塊，用于收集網絡流量，主動識別和檢測異常流量信息，包括惡意請求的攻擊者IP、攻擊設備指紋信息、攻擊行為、攻擊方法、開放端口和服務這些特征信息；

蜜罐生成模塊，用于根據異常檢測模塊收集到的特征信息，自動生成能夠滿足攻擊者攻擊意圖的虛擬蜜罐；

智能學習模塊用于：首先根據蜜罐生成模塊生成的虛擬蜜罐和攻擊者的響應信息，在攻擊者與虛擬蜜罐未成功通信時，通過強化學習的方式不斷調整虛擬蜜罐的狀態，生成新的不同的虛擬蜜罐；在攻擊者與虛擬蜜罐成功通信時，在與攻擊者交互過程中，通過強化學習的方式對虛擬蜜罐的狀態進行不斷的調整，擴展地生成其他多個不同的虛擬蜜罐；其次，通過提高不同虛擬蜜罐之間的通信交互性，提升蜜罐的多樣性和真實性；

流量牽引模塊，用于將異常檢測模塊提供的攻擊流量牽引至蜜罐生成模塊生成的虛擬蜜罐或者經過強化學習后的新的或擴展得到的其他多個虛擬蜜罐中，引誘入侵者發起更多攻擊，記錄和監視攻擊行為。

優選地，所述異常檢測模塊部署于整個網絡的通信入口處，在收集網絡流量時，排除掉正常通信流量，識別和檢測出異常的惡意請求行為，發現網絡上的潛在威脅，記錄所述特征信息，所述正常通信流量是指，真實業務和真實業務之間的正常通信行為、虛擬蜜罐和虛擬蜜罐之間的正常通信行為，異常檢測模塊中除涉及到基于攻擊特征庫的已知攻擊行為檢測，還涉及到基于異常行為分析的實時入侵檢測。