一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,尤其涉及一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造 方法及系統(tǒng)��。
【背景技術(shù)】
[0002] 當前網(wǎng)絡(luò)安全檢測手段中����,均采用已知攻擊特征碼的機制,或帶有行為分析沙箱 的技術(shù),對已知和未知威脅進行檢測��。而對帶有針對性的攻擊和帶有加密傳輸?shù)膮f(xié)議時�����,往 往缺少足夠的檢測手段����。蜜罐技術(shù)可W更為合理地解決該類問題,通過部署在用戶現(xiàn)場的 蜜罐���,誘使黑客攻擊蜜罐��,達到檢測攻擊和攻擊過程的目的����。
[0003] 而當前蜜罐技術(shù)的演進��,因缺少豐富的數(shù)據(jù)而導致黑客只做了初步的入侵即可分 辨目標是否為蜜罐而導致放棄后續(xù)攻擊�,從而喪失了蜜罐對正常業(yè)務(wù)系統(tǒng)的持續(xù)性保護和 攻擊行為取證的目的。
[0004] 蜜罐方案對于解決未知攻擊威脅的確很有效�,但無法捕獲到黑客更多的行為,當 前蜜罐技術(shù)主要面向攻擊過程的第一階段是有效的��,即被攻擊者探測到和版本識別。而第 二階段的獲取控制權(quán)和第H階段的長期駐留和主機利用往往是我們最關(guān)也的黑客行為���,但 黑客往往在第一階段檢測對目標是蜜罐就會選擇放棄并進一步尋找真實業(yè)務(wù)主機���。具體有 W下兩個問題: 1.攻擊者易于發(fā)覺目標是蜜罐。一般初級蜜罐目的僅僅是采集新型的攻擊代碼����。而無 法對該黑客的真實意圖進行定性和分析,所W當前蜜罐技術(shù)缺少識別攻擊者真實意圖的作 用�����。
[0005] 2.攻擊者對目標不感興趣���,高級蜜罐采用實際環(huán)境搭建��,稱為高交互蜜罐��,但往往 缺少實際的數(shù)據(jù)�,導致只能識別初級的攻擊者的行為�����。而真正的意圖是需要攻擊在足夠的 業(yè)務(wù)數(shù)據(jù)上進行操作才能獲取的�。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明提供了一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng),該發(fā)明所述的 技術(shù)方案將運行核也業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)系統(tǒng)模擬遷移到高交互蜜罐中�����,將真實業(yè)務(wù)數(shù)據(jù)按照 預設(shè)方法處理后�,填充到蜜罐的業(yè)務(wù)系統(tǒng)中,從而使得攻擊者無法辨別是否為蜜罐�,從而可 W捕獲到真正想盜取業(yè)務(wù)數(shù)據(jù)的攻擊者。
[0007] 本發(fā)明采用如下方法來實現(xiàn):一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法�����,包 括: 確定待保護的業(yè)務(wù)系統(tǒng)�,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng); 識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)��,在蜜罐中構(gòu)建相同元數(shù)據(jù)���;所述元數(shù)據(jù)包括業(yè)務(wù)系統(tǒng)的 數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息����; 基于所述元數(shù)據(jù)進行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標記���; 在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)���。
[0008] 進一步地���,所述在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)為;將待保護的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)直接復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處����。
[0009] 進一步地,所述在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)為����;將待保護的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)進行打散、互換和/或重組后復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處���。
[0010] 進一步地�����,所述在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)為:將待保護的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)按照預設(shè)策略刪減后����,復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處���。
[0011] 進一步地�,所述在蜜罐中基于預設(shè)方法填充敏感數(shù)據(jù)為��;采用隨機構(gòu)造的方式生 成數(shù)據(jù)并填充至蜜罐的業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)處���。
[0012] 更進一步地�,從待保護的業(yè)務(wù)系統(tǒng)中定期采集新的業(yè)務(wù)數(shù)據(jù)��,并在蜜罐中基于預 設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)���。
[0013] 進一步地����,若可公開數(shù)據(jù)和/或敏感數(shù)據(jù)的數(shù)據(jù)量超出了預設(shè)值�����,則按照預設(shè)策 略進行刪除���。
[0014] 本發(fā)明采用如下系統(tǒng)來實現(xiàn):一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造系統(tǒng)���,包 括: 業(yè)務(wù)系統(tǒng)搭建模塊����,用于確定待保護的業(yè)務(wù)系統(tǒng)��,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng)���; 元數(shù)據(jù)構(gòu)建模塊��,用于識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)�����,在蜜罐中構(gòu)建相同元數(shù)據(jù)����;所述元 數(shù)據(jù)包括業(yè)務(wù)系統(tǒng)的數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息����; 數(shù)據(jù)標記模塊,用于基于所述元數(shù)據(jù)進行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標記��; 數(shù)據(jù)填充模塊��,用于在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)。
[0015] 進一步地�,所述數(shù)據(jù)填充模塊具體用于,將待保護的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)直 接復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處�����。
[0016] 進一步地����,所述數(shù)據(jù)填充模塊具體用于��,將待保護的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)進 行打散���、互換和/或重組后復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處�。
[0017] 進一步地�,所述數(shù)據(jù)填充模塊具體用于,將待保護的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)按 照預設(shè)策略刪減后��,復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0018] 進一步地�,所述數(shù)據(jù)填充模塊具體用于,采用隨機構(gòu)造的方式生成數(shù)據(jù)并填充至 蜜罐的業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)處�����。
[0019] 更進一步地,所述數(shù)據(jù)填充模塊具體用于����,從待保護的業(yè)務(wù)系統(tǒng)中定期采集新的 業(yè)務(wù)數(shù)據(jù),并在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)���。
[0020] 進一步地�,還包括數(shù)據(jù)刪除模塊����,用于當蜜罐中的可公開數(shù)據(jù)和/或敏感數(shù)據(jù)的 數(shù)據(jù)量超出了預設(shè)值,則按照預設(shè)策略進行刪除��。
[0021] 綜上所述�,本發(fā)明提供了一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng),通 過在蜜罐中搭建與真實的業(yè)務(wù)系統(tǒng)中相同的業(yè)務(wù)系統(tǒng)����,不僅業(yè)務(wù)系統(tǒng)類型相同,版本也要 盡量一致�,并依據(jù)待保護的業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)信息,在蜜罐的業(yè)務(wù)系統(tǒng)中構(gòu)建相同的元數(shù) 據(jù)���,基于元數(shù)據(jù)進行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標識�,并基于待保護的業(yè)務(wù)系統(tǒng)中的真實的 業(yè)務(wù)數(shù)據(jù),利用預設(shè)方法進行處理后填充至蜜罐中���。由于該蜜罐是在實際環(huán)境中搭建�����,其業(yè) 務(wù)系統(tǒng)及元數(shù)據(jù)結(jié)構(gòu)等信息與待保護的業(yè)務(wù)系統(tǒng)幾乎相同��,并基于可公開數(shù)據(jù)和敏感數(shù)據(jù) 分別進行處理后填充蜜罐的業(yè)務(wù)系統(tǒng)中,該業(yè)務(wù)數(shù)據(jù)構(gòu)造為自動化完成����,從而吸引有關(guān)攻 擊者,進一步暴露攻擊者的真正攻擊意圖��,并能保護待保護業(yè)務(wù)系統(tǒng)的真實業(yè)務(wù)數(shù)據(jù)不被 泄露��。
【附圖說明】
[0022] 為了更清楚地說明本發(fā)明的技術(shù)方案����,下面將對實施例中所需要使用的附圖作簡 單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域 普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下�����,還可W根據(jù)該些附圖獲得其他的附圖����。
[0023] 圖1為本發(fā)明提供的一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法實施例流程圖; 圖2為本發(fā)明提供的一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造系統(tǒng)實施例結(jié)構(gòu)圖���。
【具體實施方式】
[0024] 本發(fā)明給出了一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)�����,為了使本技術(shù) 領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案��,并使本發(fā)明的上述目的���、特征和優(yōu)點 能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細的說明: 本發(fā)明首先提供了一種基于實際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法實施例�,如圖1所示, 包括: S101確定待保護的業(yè)務(wù)系統(tǒng)���,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng)�; 其中,所述待保護的業(yè)務(wù)系統(tǒng)可W為:0A系統(tǒng)(即辦公自動化系統(tǒng))��、數(shù)據(jù)庫系統(tǒng)�、文件 存儲系統(tǒng)或者郵件系統(tǒng);所述相同的業(yè)務(wù)系統(tǒng)是指類型相同���,并且版本盡量一致的業(yè)務(wù)系 統(tǒng)����;待保護的業(yè)務(wù)系統(tǒng)要選擇用戶(或者企業(yè))用來運行核也敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)����; S102識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù),在蜜罐中構(gòu)建相同元數(shù)據(jù)�����;所述元數(shù)據(jù)包括業(yè)務(wù)系 統(tǒng)的數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息��; 其中���,所述數(shù)據(jù)存儲結(jié)構(gòu)根據(jù)業(yè)務(wù)系統(tǒng)不同而不同,例如:數(shù)據(jù)庫系統(tǒng)的表和視圖���、文 件系統(tǒng)的文件存儲目錄結(jié)構(gòu)��、web系統(tǒng)的URL靜態(tài)路徑信息等�����;所述業(yè)務(wù)數(shù)據(jù)的基本信息即 與業(yè)務(wù)數(shù)據(jù)相關(guān)的信息�,包括:數(shù)據(jù)庫表的創(chuàng)建時間和大小���;文件的創(chuàng)建時間�、文件名和大 小等信息����;因此,本發(fā)明通過識別真實的業(yè)務(wù)數(shù)據(jù)的元數(shù)據(jù)����,在蜜罐系統(tǒng)中盡量去模擬相似 的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)存儲結(jié)構(gòu)等,達到最大程度地迷惑攻擊者����; 例如;若原業(yè)務(wù)系統(tǒng)為文件存儲系統(tǒng)����,其元數(shù)據(jù)的數(shù)據(jù)存儲結(jié)構(gòu)為: \\host\ 合同\A公司\XXX項目 1.docx\\host\ 合同\A公司\XXX項目 2.docx \\host\ 合同\B公司\XXX項目 1.docx \\host\ 照片 \2014-5-1\ 張 3.化g \\host\ 照片 \2014-5-1\ 李 4.化g \\host\ 照片 \2014-5-1\ 王 5.化g 并基于上述元數(shù)據(jù)�����,在蜜罐中構(gòu)建相同的元數(shù)據(jù)�,并在對應的目錄下創(chuàng)建空文件�����; S103基于所述元數(shù)據(jù)進行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標記���; 例如�;在S102下所給出的文件存儲系統(tǒng)的例子���,對于其元數(shù)據(jù)的數(shù)據(jù)存儲結(jié)構(gòu)��,則標 記"\\host\合同"目錄下的業(yè)務(wù)數(shù)據(jù)為敏感數(shù)據(jù);"\\host\照片"目錄下的數(shù)據(jù)為可公開 數(shù)據(jù)��; S104在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)�����。
[0025] 其中,所述的預設(shè)方法可W根據(jù)經(jīng)驗和需要設(shè)置���,該里并不給出具體限制����,后續(xù)會 給出一些優(yōu)選的填充方法�����。
[0026] 優(yōu)選地��,所述在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)為:將待保護的業(yè)務(wù)系統(tǒng)中 的可公開數(shù)據(jù)直接復制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處���。
[OOW] 例如;假設(shè)待保護的業(yè)務(wù)系統(tǒng)為數(shù)據(jù)庫��,其中表A的真實業(yè)務(wù)數(shù)據(jù)如下:
其中�,標記"工資"和"獎金"為敏感數(shù)據(jù)�;其余項為可公開數(shù)據(jù)。所W除了����。工資"和 "獎金"兩項業(yè)務(wù)數(shù)據(jù)之外,其余項數(shù)據(jù)可W直接復制填充至蜜罐的業(yè)務(wù)系統(tǒng)的可公開數(shù)據(jù) 項處����。
[0028] 優(yōu)選地����,所述在蜜罐中基于預設(shè)方法填充可公開數(shù)據(jù)為:將待保護的業(yè)務(wù)系統(tǒng)中 的可公開數(shù)據(jù)進行打散��、互換和/或重組后復制到蜜罐