一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全技術(shù)領(lǐng)域��,尤其涉及一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造 方法及系統(tǒng)��。
【背景技術(shù)】
[0002] 當(dāng)前網(wǎng)絡(luò)安全檢測手段中��,均采用已知攻擊特征碼的機(jī)制��,或帶有行為分析沙箱 的技術(shù)��,對已知和未知威脅進(jìn)行檢測��。而對帶有針對性的攻擊和帶有加密傳輸?shù)膮f(xié)議時(shí)��,往 往缺少足夠的檢測手段��。蜜罐技術(shù)可W更為合理地解決該類問題��,通過部署在用戶現(xiàn)場的 蜜罐��,誘使黑客攻擊蜜罐��,達(dá)到檢測攻擊和攻擊過程的目的��。
[0003] 而當(dāng)前蜜罐技術(shù)的演進(jìn)��,因缺少豐富的數(shù)據(jù)而導(dǎo)致黑客只做了初步的入侵即可分 辨目標(biāo)是否為蜜罐而導(dǎo)致放棄后續(xù)攻擊��,從而喪失了蜜罐對正常業(yè)務(wù)系統(tǒng)的持續(xù)性保護(hù)和 攻擊行為取證的目的��。
[0004] 蜜罐方案對于解決未知攻擊威脅的確很有效��,但無法捕獲到黑客更多的行為��,當(dāng) 前蜜罐技術(shù)主要面向攻擊過程的第一階段是有效的��,即被攻擊者探測到和版本識別��。而第 二階段的獲取控制權(quán)和第H階段的長期駐留和主機(jī)利用往往是我們最關(guān)也的黑客行為��,但 黑客往往在第一階段檢測對目標(biāo)是蜜罐就會選擇放棄并進(jìn)一步尋找真實(shí)業(yè)務(wù)主機(jī)��。具體有 W下兩個(gè)問題: 1.攻擊者易于發(fā)覺目標(biāo)是蜜罐��。一般初級蜜罐目的僅僅是采集新型的攻擊代碼。而無 法對該黑客的真實(shí)意圖進(jìn)行定性和分析��,所W當(dāng)前蜜罐技術(shù)缺少識別攻擊者真實(shí)意圖的作 用��。
[0005] 2.攻擊者對目標(biāo)不感興趣��,高級蜜罐采用實(shí)際環(huán)境搭建��,稱為高交互蜜罐��,但往往 缺少實(shí)際的數(shù)據(jù)��,導(dǎo)致只能識別初級的攻擊者的行為��。而真正的意圖是需要攻擊在足夠的 業(yè)務(wù)數(shù)據(jù)上進(jìn)行操作才能獲取的��。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明提供了一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)��,該發(fā)明所述的 技術(shù)方案將運(yùn)行核也業(yè)務(wù)數(shù)據(jù)的業(yè)務(wù)系統(tǒng)模擬遷移到高交互蜜罐中��,將真實(shí)業(yè)務(wù)數(shù)據(jù)按照 預(yù)設(shè)方法處理后��,填充到蜜罐的業(yè)務(wù)系統(tǒng)中��,從而使得攻擊者無法辨別是否為蜜罐��,從而可 W捕獲到真正想盜取業(yè)務(wù)數(shù)據(jù)的攻擊者��。
[0007] 本發(fā)明采用如下方法來實(shí)現(xiàn):一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法��,包 括: 確定待保護(hù)的業(yè)務(wù)系統(tǒng)��,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng)��; 識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)��,在蜜罐中構(gòu)建相同元數(shù)據(jù)��;所述元數(shù)據(jù)包括業(yè)務(wù)系統(tǒng)的 數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息��; 基于所述元數(shù)據(jù)進(jìn)行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標(biāo)記��; 在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)��。
[0008] 進(jìn)一步地��,所述在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)為��;將待保護(hù)的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)直接復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0009] 進(jìn)一步地��,所述在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)為;將待保護(hù)的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)進(jìn)行打散��、互換和/或重組后復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0010] 進(jìn)一步地��,所述在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)為:將待保護(hù)的業(yè)務(wù)系統(tǒng) 中的可公開數(shù)據(jù)按照預(yù)設(shè)策略刪減后��,復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0011] 進(jìn)一步地��,所述在蜜罐中基于預(yù)設(shè)方法填充敏感數(shù)據(jù)為��;采用隨機(jī)構(gòu)造的方式生 成數(shù)據(jù)并填充至蜜罐的業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)處��。
[0012] 更進(jìn)一步地��,從待保護(hù)的業(yè)務(wù)系統(tǒng)中定期采集新的業(yè)務(wù)數(shù)據(jù)��,并在蜜罐中基于預(yù) 設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)��。
[0013] 進(jìn)一步地��,若可公開數(shù)據(jù)和/或敏感數(shù)據(jù)的數(shù)據(jù)量超出了預(yù)設(shè)值��,則按照預(yù)設(shè)策 略進(jìn)行刪除��。
[0014] 本發(fā)明采用如下系統(tǒng)來實(shí)現(xiàn):一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造系統(tǒng)��,包 括: 業(yè)務(wù)系統(tǒng)搭建模塊��,用于確定待保護(hù)的業(yè)務(wù)系統(tǒng)��,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng)��; 元數(shù)據(jù)構(gòu)建模塊��,用于識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)��,在蜜罐中構(gòu)建相同元數(shù)據(jù)��;所述元 數(shù)據(jù)包括業(yè)務(wù)系統(tǒng)的數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息��; 數(shù)據(jù)標(biāo)記模塊��,用于基于所述元數(shù)據(jù)進(jìn)行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標(biāo)記��; 數(shù)據(jù)填充模塊��,用于在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)��。
[0015] 進(jìn)一步地,所述數(shù)據(jù)填充模塊具體用于��,將待保護(hù)的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)直 接復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0016] 進(jìn)一步地��,所述數(shù)據(jù)填充模塊具體用于��,將待保護(hù)的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)進(jìn) 行打散��、互換和/或重組后復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0017] 進(jìn)一步地��,所述數(shù)據(jù)填充模塊具體用于��,將待保護(hù)的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)按 照預(yù)設(shè)策略刪減后��,復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[0018] 進(jìn)一步地��,所述數(shù)據(jù)填充模塊具體用于��,采用隨機(jī)構(gòu)造的方式生成數(shù)據(jù)并填充至 蜜罐的業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)處��。
[0019] 更進(jìn)一步地��,所述數(shù)據(jù)填充模塊具體用于��,從待保護(hù)的業(yè)務(wù)系統(tǒng)中定期采集新的 業(yè)務(wù)數(shù)據(jù)��,并在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)��。
[0020] 進(jìn)一步地��,還包括數(shù)據(jù)刪除模塊��,用于當(dāng)蜜罐中的可公開數(shù)據(jù)和/或敏感數(shù)據(jù)的 數(shù)據(jù)量超出了預(yù)設(shè)值��,則按照預(yù)設(shè)策略進(jìn)行刪除��。
[0021] 綜上所述��,本發(fā)明提供了一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)��,通 過在蜜罐中搭建與真實(shí)的業(yè)務(wù)系統(tǒng)中相同的業(yè)務(wù)系統(tǒng)��,不僅業(yè)務(wù)系統(tǒng)類型相同��,版本也要 盡量一致��,并依據(jù)待保護(hù)的業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)信息,在蜜罐的業(yè)務(wù)系統(tǒng)中構(gòu)建相同的元數(shù) 據(jù)��,基于元數(shù)據(jù)進(jìn)行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標(biāo)識��,并基于待保護(hù)的業(yè)務(wù)系統(tǒng)中的真實(shí)的 業(yè)務(wù)數(shù)據(jù)��,利用預(yù)設(shè)方法進(jìn)行處理后填充至蜜罐中��。由于該蜜罐是在實(shí)際環(huán)境中搭建��,其業(yè) 務(wù)系統(tǒng)及元數(shù)據(jù)結(jié)構(gòu)等信息與待保護(hù)的業(yè)務(wù)系統(tǒng)幾乎相同��,并基于可公開數(shù)據(jù)和敏感數(shù)據(jù) 分別進(jìn)行處理后填充蜜罐的業(yè)務(wù)系統(tǒng)中��,該業(yè)務(wù)數(shù)據(jù)構(gòu)造為自動化完成��,從而吸引有關(guān)攻 擊者��,進(jìn)一步暴露攻擊者的真正攻擊意圖��,并能保護(hù)待保護(hù)業(yè)務(wù)系統(tǒng)的真實(shí)業(yè)務(wù)數(shù)據(jù)不被 泄露��。
【附圖說明】
[0022] 為了更清楚地說明本發(fā)明的技術(shù)方案��,下面將對實(shí)施例中所需要使用的附圖作簡 單地介紹��,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例��,對于本領(lǐng)域 普通技術(shù)人員來講��,在不付出創(chuàng)造性勞動的前提下��,還可W根據(jù)該些附圖獲得其他的附圖��。
[0023] 圖1為本發(fā)明提供的一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法實(shí)施例流程圖��; 圖2為本發(fā)明提供的一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造系統(tǒng)實(shí)施例結(jié)構(gòu)圖��。
【具體實(shí)施方式】
[0024] 本發(fā)明給出了一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法及系統(tǒng)��,為了使本技術(shù) 領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案��,并使本發(fā)明的上述目的��、特征和優(yōu)點(diǎn) 能夠更加明顯易懂��,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明: 本發(fā)明首先提供了一種基于實(shí)際業(yè)務(wù)系統(tǒng)的蜜罐數(shù)據(jù)構(gòu)造方法實(shí)施例��,如圖1所示, 包括: S101確定待保護(hù)的業(yè)務(wù)系統(tǒng)��,在蜜罐中搭建相同的業(yè)務(wù)系統(tǒng)��; 其中��,所述待保護(hù)的業(yè)務(wù)系統(tǒng)可W為:0A系統(tǒng)(即辦公自動化系統(tǒng))��、數(shù)據(jù)庫系統(tǒng)��、文件 存儲系統(tǒng)或者郵件系統(tǒng)��;所述相同的業(yè)務(wù)系統(tǒng)是指類型相同��,并且版本盡量一致的業(yè)務(wù)系 統(tǒng)��;待保護(hù)的業(yè)務(wù)系統(tǒng)要選擇用戶(或者企業(yè))用來運(yùn)行核也敏感數(shù)據(jù)的業(yè)務(wù)系統(tǒng)��; S102識別所述業(yè)務(wù)系統(tǒng)的元數(shù)據(jù)��,在蜜罐中構(gòu)建相同元數(shù)據(jù)��;所述元數(shù)據(jù)包括業(yè)務(wù)系 統(tǒng)的數(shù)據(jù)存儲結(jié)構(gòu)和業(yè)務(wù)數(shù)據(jù)的基本信息��; 其中��,所述數(shù)據(jù)存儲結(jié)構(gòu)根據(jù)業(yè)務(wù)系統(tǒng)不同而不同,例如:數(shù)據(jù)庫系統(tǒng)的表和視圖��、文 件系統(tǒng)的文件存儲目錄結(jié)構(gòu)��、web系統(tǒng)的URL靜態(tài)路徑信息等��;所述業(yè)務(wù)數(shù)據(jù)的基本信息即 與業(yè)務(wù)數(shù)據(jù)相關(guān)的信息��,包括:數(shù)據(jù)庫表的創(chuàng)建時(shí)間和大?�?�;文件的創(chuàng)建時(shí)間��、文件名和大 小等信息��;因此��,本發(fā)明通過識別真實(shí)的業(yè)務(wù)數(shù)據(jù)的元數(shù)據(jù)��,在蜜罐系統(tǒng)中盡量去模擬相似 的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)存儲結(jié)構(gòu)等��,達(dá)到最大程度地迷惑攻擊者��; 例如��;若原業(yè)務(wù)系統(tǒng)為文件存儲系統(tǒng)��,其元數(shù)據(jù)的數(shù)據(jù)存儲結(jié)構(gòu)為: \\host\ 合同\A公司\XXX項(xiàng)目 1.docx\\host\ 合同\A公司\XXX項(xiàng)目 2.docx \\host\ 合同\B公司\XXX項(xiàng)目 1.docx \\host\ 照片 \2014-5-1\ 張 3.化g \\host\ 照片 \2014-5-1\ 李 4.化g \\host\ 照片 \2014-5-1\ 王 5.化g 并基于上述元數(shù)據(jù)��,在蜜罐中構(gòu)建相同的元數(shù)據(jù)��,并在對應(yīng)的目錄下創(chuàng)建空文件��; S103基于所述元數(shù)據(jù)進(jìn)行可公開數(shù)據(jù)和敏感數(shù)據(jù)的標(biāo)記��; 例如��;在S102下所給出的文件存儲系統(tǒng)的例子��,對于其元數(shù)據(jù)的數(shù)據(jù)存儲結(jié)構(gòu)��,則標(biāo) 記"\\host\合同"目錄下的業(yè)務(wù)數(shù)據(jù)為敏感數(shù)據(jù)��;"\\host\照片"目錄下的數(shù)據(jù)為可公開 數(shù)據(jù)��; S104在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)和敏感數(shù)據(jù)��。
[0025] 其中��,所述的預(yù)設(shè)方法可W根據(jù)經(jīng)驗(yàn)和需要設(shè)置��,該里并不給出具體限制,后續(xù)會 給出一些優(yōu)選的填充方法��。
[0026] 優(yōu)選地��,所述在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)為:將待保護(hù)的業(yè)務(wù)系統(tǒng)中 的可公開數(shù)據(jù)直接復(fù)制到蜜罐的業(yè)務(wù)系統(tǒng)中的可公開數(shù)據(jù)處��。
[OOW] 例如;假設(shè)待保護(hù)的業(yè)務(wù)系統(tǒng)為數(shù)據(jù)庫��,其中表A的真實(shí)業(yè)務(wù)數(shù)據(jù)如下:
其中��,標(biāo)記"工資"和"獎(jiǎng)金"為敏感數(shù)據(jù)��;其余項(xiàng)為可公開數(shù)據(jù)��。所W除了��。工資"和 "獎(jiǎng)金"兩項(xiàng)業(yè)務(wù)數(shù)據(jù)之外��,其余項(xiàng)數(shù)據(jù)可W直接復(fù)制填充至蜜罐的業(yè)務(wù)系統(tǒng)的可公開數(shù)據(jù) 項(xiàng)處��。
[0028] 優(yōu)選地��,所述在蜜罐中基于預(yù)設(shè)方法填充可公開數(shù)據(jù)為:將待保護(hù)的業(yè)務(wù)系統(tǒng)中 的可公開數(shù)據(jù)進(jìn)行打散��、互換和/或重組后復(fù)制到蜜罐