一种自动化拟态蜜罐构造方法及装置与流程

1.本发明涉及网络安全技术领域，特别是涉及一种基于自动化拟态蜜罐构造方法及装置。


背景技术：

2.在云网改造、数字化转型等发展背景下，企事业单位的业务、数据和应用不断变化，信息化系统的功能性、规模性、交互性不断增加，攻击面也随之不断扩大。新的攻击组织、攻击技术和攻击手法层出不穷，网络安全威胁越发呈现出多样性和未知性，传统的着重在对目标系统进行外部安全加固和针对已知威胁进行检测消除的网络安全防御方法已无法有效应对各类攻击。为了弥补这方面的不足，以蜜罐为主的主动防御技术逐步受到安全人员的关注。蜜罐通过主动暴露漏洞来引诱攻击者进入一个“伪造”的环境中，防御方经由蜜罐对攻击活动的记录和分析可以获取更多攻击者的信息。然而，现有的蜜罐与真实场景中的业务环境联系甚少，攻击者很容易意识到这是个陷阱并离开，难以发挥蜜罐的功效。此外，既有的网络安全防御技术同样是由软硬件构成的，在为目标对象提供期望的安全防御功能的同时，也难以避免由于自身原因给目标系统引入新的安全漏洞。若攻击者通过系统中存在的未知漏洞攻破系统的防御体系，则很有可能会把蜜罐当成一个跳板，对真实的业务系统展开攻击。
3.因此，必须从根本上转变网络空间防御理念，不再追求建立一种无漏洞、无后门、无缺陷的运行场景或防御环境来对抗网络空间的各种安全威胁。网络空间拟态防御作为一种新型内生安全技术，可以解决网络空间不同领域目标对象上基于漏洞后门或病毒木马等威胁问题，突破传统安全建设被安全攻击和风险牵着鼻子走的现状，实现网络安全与功能安全一体化处理的理想目标。
4.专利cn112367315b公开了一种内生安全waf(web application firewall，网站应用级入侵防御系统)蜜罐部署方法，当算法判断出异常流量时，并不拒绝访问流量，而是将攻击者流量导入蜜罐，去误导攻击者并获取攻击者相应信息，进而防止攻击者不断探寻规律寻找可能能够通过waf的规则。然而，该发明并未关注蜜罐与业务系统间的关联，攻击者很容易发现蜜罐本质进而转移攻击目标或尝试逃逸攻击。


技术实现要素：

5.本发明的目的是提供一种自动化拟态蜜罐构造方法及装置，以体现构造的拟态蜜罐与业务系统的关联，能够更好地吸引和迷惑攻击者。
6.为实现上述目的，本发明提供了如下方案：
7.本发明提供一种自动化拟态蜜罐构造方法，所述方法包括如下步骤：
8.获取业务系统的用户上传的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件
类型x5、业务网站中间件版本x6、业务网站数据库类型x7、业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9；
9.从镜像库中选取与所述第一子业务信息对应的基础镜像；所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3；
10.对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；脱敏后的业务网站数据包括脱敏后的前端代码、脱敏后的后端代码和脱敏后的数据库文件；
11.将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；
12.基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的后端容器对外映射业务网站的网络关系；
13.对所述拟态蜜罐的流量和日志进行分析，获取未知攻击；所述未知攻击包括对所述业务系统的攻击和对所述拟态蜜罐的攻击。
14.可选的，所述从镜像库中选取与所述第一子业务信息对应的基础镜像，具体包括：
15.从镜像库中选取与业务网站前端语言类型x1和业务网站前端语言版本x2对应的前端基础镜像y1；
16.从镜像库中选取与业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5和业务网站中间件版本x6对应的后端基础镜像y2；
17.从镜像库中选取与业务网站数据库类型x7和业务网站数据库版本x8对应的数据库基础镜像y3。
18.可选的，对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据，具体包括：
19.对业务网站数据中的数据库文件进行静态脱敏，获得脱敏后的数据库文件；
20.对业务网站数据中的前端页面和后端数据类型接口进行应用系统脱敏，获得脱敏后的前端代码和脱敏后的后端代码。
21.可选的，所述将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像，具体包括：
22.将所述基础镜像中的前端代码替换为脱敏后的前端代码，获得业务镜像中的前端镜像；
23.将所述基础镜像中的后端代码替换为脱敏后的后端代码，获得业务镜像中的后端镜像；
24.将所述基础镜像中的数据库文件替换为脱敏后的数据库文件，获得业务镜像中的数据库镜像。
25.一种自动化拟态蜜罐构造装置，所述装置应用于上述的方法，所述装置包括：
26.业务系统信息获取模块，用于获取业务系统的用户上传的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6、业务网站数据库类型x7和业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9；
27.基础镜像选取模块，用于从镜像库中选取与所述第一子业务信息对应的基础镜
像；所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3；
28.脱敏模块，用于对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；脱敏后的业务网站数据包括脱敏后的前端代码、脱敏后的后端代码和脱敏后的数据库文件；
29.绑定模块，用于将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；
30.拟态蜜罐生成及运行模块，用于基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的后端容器对外映射业务网站的网络关系；
31.流量和日志分析模块，用于对所述拟态蜜罐的流量和日志进行分析，获取未知攻击；所述未知攻击包括对所述业务系统的攻击和对所述拟态蜜罐的攻击。
32.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的方法。
33.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述的方法。
34.根据本发明提供的具体实施例，本发明公开了以下技术效果：
35.本发明公开一种自动化拟态蜜罐构造方法及装置，所述方法包括：获取业务系统的用户上传的业务信息和业务网站数据；从镜像库中选取与所述第一子业务信息对应的基础镜像；对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；对所述拟态蜜罐的流量和日志进行分析，获取未知攻击；所述未知攻击包括对所述业务系统的攻击和对所述拟态蜜罐的攻击。本发明基于业务系统的业务信息和业务网站数据构造拟态蜜罐，体现了构造的拟态蜜罐与业务系统的关联，使攻击者发现攻击目标为拟态蜜罐。
附图说明
36.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
37.图1为本发明实施例提供的一种自动化拟态蜜罐构造方法的流程图；
38.图2为本发明实施例提供的一种自动化拟态蜜罐构造装置的结构示意图。
具体实施方式
39.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.本发明的目的是提供一种自动化拟态蜜罐构造方法及装置，以体现构造的拟态蜜
罐与业务系统的关联，能够更好地吸引和迷惑攻击者。
41.为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。
42.本发明实施例1提供一种自动化拟态蜜罐构造方法，如图1所示，所述方法包括如下步骤：
43.步骤101，获取用户上传的业务系统的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6、业务网站数据库类型x7、业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9。
44.其中，业务信息为
45.步骤102，从镜像库中选取与所述第一子业务信息对应的基础镜像所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3，其中，前端基础镜像y1的选择依据业务网站前端语言类型x1、业务网站前端语言版本x2，后端基础镜像y2的选择依据业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6，数据库基础镜像y3的选择依据业务网站数据库类型x7、业务网站数据库版本x8。例如，用户上传的业务网站后端语言类型为php(hypertextpreprocessor，超文本预处理器，是在服务器端执行的脚本语言)、业务网站后端语言版本为5.6、业务网站中间件类型为nginx(engine x，一个高性能的http和反向代理web服务器)、业务网站中间件版本为1.22.1，则从仓库中自动选取名称为php5.6+nginx1.22.1的基础镜像，该基础镜像是在仓库(即镜像库)中存好的。
46.步骤103，对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；
47.对数据库文件进行静态脱敏，前端页面以及后端数据类型接口api进行应用系统脱敏，脱敏后的业务网站数据为包括脱敏后的前端代码k1、脱敏后的后端代码k2和脱敏后的数据库文件k3。
48.步骤104，将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像。
49.将基础镜像和业务网站数据一一绑定并生成对应业务镜像其中z1为将k1替换了基础镜像中前端代码的前端镜像，z2为将k2替换了基础镜像中后端代码的后端镜像，z3为将k3替换了基础镜像中数据库文件的数据库镜像。
50.步骤104所述将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像，具体包括：将所述基础镜像中的前端代码替换为脱敏后的前端代码，获得业务镜像中的前端镜像；将所述基础镜像中的后端代码替换为脱敏后的后端代码，获得业务镜像中的后端镜像；将所述基础镜像中的数据库文件替换为脱敏后的数据库文件，获得业务镜像中的数据库镜像。
51.步骤105，基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的
后端容器对外映射业务网站的网络关系。参照前端容器需要和后端容器交互，后端容器需要和数据库容器交互，后端容器对外映射业务网站且绑定空闲二级域名x9的网络关系，平台基于业务镜像在虚拟机内自动生成并运行三个容器。
52.步骤106，对所述拟态蜜罐的流量和日志进行分析，获取未知攻击；所述未知攻击包括对所述业务系统的攻击和对所述拟态蜜罐的攻击。
53.实施例2
54.本发明实施例2提供一种自动化拟态蜜罐构造装置，所述装置应用于实施例1的方法，如图2所示，所述装置包括：
55.业务系统信息获取模块201，用于获取业务系统的用户上传的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6、业务网站数据库类型x7、业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9。
56.基础镜像选取模块202，用于从镜像库中选取与所述第一子业务信息对应的基础镜像；所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3。
57.脱敏模块203，用于对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；脱敏后的业务网站数据包括脱敏后的前端代码、脱敏后的后端代码和脱敏后的数据库文件。
58.绑定模块204，用于将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像。
59.拟态蜜罐生成及运行模块205，用于基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的后端容器对外映射业务网站的网络关系。
60.流量和日志分析模块206，用于对所述拟态蜜罐的流量和日志进行分析，获取攻击事件；所述攻击事件包括蜜罐中布置的已知漏洞和对所述拟态蜜罐的未知攻击。
61.实施例3
62.本发明实施例3提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现实施例1的方法。
63.此外，上述的存储器中的计算机程序通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
64.实施例4
65.本发明实施例4提供一种计算机可读存储介质，其上存储有计算机程序，所述计算
机程序被执行时实现实施例1的方法。
66.综上，与现有技术相比，本发明实施例提供的方法的有益效果是：本发明基于业务系统的业务信息和业务网站数据构造拟态蜜罐，体现了构造的拟态蜜罐与业务系统的关联，使攻击者发现攻击目标为拟态蜜罐。能够诱骗攻击者持续攻击，主动发现针对业务系统的未知攻击，此外，本发明还具备自动化构造能力，能够减少不同业务系统的定制化拟态设计成本。
67.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
68.本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

技术特征：
1.一种自动化拟态蜜罐构造方法，其特征在于，所述方法包括如下步骤：获取用户上传的业务系统的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6、业务网站数据库类型x7和业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9；从镜像库中选取与所述第一子业务信息对应的基础镜像；所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3；对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；脱敏后的业务网站数据包括脱敏后的前端代码、脱敏后的后端代码和脱敏后的数据库文件；将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的后端容器对外映射业务网站的网络关系；对所述拟态蜜罐的流量和日志进行分析，获取攻击事件；所述攻击事件包括蜜罐中布置的已知漏洞和对所述拟态蜜罐的未知攻击。2.根据权利要求1所述的自动化拟态蜜罐构造方法，其特征在于，所述从镜像库中选取与所述第一子业务信息对应的基础镜像，具体包括：从镜像库中选取与业务网站前端语言类型x1和业务网站前端语言版本x2对应的前端基础镜像y1；从镜像库中选取与业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5和业务网站中间件版本x6对应的后端基础镜像y2；从镜像库中选取与业务网站数据库类型x7和业务网站数据库版本x8对应的数据库基础镜像y3。3.根据权利要求1所述的自动化拟态蜜罐构造方法，其特征在于，对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据，具体包括：对业务网站数据中的数据库文件进行静态脱敏，获得脱敏后的数据库文件；对业务网站数据中的前端页面和后端数据类型接口进行应用系统脱敏，获得脱敏后的前端代码和脱敏后的后端代码。4.根据权利要求1所述的自动化拟态蜜罐构造方法，其特征在于，所述将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像，具体包括：将所述基础镜像中的前端代码替换为脱敏后的前端代码，获得业务镜像中的前端镜像；将所述基础镜像中的后端代码替换为脱敏后的后端代码，获得业务镜像中的后端镜像；将所述基础镜像中的数据库文件替换为脱敏后的数据库文件，获得业务镜像中的数据库镜像。5.一种自动化拟态蜜罐构造装置，其特征在于，所述装置应用于权利要求1-4任一项所
述的方法，所述装置包括：业务系统信息获取模块，用于获取用户上传的业务系统的业务信息和业务网站数据；所述业务信息包括第一子业务信息和第二子业务信息，所述第一子业务信息包括业务网站前端语言类型x1、业务网站前端语言版本x2、业务网站后端语言类型x3、业务网站后端语言版本x4、业务网站中间件类型x5、业务网站中间件版本x6、业务网站数据库类型x7和业务网站数据库版本x8，所述第二子业务信息包括空闲二级域名x9；基础镜像选取模块，用于从镜像库中选取与所述第一子业务信息对应的基础镜像；所述基础镜像包括前端基础镜像y1、后端基础镜像y2以及数据库基础镜像y3；脱敏模块，用于对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；脱敏后的业务网站数据包括脱敏后的前端代码、脱敏后的后端代码和脱敏后的数据库文件；绑定模块，用于将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；拟态蜜罐生成及运行模块，用于基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；所述拟态蜜罐包括：前端容器、后端容器和数据库容器，所述拟态蜜罐的运行用于表征前端容器与后端容器交互，后端容器与数据库容器交互，及绑定空闲二级域名x9的后端容器对外映射业务网站的网络关系；流量和日志分析模块，用于对所述拟态蜜罐的流量和日志进行分析，获取攻击事件；所述攻击事件包括蜜罐中布置的已知漏洞和对所述拟态蜜罐的未知攻击。6.一种电子设备，其特征在于，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的方法。7.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被执行时实现如权利要求1至4中任一项所述的方法。

技术总结
本发明公开一种自动化拟态蜜罐构造方法及装置，所述方法包括：获取用户上传的业务系统的业务信息和网站数据；从镜像库中选取与所述第一子业务信息对应的基础镜像；对所述业务网站数据进行脱敏，获得脱敏后的业务网站数据；将所述基础镜像与脱敏后的业务网站数据进行绑定获得业务镜像；基于所述业务镜像和所述第二子业务信息在虚拟机内自动生成并运行拟态蜜罐；对所述拟态蜜罐的流量和日志进行分析，获取攻击事件；所述攻击事件包括蜜罐中布置的已知漏洞和对所述拟态蜜罐的未知攻击。本发明基于业务系统的相关信息和网站数据构造拟态蜜罐，体现了构造的拟态蜜罐与业务系统的关联，能够更好地吸引和迷惑攻击者。能够更好地吸引和迷惑攻击者。能够更好地吸引和迷惑攻击者。


技术研发人员：李春强 邓启晴 丘国伟 郑华梅
受保护的技术使用者：北京经纬信安科技有限公司
技术研发日：2023.03.17
技术公布日：2023/7/13