基于蜜网的协同式主动防御系统

摘要

本发明提出了一种基于蜜网的协同式主动防御系统，包括数据捕获模块、数据分析模块和数据控制模块，其特征在于：所述数据捕获模块、数据分析模块和数据控制模块分布式地存在于一个蜜网中心和多个子网中。本发明依托蜜网技术，采用协同式主动防御思想，实时共享不同蜜网捕获到的攻击者信息，实现网络层的主动防御，提高了防御的主动性和实时性，适用于大规模的企业网。本方法构建的系统具有很高的防御率、命中率和稳健性，大大缩减了从第一次发现攻击者到全网布控的时间延迟。

主权项

一种基于蜜网的协同式主动防御系统，包括数据捕获模块、数据分析模块和数据控制模块，其特征在于：所述数据捕获模块、数据分析模块和数据控制模块分布式地存在于一个蜜网中心和多个子网中，其中，所述数据捕获模块包括位于蜜网中心的全局日志记录数据库和各子网中的蜜墙、多台蜜罐主机、远程日志记录服务器、入侵检测服务器；所述数据分析模块包括位于蜜网中心的统计服务器、攻击模式提取服务器、全局恶意代码分析服务器、综合运算服务器、全局可视化服务器、全局统计数据库和全局特征数据库，以及各子网中的本地在线数据分析服务器；所述数据控制模块包括位于蜜网中心的全局控制服务器、全局控制数据库和全局入侵行为规则数据库，以及各子网中的可重定向路由器、防火墙；其中，所述远程日志记录服务器将所在子网捕获到的攻击数据传输到全局日志记录数据库，全局日志记录数据库保存远程日志记录服务器传输来的攻击数据，供统计服务器、攻击模式提取服务器和综合运算服务器使用；所述统计服务器从全局日志记录数据库中提取所有数据，将所有统计信息存入全局统计数据库，作为制定防御策略的依据；所述攻击模式提取服务器基于从全局日志记录数据库中提取的数据，提取出多种攻击模式，将包括攻击模式的攻击特征通过全局控制服务器传输至全局入侵行为规则数据库，对直接攻击用户网的攻击进行主动防御；所述综合运算服务器对从全局日志记录数据库中提取的所有数据进行攻击事件过滤，然后采用高可预测性的黑名单生成算法，通过全局统计数据库和全局特征数据库确定相关参数，通过受害子网关联度分析、攻击行为的威胁度分析和攻击者关联度分析确定最终防御策略，并将结果传输至全局控制服务器。