一种基于流数据处理的网络安全蜜罐系统及实现方法与流程

技术特征：
1.一种基于流数据处理的网络安全蜜罐系统，其特征在于，包括蜜罐服务管理模块、蜜罐客户端、蜜罐服务运行状态收集服务模块、流量信息消费服务模块、流数据处理引擎模块、蜜罐服务管理队列、蜜罐服务状态队列和蜜罐访问流量队列，所述蜜罐服务管理模块，用于将蜜罐服务管理指令存储至蜜罐服务管理队列，接收并处理蜜罐客户端的连接请求，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；所述蜜罐客户端，用于载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求，连接和监听蜜罐服务管理队列；监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；所述蜜罐服务管理队列，用于存储蜜罐服务管理指令；所述蜜罐服务状态队列，用于存放蜜罐服务的运行状态信息；所述蜜罐访问流量队列，用于存放蜜罐服务的访问流量信息；所述蜜罐服务运行状态收集服务模块，用于监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；所述流量信息消费服务模块，用于监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；所述流数据处理引擎模块，用于创建蜜罐服务的事件类型和事件处理规则，根据接收到的事件匹配事件处理规则，输出蜜罐服务被攻击预警信息。2.根据权利要求1所述的一种基于流数据处理的网络安全蜜罐系统，其特征在于，还包括守护进程，所述守护进程用于监测蜜罐客户端的工作状态，当蜜罐客户端工作状态出现异常或者停止工作时，关闭并重启蜜罐客户端。3.一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，包括：步骤1，蜜罐服务管理模块等待蜜罐客户端连接；步骤2，蜜罐客户端载入蜜罐服务配置信息，向蜜罐服务管理模块发起连接请求；步骤3，蜜罐服务管理模块接收并处理蜜罐客户端的连接请求，连接成功后，向蜜罐客户端下发蜜罐服务管理队列的连接配置信息；步骤4，蜜罐客户端连接和监听蜜罐服务管理队列，监听到蜜罐服务管理队列中有消息时，取出蜜罐服务管理指令并进行解析，对蜜罐服务进行管理；步骤5，蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当蜜罐服务状态队列中存在蜜罐服务状态信息时取出数据进行处理和展示；步骤6，流量信息消费服务模块监听蜜罐访问流量队列，当蜜罐访问流量队列中存在蜜罐网络访问流量信息时，取出所述网络访问流量信息并包装成事件，发送至流数据处理引擎模块；步骤7，流数据处理引擎模块创建蜜罐服务的事件类型、事件处理规则和事件处理条件，当接收到的事件符合事件处理条件时，触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。4.根据权利要求3所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，蜜罐服务管理模块和蜜罐客户端基于tcp协议的服务器/客户端模式，步骤1包括：蜜罐服务管理模块创建socket套接字，使用套接字绑定本地的网络地址和端口，套接字在绑
定的端口上进行监听，等待蜜罐客户端的连接请求；步骤2包括：蜜罐客户端载入蜜罐服务配置信息，所述蜜罐服务配置信息是一个四元组<id，honeypotservicename，honeypotservicetype，honeypotservicefilepath>，其中id是蜜罐服务的唯一标识；honeypotservicename表示蜜罐服务的名称；honeypotservicetype表示蜜罐服务的类型；honeypotservicefilepath表示蜜罐服务静态文件的本地路径信息；蜜罐客户端创建socket套接字，向蜜罐服务管理模块发起连接请求。5.根据权利要求4所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，步骤3中，蜜罐服务管理模块处理蜜罐客户端的连接请求包括：蜜罐客户端发送蜜罐客户端所在的节点信息给蜜罐服务管理模块，节点信息包括节点的名称、节点的网络地址和节点的校验码；蜜罐服务管理模块对蜜罐客户端发送的节点信息进行校验，判断是否为能够进行连接的合法节点；如果节点校验不通过，则蜜罐服务管理模块断开当前连接，连接失败；如果节点校验通过，连接成功。6.根据权利要求5所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，步骤4中所述蜜罐服务包括蜜罐服务协议和蜜罐服务静态文件；所述蜜罐服务管理指令包括对蜜罐服务进行配置的配置指令和对蜜罐服务进行操作的操作指令，所述操作指令包括开启和关闭蜜罐服务；所述对蜜罐服务进行管理包括对蜜罐服务进行配置和对蜜罐服务进行开启和关闭操作。7.根据权利要求6所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，步骤5中所述蜜罐服务状态包括端口状态、心跳、系统资源使用情况、服务创建时间和服务运行时间信息。8.根据权利要求7所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，步骤6中所述事件是一个四元组e＝<id,honeypottype,flowdata,timestamp>，其中id是该事件的唯一标识，honeypottype表示事件的属性即蜜罐服务的类型，对于不同类型蜜罐服务收集的网络访问流量信息被包装成不同属性的事件，flowdata表示事件中携带的蜜罐服务收集的网络访问流量信息数据，timestamp表示事件发生的时间，标识蜜罐服务收集的网络流量信息的时间；流量信息消费服务模块将蜜罐访问流量队列中获取的原始网络访问流量信息通过调用事件类的构造函数创建事件实例。9.根据权利要求8所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，步骤7包括：步骤7-1，基于复杂事件处理cep创建流数据处理引擎；步骤7-2，在流数据处理引擎中注册事件类型，并生成相关的配置对象，其中事件类型与蜜罐服务类型相对应；步骤7-3，根据7-2中生成的配置对象创建事件流处理引擎实例，作为事件处理的容器环境；步骤7-4，创建并导入事件处理规则，所述事件处理规则与事件类型相对应，用于处理接收到的事件；步骤7-5，创建监听器对象，并将监听器对象与事件处理规则相关联；
步骤7-6，创建事件流处理的执行环境对象，在引擎中与事件处理条件进行匹配；步骤7-7，执行环境对象负责监听来到的所有事件，根据事件中的属性值honeypottype来选择对应的事件处理条件，当事件符合事件处理条件时触发相应的监听器对事件进行处理，获得蜜罐服务被攻击预警信息。10.根据权利要求9所述的一种基于流数据处理的网络安全蜜罐系统实现方法，其特征在于，还包括步骤8，开启守护进程，监测蜜罐客户端的工作状态，当蜜罐客户端工作状态出现异常或者停止工作时，关闭并重启蜜罐客户端。

技术总结
本发明提供了一种基于流数据处理的网络安全蜜罐系统及实现方法，所述实现方法包括蜜罐服务管理模块和蜜罐客户端建立连接；蜜罐客户端监听到蜜罐服务管理队列中有消息时，对蜜罐服务进行管理；蜜罐服务运行状态收集服务模块监听蜜罐服务状态队列，当队列中存在蜜罐服务状态信息时取出数据进行处理和展示；流量信息消费服务模块监听蜜罐访问流量队列，当队列中存在蜜罐网络访问流量信息时，将其取出包装成事件，发送至流数据处理引擎模块；当接收到的事件符合事件处理条件时，流数据处理引擎模块触发事件处理规则对事件进行处理，获得蜜罐服务被攻击预警信息。该实现方法能够有效提高蜜罐的流量解析能力，实现网络攻击行为的实时预警。预警。预警。


技术研发人员：田闯 苏志鹏 王小鹏 石启良 陈昊望
受保护的技术使用者：中通服咨询设计研究院有限公司
技术研发日：2022.07.12
技术公布日：2022/11/22