一种微蜜罐系统架构

技术领域

本发明属于网络安全技术领域，更具体地，涉及一种微蜜罐系统架构。

背景技术

蜜罐技术是一种旨在诱骗黑客攻击、收集攻击信息的安全技术。它作为一种检测和防御网络攻击的手段，被广泛应用于网络安全领域。蜜罐技术的基本原理是建立一个虚假的目标，吸引攻击者进入，并记录攻击信息以便进行分析和研究。

现有蜜罐技术主要包括普通蜜罐和微蜜罐两种。

普通蜜罐是一种独立的虚拟系统或隔离沙箱系统，具有完整的操作系统和应用程序，攻击者可以在其中执行任意命令，并且不会对真实的系统造成影响。普通蜜罐因通过虚拟机功能实现虚拟IP、主机模拟等关键技术而具有高仿真和易交互的优点，但是占用系统资源较多，通常需要单独部署、管理和维护，因此需要投入较大的时间和精力，难以批量化、动态化地部署及维护。

微蜜罐则相对轻量级，其本质上是多个诱饵服务模块在一个主机上的集成，单个诱饵服务不需要模拟完整的操作系统和运行环境，因此在相同的诱饵数量下微蜜罐占用的系统资源更低，一台服务器级别的主机通常可搭建十数个用于提供诱饵服务的微蜜罐模块。然而，微蜜罐在虚拟IP和主机模拟上具有一定的局限性，从外部入侵的角度上可以发现一个主机有一个IP，或者多个彼此之间没有隔离的IP且能访问同一个服务，这与一个主机MAC绑定一个IP并绑定一个服务的真实环境有明显区别，因此易被识破。

发明内容

本发明的目的在于解决现有的微蜜罐因在虚拟IP和主机模拟上具有局限性而与真实环境相差较大，进而易被识破的问题。

为了实现上述目的，本发明提供一种微蜜罐系统架构，所述微蜜罐系统架构包括服务端以及接入所述服务端的至少一个客户端，所述服务端部署有服务端系统，所述客户端部署有客户端系统；

所述客户端系统用于响应于所述服务端系统下发的微蜜罐服务创建指令，基于MacVlan网卡虚拟化技术创建相应的虚拟网卡，根据所述服务端预先下发的虚拟网卡资源管理策略为所述虚拟网卡分配MAC地址和IP地址，配置该虚拟网卡与其他虚拟网卡间的网络隔离，

以及，根据所述微蜜罐服务创建指令指定的微蜜罐服务类型从所述服务端系统获取相应的微蜜罐镜像，将所述微蜜罐镜像部署于所述客户端并在部署过程中将相应微蜜罐服务容器的网络接口与所述虚拟网卡相绑定。

作为可选的是，所述服务端为独立主机或者虚拟主机；

和/或，所述客户端为独立主机或者虚拟主机。

作为可选的是，所述客户端系统包括：

客户端管理模块，用于接收所述服务端系统下发的指令并对其进行解析以获取微蜜罐应用管理和部署策略，

上报客户端状态和蜜罐入侵命中事件信息，

以及，从所述服务端系统获取微蜜罐镜像并部署微蜜罐镜像，以在所述客户端创建相应的微蜜罐服务容器。

作为可选的是，所述客户端系统还包括：

网络动态配置模块，用于根据所述服务端系统下发的关于所述微蜜罐服务容器的指令，动态创建或者回收所述虚拟网卡。

作为可选的是，所述客户端系统还包括：

容器管理模块，用于生成或回收微蜜罐服务容器、控制微蜜罐服务容器的启动和关闭、采集微蜜罐服务容器的运行状态数据并上传至所述客户端管理模块。

作为可选的是，所述服务端系统包括：

服务端通信接口模块，用于实现与所述客户端系统的交互。

作为可选的是，所述服务端系统还包括：

微蜜罐镜像管理模块，用于存储微蜜罐镜像以及响应于所述客户端系统的微蜜罐镜像获取请求释放相应的微蜜罐镜像。

作为可选的是，所述服务端系统还包括：

微蜜罐服务部署管理模块，用于对所述微蜜罐镜像管理模块存储的微蜜罐镜像进行管理、接收客户端的微蜜罐镜像部署状态和资源占用情况以及根据所述资源占用情况分析客户端的扩展性。

作为可选的是，所述服务端系统还包括：

容器映射管理模块，用于实现虚拟网卡资源管理、虚拟网卡策略管理以及微蜜罐服务入侵命中路径的映射溯源；

所述虚拟网卡资源管理包括：根据客户端上报的系统配置确定客户端可支持的虚拟网卡最大数量，并展示每个客户端已经占用的虚拟网卡情况；

和/或，所述虚拟网卡策略管理包括：管理不同客户端主机之间或者同一个客户端上的虚拟网卡之间的MAC地址与IP地址的关联关系；

和/或，所述微蜜罐服务入侵命中路径的映射溯源包括：根据客户端上报的蜜罐入侵命中事件信息中的目标IP地址，并基于MAC地址与IP地址的关联关系映射到被入侵的客户端，并从时间线维度描绘出黑客攻击路径。

作为可选的是，所述服务端系统还包括：

微蜜罐入侵采集模块，用于抓取客户端上报的蜜罐入侵命中事件信息；

蜜罐命中入侵分析模块，用于根据所述蜜罐入侵命中事件信息分析黑客的网络入侵手段和作案工具指纹，并结合黑客攻击路径获取黑客画像；可视化服务模块，用于实现服务端的可视化以及人机交互。

本发明的有益效果在于：

本发明的微蜜罐系统架构，客户端系统响应于服务端系统下发的微蜜罐服务创建指令，基于网卡虚拟化技术创建相应的虚拟网卡，根据预定的虚拟网卡资源管理策略为虚拟网卡分配MAC地址和IP地址，以实现虚拟网卡间的网络隔离；在分配完MAC和IP资源之后，客户端系统根据微蜜罐服务创建指令指定的微蜜罐服务类型从服务端系统获取相应的微蜜罐镜像，将微蜜罐镜像部署于客户端并在部署过程中将相应微蜜罐服务容器的网络接口与虚拟网卡相绑定，以实现微蜜罐服务容器间的网络隔离。

本发明的微蜜罐系统架构能够为每个微蜜罐服务容器生成独立的MAC地址和IP地址，进而使得同一个客户端下的同一个以太网网卡对外呈现多个MAC:IP对，在此基础上结合对内绑定的微蜜罐服务所携带的各种各样的系统信息，使得客户端主机或虚拟机在外部入侵的角度上与实际业务服务主机没有区别，进而达到微蜜罐服务以假乱真的效果，从而能够有效地解决现有的微蜜罐因与真实环境相差较大而容易被识破的问题。

本发明的其他特征和优点将在随后具体实施方式部分予以详细说明。

附图说明

本发明可以通过参考下文中结合附图所做出的描述而得到更好的理解，其中在所有附图中使用了相同或相似的附图标记来表示相同或者相似的部件。

图1示出了根据本发明的实施例的服务端与客户端的部署示意图；

图2示出了根据本发明的实施例的微蜜罐系统架构的结构示意图；

图3示出了根据本发明的实施例的微蜜罐系统架构创建微蜜罐服务的过程示意图。

具体实施方式

为了使所属技术领域的技术人员能够更充分地理解本发明的技术方案，在下文中将结合附图对本发明的示例性的实施方式进行更为全面且详细的描述。显然地，以下描述的本发明的一个或者多个实施方式仅仅是能够实现本发明的技术方案的具体方式中的一种或者多种，并非穷举。应当理解的是，可以采用属于一个总的发明构思的其他方式来实现本发明的技术方案，而不应当被示例性描述的实施方式所限制。基于本发明的一个或多个实施方式，本领域的普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施方式，都应当属于本发明保护的范围。

实施例：图1示出了本发明实施例的服务端与客户端的部署示意图。参照图1，本发明实施例的微蜜罐系统架构包括服务端以及接入服务端的多个客户端，服务端部署有服务端系统，客户端部署有客户端系统；

客户端系统用于响应于服务端系统下发的微蜜罐服务创建指令，基于MacVlan网卡虚拟化技术创建相应的虚拟网卡，根据服务端预先下发的虚拟网卡资源管理策略为虚拟网卡分配MAC地址和IP地址，配置该虚拟网卡与其他虚拟网卡间的网络隔离，

以及，根据微蜜罐服务创建指令指定的微蜜罐服务类型从服务端系统获取相应的微蜜罐镜像，将微蜜罐镜像部署于客户端并在部署过程中将相应微蜜罐服务容器的网络接口与虚拟网卡相绑定。

具体地，本发明实施例中，服务端为独立主机或者虚拟主机，客户端为独立主机或者虚拟主机；各个客户端经过服务端侧的交换机或者防火墙接入服务端，服务端与客户端构成C/S架构模式。

进一步地，图2示出了本发明实施例的微蜜罐系统架构的结构示意图，其中仅示例性地示出了服务端与一个客户端，但并不构成对客户端的数量的限制。参照图2，本发明实施例中，客户端系统包括：

客户端管理模块，用于接收服务端系统下发的指令并对其进行解析以获取微蜜罐应用管理和部署策略，

上报客户端状态和蜜罐入侵命中事件信息，

以及，从服务端系统获取微蜜罐镜像并部署微蜜罐镜像，以在客户端创建相应的微蜜罐服务容器。

具体地，本发明实施例中，微蜜罐镜像为微蜜罐Docker镜像，微蜜罐服务容器为微蜜罐服务Docker容器。

再进一步地，本发明实施例中，客户端系统还包括：

网络动态配置模块，用于根据服务端系统下发的关于微蜜罐服务容器的指令，基于MacVlan网卡虚拟化技术生成虚拟网卡并为其分配MAC地址和IP地址，或者回收虚拟网卡。

具体地，本发明实施例中，网络动态配置模块主要负责Linux MacVlan资源的管理，通过MacVlan网卡虚拟化技术为虚拟网卡绑定独立的MAC地址和IP地址，以实现各个微蜜罐服务Docker容器之间的网络分割、网络通信和流量隔离。

再进一步地，本发明实施例中，客户端系统还包括：

容器管理模块，用于生成或回收微蜜罐服务容器、控制微蜜罐服务容器的启动和关闭、采集微蜜罐服务容器的运行状态数据并上传至客户端管理模块。

具体地，本发明实施例中，容器管理模块基于Kubernetes架构实现。

再进一步地，本发明实施例中，服务端系统包括：

服务端通信接口模块，作为服务端的直接对接客户端的通信端口。

再进一步地，本发明实施例中，服务端系统还包括：

微蜜罐镜像管理模块，用于存储微蜜罐镜像以及响应于客户端系统的微蜜罐镜像获取请求释放相应的微蜜罐镜像。

具体地，本发明实施例中，微蜜罐镜像管理模块基于Kubernetes架构实现。

再进一步地，本发明实施例中，服务端系统还包括：

微蜜罐服务部署管理模块，用于对微蜜罐镜像管理模块存储的微蜜罐镜像进行管理、接收客户端的微蜜罐镜像部署状态和资源占用情况以及根据资源占用情况分析客户端的扩展性。

具体地，本发明实施例中，微蜜罐服务部署管理模块基于对Kubernetes的Deployment部署管理实现对微蜜罐镜像管理模块存储的微蜜罐镜像的管理。

再进一步地，本发明实施例中，服务端系统还包括：

对客户端系统的网络动态配置模块进行集中管控的容器映射管理模块，用于实现虚拟网卡资源管理、虚拟网卡策略管理以及微蜜罐服务入侵命中路径的映射溯源；

虚拟网卡资源管理包括：根据客户端上报的系统配置确定客户端可支持的虚拟网卡最大数量，并展示每个客户端已经占用的虚拟网卡情况；

虚拟网卡策略管理包括：管理不同客户端主机之间或者同一个客户端上的虚拟网卡之间的MAC地址与IP地址的关联关系，以实现同一个网段下的网络间隔离和虚拟网卡间隔离；

微蜜罐服务入侵命中路径的映射溯源包括：根据客户端上报的蜜罐入侵命中事件信息中的目标IP地址，并基于MAC地址与IP地址的关联关系映射到被入侵的客户端，并从时间线维度描绘出黑客攻击路径。

再进一步地，本发明实施例中，服务端系统还包括：

微蜜罐入侵采集模块，用于抓取客户端上报的蜜罐入侵命中事件信息；

蜜罐命中入侵分析模块，用于根据蜜罐入侵命中事件信息分析黑客的网络入侵手段和作案工具指纹，并结合黑客攻击路径获取黑客画像；

可视化服务模块，用于实现服务端的可视化以及人机交互。

具体地，本发明实施例中，可视化服务模块主要为安全管理员展示服务端系统的各个功能模块在数据、状态、功能方面的可视化呈现部分，并提供服务端系统的交互界面。

具体地，本发明实施例中，服务端系统与客户端系统之间的通信遵循TCP/IP协议，具体协议包括但不限于MQTT和HTTPS。

图3示出了本发明实施例的微蜜罐系统架构创建微蜜罐服务的过程示意图。参照图3，当服务端系统下发一个微蜜罐服务创建指令时，首先由客户端系统的客户端管理模块接收到该指令，并解析出指令内容为在本地客户端创建一个微蜜罐服务。

之后先由客户端系统的网络动态配置模块基于MacVlan网卡虚拟化技术在Linux系统中创建一个虚拟网卡，并根据服务端系统预先下发的虚拟网卡资源管理策略，自动分配该虚拟网卡的MAC:IP对，配置该虚拟网卡与其他虚拟网卡间的网络隔离。

最后客户端系统的容器管理模块根据指令所指定的微蜜罐服务类型，从服务端系统的微蜜罐镜像管理模块上获取指定的微蜜罐Docker镜像，并部署在客户端本地，部署时将微蜜罐服务Docker容器的网络接口与该虚拟网卡进行绑定，完成后将结果通过客户端管理模块上报给服务端系统。

本发明实施例的微蜜罐系统架构，基于Docker和Kubernetes实现微蜜罐的集中化管理，通过服务端统一调度客户端主机/虚拟机上的微蜜罐服务，实现微蜜罐的轻量化、批量化、动态化部署，使得微蜜罐系统可以灵活地在物理机或虚拟机环境下进行扩展，具备高效的资源利用率和扩展性；客户端最小组成单位为Docker镜像，可以运行在终端主机、云服务器或者主机服务器中，兼容网络蜜罐、主机蜜罐和云蜜罐等多种应用场景。

本发明实施例的微蜜罐系统架构包括两部分：服务端和客户端。服务端为独立主机或者虚拟主机，客户端为独立主机或者虚拟主机；各个客户端经过服务端侧的交换机或者防火墙接入服务端，服务端与客户端构成C/S架构模式，客户端响应服务端的指令动态管理网络资源和镜像，服务端统一记录并分析客户端反馈的蜜罐运行状态和入侵信息，并根据微蜜罐服务的入侵信息反向映射到被访问的客户端IP和MAC，结合汇聚的蜜罐服务命中时间线、命中路径、行为特征、入侵工具指纹等维度信息，在服务端统一绘制入侵者画像、攻击路径和溯源信息。服务端统一管理微蜜罐部署策略、运行状态、入侵信息，实现了对全局微蜜罐系统的集中监控，为微蜜罐的维护和入侵分析提供了便利。通过入侵溯源分析功能，可以快速定位入侵源，自动生成黑客攻击路径和画像，提高了入侵应急响应的效率。

虽然以上对本发明的一个或者多个实施方式进行了描述，但是本领域的普通技术人员应当知晓，本发明能够在不偏离其主旨与范围的基础上通过任意的其他的形式得以实施。因此，以上描述的实施方式属于示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，对于本技术领域的普通技术人员而言许多修改和替换均具有显而易见性。