(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111818062A(43)申请公布日2020.10.23(21)申请号202010663667.5(22)申请日2020.07.10(71)申请人四川长虹电器股份有限公司地址621000四川省绵阳市高新区绵兴东路35号(72)发明人张鑫书(74)专利代理机构四川省成都市天策商标专利事务所51213代理人陈艺文(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书1页说明书4页附图1页(54)发明名称基于Docker的CentOS高交互蜜罐系统及其实现方法(57)摘要本发明公开了一种基于Docker的CentOS高交互蜜罐系统，包括：基础服务模块，用于基于基础CentOS镜像，大量部署其他基础服务，以模拟真实主机的操作环境，提升蜜罐与黑客的交互性；漏洞服务模块，用于在增加蜜罐系统内服务数量的同时，留下常见的漏洞，增加进入蜜罐系统的方式，降低进入蜜罐系统的难度，使攻击者进入蜜罐，并采集攻击者的数据；数据聚合模块，用于分析攻击者进入蜜罐系统后的操作，通过远程IP、远程端口、进程号、操作时间四元组，将同一个用户在蜜罐系统内进行的全部操作聚合在一个会话id下，分析攻击作者的操作意图，溯源攻击路径；本发明还提供一种基于Docker的CentOS高交互蜜罐系统的实现方法，本发明起到保护真实主机服务的作用。CN111818062ACN111818062A权利要求书1/1页1.一种基于Docker的CentOS高交互蜜罐系统，其特征在于，包括：基础服务模块，用于基于基础CentOS镜像，大量部署其他基础服务，以模拟真实主机的操作环境，提升蜜罐与黑客的交互性；漏洞服务模块，用于在增加蜜罐系统内服务数量的同时，留下常见的漏洞，增加进入蜜罐系统的方式，降低进入蜜罐系统的难度，使攻击者进入蜜罐，并采集攻击者的数据；数据聚合模块，用于分析攻击者进入蜜罐系统后的操作，通过远程IP、远程端口、进程号、操作时间四元组，将同一个用户在蜜罐系统内进行的全部操作聚合在一个会话id下，分析攻击作者的操作意图，溯源攻击路径。2.根据权利要求1所述的基于Docker的CentOS高交互蜜罐系统，其特征在于，所述的基础服务模块包括常用系统指令、ssh服务、数据库服务和web服务。3.根据权利要求1所述的基于Docker的CentOS高交互蜜罐系统，其特征在于，所述漏洞服务模块包括mysql服务、redis服务、nginx代理、thinkphp服务，漏洞包括指令注入漏洞、未授权访问漏洞、解析漏洞、文件上传漏洞，使得该系统更易被黑客攻击入侵，吸引黑客流量，采集黑客数据。4.根据权利要求1所述的基于Docker的CentOS高交互蜜罐系统，其特征在于，所述数据聚合模块以TCP连接会话形式，聚合不同的操作指令，溯源黑客的攻击路径，分析黑客攻击意图。5.一种如权利要求1-4任一项所述的基于Docker的CentOS高交互蜜罐系统的实现方法，其特征在于，包括以下步骤：步骤一、制作CentOS基础蜜罐：以Docker技术为基础，拉取CentOS镜像作为基础镜像；再基于此镜像，部署sysdig插件作为CentOS指令监控插件，从系统调用的层面进行监控，再通过lua脚本进行过滤，能完整的监控CentOS系统内执行的全部指令；之后，安装openssh服务，为此CentOS系统留下一个常用入口；步骤二、部署CentOS内多种服务，以达到暴露漏洞以及高交互的目的：基于开源代码，即可完成包含对应漏洞的各类服务的部署，包括mysql服务、redis服务、Nginx服务、thinkphp服务，以及其包含的命令注入漏洞、未授权访问漏洞、解析漏洞、文件上传漏洞；步骤三、聚合访问数据：通过sysdig监控记录下指令的进程号以及发生时间，再依据指令注入时间找到对应Nginx日志，确定用户的远程ip和远程端口，由此生成进程号、远程IP和远程端口的键值对，以及生成一个确定此次会话的唯一会话id。2CN111818062A说明书1/4页基于Docker的CentOS高交互蜜罐系统及其实现方法技术领域[0001]本发明涉及计算机网络安全技术领域，特别是一种基于Docker的CentOS高交互蜜罐系统及其实现方法。背景技术[0002]蜜罐技术是一种对互联网攻击方进行欺骗的技术。通常可以认为，蜜罐是一台无人使用但受到严密监控的网络主机，它包含虚假的高价值资源和一些漏洞，以吸引入侵者攻击蜜罐主机，以起到保护真实主机的目的。同时，蜜罐可以记录下黑客进行攻击的所有指令，以此制定防御攻击的手段，供真实主机使用。采用蜜罐技术可以一定程度上的抵御未知攻击，增强实际系统的防护能力。[0003]目前已有的蜜罐技