本發(fā)明涉及網(wǎng)絡安全技術領域，特別是涉及采用微服務架構的蜜罐自動構造方法及系統(tǒng)。

背景技術：

根據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的《2016年中國網(wǎng)站安全漏洞形勢分析報告》中的數(shù)據(jù)表明，對各類網(wǎng)站進行掃描發(fā)現(xiàn)存在漏洞的網(wǎng)站數(shù)量較高，這就顯示出公共互聯(lián)網(wǎng)絡面臨著嚴重的安全威脅，網(wǎng)絡安全問題日益成為一個全球性的突出問題，如何保證網(wǎng)絡安全和避免黑客攻擊成為了重要的課題。

由于黑客無處不在，而安全也沒有一個絕對意義上的標準。所以誘騙網(wǎng)絡入侵者成為了很好的遏制黑客攻擊的途徑，通過記錄其攻擊流，并在此基礎上進行分析整理，調查其入侵方式，掌握其規(guī)律，來保證計算機網(wǎng)絡的正常安全地運行，就顯得尤為必要了。相對于傳統(tǒng)的數(shù)據(jù)鑒別、防火墻、數(shù)據(jù)加密和認證等安全防護技術在手段上的較為被動，蜜罐系統(tǒng)能夠主動防御網(wǎng)絡攻擊，它通過偽造攻擊目標，誘騙攻擊者攻擊，從而實現(xiàn)保護實際目標的目的?？梢酝ㄟ^對蜜罐配置任意數(shù)量的服務或者任何種類的操作系統(tǒng)。高交互蜜罐模擬一個具有完整服務的操作系統(tǒng)環(huán)境，而低交互蜜罐通常模擬一些易遭受攻擊的服務，比如網(wǎng)絡堆棧。

但是傳統(tǒng)的蜜罐系統(tǒng)很可能是一個又大又復雜的單體式應用，任何單個開發(fā)者對其開發(fā)都會存在一定的困難，修正漏洞和正確地添加新功能也會變得非常困難并且比較耗時。并且高交互蜜罐系統(tǒng)如果被攻擊者完全攻陷而不被察覺，攻擊者就可以對系統(tǒng)進行任意的攻擊，而低交互蜜罐系統(tǒng)只允許攻擊者對齊設定的服務進行訪問攻擊，容易被攻擊者識破。所以在現(xiàn)有的蜜罐系統(tǒng)中無論構造成高交互蜜罐還是低交互蜜罐都存在著一定的缺點。

技術實現(xiàn)要素：

針對于上述問題，本發(fā)明提供一種蜜罐構造方法及系統(tǒng)，實現(xiàn)了能夠自動按需部署蜜罐系統(tǒng)的目的。

為了實現(xiàn)上述目的，根據(jù)本發(fā)明的第一方面，提供了一種蜜罐構造方法，該方法適用于蜜罐構造系統(tǒng)，所述系統(tǒng)包括流量分析裝置，由協(xié)議處理服務裝置、主機模擬服務裝置和監(jiān)聽裝置構成的蜜罐構造裝置，身份認證裝置，蜜罐部署裝置和日志存儲裝置，所述蜜罐構造方法包括：

所述流量分析裝置接收外部網(wǎng)絡數(shù)據(jù)流，對所述外部網(wǎng)絡數(shù)據(jù)流進行分析，將所述外部網(wǎng)絡數(shù)據(jù)流中的正常數(shù)據(jù)流放行,并發(fā)送至第一業(yè)務系統(tǒng)，所述第一業(yè)務系統(tǒng)為所述正常的數(shù)據(jù)流要訪問的業(yè)務系統(tǒng)，將可疑數(shù)據(jù)流發(fā)送至蜜罐構造裝置中的協(xié)議處理服務裝置；

所述協(xié)議處理服務裝置模擬易受攻擊的協(xié)議服務對所述可疑流量進行響應，獲取所述可疑數(shù)據(jù)流的攻擊流，生成日志信息存儲至所述日志存儲裝置；

當所述攻擊流不能滿足所設安全閾值時，則所述協(xié)議處理服務裝置將蜜罐部署申請發(fā)送至所述身份認證裝置，其中，所述安全閾值為根據(jù)實際情況設定的所要截獲的攻擊流；

所述身份認證裝置判斷所述蜜罐部署請求是否為合法請求，如果是則將所述蜜罐部署請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述主機模擬服務裝置；

所述主機模擬服務裝置模擬操作系統(tǒng)的服務對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置；

所述狀態(tài)監(jiān)聽裝置對所述協(xié)議處理服務裝置和主機模擬服務裝置中的響應狀態(tài)進行監(jiān)聽。

優(yōu)選的，所述狀態(tài)監(jiān)聽裝置包括刪除單元和部署單元，該方法還包括：

當所述蜜罐構造裝置接收到的可疑流量較低時，所述刪除單元向所述身份認證裝置發(fā)送刪除所述蜜罐構造裝置的申請信息；

當所述蜜罐構造裝置接收到的可疑流量增多時，所述部署單元向所述身份認證裝置發(fā)送布置主機模擬服務裝置的申請信息。

優(yōu)選的，當所述蜜罐構造裝置對所述業(yè)務系統(tǒng)發(fā)送反饋數(shù)據(jù)流時，所述蜜罐構造系統(tǒng)還包括對外流量控制裝置，該方法還包括：

當所述蜜罐構造裝置對所述業(yè)務系統(tǒng)發(fā)送反饋數(shù)據(jù)流時，所述對外流量控制裝置制定約束策略，根據(jù)所述約束策略對所述反饋數(shù)據(jù)流進行限制，將限制后的數(shù)據(jù)流發(fā)送至所述業(yè)務系統(tǒng)。

優(yōu)選的，當所述業(yè)務系統(tǒng)中的用戶發(fā)出進行蜜罐構造的用戶請求時，所述身份認證裝置還包括判斷單元，該方法還包括：

所述判斷單元接收所述用戶請求，并在在用戶數(shù)據(jù)庫中查找所述用戶信息，判斷所述用戶是否為合法用戶，如果是，則將所述蜜罐構造請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置。

優(yōu)選的，其特征在于，當所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置時，所述蜜罐構造系統(tǒng)還包括計費裝置和計費數(shù)據(jù)庫，該方法還包括：

當所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置時，所述蜜罐部署裝置將產(chǎn)生的計費信息發(fā)送至所述計費裝置；

所述計費裝置將所述計費信息生成計費統(tǒng)計表存儲在所述計費數(shù)據(jù)庫中。

優(yōu)選的，所述蜜罐構造系統(tǒng)包括日志分析裝置，該方法包括：

所述日志分析裝置分析所述日志存儲裝置中的日志信息，并根據(jù)所述日志信息獲取到相應的計費信息，并將所述計費信息發(fā)送至所述計費裝置。

根據(jù)本發(fā)明的第二方面，提供了一種蜜罐構造系統(tǒng)，該系統(tǒng)包括流量分析裝置，由協(xié)議處理服務裝置、主機模擬服務裝置和監(jiān)聽裝置構成的蜜罐構造裝置，身份認證裝置，蜜罐部署裝置和日志存儲裝置，其中，

所述流量分析裝置，用于接收外部網(wǎng)絡數(shù)據(jù)流，對所述外部網(wǎng)絡數(shù)據(jù)流進行分析，將所述外部網(wǎng)絡數(shù)據(jù)流中的正常數(shù)據(jù)流放行,并發(fā)送至第一業(yè)務系統(tǒng)，所述第一業(yè)務系統(tǒng)為所述正常的數(shù)據(jù)流要訪問的業(yè)務系統(tǒng)，將可疑數(shù)據(jù)流發(fā)送至蜜罐構造裝置中的協(xié)議處理服務裝置；

所述協(xié)議處理服務裝置，用于模擬易受攻擊的協(xié)議服務對所述可疑流量進行響應，獲取所述可疑數(shù)據(jù)流的攻擊流，生成日志信息存儲至所述日志存儲裝置；

當所述攻擊流不能滿足所設安全閾值時，則所述協(xié)議處理服務裝置，用于將蜜罐部署申請發(fā)送至所述身份認證裝置，其中，所述安全閾值為根據(jù)實際情況設定的所要截獲的攻擊流；

所述身份認證裝置，用于判斷所述蜜罐部署請求是否為合法請求，如果是則將所述蜜罐部署請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置，用于將蜜罐部署信息發(fā)送至所述主機模擬服務裝置；

所述主機模擬服務裝置，用于模擬操作系統(tǒng)的服務對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置；

所述狀態(tài)監(jiān)聽裝置，用于對所述協(xié)議處理服務裝置和主機模擬服務裝置中的響應狀態(tài)進行監(jiān)聽。

優(yōu)選的，所述狀態(tài)監(jiān)聽裝置包括刪除單元和部署單元，其中，

當所述蜜罐構造裝置接收到的可疑流量較低時，所述刪除單元，用于向所述身份認證裝置發(fā)送刪除所述蜜罐構造裝置的申請信息；

當所述蜜罐構造裝置接收到的可疑流量增多時，所述部署單元，用于向所述身份認證裝置發(fā)送布置主機模擬服務裝置的申請信息。

優(yōu)選的，當所述蜜罐構造裝置對所述業(yè)務系統(tǒng)發(fā)送反饋數(shù)據(jù)流時，所述蜜罐構造系統(tǒng)還包括對外流量控制裝置，其中，

所述對外流量控制裝置，用于制定約束策略，根據(jù)所述約束策略對所述反饋數(shù)據(jù)流進行限制，將限制后的數(shù)據(jù)流發(fā)送至所述業(yè)務系統(tǒng)。

優(yōu)選的，當所述業(yè)務系統(tǒng)中的用戶發(fā)出進行蜜罐構造的用戶請求時，所述身份認證裝置還包括判斷單元，其中，

所述判斷單元，用于接收所述用戶請求，并在在用戶數(shù)據(jù)庫中查找所述用戶信息，判斷所述用戶是否為合法用戶，如果是，則將所述蜜罐構造請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置，用于將蜜罐部署信息發(fā)送至所述蜜罐構造裝置。

優(yōu)選的，所述蜜罐構造系統(tǒng)包括計費裝置和計費數(shù)據(jù)庫，其中，

當所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置時，所述蜜罐部署裝置將產(chǎn)生的計費信息發(fā)送至所述計費裝置；

所述計費裝置，用于將所述計費信息生成計費統(tǒng)計表存儲在所述計費數(shù)據(jù)庫中。

優(yōu)選的，所述蜜罐構造系統(tǒng)包括日志分析裝置，其中，

所述日志分析裝置，用于分析所述日志存儲裝置中的日志信息，并根據(jù)所述日志信息獲取到相應的計費信息，并將所述計費信息發(fā)送至所述計費裝置。

相較于現(xiàn)有技術，本發(fā)明將蜜罐構造系統(tǒng)劃分為具有多個可以實現(xiàn)微小功能的模塊，并且各個裝置模塊可以獨立進行設置構造，然后完成對整體蜜罐系統(tǒng)的構造。具體的，所述蜜罐構造裝置根據(jù)可疑流量的屬性進行蜜罐系統(tǒng)的按需構造，可以通過協(xié)議處理服務裝置和主機模擬服務裝置對所述可疑流量進行響應，并可以通過身份認證裝置對蜜罐部署請求進行驗證，進而構造蜜罐系統(tǒng)，最終實現(xiàn)了能夠自動按需部署蜜罐系統(tǒng)的目的。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為本發(fā)明實施例一提供的一種蜜罐構造系統(tǒng)的結構示意圖；

圖2為本發(fā)明實施例一提供的一種蜜罐構造方法的流程示意圖；

圖3為本發(fā)明實施例二提供的一種蜜罐構造系統(tǒng)的結構示意圖。

具體實施方式

下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”和“第二”等是用于區(qū)別不同的對象，而不是用于描述特定的順序。此外術語“包括”和“具有”以及他們任何變形，意圖在于覆蓋不排他的包含。例如包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設備沒有設定于已列出的步驟或單元，而是可包括沒有列出的步驟或單元。

實施例一

參見圖1和圖2，其中，圖1為本發(fā)明實施例一提供的一種蜜罐構造系統(tǒng)的結構示意圖，圖2為為本發(fā)明實施例一提供的一種蜜罐構造方法的流程示意圖。所述蜜罐構造方法適用于蜜罐構造系統(tǒng)，所述系統(tǒng)包括流量分析裝置1，由協(xié)議處理服務裝置21、主機模擬服務裝置22和狀態(tài)監(jiān)聽裝置23構成的蜜罐構造裝置2，身份認證裝置3，蜜罐部署裝置4和日志存儲裝置5，所述蜜罐構造方法包括以下步驟：

S11、所述流量分析裝置1接收外部網(wǎng)絡數(shù)據(jù)流，對所述外部網(wǎng)絡數(shù)據(jù)流進行分析，將所述外部網(wǎng)絡數(shù)據(jù)流中的正常數(shù)據(jù)流放行，并發(fā)送至第一業(yè)務系統(tǒng)，所述第一業(yè)務系統(tǒng)為所述正常的數(shù)據(jù)流要訪問的業(yè)務系統(tǒng)，將可疑數(shù)據(jù)流發(fā)送至蜜罐構造裝置2中的協(xié)議處理服務裝置21；

具體的，來自互聯(lián)網(wǎng)用戶的數(shù)據(jù)流首先要進行分析和分流，所述的外部網(wǎng)絡數(shù)據(jù)流可以流向三個區(qū)域，即業(yè)務系統(tǒng)、交叉區(qū)域和蜜罐系統(tǒng)。相應的，所述業(yè)務系統(tǒng)只能實現(xiàn)業(yè)務系統(tǒng)的各種服務，所述交叉區(qū)域可承載業(yè)務系統(tǒng)的服務又可以實現(xiàn)蜜罐系統(tǒng)的服務，所述蜜罐系統(tǒng)只能實現(xiàn)蜜罐系統(tǒng)的服務。

S12、所述協(xié)議處理服務裝置21模擬易受攻擊的協(xié)議服務對所述可疑流量進行響應，獲取所述可疑數(shù)據(jù)流的攻擊流，生成日志信息存儲至所述日志存儲裝置5；

具體的，所述蜜罐構造裝置包括協(xié)議處理服務裝置和主機模擬服務裝置。當可疑數(shù)據(jù)流進入所述蜜罐構造裝置時，先由所述協(xié)議處理服務裝置模擬真實的主機系統(tǒng)服務對所述可疑數(shù)據(jù)流做出回應，實現(xiàn)低交互蜜罐?？梢园凑招枰?，實現(xiàn)和部署應用層、傳輸層和網(wǎng)絡層的各種協(xié)議處理服務。當然，這種低交互蜜罐所能獲取的攻擊信息是非常有限的，如果需要獲取到更多的攻擊信息則需要通過步驟S13實現(xiàn)。

S13、當所述攻擊流不能滿足所設安全閾值時，則所述蜜罐構造裝置2將蜜罐部署申請發(fā)送至所述身份認證裝置3，其中，所述安全閾值為根據(jù)實際情況設定的所要截獲的攻擊流；

具體的，當通過上述的協(xié)議處理服務裝置實現(xiàn)低交互蜜罐時，所獲取到的攻擊流有限，即不能滿足預設安全閾值時，則蜜罐構造裝置可以通過身份認證裝置傳遞蜜罐部署申請，主動申請部署更多的系統(tǒng)服務，甚至可以申請構造服務模擬出完整的操作系統(tǒng)，來實現(xiàn)高交互蜜罐。

安全閾值的設定可以根據(jù)實際中進行蜜罐部署的背景和領域進行設置，如果需要的安全性能級別較高，可以將安全閾值設定為較大的值。

S14、所述身份認證裝置3判斷所述蜜罐部署請求是否為合法請求，如果是則將所述蜜罐部署請求發(fā)送至所述蜜罐部署裝置4；

S15、所述蜜罐部署裝置4將蜜罐部署信息發(fā)送至所述主機模擬服務裝置22；

S16、所述主機模擬服務裝置22模擬操作系統(tǒng)的服務對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置5。

具體的，所述日志存儲裝置對應蜜罐構造系統(tǒng)，與其同時被部署，并且保證每個蜜罐構造系統(tǒng)至少有兩個日志存儲裝置進行工作，可以將其中一個部署在交叉區(qū)域系統(tǒng)中，另一個部署在蜜罐系統(tǒng)中。

S17、所述狀態(tài)監(jiān)聽裝置對所述協(xié)議處理服務裝置和主機模擬服務裝置中的響應狀態(tài)進行監(jiān)聽。

通過本發(fā)明實施例一公開的技術方案，當可疑流量進入到蜜罐構造系統(tǒng)時，可以先進入?yún)f(xié)議處理服務裝置，如果所述協(xié)議服務處理裝置實現(xiàn)的低交互蜜罐無法滿足需求時，則所述蜜罐構造裝置向身份認證裝置發(fā)送部署請求，身份認證裝置判斷該請求合法時，將申請發(fā)送至蜜罐部署裝置，所述蜜罐部署裝置將啟動蜜罐構造裝置中的主機模擬服務裝置，實現(xiàn)高交互蜜罐，由此可見該蜜罐構造方法可以將低交互性蜜罐和高交互性蜜罐相結合，實現(xiàn)了能夠自動按需部署蜜罐系統(tǒng)的目的。

實施例二

參照本發(fā)明實施例一和圖2中所描述的方法過程，并參見圖3，圖3為本發(fā)明實施例二提供的一種蜜罐構造系統(tǒng)的結構示意圖，具體的，

所述狀態(tài)監(jiān)聽裝置23包括刪除單元和部署單元，該方法還包括：

當所述蜜罐構造裝置接收到的可疑流量較低時，所述刪除單元向所述身份認證裝置發(fā)送刪除所述蜜罐構造裝置的申請信息；

當所述蜜罐構造裝置接收到的可疑流量增多時，所述部署單元向所述身份認證裝置發(fā)送布置主機模擬服務裝置的申請信息。

可以理解的是，所述蜜罐構造系統(tǒng)中存在狀態(tài)監(jiān)聽裝置，執(zhí)行狀態(tài)監(jiān)聽服務，當蜜罐系統(tǒng)遭受的攻擊流量降低或者沒有攻擊流量時，也向身份認證裝置傳遞申請信息，認證通過后，便可以撤離這些蜜罐系統(tǒng)的資源。本系統(tǒng)可以將低交互性蜜罐和高交互性蜜罐相結合，部署能夠模擬操作系統(tǒng)和服務的低交互性蜜罐來吸引攻擊者，也可將流向低交互性蜜罐的攻擊流重定向到高交互性蜜罐，利用高交互性蜜罐中部署的真實服務與攻擊者交互，實現(xiàn)更好的欺騙性。狀態(tài)監(jiān)聽裝置可以部署在交叉區(qū)域或蜜罐區(qū)域。

相應的，當所述蜜罐構造裝置對所述業(yè)務系統(tǒng)發(fā)送反饋數(shù)據(jù)流時，所述蜜罐構造系統(tǒng)還包括對外流量控制裝置6，該方法還包括：

所述對外流量控制裝置6制定約束策略，根據(jù)所述約束策略對所述反饋數(shù)據(jù)流進行限制，將限制后的數(shù)據(jù)流發(fā)送至所述業(yè)務系統(tǒng)。

具體的，所述蜜罐構造裝置可以向業(yè)務系統(tǒng)發(fā)送反饋信息，更真實的交互信息使得蜜罐系統(tǒng)更具迷惑性。但是出于安全性的考慮，將會對這些流量進行嚴格控制，由對外流量控制裝置所制定的策略約束。這樣既增加了與攻擊者的交互性，同時能夠有效的減少蜜罐系統(tǒng)對其他網(wǎng)絡設備的危害，減少攻擊者以蜜罐作為跳板對其他系統(tǒng)實施攻擊的危害。對外流量控制裝置只允許部署在交叉區(qū)域。

相應的，當所述業(yè)務系統(tǒng)中的用戶發(fā)出進行蜜罐構造的用戶請求時，所述身份認證裝置還包括判斷單元，該方法還包括：

所述判斷單元接收所述用戶請求，并在在用戶數(shù)據(jù)庫中查找所述用戶信息，判斷所述用戶是否為合法用戶，如果是，則將所述蜜罐構造請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置。

可以理解的是，所述身份認證裝置，實現(xiàn)了對蜜罐服務的自適應申請和用戶的直接部署申請認證，身份認證裝置只允許部署在交叉區(qū)域，而對應的用戶數(shù)據(jù)庫位于業(yè)務系統(tǒng)中。

相應的，當所述蜜罐部署裝置將蜜罐部署信息發(fā)送至所述蜜罐構造裝置時，所述蜜罐構造系統(tǒng)包括計費裝置7和計費數(shù)據(jù)庫8，該方法還包括：

所述蜜罐部署裝置將產(chǎn)生的計費信息發(fā)送至所述計費裝置7；

所述計費裝置7將所述計費信息生成計費統(tǒng)計表存儲在所述計費數(shù)據(jù)庫8中。

具體的，所述計費裝置從蜜罐部署裝置和日志分析裝置中獲得計費信息，生成計費統(tǒng)計表并存儲在計費數(shù)據(jù)庫中。計費裝置和計費數(shù)據(jù)庫均部署在業(yè)務系統(tǒng)中。

相應的，所述蜜罐構造系統(tǒng)包括日志分析裝置9，該方法包括：

所述日志分析裝置9分析所述日志存儲裝置中的日志信息，并根據(jù)所述日志信息獲取到相應的計費信息，并將所述計費信息發(fā)送至所述計費裝置7。

具體的，日志分析裝置用于分析大量的日志數(shù)據(jù)，可以分析得到用戶的動態(tài)計費數(shù)據(jù)，從而向計費服務提交計費信息存入數(shù)據(jù)庫，也可以實現(xiàn)更多分析服務可以實現(xiàn)不同的功能。日志分析裝置部署在業(yè)務系統(tǒng)區(qū)域中。

根據(jù)本發(fā)明實施例二公開的技術方案，將所述的蜜罐構造系統(tǒng)采用微服務架構進行設計，即將蜜罐構造系統(tǒng)分解為多個管理裝置分支，每個裝置可以很容易進行開發(fā)、理解和維護，并且每個分支可以獨立部署，不會因為某個分支的故障而影響整個系統(tǒng)。并且根據(jù)所述的蜜罐構造方法，通過可疑流量的屬性進行蜜罐系統(tǒng)的按需構造，可以通過協(xié)議處理服務裝置和主機模擬服務裝置對所述可疑流量進行響應，并可以通過身份認證裝置對蜜罐部署請求進行驗證，進而構造蜜罐系統(tǒng)，最終實現(xiàn)了能夠自動按需部署蜜罐系統(tǒng)的目的。

實施例三

與本發(fā)明實施例一和實施例二所公開的蜜罐構造方法相對應，本發(fā)明的實施例三還提供了一種蜜罐構造系統(tǒng)，參見圖3，該系統(tǒng)包括：流量分析裝置1，由協(xié)議處理服務裝置21、主機模擬服務裝置22和狀態(tài)監(jiān)聽裝置23構成的蜜罐構造裝置2，身份認證裝置3，蜜罐部署裝置4和日志存儲裝置5，其中，

所述流量分析裝置1，用于接收外部網(wǎng)絡數(shù)據(jù)流，對所述外部網(wǎng)絡數(shù)據(jù)流進行分析，將所述外部網(wǎng)絡數(shù)據(jù)流中的正常數(shù)據(jù)流放行,并發(fā)送至第一業(yè)務系統(tǒng)，所述第一業(yè)務系統(tǒng)為所述正常的數(shù)據(jù)流要訪問的業(yè)務系統(tǒng)，將可疑數(shù)據(jù)流發(fā)送至蜜罐構造裝置2中的協(xié)議處理服務裝置21；

所述協(xié)議處理服務裝置21，用于模擬易受攻擊的協(xié)議服務對所述可疑流量進行響應，獲取所述可疑數(shù)據(jù)流的攻擊流，生成日志信息存儲至所述日志存儲裝置5；

當所述攻擊流不能滿足所設安全閾值時，則所述蜜罐構造裝置2，用于將蜜罐部署申請發(fā)送至所述身份認證裝置，其中，所述安全閾值為根據(jù)實際情況設定的所要截獲的攻擊流；

所述身份認證裝置3，用于判斷所述蜜罐部署請求是否為合法請求，如果是則將所述蜜罐部署請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置4，用于將蜜罐部署信息發(fā)送至所述主機模擬服務裝置；

所述主機模擬服務裝置22，用于模擬操作系統(tǒng)的服務對所述可疑流量進行響應，將響應結果生成對應的日志信息存儲至所述日志存儲裝置5。

所述狀態(tài)監(jiān)聽裝置23，用于對所述協(xié)議處理服務裝置21和主機模擬服務裝置22中的響應狀態(tài)進行監(jiān)聽。

相應的，所述狀態(tài)監(jiān)聽裝置23還包括刪除單元和部署單元，其中，

當所述蜜罐構造裝置接收到的可疑流量較低時，所述刪除單元，用于向所述身份認證裝置發(fā)送刪除所述蜜罐構造裝置的申請信息；

當所述蜜罐構造裝置接收到的可疑流量增多時，所述部署單元，用于向所述身份認證裝置發(fā)送布置主機模擬服務裝置的申請信息。

優(yōu)選的，當所述蜜罐構造裝置對所述業(yè)務系統(tǒng)發(fā)送反饋數(shù)據(jù)流時，所述蜜罐構造系統(tǒng)還包括對外流量控制裝置6，其中，

所述對外流量控制裝置6，用于制定約束策略，根據(jù)所述約束策略對所述反饋數(shù)據(jù)流進行限制，將限制后的數(shù)據(jù)流發(fā)送至所述業(yè)務系統(tǒng)。

相應的，當所述業(yè)務系統(tǒng)中的用戶發(fā)出進行蜜罐構造的用戶請求時，所述身份認證裝置3還包括判斷單元，其中，

所述判斷單元，用于接收所述用戶請求，并在在用戶數(shù)據(jù)庫中查找所述用戶信息，判斷所述用戶是否為合法用戶，如果是，則將所述蜜罐構造請求發(fā)送至所述蜜罐部署裝置；

所述蜜罐部署裝置4，用于將蜜罐部署信息發(fā)送至所述蜜罐構造裝置。

相應的，所述蜜罐構造系統(tǒng)包括計費裝置7和計費數(shù)據(jù)庫8，其中，

當所述蜜罐部署裝置4將蜜罐部署信息發(fā)送至所述蜜罐構造裝置2時，所述蜜罐部署裝置2將產(chǎn)生的計費信息發(fā)送至所述計費裝置7；

所述計費裝置7，用于將所述計費信息生成計費統(tǒng)計表存儲在所述計費數(shù)據(jù)庫8中。

相應的，所述蜜罐構造系統(tǒng)包括日志分析裝置9，其中，

所述日志分析裝置9，用于分析所述日志存儲裝置中的日志信息，并根據(jù)所述日志信息獲取到相應的計費信息，并將所述計費信息發(fā)送至所述計費裝置7。

在本發(fā)明的實施例三中，將所述的蜜罐構造系統(tǒng)采用微服務架構進行設計，即將蜜罐構造系統(tǒng)分解為多個管理裝置分支，每個裝置可以很容易進行開發(fā)、理解和維護，并且每個分支可以獨立部署，不會因為某個分支的故障而影響整個系統(tǒng)。并且當流量分析裝置將可疑流量發(fā)送至所述蜜罐構造裝置時，所述蜜罐構造裝置可以按需進行蜜罐部署與構造，并將產(chǎn)生的日志信息進行存儲與分析，最終實現(xiàn)了能夠自動按需部署蜜罐系統(tǒng)的目的。

本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說明即可。

對所公開的實施例的上述說明，使本領域專業(yè)技術人員能夠實現(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。