(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111664728.0 (22)申请日 2021.12.31 (71)申请人 河南信大网御科技有限公司 地址 450000 河南省郑州市金 水区宝瑞路 115号河南省信息安全产业示范基地8 号楼01、 02号1- 5层 申请人 珠海高凌信息科技股份有限公司 (72)发明人 吕青松　贺喜卓　郭义伟　冯志峰　 张建军　 (74)专利代理 机构 郑州德勤知识产权代理有限 公司 41128 代理人 黄红梅 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于拟态蜜罐的内网检测系统及方法 (57)摘要 本发明提出了一种基于拟态蜜罐的内网检 测系统及方法， 系统包括： 蜜罐池， 包含多个以操 作系统为基准进行分类的蜜罐； 蜜网， 由多个蜜 罐组网构成， 接入到内网交换机中， 以将内网的 渗透攻击引入到蜜网中； 裁决模块， 与蜜网中的 蜜罐连接， 用于对蜜罐的操作系统的状态进行裁 决检测， 并将裁决结果发送到调度模块； 调度模 块， 与蜜罐池及蜜网中的蜜罐和裁决模块连接， 用于定时从蜜罐池中调度蜜罐到蜜网中， 还用于 当检测到威胁时， 根据裁决信息调度蜜网中蜜 罐。 方法包括以下步骤： 当内网或者外网发起渗 透攻击， 渗透攻击被引入到蜜网中； 蜜网中蜜罐 的操作系统环 境属性发生变化， 当裁决模块检测 到变化的蜜罐， 通知调度模块对变化的蜜罐进行 调度。 权利要求书1页 说明书3页 附图1页 CN 114338203 A 2022.04.12 CN 114338203 A 1.一种基于拟态蜜罐的内网检测系统， 其特 征在于， 包括： 蜜罐池， 包 含多个以操作系统为基准进行分类的蜜罐； 蜜网， 由多个蜜罐组网构成， 接入到内网交换机中， 以将内网的渗透攻击引入到蜜网 中； 裁决模块， 与蜜 网中的蜜罐连接， 用于对蜜罐的操作系统 的状态进行裁决检测， 并将裁 决结果发送到调度模块； 调度模块， 与蜜罐池及蜜网中的蜜罐和裁决模块连接， 用于定时从蜜罐池中调度蜜罐 到蜜网中， 还用于当检测到威胁时， 根据裁决信息调度蜜网中蜜罐。 2.根据权利要求1所述的基于拟态蜜罐的内网检测系统， 其特征在于， 所述蜜罐采取运 行不同的业 务、 设计不同的系统漏洞、 开 放不同的端口号进行异构性设计。 3.根据权利要求1所述的基于拟态蜜罐的内网检测系统， 其特征在于， 所述根据裁决信 息调度蜜网中蜜 罐的调度手段包括： 对蜜网中未被裁决出 受到攻击的蜜 罐进行蜜罐状态改 变， 或下线蜜网中未被裁决出受到攻击的蜜罐再上线新的蜜罐， 或将蜜网中蜜罐全部下线 后上线新的蜜罐。 4.根据权利要求1所述的基于拟态蜜罐的内网检测系统， 其特征在于， 所述操作系统的 状态包括文件状态、 shel l状态、 流 量状态、 内存使用状态和CPU 使用状态。 5.根据权利要求1所述的基于拟态蜜罐的内网检测系统， 其特征在于： 所述蜜罐通过服 务器的方式进行实现， 每个蜜罐分别通过第一内网交换机接入内网， 通过第二内网交换机 连接裁决模块； 其中， 第二内网交换机只允许裁决数据流进行转发。 6.根据权利要求1所述的基于拟态蜜罐的内网检测系统， 其特征在于， 所述蜜罐通过虚 拟化的方式实现， 宿主机通过第一内网交换机接入内网， 通过第二内网交换机连接裁决模 块； 其中， 第二内网交换机只允许裁决数据流进行转发。 7.一种基于拟态蜜罐的内网检测方法， 应用于权利要求1 ‑6任一项所述的基于拟态蜜 罐的内网检测系统， 其特 征在于， 包括以下步骤： 当内网或者外网发起 渗透攻击， 渗透攻击被引入到蜜网中； 蜜网中蜜罐的操作系统环境属性发生变化， 当裁决模块检测到变化的蜜罐， 通知调度 模块对蜜罐进行调度。权　利　要　求　书 1/1 页 2 CN 114338203 A 2一种基于拟态蜜罐的内 网检测系统及方 法 技术领域 [0001]本发明涉及拟态防御领域， 尤其涉及一种基于拟态蜜罐的内网检测系统及方法。 背景技术 [0002]目前， 网络攻击的形式趋于多样化， 基于传统木马、 病毒方式的攻击在网络中已经 日渐减少， 取而代之的是更隐秘的 “渗透攻击 ”， 此种攻击方式往往在用户不知情的状况下， 窃取情报、 破坏用户系统， 对内网安全性影响较大。 常用的渗透攻击， 往往先从探测内网信 息开始， 如何增加内网探测的难度， 同时又能发现未知手段的渗透攻击， 对于提升内网的安 全性具有重要意 义。 发明内容 [0003]为了解决上述问题， 有必要提供一种基于拟态蜜罐的内网检测系统及方法。 [0004]本发明第一方面 提出一种基于拟态蜜罐的内网检测系统， 包括： 蜜罐池， 包 含多个以操作系统为基准进行分类的蜜罐； 蜜网， 由多个蜜罐组网构成， 接入到内网交换机中， 以将内网的渗透攻击引入到蜜 网中； 裁决模块， 与 蜜网中的蜜罐连接， 用于对蜜罐的操作系统的状态进行裁决检测， 并 将裁决结果发送到调度模块； 调度模块， 与蜜罐池及蜜网中的蜜罐和裁决模块连接， 用于定时从蜜罐池中调度 蜜罐到蜜网中， 还用于当检测到威胁时， 根据裁决信息调度蜜网中蜜罐。 [0005]基于上述， 所述蜜罐采取运行不同的业务、 设计不同的系统漏洞、 开放不同的端口 号进行异构性设计。 [0006]基于上述， 所述根据裁决信息调度蜜网中蜜罐的调度手段包括： 对蜜网中未被裁 决出受到攻击的蜜罐进行蜜罐状态改变， 或下线蜜网中未被裁决出受到攻击的蜜 罐再上线 新的蜜罐， 或将蜜网中蜜罐全部下线后上线新的蜜罐。 [0007]基于上述， 所述操作系统的状态包括文件状态、 shell状态、 流量状态、 内存使用状 态和CPU使用状态。 [0008]基于上述， 所述蜜罐通过服务器的方式进行实现， 每个蜜罐分别通过第一内网交 换机接入内网， 通过第二内网交换机连接裁决模块； 其中， 第二内网交换机只允许裁决数据 流进行转发。 [0009]基于上述， 所述蜜罐通过虚拟化的方式实现， 宿主机通过第一内网交换机接入内 网， 通过第二内网交换机连接裁决模块； 其中， 第二内网交换机只允许裁决数据流进行转 发。 [0010]本发明第二方面提出一种基于拟态蜜罐的内网检测方法， 应用于所述的基于拟态 蜜罐的内网检测系统， 包括以下步骤： 当内网或者外网发起 渗透攻击， 渗透攻击被引入到蜜网中；说　明　书 1/3 页 3 CN 114338203 A 3