一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法及系統(tǒng)。
【背景技術(shù)】
[0002]當(dāng)前蜜罐技術(shù)的演進(jìn)，因缺少豐富的數(shù)據(jù)而導(dǎo)致黑客只做了初步的入侵即可分辨目標(biāo)是否為蜜罐而導(dǎo)致放棄后續(xù)攻擊，這時(shí)，即使捕獲到攻擊來(lái)源，并定位到人，但由于操作行為少，可以“無(wú)意看到”，“輸入錯(cuò)誤”，“安全檢查”等理由逃避公司規(guī)定處罰和法律的制裁。
[0003]在面向數(shù)據(jù)庫(kù)的應(yīng)用級(jí)蜜罐技術(shù)的演進(jìn)中，尤其針對(duì)業(yè)務(wù)系統(tǒng)的仿真實(shí)現(xiàn)，同時(shí)在其中也加入大量的數(shù)據(jù)，有助于更詳細(xì)地分析攻擊者的入侵過(guò)程和目的，攻擊者將無(wú)理由逃避制裁。
[0004]在面向數(shù)據(jù)庫(kù)的應(yīng)用級(jí)蜜罐實(shí)現(xiàn)過(guò)程中，對(duì)于一次入侵后對(duì)數(shù)據(jù)的修改和破壞，如不修復(fù)，將影響下一次入侵的質(zhì)量。在現(xiàn)有系統(tǒng)修復(fù)和還原的方法，一般考慮如下兩個(gè)方案實(shí)現(xiàn):虛擬化方案和數(shù)據(jù)庫(kù)快照方案。
[0005]虛擬化方案，則以虛擬機(jī)為基礎(chǔ)搭建，在每次完成業(yè)務(wù)數(shù)據(jù)增量同步后，制作快照鏡像。在每完成一次入侵后，恢復(fù)快照。其優(yōu)點(diǎn)是針對(duì)虛擬機(jī)的交互較多，缺點(diǎn)是在進(jìn)行業(yè)務(wù)數(shù)據(jù)同步的時(shí)候，為避免外部在這時(shí)候入侵，要對(duì)網(wǎng)絡(luò)進(jìn)一步隔離，從另外通道導(dǎo)入數(shù)據(jù)，所以快照生成和恢復(fù)的成本均較高，運(yùn)行期的CPU成果也較高。同時(shí)對(duì)于入侵時(shí)，有很多方法可以感知目標(biāo)是虛擬機(jī)，而且目前的隱藏虛擬機(jī)指紋的方案也不盡完美。
[0006]數(shù)據(jù)庫(kù)快照方案，采用數(shù)據(jù)庫(kù)的日志備份技術(shù)，當(dāng)有增量數(shù)據(jù)的導(dǎo)入時(shí)，關(guān)閉外部訪問(wèn)連接，而內(nèi)部需要恢復(fù)日志快照，然后完成導(dǎo)入，再生成新的快照。當(dāng)完成一次入侵行為后，依然可以采用恢復(fù)上一次快照的方式。優(yōu)點(diǎn)是業(yè)務(wù)模式操作簡(jiǎn)單，無(wú)虛擬化可被感知的風(fēng)險(xiǎn)。而缺點(diǎn)是切換時(shí)間長(zhǎng)，數(shù)據(jù)導(dǎo)入導(dǎo)出速度慢，而可能錯(cuò)過(guò)被入侵的時(shí)機(jī)。
[0007]以上現(xiàn)有技術(shù)均存在的最大問(wèn)題是，攻擊者在入侵的過(guò)程中很可能會(huì)觀察是否有增量數(shù)據(jù)的導(dǎo)入，也同時(shí)會(huì)修改數(shù)據(jù)庫(kù)內(nèi)容，但以上兩種方案為了不影響快照內(nèi)容的安全性，都無(wú)法在被攻擊的過(guò)程中完成增量數(shù)據(jù)的補(bǔ)充，這將影響蜜罐數(shù)據(jù)庫(kù)的真實(shí)性。

【發(fā)明內(nèi)容】

[0008]本發(fā)明提供了一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法及系統(tǒng)，該發(fā)明所述的技術(shù)方案設(shè)置了一個(gè)備份數(shù)據(jù)庫(kù)，其初始數(shù)據(jù)與蜜罐數(shù)據(jù)庫(kù)相同，對(duì)于真實(shí)業(yè)務(wù)數(shù)據(jù)的增量數(shù)據(jù)進(jìn)行處理后可以同時(shí)更新至蜜罐數(shù)據(jù)庫(kù)和備份數(shù)據(jù)庫(kù)中，這樣攻擊者在入侵蜜罐數(shù)據(jù)庫(kù)時(shí)可以感受到數(shù)據(jù)的更新，誘使其信任該蜜罐數(shù)據(jù)庫(kù)為真實(shí)業(yè)務(wù)數(shù)據(jù)，并進(jìn)行進(jìn)一步的操作。當(dāng)蜜罐數(shù)據(jù)庫(kù)被攻擊者改變后，則隨時(shí)可以復(fù)制備份數(shù)據(jù)庫(kù)形成新的蜜罐數(shù)據(jù)庫(kù)投入使用，其所耗費(fèi)的時(shí)間遠(yuǎn)遠(yuǎn)小于現(xiàn)有技術(shù)。
[0009]本發(fā)明采用如下方法來(lái)實(shí)現(xiàn):一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法，包括初始化階段和投入使用階段:
所述初始化階段包括:
將真實(shí)業(yè)務(wù)數(shù)據(jù)處理后填充至蜜罐數(shù)據(jù)庫(kù)中，并設(shè)置所述蜜罐數(shù)據(jù)庫(kù)為低權(quán)限；復(fù)制蜜罐數(shù)據(jù)庫(kù)中的元數(shù)據(jù)和處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)形成備份數(shù)據(jù)庫(kù)，并設(shè)置所述備份數(shù)據(jù)庫(kù)為高權(quán)限；
所述投入使用階段包括:
對(duì)外開(kāi)放蜜罐數(shù)據(jù)庫(kù)；
定時(shí)將真實(shí)業(yè)務(wù)數(shù)據(jù)的增量數(shù)據(jù)處理后同時(shí)更新至蜜罐數(shù)據(jù)庫(kù)和備份數(shù)據(jù)庫(kù)中；
若后臺(tái)接收到還原請(qǐng)求，則刪除原蜜罐數(shù)據(jù)庫(kù)，將備份數(shù)據(jù)庫(kù)復(fù)制形成新的蜜罐數(shù)據(jù)庫(kù)，并基于原蜜罐數(shù)據(jù)庫(kù)的權(quán)限重新配置新的蜜罐數(shù)據(jù)庫(kù)，并將新的蜜罐數(shù)據(jù)庫(kù)投入使用。
[0010]進(jìn)一步地，所述初始化階段還包括:對(duì)蜜罐數(shù)據(jù)庫(kù)進(jìn)行除權(quán)限之外的其他常用配置。
[0011]進(jìn)一步地，所述若后臺(tái)接收到還原請(qǐng)求之前還包括:若監(jiān)測(cè)到所述蜜罐數(shù)據(jù)庫(kù)已被入侵，則向后臺(tái)發(fā)送還原請(qǐng)求。
[0012]本發(fā)明采用如下系統(tǒng)來(lái)實(shí)現(xiàn):一種蜜罐數(shù)據(jù)庫(kù)的更新和還原系統(tǒng)，包括:
初始化模塊，用于將真實(shí)業(yè)務(wù)數(shù)據(jù)處理后填充至蜜罐數(shù)據(jù)庫(kù)中，并設(shè)置所述蜜罐數(shù)據(jù)庫(kù)為低權(quán)限；將蜜罐數(shù)據(jù)庫(kù)中的元數(shù)據(jù)和處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)復(fù)制到備份數(shù)據(jù)庫(kù)中，并設(shè)置所述備份數(shù)據(jù)庫(kù)為高權(quán)限；
增量數(shù)據(jù)模塊，用于定時(shí)將真實(shí)業(yè)務(wù)數(shù)據(jù)的增量數(shù)據(jù)處理后同時(shí)更新至蜜罐數(shù)據(jù)庫(kù)和備份數(shù)據(jù)庫(kù)中；
蜜罐數(shù)據(jù)庫(kù)，用于存儲(chǔ)初始化模塊發(fā)送來(lái)的處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)，并隨時(shí)接收增量數(shù)據(jù)模塊發(fā)送來(lái)的數(shù)據(jù)；
備份數(shù)據(jù)庫(kù)，用于存儲(chǔ)初始化模塊發(fā)送來(lái)的元數(shù)據(jù)和處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)，并隨時(shí)接收增量數(shù)據(jù)模塊發(fā)送來(lái)的數(shù)據(jù)；
后臺(tái)還原模塊，用于當(dāng)接收到還原請(qǐng)求時(shí)，則刪除原蜜罐數(shù)據(jù)庫(kù)，將備份數(shù)據(jù)庫(kù)復(fù)制形成新的蜜罐數(shù)據(jù)庫(kù)，并基于原蜜罐數(shù)據(jù)庫(kù)的權(quán)限重新配置新的蜜罐數(shù)據(jù)庫(kù)。
[0013]進(jìn)一步地，所述初始化模塊還用于:對(duì)蜜罐數(shù)據(jù)庫(kù)進(jìn)行除權(quán)限之外的其他常用配置。
[0014]進(jìn)一步地，還包括監(jiān)測(cè)模塊，用于若監(jiān)測(cè)到所述蜜罐數(shù)據(jù)庫(kù)已被入侵，則向后臺(tái)還原模塊發(fā)送還原請(qǐng)求。
[0015]綜上所述，本發(fā)明提供了一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法及系統(tǒng)，通過(guò)將蜜罐數(shù)據(jù)庫(kù)的元數(shù)據(jù)和處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)復(fù)制到備份數(shù)據(jù)庫(kù)，保證備份數(shù)據(jù)庫(kù)與蜜罐數(shù)據(jù)庫(kù)在開(kāi)始時(shí)內(nèi)容相同，當(dāng)蜜罐數(shù)據(jù)庫(kù)投入使用后，可以與備份數(shù)據(jù)庫(kù)一樣，同時(shí)接收經(jīng)過(guò)處理的真實(shí)業(yè)務(wù)數(shù)據(jù)的增量數(shù)據(jù)；當(dāng)需要還原蜜罐數(shù)據(jù)庫(kù)時(shí)，則刪除原蜜罐數(shù)據(jù)庫(kù)，復(fù)制備份數(shù)據(jù)庫(kù)作為新的蜜罐數(shù)據(jù)庫(kù)，并對(duì)其進(jìn)行配置后投入使用，原備份數(shù)據(jù)庫(kù)仍就作為備份數(shù)據(jù)庫(kù)使用。
[0016]本發(fā)明所公開(kāi)的技術(shù)方案由于將蜜罐數(shù)據(jù)庫(kù)的初始元數(shù)據(jù)和處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)復(fù)制到備份數(shù)據(jù)庫(kù)，從而保證蜜罐數(shù)據(jù)庫(kù)和備份數(shù)據(jù)庫(kù)初始內(nèi)容完全一致。并設(shè)置蜜罐數(shù)據(jù)庫(kù)為低權(quán)限訪問(wèn)，備份數(shù)據(jù)庫(kù)為高權(quán)限訪問(wèn)，從而使得攻擊者只能入侵蜜罐數(shù)據(jù)庫(kù)，保證備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)“干凈”安全；備份數(shù)據(jù)庫(kù)和蜜罐數(shù)據(jù)庫(kù)同時(shí)接收被處理后的真實(shí)業(yè)務(wù)數(shù)據(jù)的增量數(shù)據(jù)，從而保證備份數(shù)據(jù)庫(kù)中的數(shù)據(jù)一直是最新的最干凈的數(shù)據(jù)，而蜜罐數(shù)據(jù)庫(kù)同時(shí)也有數(shù)據(jù)更新，這使得攻擊者更加確信蜜罐數(shù)據(jù)庫(kù)就是真實(shí)業(yè)務(wù)數(shù)據(jù)庫(kù)，從而誘導(dǎo)其進(jìn)行進(jìn)一步攻擊操作；當(dāng)接收到還原請(qǐng)求后，則刪除原蜜罐數(shù)據(jù)庫(kù)，復(fù)制備份數(shù)據(jù)庫(kù)作為新的蜜罐數(shù)據(jù)庫(kù)，該方法較比虛擬機(jī)鏡像方法和傳統(tǒng)的數(shù)據(jù)庫(kù)快照方案更簡(jiǎn)單，更高效。
【附圖說(shuō)明】
[0017]為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0018]圖1為本發(fā)明提供的蜜罐數(shù)據(jù)庫(kù)的更新和還原方法中初始化階段實(shí)施例流程圖；圖2為本發(fā)明提供的蜜罐數(shù)據(jù)庫(kù)的更新和還原方法中投入使用階段實(shí)施例流程圖；
圖3為本發(fā)明提供的蜜罐數(shù)據(jù)庫(kù)的更新和還原系統(tǒng)實(shí)施例結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0019]本發(fā)明給出了一種蜜罐數(shù)據(jù)庫(kù)的更新和還原方法及系統(tǒng)，為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)