蜜罐部署方法、装置、设备及计算机可读介质制造方法及图纸

本申请涉及一种蜜罐部署方法、装置、设备及计算机可读介质。该方法包括：在检测到攻击对象对预设蜜罐的攻击行为的情况下，拦截攻击数据和抓包数据，其中，攻击数据为攻击行为产生的，抓包数据为响应攻击行为返回攻击对象的，预设蜜罐为携带有预设漏洞的安全资源，安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种，预设蜜罐用于诱捕指向生产线的攻击行为；解析攻击数据和抓包数据，得到攻击行为的攻击特征，并将攻击特征存储至数据库；在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与攻击特征匹配的蜜罐。本申请解决蜜罐资源被极大浪费的技术问题。请解决蜜罐资源被极大浪费的技术问题。请解决蜜罐资源被极大浪费的技术问题。

【技术实现步骤摘要】
蜜罐部署方法、装置、设备及计算机可读介质


[0001]本申请涉及信息安全
，尤其涉及一种蜜罐部署方法、装置、设备及计算机可读介质。

技术介绍

[0002]蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
[0003]目前，相关技术中，蜜网部署策略属于人为搭建的蜜网系统，只能通过部署尽可能多的服务类型的蜜罐增加诱捕率，而攻击者的倾向并不一致。比如有的攻击者倾向于SSH服务攻击，有的攻击者倾向于攻击数据库服务。因此在这种全覆盖、铺地砖式的蜜网部署策略下，会有大量蜜罐处于闲置状态，蜜罐资源被极大浪费。
[0004]针对蜜罐资源被极大浪费的问题，目前尚未提出有效的解决方案。

技术实现思路

[0005]本申请提供了一种蜜罐部署方法、装置、设备及计算机可读介质，以解决蜜罐资源被极大浪费的技术问题。
[0006]根据本申请实施例的一个方面，本申请提供了一种蜜罐部署方法，包括：在检测到攻击对象对预设蜜罐的攻击行为的情况下，拦截攻击数据和抓包数据，其中，攻击数据为攻击行为产生的，抓包数据为响应攻击行为返回攻击对象的，预设蜜罐为携带有预设漏洞的安全资源，安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种，预设蜜罐用于诱捕指向生产线的攻击行为；解析攻击数据和抓包数据，得到攻击行为的攻击特征，并将攻击特征存储至数据库；在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与攻击特征匹配的蜜罐。
[0007]可选地，解析攻击数据和抓包数据，得到攻击行为的攻击特征包括：确定攻击数据的攻击路径和抓包数据的返回路径，其中，攻击路径为攻击对象在实施攻击行为时数据渗透的路径，返回路径为攻击行为获取到目标数据后返回攻击对象的路径；利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间，并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间；根据攻击数据确定攻击内容，并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服
务类型、攻击工具类型以及发起攻击的次数，其中，攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数；根据抓包数据确定抓包内容，并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征，其中，虚拟网络地址为攻击对象访问预设蜜罐时所用的地址，攻击特征包括伪身份类型和加密特征。
[0008]可选地，解析攻击数据和抓包数据之后，所述方法还包括：根据攻击数据和抓包数据生成攻击指令，其中，攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值；对多个蜜罐执行攻击指令，以对多个蜜罐发起模拟攻击行为，其中，多个蜜罐为与预设蜜罐提供相同服务的蜜罐；根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
[0009]可选地，在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与攻击特征匹配的蜜罐包括：统计数据库中攻击特征的记录次数和/或攻击特征的数据数量；在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下，查询当前蜜罐资源的资源量；在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下，增加与攻击特征匹配的蜜罐。
[0010]可选地，增加与攻击特征匹配的蜜罐之前，所述方法还包括：确定当前已部署蜜罐的蜜罐状态，其中，蜜罐状态包括闲置状态和任务状态；确定处于闲置状态的蜜罐的历史响应数据，其中，历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个；根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个；在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下，删除蜜罐。
[0011]可选地，在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下，删除蜜罐包括以下方式中的其中一种：在诱捕率小于第一阈值的情况下，删除蜜罐；在防御成功率小于第二阈值的情况下，删除蜜罐。
[0012]可选地，增加与攻击特征匹配的蜜罐还包括：将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐；将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体，以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
[0013]根据本申请实施例的另一方面，本申请提供了一种蜜罐部署装置，包括：蜜罐监控模块，用于在检测到攻击对象对预设蜜罐的攻击行为的情况下，拦截攻击数据和抓包数据，其中，攻击数据为攻击行为产生的，抓包数据为响应攻击行为返回攻击对象的，预设蜜罐为携带有预设漏洞的安全资源，安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种，预设蜜罐用于诱捕指向生产线的攻击行为；
特征分析模块，用于解析攻击数据和抓包数据，得到攻击行为的攻击特征，并将攻击特征存储至数据库；蜜罐自适应部署模块，用于在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与攻击特征匹配的蜜罐。
[0014]根据本申请实施例的另一方面，本申请提供了一种蜜罐部署设备，包括存储器、处理器、通信接口及通信总线，存储器中存储有可在处理器上运行的计算机程序，存储器、处理器通过通信总线和通信接口进行通信，处理器执行计算机程序时实现上述方法的步骤。
[0015]根据本申请实施例的另一方面，本申请还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行上述的方法。
[0016]本申请实施例提供的上述技术方案与相关技术相比具有如下优点：本申请技术方案为在检测到攻击对象对预设蜜罐的攻击行为的情况下，拦截攻击数据和抓包数据，其中，攻击数据为攻击行为产生的，抓包数据为响应攻击行为返回攻击对象的，预设蜜罐为携带有预设漏洞的安全资源，安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种，预设蜜罐用于诱捕指向生产线的攻击行为；解析攻击数据和抓包数据，得到攻击行为的攻击特征，并将攻击特征存储至数据库；在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与攻击特征匹配的蜜罐。本申请能够根据攻击者的攻击特性自适应调整蜜网部署系统的部署策略，从而增加攻击频率高的蜜罐，减少闲置的蜜罐，充分利用蜜罐资源。解决蜜罐资源被极大浪费的技术问题。
附图说明
[0017]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0018本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种蜜罐部署方法，其特征在于，包括：在检测到攻击对象对预设蜜罐的攻击行为的情况下，拦截攻击数据和抓包数据，其中，所述攻击数据为所述攻击行为产生的，所述抓包数据为响应所述攻击行为返回所述攻击对象的，所述预设蜜罐为携带有预设漏洞的安全资源，所述安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种，所述预设蜜罐用于诱捕指向生产线的攻击行为；解析所述攻击数据和所述抓包数据，得到所述攻击行为的攻击特征，并将所述攻击特征存储至数据库；在所述数据库中的所述攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与所述攻击特征匹配的蜜罐。2.根据权利要求1所述的方法，其特征在于，解析所述攻击数据和所述抓包数据，得到所述攻击行为的攻击特征包括：确定所述攻击数据的攻击路径和所述抓包数据的返回路径，其中，所述攻击路径为所述攻击对象在实施所述攻击行为时数据渗透的路径，所述返回路径为所述攻击行为获取到目标数据后返回所述攻击对象的路径；利用所述攻击路径确定所述预设蜜罐的网络地址、所述预设蜜罐的对外端口以及所述攻击行为的起始时间，并利用所述返回路径确定所述攻击对象的真实网络地址、所述攻击对象的真实对外端口以及所述攻击行为的持续时间；根据所述攻击数据确定攻击内容，并利用所述攻击内容和所述预设蜜罐的网络地址、所述预设蜜罐的对外端口以及所述攻击行为的起始时间确定所述攻击行为的攻击方式、所述攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数，其中，所述攻击特征包括所述攻击方式、所述目的服务类型、所述攻击工具类型以及发起攻击的次数；根据所述抓包数据确定抓包内容，并利用所述抓包内容和所述攻击对象的真实网络地址、所述攻击对象的真实对外端口以及所述攻击行为的持续时间确定所述攻击对象的伪身份类型、所述攻击对象加密虚拟网络地址的加密特征，其中，所述虚拟网络地址为所述攻击对象访问所述预设蜜罐时所用的地址，所述攻击特征包括所述伪身份类型和所述加密特征。3.根据权利要求2所述的方法，其特征在于，解析所述攻击数据和所述抓包数据之后，所述方法还包括：根据所述攻击数据和所述抓包数据生成攻击指令，其中，所述攻击指令所表示的模拟攻击行为与所述攻击行为之间的攻击特征的相似度大于目标阈值；对多个蜜罐执行所述攻击指令，以对所述多个蜜罐发起所述模拟攻击行为，其中，所述多个蜜罐为与所述预设蜜罐提供相同服务的蜜罐；根据所述多个蜜罐受到所述模拟攻击行为产生的反馈数据确定所述多个蜜罐存在的漏洞。4.根据权利要求2所述的方法，其特征在于，在所述数据库中的所述攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下，增加与所述攻击特征匹配的蜜罐包括：统计所述数据库中...

【专利技术属性】
技术研发人员：程鹏，胡鹏，谢金洲，
申请(专利权)人：广州锦行网络科技有限公司，
类型：发明
国别省市：