一种批量生成高交互蜜罐靶标的策略方法技术

本发明专利技术涉及蜜罐领域，具体为一种批量生成高交互蜜罐靶标的策略方法，其包括以下步骤；S1、在真实网络的镜像口进行网络流量采集；S2、对特定应用服务的数据进行过滤和会话重组；S3、解析重组后的数据帧，去除异常数据和空数据帧；S4、对数据会话进行整合排序，对于类似的请求，采用模糊判别的方式提取匹配策略；S5、将生成的匹配策略进行随机数据填充形成靶标，完成特定网络服务的高交互策略。本发明专利技术减少了部署构建靶标的时间，实现对高交互靶标的批量生成策略，通过蜜罐和高交互的靶标相结合，从而防止漏掉攻击者的某些攻击过程，且靶标会持续更新，保持其有效性和全面性。保持其有效性和全面性。保持其有效性和全面性。

【技术实现步骤摘要】
一种批量生成高交互蜜罐靶标的策略方法


[0001]本专利技术涉及蜜罐领域，尤其涉及一种批量生成高交互蜜罐靶标的策略方法。

技术介绍

[0002]现有的蜜罐系统，为了达到欺骗防御的效果，会故意设定一些漏洞诱饵，便于攻击者攻击。当攻击者利用漏洞诱饵进行攻击时，蜜罐系统会通过流量等方式识别攻击行为。然而，由于现有的蜜罐系统是提前内置好的，难以考虑到所有的业务需求，使得不能完全反映真实的攻击过程，这就需要额外设置一些蜜罐靶标，在请求与靶标匹配时会连接到靶标上，通过将靶标和蜜罐相结合，使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求，以防止漏掉攻击者的某些攻击过程。但靶标大多通过人为构建的方式来生成，既费时费力，又可能遗漏一些重要的匹配策略，从而遗漏掉攻击者的某些攻击过程，交互度不高。

技术实现思路

[0003]本专利技术目的是针对
技术介绍
中存在的靶标生成效率低且交互度不高的问题，提出一种批量生成高交互蜜罐靶标的策略方法。
[0004]一方面，本专利技术提出一种批量生成高交互蜜罐靶标的策略方法，包括以下步骤；
[0005]S1、在真实网络的镜像口进行网络流量采集，存储为网络流量包文件，该pcap文件包含特定应用服务的网络通信过程；
[0006]S2、对特定应用服务的数据进行过滤和会话重组；
[0007]S3、解析重组后的数据帧，去除异常数据和空数据帧，剩余部分存入数据缓存待二次处理；
[0008]S4、对数据会话进行整合排序，对于类似的请求，采用模糊判别的方式提取匹配策略；
[0009]S5、将生成的匹配策略进行随机数据填充形成靶标，完成特定网络服务的高交互策略，批量实现高交互蜜罐靶标的策略生成。
[0010]优选的，S4中，模糊判别提取到所有的匹配策略后，将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除，保留与现有蜜罐不同的匹配策略。
[0011]优选的，S4中，按时间顺序对数据会话进行整合排序，即将相同类型的数据会话进行整合，再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序。
[0012]优选的，S4中，按请求数量对数据会话进行整合排序，即将相同类型的数据会话先进行整合，再按照不同类型出现的数据会话的频率进行排序。
[0013]优选的，S5中，策略生成时可以根据所需覆盖率或者系统运行情况对匹配策略进行部分提取，例如提取出现次数最多的匹配策略，或者提取出现时间最接近当下时间的一些匹配策略。
[0014]优选的，包括步骤S6，S6、定期重复S1
‑
S5，对靶标进行持续更新。
[0015]优选的，靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合，
人为设定的更新时间间隔为固定值，系统动态调整根据新的请求出现的时间和频率对固定值进行调整。
[0016]另一方面，本专利技术提出一种批量生成高交互蜜罐靶标的策略方法的靶标的生效方法，包括以下步骤：S21、在真实网络的镜像口进行网络流量采集；S22、对采集的流量进行解析，筛选出请求；S23、将请求与蜜罐或者靶标进行匹配；S24、若请求与靶标相匹配，则导通请求输入源与特定靶标之间的网络通信连接；S25、记录请求者在靶标上的行为。
[0017]与现有技术相比，本专利技术具有如下有益的技术效果：通过设置网络镜像口采集所有网络流量，然后根据采集的数据筛选出请求，根据请求提取匹配策略，再进行数据填充，完成靶标的设置，减少了部署构建靶标的时间，实现对高交互靶标的批量生成策略，也减少了物理资源的占用，通过蜜罐和高交互的靶标相结合，使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求，从而防止漏掉攻击者的某些攻击过程，且靶标会持续更新，保持其有效性和全面性。
附图说明
[0018]图1为本专利技术一种实施例的流程图；
[0019]图2为实施例二的流程图；
[0020]图3为靶标的生效方法流程图。
具体实施方式
[0021]实施例一
[0022]如图1
‑
2所示，本专利技术提出的一种批量生成高交互蜜罐靶标的策略方法，包括以下步骤；
[0023]S1、在真实网络的镜像口进行网络流量采集，存储为网络流量包文件，该pcap文件包含特定应用服务的网络通信过程；
[0024]S2、对特定应用服务的数据进行过滤和会话重组；
[0025]S3、解析重组后的数据帧，去除异常数据和空数据帧，剩余部分存入数据缓存待二次处理；
[0026]S4、对数据会话进行整合排序，对于类似的请求，采用模糊判别的方式提取匹配策略；模糊判别提取到所有的匹配策略后，将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除，保留与现有蜜罐不同的匹配策略；按时间顺序对数据会话进行整合排序，即将相同类型的数据会话进行整合，再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序，例如，类型一中最近的数据会话早于类型二中最近的数据会话，则类型一排在类型二之前；
[0027]S5、将生成的匹配策略进行随机数据填充形成靶标，完成特定网络服务的高交互策略，批量实现高交互蜜罐靶标的策略生成；策略生成时可以根据所需覆盖率或者系统运行情况对匹配策略进行部分提取，例如提取出现次数最多的匹配策略，或者提取出现时间最接近当下时间的一些匹配策略；
[0028]S6、定期重复S1
‑
S5，对靶标进行持续更新；靶标的两次更新之间的时间间隔采取人为设定和系统动态调整相结合，人为设定的更新时间间隔为固定值，系统动态调整根据
新的请求出现的时间和频率对固定值进行调整。例如，更新时，数据会话采集后发现出现了较多的新的请求，则缩短下一次更新的时间间隔，若并没有出现新的请求，则保持人为设定的更新时间间隔不变。
[0029]本实施例中，通过设置网络镜像口采集所有网络流量，然后根据采集的数据筛选出请求，根据请求提取匹配策略，再进行数据填充，完成靶标的设置，减少了部署构建靶标的时间，实现对高交互靶标的批量生成策略，也减少了物理资源的占用，通过蜜罐和高交互的靶标相结合，使得靶标可以弥补蜜罐所存在的漏洞缺陷或者无法满足的业务需求，从而防止漏掉攻击者的某些攻击过程，且靶标会持续更新，保持其有效性和全面性。
[0030]实施例二
[0031]如图1
‑
2所示，本专利技术提出的一种批量生成高交互蜜罐靶标的策略方法，包括以下步骤；
[0032]S1、在真实网络的镜像口进行网络流量采集，存储为网络流量包文件，该pcap文件包含特定应用服务的网络通信过程；
[0033]S2、对特定应用服务的数据进行过滤和会话重组；
[0034]S3、解析重组后的数据帧，去除异常数据和空数据帧，剩余部分存入数据缓存待二次处理；
[0035]S4、对数据会话进行整合排序，对于类似的请求，采用模糊判别的方式提取匹配策略；模糊判别提取到所有的匹配策略后，将本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种批量生成高交互蜜罐靶标的策略方法，其特征在于，包括以下步骤；S1、在真实网络的镜像口进行网络流量采集，存储为网络流量包文件，该pcap文件包含特定应用服务的网络通信过程；S2、对特定应用服务的数据进行过滤和会话重组；S3、解析重组后的数据帧，去除异常数据和空数据帧，剩余部分存入数据缓存待二次处理；S4、对数据会话进行整合排序，对于类似的请求，采用模糊判别的方式提取匹配策略；S5、将生成的匹配策略进行随机数据填充形成靶标，完成特定网络服务的高交互策略，批量实现高交互蜜罐靶标的策略生成。2.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法，其特征在于，S4中，模糊判别提取到所有的匹配策略后，将所有的匹配策略中与现有蜜罐中已经存在的相同的匹配策略删除，保留与现有蜜罐不同的匹配策略。3.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法，其特征在于，S4中，按时间顺序对数据会话进行整合排序，即将相同类型的数据会话进行整合，再按照不同类型的数据会话中的最近时间对所有类型的数据会话进行按时排序。4.根据权利要求1所述的批量生成高交互蜜罐靶标的策略方法，其特征在于，S4中，按请求数量对数据会话进行整合排序，即将...

【专利技术属性】
技术研发人员：黄龙飞，陈勇，
申请(专利权)人：上海磐御网络科技有限公司，
类型：发明
国别省市：