一种基于制造技术

本发明专利技术实施例提供了一种基于

【技术实现步骤摘要】
一种基于IP信誉的蜜庭防御方法及装置


[0001]本文件涉及计算机
，尤其涉及一种基于
IP
信誉的蜜庭防御方法及装置
。

技术介绍

[0002][0003]方便管理和提供服务的中心化网络服务器常常成为网络攻击的目标，传统防御手段如部署蜜罐服务器来吸引攻击者并记录行为，部署所需的成本和资源很高，并且随着更多元
、
更持久的新型攻击方式出现后，经典的蜜罐防御方式显得更加力不从心，若继续使用传统的手段拦截
IP
地址，无疑会继承以往防御系统的弊端，无法对访问者进行准确分析，造成拦截
/
封堵结果不准确，严重加剧网络延迟，影响网络传输的效率
。
[0004]传统防御系统中使用蜜罐
(Honeypot)
作为一种安全防御措施存在一些弊端，具体包括：
[0005]1、
部署和维护复杂：随着企业内部网络环境的日益复杂化，传统蜜罐技术的局限性愈发显现
。
传统蜜罐系统在遭受攻击后的部署和维护也面临一定困难和挑战
。
攻击者一旦发现蜜罐，可能会针对性地攻击或故意引诱蜜罐产生大量的日志和报警，导致系统管理员需要花费更多的时间和精力去处理和分析这些噪音数据，从而增加了运维成本和困难度；
[0006]2、
误报和漏报：仅仅使用蜜罐进行防御存在一些潜在问题，其中之一是误报和漏报的风险
。
攻击者经常会察觉到蜜罐的存在，并采取针对性的措施来规避它，使得蜜罐无法准确地检测和捕捉真实攻击，导致真实攻击被忽略或未能及时发现
。
传统蜜罐系统在这方面的考虑相对有限，因此存在着防御效果不尽如人意的可能性；
[0007]3、
风险扩散：当蜜罐受到攻击并被入侵时，攻击者可能获取到蜜罐中的信息和资源
。
这使得攻击者能够利用这些信息来发动更具针对性的攻击，不仅对真实系统构成威胁，还可能对其他网络资源造成影响
。
一种可能的情况是攻击者使用蜜罐中的信息来进行侦察和目标选择，确定真实系统的弱点和漏洞
。
攻击者可以利用这些蜜罐所模拟的服务和系统的漏洞，以及在蜜罐中收集到的信息，对真实系统进行更有针对性的攻击，提高攻击成功的几率
。
此外，攻击者还可以利用蜜罐作为跳板或中继来进一步渗透真实系统
。
一旦攻击者控制了蜜罐，他们可以利用蜜罐的位置和权限，尝试横向移动，攻击其他系统或内部资源，从而扩大攻击的影响范围
。

技术实现思路

[0008]本专利技术实施例的目的在于提供一种基于
IP
信誉的蜜庭防御方法及装置，旨在解决现有技术中的上述问题
。
[0009]本专利技术实施例提供一种基于
IP
信誉的蜜庭防御方法，包括：
[0010]收集日志数据和
IP
地址的信誉分数；
[0011]利用概率模型将所述信誉分数转换成
IP
封堵概率
p
和
/
或拦截阈值
t
；
[0012]融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，定制防御策略提供给蜜庭
。
[0013]本专利技术实施例提供一种基于
IP
信誉的蜜庭防御装置，包括：
[0014]收集模块，用于收集日志数据和
IP
地址的信誉分数；
[0015]转换模块，用于利用概率模型将所述信誉分数转换成
IP
封堵概率
p
和
/
或拦截阈值
t
；
[0016]定制模块，用于融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，定制防御策略提供给蜜庭
。
[0017]采用本专利技术实施例可以包括以下有益效果：在本专利技术实施例中模型的输入源不仅包含系统内部产生的日志数据，也包含从第三方收集的情报数据转化的日志数据，基于信誉评分的拦截方法可以减少误报率，这相比于传统的黑名单方法，本专利技术实施例的技术方案更加灵活，可以更精确地判断一个
IP
地址的威胁级别，避免将合法的用户或网络流量误认为恶意行为而进行拦截，从而提供更好的保护机制，防止未知威胁的攻击，降低风险，且不仅依据
IP
地址的信誉分数，同时还考虑了用户的不同业务需求来定制防御策略，提高分析的准确率
。
附图说明
[0018]为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图
。
[0019]图1是本专利技术实施例的基于
IP
信誉的蜜庭防御方法流程图；
[0020]图2是本专利技术实施例的基于
IP
信誉的蜜庭防御方法的处理流程图；
[0021]图3是本专利技术实施例的基于
IP
信誉的蜜庭防御方法的防御策略示意图；
[0022]图4是本专利技术实施例的基于
IP
信誉的蜜庭防御装置示意图
。
具体实施方式
[0023]为了使本
的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例仅仅是本说明书的一部分实施例，而不是全部的实施例
。
基于本说明书一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本文件的保护范围
。
[0024]方法实施例
[0025]根据本专利技术实施例，提供了一种基于
IP
信誉的蜜庭防御方法，图1是本专利技术实施例的基于
IP
信誉的蜜庭防御方法流程图，如图1所示，根据本专利技术实施例的基于
IP
信誉的蜜庭防御方法具体包括：
[0026]步骤
S101
，收集日志数据和
IP
地址的信誉分数；具体地，在步骤
S101
中，从系统内部以及第三方开源软件收集威胁情报数据，利用构建好的信誉模型，得到访问日志数据中
IP
地址的信誉分数，具体包括：融合系统内部输出的实时日志数据和自动化脚本定期爬取
第三方访问日志数据，从中提取
IP
地址的各类相关信息；利用基于外部操作本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于
IP
信誉的蜜庭防御方法，其特征在于，包括：收集日志数据和
IP
地址的信誉分数；利用概率模型将所述信誉分数转换成
IP
封堵概率
p
和
/
或拦截阈值
t
；融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，定制防御策略提供给蜜庭
。2.
根据权利要求1所述的方法，其特征在于，收集日志数据和
IP
地址的信誉分数具体包括：从系统内部以及第三方开源软件收集威胁情报数据，利用构建好的信誉模型，得到访问日志数据中
IP
地址的信誉分数
。3.
根据权利要求2所述的方法，其特征在于，从系统内部以及第三方开源软件收集威胁情报数据，利用构建好的信誉模型，得到访问日志数据中
IP
地址的信誉分数具体包括：融合系统内部输出的实时日志数据和自动化脚本定期爬取第三方访问日志数据，从中提取
IP
地址的各类相关信息；利用基于外部操作
、
内部操作以及踩蜜点行为这三个维度上构建的信誉模型，获得指定
IP
地址的信誉分数
。4.
根据权利要求1所述的方法，其特征在于，利用概率模型将所述信誉分数转换成
IP
封堵概率
p
和
/
或拦截阈值
t
具体包括：利用概率模型将获取到的信誉分数通过归一化操作转化成封堵概率
p
；和
/
或，分析用户操作的风险程度，将其信誉分数转化为拦截阈值
t。5.
根据权利要求1所述的方法，其特征在于，融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，定制防御策略提供给蜜庭具体包括：融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，根据用户操作的风险程度以及蜜庭的不同防御执行手段，定制相应的防御策略
。6.
根据权利要求5所述的方法，其特征在于，融合用户的不同业务需求和
IP
封堵概率
p
和
/
或拦截阈值
t
，根据用户操作的风险程度以及蜜庭的不同防御执...

【专利技术属性】
技术研发人员：刘园，田志宏，王梦雨，黄瑞信，方滨兴，鲁辉，苏申，李默涵，孙彦斌，徐光侠，姜誉，仇晶，
申请(专利权)人：广州大学，
类型：发明
国别省市：