【技术实现步骤摘要】
本申请涉及计算机,尤其涉及一种蜜罐识别方法、装置、设备及存储介质。
技术介绍
1、蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,方便防御方了解面对的安全威胁。当前可以从目标系统(即目标操作系统)的外部扫描开放端口,进一步的,在与开放端口进行信息交互的过程中获取指纹特征,以通过指纹特征判断目标系统是否蜜罐。
2、然而,在上述方法中,通过获取指纹特征识别蜜罐时,只能从目标系统的外部对蜜罐进行识别,导致识别蜜罐的准确度较低,并且,只能获取开源蜜罐的指纹特征,无法获取私有蜜罐的指纹特征,导致无法对私有蜜罐进行识别。从而,对蜜罐进行识别的准确度较低。
技术实现思路
1、本申请提供一种蜜罐识别方法、装置、设备及存储介质,用于解决通过指纹特征识别蜜罐时,只能从目标系统的外部识别蜜罐、且只能识别开源蜜罐,导致识别蜜罐的准确度较低、无法识别私有蜜罐的技术问题,从而提高对蜜罐进行识别的准确度。
2、为达到上述目的,本申请采用如下技术方案:
3、第一方面,提供了一种蜜罐识别方法,方法包括:获取目标操作系统的多个参数信息,多个参数信息包括以下至少一项:运行环境信息、监听端口数量、网络连接数量和网络流量;基于预设规则确定多个参数信息中的每个参数信息对应的特征值;基于每个参数信息对应的特征值,以及预设的每个参数信息对应的权重参数
4、在一种可能的实现方式中,多个参数信息包括运行环境信息,运行环境信息为以下任一项:物理机、虚拟机和开源的应用容器引擎;基于预设规则确定多个参数信息中的每个参数信息对应的特征值,包括:在运行环境信息为物理机的情况下,确定运行环境信息对应的特征值为第一特征值;在运行环境信息为虚拟机的情况下,确定运行环境信息对应的特征值为第二特征值,第二特征值大于第一特征值;在运行环境信息为开源的应用容器引擎的情况下,确定运行环境信息对应的特征值为第三特征值,第三特征值大于第二特征值。
5、在一种可能的实现方式中,多个参数信息包括监听端口数量;基于预设规则确定多个参数信息中的每个参数信息对应的特征值,包括:在监听端口数量小于第一数量的情况下,确定监听端口数量对应的特征值为第四特征值;在监听端口数量大于或等于第一数量、且小于第二数量的情况下,确定监听端口数量对应的特征值为第五特征值,第五特征值大于第四特征值;在监听端口数量大于或等于第二数量的情况下,确定监听端口数量对应的特征值为第六特征值,第六特征值大于第五特征值。
6、在一种可能的实现方式中,多个参数信息包括网络连接数量;基于预设规则确定多个参数信息中的每个参数信息对应的特征值,包括:在网络连接数量大于或等于第三数量的情况下,确定网络连接数量对应的特征值为第七特征值;在网络连接数量小于第三数量、且大于或等于第四数量的情况下,确定网络连接数量对应的特征值为第八特征值,第八特征值大于第七特征值;在网络连接数量小于第四数量的情况下,确定网络连接数量对应的特征值为第九特征值,第九特征值大于第八特征值。
7、在一种可能的实现方式中,多个参数信息包括网络流量;基于预设规则确定多个参数信息中的每个参数信息对应的特征值,包括:在网络流量大于或等于第一流量值的情况下,确定网络流量对应的特征值为第十特征值;在网络流量小于第一流量值、且大于或等于第二流量值的情况下,确定网络流量对应的特征值为第十一特征值,第十一特征值大于第十特征值;在网络流量小于第二流量值的情况下,确定网络流量对应的特征值为第十二特征值,第十二特征值大于第十一特征值。
8、在一种可能的实现方式中,基于目标特征值与预设阈值之间的大小关系,确定目标操作系统是否为蜜罐,包括:在目标特征值大于预设阈值的情况下,确定目标操作系统为蜜罐;在目标特征值小于或等于预设阈值的情况下,确定目标操作系统不为蜜罐。
9、第二方面,提供了一种蜜罐识别装置,蜜罐识别装置包括:获取单元和确定单元;获取单元,用于获取目标操作系统的多个参数信息,多个参数信息包括以下至少一项:运行环境信息、监听端口数量、网络连接数量和网络流量;确定单元,用于基于预设规则确定多个参数信息中的每个参数信息对应的特征值;确定单元,还用于基于每个参数信息对应的特征值,以及预设的每个参数信息对应的权重参数,确定目标操作系统对应的目标特征值;确定单元,还用于基于目标特征值与预设阈值之间的大小关系,确定目标操作系统是否为蜜罐。
10、在一种可能的实现方式中,多个参数信息包括运行环境信息,运行环境信息为以下任一项:物理机、虚拟机和开源的应用容器引擎;确定单元,还用于在运行环境信息为物理机的情况下,确定运行环境信息对应的特征值为第一特征值;确定单元,还用于在运行环境信息为虚拟机的情况下,确定运行环境信息对应的特征值为第二特征值,第二特征值大于第一特征值;确定单元,还用于在运行环境信息为开源的应用容器引擎的情况下,确定运行环境信息对应的特征值为第三特征值,第三特征值大于第二特征值。
11、在一种可能的实现方式中,多个参数信息包括监听端口数量;确定单元,还用于在监听端口数量小于第一数量的情况下,确定监听端口数量对应的特征值为第四特征值;确定单元,还用于在监听端口数量大于或等于第一数量、且小于第二数量的情况下,确定监听端口数量对应的特征值为第五特征值,第五特征值大于第四特征值;确定单元,还用于在监听端口数量大于或等于第二数量的情况下,确定监听端口数量对应的特征值为第六特征值,第六特征值大于第五特征值。
12、在一种可能的实现方式中,多个参数信息包括网络连接数量;确定单元,还用于在网络连接数量大于或等于第三数量的情况下,确定网络连接数量对应的特征值为第七特征值;确定单元,还用于在网络连接数量小于第三数量、且大于或等于第四数量的情况下,确定网络连接数量对应的特征值为第八特征值,第八特征值大于第七特征值;确定单元,还用于在网络连接数量小于第四数量的情况下,确定网络连接数量对应的特征值为第九特征值,第九特征值大于第八特征值。
13、在一种可能的实现方式中,多个参数信息包括网络流量;确定单元,还用于在网络流量大于或等于第一流量值的情况下,确定网络流量对应的特征值为第十特征值;确定单元,还用于在网络流量小于第一流量值、且大于或等于第二流量值的情况下,确定网络流量对应的特征值为第十一特征值,第十一特征值大于第十特征值;确定单元,还用于在网络流量小于第二流量值的情况下,确定网络流量对应的特征值为第十二特征值,第十二特征值大于第十一特征值。
14、在一种可能的实现方式中,确定单元,还用于在目标特征值大于预设阈值的情况下,确定目标操作系统为蜜罐;确定单元,还用于在目标特征值小于或等于预设阈值的情况下,确定目标操作系统本文档来自技高网...
【技术保护点】
1.一种蜜罐识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述多个参数信息包括所述运行环境信息,所述运行环境信息为以下任一项:物理机、虚拟机和开源的应用容器引擎;
3.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述监听端口数量;
4.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述网络连接数量;
5.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述网络流量;
6.根据权利要求1或2所述的方法,其特征在于,所述基于所述目标特征值与预设阈值之间的大小关系,确定所述目标操作系统是否为蜜罐,包括:
7.一种蜜罐识别装置,其特征在于,所述蜜罐识别装置包括:获取单元和确定单元;
8.根据权利要求7所述的蜜罐识别装置,其特征在于,所述多个参数信息包括所述运行环境信息,所述运行环境信息为以下任一项:物理机、虚拟机和开源的应用容器引擎;
9.根据权利要求7或8所述的蜜罐识别装置,其特征在于,所述多个参数信息包括所述
10.根据权利要求7或8所述的蜜罐识别装置,其特征在于,所述多个参数信息包括所述网络连接数量;
11.根据权利要求7或8所述的蜜罐识别装置,其特征在于,所述多个参数信息包括所述网络流量;
12.根据权利要求7或8所述的蜜罐识别装置,其特征在于,所述确定单元,还用于在所述目标特征值大于所述预设阈值的情况下,确定所述目标操作系统为蜜罐;
13.一种电子设备,其特征在于,包括:处理器以及存储器;
14.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当被计算机执行时使所述计算机执行如权利要求1-6中任一项所述的一种蜜罐识别方法。
...【技术特征摘要】
1.一种蜜罐识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述多个参数信息包括所述运行环境信息,所述运行环境信息为以下任一项:物理机、虚拟机和开源的应用容器引擎;
3.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述监听端口数量;
4.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述网络连接数量;
5.根据权利要求1或2所述的方法,其特征在于,所述多个参数信息包括所述网络流量;
6.根据权利要求1或2所述的方法,其特征在于,所述基于所述目标特征值与预设阈值之间的大小关系,确定所述目标操作系统是否为蜜罐,包括:
7.一种蜜罐识别装置,其特征在于,所述蜜罐识别装置包括:获取单元和确定单元;
8.根据权利要求7所述的蜜罐识别装置,其特征在于,所述多个参数信息包括所述...
【专利技术属性】
技术研发人员:吴雨露,陈莹森,李嘉,晁静洋,丘柏辉,罗耘,王健,李斯哲,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。