1.本技术涉及信息安全技术领域,尤其涉及一种蜜罐部署方法、装置、设备及计算机可读介质。
背景技术:
2.蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
3.目前,相关技术中,蜜网部署策略属于人为搭建的蜜网系统,只能通过部署尽可能多的服务类型的蜜罐增加诱捕率,而攻击者的倾向并不一致。比如有的攻击者倾向于ssh服务攻击,有的攻击者倾向于攻击数据库服务。因此在这种全覆盖、铺地砖式的蜜网部署策略下,会有大量蜜罐处于闲置状态,蜜罐资源被极大浪费。
4.针对蜜罐资源被极大浪费的问题,目前尚未提出有效的解决方案。
技术实现要素:
5.本技术提供了一种蜜罐部署方法、装置、设备及计算机可读介质,以解决蜜罐资源被极大浪费的技术问题。
6.根据本技术实施例的一个方面,本技术提供了一种蜜罐部署方法,包括:在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
7.可选地,解析攻击数据和抓包数据,得到攻击行为的攻击特征包括:确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径;利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间;根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服
务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数;根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
8.可选地,解析攻击数据和抓包数据之后,所述方法还包括:根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜罐为与预设蜜罐提供相同服务的蜜罐;根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
9.可选地,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐包括:统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
10.可选地,增加与攻击特征匹配的蜜罐之前,所述方法还包括:确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
11.可选地,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐包括以下方式中的其中一种:在诱捕率小于第一阈值的情况下,删除蜜罐;在防御成功率小于第二阈值的情况下,删除蜜罐。
12.可选地,增加与攻击特征匹配的蜜罐还包括:将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
13.根据本技术实施例的另一方面,本技术提供了一种蜜罐部署装置,包括:蜜罐监控模块,用于在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;
特征分析模块,用于解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;蜜罐自适应部署模块,用于在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
14.根据本技术实施例的另一方面,本技术提供了一种蜜罐部署设备,包括存储器、处理器、通信接口及通信总线,存储器中存储有可在处理器上运行的计算机程序,存储器、处理器通过通信总线和通信接口进行通信,处理器执行计算机程序时实现上述方法的步骤。
15.根据本技术实施例的另一方面,本技术还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,程序代码使处理器执行上述的方法。
16.本技术实施例提供的上述技术方案与相关技术相比具有如下优点:本技术技术方案为在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。本技术能够根据攻击者的攻击特性自适应调整蜜网部署系统的部署策略,从而增加攻击频率高的蜜罐,减少闲置的蜜罐,充分利用蜜罐资源。解决蜜罐资源被极大浪费的技术问题。
附图说明
17.此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本技术的实施例,并与说明书一起用于解释本技术的原理。
18.为了更清楚地说明本技术实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
19.图1为根据本技术实施例提供的一种可选的蜜罐部署方法硬件环境示意图;图2为根据本技术实施例提供的一种可选的蜜罐部署方法流程图;图3为根据本技术实施例提供的一种可选的蜜罐部署装置框图;图4为本技术实施例提供的一种可选的蜜罐部署设备结构示意图。
具体实施方式
20.为使本技术实施例的目的、技术方案和优点更加清楚,下面将结合本技术实施例中的附图,对本技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本技术的一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本技术保护的范围。
21.在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本技术的说明,其本身并没有特定的意义。因此,“模块”与“部件”可以混合地使用。
22.相关技术中,蜜网部署策略属于人为搭建的蜜网系统,只能通过部署尽可能多的服务类型的蜜罐增加诱捕率,而攻击者的倾向并不一致。比如有的攻击者倾向于ssh服务攻击,有的攻击者倾向于攻击数据库服务。因此在这种全覆盖、铺地砖式的蜜网部署策略下,会有大量蜜罐处于闲置状态,蜜罐资源被极大浪费。
23.为了解决背景技术中提及的问题,根据本技术实施例的一方面,提供了一种蜜罐部署方法的实施例。
24.可选地,在本技术实施例中,上述蜜罐部署方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供服务(如蜜罐部署服务、蜜罐监测服务等),可在服务器上或独立于服务器设置数据库105,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,终端101包括但不限于pc、手机、平板电脑等。
25.本技术实施例中的一种蜜罐部署方法可以由服务器103来执行,还可以是由服务器103和终端101共同执行,如图2所示,该方法可以包括以下步骤:步骤s202,在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为。
26.蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
27.本技术实施例中,预设蜜罐是一种安全资源,携带有预设漏洞,看似漏洞百出却尽在掌握之中。蜜罐可以是服务主机、应用程序、网络服务、数据库服务以及数据信息,可以根据实际需要进行部署。
28.本技术实施例中,攻击对象对预设蜜罐发动攻击后,会在预设蜜罐上留下痕迹,其中包含攻击产生的数据,此即为攻击数据,还包含抓包获取的数据,此即为抓包数据。攻击行为留下的痕迹无法完全抹除,因此可以通过捕获这些痕迹来拦截攻击数据和抓包数据。
29.步骤s204,解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库。
30.本技术实施例中,可以通过解析攻击数据和抓包数据来提取该攻击行为的攻击特征,为了便于后续统计和进一步分析,可以将攻击特征存储至数据库以备后用。
31.步骤s206,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
32.本技术实施例中,在对数据库中的攻击特征作进一步分析时,可以在满足条件的情况下增加与攻击特征匹配的蜜罐,即针对攻击行为频繁的蜜罐,可以部署更多相同或相似的蜜罐来诱捕攻击行为,从而将蜜罐资源有针对性的进行动态分配,使蜜罐资源能够充
分利用。
33.通过上述步骤s202至s206,本技术能够根据攻击者的攻击特性自适应动态调整蜜网部署系统的部署策略,从而增加攻击频率高的蜜罐,减少闲置的蜜罐,充分利用蜜罐资源。解决蜜罐资源被极大浪费的技术问题。
34.可选地,解析攻击数据和抓包数据,得到攻击行为的攻击特征包括以下步骤:步骤1,确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径。
35.本技术实施例中,攻击对象在实施攻击行为时,需要对预设蜜罐进行数据渗透,从而攻破预设蜜罐,数据渗透的路径即为攻击数据的攻击路径。在攻破预设蜜罐后,攻击对象会在根据需要抓取自己想要的数据,如登录数据库的用户名、密码等,此时抓包数据会返回攻击对象的真实的地址,抓包数据返回的路径即为上述返回路径。
36.步骤2,步骤利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间。
37.本技术实施例中,本技术基于攻击路径分析得出预设蜜罐的网络地址、对外端口的过程可以进一步收集攻击对象实施攻击行为的信息,从而基于攻击对象的角度分析攻击对象的进攻思路、进攻方式,从而进一步分析自身系统存在的漏洞,加固自身系统的同时可以部署针对这些漏洞更新过的新的蜜罐,来诱捕攻击对象的攻击行为。
38.步骤3,根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数。
39.本技术实施例中,目的服务类型表示攻击对象的攻击目标的类型,如http服务(hyper text transfer prtcl,超文本传输协议)、ssh服务(secure shell,安全外壳协议)等。攻击方式可以包括ssh爆破、weblogic漏洞、sql注入以及dos攻击等。
40.步骤4,根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
41.本技术实施例中,由于抓包数据会返回攻击对象的真实的地址,因此可以根据抓包内容和攻击对象真实的网络地址、对外端口进行漏洞分析和行为分析,包括分析攻击对象采用的伪身份及伪身份类型,还有攻击对象加密虚拟网络地址的加密特征等。
42.本技术可以模拟攻击对象的攻击行为,在完全可控的基础上对其他提供相同或相似服务的蜜罐进行模拟攻击,从而收集和研究更多攻击对象的攻击行为信息,以加固自身系统。具体的,该方法包括以下步骤:步骤1,根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;步骤2,对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜
罐为与预设蜜罐提供相同服务的蜜罐;步骤3,根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
43.本技术实施例中,为了更加真实的还原攻击对象的攻击行为,可以根据攻击数据和抓包数据生成模拟攻击行为的攻击指令,并使该模拟攻击行为与攻击对象实际产生的攻击行为的攻击特征的相似度大于目标阈值。该目标阈值可以根据实际需要进行设置。通过研究多个蜜罐受到模拟攻击行为后产生的反馈数据即可收集和研究更多攻击对象的攻击行为信息,从而加固自身系统。
44.可选地,在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐包括以下步骤:步骤1,统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;步骤2,在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;步骤3,在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
45.本技术实施例中,攻击特征的记录次数大于或等于目标次数,或者攻击特征的数据数量大于或等于目标数量,则表示攻击对象频繁的发动该攻击特征的攻击行为,因此可以针对该攻击特征,分配更多的蜜罐资源来诱捕攻击行为,即在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。上述第一预设条件为记录次数大于或等于目标次数和/或数据数量大于或等于目标数量,上述第二预设条件为当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量。上述目标次数、目标数量、最大蜜罐数量以及目标资源量可以根据实际需要进行设置。
46.本技术中,为了更加充分利用蜜罐资源,可以将一些闲置的蜜罐删除或转换。
47.可选地,增加与攻击特征匹配的蜜罐之前,所述方法还包括:步骤1,确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;步骤2,确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;步骤3,根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;步骤4,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
48.本技术实施例中,可以对处于闲置状态,且诱捕率较低,或者防御成功率较低的蜜罐进行删除,以释放蜜罐资源。
49.可选地,在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐包括以下方式中的其中一种:在诱捕率小于第一阈值的情况下,删除蜜罐;在防御成功率小于第二阈值的情况下,删除蜜罐。
50.本技术实施例中,上述第一阈值可以根据实际需要进行设置,优选的,可以设置为
5%,即在当前处于闲置状态的蜜罐的诱捕率低于5%的情况下,杉树该蜜罐。上述第二阈值可以根据实际需要进行设置,优选的,可以设置为10%。较低防御成功率的蜜罐容易被攻击对象作为跳板对生产线上的系统进行攻击,因此此类蜜罐无论诱捕率多高都需要进行重新设计,避免被攻击对象当作跳板对生产线上的系统进行攻击。
51.可选地,增加与攻击特征匹配的蜜罐还包括:步骤1,将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;步骤2,将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
52.本技术实施例中,为了简化蜜罐资源动态分配的流程,同时减少服务端句柄资源的调用,可以将当前处于闲置状态,且诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐直接转换成与攻击特征匹配的蜜罐。
53.可选地,每一次更新蜜罐资源后,都需要将更新后的蜜罐资源记录在数据库中,从而为后续攻击行为的分析提供数据基础。
54.根据本技术实施例的又一方面,如图3所示,提供了一种蜜罐部署装置,包括:蜜罐监控模块301,用于在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;特征分析模块303,用于解析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;蜜罐自适应部署模块305,用于在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
55.需要说明的是,该实施例中的蜜罐监控模块301可以用于执行本技术实施例中的步骤s202,该实施例中的特征分析模块303可以用于执行本技术实施例中的步骤s204,该实施例中的蜜罐自适应部署模块305可以用于执行本技术实施例中的步骤s206。
56.此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现。
57.可选地,该特征分析模块,具体用于:确定攻击数据的攻击路径和抓包数据的返回路径,其中,攻击路径为攻击对象在实施攻击行为时数据渗透的路径,返回路径为攻击行为获取到目标数据后返回攻击对象的路径;利用攻击路径确定预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间,并利用返回路径确定攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间;根据攻击数据确定攻击内容,并利用攻击内容和预设蜜罐的网络地址、预设蜜罐的对外端口以及攻击行为的起始时间确定攻击行为的攻击方式、攻击行为所攻击的目的服
务类型、攻击工具类型以及发起攻击的次数,其中,攻击特征包括攻击方式、目的服务类型、攻击工具类型以及发起攻击的次数;根据抓包数据确定抓包内容,并利用抓包内容和攻击对象的真实网络地址、攻击对象的真实对外端口以及攻击行为的持续时间确定攻击对象的伪身份类型、攻击对象加密虚拟网络地址的加密特征,其中,虚拟网络地址为攻击对象访问预设蜜罐时所用的地址,攻击特征包括伪身份类型和加密特征。
58.可选地,该蜜罐部署装置,还包括模拟攻击模块,用于:根据攻击数据和抓包数据生成攻击指令,其中,攻击指令所表示的模拟攻击行为与攻击行为之间的攻击特征的相似度大于目标阈值;对多个蜜罐执行攻击指令,以对多个蜜罐发起模拟攻击行为,其中,多个蜜罐为与预设蜜罐提供相同服务的蜜罐;根据多个蜜罐受到模拟攻击行为产生的反馈数据确定多个蜜罐存在的漏洞。
59.可选地,该蜜罐自适应部署模块,具体用于:统计数据库中攻击特征的记录次数和/或攻击特征的数据数量;在记录次数大于或等于目标次数和/或数据数量大于或等于目标数量的情况下,查询当前蜜罐资源的资源量;在当前蜜罐数量小于最大蜜罐数量且当前可用蜜罐资源量大于或等于目标资源量的情况下,增加与攻击特征匹配的蜜罐。
60.可选地,该蜜罐部署装置,还包括蜜罐资源释放模块,用于:确定当前已部署蜜罐的蜜罐状态,其中,蜜罐状态包括闲置状态和任务状态;确定处于闲置状态的蜜罐的历史响应数据,其中,历史响应数据包括蜜罐诱捕到攻击行为的次数和防御成功的次数中的至少一个;根据历史响应数据确定蜜罐的诱捕率和防御成功率中的至少一个;在诱捕率和防御成功率中的至少一个满足第三预设条件的情况下,删除蜜罐。
61.可选地,该蜜罐资源释放模块,具体用于:在诱捕率小于第一阈值的情况下,删除蜜罐;在防御成功率小于第二阈值的情况下,删除蜜罐。
62.可选地,该蜜罐部署装置,还包括蜜罐转换模块,用于:将诱捕率和防御成功率中的至少一个满足第三预设条件的蜜罐确定为待转换蜜罐;将与攻击特征匹配的蜜罐的资源覆盖写入待转换蜜罐的资源载体,以将待转换蜜罐转换为与攻击特征匹配的蜜罐。
63.根据本技术实施例的另一方面,本技术提供了一种蜜罐部署设备,如图4所示,包括存储器401、处理器403、通信接口405及通信总线407,存储器401中存储有可在处理器403上运行的计算机程序,存储器401、处理器403通过通信接口405和通信总线407进行通信,处理器403执行计算机程序时实现上述方法的步骤。
64.上述蜜罐部署设备中的存储器、处理器通过通信总线和通信接口进行通信。所述通信总线可以是外设部件互连标准(peripheral component interconnect,简称pci)总线或扩展工业标准结构(extended industry standard architecture,简称eisa)总线等。该
通信总线可以分为地址总线、数据总线、控制总线等。
65.存储器可以包括随机存取存储器(random access memory,简称ram),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
66.上述的处理器可以是通用处理器,包括中央处理器(central processing unit,简称cpu)、网络处理器(network processor,简称np)等;还可以是数字信号处理器(digital signal processing,简称dsp)、专用集成电路(application specific integrated circuit,简称asic)、现场可编程门阵列(field-programmable gate array,简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
67.根据本技术实施例的又一方面还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述任一实施例的步骤。
68.可选地,在本技术实施例中,计算机可读介质被设置为存储用于所述处理器执行以下步骤的程序代码:在检测到攻击对象对预设蜜罐的攻击行为的情况下,拦截攻击数据和抓包数据,其中,攻击数据为攻击行为产生的,抓包数据为响应攻击行为返回攻击对象的,预设蜜罐为携带有预设漏洞的安全资源,安全资源包括服务主机、应用程序、网络服务、数据库服务以及数据信息中的至少一种,预设蜜罐用于诱捕指向生产线的攻击行为;析攻击数据和抓包数据,得到攻击行为的攻击特征,并将攻击特征存储至数据库;在数据库中的攻击特征满足第一预设条件且当前蜜罐资源满足第二预设条件的情况下,增加与攻击特征匹配的蜜罐。
69.可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
70.本技术实施例在具体实现时,可以参阅上述各个实施例,具有相应的技术效果。
71.可以理解的是,本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个专用集成电路(application specific integrated circuits,asic)、数字信号处理器(digital signal processing,dsp)、数字信号处理设备(dsp device,dspd)、可编程逻辑设备(programmable logic device,pld)、现场可编程门阵列(field-programmable gate array,fpga)、通用处理器、控制器、微控制器、微处理器、用于执行本技术所述功能的其它电子单元或其组合中。
72.对于软件实现,可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
73.本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本技术的范围。
74.所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、
装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
75.在本技术所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
76.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
77.另外,在本技术各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
78.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
79.以上所述仅是本技术的具体实施方式,使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下,在其它实施例中实现。因此,本技术将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。