基于单线程多蜜罐服务的网络攻击识别方法和装置与流程

本申请的实施例一般涉及数据管理，并且更具体地，涉及多源异构数据的自动化转换方法和装置。

背景技术：

1、传统的微蜜罐系统一般是基于独享主机资源的设计思路，通过对每个服务连接分配独立的线程、进程，甚至是虚拟环境来实现对各个微服务的协议、运行环境的模拟，且不会考虑服务连接数量过多时对系统的影响。这种微蜜罐系统部署在闲置主机中时是没有大问题的，但是随着微服务架构、混合it云化部署方案的普遍应用，客户更希望将微蜜罐服务部署于运行有正常业务的主机、服务器中，以便更好的监控每台主机的状况，因此这种依赖大、资源消耗大的设计思路就不再适用。

2、随着微服务架构、混合it云化部署方案的普遍应用，基于独享主机资源的微蜜罐系统在部署与运行时将面临以下问题：

3、1、传统的蜜罐系统一般涉及多个系统与服务安装包，无法灵活地按需部署、下架蜜罐服务；

4、2、由于传统的蜜罐系统是较真实地模拟系统与服务，因此安装包一般比较大，且运行环境复杂，给安装、部署、调试带来难度；

5、3、独享资源一般意味着资源浪费，当蜜罐系统没有连接时，无法释放空闲资源，造成资源浪费；

6、4、当传统的蜜罐系统面临大量微服务连接时，系统资源占用暴增，影响正常业务运行。

技术实现思路

1、有鉴于此，本申请实施例的目的在于提供了一种基于单线程多蜜罐服务的网络攻击识别方法和装置，来解决现有技术中的蜜罐系统存在的上述问题。

2、为解决上述问题，在本申请的第一方面，提供一种基于单线程多蜜罐服务的网络攻击识别方法，应用于客户端，包括：

3、响应于接收到的服务器发送的服务策略，对所述服务策略进行解析，确定当前微蜜罐服务的服务类型；

4、上线所述当前微蜜罐服务，将服务信息以service_st结构体缓存在list列表中，并对攻击访问进行检测；

5、响应于检测到攻击端对所述当前微蜜罐服务进行访问，从所述list列表中删除对应网络连接的service_st结构体；

6、当网络连接的空闲时间大于预设阈值或者攻击端主动结束连接，在所述list列表中新增标记网络断开的service_st结构体，下线所述当前微蜜罐服务。

7、在一些实施例中，所述客户端中部署有多个微蜜罐服务，多个微蜜罐服务均运行在一个线程内，通过list列表和epool对服务资源进行缓存和调度。

8、在一些实施例中，所述多个微蜜罐服务支持不同的协议，包括数据库协议、http协议、ftp协议、ssh协议、redis协议，以及自定义协议名的tcp通信协议。

9、在一些实施例中，还包括：

10、在检测到攻击端对所述当前微蜜罐服务进行访问后，若攻击端又进行了进一步的动作，则根据所述当前微蜜罐服务支持的协议类型记录操作日志。

11、在一些实施例中，还包括：

12、设置单线程内微蜜罐服务的最大连接数阈值，在所述客户端受到ddos攻击时，主动断开超限的微蜜罐服务连接。

13、在一些实施例中，所述服务策略还包括微蜜罐服务的下线策略，并在当前微蜜罐服务下线后，关闭并释放当前微蜜罐服务对应的网络及资源。

14、在一些实施例中，还包括：

15、设置预设周期，并按照预设周期对list列表和服务资源进行回收。

16、在本申请的第二方面，提供一种基于单线程多蜜罐服务的网络攻击识别装置，包括：

17、服务策略接收模块，用于响应于接收到的服务器发送的服务策略，对所述服务策略进行解析，确定当前微蜜罐服务的服务类型；

18、微蜜罐服务上线模块，用于上线所述当前微蜜罐服务，将服务信息以service_st结构体缓存在list列表中，并对攻击访问进行检测；

19、事件记录模块，用于响应于检测到攻击端对所述当前微蜜罐服务进行访问，从所述list列表中删除对应网络连接的service_st结构体；

20、微蜜罐服务下线模块，用于当网络连接的空闲时间大于预设阈值或者攻击端主动结束连接，从所述list列表中删除对应网络连接的service_st结构体，下线所述当前微蜜罐服务。

21、在本申请的第三方面，提供了一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。

22、在本申请的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如以上所述的方法。

23、通过本申请的基于单线程多蜜罐服务的网络攻击识别方法，能够帮助用户发现攻击意图，及时采取技术和管理手段阻止黑客攻击，保护企业网络环境的安全。

24、
技术实现要素：
部分中所描述的内容并非旨在限定本申请的实施例的关键或重要特征，亦非用于限制本申请的范围。本申请的其它特征将通过以下的描述变得容易理解。

技术特征：

1.基于单线程多蜜罐服务的网络攻击识别方法，应用于客户端，其特征在于，包括：

2.根据权利要求1所述的攻击识别方法，其特征在于，所述客户端中部署有多个微蜜罐服务，多个微蜜罐服务均运行在一个线程内，通过list列表和epool对服务资源进行缓存和调度。

3.根据权利要求2所述的攻击识别方法，其特征在于，所述多个微蜜罐服务支持不同的协议，包括数据库协议、http协议、ftp协议、ssh协议、redis协议，以及自定义协议名的tcp通信协议。

4.根据权利要求1所述的攻击识别方法，其特征在于，还包括：

5.根据权利要求1所述的攻击识别方法，其特征在于，还包括：

6.根据权利要求1所述的攻击识别方法，其特征在于，所述服务策略还包括微蜜罐服务的下线策略，并在当前微蜜罐服务下线后，关闭并释放当前微蜜罐服务对应的网络及资源。

7.根据权利要求1所述的攻击识别方法，其特征在于，还包括：

8.基于单线程多蜜罐服务的网络攻击识别装置，其特征在于，包括：

9.一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～7中任一项所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1～7中任一项所述的方法。

技术总结
本申请提供了一种基于单线程多蜜罐服务的网络攻击识别方法和装置，属于网络安全技术领域，所述方法包括：响应于接收到的服务器发送的服务策略，对所述服务策略进行解析，确定当前微蜜罐服务的服务类型；上线所述当前微蜜罐服务，将服务信息以service_st结构体缓存在list列表中，并对攻击访问进行检测；响应于检测到攻击端对所述当前微蜜罐服务进行访问，在所述list列表中新增标记网络连接的service_st结构体；当网络连接的空闲时间大于预设阈值或者攻击端主动结束连接，从所述list列表中删除对应网络连接的service_st结构体，下线所述当前微蜜罐服务。以此方式，能够帮助用户发现攻击意图，及时采取技术和管理手段阻止黑客攻击，保护企业网络环境的安全。

技术研发人员：吴一洲,陈希,杜广东,欧阳军,王治
受保护的技术使用者：中国通信服务股份有限公司
技术研发日：
技术公布日：2024/1/15