针对攻击行为的多蜜罐防御方法、装置及应用与流程

本发明涉及信息安全，尤其涉及针对攻击行为的多蜜罐防御方法。

背景技术：

1、在网络安全领域里，人们就把欺骗攻击方的诱饵称为“蜜罐”。

2、蜜罐是通过布设虚假资源来引诱攻击方采取行动，从而发现攻击与收集攻击信息，作为一种诱饵，用以引诱黑客前来攻击，并收集黑客相关的证据和信息。其优势在于，蜜罐通常可以实现对攻击方的主动诱捕，能够详细地记录攻击方攻击过程中的许多痕迹，可以收集到大量有价值的数据，如病毒或蠕虫的源码、黑客的操作等，从而便于提供丰富的溯源数据。

3、而一个成功的蜜罐往往会伪装成很有诱惑力的系统，攻击方进入以后，可能会获取他们想要的重要数据。从攻击方进入的一瞬间开始，他们的所作所为都将被蜜罐完整记录下来，并成为防守方手中的重要信息。而且，蜜罐里的业务并不是真实的，攻击方将在蜜罐中白忙活一场，什么都得不到。

4、因此，蜜罐实质上是一台无人使用但却被严密监控的网络主机，所述蜜罐里包含着各类虚假的高价值资源和一些已知漏洞，以此吸引入侵者来入侵该主机。并且在被入侵的过程中，实时记录和审计入侵者的所有入侵攻击流量、行为和数据，以此了解入侵者的攻击方式、手段和目的，便于后期快速完成对其的溯源和取证工作。

5、然而，在实际操作中，蜜罐技术通过部署一些作为诱饵的主机，并散布一些虚假信息，诱导攻击方对诱饵主机进行攻击。但由于蜜罐系统中诱饵主机本身会直接暴露在攻击方面前，诱饵主机的安全性问题关系到整个网络系统的安全性。一旦诱饵主机失陷，就很有可能会成为攻击方的跳板，反而危害实际的网络安全。

6、基于此，本发明提出了一种针对攻击行为的多蜜罐防御方法、装置及应用，通过设置蜜罐来引诱网络中的攻击方进行访问，并对攻击方的攻击行为进行逐步分析，从而为网络匹配适当的蜜罐部署来保障网络节点的信息安全，是当前亟需解决的技术问题。

技术实现思路

1、本发明的目的在于：克服现有技术的不足，提供一种针对攻击行为的多蜜罐防御方法、装置及应用，本发明能够通过设置蜜罐来引诱网络中的攻击方进行访问，并对攻击方的攻击行为进行逐步分析，从而为网络匹配适当的蜜罐部署来保障网络节点的信息安全。

2、为解决现有的技术问题，本发明提供了如下技术方案：

3、一种针对攻击行为的多蜜罐防御方法，包括：

4、在网络中设置至少一个具有交互功能的蜜罐；所述蜜罐能够引诱攻击方访问，并记录前述攻击方的操作信息；

5、从前述操作信息中得到攻击方的第一攻击行为信息，对前述第一攻击行为信息进行分析，以获得第二攻击行为信息；所述第一攻击行为信息用以归纳前述攻击方的攻击行为；所述第二攻击行为信息用于评估前述攻击方的攻击行为；

6、基于前述第二攻击行为信息的评估结果，判断前述攻击方的攻击行为是否会攻破前述蜜罐；

7、判定为是时，部署新蜜罐，用来阻却前述攻击方的攻击行为对网络安全的威胁。

8、进一步，所述蜜罐根据交互程度分为低交互蜜罐、中交互蜜罐和高交互蜜罐。

9、进一步，所述第一攻击行为信息是对前述操作信息中体现的攻击行为进行归纳后的总结信息；所述第二攻击行为信息能够确定当前蜜罐处在攻击方的哪一攻击阶段的哪一操作步骤。

10、进一步，在对前述第一攻击行为信息进行分析时，所述分析用以确定前述攻击方旨在获得的对象主体，所述对象主体包括对网络节点的控制权限、网络节点下的数据信息，用户身份以及该用户的访问操作权限。

11、进一步，所述分析具体包括步骤：获取来自于前述攻击方的至少一个第一攻击行为信息；结合与前述第一攻击行为信息相关的攻击方的攻击特征，和基于时序的攻击方的操作信息，梳理前述攻击方进行攻击的操作步骤；根据前述操作步骤，确定前述第一攻击行为信息下攻击方所处的操作步骤和攻击阶段；对应着前述操作步骤和攻击阶段，对应得到第二攻击行为信息。

12、进一步，在部署新蜜罐时，所述新蜜罐能够基于前述蜜罐中设置的网络漏洞以及攻击方攻击针对的漏洞类型进行设置。

13、进一步，所述新蜜罐为容器化蜜罐。

14、一种针对攻击行为的多蜜罐防御装置，包括结构：

15、蜜罐设置单元，用以在网络中设置至少一个具有交互功能的蜜罐；所述蜜罐能够引诱攻击方访问，并记录前述攻击方的操作信息；

16、信息获取单元，用以从前述操作信息中得到攻击方的第一攻击行为信息，对前述第一攻击行为信息进行分析，以获得第二攻击行为信息；所述第一攻击行为信息用以归纳前述攻击方的攻击行为；所述第二攻击行为信息用于评估前述攻击方的攻击行为；

17、信息判断单元，用以基于前述第二攻击行为信息的评估结果，判断前述攻击方的攻击行为是否会攻破前述蜜罐；

18、信息处理单元，用以判定为否时，部署新蜜罐，用来阻却前述攻击方的攻击行为对网络安全的威胁。

19、一种针对攻击行为的多蜜罐防御系统，包括：

20、网络节点，用于收发网络中的数据信息；

21、蜜罐安全模块，用于在网络中设置至少一个具有交互功能的蜜罐，来保护网络安全；

22、系统服务器，所述系统服务器连接网络节点和蜜罐安全模块；

23、所述的系统服务器被配置为:在网络中设置至少一个具有交互功能的蜜罐；所述蜜罐能够引诱攻击方访问，并记录前述攻击方的操作信息；从前述操作信息中得到攻击方的第一攻击行为信息，对前述第一攻击行为信息进行分析，以获得第二攻击行为信息；所述第一攻击行为信息用以归纳前述攻击方的攻击行为；所述第二攻击行为信息用于评估前述攻击方的攻击行为；基于前述第二攻击行为信息的评估结果，判断前述攻击方的攻击行为是否会攻破前述蜜罐；判定为是时，部署新蜜罐，用来阻却前述攻击方的攻击行为对网络安全的威胁。

24、一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述针对攻击行为的多蜜罐防御方法步骤。

25、基于上述优点和积极效果，本发明的优势在于：通过设置蜜罐来引诱网络中的攻击方进行访问，并对攻击方的攻击行为进行逐步分析，从而为网络匹配适当的蜜罐部署来保障网络节点的信息安全。

26、进一步，当蜜罐不足以保障网络节点的信息安全时，部署新蜜罐来保障网络节点的信息安全。

技术特征：

1.一种针对攻击行为的多蜜罐防御方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述蜜罐根据交互程度分为低交互蜜罐、中交互蜜罐和高交互蜜罐。

3.根据权利要求1所述的方法，其特征在于，所述第一攻击行为信息是对前述操作信息中体现的攻击行为进行归纳后的总结信息；所述第二攻击行为信息能够确定当前蜜罐处在攻击方的哪一攻击阶段的哪一操作步骤。

4.根据权利要求1所述的方法，其特征在于，在对前述第一攻击行为信息进行分析时，所述分析用以确定前述攻击方旨在获得的对象主体，所述对象主体包括对网络节点的控制权限、网络节点下的数据信息，用户身份以及该用户的访问操作权限。

5.根据权利要求4所述的方法，其特征在于，所述分析具体包括步骤：

6.根据权利要求1所述的方法，其特征在于，在部署新蜜罐时，所述新蜜罐能够基于前述蜜罐中设置的网络漏洞以及攻击方攻击针对的漏洞类型进行设置。

7.根据权利要求6所述的方法，其特征在于，所述新蜜罐为容器化蜜罐。

8.一种根据权利要求1-7中任一项所述方法的针对攻击行为的多蜜罐防御装置，其特征在于，包括结构：

9.一种根据权利要求1-7中任一项所述方法的针对攻击行为的多蜜罐防御系统，其特征在于包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法。

技术总结
本发明提供了一种针对攻击行为的多蜜罐防御方法、装置及应用，涉及信息安全技术领域。所述方法包括步骤：在网络中设置至少一个具有交互功能的蜜罐；所述蜜罐能够引诱攻击方访问，并记录前述攻击方的操作信息；从前述操作信息中得到攻击方的第一攻击行为信息，对前述第一攻击行为信息进行分析，以获得第二攻击行为信息；基于前述第二攻击行为信息的评估结果，判断前述攻击方的攻击行为是否会攻破前述蜜罐；判定为是时，部署新蜜罐，用来阻却攻击方的攻击行为对网络安全的威胁。本发明通过设置蜜罐来引诱网络中的攻击方进行访问，并对攻击方的攻击行为进行逐步分析，从而为网络匹配适当的蜜罐部署来保障网络节点的信息安全。

技术研发人员：杨腾霄,吴选勇
受保护的技术使用者：上海纽盾科技股份有限公司
技术研发日：
技术公布日：2024/3/27