[发明专利]一种基于蜜罐诱导的攻击感知方法、装置、设备及介质

权利要求书

1.一种基于蜜罐诱导的攻击感知方法，其特征在于，应用于入侵检测系统引擎，所述方法包括：

在数据包被传输至操作系统内核之前，过滤捕获所述数据包以得到第一目标数据包，将所述第一目标数据包输出至用户态进程，所述用户态进程为调用所述入侵检测系统引擎的、并且处于用户态的进程；

在所述用户态进程中确定所述第一目标数据包对应的目标通信诱导策略；

基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包；

将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包，基于预设的解析规则集对所述待解析数据包进行解析，根据解析结果分析攻击行为；

其中，所述基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包，包括：

在所述第一目标数据包的传输协议为传输控制协议并且所述第一目标数据包的标志位为SYN、PSH或FIN的情况下，所述用户态进程生成回复数据包，所述回复数据包用于捕获所述至少一个第二目标数据包；

在所述第一目标数据包的传输协议为传输控制协议并且所述第一目标数据包的标志位为不属于SYN、PSH以及FIN的情况下，将所述第一目标数据包回传至内核态进程；

在所述第一目标数据包的传输协议为用户数据报协议并且所述第一目标数据包指向的端口不存在指纹信息的情况下，将所述第一目标数据包回传至内核态进程。

2.根据权利要求1所述的方法，其特征在于，所述在所述用户态进程中确定所述第一目标数据包对应的目标通信诱导策略，包括：

获取所述第一目标数据包对应的传输协议；

将所述传输协议对应的目标诱导策略确定为目标通信诱导策略。

3.根据权利要求2所述的方法，其特征在于，若所述传输协议为传输控制协议，则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包，还包括：

获取第一目标数据包中报文头部的标志位；

根据所述标志位生成回复数据包；

将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。

4.根据权利要求3所述的方法，其特征在于，所述根据所述标志位生成回复数据包，包括：

若所述标志位为SYN，则根据三次握手过程生成标志位为ACK的数据包和标志位为SYN的数据包，将所述标志位为ACK的数据包和标志位为SYN的数据包作为回复数据包；

若所述标志位为PSH，则获取所述第一目标数据包指向的端口，判断所述端口是否存在对应的指纹信息，若存在，则根据所述指纹信息生成回复数据包；若不存在，直接生成标志为ACK的确认数据包；

若所述标志位为FIN，则根据四次挥手过程生成标志位为ACK的数据包和标志位为FIN的数据包，将所述标志位为ACK的数据包和标志位为FIN的数据包作为回复数据包。

5.根据权利要求2所述的方法，其特征在于，若所述传输协议为用户数据报协议，则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包，还包括：

解析第一目标数据包以得到所述第一目标数据包指向的端口；

判断所述端口是否存在对应的指纹信息，若存在，则根据所述指纹信息生成回复数据包；

将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。

6.根据权利要求1所述的方法，其特征在于，所述基于预设的解析规则集对所述待解析数据包进行解析，根据解析结果分析攻击行为，包括：

获取待解析数据包的传输协议；

在预设的规则组集中获取所述传输协议对应的规则组，所述规则组包括规则和标签；

基于所述规则组对所述待解析数据包进行解析，以得到所述待解析数据包与所述规则组中各个规则的匹配结果；

根据所述匹配结果为所述待解析数据包增加标签。