[发明专利]一种对多个攻击行为检测的方法、装置及系统

权利要求书

1.一种对多个攻击行为信息获取的方法，其特征在于，包括：

接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息；

通过第一端口将攻击者流量信息转发给蜜罐，并通过第二端口将攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存，蜜罐根据暂存的攻击者标识信息与第一端口的映射关系，将流量解析结果发送给系统服务模块。

2.如权利要求1所述的一种对多个攻击行为检测的方法，其特征在于，所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之前，包括：

需判断攻击者攻击事件是否建立连接，如果建立连接，则根据攻击者信息创建与之对应的攻击者标识信息。

3.如权利要求1所述的一种对多个攻击行为检测的方法，其特征在于，所述接收至少一个攻击者信息、攻击者流量信息及根据攻击者信息创建的对应的攻击者标识信息之后，包括：

系统服务模块根据攻击者标识信息创建一个未结束的攻击时间流，等待后续攻击事件的上报。

4.如权利要求1所述的一种对多个攻击行为检测的方法，其特征在于，所述通过第一端口将攻击者流量信息转发给蜜罐，包括：

选择一个可用的第一端口并根据攻击者标识信息创建代理转发进程，将攻击者流量转发到蜜罐，所述攻击者标识信息会存储在进程的内存中。

5.如权利要求1所述的一种对多个攻击行为检测的方法，其特征在于，所述蜜罐根据暂存的攻击者标识信息与第一端口的映射关系，将流量解析结果发送给系统服务模块之前，包括：

蜜罐运行仿真服务，持续给予攻击者反馈，同时通过内置的流量解析引擎，将攻击者流量解析成需要的特定形式。

6.如权利要求1所述的一种对多个攻击行为检测的方法，其特征在于，所述蜜罐根据暂存的攻击者标识信息与第一端口的映射关系，将流量解析结果发送给系统服务模块之后，包括：

接收攻击者断开连接信息，并通知蜜罐清除攻击者标识信息与第一端口的映射关系。

7.如权利要求6所述的一种对多个攻击行为检测的方法，其特征在于，所述接收攻击者断开连接信息之后，包括：

系统服务模块将攻击事件加入到攻击时间流末尾，并将攻击事件标注为结束。

8.一种对多个攻击行为信息获取的装置，其特征在于，包括：

接收模块，用于接收攻击者信息、攻击者流量信息及根据攻击者信息创建的多个对应的攻击者标识信息；

转发模块，用于通过第一端口将攻击者流量信息转发给蜜罐，并通过第二端口将其中一个攻击者标识信息与第一端口的映射关系发送至蜜罐并进行暂存，蜜罐根据暂存的攻击者标识信息与第一端口的映射关系，将流量解析结果发送给系统服务模块。

9.一种对多个攻击行为检测的系统，其特征在于，包括：

探针模块，用于获取攻击者信息和攻击者流量并负责记录攻击者信息；

消息处理模块，用于负责处理探针模块与蜜罐之间的消息，用于判断连接状态、上报连接建立/断开事件；

系统服务模块，用于整合和存储攻击日志的数据，并用于创建攻击者标识信息；

蜜罐，用于实际运行伪装服务并给予攻击者反馈，解析攻击流量，上报具体的攻击事件并暂存攻击者标识信息。