[发明专利]基于攻击行为分析的蜜罐服务端口自适应应用方法及系统

权利要求书

1.一种基于攻击行为分析的蜜罐服务端口自适应应用方法，其特征在于，包括如下步骤：

S01.蜜罐系统诱捕攻击者进行持续攻击，不同的攻击者具有不同的攻击目的和目标应用端口；

S02.蜜罐系统收集并传输攻击者行为数据，至蜜罐系统数据分析端；

S03.蜜罐系统数据分析端根据判定条件对采集到的攻击者行为数据进行判定，

步骤S03中判定方法为将每个服务端口中设定的判定项1、判定项2、判定项3、判定项4与攻击行为数据进行比对，依次根据判断条件进行判定：

所述判定项1为攻击行为数据中服务端口被利用的时间段是否在规定时间内，满足则进入判定项2；

所述判定项2为攻击行为数据中服务端口被利用的时间段数量是否满足规定的数量，满足则进入判定项3；

所述判定项3为攻击行为数据中服务端口是否满足规定的利用次数，满足则进入判定项4；

所述判定项4为攻击行为数据中利用该端口的攻击源数量是否满足规定的数量，满足则进入步骤S04，

S04.蜜罐系统数据分析端将分析判定结果输出至蜜罐系统控制端，蜜罐系统控制端根据分析判定结果下发对应的服务端口应用策略脚本，实现特定蜜罐系统服务端口的开启和关闭，

其中，蜜罐系统控制端下发服务端口应用策略脚本的具体方法为：所述判定项依次满足条件后，将判定结果输出给蜜罐系统控制端，控制端下发持续开放的策略脚本；所述判定项中一项或多项条件不满足，则将判定结果输出控制端，控制端下发关闭该端口的策略脚本；

S05.蜜罐系统自动运行策略脚本，实现特定服务端口的持续开启或立即关闭；

S06.蜜罐系统持续采集攻击者行为数据进行分析，并进行循环判定，实现服务端口的自适应性应用。

2.一种基于攻击行为分析的蜜罐服务端口自适应应用系统，其特征在于，所述系统采用上述权利要求1所述的蜜罐服务端口自适应应用方法，所述系统包括：

蜜罐系统单元，具备可被利用的漏洞和服务端口的仿真业务应用主机系统，具备多个常见主流应用服务端口；

攻击者单元，作为特定业务区域的攻击者，会被蜜罐系统诱捕，主动发动持续攻击行为；

蜜罐系统数据分析端，对蜜罐系统采集的行为数据进行分析和判定评估，并输出结果；

蜜罐系统控制端，根据输出结果，下发对应的策略脚本给蜜罐系统，实现特定端口的自动化开启和关闭。

3.根据权利要求2所述的基于攻击行为分析的蜜罐服务端口自适应应用系统，其特征为：所述常见主流应用服务端口包括端口号范围为0-65535内的TCP或UDP端口。