[发明专利]基于攻击行为分析的蜜罐弱口令自适应匹配方法及系统

权利要求书

1.一种基于攻击行为分析的蜜罐弱口令自适应匹配方法，其特征在于，包括如下步骤：

S01.蜜罐将采集到的登陆口令数据完整传输至数据分析系统；

S02.数据分析系统对采集到的登陆口令进行判定，获得判定结果；

所述S02步骤中判定条件包括：

S0211.数据分析系统判定攻击者的攻击时间是否满足设定时间范围；

S0212.数据分析系统判定登陆口令的账号符合度是否满足设定要求；

S0213.数据分析系统判定登陆口令的密码长度是否满足设定长度范围；

S0214.数据分析系统判定登陆口令的尝试次数是否满足设定的次数；

其中，所述S0211步骤中具体判定方法为：当攻击者的攻击时间若满足设定时间范围时，进入步骤S0212；若不满足时，则舍弃当前的登陆口令，重新判定下一个采集的登陆口令数据或使蜜罐重新诱捕下一名攻击者；

所述S0212步骤中具体判定方法为：当登陆口令的账号符合度若满足设定要求时，进入步骤S0213；若不满足时，则舍弃当前的登陆口令，重新判定下一个采集的登陆口令数据或使蜜罐重新诱捕下一名攻击者；

所述S0213步骤中具体判定方法为：当登陆口令的密码长度若满足设定长度范围时，进入步骤S0214；若不满足时，则舍弃当前的登陆口令，重新判定下一个采集的登陆口令数据或使蜜罐重新诱捕下一名攻击者；

所述S0214步骤中具体判定方法为：当登陆口令的尝试次数若满足设定的次数时，进入步骤S03；若不满足时，则舍弃当前的登陆口令，重新判定下一个采集的登陆口令数据或使蜜罐重新诱捕下一名攻击者；

S03.数据分析系统将判定结果输入弱口令数据库进行匹配，并将匹配结果和分析判定结果输出至蜜罐控制系统；弱口令数据库首先判断数据库中是否已存在当前登陆口令，若存在，则蜜罐控制系统调用已存在的登陆口令，下发相应策略脚本；若不存在，则将当前登陆口令保存在弱口令数据库中，且蜜罐控制系统调用保存后的登陆口令；

S04.蜜罐控制系统调用弱口令数据库的口令，并下发对应的弱口令变更策略脚本至蜜罐；

S05.蜜罐运行对应的弱口令变更策略脚本，更换登陆口令：蜜罐接收到对应弱口令变更策略脚本时，蜜罐自动执行脚本内程序，将蜜罐预设的弱口令，修改为与攻击者输入的登陆口令一致的弱口令。

2.一种基于攻击行为分析的蜜罐弱口令自适应匹配系统，用于实现如权利要求1所述的蜜罐弱口令自适应匹配方法，其特征在于，包括：

蜜罐模块，具备易被利用的服务端口和弱口令登陆的伪装操作系统和业务应用；

数据分析模块，用于对蜜罐模块采集的行为数据进行分析，并将与弱口令数据库的账号密码进行匹配的结果进行输出；

弱口令数据库模块，用于存储蜜罐预置的账号密码，以及输入数据分析模块分析后攻击者的账号密码；

蜜罐控制模块，可根据数据分析模块输入的结果，下发给蜜罐模块策略脚本，实现蜜罐模块弱口令的更换。