[发明专利]一种内生安全WAF蜜罐部署方法

权利要求书

1.一种内生安全WAF蜜罐部署方法，其特征在于，该方法包括以下步骤：

(1)搭建蜜罐终端，在终端上部署数据库、蜜罐程序以及攻击指纹识别程序，并实现以下步骤：

(1.1)检测蜜罐状态，包含蜜罐是否正常运行，所处环境，以及其它功能是否正常运行；

(1.2)检测端口扫描：对内网中常用的端口连接请求进行检测；

(1.3)检测暴力破解：对暴力破解各个服务登录认证的行为进行检测；

(1.4)匹配攻击指纹：识别攻击者所使用的工具；

(1.5)检测攻击手段；

(1.6)整合步骤(1.1)～(1.5)检测得到的各个攻击数据并进行集中存储，并将各个数据转发至预警服务器处；

(2)搭建预警服务器，部署数据库、Web服务、运行环境，并实现以下步骤：

(2.1)接受蜜罐终端传输的数据并存储数据；

(2.2)对数据进行相应分析处理并判断攻击行为，得到不同的攻击者以及攻击方式；

其中，对于收集到的攻击数据，每条数据赋予相应标签，标签包含攻击者身份、攻击目标和攻击手段；对于每条攻击数据，A表示攻击者，S表示一条攻击数据抽象后的0/1数值序列，T表示攻击序列的某一位，若当前位表示的攻击行为与攻击数据里的攻击行为匹配的话，对应位标为1，没有匹配的话标为0，M代表攻击格式，n代表标签的特征总数，也是攻击者的攻击序列总数；攻击序列S_A＝T₁T₂T₃...T_n；对于相同攻击者发出的多条攻击，若攻击者A有n条攻击序列，则攻击者A的攻击格式M_A＝S_A,1|S_A,2|S_A,3...|S_A,n，其中|为按位或运算；攻击格式相似算法为以此来判断攻击方是否为同一个或同一类人；其中，M_A1,M_A2表示攻击方A1、A2的攻击格式，k为攻击格式M_A1,M_A2对应位都标为1的总数；如果s大于相似阈值时，表示攻击方A1、A2为同一个或同一类；

(2.3)发送告警信息给用户，提示用户有攻击者攻击，并传递相应攻击数据。

2.如权利要求1所述内生安全WAF蜜罐部署方法，其特征在于，所述蜜罐终端上部署MongoDB数据库，Dionaea蜜罐程序以及P0f攻击指纹识别程序。

3.如权利要求1所述内生安全WAF蜜罐部署方法，其特征在于，所述预警服务器上部署MongoDB数据库、Apache Web服务、PHP运行环境和MySQL数据库。