[发明专利]基于蜜罐系统的风险识别方法及装置

权利要求书

1.一种基于蜜罐系统的风险识别方法，包括：

接收用户发送的访问请求，其中，所述访问请求携带有待识别的互联网协议地址数据包；

根据所述待识别的互联网协议地址数据包，确定待识别的套接字；

确定所述待识别的套接字是否属于预先获取的蜜罐系统内指定的套接字；

当确定所述待识别的套接字属于预先获取的蜜罐系统内指定的套接字时，则识别所述访问请求具有风险。

2.根据权利要求1所述的方法，根据所述待识别的互联网协议地址数据包，确定待识别的套接字，具体包括：

当待识别的互联网协议地址数据包为传输控制协议数据包时，提取所述待识别的互联网协议地址数据包内的同步握手报文；

根据所述同步握手报文，确定待识别的套接字。

3.根据权利要求1所述的方法，当识别所述访问请求具有风险时，所述方法还包括：

记录所述访问请求对应的第一攻击信息，并触发告警。

4.根据权利要求3所述的方法，所述方法还包括：

监听所述待识别的套接字；

当监听到所述待识别的套接字存在指定操作时，阻止该指定操作，记录所述访问请求对应的第二攻击信息，并触发告警。

5.根据权利要求4所述的方法，所述方法还包括：

当所述访问请求的访问时间未超过预设的阈值，则删除所述访问请求对应的第一攻击信息。

6.根据权利要求5所述的方法，当触发告警时，所述方法还包括：

统计所述访问请求对应的第一攻击信息的数量或所述访问请求对应的第二攻击信息的数量；

根据所述访问请求对应的第一攻击信息的数量或所述访问请求对应的第二攻击信息的数量，确定所述访问请求的攻击行为；

根据所述访问请求的攻击行为，制定风险策略。

7.一种基于蜜罐系统的风险识别装置，包括：

接收模块，用于接收用户发送的访问请求，其中，所述访问请求携带有待识别的互联网协议地址数据包；

确定模块，用于根据所述待识别的互联网协议地址数据包，确定待识别的套接字；

识别模块，用于确定所述待识别的套接字是否属于预先获取的蜜罐系统内指定的套接字；

风险模块，用于当所述识别模块确定所述待识别的套接字属于预先获取的蜜罐系统内指定的套接字时，则识别所述访问请求具有风险。

8.根据权利要求7所述的装置，所述确定模块具体用于，当待识别的互联网协议地址数据包为传输控制协议数据包时，提取所述待识别的互联网协议地址数据包内的同步握手报文，根据所述同步握手报文，确定待识别的套接字。

9.根据权利要求7所述的装置，所述装置还包括：

记录模块，用于当所述风险模块识别所述访问请求具有风险时，记录所述访问请求对应的第一攻击信息，并触发告警。

10.根据权利要求9所述的装置，所述装置还包括：

监听模块，用于监听所述待识别的套接字，当监听到所述待识别的套接字存在指定操作时，阻止该指定操作，记录所述访问请求对应的第二攻击信息，并触发告警；

删除模块，用于当所述访问请求的访问时间未超过预设的阈值，则删除所述访问请求对应的第一攻击信息；

策略模块，用于当所述风险识别模块或监听模块触发告警时，统计所述访问请求对应的第一攻击信息的数量或所述访问请求对应的第二攻击信息的数量，根据所述访问请求对应的第一攻击信息的数量或所述访问请求对应的第二攻击信息的数量，确定所述访问请求的攻击行为，根据所述访问请求的攻击行为，制定风险策略。