[发明专利]基于蜜罐系统的风险识别方法及装置在审
| 申请号: | 202110958802.3 | 申请日: | 2021-08-20 |
| 公开(公告)号: | CN113709130A | 公开(公告)日: | 2021-11-26 |
| 发明(设计)人: | 汪德嘉;刘春雨;周赵瑜 | 申请(专利权)人: | 江苏通付盾科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 215000 江苏省苏州市中国(江苏)自由贸易试*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 蜜罐 系统 风险 识别 方法 装置 | ||
本发明公开了一种基于蜜罐系统的风险识别方法及装置,该方法包括:接收用户发送的携带有待识别的互联网协议地址数据包的访问请求,根据所述待识别的互联网协议地址数据包,确定待识别的套接字,确定待识别的套接字是否属于预先获取的蜜罐系统内指定的套接字,当确定所述待识别的套接字属于预先获取的蜜罐系统内指定的套接字时,则识别所述访问请求具有风险。利用上述发明,通过将用户发送的套接字跟预先获取的蜜罐系统内指定的套接字比对,只要用户发送的套接字属于预先获取的蜜罐系统内指定的套接字,不管用户发送的访问请求是否产生恶意进程,均会被识别出具有风险。
技术领域
本发明涉及计算机技术领域,具体涉及一种基于蜜罐系统的风险识别方法及装置、服务器、存储介质。
背景技术
目前,处于企业网络环境内的服务器经常受到黑客的恶意攻击,虽然可以通过防火墙和杀毒软件抵御一部分黑客恶意的网络攻击行为,但是黑客的攻击手段不断更新,比如,黑客会通过携带有病毒的优盘绕过防火墙进入企业内网感染数台甚至上百台机器,这些病毒具有隐蔽性,传染性,盗取数据库资料,盗取公司机密文件等敏感信息。
在实际应用中,为了能够更有效的打击黑客的恶意攻击,蜜罐系统被越来越多的企业部署在企业内网中,蜜罐系统是一种模拟真实软件环境,提供虚假数据,欺骗攻击者的人造系统,诱导恶意软件去攻击,使得攻击者迷失方向,陷入蜜罐包围圈不能自拔。
现有的蜜罐系统技术,主要是从当前运行的所有进程中筛选出不可信进程,向不可信进程注入钩子函数,获取不可信进程的调用函数记录和函数执行记录,遍历所获取的调用函数记录和函数执行记录,识别不可信进程是否存在风险。
但是,由于在实际应用中,有些网络攻击行为并没有产生恶意进程,因此,现有的蜜罐系统技术就无法识别出这些没有产生恶意进程的网络攻击,从而造成企业的服务器受到威胁。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于蜜罐系统的风险识别方法及装置、服务器、存储介质。
根据本发明的一个方面,一种基于蜜罐系统的风险识别方法,所述方法包括:
接收用户发送的访问请求,其中,所述访问请求携带有待识别的互联网协议地址数据包;
根据所述待识别的互联网协议地址数据包,确定待识别的套接字;
确定所述待识别的套接字是否属于预先获取的蜜罐系统内指定的套接字;
当确定所述待识别的套接字属于预先获取的蜜罐系统内指定的套接字时,则识别所述访问请求具有风险。
根据本发明的另一方面,提供了一种基于蜜罐系统的风险识别装置,所述装置包括:
接收模块,用于接收用户发送的访问请求,其中,所述访问请求携带有待识别的互联网协议地址数据包;
确定模块,用于根据所述待识别的互联网协议地址数据包,确定待识别的套接字;
识别模块,用于确定所述待识别的套接字是否属于预先获取的蜜罐系统内指定的套接字;
风险模块,用于当所述识别模块确定所述待识别的套接字属于预先获取的蜜罐系统内指定的套接字时,则识别所述访问请求具有风险。
根据本发明的另一方面,提供了一种服务器,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行以下操作:
接收用户发送的访问请求,其中,所述访问请求携带有待识别的互联网协议地址数据包;
根据所述待识别的互联网协议地址数据包,确定待识别的套接字;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于江苏通付盾科技有限公司,未经江苏通付盾科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110958802.3/2.html,转载请声明来源钻瓜专利网。
