[发明专利]一种蜜罐系统的高交互溯源方法、装备及硬件

说明书

本申请公开了一种蜜罐系统的高交互溯源方法、装备及硬件，可以检测入侵设备的访问。方法包括：若检测到入侵设备非法访问，获取所述入侵设备的访问行为特征；然后，根据所述访问行为特征，确定目标蜜标；紧接着，根据所述目标蜜标，生成诱导文件，以便所述入侵设备响应于诱导文件返回设备信息；再紧接着，根据所述设备信息，确定所述入侵设备的用户信息。根据访问行为特征来确定目标蜜标，交互性强以及针对性强，能有效帮助目标设备获得入侵设备的用户信息，为研究网络非法入侵提供了真实数据，可帮助防止网络非法访问，提高网络信息安全。

技术领域

本申请属于网络信息安全技术研究领域，特别涉及一种蜜罐系统的高交互溯源方法、一种蜜罐系统的高交互溯源装备及硬件。

背景技术

现在是互联网时代，网络联网覆盖率70.4％，但是网络的安全问题异日突出，现在的网络安全技术不能瞒足快速发展的互联网，网络信息安全问题堪忧。现有的蜜罐技术是一种欺骗性防御技术，它通过诱骗入侵设备进行攻击，从而监视和跟踪入侵设备的行为并以日志形式记录，然后借助一定的工具进行分析，知晓入侵设备的工具、策略和方法，从而相应的采取措施进行防御，实现防御能力的提升。

蜜罐可通过场景的仿真，拦截入侵设备对系统开展攻击行为前采取的试探性信息，阻止入侵设备访问真实系统。根据1999年Lance Spitzne等人对蜜罐的定义，蜜罐具备被扫描、被攻击和被攻陷三个过程，利用该特性收集攻击数据、提高系统攻击难度以及被攻陷后根据部署信息对后续系统进行调整。作为一种防御技术，蜜罐主要用于模拟真实系统的漏洞，从而吸引入侵设备攻击行为。蜜罐技术在一定的程度上实现和增强网络信息的安全。但现有的蜜罐在支持开展攻击溯源方面存在诸多不足，其蜜标单一，不能根据访问行为特征动态获取匹配的蜜标，针对性不强。

发明内容

为了解决所述现有技术的不足，本申请提供了一种蜜罐系统的高交互溯源方法，根据入侵设备的访问行为特征去确定目标蜜标，交互性强和针对性强，能有效帮助获得入侵设备的用户信息，为研究网络非法入侵提供了数据，可帮助防止网络非法访问，提高网络信息安全。

第一方面，本申请提供了一种蜜罐系统的高交互溯源方法，所述方法应用于目标设备，所述方法包括：

若检测到入侵设备非法访问，获取所述入侵设备的访问行为特征；

根据所述访问行为特征，确定目标蜜标；

根据所述目标蜜标，生成诱导文件，以便所述入侵设备响应于诱导文件返回设备信息；

根据所述设备信息，确定所述入侵设备的用户信息。

可选地，所述若检测到入侵设备非法访问，获取所述入侵设备的访问行为特征，包括：

根据所述目标设备的运行系统漏洞，确定目标蜜罐；

若检测到所述入侵设备非法访问，响应于非法访问利用所述目标蜜罐引导所述入侵设备对所述目标蜜罐进行访问，以获取所述入侵设备的访问行为特征。

可选地，所述根据所述访问行为特征，确定目标蜜标，包括：

根据所述访问行为特征，确定访问方式和访问位置；

根据所述访问方式和访问位置，确定访问文件；

根据所述访问文件，确定目标蜜标。

可选地，所述根据所述目标蜜标，生产诱导文件，以便所述入侵设备响应于诱导文件返回设备信息，包括：

根据所述目标蜜标，生成所述诱导文件；

确定所述诱导文件放置的目标位置；

利用所述目标位置，将所述诱导文件传输给所述入侵设备，以便所述入侵设备响应于所述诱导文件返回所述设备信息。