蜜罐攻击检测方法、装置、设备及介质

技术领域

本公开涉及网络安全技术领域，尤其涉及一种蜜罐攻击检测方法、装置、设备及介质。

背景技术

随着网络通信技术的不断发展，为了保证网络安全，可以通过部署蜜罐模拟真实的设备和操作环境，引诱外来访问，并判断是否是攻击者以及进行攻击行为的分析。相关技术中，蜜罐检测技术存在以下缺陷：对攻击者的检测结果的有效性和可信度较低、检测能力较低并且维护成本较高。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种蜜罐攻击检测方法、装置、设备及介质。

本公开实施例提供了一种蜜罐攻击检测方法，包括：

获取多个蜜罐所收集的攻击数据；

将所述攻击数据输入攻击检测模型中，得到攻击结果；

基于所述攻击数据和所述攻击结果发送告警信息。

本公开实施例还提供了一种蜜罐攻击检测装置，包括：

获取模块，用于获取多个蜜罐所收集的攻击数据；

检测模块，用于将所述攻击数据输入攻击检测模型中，得到攻击结果；

发送模块，用于基于所述攻击数据和所述攻击结果发送告警信息。

本公开实施例还提供了一种电子设备，所述电子设备包括：处理器；用于存储所述处理器可执行指令的存储器；所述处理器，用于从所述存储器中读取所述可执行指令，并执行所述指令以实现如本公开实施例提供的蜜罐攻击检测方法。

本公开实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行如本公开实施例提供的蜜罐攻击检测方法。

本公开实施例提供的技术方案与现有技术相比具有如下优点：本公开实施例中提供的蜜罐攻击检测方案，该方法包括：获取多个蜜罐所收集的攻击数据；将攻击数据输入攻击检测模型中，得到攻击结果；基于攻击数据和攻击结果发送告警信息。采用上述技术方案，通过预先训练的攻击检测模型对蜜罐收集的攻击数据进行检测，统一了攻击数据的检测标准，实现了攻击数据的标准自动化检测，提高了攻击结果的有效性以及可信度，并且相较于以人工进行检测的方式，该种自动化的方式的检测能力更强，进行后续维护所消耗的成本也更低。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的一种蜜罐攻击检测方法的流程示意图；

图2为本公开实施例提供的一种蜜罐攻击检测装置的结构示意图；

图3为本公开实施例提供的一种电子设备的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

随着网络通信技术的不断发展，为了保证网络安全，可以通过部署蜜罐模拟真实的设备和操作环境，引诱外来访问，并根据蜜罐收集的数据，以人工判断是否是攻击者并进行攻击行为的分析。

相关技术中，攻击者通过指纹识别、时间分析、资源分析、异常行为分析等方法，能够可以识别蜜罐，进而绕过蜜罐的引诱，使得攻击者检测的有效性和可信度较低。

并且，攻击者通过对抗样本、变形攻击、隐蔽攻击等方法，能够在被蜜罐引诱的情况下，欺骗和逃离蜜罐的监控以及分析。因而，通过人工难以对较为复杂的攻击者的行为、数据等进行分析。

可见，蜜罐检测技术中，需要大量的人力资源进行开发维度，其开发维护的成本较高。

为了解决上述问题，本公开实施例提供了一种蜜罐攻击检测方法，下面结合具体的实施例对该方法进行介绍。

图1为本公开实施例提供的一种蜜罐攻击检测方法的流程示意图，该蜜罐攻击检测方法可以应用于蜜罐攻击检测装置。该蜜罐攻击检测装置可以采用软件和/或硬件实现，该蜜罐攻击检测装置一般可集成在电子设备中。如图1所示，该蜜罐攻击检测方法包括：

步骤101，获取多个蜜罐所收集的攻击数据。

其中，蜜罐可以为网络安全领域中的一种安全防御工具。该蜜罐可以对真实的程序对象进行模拟，该蜜罐可以对程序对象的网络接口、功能等进行模拟，提供相应的网络接口、功能等。本实施例对该程序对象的类型不做限制，例如，该程序对象可以为操作系统、系统服务、网络(Web)应用等。

该蜜罐可以留有弱口令等缺陷，进而蜜罐可以作为虚假目标，诱使攻击者对蜜罐发起攻击，在攻击的过程中，攻击者与蜜罐进行交互，进而蜜罐能够收集攻击者的攻击行为、攻击策略等信息。其中，攻击者可以为发起网络攻击的设备端。本实施例对该蜜罐的类型不做限制，例如，该蜜罐可以为高交互蜜罐(High-interaction honeypots)，高交互蜜罐可以为攻击者提供一个真实的、可以进行交互的系统。与低交互蜜罐相比，高交互蜜罐能够提供更加真实且、具吸引力的目标，以引诱攻击者发起深入交互，进而获取更详细的攻击数据。

攻击数据可以为蜜罐与数据交互端的交互数据。由于蜜罐对攻击的检测存在偏差，可能将未进行攻击的数据交互端识别为攻击者。因而该攻击数据可以包括发生攻击的交互数据，以及由于检测偏差误识别为攻击的交互数据。本实施例中对该攻击数据的类型不做限制，例如，该攻击数据可以包括原始的交互数据，和/或，对原始的交互数据进行处理获得的处理数据。其中，处理数据可以包括：攻击行为数据和/或攻击特征数据。

一种可选的实施方式中，攻击数据包括以下至少一种：攻击类型、攻击频率、攻击源、攻击目标和攻击工具。其中，攻击类型可以为记录攻击所属分类的数据。攻击频率可以为记录攻击发生的频繁程度的数据。攻击源可以为记录发起攻击的攻击者的数据。攻击目标可以为记录被攻击者的数据。攻击工具可以为攻击者对蜜罐进行攻击所采用的网络攻击工具。

在本公开实施例中，预先设置的网络检测工具可以对蜜罐的网络数据进行监控和分析，并产生攻击数据。蜜罐攻击检测装置通过信息中间件获取该攻击数据。其中，网络检测工具可以为对网络数据进行初步分析的工具。例如，该网络检测工具可以为入侵处理系统中的检测引擎。本实施例对该入侵处理系统不做限制，例如，该入侵处理系统可以包括入侵防御系统(Intrusion Prevention System，IPS)、入侵检测系统(intrusion detectionsystem、IDS)、网络安全监控中的一种。举例而言，该网络检测工具可以为Suricata工具。信息中间件可以为Kafka中间件。

需要说明的是，即使攻击者通过指纹识别、时间分析、资源分析、异常行为分析等方法，识别并绕过了蜜罐，该攻击者和蜜罐之间也进行了数据交互，该种情况下，会产生与该攻击者对应的攻击数据。类似的，即使攻击者通过对抗样本、变形攻击、隐蔽攻击等方法，能够在被蜜罐引诱的情况下，欺骗和逃离蜜罐的处理，该攻击者仍然和蜜罐之间进行了数据交互，该种情况下，仍会产生与该攻击者对应的攻击数据。并且，上述攻击者绕过蜜罐、攻击者欺骗和逃离蜜罐处理的情况，也为攻击者对蜜罐进行攻击。

步骤102，将攻击数据输入攻击检测模型中，得到攻击结果。

其中，攻击检测模型可以为能够对攻击数据进行结果分析的神经网络模型，该攻击检测模型可以判断攻击数据中记录的数据交互是否为发生攻击所记录的交互数据。该攻击检测模型也可以理解为用于对攻击数据进行进一步分析的神经网络模型。

该攻击检测模型可以为对初始模型进行训练获得的模型，本实施例对该初始模型不做限制。例如，该初始模型可以为深度神经网络，深度神经网络可以为具有两层或两层以上隐藏层的神经网络，深度神经网络能够进行复杂非线性的建模，并且数量较多的层提供了更高的抽象能力。该深度神经网络可以包括前馈神经网络或循环神经网络。

举例而言，该初始模型可以为长短期记忆神经网络(Long Short Term MemoryNetwork，LSTM)，即攻击检测模型为通过对长短期记忆神经网络训练得到的。长短期记忆神经网络与标准的前馈神经网络的区别包括该长短期记忆神经网络具有反馈连接。这样，长短期记忆神经网络不仅可以处理单个数据点，还可以处理整个数据序列。长短期记忆神经网络适用于进行数据预测等数据处理。基于长短期记忆神经网络生成攻击检测模型，能够对攻击数据的长期依赖和动态变化进行捕捉和记忆，进而提高攻击检测模型的性能和准确性。

一种可选的实施方式中，攻击检测模型的训练过程包括：获取样本攻击数据，以及对样本攻击数据进行标注确定的样本攻击结果，并以样本攻击数据作为输入数据，以样本攻击结果作为输出数据对初始模型进行训练，得到攻击检测模型。

本实施例对该攻击检测模型的模型结构不做限制。一种可选的实施方式中，该攻击检测模型包括特征提取层、规则识别层。其中，特征提取层可以为用于提取攻击数据的特征的神经网络层。规则识别层可以为用于基于攻击数据的特征确定攻击结果的神经网络层。攻击结果可以为对攻击数据进行检测的检测结果，该攻击结果可以以用户能够理解的语言记载的。

在本公开实施例中，开发人员可以预先通过预设神经网络编程系统(例如，TensorFlow)构建和训练初始模型，并且通过预设神经网络库(例如，Keras)搭建并运行该攻击检测模型。

蜜罐攻击检测装置在获取攻击数据之后，将攻击数据输入训练好的攻击检测模型中，攻击检测模型对攻击数据进行处理分析，得到攻击数据对应的攻击结果。

在本公开一些实施例中，将攻击数据输入攻击检测模型中，得到攻击结果，包括：将攻击数据输入攻击检测模型中，提取隐含特征和攻击类型，并识别隐含特征和攻击类型得到攻击结果。

其中，隐含特征可以为对攻击数据进行计算处理，确定的特征。举例而言，若攻击数据包括每秒查询率(QueriesPerSecond，QPS)，则该隐含特征可以为每秒查询率的变化斜率。该每秒查询率的变化斜率能够表征每秒查询率的增长情况，若每秒查询率的变化斜率突然增长，则说明攻击者对蜜罐进行持续攻击的可能性较大。攻击类型可以为攻击的分类，本实施例对该攻击类型不做限制，例如，该攻击类型可以包括：木马、挖矿等。本实施例对该攻击类型的数量也不做限制。

该隐含特征和攻击类型可以为以预设代码类型的方式记载的。其中，预设代码类型可以为计算机代码，可以理解地，用户难以对以该预设代码类型记载的隐含特征、攻击类型等直接读取。本实施例对该预设代码类型不做限制，例如，该预设代码类型可以为矩阵代码。

在本实施例中，将攻击数据输入攻击检测模型中，该攻击检测模型中的特征提取层对攻击数据进行计算，得到该攻击数据对应的隐含特征。并且，对攻击数据进行分类处理，确定该攻击数据对应的多个攻击类型，该多个攻击类型可以理解为攻击数据可能属于的多个分类。进一步的，攻击检测模型中的规划识别层结合隐含特征和攻击类型，确定各攻击类型对应的概率，根据概率最大的攻击类型确定攻击结果。举例而言，攻击类型可以包括以预设代码类型记载的“木马”、“挖矿”，攻击结果可以为以用户能够理解的语言记载的“木马”。

步骤103，基于攻击数据和攻击结果发送告警信息。

在本公开实施例中，蜜罐攻击检测装置将蜜罐收集到的攻击数据，以及攻击检测模型根据该攻击数据确定的攻击结果，进行整合，得到告警信息，并基于该告警信息进行后续的攻击告警。

一种可选的实施方式中，通过列式数据库管理系统(又称，Clickhouse)进行告警信息的存储和检索。其中，列式数据库管理系统中，采用列式存储，具备较高的数据压缩比，支持多核并行计算，支持分布式架构和主从复制，兼容结构化查询语言(Structured QueryLanguage，SQL)语法，支持实时更新。并且，通过预设可视化程序(例如，Grafana)对告警信息进行可视化处理并以报告和/或警告的形式展示该告警信息。

在本公开一些实施例中，基于攻击数据和攻击结果发送告警信息之后，方法还包括：将攻击数据和攻击结果发送至管理设备，以使管理设备展示攻击数据和攻击结果。

其中，管理设备可以为配置有预设可视化程序的电子设备，通过该管理设备能够将数据以可视化的方式进行展示。

在本实施例中，蜜罐攻击检测将一一对应的攻击数据和攻击结果发送至管理设备，管理设备在接收到攻击数据和攻击结果之后，将具备对应关系的攻击数据和攻击结果进行可视化展示，使得用户能够及时发现网络攻击，并应对该网络攻击。并且，用户在了解攻击结果的同时也能够了解产生该攻击结果的攻击数据。使得用户基于攻击数据能够更加了解攻击者的攻击行为、攻击特征等，为用户进一步根据攻击数据调整蜜罐，以及制定针对该攻击的防御措施和响应措施创造了基础。

本公开实施例提供的蜜罐攻击检测方法包括：获取多个蜜罐所收集的攻击数据；将攻击数据输入攻击检测模型中，得到攻击结果；基于攻击数据和攻击结果发送告警信息。采用上述技术方案，通过预先训练的攻击检测模型对蜜罐收集的攻击数据进行检测，统一了攻击数据的检测标准，实现了攻击数据的标准自动化检测，提高了攻击结果的有效性以及可信度，并且相较于以人工进行检测的方式，该种自动化的方式的检测能力更强，进行后续维护所消耗的成本也更低。

在本公开一些实施例中，获取多个蜜罐所收集的攻击数据之前，该蜜罐攻击检测方法还包括：在网络中预先部署多个蜜罐，每个蜜罐用于模拟一个操作系统或系统服务。

其中，网络可以为需要进行攻击检测的网络，本实施例对组成该网络的节点不做限制，例如，组成该网络的节点可以包括蜜罐，或者，组成该网络的节点可以包括蜜罐和真实的程序对象。其中，真实的程序对象可以为提供对外服务的程序，该程序对象可以包括操作系统或系统服务。其中，操作系统可以包括：Linux操作系统、Windows操作系统中的至少一个。系统服务可以包括安全外壳协议(Secure Shell，SSH)服务、远程桌面协议(RemoteDesktopProtocol，RDP)中的至少一个。可选的，该程序对象还可以包括网络应用，该网络应用可以包括客户关系管理(Customer Relationship Management，CRM)系统。

在本实施例中，蜜罐攻击检测可以在需要进行攻击检测的网络中部署多个对操作系统或者系统服务进行模拟的蜜罐，蜜罐引诱攻击者对蜜罐进行攻击。

本公开实施例中提供的蜜罐攻击检测方法，通过攻击检测模型，能够有效地处理和分析蜜罐收集到的攻击数据，提取攻击者的隐含特征和攻击类型，得到攻击结果，进而根据攻击数据和攻击结果对蜜罐进行进一步的改造，增强了蜜罐检测能力和防御能力，提高了网络安全。

图2本公开实施例提供的一种蜜罐攻击检测装置的结构示意图，该装置可由软件和/或硬件实现，该装置也可或者集成在电子设备中。

如图2所示，该蜜罐攻击检测装置，包括：

获取模块201，用于获取多个蜜罐所收集的攻击数据；

检测模块202，用于将所述攻击数据输入攻击检测模型中，得到攻击结果；

发送模块203，用于基于所述攻击数据和所述攻击结果发送告警信息。

可选地，检测模块202，包括：

将所述攻击数据输入所述攻击检测模型中，提取隐含特征和攻击类型，并识别所述隐含特征和攻击类型得到所述攻击结果。

可选地，所述攻击检测模型通过对长短期记忆神经网络训练得到。

可选地，所述攻击检测模型包括特征提取层、规则识别层。

可选地，所述装置还包括：

部署模块，用于获取多个蜜罐所收集的攻击数据之前，在网络中预先部署多个所述蜜罐，每个所述蜜罐用于模拟一个操作系统或系统服务。

可选地，所述攻击数据包括以下至少一种：攻击类型、攻击频率、攻击源、攻击目标和攻击工具。

可选地，所述装置还包括：

展示模块，用于基于所述攻击数据和所述攻击结果发送告警信息之后，将所述攻击数据和所述攻击结果发送至管理设备，以使所述管理设备展示所述攻击数据和所述攻击结果。

本公开实施例所提供的蜜罐攻击检测装置可执行本公开任意实施例所提供的蜜罐攻击检测方法，具备执行方法相应的功能模块和有益效果。

图3为本公开实施例提供的一种电子设备的结构示意图。如图3所示，电子设备300包括一个或多个处理器301和存储器302。

处理器301可以是中央处理单元(CPU)或者具有蜜罐攻击检测能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备300中的其他组件以执行期望的功能。

存储器302可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器301可以运行所述程序指令，以实现上文所述的本公开的实施例的蜜罐攻击检测方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如输入信号、信号分量、噪声分量等各种内容。

在一个示例中，电子设备300还可以包括：输入装置303和输出装置304，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。

此外，该输入装置303还可以包括例如键盘、鼠标等等。

该输出装置304可以向外部输出各种信息，包括确定出的距离信息、方向信息等。该输出装置304可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。

当然，为了简化，图3中仅示出了该电子设备300中与本公开有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备300还可以包括任何其他适当的组件。

除了上述方法和设备以外，本公开的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的蜜罐攻击检测方法。

所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如Java、C++等，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

此外，本公开的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本公开实施例所提供的蜜罐攻击检测方法。

所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。