蜜罐诱饵的分配方法及装置、存储介质、电子设备

技术领域

本发明涉及网络安全领域，具体而言，涉及一种蜜罐诱饵的分配方法及装置、存储介质、电子设备。

背景技术

相关技术中，攻击者(如黑客)常用的渗透方式，分成3个阶段：渗透前。攻击者会收集目标的资产信息，绘制资产地图。一些主站点的防护固若金汤，一般不会成为被攻击的目标。攻击者往往会通过子域名爆破，或第三方网站搜索等方式，获取企业其他资产的信息。资产分析完成后。攻击者会确认渗透的突破口，这时一些存在漏洞的容器、框架、服务，以及不合理的权限和系统设置等都可能被利用，成为攻击者的精准打击对象。面对有价值的弱点，攻击者甚至会使用0day漏洞攻击，以寻求快速突破。在一台服务器站稳脚跟后。攻击者会继续收集信息，寻找资产短板，做下一步的横向移动或提权操作，获取更高的权限和更敏感的数据。以上三个阶段，是攻击者最容易暴露的阶段，此时部署诱饵，就能大大提升吸引攻击者落入蜜网的可能性，完美记录攻击者的全部攻击过程和遗留文件。如果能及时联动其他安全设备，帮助防守方快速发现并处置威胁。攻击痕迹的有效记录也能辅助溯源攻击者的身份信息。

相关技术中，部署蜜罐需要花费大量的资源，在内网环境或者NAT(NetworkAddress Translation，网络地址转换)映射到公网上部署足够多的蜜罐才能提高攻击者踩中诱捕节点的概率。现有的诱饵部署都是采用人工手动通过执行脚本的方式在真实主机上留下指向蜜罐的信息，无法形成高效率地引导，缺少对攻击者的攻击意图、攻击路径的预判。高效的诱饵部署方案才能保证在蜜罐的情况下，高效地完成对攻击者的捕获。一般的公司都是通过购买蜜罐产品来加强对本公司的内网防御。但是部署诱饵的工作通常是只能由甲方来完成，因为一些涉密原因，乙方的实施人员不方便在甲方公司内进行诱饵部署。甲方公司的人员对蜜罐产品可能没有乙方人员熟悉，在部署诱饵的过程中可能会遇到各种问题，甚至诱饵效果不大，效率低下。此外，由于缺乏对攻击者的攻击意图、攻击路径进行有效分析，缺乏一定程度的溯源主动性，对攻击者画像的刻画无法做到更细致的层面，也降低了蜜罐的网络防御效率。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

发明内容

本发明实施例提供了一种蜜罐诱饵的分配方法及装置、存储介质、电子设备。

根据本申请实施例的一个方面，提供了一种蜜罐诱饵的分配方法，包括：获取网络攻击源执行攻击事件的攻击行为数据；根据所述攻击行为数据生成所述攻击事件的攻击路径，其中，所述攻击路径包括若干个被所述网络攻击源攻击的关键节点；在所述攻击路径的关键节点上分配蜜罐诱饵。

进一步，获取网络攻击源执行攻击事件的攻击行为数据包括：获取所述网络攻击源针对主机节点的攻击流量，其中，所述主机节点用于部署网络业务；将所述攻击流量从所述主机节点转发至诱捕节点，其中，所述诱捕节点用于映射蜜罐端口；基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，获取网络攻击源执行攻击事件的攻击行为数据包括：获取所述网络攻击源针对诱捕节点的攻击流量，其中，所述诱捕节点用于映射蜜罐端口；基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，在所述蜜罐网络中获取所述攻击事件的攻击行为数据包括：记录所述网络攻击源在所述蜜罐网络中的文件访问记录和进程创建记录，其中，所述蜜罐网络预设有伪装操作系统和业务应用；读取所述文件访问记录和进程创建记录的日志信息，并将所述日志信息输出为所述攻击事件的攻击行为数据。

进一步，根据所述攻击行为数据生成所述攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对所述攻击行为数据进行数据去重后，按照时间顺序对去重后的攻击行为数据中的多个文件访问记录进行排序；基于所述多个文件访问记录，以及对应的时间顺序生成所述攻击事件的攻击路径。

进一步，根据所述攻击行为数据生成所述攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对所述攻击行为数据进行数据去重后，按照频率对去重后的攻击行为数据中的多个文件访问记录进行排序；基于所述多个文件访问记录，以及对应的访问频率生成所述攻击事件的攻击路径。

进一步，在所述攻击路径的关键节点上分配蜜罐诱饵包括：根据所述攻击路径生成诱饵脚本，以及根据所述攻击路径生成所述诱饵脚本的部署脚本，其中，所述诱饵脚本用于在蜜罐节点上生成蜜罐诱饵，所述部署脚本用于在蜜罐网络中选择待下发诱饵脚本的蜜罐节点；根据所述部署脚本在蜜罐网络中选择与所述关键节点对应的蜜罐节点；向所述蜜罐节点下发所述诱饵脚本，以使所述诱饵脚本在所述蜜罐节点本地自动执行并生成蜜罐诱饵。

进一步，若所述攻击事件为远程桌面连接RDP事件，根据所述攻击路径生成诱饵脚本包括：从所述攻击路径中选择渗透起始节点；从所述渗透起始节点的RDP记录中读取远程登录信息；基于所述远程登录信息生成第一诱饵脚本。

进一步，若所述攻击事件为主机名hostname修改事件，根据所述攻击路径生成诱饵脚本包括：从所述攻击路径中选择渗透目标节点；读取所述渗透目标节点的本地登录信息，以及从所述渗透目标节点的hostname修改记录中读取源主机信息和目标主机信息；基于所述本地登录信息和所述目标主机信息生成第二诱饵脚本。

进一步，若所述攻击事件为远程桌面连接RDP事件，根据所述攻击路径生成所述诱饵脚本的部署脚本包括：从所述攻击路径中选择渗透目标节点；获取所述渗透目标节点的第一位置信息和第一设备信息；基于所述第一设备信息复制生成多个所述渗透目标节点的第一孪生节点；基于所述第一孪生节点和所述第一位置信息打包生成第一部署脚本。

进一步，若所述攻击事件为主机名hostname修改事件，根据所述攻击路径生成所述诱饵脚本的部署脚本包括：从所述攻击路径中选择渗透起始节点；获取所述渗透起始节点的第二位置信息和第二设备信息；基于所述第二设备信息复制生成多个所述渗透起始节点的第二孪生节点；基于所述第二孪生节点和所述第二位置信息打包生成第二部署脚本。

根据本申请实施例的另一个方面，还提供了一种蜜罐诱饵的分配装置，包括：获取模块，用于获取网络攻击源执行攻击事件的攻击行为数据；生成模块，用于根据所述攻击行为数据生成所述攻击事件的攻击路径，其中，所述攻击路径包括若干个被所述网络攻击源攻击的关键节点；分配模块，用于在所述攻击路径的关键节点上分配蜜罐诱饵。

进一步，所述获取模块包括：获取单元，用于获取所述网络攻击源针对主机节点的攻击流量，其中，所述主机节点用于部署网络业务；第一转发单元，用于将所述攻击流量从所述主机节点转发至诱捕节点，其中，所述诱捕节点用于映射蜜罐端口；第二转发单元，用于基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；第二获取单元，用于在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，所述获取模块包括：第三获取单元，用于获取所述网络攻击源针对诱捕节点的攻击流量，其中，所述诱捕节点用于映射蜜罐端口；第三转发单元，用于基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；第二获取单元，用于在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，所述第二获取单元包括：记录单元，用于记录所述网络攻击源在所述蜜罐网络中的文件访问记录和进程创建记录，其中，所述蜜罐网络预设有伪装操作系统和业务应用；读取单元，用于读取所述文件访问记录和进程创建记录的日志信息，并将所述日志信息输出为所述攻击事件的攻击行为数据。

进一步，所述生成模块包括：获取单元，用于获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；第一排序单元，用于对所述攻击行为数据进行数据去重后，按照时间顺序对去重后的攻击行为数据中的多个文件访问记录进行排序；第一生成单元，用于基于所述多个文件访问记录，以及对应的时间顺序生成所述攻击事件的攻击路径。

进一步，所述生成模块包括：获取单元，用于获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；第二排序单元，用于对所述攻击行为数据进行数据去重后，按照频率对去重后的攻击行为数据中的多个文件访问记录进行排序；第二生成单元，用于基于所述多个文件访问记录，以及对应的访问频率生成所述攻击事件的攻击路径。

进一步，所述分配模块包括：生成单元，用于根据所述攻击路径生成诱饵脚本，以及根据所述攻击路径生成所述诱饵脚本的部署脚本，其中，所述诱饵脚本用于在蜜罐节点上生成蜜罐诱饵，所述部署脚本用于在蜜罐网络中选择待下发诱饵脚本的蜜罐节点；选择单元，用于根据所述部署脚本在蜜罐网络中选择与所述关键节点对应的蜜罐节点；下发单元，用于向所述蜜罐节点下发所述诱饵脚本，以使所述诱饵脚本在所述蜜罐节点本地自动执行并生成蜜罐诱饵。

进一步，若所述攻击事件为远程桌面连接RDP事件，所述生成单元包括：第一选择子单元，用于从所述攻击路径中选择渗透起始节点；第一读取子单元，用于从所述渗透起始节点的RDP记录中读取远程登录信息；第一生成子单元，用于基于所述远程登录信息生成第一诱饵脚本。

进一步，若所述攻击事件为主机名hostname修改事件，所述生成单元包括：第二选择子单元，用于从所述攻击路径中选择渗透目标节点；第二读取子单元，用于读取所述渗透目标节点的本地登录信息，以及从所述渗透目标节点的hostname修改记录中读取源主机信息和目标主机信息；第二生成子单元，用于基于所述本地登录信息和所述目标主机信息生成第二诱饵脚本。

进一步，若所述攻击事件为远程桌面连接RDP事件，所述生成单元包括：第三选择子单元，用于从所述攻击路径中选择渗透目标节点；第一获取子单元，用于获取所述渗透目标节点的第一位置信息和第一设备信息；第一复制子单元，用于基于所述第一设备信息复制生成多个所述渗透目标节点的第一孪生节点；第三生成子单元，用于基于所述第一孪生节点和所述第一位置信息打包生成第一部署脚本。

进一步，若所述攻击事件为主机名hostname修改事件，所述生成单元包括：第四选择子单元，用于从所述攻击路径中选择渗透起始节点；第二获取子单元，用于获取所述渗透起始节点的第二位置信息和第二设备信息；第二复制子单元，用于基于所述第二设备信息复制生成多个所述渗透起始节点的第二孪生节点；第四生成子单元，用于基于所述第二孪生节点和所述第二位置信息打包生成第二部署脚本。

根据本申请实施例的另一方面，还提供了一种存储介质，该存储介质包括存储的程序，程序运行时执行上述的步骤。

根据本申请实施例的另一方面，还提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；其中：存储器，用于存放计算机程序；处理器，用于通过运行存储器上所存放的程序来执行上述方法中的步骤。

本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述方法中的步骤。

通过本发明，获取网络攻击源执行攻击事件的攻击行为数据，根据攻击行为数据生成攻击事件的攻击路径，其中，攻击路径包括若干个被网络攻击源攻击的关键节点，最后在攻击路径的关键节点上分配蜜罐诱饵，通过记录和分析网络攻击源的攻击路径，通过数据分析得出部署诱饵的关键节点，提高了网络防护的安全性，通过高效的诱饵部署，提高了网络攻击源落入蜜罐的概率，解决了相关技术中的蜜罐不能针对性防御攻击的技术问题，提高了蜜罐网络的防御效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的一种服务器的硬件结构框图；

图2是根据本发明实施例的一种蜜罐诱饵的分配方法的流程图；

图3是本发明实施例的实现原理图；

图4是本发明实施例的工作流程图；

图5是根据本发明实施例的一种蜜罐诱饵的分配装置的结构框图；

图6是实施本发明实施例的一种电子设备的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例1

本申请实施例一所提供的方法实施例可以在服务器、计算机、蜜罐宿主设备、或者类似的运算装置中执行。以运行在服务器上为例，图1是本发明实施例的一种服务器的硬件结构框图。如图1所示，服务器可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，可选地，上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述服务器的结构造成限定。例如，服务器还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储服务器程序，例如，应用软件的软件程序以及模块，如本发明实施例中的一种蜜罐诱饵的分配方法对应的服务器程序，处理器102通过运行存储在存储器104内的服务器程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种蜜罐诱饵的分配方法，图2是根据本发明实施例的一种蜜罐诱饵的分配方法的流程图，如图2所示，该流程包括如下步骤：

步骤S202，获取网络攻击源执行攻击事件的攻击行为数据；

本实施例的网络攻击源是指发起网络攻击的设备，脚本，程序等，攻击事件是指在被攻击设备上执行的非法操作事件，如远程登录，主机名更改，文件查询，创建进程等。

步骤S204，根据攻击行为数据生成攻击事件的攻击路径，其中，攻击路径包括若干个被网络攻击源攻击的关键节点；

本实施例的关键节点是蜜罐网络中的特定蜜罐节点，也是网络攻击源执行攻击事件必须经过或利用的蜜罐节点，蜜罐节点对外伪装成正常的业务主机，通过开放漏洞、端口、弱口令等方式引诱攻击者对蜜罐进行攻击，在一些示例中，攻击路径还包括若干个关键节点中相邻节点之间的路径方向，如攻击路径包括四个关键节点，则路径方向为关键节点A→关键节点→B关键节点→C关键节点D。

步骤S206，在攻击路径的关键节点上分配蜜罐诱饵。

本实施例的蜜罐诱饵是用于迷惑攻击者的数据，可以是文件、数据库、旗标、代码等信息。

通过上述步骤，获取网络攻击源执行攻击事件的攻击行为数据，根据攻击行为数据生成攻击事件的攻击路径，其中，攻击路径包括若干个被网络攻击源攻击的关键节点，最后在攻击路径的关键节点上分配蜜罐诱饵，通过记录和分析网络攻击源的攻击路径，通过数据分析得出部署诱饵的关键节点，提高了网络防护的安全性，通过高效的诱饵部署，提高了网络攻击源落入蜜罐的概率，解决了相关技术中的蜜罐不能针对性防御攻击的技术问题，提高了蜜罐网络的防御效率。

在本实施例的一个应用场景方式中，获取网络攻击源执行攻击事件的攻击行为数据包括：获取网络攻击源针对主机节点的攻击流量，其中，主机节点用于部署网络业务；将攻击流量从主机节点转发至诱捕节点，其中，诱捕节点用于映射蜜罐端口；基于蜜罐端口将攻击流量从诱捕节点转发至蜜罐网络；在蜜罐网络中获取攻击事件的攻击行为数据。

在本实施例的另一个应用场景方式中，获取网络攻击源执行攻击事件的攻击行为数据包括：获取网络攻击源针对诱捕节点的攻击流量，其中，诱捕节点用于映射蜜罐端口；基于蜜罐端口将攻击流量从诱捕节点转发至蜜罐网络；在蜜罐网络中获取攻击事件的攻击行为数据。

在本实施例的一个实施方式中，在蜜罐网络中获取攻击事件的攻击行为数据包括：记录网络攻击源在蜜罐网络中的文件访问记录和进程创建记录，其中，蜜罐网络预设有伪装操作系统和业务应用；读取文件访问记录和进程创建记录的日志信息，并将日志信息输出为攻击事件的攻击行为数据。

在本实施例的一个实施方式中，基于文件访问的事件先后顺序生成攻击路径，根据攻击行为数据生成攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，蜜罐网络包括多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对攻击行为数据进行数据去重后，按照时间顺序对去重后的攻击行为数据中的多个文件访问记录进行排序；基于多个文件访问记录，以及对应的时间顺序生成攻击事件的攻击路径。

在该实施方式中，网络攻击源在执行攻击事件时，需要按照一定的时序来实现，如要先访问操作系统，然后访问应用程序，最后访问应用程序内的文件。

在本实施例的另一个实施方式中，基于文件访问的事件频率(或者次数)生成攻击路径，根据攻击行为数据生成攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，蜜罐网络包括多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对攻击行为数据进行数据去重后，按照频率对去重后的攻击行为数据中的多个文件访问记录进行排序；基于多个文件访问记录，以及对应的访问频率生成攻击事件的攻击路径。

在该实施方式中，网络攻击源在执行攻击事件时，没有特定的时序，可能对蜜罐网络中的所有对象进行遍历，可以将遍历次数较多的蜜罐节点作为攻击路径中个关键节点。

攻击路径包括是攻击者进入蜜罐网络的蜜网入口，以及横向路径和纵向路径，横向路劲是在单个蜜罐节点内的攻击路径，纵向路径是在两个蜜罐节点之间的攻击路径，如在蜜网内横向移动取得蜜罐的shell(从某台蜜罐主机到某台蜜罐主机)，比如从蜜罐a去攻击蜜罐b，拿到蜜罐b的主机权限，再从蜜罐b去攻击其他蜜罐。

在本实施例中，在攻击路径的关键节点上分配蜜罐诱饵包括：

S11，根据攻击路径生成诱饵脚本，以及根据攻击路径生成诱饵脚本的部署脚本，其中，诱饵脚本用于在蜜罐节点上生成蜜罐诱饵，部署脚本用于在蜜罐网络中选择待下发诱饵脚本的蜜罐节点；

在一个应用场景中，攻击事件为远程桌面连接(Remote Desktop Protocol，RDP)事件，根据攻击路径生成诱饵脚本包括：从攻击路径中选择渗透起始节点；从渗透起始节点的RDP记录中读取远程登录信息；基于远程登录信息生成第一诱饵脚本。

第一诱饵脚本包括远程登录使用的账号、密码、VPN等，渗透起始节点是发起远程登录的蜜罐节点，通过发起远程登录，可以在渗透起始节点上控制和访问渗透目标节点。

在该应用场景中，根据攻击路径生成诱饵脚本的部署脚本包括：从攻击路径中选择渗透目标节点；获取渗透目标节点的第一位置信息和第一设备信息；基于第一设备信息复制生成多个渗透目标节点的第一孪生节点；基于第一孪生节点和第一位置信息打包生成第一部署脚本。

渗透目标节点的第一位置信息用于表征渗透目标节点在蜜罐网络中的位置，如IP地址，MAC地址等，由于蜜罐诱饵都是虚拟的，并非正式的设备，因此可以通过复制第一设备信息，生成多个相同的渗透目标节点，作为孪生节点，后续被攻击的时候，多个第一孪生节点也会被选择作为攻击对象，从而提高诱捕概率。

在另一个应用场景中，攻击事件为主机名hostname修改事件，根据攻击路径生成诱饵脚本包括：从攻击路径中选择渗透目标节点；读取渗透目标节点的本地登录信息，以及从渗透目标节点的hostname修改记录中读取源主机信息和目标主机信息；基于本地登录信息和目标主机信息生成第二诱饵脚本。

在该应用场景中，根据攻击路径生成诱饵脚本的部署脚本包括：从攻击路径中选择渗透起始节点；获取渗透起始节点的第二位置信息和第二设备信息；基于第二设备信息复制生成多个渗透起始节点的第二孪生节点；基于第二孪生节点和第二位置信息打包生成第二部署脚本。

S12，根据部署脚本在蜜罐网络中选择与关键节点对应的蜜罐节点；

S13，向蜜罐节点下发诱饵脚本，以使诱饵脚本在蜜罐节点本地自动执行并生成蜜罐诱饵。

比如在办公区的window电脑部署hostname记录的诱饵，诱饵包含window蜜罐的IP、账号密码等信息，管理者可以在安全操作中心跟进方案生成对应的脚本，管理员可以将脚本下载下来，上传至真实业务网络的办公区的window电脑，运行脚本就会生成诱饵信息。

图3是本发明实施例的实现原理图，提供了一种基于蜜场控制的诱饵引导方法，结合攻击者的攻击行为和蜜场技术对蜜罐操作系统、真实主机环境的诱饵部署指导。实现原理如图3所示，功能上包括以下模块：

攻击者(外部的网络攻击源)：作为对某一蜜罐系统的攻击者，会被蜜罐系统诱捕并对其发动持续攻击行为；

蜜罐：具备易被利用的服务端口和弱口令登陆的伪装操作系统和业务应用；

真实主机：真实环境下的业务主机；

诱捕节点：作为陷阱的入口，映射出蜜罐的端口服务及对攻击流量进行转发；

攻击行为分析系统：会对蜜罐系统采集的攻击行为数据进行分析，并对攻击者的攻击路径进行刻画，输出完整的攻击路径及诱饵部署方案；

安全操作中心：记录攻击者的攻击路径，对蜜罐进行下发策略脚本，完成蜜罐诱饵部署以及输出对真实环境下的业务主机的诱饵部署指导方案。

实现步骤包括：

S31，攻击者对真实主机、诱捕节点进行攻击，诱捕节点将攻击流量转发到蜜罐，蜜罐不断诱导攻击者进行持续攻击；

S32，蜜罐将采集到的攻击者攻击行为数据完整传输至攻击行为分析系统，攻击行为分析系统会根据采集到的数据进行攻击路径刻画；

S33，攻击行为分析系统将攻击路径画像及诱饵部署推荐方案输出给安全操作中心，安全操作中心会记录下每一个攻击者的攻击路径，并可以根据推荐方案生成对应的策略脚本以及真实主机诱饵部署推荐方案，并下发给蜜罐对应的诱饵部署策略脚本，实现对攻击者攻击路径预判规划；

S34，蜜罐系统会自动运行该策略脚本，并实现诱饵的部署；

S35，管理员可以根据真实主机诱饵部署推荐方案一键生成对应的脚本，可下载到真实主机进行部署；

S36，根据不断对攻击者的攻击行为进行分析学习，对攻击路径习惯的记录，可以匹配不同行业对核心资产不同的防护需求，进行高效的诱饵部署，提高攻击者落入蜜罐的概率；

S37，蜜罐系统之间部署诱饵，增强蜜罐的关联性，将攻击者安排在系统特定安排的攻击路径当中，从而消耗掉攻击者大量的时间精力。

图4是本发明实施例的工作流程图，蜜罐系统已经根据预设攻击路径关键节点诱饵部署，并持续采集和输出攻击者攻击行为数据，进行部署更新，包括：

S41，初始化蜜罐系统部署，安全操作中心根据通用型不同行业对核心资产防护的需求的预设攻击路径在蜜罐之间部署诱饵，同时安全操作中心根据蜜罐的种类、数量为管理员生成真实主机的诱饵部署推荐方案；

S42，当攻击者对蜜罐系统进行渗透，蜜罐将攻击者的攻击数据传回攻击行为分析中心进行数据清洗，将相同性质的连续攻击事件进行合并；

S43，数据清洗完成之后，按照时间顺序对攻击事件进行排序；

S44，攻击行为分析中心根据攻击事件刻画出攻击路径；

S45，攻击行为分析中心分析出攻击路径的关键节点，输出诱饵部署方案；

S46，管理员可以根据方案，在安全操作中心对蜜罐进行诱饵部署更新，输出真实主机推荐方案；

S47，管理员在真实主机运行脚本完成诱饵部署；

S48，安全操作中心不断学习不同攻击者的攻击路径，根据数据分析得出更高效的诱饵部署方案，提高内网防护的安全性，加深对攻击者的溯源。

采用本实施例的方案，依据攻击者的攻击行为分析结果，决定诱饵的部署情况，实现诱饵部署的智能匹配，诱使攻击者在蜜网当中按照系统预设的路径进行渗透，捕获其更加丰富的攻击行为和数据；通过自动化脚本运行的方式来更换蜜罐系统的诱饵部署，比人工手动更加具备高效和可持续性；智能高效部署诱饵能大大提高了蜜网的作用，增强蜜网的真实性，消耗攻击者大量的时间精力，为管理员反应、防御、溯源取得宝贵的时间。通过不断记录学习攻击者的攻击路径，通过数据分析得出部署诱饵的关键节点，提高了内网防护的安全。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

在本实施例中还提供了一种蜜罐诱饵的分配装置，用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是根据本发明实施例的一种蜜罐诱饵的分配装置的结构框图，如图5所示，该装置包括：获取模块50，生成模块52，分配模块54，其中，

获取模块50，用于获取网络攻击源执行攻击事件的攻击行为数据；

生成模块52，用于根据所述攻击行为数据生成所述攻击事件的攻击路径，其中，所述攻击路径包括若干个被所述网络攻击源攻击的关键节点；

分配模块54，用于在所述攻击路径的关键节点上分配蜜罐诱饵。

可选的，所述获取模块包括：获取单元，用于获取所述网络攻击源针对主机节点的攻击流量，其中，所述主机节点用于部署网络业务；第一转发单元，用于将所述攻击流量从所述主机节点转发至诱捕节点，其中，所述诱捕节点用于映射蜜罐端口；第二转发单元，用于基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；第二获取单元，用于在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

可选的，所述获取模块包括：第三获取单元，用于获取所述网络攻击源针对诱捕节点的攻击流量，其中，所述诱捕节点用于映射蜜罐端口；第三转发单元，用于基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；第二获取单元，用于在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

可选的，所述第二获取单元包括：记录单元，用于记录所述网络攻击源在所述蜜罐网络中的文件访问记录和进程创建记录，其中，所述蜜罐网络预设有伪装操作系统和业务应用；读取单元，用于读取所述文件访问记录和进程创建记录的日志信息，并将所述日志信息输出为所述攻击事件的攻击行为数据。

可选的，所述生成模块包括：获取单元，用于获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；第一排序单元，用于对所述攻击行为数据进行数据去重后，按照时间顺序对去重后的攻击行为数据中的多个文件访问记录进行排序；第一生成单元，用于基于所述多个文件访问记录，以及对应的时间顺序生成所述攻击事件的攻击路径。

可选的，所述生成模块包括：获取单元，用于获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；第二排序单元，用于对所述攻击行为数据进行数据去重后，按照频率对去重后的攻击行为数据中的多个文件访问记录进行排序；第二生成单元，用于基于所述多个文件访问记录，以及对应的访问频率生成所述攻击事件的攻击路径。

可选的，所述分配模块包括：生成单元，用于根据所述攻击路径生成诱饵脚本，以及根据所述攻击路径生成所述诱饵脚本的部署脚本，其中，所述诱饵脚本用于在蜜罐节点上生成蜜罐诱饵，所述部署脚本用于在蜜罐网络中选择待下发诱饵脚本的蜜罐节点；选择单元，用于根据所述部署脚本在蜜罐网络中选择与所述关键节点对应的蜜罐节点；下发单元，用于向所述蜜罐节点下发所述诱饵脚本，以使所述诱饵脚本在所述蜜罐节点本地自动执行并生成蜜罐诱饵。

可选的，若所述攻击事件为远程桌面连接RDP事件，所述生成单元包括：第一选择子单元，用于从所述攻击路径中选择渗透起始节点；第一读取子单元，用于从所述渗透起始节点的RDP记录中读取远程登录信息；第一生成子单元，用于基于所述远程登录信息生成第一诱饵脚本。

可选的，若所述攻击事件为主机名hostname修改事件，所述生成单元包括：第二选择子单元，用于从所述攻击路径中选择渗透目标节点；第二读取子单元，用于读取所述渗透目标节点的本地登录信息，以及从所述渗透目标节点的hostname修改记录中读取源主机信息和目标主机信息；第二生成子单元，用于基于所述本地登录信息和所述目标主机信息生成第二诱饵脚本。

可选的，若所述攻击事件为远程桌面连接RDP事件，所述生成单元包括：第三选择子单元，用于从所述攻击路径中选择渗透目标节点；第一获取子单元，用于获取所述渗透目标节点的第一位置信息和第一设备信息；第一复制子单元，用于基于所述第一设备信息复制生成多个所述渗透目标节点的第一孪生节点；第三生成子单元，用于基于所述第一孪生节点和所述第一位置信息打包生成第一部署脚本。

可选的，若所述攻击事件为主机名hostname修改事件，所述生成单元包括：第四选择子单元，用于从所述攻击路径中选择渗透起始节点；第二获取子单元，用于获取所述渗透起始节点的第二位置信息和第二设备信息；第二复制子单元，用于基于所述第二设备信息复制生成多个所述渗透起始节点的第二孪生节点；第四生成子单元，用于基于所述第二孪生节点和所述第二位置信息打包生成第二部署脚本。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本申请实施例还提供了一种电子设备，图6是本发明实施例的一种电子设备的结构图，如图6所示，包括处理器61、通信接口62、存储器63和通信总线64，其中，处理器61，通信接口62，存储器63通过通信总线64完成相互间的通信，存储器63，用于存放计算机程序；处理器61，用于执行存储器63上所存放的程序时，实现如下步骤：获取网络攻击源执行攻击事件的攻击行为数据；根据所述攻击行为数据生成所述攻击事件的攻击路径，其中，所述攻击路径包括若干个被所述网络攻击源攻击的关键节点；在所述攻击路径的关键节点上分配蜜罐诱饵。

进一步，获取网络攻击源执行攻击事件的攻击行为数据包括：获取所述网络攻击源针对主机节点的攻击流量，其中，所述主机节点用于部署网络业务；将所述攻击流量从所述主机节点转发至诱捕节点，其中，所述诱捕节点用于映射蜜罐端口；基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，获取网络攻击源执行攻击事件的攻击行为数据包括：获取所述网络攻击源针对诱捕节点的攻击流量，其中，所述诱捕节点用于映射蜜罐端口；基于所述蜜罐端口将所述攻击流量从所述诱捕节点转发至蜜罐网络；在所述蜜罐网络中获取所述攻击事件的攻击行为数据。

进一步，在所述蜜罐网络中获取所述攻击事件的攻击行为数据包括：记录所述网络攻击源在所述蜜罐网络中的文件访问记录和进程创建记录，其中，所述蜜罐网络预设有伪装操作系统和业务应用；读取所述文件访问记录和进程创建记录的日志信息，并将所述日志信息输出为所述攻击事件的攻击行为数据。

进一步，根据所述攻击行为数据生成所述攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对所述攻击行为数据进行数据去重后，按照时间顺序对去重后的攻击行为数据中的多个文件访问记录进行排序；基于所述多个文件访问记录，以及对应的时间顺序生成所述攻击事件的攻击路径。

进一步，根据所述攻击行为数据生成所述攻击事件的攻击路径包括：获取蜜罐网络的多个蜜罐节点的攻击行为数据，其中，所述蜜罐网络包括所述多个蜜罐节点，每个蜜罐节点对应一份攻击行为数据；对所述攻击行为数据进行数据去重后，按照频率对去重后的攻击行为数据中的多个文件访问记录进行排序；基于所述多个文件访问记录，以及对应的访问频率生成所述攻击事件的攻击路径。

进一步，在所述攻击路径的关键节点上分配蜜罐诱饵包括：根据所述攻击路径生成诱饵脚本，以及根据所述攻击路径生成所述诱饵脚本的部署脚本，其中，所述诱饵脚本用于在蜜罐节点上生成蜜罐诱饵，所述部署脚本用于在蜜罐网络中选择待下发诱饵脚本的蜜罐节点；根据所述部署脚本在蜜罐网络中选择与所述关键节点对应的蜜罐节点；向所述蜜罐节点下发所述诱饵脚本，以使所述诱饵脚本在所述蜜罐节点本地自动执行并生成蜜罐诱饵。

进一步，若所述攻击事件为远程桌面连接RDP事件，根据所述攻击路径生成诱饵脚本包括：从所述攻击路径中选择渗透起始节点；从所述渗透起始节点的RDP记录中读取远程登录信息；基于所述远程登录信息生成第一诱饵脚本。

进一步，若所述攻击事件为主机名hostname修改事件，根据所述攻击路径生成诱饵脚本包括：从所述攻击路径中选择渗透目标节点；读取所述渗透目标节点的本地登录信息，以及从所述渗透目标节点的hostname修改记录中读取源主机信息和目标主机信息；基于所述本地登录信息和所述目标主机信息生成第二诱饵脚本。

进一步，若所述攻击事件为远程桌面连接RDP事件，根据所述攻击路径生成所述诱饵脚本的部署脚本包括：从所述攻击路径中选择渗透目标节点；获取所述渗透目标节点的第一位置信息和第一设备信息；基于所述第一设备信息复制生成多个所述渗透目标节点的第一孪生节点；基于所述第一孪生节点和所述第一位置信息打包生成第一部署脚本。

进一步，若所述攻击事件为主机名hostname修改事件，根据所述攻击路径生成所述诱饵脚本的部署脚本包括：从所述攻击路径中选择渗透起始节点；获取所述渗透起始节点的第二位置信息和第二设备信息；基于所述第二设备信息复制生成多个所述渗透起始节点的第二孪生节点；基于所述第二孪生节点和所述第二位置信息打包生成第二部署脚本。

上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述终端与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的蜜罐诱饵的分配方法。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的蜜罐诱饵的分配方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

以上所述仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。