(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111627021.2 (22)申请日 2021.12.28 (71)申请人 绿盟科技 集团股份有限公司 地址 100089 北京市海淀区北洼路4 号益泰 大厦5层 申请人 北京神州绿盟科技有限公司 (72)发明人 魏佩儒　兰星　李玉杰　吴铁军　 范敦球　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 代理人 张春玲 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/53(2013.01) (54)发明名称 一种蜜罐交互的方法、 装置、 蜜罐网络、 设备 及存储介质 (57)摘要 本发明公开了一种蜜罐交互的方法、 装置、 蜜罐网络、 设备及存储介质， 用以解决现有技术 中存在的物联网蜜罐的交互程度低、 端口兼容性 差、 以及部署难度大、 成本高的技术问题， 该方法 包括： 确定攻击者踏入的陷阱端口， 并获取陷阱 端口对应的路由表； 其中， 路由表用于穷举陷阱 端口包含的各种漏洞对应的标准流量特征及对 应的标准交互类型， 每个标准流量特征与对应标 准交互类以流量特征过滤规则的形式存储于对 应路由表中； 根据攻击者的流量特征信息与路由 表中流量特征过滤规则的命中结果， 确定流量特 征信息对应的实际交互类型； 获取与实际交互类 型对应的交互规则， 生成符合攻击者的交互意图 的交互欺骗信息， 并返回给攻击者。 权利要求书3页 说明书17页 附图10页 CN 114389863 A 2022.04.22 CN 114389863 A 1.一种蜜罐交 互的方法， 其特 征在于， 包括： 确定攻击者踏入的陷阱端口， 并获取所述陷阱端口对应的路由表； 其中， 所述路由表用 于穷举所述陷阱端口包含的各种 漏洞对应的标准流量特征及对应的标准交互类型， 每个标 准流量特征与对应标准交 互类以流 量特征过滤规则的形式存 储于对应路由表中； 根据所述攻击者的流量特征信 息与所述路由表中流量特征过滤规则的命中结果， 确定 所述流量特征信息对应的实际交 互类型； 获取与所述实际交互类型对应的交互规则， 生成符合所述攻击者的交互意图的交互欺 骗信息， 并返回给 所述攻击者。 2.如权利要求1所述的方法， 其特 征在于， 确定攻击者踏入的陷阱端口， 包括： 从虚拟端口接收所述攻击者的流量数据； 其中， 所述虚拟端口用于接收从各个陷阱端 口通过流量重定 向发送的流量数据， 一个陷阱端口用于仿真一个服务端口或漏洞端口， 每 个陷阱端口预配置有对应的路由表； 对所述攻击者的流 量数据进行 连接追踪， 确定所述 攻击者踏入的陷阱端口。 3.如权利要求2所述的方法， 其特征在于， 对所述攻击者的流量数据进行连接追踪， 确 定所述攻击者踏入的陷阱端口， 包括： 从所述攻击者的流 量数据中， 获取唯一标识所述击者身份的身份信息； 根据所述身份信息对所述 流量数据进行 连接追踪， 确定所述 攻击者踏入的陷阱端口。 4.如权利要求1所述的方法， 其特征在于， 根据所述攻击者的流量特征信 息与所述路由 表中流量特征过滤规则的命中结果， 确定所述 流量特征对应的实际交 互类型， 包括： 将所述流量特征信 息与所述路由表中的标准流量特征进行逐一匹配， 直至匹配成功或 全部匹配完毕； 当所述特征信 息与任一条标准流量特征匹配成功时， 从所述路由表中获取匹配成功的 标准流量特征对应的标准交 互类型， 作为所述实际交 互类型； 当所述流量特征信 息与所述路由表中的全部标准流量特征均匹配完毕后， 仍未匹配成 功， 将所述路由表中默认的流量特征过滤规则对应的标准交互类型作为所述实际交互类 型。 5.如权利要求 4所述的方法， 其特 征在于， 所述标准交 互类型， 包括： 静态交互、 动态交 互、 解析器交 互。 6.如权利要求5所述的方法， 其特征在于， 获取与所述实 际交互类型对应的交互规则， 包括： 当所述实际交互类型对应的标准交互类型为所述静态 交互时， 获取的交互规则为调用 静态交互组件将符合所述交 互意图的固定文本信息， 作为所述交 互欺骗信息； 当所述实际交互类型对应的标准交互类型为所述动态 交互时， 获取的交互规则为调用 动态交互组件对所述流量特征信息进 行处理， 根据处理结果生成符合所述交互意图的交互 欺骗信息； 其中， 所述处理结果中包含复杂命令时， 调用动态交互沙箱在真实的沙箱环境中 执行所述复杂命令， 并将执 行结果作为对应的交 互欺骗信息； 当所述实际交互类型对应的标准交互类型为所述解析器交互时， 获取的交互规则为调 用与所述流量特征信息对应的解析器交互框架对所述流量特征信息进 行解析， 根据解析结 果生成符合所述交互意图的交互欺骗信息； 其中， 所述解析结果中包含复杂命令时， 调用所权　利　要　求　书 1/3 页 2 CN 114389863 A 2述动态交互沙箱在真实的沙箱环境中执行所述复杂命令， 并将执行结果作为对应的交互欺 骗信息。 7.如权利要求6所述的方法， 其特 征在于， 所述动态交 互沙箱， 包括： 沙箱创建部分， 用于创建沙箱实例， 并在所述沙箱实例中执行所述复杂命令， 返回所述 执行结果； 沙箱监控部分， 用于监控当前已启动的所有沙箱实例， 并销毁长时间运行或卡死的沙 箱实例。 8.如权利要求7 所述的方法， 其特 征在于， 在所述沙箱实例中执 行所述复杂命令， 包括： 当确定所述复杂命令需要在所述动态交 互沙箱执 行时， 创建文件名唯一的缓存文件； 将所述复杂命令写入所述缓存文件； 启动所述沙箱实例， 并将所述缓存文件挂载到所述沙箱实例中， 在所述沙箱实例中执 行所述复杂命令， 获得 所述执行结果。 9.一种蜜罐交 互的装置， 其特 征在于， 包括： 确定单元， 用于确定攻击者踏入的陷阱端口， 并获取所述陷阱端口对应的路由表； 其 中， 所述路由表用于穷举所述陷阱端口包含的各种漏洞对应的标准流量特征及 对应的标准 交互类型， 每个标准流量特征与对应标准交互类以流量特征过滤规则的形式存储于对应路 由表中； 过滤单元， 用于根据 所述攻击者的流量特征信 息与所述路由表中流量特征过滤规则的 命中结果， 确定所述 流量特征信息对应的实际交 互类型； 处理单元， 用于获取与所述实 际交互类型对应的交互规则， 生成符合所述攻击者的交 互意图的交 互欺骗信息， 并返回给 所述攻击者。 10.一种蜜罐网络， 其特征在于， 部署有一个蜜罐， 所述蜜罐采用如权利要求1 ‑8任一项 所述的方法与攻击者进行交互， 并在交互的过程中记录所述攻击者的身份信息和攻击行 为， 实施对应的攻防策略。 11.如权利要求10所述的蜜罐网络， 其特 征在于， 所述蜜罐， 包括： 入口层， 所述入口层包括至少一个陷阱端口， 所述陷阱端口用于 仿真真实的服 务端口； 解析层， 用于根据攻击者踏入的陷阱端口对应的交互类型， 以及攻击者的流量特征信 息， 确定攻击者的实际交 互类型对应的交 互规则； 组件层， 用于根据所述实际交互类型对应的交互规则对所述流量特征信 息进行交互处 理， 生成符合所述 攻击者的交 互意图的交 互欺骗信息， 并返回给 所述攻击者； 沙箱层， 用于在 真实的沙箱环境中执行所述组件层提供的所述流量特征信 息中包含的 复杂命令， 并将执 行结果作为所述交 互欺骗信息 。 12.如权利要求1 1所述的蜜罐网络， 其特 征在于， 所述入口层， 包括： 多个陷阱端口； 虚拟端口， 用于 接收各个陷阱端口通过流 量重定向转发的所述 攻击者的流 量数据。 13.一种设备， 其特 征在于， 包括： 至少一个处 理器， 以及 与所述至少一个处 理器连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述至少一个处理器权　利　要　求　书 2/3 页 3 CN 114389863 A 3