一种网络流量的发送方法、装置及混合蜜罐系统与流程

专利2022-11-28  37


本发明涉及网络
技术领域
,尤其涉及一种网络流量的发送方法、装置及混合蜜罐系统。
背景技术
:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些诱饵的主机,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强被保护系统的安全防护能力。在现有的蜜罐系统中,包括物理蜜罐和虚拟蜜罐,其中,物理蜜罐具有高互动性,但是在蜜罐系统中大量部署物理蜜罐成本较高,而虚拟蜜罐是通过软件模拟真实物理蜜罐,成本较低,但是虚拟蜜罐的创建主要通过人工方式,因此,虚拟蜜罐由于配置的响应模式比较固定,因此容易被攻击者识别,互动性较差。技术实现要素:有鉴于此,本发明提供一种网络流量的发送方法、装置及混合蜜罐系统,用以解决虚拟蜜罐容易被攻击对象识别的问题。第一方面,一种网络流量的发送方法,包括:接收一个第一攻击业务流;确定所述第一攻击业务流的请求类型为第一请求类型;确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的一个虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。因此,本发明实施例中网络业务流分发器首先确定接收到的攻击业务流的请求类型,确定该请求类型的虚拟蜜罐模型的成熟度,当该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。可选的,在将所述第一攻击业务流转发至一个物理蜜罐之后,还包括:获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度。因此,本发明实施例中通过动态学习物理蜜罐的响应,能够训练出响应逼真度较高的虚拟蜜罐模型。可选的,在接收所述第一攻击业务流之前,还包括:获取至少两个攻击业务流;对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型;确定所述第一攻击业务流的请求类型为第一请求类型,包括:若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。因此,本发明实施例中当网络业务流分发器首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。可选的,更新针对所述第一请求类型而设置的成熟度阈值。因此,通过更新针对各个请求类型而设置的成熟度阈值,可以保证虚拟蜜罐能够根据需要逼近真实的物理蜜罐。第二方面,网络流量的发送装置,包括:一个网络业务流分发器,被配置为用于:接收一个第一攻击业务流;确定所述第一攻击业务流的请求类型为第一请求类型;确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的一个虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。因此,本发明实施例中网络业务流分发器首先确定接收到的攻击业务流的请求类型,确定针对该请求类型的虚拟蜜罐模型的成熟度,当针对该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。可选的,一个网络业务流学习模块,被配置为用于:获取所述第一攻击业务流,以及在所述网络业务流分发器将所述第一攻击业务流转发至所述物理蜜罐之后,获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度;将提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度通知所述网络业务流分发器;所述网络业务流分发器,还被配置为用于:将针对所述第一请求类型的虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度。因此,本发明实施例中通过动态学习物理蜜罐的响应,能够训练出响应逼真度较高的虚拟蜜罐模型。可选的,所述网络业务流分发器,还被配置为用于在接收所述第一攻击业务流之前,获取至少两个攻击业务流;对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;所述网络业务流学习模块,还被配置为用于:对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知所述网络业务流分发器;所述网络业务流分发器,还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;所述网络业务流分发器,被具体配置为用于在确定所述第一攻击业务流的请求类型为第一请求类型时,若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。因此,本发明实施例中当网络业务流分发器首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。可选的,一个阈值设置模块,被配置为用于更新针对所述第一请求类型而设置的成熟度阈值。因此,通过更新针对各个请求类型而设置的成熟度阈值,可以保证虚拟蜜罐能够根据需要逼近真实的物理蜜罐。第三方面,一种混合蜜罐系统,包括:如第二方面中所述的网络业务流分发器,以及至少一个物理蜜罐和至少一个虚拟蜜罐。其中,所述网络业务流分发器,被配置为用于:接收一个第一攻击业务流;确定所述第一攻击业务流的请求类型为第一请求类型;确定针对所述第一请求类型的虚拟蜜罐模型的成熟度,其中,针对所述第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用所述虚拟蜜罐模型的虚拟蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有所述第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对所述第一请求类型的虚拟蜜罐模型的成熟度越高;若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,若针对所述第一请求类型的虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐和一个物理蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。可选的,还包括:如第二方面中所述的网络业务流学习模块,可选地,可被配置为用于:获取所述第一攻击业务流,以及在所述网络业务流分发器将所述第一攻击业务流转发至所述物理蜜罐之后,获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;根据所述第一攻击业务流和所述第一响应业务流训练针对所述第一请求类型的虚拟蜜罐模型,并提高针对所述第一请求类型的虚拟蜜罐模型的成熟度;将提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度通知所述网络业务流分发器;所述网络业务流分发器,还被配置为用于:将针对所述第一请求类型的虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块提高后的针对所述第一请求类型的虚拟蜜罐模型的成熟度。可选地,还包括如第二方面中所述的阈值设置模块。第四方面,网络流量的发送装置,包括:至少一个存储器,用于存放机器可读代码;至少一个处理器,用于执行所述存储器存放的所述机器可读代码,实现第一方面和第一方面中任一种可选的实现方式中的方法。第五方面,提供一种机器可读介质,所述机器可读介质存储有机器可读代码,当所述机器可读代码被至少一个处理器执行时,实现第一方面和第一方面中任一种可选的实现方式中的方法。附图说明图1为本发明实施例提供的混合蜜罐系统;图2为本发明实施例提供的一种网络流量的发送方法的概述流程图;图3为本发明实施例提供的一种网络流量的发送装置的结构示意图。附图标记列表:100混合蜜罐系统101网络业务流分发器102网络业务流学习模块103物理蜜罐104虚拟蜜罐200网络业务流分发器101接收一个第一攻击业务流210网络业务流分发器101确定第一攻击业务流的请求类型为第一请求类型220网络业务流分发器101确定针对第一请求类型的虚拟蜜罐模型的成熟度230网络业务流分发器101判断针对第一请求类型的虚拟蜜罐模型的成熟度是否大于预设的针对第一请求类型而设置的成熟度阈值,若是执行步骤240a或步骤240b,否则执行步骤250240a网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。240b网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103250网络业务流分发器101将第一攻击业务流转发至一个物理蜜罐103300网络流量的发送装置301存储器302处理器303通信接口具体实施方式在现有的蜜罐系统中,物理蜜罐具有高互动性,但是在蜜罐系统中大量部署物理蜜罐成本较高,而虚拟蜜罐是通过软件模拟真实物理蜜罐,成本较低,但是虚拟蜜罐的创建主要通过人工方式,因此,现有技术中存在虚拟蜜罐配置的响应模式比较固定,容易被攻击对象识别,互动性较差。为了解决上述技术问题,本发明实施例提供了一种网络流量的发送方法、装置及混合蜜罐系统,该方法中,网络业务流分发器首先确定接收到的攻击业务流的请求类型以及该请求类型的虚拟蜜罐模型的成熟度,当该请求类型的虚拟蜜罐模型的成熟度高于针对该请求类型设置的成熟度阈值时,虚拟蜜罐采用训练好的虚拟蜜罐模型,网络业务流分发器可以将该攻击业务流转发至该虚拟蜜罐,或者将该攻击业务流转发至该虚拟蜜罐和物理蜜罐,此时的虚拟蜜罐使用的虚拟蜜罐模型的成熟度较高,不容易被攻击对象识别,且采用上述方法确定的虚拟蜜罐具有成本较低的特点。为了使本发明实施例的目的、技术方案和优点更加清楚明白,以下参照附图本发明实施例进一步详细说明。其中,后续描述的实施例仅仅是本发明实施例的一部分,而非全部的实施例。如图1所示,本发明实施例提供一种混合蜜罐系统100。该系统包括网络业务流分发器101、网络业务流学习模块102、以及至少一个物理蜜罐103和至少一个虚拟蜜罐104。其中,网络业务流分发器101和网络业务流学习模块102可位于一个设备中,也可位于两个不同的设备中。网络业务流分发器101可以与网络业务流学习模块102进行通信,网络业务流分发器101可以与物理蜜罐103和虚拟蜜罐104进行通信。网络业务流学习模块102可以与物理蜜罐103和虚拟蜜罐104进行通信。其中,网络业务流分发器101,用于:接收攻击业务流并将根据预设规则将其转发。网络业务流学习模块102,用于:训练每种请求类型的虚拟蜜罐模型,提高每种请求类型的虚拟蜜罐模型的成熟度。物理蜜罐103用于对网络业务流分发器101转发的攻击业务流进行响应,生成对应的响应业务流。虚拟蜜罐104用于对网络业务流分发器101转发的攻击业务流进行响应,生成对应的响应业务流。其中,虚拟蜜罐104使用训练好的虚拟蜜罐模型。上述网络业务流分发器101和网络业务流学习模块102的具体功能将在下文进行详细描述,此处仅作简单介绍。下面结合图2对采用上述混合蜜罐系统处理网络流量的方法进行介绍。如图2所示,本发明实施例提供一种网络流量的发送方法,包括:步骤200:网络业务流分发器101接收一个第一攻击业务流。步骤210:网络业务流分发器101确定第一攻击业务流的请求类型为第一请求类型。步骤220:网络业务流分发器101确定针对第一请求类型的虚拟蜜罐模型的成熟度。其中,针对第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用该模型的一个虚拟蜜罐104响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,针对第一请求类型的虚拟蜜罐模型的成熟度越高。步骤230:网络业务流分发器101判断针对第一请求类型的虚拟蜜罐模型的成熟度是否大于预设的针对第一请求类型而设置的成熟度阈值,若网络业务流分发器101的判断结果为是(y),执行步骤240a或步骤240b,若网络业务流分发器101的判断结果为否(n),执行步骤250。步骤240a:网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。步骤240b:网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103。步骤240a和步骤240b是两种可选的实现方式,实现时可根据实际情况进行选择。比如:若想在虚拟蜜罐模型的成熟度已经高于设置的成熟度阈值的情况下,进一步提高虚拟蜜罐模型的成熟度,则可以选择执行步骤240b;否则可以选择执行步骤240a。实际实现时,可通过一个开关来选择两种可选实现方式中的一种。步骤250:网络业务流分发器101将第一攻击业务流转发至一个物理蜜罐103。通过上述方法,能够解决虚拟蜜罐104配置的响应模式固定,容易被攻击对象识别的问题。采用本发明实施例提供的方法使用成熟度较高的虚拟蜜罐模型的虚拟蜜罐对攻击业务流进行响应不容易被攻击对象识别,且成本较低的特点。在将第一攻击业务流转发至一个物理蜜罐之后,网络业务流学习模块102获取一个第一响应业务流,第一响应业务流为收到第一攻击业务流的物理蜜罐响应于第一攻击业务流而生成的响应业务流;根据第一攻击业务流和第一响应业务流训练针对第一请求类型的虚拟蜜罐模型,并提高针对第一请求类型的虚拟蜜罐模型的成熟度。因此,针对第一请求类型的虚拟蜜罐模型的成熟度在未到达预设的针对第一请求类型而设置的成熟度阈值,针对第一请求类型的虚拟蜜罐模型生成的响应业务流不外发,只用于该虚拟蜜罐模型的训练。此时,网络业务流学习模块102对第一请求类型的虚拟蜜罐模型生成的响应业务流进行分析,与第一响应业务流进行比较,根据第一响应业务流和第一攻击业务流训练该虚拟蜜罐模型,提高该虚拟蜜罐模型的成熟度。随着网络业务流学习模块102对第一请求类型的虚拟蜜罐模型训练次数增多,第一请求类型的虚拟蜜罐模型的成熟度也增加。第一请求类型的虚拟蜜罐模型生成的响应业务流与第一响应业务流之间的相似程度增大,即第一请求类型的虚拟蜜罐模型生成的响应业务流可以越来越逼近第一响应业务流,在第一请求类型的虚拟蜜罐模型的成熟度增加后,网络业务流分发器101将第一请求类型的虚拟蜜罐模型的成熟度更新为网络业务流学习模块102提高后的第一请求类型的虚拟蜜罐模型的成熟度。针对上述步骤210,网络业务流分发器101确定第一攻击业务流的请求类型为第一请求类型,可以采用但不限于以下方法:在网络业务流分发器101接收第一攻击业务流之前,网络业务流分发器101获取至少两个攻击业务流,对于至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流。进一步地,网络业务流学习模块102对于至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式,确定至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型,记录至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型。网络业务流学习模块102将上述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型通知给网络业务流分发器101,网络业务流分发器101记录被通知的请求类型和具有该请求类型的攻击业务流的特征。因此,当网络业务流分发器101接收到第一攻击业务流时,网络业务流分发器101确定记录的被通知的请求类型和具有该请求类型的攻击业务流的特征,以及第一攻击业务流的特征,当网络业务流分发器101确定第一攻击业务流的特征与第一请求类型的攻击业务流的特征相同时,确定第一攻击业务流的请求类型我第一请求类型。例如,针对攻击业务流1,物理蜜罐采用规则1生成与攻击业务流1对应的响应业务流。针对攻击业务流2,物理蜜罐采用规则2生成与攻击业务流2对应的响应业务流。规则1与规则2不同。因此,攻击业务流1的请求类型与攻击业务流2的请求类型不同。针对攻击业务流3,物理蜜罐采用规则1生成与攻击业务流3对应的响应业务流。由于针对攻击业务流1和攻击业务流3生成响应业务流的生成方式相同,均采用规则1,因此,攻击业务流1的请求类型和攻击业务流3的请求类型相同。进一步地,网络业务流学习模块102记录攻击业务流1的特征和攻击业务流3的特征,同时具有上述特征的攻击业务流的类型记录为请求类型1。网络业务流学习模块102将请求类型1和请求类型1对应的特征通知给网络业务流分发器101。网络业务流分发器101接收攻击业务流4,若攻击业务流4具有记录的请求类型1的攻击业务流的特征,则确定攻击业务流4的请求类型为请求类型1。因此,当网络业务流分发器101首次收到一种请求类型的攻击业务流,分析该请求类型的攻击业务流,记录该请求类型的攻击业务流的特征。当网络业务流分发器101非首次收到一种请求类型的攻击业务流时,可以根据记录的各个请求类型和对应每个请求类型的攻击业务流的特征,确定攻击业务流的请求类型。在一种可能的设计中,针对第一请求类型而设置的成熟度阈值可以根据需要进行配置和更新,可以通过阈值设置模块实现。阈值设置模块可与网络业务流分发器101置于同一个设备,或者为网络业务流分发器101的一个组件。例如,针对第一请求类型而设置的成熟度阈值为90,在对针对第一请求类型而设置的成熟度阈值更新后,针对第一请求类型而设置的成熟度阈值为95。举例来说,如表1所示,为不同请求类型对应的虚拟蜜罐模型的成熟度。序号请求类型成熟度虚拟蜜罐标识id11fae22a3c3a0594487121fae22a3c3a0594765231fae22a3c3a0594593142adc6d15b949329a34352adc6d15b949329a88266d15b949329a235b232表1在一种可能的设计中,阈值设置模块可以针对每种请求类型配置虚拟蜜罐模型的成熟度阈值,或配置一个共同的虚拟蜜罐模型的成熟度阈值。例如,若表1中序号为1的请求类型所对应的虚拟蜜罐模型的成熟度阈值为90,则该请求类型的虚拟蜜罐模型的成熟度未达到阈值。又例如,若表1中序号为5的请求类型所对应的虚拟蜜罐模型的成熟度阈值为85,则该请求类型的虚拟蜜罐模型的成熟度已达到阈值。可选地,可在虚拟蜜罐模型的训练过程中即生成虚拟蜜罐,但不用于接收攻击业务流。也可在虚拟蜜罐模型训练成熟,即模型的成熟度大于成熟度阈值后再生成虚拟蜜罐,生成的虚拟蜜罐用于接收攻击业务流。如表1所示,一个虚拟蜜罐104可以处理至少一种请求类型的攻击业务流。,例如,id为1的虚拟蜜罐可以处理序号为1、3的请求类型的攻击业务流。id为2的虚拟蜜罐可以处理序号为2、5和6的请求类型的攻击业务流。此外,当序号为3的请求类型的攻击业务流数量增大时,还可为id为2的虚拟蜜罐配置其处理序号为3的请求类型的攻击业务流。或者,新建一个id为4的虚拟蜜罐,用于处理需要为3的请求类型的攻击业务流。因此,采用本发明实施例提供的方法可以实现虚拟蜜罐104的动态按需扩展,可以有多个虚拟蜜罐104使用训练好的虚拟蜜罐模型,使虚拟蜜罐104的配置更加灵活。针对步骤240a和步骤240b,当第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值时,网络业务流分发器101可以采用以下两种方式中的任一种方式处理第一攻击业务流。第一种方式为网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104。此时,使用模型的一个虚拟蜜罐104已经能够生成与物理蜜罐103生成的响应业务流相似程度较高的响应业务流,由虚拟蜜罐104为第一攻击业务流生成响应业务流可以减轻物理蜜罐103的处理压力。但是,此时第一请求类型的虚拟蜜罐模型不再接受训练,第一请求类型的虚拟蜜罐模型的成熟度不会再提高。在虚拟蜜罐104生成第一攻击业务流的响应业务流后,虚拟蜜罐104将第一攻击业务流的响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一攻击业务流的响应业务流发送至发送第一攻击业务流的设备。第二种方式为网络业务流分发器101将第一攻击业务流转发至使用该模型的一个虚拟蜜罐104和一个物理蜜罐103。此时,第一请求类型的虚拟蜜罐模型可以继续接受训练,第一请求类型的虚拟蜜罐模型的成熟度可以继续提高,使使用该模型的虚拟蜜罐104越来越接近物理蜜罐103。在虚拟蜜罐104生成第一攻击业务流的响应业务流后,虚拟蜜罐104将第一攻击业务流的响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一攻击业务流的响应业务流发送至发送第一攻击业务流的设备。或者,在物理蜜罐103生成第一响应业务流后,物理蜜罐103将第一响应业务流转发至网络业务流分发器101,由网络业务流分发器101将第一响应业务流发送至发送第一攻击业务流的设备。此外,在一种可能的设计中,当网络业务流分发器101首次确定第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值后,下次收到第一请求类型的攻击业务流可以直接转发至使用该虚拟蜜罐模型的虚拟蜜罐104,不必每次确定第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值。基于同样的发明构思,本发明实施例提供一种网络流量的发送装置,包括:一个网络业务流分发器101,被配置为用于:接收一个第一攻击业务流;确定第一攻击业务流的请求类型为第一请求类型;确定第一请求类型的虚拟蜜罐模型的成熟度,其中,第一请求类型的虚拟蜜罐模型的成熟度用于指示一个第一虚拟响应业务流与一个第一物理响应业务流之间的相似程度,一个第一虚拟响应业务流为使用模型的一个虚拟蜜罐104响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,一个第一物理响应业务流为一个物理蜜罐103响应于一个具有第一请求类型的攻击业务流可生成的响应业务流,其中,相似程度越高,第一请求类型的虚拟蜜罐模型的成熟度越高;若第一请求类型的模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值,则将第一攻击业务流转发至使用模型的一个虚拟蜜罐104,否则将第一攻击业务流转发至一个物理蜜罐103;或者,若第一请求类型的虚拟蜜罐模型的成熟度高于预设的成熟度阈值,则将第一攻击业务流转发至使用模型的一个虚拟蜜罐104和一个物理蜜罐103,否则将第一攻击业务流仅转发至一个物理蜜罐103。可选的,一个网络业务流学习模块102,被配置为用于:获取第一攻击业务流,以及在网络业务流分发器101将第一攻击业务流转发至物理蜜罐103之后,获取一个第一响应业务流,第一响应业务流为收到第一攻击业务流的物理蜜罐103响应于第一攻击业务流而生成的响应业务流;根据第一攻击业务流和第一响应业务流训练第一请求类型的虚拟蜜罐模型,并提高第一请求类型的虚拟蜜罐模型的成熟度;将提高后的第一请求类型的虚拟蜜罐模型的成熟度通知网络业务流分发器101;网络业务流分发器101,还用于:将第一请求类型的虚拟蜜罐模型的成熟度更新为网络业务流学习模块提高后的第一请求类型的虚拟蜜罐模型的成熟度。可选的,网络业务流分发器101,还被配置为用于在接收第一攻击业务流之前,获取至少两个攻击业务流;对于至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐103响应于该攻击业务流而生成的响应业务流;网络业务流学习模块,还被配置为用于:对于至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐103响应于该攻击业务流而生成的响应业务流的生成方式;确定至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;记录至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知网络业务流分发器101;网络业务流分发器101,还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;网络业务流分发器101,被具体配置为用于在确定第一攻击业务流的请求类型为第一请求类型时,若第一攻击业务流具有记录的第一请求类型的攻击业务流的特征,则确定第一攻击业务流的请求类型为第一请求类型。可选的,一个阈值设置模块,被配置为用于更新针对该第一请求类型而设置的成熟度阈值。基于同样的发明构思,参阅图3所示,本发明实施例提供一种网络流量的发送装置300,包括:至少一个存储器301,用于存放机器可读代码;至少一个处理器302,用于执行存储器存放的机器可读代码,实现如上述如图2所示的方法。可选的,网络流量的发送装置300还包括一个通信接口303,通信接口303用于接收攻击业务流,和发送接收到的攻击业务流的响应业务流。例如,通信接口303接收来自设备1的攻击业务流1,处理器通过采用如图2所示的方法获得攻击业务流1的响应业务流,通信接口将攻击业务流1的响应业务流发送至设备1。其中,至少一个存储器301和至少一个处理器302以及通信接口303之间可通过总线方式进行连接。本发明实施例提供机器可读介质,该机器可读介质存储有机器可读代码,当该机器可读代码被至少一个处理器执行时,实现如图2所示的方法。需要说明的是,上述各流程和各系统结构图中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由至少两个物理实体实现,或者,可以由至少两个独立设备中的某些部件共同实现。以上各实施例中,硬件单元可以通过机械方式或电气方式实现。例如,一个硬件单元可以包括永久性专用的电路或逻辑(如专门的处理器,现场可编程门阵列(field-programmablegatearray,fpga)或专用集成电路(applicationspecificintegratedcircuits,asic)等)来完成相应操作。硬件单元还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。上文通过附图和优选实施例对本发明实施例进行了详细展示和说明,然而本发明实施例不限于这些已揭示的实施例,基于上述实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明实施例的保护范围之内。当前第1页1 2 3 
技术特征:

1.一种网络流量的发送方法,其特征在于,包括:

接收一个第一攻击业务流;

确定所述第一攻击业务流的请求类型为第一请求类型;

确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;

若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,

若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐和使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。

2.如权利要求1所述的方法,其特征在于,在将所述第一攻击业务流转发至一个物理蜜罐之后,还包括:

获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;

根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度。

3.如权利要求1或2所述的方法,其特征在于,

在接收所述第一攻击业务流之前,还包括:

获取至少两个攻击业务流;

对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;

对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;

确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;

记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型;

确定所述第一攻击业务流的请求类型为第一请求类型,包括:若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。

4.如权利要求1~3任一项所述的方法,其特征在于,还包括:

更新针对所述第一请求类型而设置的成熟度阈值。

5.网络流量的发送装置,其特征在于,包括:一个网络业务流分发器(101),被配置为用于:

接收一个第一攻击业务流;

确定所述第一攻击业务流的请求类型为第一请求类型;

确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;

若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,

若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。

6.如权利要求5所述的装置,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:

获取所述第一攻击业务流,以及

在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,

获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;

根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;

将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);

所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。

7.如权利要求5或6所述的装置,其特征在于,

所述网络业务流分发器(101),还被配置为用于在接收所述第一攻击业务流之前,

获取至少两个攻击业务流;

对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐(103)响应于该攻击业务流而生成的响应业务流;

所述网络业务流学习模块(102),被配置为还用于:

对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐(103)响应于该攻击业务流而生成的响应业务流的生成方式;

确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;

记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知所述网络业务流分发器(101);

所述网络业务流分发器(101),还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;

所述网络业务流分发器(101),被具体配置为用于在确定所述第一攻击业务流的请求类型为第一请求类型时,若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。

8.如权利要求5~7任一项所述的装置,其特征在于,还包括:一个阈值设置模块,被配置为用于更新针对所述第一请求类型而设置的成熟度阈值。

9.一种混合蜜罐系统,其特征在于,包括:一个网络业务流分发器(101),以及至少一个物理蜜罐(103)和至少一个虚拟蜜罐(104),其中,所述网络业务流分发器(101),被配置为用于:

接收一个第一攻击业务流;

确定所述第一攻击业务流的请求类型为第一请求类型;

确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;

若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,

若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。

10.如权利要求9所述的系统,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:

获取所述第一攻击业务流,以及

在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,

获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;

根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;

将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);

所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。

11.网络流量的发送装置,其特征在于,包括:

至少一个存储器,用于存放机器可读代码;

至少一个处理器,用于执行所述存储器存放的所述机器可读代码,实现如权利要求1-4任一项所述的方法。

12.机器可读介质,其特征在于,所述机器可读介质存储有机器可读代码,当所述机器可读代码被至少一个处理器执行时,实现如权利要求1-4任一项所述的方法。

技术总结
本发明提供一种网络流量的发送方法、装置及混合蜜罐系统,该方法包括:接收一个第一攻击业务流,确定第一攻击业务流的请求类型为第一请求类型和针对第一请求类型的虚拟蜜罐模型的成熟度;若针对第一请求类型的虚拟蜜罐模型的成熟度高于预设的针对第一请求类型而设置的成熟度阈值,则将第一攻击业务流转发至使用该模型的一个虚拟蜜罐或者将第一攻击业务流转发至使用该模型的一个虚拟蜜罐和一个物理蜜罐,否则将第一攻击业务流转发至一个物理蜜罐。因此,采用使用成熟度较高的虚拟蜜罐模型的虚拟蜜罐对攻击业务流进行响应不容易被攻击对象识别。

技术研发人员:李锐;齐麟
受保护的技术使用者:西门子股份公司
技术研发日:2017.12.27
技术公布日:2020.05.19

转载请注明原文地址: https://bbs.8miu.com/read-267713.html

最新回复(0)