(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211121575.X (22)申请日 2022.09.15 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 杨万年　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 林哲生 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种蜜罐攻击溯源方法、 装置、 设备、 存储介 质 (57)摘要 本申请公开了一种蜜罐攻击溯源方法、 装 置、 设备、 存储介质， 涉及网络安全技术领域， 包 括： 当监测到安装伪服务的终端接收到攻击者发 送的攻击流量时， 抓取攻击者的MAC信息； 判断终 端是否存在蜜罐服务； 若终端不存在蜜罐服务， 则产生告警数据并断开与攻击者的连接； 若终端 存在蜜罐服务， 则基于蜜罐服务端口与本地服务 端口的对应关系将攻击流量转发至对应的蜜罐 服务端口， 以便蜜罐服务端口将包含攻击者IP信 息在内的部分攻击者信息发送至蜜罐中心平台， 并将MAC信息与部分攻击者信息进行整合， 生成 完整的攻击者信息。 使用终端伪服务的方式触发 蜜罐的告警， 提高蜜罐告警概率； 通过抓包匹配 的方式， 抓取MA C地址， 并匹配溯源到真实的攻击 者。 权利要求书2页 说明书9页 附图3页 CN 115499204 A 2022.12.20 CN 115499204 A 1.一种蜜罐攻击溯源方法， 其特 征在于， 包括： 当监测到安装伪服 务的终端接收到攻击者发送的攻击流 量时， 抓取攻击者的MAC信息； 判断所述终端是否存在蜜罐服 务； 若所述终端不存在蜜罐服 务， 则产生告警数据并断开与所述 攻击者的连接； 若所述终端存在蜜罐服务， 则基于蜜罐服务端口与本地服务端口的对应关系将所述攻 击流量转发至对应的蜜 罐服务端口， 以便所述蜜 罐服务端口将包含攻击者IP信息在内的部 分攻击者信息发送至蜜 罐中心平台， 并将所述MAC信息与所述部 分攻击者信息进 行整合， 生 成完整的攻击者信息 。 2.根据权利要求1所述的蜜罐攻击溯源方法， 其特征在于， 所述当监测到安装伪服务的 终端接收到攻击者发送的攻击流 量时， 抓取攻击者的MAC信息之前， 还 包括： 预先在终端安装伪服 务， 并动态开启所述伪服 务， 以便接收攻击者发起的流 量攻击。 3.根据权利要求1所述的蜜罐攻击溯源方法， 其特征在于， 所述当监测到安装伪服务的 终端接收到攻击者发送的攻击流 量时， 抓取攻击者的MAC信息， 包括： 当监测到安装伪服务的终端接收到攻击者发送的攻击流量时， 通过libpcap抓取攻击 者的MAC信息 。 4.根据权利要求3所述的蜜罐攻击溯源方法， 其特征在于， 所述当监测到安装伪服务的 终端接收到攻击者发送的攻击流 量时， 通过l ibpcap抓取攻击者的MAC信息， 包括： 当监测到安装伪服务的终端接收到攻击者发送的攻击流量时， 通过libpcap对本地服 务端口进行握 手和挥手的抓包操作， 抓取攻击者的MAC信息 。 5.根据权利要求1所述的蜜罐攻击溯源方法， 其特征在于， 所述若所述终端存在蜜罐服 务， 则基于蜜 罐服务端口与本地服务端口的对应关系将所述攻击流量转 发至对应的蜜 罐服 务端口， 包括： 若所述终端存在蜜罐服务， 则确定所述攻击流量攻击的本地服务端口， 并基于蜜罐服 务端口与本地 服务端口的对应关系从关系列表中确定对应的蜜罐服 务端口； 将所述攻击流量转发至对应的蜜罐服 务端口。 6.根据权利要求5所述的蜜罐攻击溯源方法， 其特征在于， 所述确定所述攻击流量攻击 的本地服务端口， 并基于蜜罐服务端口与本地服务端口的对应关系从关系列 表中确定对应 的蜜罐服 务端口之前， 还 包括： 预先绑定本地服务端口与对应的蜜罐服 务端口， 以生成对应的关系列表。 7.根据权利要求1至6任一项所述的蜜罐攻击溯源方法， 其特征在于， 所述将所述MAC信 息与所述部分攻击者信息进行整合， 生成完整的攻击者信息， 包括： 将所述MAC信息上传至蜜罐中心 平台； 当收到部分攻击者信息时， 将对应的所述MAC信息与所述部分攻击者信息进行整合， 生 成完整的攻击者信息 。 8.一种蜜罐攻击溯源 装置， 其特 征在于， 包括： 信息抓取模块， 用于当监测到安装伪服务的终端接收到攻击者发送的攻击流量时， 抓 取攻击者的MAC信息； 服务判断模块， 用于判断所述终端是否存在蜜罐服 务； 连接断开模块， 用于若所述终端不存在蜜罐服务， 则产生告警数据并断开与所述攻击权　利　要　求　书 1/2 页 2 CN 115499204 A 2者的连接； 信息生成模块， 用于若所述终端存在蜜罐服务， 则基于蜜罐服务端口与本地服务端口 的对应关系将所述攻击流量转发至对应的蜜 罐服务端口， 以便所述蜜 罐服务端口将包含攻 击者IP信息在内的部分攻击者信息发送至蜜罐中心平台， 并将所述MAC信息与所述部分攻 击者信息进行整合， 生成完整的攻击者信息 。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于保存计算机程序； 处理器， 用于执行所述计算机程序， 以实现如权利要求1至7任一项所述的蜜罐攻击溯 源方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机程序； 其中， 所述计算机程 序被处理器执行时实现如权利要求1至7任一项所述的蜜罐攻击溯源方法的步骤。权　利　要　求　书 2/2 页 3 CN 115499204 A 3