本發明提供一種網絡流量的發送方法、裝置及混合蜜罐系統，該方法包括：接收一個第一攻擊業務流，確定第一攻擊業務流的請求類型為第一請求類型和針對第一請求類型的虛擬蜜罐模型的成熟度；若針對第一請求類型的虛擬蜜罐模型的成熟度高于預設的針對第一請求類型而設置的成熟度閾值，則將第一攻擊業務流轉發至使用該模型的一個虛擬蜜罐或者將第一攻擊業務流轉發至使用該模型的一個虛擬蜜罐和一個物理蜜罐，否則將第一攻擊業務流轉發至一個物理蜜罐。因此，采用使用成熟度較高的虛擬蜜罐模型的虛擬蜜罐對攻擊業務流進行響應不容易被攻擊對象識別。

技術領域

本發明涉及網絡技術領域，尤其涉及一種網絡流量的發送方法、裝置及混合蜜罐系統。

背景技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些誘餌的主機，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強被保護系統的安全防護能力。

在現有的蜜罐系統中，包括物理蜜罐和虛擬蜜罐，其中，物理蜜罐具有高互動性，但是在蜜罐系統中大量部署物理蜜罐成本較高，而虛擬蜜罐是通過軟件模擬真實物理蜜罐，成本較低，但是虛擬蜜罐的創建主要通過人工方式，因此，虛擬蜜罐由于配置的響應模式比較固定，因此容易被攻擊者識別，互動性較差。

發明內容

有鑒于此，本發明提供一種網絡流量的發送方法、裝置及混合蜜罐系統，用以解決虛擬蜜罐容易被攻擊對象識別的問題。

第一方面，一種網絡流量的發送方法，包括：

接收一個第一攻擊業務流；確定所述第一攻擊業務流的請求類型為第一請求類型；確定針對所述第一請求類型的虛擬蜜罐模型的成熟度，其中，針對所述第一請求類型的虛擬蜜罐模型的成熟度用于指示一個第一虛擬響應業務流與一個第一物理響應業務流之間的相似程度，一個第一虛擬響應業務流為使用所述虛擬蜜罐模型的一個虛擬蜜罐響應于一個具有所述第一請求類型的攻擊業務流可生成的響應業務流，一個第一物理響應業務流為一個物理蜜罐響應于一個具有所述第一請求類型的攻擊業務流可生成的響應業務流，其中，相似程度越高，針對所述第一請求類型的虛擬蜜罐模型的成熟度越高；若針對所述第一請求類型的虛擬蜜罐模型的成熟度高于預設的針對所述第一請求類型而設置的成熟度閾值，則將所述第一攻擊業務流轉發至使用所述虛擬蜜罐模型的一個虛擬蜜罐，否則將所述第一攻擊業務流轉發至一個物理蜜罐；或者，若針對所述第一請求類型的虛擬蜜罐模型的成熟度高于預設的所述成熟度閾值，則將所述第一攻擊業務流轉發至使用所述虛擬蜜罐模型的一個虛擬蜜罐和一個物理蜜罐，否則將所述第一攻擊業務流僅轉發至一個物理蜜罐。

因此，本發明實施例中網絡業務流分發器首先確定接收到的攻擊業務流的請求類型，確定該請求類型的虛擬蜜罐模型的成熟度，當該請求類型的虛擬蜜罐模型的成熟度高于針對該請求類型設置的成熟度閾值時，虛擬蜜罐采用訓練好的虛擬蜜罐模型，網絡業務流分發器可以將該攻擊業務流轉發至該虛擬蜜罐，或者將該攻擊業務流轉發至該虛擬蜜罐和物理蜜罐，此時的虛擬蜜罐使用的虛擬蜜罐模型的成熟度較高，不容易被攻擊對象識別，且采用上述方法確定的虛擬蜜罐具有成本較低的特點。

可選的，在將所述第一攻擊業務流轉發至一個物理蜜罐之后，還包括：

獲取一個第一響應業務流，所述第一響應業務流為收到所述第一攻擊業務流的物理蜜罐響應于所述第一攻擊業務流而生成的響應業務流；

根據所述第一攻擊業務流和所述第一響應業務流訓練針對所述第一請求類型的虛擬蜜罐模型，并提高針對所述第一請求類型的虛擬蜜罐模型的成熟度。

因此，本發明實施例中通過動態學習物理蜜罐的響應，能夠訓練出響應逼真度較高的虛擬蜜罐模型。

可選的，在接收所述第一攻擊業務流之前，還包括：

獲取至少兩個攻擊業務流；