本發明實施例提供一種防御網絡攻擊的蜜罐構建方法、裝置、設備及介質。該方法包括：檢測網絡流量；當網絡流量異常時，根據網絡流量異常時的網絡流量特征確定網絡遭受攻擊的攻擊類型；根據攻擊類型確定與攻擊類型對應的檢測函數的容器鏡像；對容器鏡像實例化，構建運行檢測函數的容器用作蜜罐。通過本發明的構建方法、裝置、設備及介質，能夠根據網絡流量確定網絡是否異常，并根據異常時的網絡流量特征確定攻擊類型，針對攻擊類型構建對應的蜜罐，不僅能夠提升蜜罐的靈活性，還可以避免蜜罐被攻陷后的網絡威脅。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種防御網絡攻擊的蜜罐構建方法、裝置、設備和計算機可讀存儲介質。

背景技術

隨著互聯網的發展，網絡安全已經受到了廣泛的重視，目前的網絡安全技術主要分為被動防御技術和主動防御技術。

其中，被動防御技術對外防止黑客入侵，對內進行訪問控制，主要是通過防火墻等設備進行安全策略配置，力求在攻擊發生前進行防御策略的制定，從而進行阻斷。

主動防御技術主要包括入侵檢測、蜜罐等技術，力求在攻擊行為發生時進行感知，從而進行防御部署。

但是現有的蜜罐系統僅能夠應對的攻擊種類單一，極其容易被攻陷；與此同時，由于蜜罐系統部署于真實系統環境中，一旦其被攻擊者發現并攻陷，可以被當作跳板機從而威脅所在的整個網絡環境。

發明內容

本發明實施例提供了一種防御網絡攻擊的蜜罐構建方法、裝置、設備和計算機可讀存儲介質，能夠根據網絡流量確定網絡是否異常，并根據異常時的網絡流量特征確定網絡受到攻擊的攻擊類型，針對攻擊類型構建對應的蜜罐，不僅能夠提升蜜罐的靈活性，還可以避免蜜罐被攻陷后的網絡威脅。

第一方面，本發明提供一種防御網絡攻擊的蜜罐構建方法，該方法包括：檢測網絡流量；當網絡流量異常時，根據網絡流量異常時的網絡流量特征確定網絡遭受攻擊的攻擊類型；根據攻擊類型確定與攻擊類型對應的檢測函數的容器鏡像；對容器鏡像實例化，構建運行檢測函數的容器用作蜜罐。

在第一方面的一些可實現方式中，網絡流量包括文件訪問流量和/或暴力破解流量。

在第一方面的一些可實現方式中，網絡流量異常包括：文件的訪問頻率超過預設訪問閾值和/或服務的解析頻率超過預設解析閾值，其中，服務包括安全外殼協議SSH服務、湯姆貓Tomcat服務、MySQL服務中的至少一種。

在第一方面的一些可實現方式中，在檢測網絡流量之前，該方法還包括：獲取文件在歷史時間段中每次被訪問的時間和訪問者的互聯網協議IP地址；歷史時間段以日為單位，包括一日或多日，統計歷史時間段中每日文件的被訪問總次數，每日以小時為單位，統計每日每小時文件的被訪問次數；統計每個IP地址每日訪問文件次數和每個IP地址每日訪問時間分布，其中，每個IP地址每日訪問時間分布按照小時分布；根據每日文件的被訪問總次數，每日每小時文件的被訪問次數，每個IP地址每日訪問文件次數和每個IP地址每日訪問時間分布確定預設訪問閾值。

在第一方面的一些可實現方式中，攻擊類型包括：端口探測攻擊、結構化查詢語言SQL注入攻擊、溢出攻擊、拒絕服務攻擊、加密攻擊、口令探測攻擊、泛洪攻擊、未知類型攻擊中的至少一種。

第二方面，本發明提供一種防御網絡攻擊的蜜罐構建裝置，該裝置包括：檢測模塊，用于檢測網絡流量；第一確定模塊，用于當網絡流量異常時，根據網絡流量異常時的網絡流量特征確定網絡遭受攻擊的攻擊類型；第二確定模塊，用于根據攻擊類型確定與攻擊類型對應的檢測函數的容器鏡像；構建模塊，用于對容器鏡像實例化，構建運行檢測函數的容器用作蜜罐。

在第二方面的一些可實現方式中，網絡流量包括文件訪問流量和/或暴力破解流量。