本發明提供一種基于蜜罐技術的溯源方法、裝置及蜜罐設備，所述方法包括：獲取疑似惡意攻擊行為的相關信息；根據所述疑似惡意攻擊行為的相關信息判斷是否存在持續發出惡意攻擊行為的惡意主機；若存在，則向所述惡意主機進行主動探測，并獲得探測結果；根據所述探測結果向所述惡意主機上傳遠程執行腳本，以獲取關鍵溯源信息。該方法、裝置及蜜罐設備能夠解決現有的蜜罐技術僅可以感知到惡意攻擊，除了記錄攻擊行為日志以外，只能被動防御的問題。

技術領域

本發明涉及網絡技術領域，尤其涉及一種基于蜜罐技術的溯源方法、裝置及蜜罐設備。

背景技術

蜜罐技術是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

然而，現有的蜜罐技術僅可以感知到惡意攻擊，除了記錄攻擊行為日志以外，只能被動防御。

發明內容

本發明所要解決的技術問題是針對現有技術的上述不足，提供一種基于蜜罐技術的溯源方法、裝置及蜜罐設備，用以解決現有的蜜罐技術僅可以感知到惡意攻擊，除了記錄攻擊行為日志以外，只能被動防御的問題。

第一方面，本發明實施例提供一種基于蜜罐技術的溯源方法，應用于蜜罐設備，包括：

獲取疑似惡意攻擊行為的相關信息；

根據所述疑似惡意攻擊行為的相關信息判斷是否存在持續發出惡意攻擊行為的惡意主機；

若存在，則向所述惡意主機進行主動探測，并獲得探測結果；

根據所述探測結果向所述惡意主機上傳遠程執行腳本，以獲取關鍵溯源信息。

優選地，所述獲取疑似惡意攻擊行為的相關信息的步驟之前，所述方法還包括：

當探測到疑似惡意攻擊行為時，將所述疑似惡意攻擊行為的相關信息保存至被攻擊信息庫，所述疑似惡意攻擊行為的相關信息包括惡意主機的IP地址、端口及事件；

所述獲取疑似惡意攻擊行為的相關信息，包括：

從所述被攻擊信息庫中獲取疑似惡意攻擊行為的相關信息。

優選地，所述向所述惡意主機進行主動探測，并獲得探測結果，包括：

獲取被攻擊信息庫中所述惡意主機對應的IP地址和端口；

根據所述IP地址和端口對所述惡意主機進行WEB漏洞掃描，并判斷所述持續惡意攻擊行為是否由WEB應用發起；

若所述持續惡意攻擊行為由WEB應用發起，則所述根據所述探測結果向所述惡意主機上傳遠程執行腳本，獲取關鍵溯源信息，包括：

判斷所述WEB應用是否存在高危漏洞；

若存在所述高危漏洞，則利用所述高危漏洞向所述惡意主機上傳遠程執行腳本，獲取關鍵溯源信息。

優選地，所述判斷所述持續惡意攻擊行為是否由WEB應用發起，包括：

根據所述IP地址和端口向所述惡意主機請求嘗試WEB連接；

若WEB連接成功，則判斷所述持續惡意攻擊行為由WEB應用發起。

優選地，所述獲取關鍵溯源信息，包括：

獲取所述惡意主機的系統日志和WEB應用日志；

所述獲取關鍵溯源信息的步驟之后，所述方法還包括：