本申請涉及網絡安全技術領域，尤其涉及一種蜜網部署方法、裝置及服務器，用于解決現有蜜網部署方案存在蜜罐部署不合理的問題，該方法為：基于目標網絡內的任一暴露在外部網絡的入口服務，得到該入口服務所在服務調用鏈上的各個服務；若基于各個服務，確定該入口服務所在服務調用鏈的攻陷概率不小于閾值，則從各個服務中選取出部署蜜罐服務的目標服務，為目標服務匹配蜜罐服務，并生成入口服務所在服務調用鏈的誘捕路徑；最后，在完成目標網絡內的每個入口服務所在服務調用鏈的蜜罐服務部署后，基于生成的各個誘捕路徑，得到目標網絡內的蜜網系統；這樣，以服務作為蜜罐服務部署的基本單位，實現蜜罐服務合理化部署，減少計算資源浪費和資源占用。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種蜜網部署方法、裝置及服務器。

背景技術

隨著互聯網技術不斷發展，越來越多的電子設備接入網絡，網絡環境日益復雜，網絡攻擊事件也頻繁發生。為了保護目標網絡，通常會選擇在目標網絡中部署蜜網，通過蜜網中的各個蜜罐誘使攻擊者對其實施攻擊，從而對攻擊行為進行捕獲和分析，延緩攻擊以及抵御攻擊，以實現保護數據安全的目的。

研究攻擊者的攻擊行為發現，通常攻擊者在發動攻擊之前，攻擊者對目標網絡的網絡拓撲、服務部署情況和內部安全措施均一無所知，攻擊者只能通過目標網絡暴露在外部網絡的入口服務開始對目標網絡進行攻擊，只有攻陷該入口服務的某個節點之后，攻擊者才有機會以此為據點進入目標網絡的內部實施進一步攻擊行為。攻擊者在進入到內部網絡后，只能從已攻陷節點的關聯節點中選擇下一個攻擊目標，通過不斷擴大控制范圍，最終竊取該鏈路上流轉的敏感數據。

因此，若目標網絡中任意節點的應用代碼、外部依賴或者操作系統等存在漏洞，都將增加被攻陷的可能性?，F有技術下，蜜網部署以節點視角進行部署，因此，在上述攻擊過程中，攻擊者一旦誤觸部署有蜜罐的節點，其攻擊行為就會被蜜網系統記錄并通知網絡管理員，導致本次攻擊失敗。

然而，實際使用中，目標網絡中往往存在不止一條服務調用鏈，且由于共用服務的存在，服務調用鏈之間有很多交叉重合的部分，現有技術下以節點為視角部署的蜜網，在全量服務調用鏈描述下非常復雜，存在著蜜罐部署不合理、計算資源浪費嚴重的問題。

發明內容

本申請實施例提供一種蜜網部署方法、裝置及服務器，用以以服務作為服務調用鏈上部署蜜罐服務的基本單位，有效降低調用鏈本身的復雜度，減少動態蜜網部署策略的實時計算量和資源占用。

本申請實施例提供的具體技術方案如下：

第一方面，本申請實施例提供一種蜜網部署方法，包括：

基于目標網絡內的任一入口服務，得到所述入口服務所在服務調用鏈上的各個服務，其中所述入口服務是所述目標網絡暴露在外部網絡的服務；

基于所述各個服務，確定所述入口服務所在服務調用鏈的攻陷概率；

若所述攻陷概率不小于所述閾值，則從所述各個服務中選取出需部署蜜罐服務的目標服務，為所述目標服務匹配蜜罐服務，并基于所述目標服務和匹配到的蜜罐服務，生成所述入口服務所在服務調用鏈的誘捕路徑；

在完成所述目標網絡內的每個入口服務所在服務調用鏈的蜜罐服務部署后，基于生成的各個誘捕路徑，得到所述目標網絡內的蜜網系統。

在一些可能的實施例中，在所述基于目標網絡內的任一入口服務，得到所述入口服務所在服務調用鏈上的各個服務之前，還包括：

接收到蜜網部署指令，其中所述蜜網部署指令是蜜網首次部署指令或蜜網重置指令；

若所述蜜網部署指令是所述蜜網重置指令，則在所述接收到蜜網部署指令之后，在所述基于目標網絡內的任一入口服務，得到所述入口服務所在服務調用鏈上的各個服務之前，還包括：

刪除所述目標網絡內的已部署蜜罐服務列表、誘捕路徑起點列表和誘捕路徑終點列表；