本申請實施例提供了一種蜜罐生成方法和裝置，所述方法包括：基于客戶端請求的流量數據進行流量解析，獲得客戶端請求的應用層協議；基于客戶端請求的應用層協議，對客戶端請求的流量數據進行字段提取，獲得客戶端請求的字段，基于客戶端請求的字段，在預設數據庫中進行精確查詢，若所述精確查詢結果為空，則采用簡化查詢，直至獲得有效的查詢結果；對所述有效的查詢結果進行數據篩選，獲得有效的篩選結果；將客戶端請求與有效的篩選結果進行響應內容構造，獲得新的響應內容；基于客戶端請求的應用層協議，將新的響應內容構建成符合所述應用層協議的數據包，發送至所述客戶端。本申請實施例蜜罐生成過程中占用資源少，對虛擬環境要求不高。

技術領域

本申請各實施例屬于網絡安全及偽裝欺騙技術領域，具體而言，涉及一種蜜罐生成方法和裝置。

背景技術

蜜罐是基于欺騙偽裝的技術理念，以模擬真實業務系統的形式，引誘、監控、分析、溯源攻擊行為的一種網絡安全防護技術。由于蜜罐沒有業務上的用途，所有流量都可視為掃描或攻擊行為，因此可以比較好的聚焦于真實威脅，具有低誤報的特點。

常見的高交互蜜罐一般使用真實的業務系統，直接部署運行在虛擬機或者容器等虛擬的受限環境中，從而可以完整模擬真實業務系統的交互、業務流程以及漏洞，對于掃描器和真人攻擊者均具有較強的欺騙性。但是這種方法存在占用資源大，對虛擬環境要求高，且存在許可授權問題。

低交互蜜罐一般由開發人員專門編寫，模擬實現對應業務的通信邏輯和業務流程，以及相關漏洞，并可以對常見掃描器攻擊進行專門優化，實現比較完善的欺騙掃描器，這種方法存在人工模擬不全面，不能實現欺騙真人攻擊者的目的，且開發時間較長。低交互蜜罐也可以通過人工收集業務的靜態資源，使用通用的網站服務器的方法實現，但是該方法無動態交互，無漏洞仿真。

基于此，需要一種新的蜜罐生成方法。

發明內容

本說明書實施例提供一種蜜罐生成方法和裝置，以解決部分或者全部問題：蜜罐生成過程中，占用資源大，對虛擬環境要求高，開發時間長，無動態交互等問題。

為解決上述技術問題，本說明書實施例是這樣實現的：

本說明書實施例提供一種蜜罐生成方法，所述方法包括：

基于客戶端請求的流量數據進行流量解析，獲得所述客戶端請求的應用層協議；

基于所述客戶端請求的應用層協議，對所述客戶端請求的流量數據進行字段提取，獲得所述客戶端請求的字段；

基于所述客戶端請求的字段，在預設數據庫中進行精確查詢，若所述精確查詢結果為空，則采用簡化查詢，直至獲得有效的查詢結果；

對所述有效的查詢結果進行數據篩選，獲得有效的篩選結果；

將所述客戶端請求與所述有效的篩選結果進行響應內容構造，獲得新的響應內容；

基于所述客戶端請求的應用層協議，將所述新的響應內容構建成符合所述應用層協議的數據包，發送至所述客戶端。

本說明書實施例提供一種蜜罐生成裝置，所述裝置包括：

流量解析模塊，基于客戶端請求的流量數據進行流量解析，獲得所述客戶端請求的應用層協議；

字段提取模塊，基于所述客戶端請求的應用層協議，對所述客戶端請求的流量數據進行字段提取，獲得所述客戶端請求的字段；

數據查詢模塊，基于所述客戶端請求的字段，在預設數據庫中進行精確查詢，若所述精確查詢結果為空，則采用簡化查詢，直至獲得有效的查詢結果；

數據篩選模塊，對所述有效的查詢結果進行數據篩選，獲得有效的篩選結果；

響應內容構造模塊，將所述客戶端請求與所述有效的篩選結果進行響應內容構造，獲得新的響應內容；