(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111571922.4 (22)申请日 2021.12.21 (71)申请人 北京知道创宇信息技 术股份有限公 司 地址 100000 北京市朝阳区阜通 东大街1号 院5号楼1单 元311501室 (72)发明人 杨珩　练小谦　刘欢　胥帆鸥　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 戴尧罡 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种蜜罐攻击链构建方法及蜜罐系统 (57)摘要 本发明的实施例提供了一种蜜罐攻击链构 建方法及蜜罐系统， 涉及网络安全技术领域。 该 方法应用于蜜罐系统， 蜜罐系统包括蜜罐、 靶 标、 数据网关及处理平台。 该方法包括： 数据网关获 取攻击者发送的每个请求。 数据网关将每个请求 发送至蜜罐和靶标。 蜜罐根据每个请求， 分别获 得第一攻击信息， 并将第一攻击信息发送至处理 平台。 靶标根据每个请求， 分别获得第二攻击信 息， 并将第二攻击信息发送至处理平台。 处理平 台根据获取的所有与攻击者相关的第一攻击信 息和第二攻击信息， 还原攻击者的攻击链。 如此， 通过设置相应靶标以满足蜜罐所不具备的业务 需求， 获得靶标和蜜罐返回的攻击信息， 还原攻 击者真实的攻击链， 即攻击过程。 权利要求书2页 说明书9页 附图5页 CN 114285626 A 2022.04.05 CN 114285626 A 1.一种蜜罐攻击链构建方法， 其特征在于， 应用于蜜罐系统， 所述蜜罐系统包括蜜罐、 靶标、 数据网关及处 理平台， 所述方法包括： 所述数据网关获取攻击者发送的每 个请求； 所述数据网关将每 个所述请求发送至所述蜜罐和所述靶标； 所述蜜罐根据每个所述请求， 分别获得第一攻击信息， 并将所述第一攻击信息发送至 所述处理平台； 所述靶标根据每个所述请求， 分别获得第二攻击信息， 并将所述第二攻击信息发送至 所述处理平台； 所述处理平台根据获取的所有与 所述攻击者相关的第 一攻击信 息和第二攻击信 息， 还 原所述攻击者的攻击链。 2.根据权利要求1所述的方法， 其特征在于， 所述靶标有多种， 每种靶标有其对应的请 求响应条件， 所述数据网关存 储有多个请求响应条件和请求的对应关系； 所述数据网关将每 个所述请求发送至所述靶标的步骤， 包括： 所述数据网关根据每 个所述请求， 分别判断是否存在所述请求对应的请求响应条件； 若是， 所述数据网关则查找所述请求响应条件对应的目标靶标， 并将所述请求发送至 所述目标靶标。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述蜜罐根据所述请求， 获得第一返回信息， 并将所述第一返回信息发送至所述数据 网关； 所述靶标根据所述请求， 获得第二返回信息， 并将所述第二返回信息发送至所述数据 网关； 其中， 所述第二返回信息携带有设定的反制信息； 所述数据网关将获取的第一返回信息和第二返回信息进行处理， 得到请求响应结果， 并将所述请求响应结果发送至所述 攻击者。 4.根据权利要求3所述的方法， 其特征在于， 所述蜜罐系统针对同一个请求响应条件设 置有多个靶标； 所述靶标根据所述请求， 获得第二返回信息， 并将所述第二返回信息发送至 所述数据网关的步骤， 包括： 所述数据网关针对同一攻击者的多个请求， 根据预先设置的规则， 分别将每个所述请 求发送至不同的靶标； 其中， 多个请求存在对应的同一请求响应条件； 每个所述靶标根据所述请求， 获得第二返回信息， 并将所述第二返回信息发送至所述 数据网关； 其中， 每 个靶标获得的第二返回信息不同。 5.根据权利要求3所述的方法， 其特征在于， 所述第 二返回信 息还携带有针对所述攻击 者的身份信息， 所述方法还 包括： 当第二攻击者基于所述第 二返回信 息发送请求至所述蜜罐系统时， 获取所述第 二返回 信息携带的身份信息； 其中， 所述第二 攻击者与所述 攻击者的IP地址不同； 根据所述身份信息， 将使用不同IP地址的第二 攻击者确定为所述 攻击者。 6.根据权利要求1所述的方法， 其特征在于， 所述蜜罐为多个， 每个蜜罐有对应的请求 类型； 所述数据网关存储有多个请求与请求类型 的对应关系； 所述数据网关将每个所述请 求发送至蜜罐的步骤， 包括： 所述数据网关根据每 个所述请求， 分别确定每 个所述请求对应的请求类型；权　利　要　求　书 1/2 页 2 CN 114285626 A 2根据所述请求类型， 将每 个所述请求发送至所述请求类型对应的目标蜜罐。 7.根据权利要求6所述的方法， 其特征在于， 所述蜜罐系统包含多个场景， 每个场景分 别由不同的多个蜜罐和每 个蜜罐分别对应的多种靶标组成； 所述处理平台根据获取的所有与 所述攻击者相关的第 一攻击信 息和第二攻击信 息， 还 原所述攻击者的攻击链的步骤之后， 所述方法还 包括： 根据每个攻击者的请求发送至的目标蜜罐和靶标， 分别确定并标定每个攻击者的攻击 链与场景的对应关系； 根据所述对应关系， 获得每 个场景下的所有攻击者的攻击链； 分别将每个场景的所有攻击者的攻击链汇总在一起， 形成多个场景的攻击链信息， 以 分析每个场景的蜜罐和靶标的配置是否有漏洞。 8.一种蜜罐系统， 其特 征在于， 所述系统包括： 数据网关， 用于获取攻击者发送的每个请求， 并将每个所述请求发送至所述蜜罐和靶 标； 蜜罐， 用于根据每个所述请求， 获得第一攻击信息， 并将所述第一攻击信息发送至处理 平台； 靶标， 用于根据每个所述请求， 获得第二攻击信息， 并将所述第二攻击信息发送至所述 处理平台； 处理平台， 用于根据获取的多个与所述攻击者相关的第一攻击信息和第二攻击信息， 还原所述 攻击者的攻击链。 9.根据权利要求8所述的系统， 其特征在于， 所述靶标为多个， 每个靶标有其对应的请 求响应条件， 所述数据网关存 储有多个请求响应条件和请求的对应关系； 所述数据网关通过以下步骤执 行所述数据网关将每 个所述请求发送至靶标： 根据每个所述请求， 分别判断是否存在所述请求对应的请求响应条件； 若是， 则查找所述请求响应条件 对应的目标靶标， 并将所述请求发送至所述目标靶标。 10.根据权利要求8所述的系统， 其特 征在于， 所述系统还 包括： 所述蜜罐根据所述请求， 获得第一返回信息， 并将所述第一返回信息发送至所述数据 网关； 所述靶标根据所述请求， 获得第二返回信息， 并将所述第二返回信息发送至所述数据 网关； 其中， 所述第二返回信息携带有不利于攻击者的信息； 所述数据网关将获取的第一返回信息和第二返回信息进行处理， 得到请求响应结果， 并将所述请求响应结果发送至所述攻击者， 以使所述第二返回信息不会被所述攻击者发 现。权　利　要　求　书 2/2 页 3 CN 114285626 A 3