(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210548403.4 (22)申请日 2022.05.20 (71)申请人 上海磐御网络科技有限公司 地址 201400 上海市奉贤区肖塘路25 5弄10 号1层 (72)发明人 黄龙飞　刘可渔　 (74)专利代理 机构 北京中政联科专利代理事务 所(普通合伙) 11489 专利代理师 秦佩 (51)Int.Cl. G06F 21/53(2013.01) G06F 9/445(2018.01) G06F 9/48(2006.01) (54)发明名称 一种防逃逸的攻击行为欺骗蜜罐构建方法 (57)摘要 本发明涉及网络安全技术领域， 尤其涉及一 种防逃逸的攻击行为欺骗蜜罐构建方法。 本发明 通过管理平台创建不同功能的， 带有守护进程的 蜜罐容器， 将蜜罐部署在容器中。 当守护进程发 现系统执行的工作进程被停止或启动了不明进 程时， 蜜罐容器自动关闭。 当安装、 配置合法程序 或启动任一程序时， 守护进程采用白名单、 sha256进行校验。 校验成功， 程序正 常启动。 校验 失败， 程序被写入报警日志， 并被锁定在蜜罐容 器中。 对攻击行为的针对性强， 有效防止蜜罐逃 逸风险， 提高了网络环境的安全性和稳定性。 权利要求书1页 说明书4页 附图1页 CN 114861168 A 2022.08.05 CN 114861168 A 1.一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特 征在于， 方法如下： S1、 建立管理平台； 通过管理平台创建不同功能的蜜罐容器， 并在系统环境中布置多个 诱捕节点； S2、 蜜罐容器对诱捕节点进行一 一隔离， 蜜罐容器内布置 守护进程； S3、 将蜜罐一一部署在蜜罐容器内， 与诱捕节点以及守护进程进行绑定； 运行蜜罐、 蜜 罐容器以及系统； S4、 当守护进程发现系统执行的工作进程被停止或启动了不明进程时， 蜜罐容器自动 关闭； 当安装、 配置合法程序或启动任一 程序时， 守护进程进行 校验； S5、 校验成功， 程序正常启动； 校验失败， 程序被写入报警日志， 并被锁定在蜜罐容器 中。 2.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 管理 平台包括镜像模块、 蜜罐容器、 镜像仓库、 守护模块、 控制模块和校验 模块。 3.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 镜像 模块除了提供蜜罐容器运行时所需的程序、 库、 资源、 配置文件外， 还包含为蜜罐容器运行 时准备的配置参数。 4.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 蜜罐 容器上设置有数据接口； 数据接口设置有检测单元和截断单元； 守护进程连接检测单元和 截断单元。 5.根据权利要求2所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 校验 模块包括数据采集单元、 白名单存储库、 校验单元和反馈单元， 用于提前采集用户行为数 据， 建立白名单， 并将系统中的进程与白名单对比， 判断是否为允许的工作进程。 6.根据权利要求5所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 采集 单元对正常行为数据和异常行为数据进行收集， 分别提取上述数据包的特征值序列， 并分 类存储； 白名单为 正常行为数据的特 征值序列合 集。 7.根据权利要求6所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 守护 进程进行 校验会对当前执行的进程进行白名单 校验， 只有在白名单内的程序可以启动。 8.根据权利要求7所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 白名 单校验方法为： 需要当前执行的进程特征值序列与预先存储的正常行为数据的特征值序列 合集匹配， 判断为校验合格。 9.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 安 装、 配置合法程序或启动任一程序时， 守护进程采用sha256对宿 主文件进 行校验， 需要输入 Hash函数之前的数据和通过Hash函数 处理过后得到的编号必须一一对应； 需要每一个编号 的长度都是固定的； 且无法通过编号倒推出 数据的内容。 10.根据权利要求1所述的一种防逃逸的攻击行为欺骗蜜罐构建方法， 其特征在于， 守 护进程同时会校验其它程序的启动代码参数， 该启动参数 由系统随机生成且固定， 若攻击 者通过代码溢出的程序启动该通信程序， 因为不知道启动代码参数， 所以也无法正常启动， 同时蜜罐写入报警日志。权　利　要　求　书 1/1 页 2 CN 114861168 A 2一种防逃逸的攻 击行为欺骗蜜罐构建 方法 技术领域 [0001]本发明涉及网络安全技术领域， 尤其涉及 一种防逃逸的攻击行为欺骗蜜罐构建方 法。 背景技术 [0002]随着网络高速 的发展， 网络中的资源也在成倍的增加， 如何提高暴露在网络中资 源的安全性， 是目前急 需解决的问题。 蜜 罐技术本质上是一种对攻击方进 行欺骗的技术， 通 过布置一些作为诱饵的主机、 网络服务或者信息， 诱使攻击方对它们实施攻击， 从而 可以对 攻击行为进 行捕获和分析， 了解攻击方所使用的工具与方法， 推测攻击意图和 动机， 能够让 防御方清晰地了解他们所面对的安全威胁， 并通过技术和管理手段来增强实际系统的安全 防护能力。 [0003]现有的网络安全技术中， 现有的操作系统、 虚拟化工具软件有可能存在漏洞， 攻击 者可以利用存在的漏洞， 通过攻击工具实现蜜罐逃逸。 造成网络环境的安全性、 稳定性下 降。 发明内容 [0004]针对背景技术中存在的问题， 提出一种防逃逸的攻击行为欺骗蜜罐构建方法。 本 发明通过管理平台创建不同功能的， 带有守护进程的蜜 罐容器， 将蜜 罐部署在容器中。 当守 护进程发现系统执行的工作进程被停止或启动了不明进程时， 蜜 罐容器自动关闭。 当安装、 配置合法程序或启动任一程序时， 守护进程采用白名单、 sha256进行校验。 校验成功， 程序 正常启动。 校验失败， 程序被写入报警日志， 并被锁定在蜜罐容器中。 对攻击行为的针对性 强， 有效防止蜜罐 逃逸风险， 提高了网络环境的安全性和稳定性。 [0005]本发明提出一种防逃逸的攻击行为欺骗蜜罐构建方法， 方法如下： [0006]S1、 建立管理平台； 通过管理平台创建不同功能的蜜罐容器， 并在系统环境中布置 多个诱捕节点； [0007]S2、 蜜罐容器对诱捕节点进行一 一隔离， 蜜罐容器内布置 守护进程； [0008]S3、 将蜜罐一一部署在蜜罐容器内， 与诱捕节点以及守护进程进行绑定； 运行蜜 罐、 蜜罐容器以及系统； [0009]S4、 当守护进程发现系统执行的工作进程被停止或启动了不明进程时， 蜜罐容器 自动关闭； 当安装、 配置合法程序或启动任一 程序时， 守护进程进行 校验； [0010]S5、 校验成功， 程序正常启动； 校验失败， 程序被写入报警日志， 并被锁定在蜜罐容 器中。 [0011]优选的， 管理平台包括镜像模块、 蜜罐容器、 镜像仓库、 守护模块、 控制模块和校验 模块。 [0012]优选的， 镜像模块除了提供蜜罐容器运行时所需的程序、 库、 资源、 配置文件外， 还 包含为蜜罐容器运行时准备的配置参数。说　明　书 1/4 页 3 CN 114861168 A 3