1.一种网络流量的发送方法,其特征在于,包括:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流转发至一个物理蜜罐;或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐和使用所述虚拟蜜罐模型的一个虚拟蜜罐,否则将所述第一攻击业务流仅转发至一个物理蜜罐。
2.如权利要求1所述的方法,其特征在于,在将所述第一攻击业务流转发至一个物理蜜罐之后,还包括:
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度。
3.如权利要求1或2所述的方法,其特征在于,
在接收所述第一攻击业务流之前,还包括:
获取至少两个攻击业务流;
对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐响应于该攻击业务流而生成的响应业务流;
对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐响应于该攻击业务流而生成的响应业务流的生成方式;
确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型;
确定所述第一攻击业务流的请求类型为第一请求类型,包括:若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
4.如权利要求1~3任一项所述的方法,其特征在于,还包括:
更新针对所述第一请求类型而设置的成熟度阈值。
5.网络流量的发送装置,其特征在于,包括:一个网络业务流分发器(101),被配置为用于:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。
6.如权利要求5所述的装置,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:
获取所述第一攻击业务流,以及
在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;
将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。
7.如权利要求5或6所述的装置,其特征在于,
所述网络业务流分发器(101),还被配置为用于在接收所述第一攻击业务流之前,
获取至少两个攻击业务流;
对于所述至少两个攻击业务流中的每一个,获取该攻击业务流的响应业务流,其中,该攻击业务流的响应业务流是一个物理蜜罐(103)响应于该攻击业务流而生成的响应业务流;
所述网络业务流学习模块(102),被配置为还用于:
对于所述至少两个攻击业务流中的每一个,确定收到该攻击业务流的物理蜜罐(103)响应于该攻击业务流而生成的响应业务流的生成方式;
确定所述至少两个攻击业务流中具有相同生成方式的攻击业务流具有相同的请求类型;
记录所述至少两个攻击业务流中具有相同的请求类型的攻击业务流的特征和对应的请求类型并通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于记录被通知的请求类型和具有该请求类型的攻击业务流的特征;
所述网络业务流分发器(101),被具体配置为用于在确定所述第一攻击业务流的请求类型为第一请求类型时,若所述第一攻击业务流具有记录的所述第一请求类型的攻击业务流的特征,则确定所述第一攻击业务流的请求类型为所述第一请求类型。
8.如权利要求5~7任一项所述的装置,其特征在于,还包括:一个阈值设置模块,被配置为用于更新针对所述第一请求类型而设置的成熟度阈值。
9.一种混合蜜罐系统,其特征在于,包括:一个网络业务流分发器(101),以及至少一个物理蜜罐(103)和至少一个虚拟蜜罐(104),其中,所述网络业务流分发器(101),被配置为用于:
接收一个第一攻击业务流;
确定所述第一攻击业务流的请求类型为第一请求类型;
确定针对所述第一请求类型的虚拟蜜罐模型的成熟度;
若所述虚拟蜜罐模型的成熟度高于预设的针对所述第一请求类型而设置的成熟度阈值,则将所述第一攻击业务流转发至使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流转发至一个物理蜜罐(103);或者,
若所述虚拟蜜罐模型的成熟度高于预设的所述成熟度阈值,则将所述第一攻击业务流转发至一个物理蜜罐(103)和使用所述虚拟蜜罐模型的一个虚拟蜜罐(104),否则将所述第一攻击业务流仅转发至一个物理蜜罐(103)。
10.如权利要求9所述的系统,其特征在于,还包括:一个网络业务流学习模块(102),被配置为用于:
获取所述第一攻击业务流,以及
在所述网络业务流分发器(101)将所述第一攻击业务流转发至所述物理蜜罐(103)之后,
获取一个第一响应业务流,所述第一响应业务流为收到所述第一攻击业务流的物理蜜罐(103)响应于所述第一攻击业务流而生成的响应业务流;
根据所述第一攻击业务流和所述第一响应业务流训练所述虚拟蜜罐模型,并提高所述虚拟蜜罐模型的成熟度;
将提高后的所述虚拟蜜罐模型的成熟度通知所述网络业务流分发器(101);
所述网络业务流分发器(101),还被配置为用于:将所述虚拟蜜罐模型的成熟度更新为所述网络业务流学习模块(102)提高后的所述虚拟蜜罐模型的成熟度。
11.网络流量的发送装置,其特征在于,包括:
至少一个存储器,用于存放机器可读代码;
至少一个处理器,用于执行所述存储器存放的所述机器可读代码,实现如权利要求1-4任一项所述的方法。
12.机器可读介质,其特征在于,所述机器可读介质存储有机器可读代码,当所述机器可读代码被至少一个处理器执行时,实现如权利要求1-4任一项所述的方法。