一种基于蜜罐服务的安全检测方法、装置、设备及介质与流程

所属的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于：上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。其中，所述储存器存储有程序代码，所述程序代码可以被所述处理器执行，使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。储存器可以包括易失性储存器形式的可读介质，例如随机存取储存器(ram)和/或高速缓存储存器，还可以进一步包括只读储存器(rom)。储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具，这样的程序模块包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。总线可以为表示几类总线结构中的一种或多种，包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备交互的设备通信，和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口进行。并且，电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器通过总线与电子设备的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连5接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。0应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉5本的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

背景技术：

1、目前的网络安全欺骗防御系统中，用于蜜罐系统部署的蜜罐资产大多为单独部署，或者集成由安全防护人员提前制作的蜜饵；对于在虚拟化技术、云计算机技术的网络环境下，需要根据网络资源适时的部署蜜罐资产，而目前的蜜罐服务系统中，蜜饵不能适时跟随部署在此场景下的蜜罐资产的规则进行变化，这会大大降低投放的蜜饵的作用，减弱检测攻击行为的能力。

技术实现思路

1、有鉴于此，本发明提供一种基于蜜罐服务的安全检测方法、装置、设备及介质，至少部分解决现有的蜜罐资产部署时，不能根据网络环境进行动态蜜罐部署来进行安全检测的技术问题，本发明采用的技术方案为：

2、根据本技术的一个方面，提供一种基于蜜罐服务的安全检测方法，包括：

3、建立蜜罐系统中目标蜜罐资产设备与目标主机设备的映射关系；蜜罐系统中配置有目标文件，目标文件中包括目标蜜罐资产设备的地址信息；

4、若目标主机设备接收到外部设备通过目标文件对与其对应的目标蜜罐资产设备的访问请求，则目标文件根据目标蜜罐资产设备的地址信息，将访问请求发送至对应的目标蜜罐资产设备；

5、目标蜜罐资产设备根据访问请求，获取外部设备的访问信息；

6、目标蜜罐资产设备根据访问信息，获取外部设备的访问路径。

7、在本技术的一种示例性实施例中，建立蜜罐系统中目标蜜罐资产设备与目标主机设备的映射关系，包括：

8、将目标蜜罐资产设备配置到目标主机设备所在的网段，使目标蜜罐资产设备能够访问与其配置的网段中的每一目标主机设备；

9、根据目标文件中的地址信息，将其对应的目标主机设备的网络地址信息配置到目标蜜罐资产设备中。

10、在本技术的一种示例性实施例中，若目标主机设备接收到外部设备通过目标文件对与其对应的目标蜜罐资产设备的访问请求，则目标文件根据目标蜜罐资产设备的地址信息，将访问请求发送至对应的目标蜜罐资产设备，包括：

11、根据目标蜜罐资产设备的地址信息，配置目标蜜罐资产设备的蜜罐服务；

12、根据目标蜜罐资产设备的地址信息，配置目标蜜罐资产设备的对外端口的网络服务；

13、若目标主机设备接收到外部设备通过目标文件对与其对应的目标蜜罐资产设备的访问请求，则将访问请求发送至对应的目标蜜罐资产设备，以使外部设备访问目标蜜罐资产设备的对外端口的网络服务。

14、在本技术的一种示例性实施例中，目标蜜罐资产设备根据访问请求，获取外部设备的访问信息，包括：

15、当外部设备访问目标蜜罐资产设备的对外端口的网络服务时，目标蜜罐资产设备根据蜜罐服务获取外部设备的访问信息。

16、在本技术的一种示例性实施例中，目标文件通过以下方法确定：

17、获取目标蜜罐资产设备的对外端口的地址信息；

18、创建与对外端口的地址信息对应的网络服务；

19、将存储了对外端口的地址信息和网络服务的待处理文件确定为目标文件。

20、在本技术的一种示例性实施例中，目标蜜罐资产设备通过以下方法确定：

21、若蜜罐资产设备所在的网段与目标主机设备所在的网段信息相同，则将其确定为目标蜜罐资产设备。

22、在本技术的一种示例性实施例中，目标蜜罐资产设备根据访问信息，获取外部设备的访问路径，包括：

23、目标蜜罐资产设备根据访问信息，获取外部设备的网络地址；

24、根据外部设备的网络地址，获取外部设备针对目标蜜罐资产设备的对外端口的网络服务的访问路径。

25、根据本技术的一个方面，提供一种基于蜜罐服务的安全检测装置，包括：

26、关系建立模块，用于建立蜜罐系统中目标蜜罐资产设备与目标主机设备的映射关系；蜜罐系统中配置有目标文件，目标文件中包括目标蜜罐资产设备的地址信息；

27、请求发送模块，用于在目标主机设备接收到外部设备通过目标文件对与其对应的目标蜜罐资产设备的访问请求时，根据目标蜜罐资产设备的地址信息，将访问请求发送至对应的目标蜜罐资产设备；

28、信息获取模块，用于目标蜜罐资产设备根据访问请求，获取外部设备的访问信息；

29、路径分析模块，用于目标蜜罐资产设备根据访问信息，获取外部设备的访问路径。

30、根据本技术的一个方面，提供一种非瞬时性计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现所述基于蜜罐服务的安全检测方法。

31、根据本技术的一个方面，提供一种电子设备，包括处理器和所述的非瞬时性计算机可读存储介质。

32、本发明至少具有以下有益效果：

33、本发明通过建立目标主机设备与目标蜜罐资产设备之间的映射关系，使配置在蜜罐系统中的目标文件接收到对与其对应的目标蜜罐资产设备的访问请求时，将访问请求发送至目标蜜罐资产设备中，目标蜜罐资产设备通过访问请求，来获取外部设备的访问路径，且可以在目标主机设备中配置新的目标文件来与其他的目标蜜罐资产设备建立关系，动态部署目标文件来实现对攻击者信息安全检测并溯源的目的。