蜜罐识别方法、装置、设备及存储介质与流程

本技术涉及计算机，尤其涉及一种蜜罐识别方法、装置、设备及存储介质。

背景技术：

1、蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，方便防御方了解面对的安全威胁。当前可以从目标系统(即目标操作系统)的外部扫描开放端口，进一步的，在与开放端口进行信息交互的过程中获取指纹特征，以通过指纹特征判断目标系统是否蜜罐。

2、然而，在上述方法中，通过获取指纹特征识别蜜罐时，只能从目标系统的外部对蜜罐进行识别，导致识别蜜罐的准确度较低，并且，只能获取开源蜜罐的指纹特征，无法获取私有蜜罐的指纹特征，导致无法对私有蜜罐进行识别。从而，对蜜罐进行识别的准确度较低。

技术实现思路

1、本技术提供一种蜜罐识别方法、装置、设备及存储介质，用于解决通过指纹特征识别蜜罐时，只能从目标系统的外部识别蜜罐、且只能识别开源蜜罐，导致识别蜜罐的准确度较低、无法识别私有蜜罐的技术问题，从而提高对蜜罐进行识别的准确度。

2、为达到上述目的，本技术采用如下技术方案：

3、第一方面，提供了一种蜜罐识别方法，方法包括：获取目标操作系统的多个参数信息，多个参数信息包括以下至少一项：运行环境信息、监听端口数量、网络连接数量和网络流量；基于预设规则确定多个参数信息中的每个参数信息对应的特征值；基于每个参数信息对应的特征值，以及预设的每个参数信息对应的权重参数，确定目标操作系统对应的目标特征值；基于目标特征值与预设阈值之间的大小关系，确定目标操作系统是否为蜜罐。

4、在一种可能的实现方式中，多个参数信息包括运行环境信息，运行环境信息为以下任一项：物理机、虚拟机和开源的应用容器引擎；基于预设规则确定多个参数信息中的每个参数信息对应的特征值，包括：在运行环境信息为物理机的情况下，确定运行环境信息对应的特征值为第一特征值；在运行环境信息为虚拟机的情况下，确定运行环境信息对应的特征值为第二特征值，第二特征值大于第一特征值；在运行环境信息为开源的应用容器引擎的情况下，确定运行环境信息对应的特征值为第三特征值，第三特征值大于第二特征值。

5、在一种可能的实现方式中，多个参数信息包括监听端口数量；基于预设规则确定多个参数信息中的每个参数信息对应的特征值，包括：在监听端口数量小于第一数量的情况下，确定监听端口数量对应的特征值为第四特征值；在监听端口数量大于或等于第一数量、且小于第二数量的情况下，确定监听端口数量对应的特征值为第五特征值，第五特征值大于第四特征值；在监听端口数量大于或等于第二数量的情况下，确定监听端口数量对应的特征值为第六特征值，第六特征值大于第五特征值。

6、在一种可能的实现方式中，多个参数信息包括网络连接数量；基于预设规则确定多个参数信息中的每个参数信息对应的特征值，包括：在网络连接数量大于或等于第三数量的情况下，确定网络连接数量对应的特征值为第七特征值；在网络连接数量小于第三数量、且大于或等于第四数量的情况下，确定网络连接数量对应的特征值为第八特征值，第八特征值大于第七特征值；在网络连接数量小于第四数量的情况下，确定网络连接数量对应的特征值为第九特征值，第九特征值大于第八特征值。

7、在一种可能的实现方式中，多个参数信息包括网络流量；基于预设规则确定多个参数信息中的每个参数信息对应的特征值，包括：在网络流量大于或等于第一流量值的情况下，确定网络流量对应的特征值为第十特征值；在网络流量小于第一流量值、且大于或等于第二流量值的情况下，确定网络流量对应的特征值为第十一特征值，第十一特征值大于第十特征值；在网络流量小于第二流量值的情况下，确定网络流量对应的特征值为第十二特征值，第十二特征值大于第十一特征值。

8、在一种可能的实现方式中，基于目标特征值与预设阈值之间的大小关系，确定目标操作系统是否为蜜罐，包括：在目标特征值大于预设阈值的情况下，确定目标操作系统为蜜罐；在目标特征值小于或等于预设阈值的情况下，确定目标操作系统不为蜜罐。

9、第二方面，提供了一种蜜罐识别装置，蜜罐识别装置包括：获取单元和确定单元；获取单元，用于获取目标操作系统的多个参数信息，多个参数信息包括以下至少一项：运行环境信息、监听端口数量、网络连接数量和网络流量；确定单元，用于基于预设规则确定多个参数信息中的每个参数信息对应的特征值；确定单元，还用于基于每个参数信息对应的特征值，以及预设的每个参数信息对应的权重参数，确定目标操作系统对应的目标特征值；确定单元，还用于基于目标特征值与预设阈值之间的大小关系，确定目标操作系统是否为蜜罐。

10、在一种可能的实现方式中，多个参数信息包括运行环境信息，运行环境信息为以下任一项：物理机、虚拟机和开源的应用容器引擎；确定单元，还用于在运行环境信息为物理机的情况下，确定运行环境信息对应的特征值为第一特征值；确定单元，还用于在运行环境信息为虚拟机的情况下，确定运行环境信息对应的特征值为第二特征值，第二特征值大于第一特征值；确定单元，还用于在运行环境信息为开源的应用容器引擎的情况下，确定运行环境信息对应的特征值为第三特征值，第三特征值大于第二特征值。

11、在一种可能的实现方式中，多个参数信息包括监听端口数量；确定单元，还用于在监听端口数量小于第一数量的情况下，确定监听端口数量对应的特征值为第四特征值；确定单元，还用于在监听端口数量大于或等于第一数量、且小于第二数量的情况下，确定监听端口数量对应的特征值为第五特征值，第五特征值大于第四特征值；确定单元，还用于在监听端口数量大于或等于第二数量的情况下，确定监听端口数量对应的特征值为第六特征值，第六特征值大于第五特征值。

12、在一种可能的实现方式中，多个参数信息包括网络连接数量；确定单元，还用于在网络连接数量大于或等于第三数量的情况下，确定网络连接数量对应的特征值为第七特征值；确定单元，还用于在网络连接数量小于第三数量、且大于或等于第四数量的情况下，确定网络连接数量对应的特征值为第八特征值，第八特征值大于第七特征值；确定单元，还用于在网络连接数量小于第四数量的情况下，确定网络连接数量对应的特征值为第九特征值，第九特征值大于第八特征值。

13、在一种可能的实现方式中，多个参数信息包括网络流量；确定单元，还用于在网络流量大于或等于第一流量值的情况下，确定网络流量对应的特征值为第十特征值；确定单元，还用于在网络流量小于第一流量值、且大于或等于第二流量值的情况下，确定网络流量对应的特征值为第十一特征值，第十一特征值大于第十特征值；确定单元，还用于在网络流量小于第二流量值的情况下，确定网络流量对应的特征值为第十二特征值，第十二特征值大于第十一特征值。

14、在一种可能的实现方式中，确定单元，还用于在目标特征值大于预设阈值的情况下，确定目标操作系统为蜜罐；确定单元，还用于在目标特征值小于或等于预设阈值的情况下，确定目标操作系统不为蜜罐。

15、第三方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的一种蜜罐识别方法。

16、第四方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的一种蜜罐识别方法。

17、本技术提供了一种蜜罐识别方法、装置、设备及存储介质，应用于蜜罐识别的场景中。在需要对蜜罐进行识别的情况下，可以获取目标操作系统的包括运行环境信息、监听端口数量、网络连接数量和网络流量中至少一项的多个参数信息，并确定每个参数信息对应的特征值，进一步的，基于每个参数信息对应的特征值以及权重参数，确定目标操作系统对应的目标特征值，以基于目标特征值与预设阈值之间的大小关系确定目标操作系统是否为蜜罐。即可以获取目标操作系统内部的多个参数信息，参数信息对应的特征值大小可以指示该目标操作系统为蜜罐的概率大小，参数信息对应的权重参数越大，说明该参数信息对于判断目标操作系统是否为蜜罐越重要，目标操作系统对应的目标特征值越大，说明该目标操作系统为蜜罐的概率越高。

18、通过上述方法，可以根据目标操作系统的每个参数信息对应的特征值、权重参数，确定目标操作系统对应的目标特征值，以根据目标操作系统对应的目标特征值确定目标操作系统是否为蜜罐。从而，解决了现有技术中通过指纹特征识别蜜罐时，只能从目标系统的外部识别蜜罐、且只能识别开源蜜罐，导致识别蜜罐的准确度较低、无法识别私有蜜罐的问题，提高了对蜜罐进行识别的准确度。