(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210935150.6 (22)申请日 2022.08.05 (71)申请人 上海斗象信息科技有限公司 地址 201203 上海市浦东 新区碧波路690号 8号楼102室 (72)发明人 曾伟明　徐钟豪　谢忱　刘伟　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 唐正瑜 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于蜜罐的网络诱捕方法、 装置、 服务器及 存储介质 (57)摘要 本申请提供一种基于蜜 罐的网络诱捕方法、 装置、 服务器及存储介质， 当蜜罐上不存在与本 次攻击的攻击特征信息对应的漏洞时， 确定与该 攻击特征信息对应的第一攻击成功响应信息， 根 据该第一攻击成功响应信息和蜜罐的正常响应 信息生成伪装响应信息， 并将该伪装响应信息发 送给攻击方。 由于第一攻击成功响应信息为该漏 洞被成功攻击时对应的响应信息， 所以攻击方在 接收到根据该第一攻击成功响应信息生成的伪 装响应信息后， 攻击方会认为该蜜罐上存在对应 的漏洞， 进而会对该蜜罐进行进一步的攻击。 因 此， 通过本方案， 可 以引诱攻击方对蜜罐上不存 在的漏洞进行攻击， 提升诱捕成功率， 从而可 以 通过蜜罐收集到更多的攻击信息 。 权利要求书2页 说明书9页 附图2页 CN 115001875 A 2022.09.02 CN 115001875 A 1.一种基于蜜罐的网络诱捕方法， 其特 征在于， 包括： 接收攻击方发送的网络访问请求， 所述网络访问请求中包 含请求参数信息； 当根据所述请求参数信 息将所述网络访问请求转发至对应的蜜罐中时， 获取所述蜜罐 针对所述网络访问请求 生成的正常响应信息； 从所述请求 参数信息中提取 出对漏洞进行攻击的攻击特 征信息； 当确定所述蜜罐上不存在与 所述攻击特征信 息对应的漏洞时， 根据预设的第 一对应关 系确定与所述攻击特征信息对应的第一攻击成功响应信息； 所述第一对应关系中包括攻击 特征信息与第一攻击成功响应信息的对应关系， 所述第一攻击成功响应信息为预设漏洞被 攻击方攻击时， 用于表征攻击成功的响应信息； 根据所述第一 攻击成功响应信息和所述 正常响应信息生成伪装响应信息； 将所述伪装响应信息发送给 所述攻击方。 2.如权利要求1所述的基于蜜罐的网络诱捕方法， 其特 征在于， 所述方法还 包括： 当确定所述蜜罐上存在与 所述攻击特征信 息对应的漏洞时， 将所述正常响应信 息发送 给所述攻击方。 3.如权利要求1所述的基于蜜罐的网络诱捕方法， 其特征在于， 所述预设漏洞包括web 漏洞。 4.如权利要求1所述的基于蜜罐的网络诱捕方法， 其特 征在于， 所述方法还 包括： 当根据所述请求参数信息将所述网络访问请求转发至对应的通用型漏洞伪装组件中 时， 获取所述通用型漏洞伪装组件返回的第二攻击成功响应信息； 所述通用型漏洞伪装组 件中预先配置有第二攻击成功响应信息， 所述第二攻击成功响应信息为预设通用型漏洞被 攻击方攻击时， 用于表征攻击成功的响应信息； 将所述第二 攻击成功响应信息发送给 所述攻击方。 5.如权利要求4所述的基于蜜罐的网络诱捕方法， 其特征在于， 所述请求参数信 息包括 第一请求参数信息和第二请求参数信息， 所述第一请求参数信息包括请求路径信息， 所述 第二请求 参数信息包括请求头信息、 请求体信息以及请求方法信息中的至少一种； 所述根据所述请求参数信息将所述网络访问请求转发至对应的通用型漏洞伪装组件 中， 包括： 根据所述第一请求参数信息将所述网络访问请求转发至对应的通用型漏洞伪装组件 中； 所述获取 所述通用型漏洞 伪装组件返回的第二 攻击成功响应信息， 包括： 获取所述通用型漏洞伪装组件根据所述第二请求参数信息返回的第二攻击成功响应 信息； 所述通用型漏洞伪装组件中预先配置有第二对应关系， 所述第二对应关系包括第二 请求参数信息与第二 攻击成功响应信息的对应关系。 6.如权利要求1所述的基于蜜罐的网络诱捕方法， 其特征在于， 所述正常响应信 息中包 括响应正文内容， 所述根据所述第一攻击成功响应信息和所述正常响应信息生成伪装 响应 信息， 包括： 将所述第一 攻击成功响应信息插 入到所述响应正文内容中， 生成伪装响应信息 。 7.如权利要求1 ‑6任一项所述的基于蜜罐的网络诱捕方法， 其特征在于， 所述攻击特征 信息包括有效荷载信息 。权　利　要　求　书 1/2 页 2 CN 115001875 A 28.一种基于蜜罐的网络诱捕装置， 其特 征在于， 包括： 接收模块， 用于接收攻击方发送的网络访 问请求， 所述网络访 问请求中包含请求参数 信息； 获取模块， 用于当根据所述请求参数信息将所述网络访问请求转发至对应的蜜罐中 时， 获取所述蜜罐针对所述网络访问请求的正常响应信息； 提取模块， 用于从所述请求 参数信息中提取 出对漏洞进行攻击的攻击特 征信息； 确定模块， 用于当确定所述蜜罐上存在与所述攻击特征信息对应的漏洞时， 根据预设 的第一对应关系确定与所述攻击特征信息对应的第一攻击成功响应信息； 所述第一对应关 系为： 攻击特征信息与第一攻击成功响应信息的对应关系， 所述第一攻击成功响应信息为 漏洞被攻击方攻击时， 用于表征攻击成功的响应信息； 生成模块， 用于根据 所述第一攻击成功响应信 息和所述正常响应信 息生成伪装响应信 息； 发送模块， 用于将所述伪装响应信息发送给 所述攻击方。 9.一种服务器， 其特征在于， 包括处理器和存储器， 所述存储器中存储有计算机程序， 所述处理器执行所述计算机程序， 以实现如权利要求1 ‑7中任意一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被至少一个处理器执行时， 以实现如权利要求 1‑7中任意一项 所述的方 法。权　利　要　求　书 2/2 页 3 CN 115001875 A 3