(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210934661.6 (22)申请日 2022.08.04 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 蒋晓青　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 戚海洋 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 获得目标蜜罐系统的方法、 装置、 介质和攻 击响应方法 (57)摘要 本申请实施例提供了获得目标蜜罐系统的 方法、 装置、 介质和攻击响应方法， 该方法包括： 获取原始蜜罐系统， 并且获取目标安全设备的系 统版本号， 其中， 所述原始蜜罐系统用于接收攻 击源的恶意流量， 所述原始蜜罐系统部署在所述 目标安全设备上； 在目标蜜罐信息表中查找与所 述系统版本号对应的配置信息， 其中， 所述目标 蜜罐信息表至少用于记录与所述系统版本号相 关的漏洞信息； 基于所述配置信息对 所述原始蜜 罐系统进行配置更新， 获得目标蜜罐系统。 通过 本申请的一些实施例能够通过目标蜜罐信息表 快速建立目标蜜罐系统， 从而能够提高该目标蜜 罐系统的复用性。 权利要求书2页 说明书15页 附图5页 CN 115296909 A 2022.11.04 CN 115296909 A 1.一种获得目标蜜罐系统的方法， 其特 征在于， 所述方法包括： 获取原始蜜罐系统， 并且获取目标安全设备的系统版本号， 其中， 所述原始蜜罐系统用 于接收攻击源的恶意 流量， 所述原 始蜜罐系统部署在所述目标安全设备 上； 在目标蜜罐信息表中查找与所述系统版本号对应的配置信息， 其中， 所述目标蜜罐信 息表至少用于记录与所述系统版本号相关的漏洞 信息； 基于所述配置信息对所述原 始蜜罐系统进行配置更新， 获得目标蜜罐系统。 2.根据权利要求1所述的方法， 其特征在于， 所述漏洞信 息包括目标候选安全设备上系 统漏洞的漏洞编号； 在所述在目标蜜罐信 息表中查找与 所述系统版本号对应的配置信 息之前， 所述方法还 包括： 获取至少一个候选安全设备的系统版本号； 从所述至少一个候选安全设备中查找存在所述系统漏洞的所述目标候选安全设备， 并 获取所述目标候选安全设备 上所述系统漏洞的漏洞编号； 将所述目标候选安全设备的所述系统版本号以及对应的所述漏洞编号添加在蜜罐信 息表中， 获得 所述目标蜜罐信息表。 3.根据权利要求2所述的方法， 其特征在于， 所述至少一个候选安全设备包括第 一候选 安全设备， 其中， 所述第一 候选安全设备为所述至少一个候选安全设备中的任意 一个； 在所述获取至少一个候选安全设备的系统版本号之后， 所述方法还 包括： 在确认所述第 一候选安全设备不存在所述系统漏洞时， 进一步确认所述第 一候选安全 设备存在应用漏洞， 则获取所述应用漏洞的第一漏洞编号， 其中， 所述应用漏洞为应用程序 所对应的漏洞； 将所述第一候选安全设备的所述系统版本号以及对应的所述第一漏洞编号添加到蜜 罐信息表中， 获得 所述目标蜜罐信息表。 4.根据权利要求3所述的方法， 其特征在于， 所述目标蜜罐信 息表还用于记录运算资源 信息， 所述 运算资源信息采用运 算参数值所在的区间表征不同运 算能力； 在所述在目标蜜罐信 息表中查找与 所述系统版本号对应的配置信 息之前， 所述方法还 包括： 计算所述至少一个候选安全设备的所述运算参数值， 其中， 所述运算参数值用于表征 所述至少一个候选安全设备的运 算能力； 根据所述 运算参数值生成所述 运算资源信息； 将同一系统版本号对应的所述运算资源信 息添加在所述蜜罐信 息表中， 获得所述目标 蜜罐信息表。 5.根据权利要求4所述的方法， 其特征在于， 所述运算参数值包括预置时间内执行每条 指令所需要的平均时钟周期数CPI， 以及每秒处 理的指令条 数MIPS； 所述计算所述至少一个候选安全设备的所述 运算参数值， 包括： 分别计算所述至少一个候选安全设备中各候选安全设备的所述CPI和所述MIP S； 所述根据所述 运算参数值生成所述 运算资源信息， 包括： 获取所述各候选安全设备的所述CPI所处的目标参考数值区间， 得到第一运算资源信 息；权　利　要　求　书 1/2 页 2 CN 115296909 A 2获取所述各候选安全设备的所述MIPS所处的目标参考数值区间， 得到第二运算资源信 息； 其中， 所述运算资源信 息采用所述第 一运算资源信 息和所述第 二运算资源信 息进行表 征。 6.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 所述在目标蜜罐信息表中查找与 所述系统版本号对应的配置信息， 包括： 在目标蜜罐信息表中查找与所述目标安全设备的系统版本号对应的漏洞信息和运算 资源信息； 所述基于所述配置信息对所述原 始蜜罐系统进行配置更新， 获得目标蜜罐系统， 包括： 基于所述漏洞信 息和运算资源信 息对所述原始蜜罐系统进行配置更新， 获得所述目标 蜜罐系统。 7.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 在所述获取原始蜜罐系统之前， 所述方法还 包括： 获取初始蜜罐系统， 并且提取 所述初始蜜罐系统对应的流 量特征； 将所述流量特征进行隐藏， 获得 所述原始蜜罐系统。 8.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 所述目标蜜罐信息表中的所述系 统版本号是依据查询次数排列的。 9.一种获得目标蜜罐系统的装置， 其特 征在于， 所述装置包括： 原始系统获取模块， 被配置为获取原始蜜罐系统， 并且获取目标安全设备的系统版本 号， 其中， 所述原始蜜 罐系统用于接收攻击源的恶意流量， 所述原始蜜 罐系统部署在所述目 标安全设备 上； 配置信息获取模块， 被配置为在目标蜜罐信 息表中查找与所述系统版本号对应的配置 信息， 其中， 所述目标蜜罐信息表至少用于记录与所述系统版本号相关的漏洞 信息； 系统配置模块， 被配置为基于所述配置信息对所述原始蜜罐系统进行配置更新， 获得 目标蜜罐系统。 10.一种攻击响应方法， 其特征在于， 应用于如权利要求1 ‑8任一项得到的目标蜜罐系 统上， 所述 攻击响应方法包括： 根据漏洞信息诱导攻击源发送恶意 流量； 响应于所述恶意 流量， 向所述 攻击源发送响应报文。 11.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机程序， 所述计 算机程序由所述处 理器执行时可实现如权利要求1 ‑8任一项所述方法。 12.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时可实现如权利要求1 ‑8任一项所述方法。权　利　要　求　书 2/2 页 3 CN 115296909 A 3