(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921499.4 (22)申请日 2022.08.02 (71)申请人 软极网络技 术 （北京） 有限公司 地址 100029 北京市朝阳区裕民路12号1号 楼8层B807 (72)发明人 郑志彬　方滨兴　李昌松　 (74)专利代理 机构 北京市商 泰律师事务所 11255 专利代理师 黄晓军 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种基于新型蜜罐的攻击 检测方法 (57)摘要 本发明提供了一种基于新型蜜罐的攻击检 测方法。 该方法包括： 选定被 保护系统， 在被 保护 系统中构建和部署蜜罐； 构建白名单识别库， 用 于存储良性用户的访问IP； 当新的用户想要访问 被保护系统时， Web应用防护系统将新的用户的 IP与白名单识别库中的IP进行匹配， 根据匹配结 果将新的用户引导进所述被保护系统的真实环 境； 或者引导进蜜罐中进行访问； 结合威胁情报 中心的攻击情报对新的用户的访问行为进行定 性分析， 根据用户行为的定性分析结果， 对不同 性质的用户采 取相应的处理措施。 本发明方法的 构建成本低、 部署简单快速、 不惧损毁、 适用于大 规模部署场景的特点， 通过新型蜜罐， 有效预防 变更IP类攻击方式， 关联不同IP攻击行为实现对 ATP类攻击的预警。 权利要求书2页 说明书5页 附图3页 CN 115051875 A 2022.09.13 CN 115051875 A 1.一种基于新型蜜罐的攻击检测方法， 其特 征在于， 包括： 选定被保护系统， 在所述被保护系统中构建和部署蜜罐； 构建白名单识别库， 在所述白名单识别库中存 储良性用户的访问IP； 当新的用户想要访问所述被保护系统时， Web应用防护系统将所述新的用户的IP与白 名单识别库中的IP进 行匹配， 根据匹配结果将所述新的用户引导进 所述被保护系统的真实 环境； 或者引导进 蜜罐中进行访问， 蜜罐对所述 新的用户的访问流 量进行监测； 结合威胁情报中心的攻击情报对所述新的用户的访问行为进行定性分析， 根据用户行 为的定性分析 结果， 对不同性质的用户采取相应的处 理措施。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 威胁情报中心在收集和共享攻击情报的基础上， 通过结合情报间的时序关系和因果关 系， 串联各IP间的攻击情报信息， 并与高级持续性威胁APT类攻击手段的先验信息进 行匹配 分析， 关联恶性用户间的连续 攻击行为， 实现对APT类攻击的感知和阻断。 3.根据权利要求1所述的方法， 其特征在于， 所述的在所述被保护系统中构建和部署蜜 罐， 包括： 在蜜罐构建过程中， 需要确保蜜罐是一个独立系统， 能够为访 问用户稳定且真实地提 供被保护系统的前期访问服务以及交互功能， 具备用户访问流量及日志存储、 用户访问行 为分析、 用户访问IP记录以及用户访问流 量处理功能； 在蜜罐的部署过程中， 将蜜罐串接在被保护系统前， 蜜罐具备被保护系统 的部分功能， 保证各蜜罐与被保护系统间相互隔离； 在多蜜罐场景下， 保证各蜜罐间相互独立， 且各蜜罐的IP地址以及域名各不相同， 如果 存在某一蜜罐被恶性用户攻破， 则该蜜 罐进入休眠期， 休眠期结束后该蜜 罐会重新启用， 同 时将该恶性用户的IP进行记录； 如果该IP再次访问被保护系统， 则将该用户的访问流量牵 引到其他蜜 罐中， 如果一个IP累计攻破两个蜜罐， 则将该IP记录在系统的访问黑名单中， 一 旦存在访问黑名单中的IP对被保护系统提出访问请求， 则直接拒绝访问。 4.根据权利要求1所述的方法， 其特征在于， 所述的根据匹配结果将所述新的用户引导 进所述被保护系统的真实环境； 或者引导进蜜罐中进行访问， 蜜罐对所述新的用户的访问 流量进行监测， 包括： (1)如果根据匹配结果判断所述新的用户IP在白名单识别库中， 则Web应用防护系统将 所述新的用户引导进被保护系统的真实环境； (2)如果根据匹配结果判断所述新的用户IP在白名单识别库中， 则Web应用防护系统将 所述新的用户引导进蜜罐中进行访问， 蜜罐对所述新的用户的访问流量进行监测， 对用户 IP地址、 目的IP地址、 源端口、 目的端口、 数据包数量和流字节数特征信息进 行提取， 检测所 述新的用户的访问流 量是否出现异常。 5.根据权利要求1所述的方法， 其特征在于， 所述的根据用户行为的定性分析结果， 对 不同性质的用户采取相应的处 理措施， 包括： 如果用户行为分析结果正常， 则将该用户定性为良性用户， 由Web应用防护系统将用户 流量牵引到被保护系统的真实环境， 并将该用户的IP添加记录在白名单识别库中； 如果用户行为分析异常， 则将该用户定性为恶性用户， 利用蜜罐对该用户进行访 问欺 骗之后， 威胁情报中心对该用户的用户IP地址、 目的IP地址、 源端口、 目的端口、 数据包数权　利　要　求　书 1/2 页 2 CN 115051875 A 2量、 流字节数、 攻击工具、 攻击策略、 攻击目标和攻击手段攻击情报信息进 行收集， 并在 全网 进行共享， 对该用户的访问进行阻断。权　利　要　求　书 2/2 页 3 CN 115051875 A 3