(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921516.4 (22)申请日 2022.08.02 (71)申请人 软极网络技 术 （北京） 有限公司 地址 100029 北京市朝阳区裕民路12号1号 楼8层B807 (72)发明人 郑志彬　方滨兴　孙成浩　 (74)专利代理 机构 北京市商 泰律师事务所 11255 专利代理师 黄晓军 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于蜜洞的攻击溯源方法 (57)摘要 本发明提供了一种基于蜜洞的攻击溯源方 法。 该方法包括： 将蜜洞系统部署于近入侵侧的 真实网络中， 通过蜜洞系统中的数据采集模块对 客户端的数据流量和操作日志进行采集， 通过蜜 洞系统中的行为分析模块对数据采集模块存储 的原始数据进行解析和抽取， 生成描述该用户访 问特征的访问基线和操作链路， 判断用户的风险 等级， 攻击溯源模块根据接收到的告警信息和用 户访问数据信息向可疑用户释放木马类溯源认 证工具， 根据可疑用户返回的信用凭据决定是否 允许该可疑用户访问网络。 本发 明方法可以实现 在攻击者接近攻击目标前拦截其访问， 避免对于 被保护系统不可逆的远程操作， 通过自动化索要 身份证明， 保障了合法用户的正常访问， 提升了 出现攻击后 溯源的能力。 权利要求书2页 说明书7页 附图2页 CN 115134166 A 2022.09.30 CN 115134166 A 1.一种基于蜜洞的攻击溯源方法， 其特 征在于， 包括： 将蜜洞系统部署于近入侵侧的真实网络中， 该蜜洞系统包括数据采集模块、 行为分析 模块、 安全系统和攻击溯源 模块； 通过蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行采集， 将采集的 一段时间内的原 始数据进行存 储； 通过蜜洞系统中的行为分析模块对数据采集模块存储的原始数据进行解析和抽取， 生 成描述该用户访问特征 的访问基线和操作链路， 判断用户的风险等级， 当根据用户的风险 等级判断检测到可疑用户， 将告警信息和用户访问数据信息发送给蜜洞系统中的攻击溯源 模块； 所述攻击溯源模块根据接收到的告警信息和用户访问数据信息向可疑用户释放木马 类溯源认证工具， 根据可疑用户返回的信用凭据决定是否允许 该可疑用户访问网络 。 2.根据权利要求1所述的方法， 其特征在于， 所述的将蜜洞系统部署于近入侵侧的真实 网络中， 该蜜洞系统包括数据采集模块、 行为分析模块、 安全系统和攻击溯源 模块， 包括； 将蜜洞系统中的数据采集模块和行为分析模块部署于近客户端的网络接口， 该蜜洞系 统包括数据采集模块、 行为分析模块、 安全系统和攻击溯源模块， 用户访问被保护系统的流 量数据经 过蜜洞系统的数据采集模块， 实现对流 量数据的实时采集和分析； 蜜洞系统中的安全系统部署于内网服务器与外界通信的接口， 内网服务器通过安全系 统来进行域名‑地址映射， 用户经过安全系统访问内网服务器， 安全系统通过添加用户IP实 现对特定用户的访问拦截； 蜜洞系统中的攻击溯源模块部署于服务器端内网， 与内网服务器共享接口， 仅与蜜洞 进行通信， 用户IP无法访问该模块。 3.根据权利要求1或者2所述的方法， 其特征在于， 所述的通过蜜洞系统中的数据采集 模块对客户端的数据流量和操作日志进行采集， 将采集的一段时间内的原始数据进行存 储， 包括； 蜜洞系统中的数据采集模块对客户端的数据流量和操作日志进行监控， 使用数据流量 探针和操作日志探针对用户的数据流量和操作日志进 行采集， 对一段时间内的访问和操作 数据进行存 储， 具体操作包括： 蜜洞系统中的数据采集模块检测用户在客户端收发的流量数据， 使用数据流量探针对 经过数据采集模块的所有类型的用户数据流 量进行采集； 数据采集模块检测客户端日志， 使用操作日志探针对用户操作 行为和用户操作信 息进 行采集， 用户操作信息包括： 客户端信息、 事 件信息和用户信息； 数据采集模块将采集到的流量数据和操作日志进行存储， 根据 可能发生的网络攻击生 命周期设置时间节点， 保存时间节点内的用户访问和操作数据。 4.根据权利要求3所述的方法， 其特征在于， 所述的通过蜜洞系统中的行为分析模块对 数据采集模块存储的原始数据进 行解析和抽取， 生成描述该用户访问特征的访问基线和操 作链路， 当根据用户的风险等级判断检测到可疑用户， 将告警信息和用户访问数据信息发 送给蜜洞系统中的攻击溯源 模块， 包括； 蜜洞系统中的行为分析模块对数据采集模块存储的用户访问和操作 数据进行解析， 提 取其中的结构化和非结构化数据， 所述结构化数据包括： 访问时间、 用户IP、 目标IP、 目标端权　利　要　求　书 1/2 页 2 CN 115134166 A 2口和用户操作系统信息， 所述非结构化数据包括： 请求报文、 响应报文和操作行为； 根据事件发生的时间节点， 依托现有的结构化和非结构化数据， 将用户的访 问整理为 访问基线和操作链路， 所述访问基线为访问时间和数据流量 曲线， 描述了用户在各个时间 节点与内网服务器连接产生的数据流量大小， 所述操作链路为时间和操作行为列表， 描述 了用户通过客户端在各个时间点与内网服 务器交互产生的行为信息； 根据用户访问基线和操作链路通过与开放的威胁数据之间的接口和现有的威胁数据 库进行匹配， 根据匹配结果判断此用户访问行为的威胁程度， 并将威胁程度划分为低危、 中 危和高危 三个等级； 当检测到用户威胁程度达到中危及以上， 行为分析模块向安全系统发出告警信息， 安 全系统将该用户IP信息加入黑名单， 阻止其访问， 向攻击溯源模块发出告警信息和用户访 问数据。 5.根据权利要求4所述的方法， 其特征在于， 所述的攻击溯源模块根据接收到的告警信 息和用户访问数据向可疑用户释放木马类溯源认证工具， 根据可疑用户返回的信用凭据决 定是否允许 该可疑用户访问网络， 包括； 攻击溯源模块接收到对某一用户的告警信息后， 在客户端强制向用户索取信用凭据， 用户客户端通过 无线网络或有 线网络向攻击溯源 模块提交信用凭据； 若用户提供了有效的信用凭据， 则攻击溯源模块将信用凭据留存， 并向安全系统发出 允许访问命令， 安全系统将该用户IP移出黑名单， 用户继续通过客户端访问内网服务器； 若 用户没有及时提交或提交了无效的信用凭据， 则安全系统将用户IP保留在黑名单， 始终拦 截该用户的访问。 6.根据权利要求5所述的方法， 其特 征在于， 所述的方法还 包括； 若后续针对内网服务器的攻击发生后， 攻击溯源模块将存储的用户凭据与历史访问信 息进行映射， 针对每个已认证信用凭据的用户构建攻击树， 所述已认证信用凭据包括： 信用 证明及认证、 用户IP、 用户设备类型、 用户操作时间、 访问基线和操作链路； 根据当前检测到的攻击手段与映射得到的攻击树进行同源分析、 交叉分析， 判断是否 存在匹配的攻击树， 若发现匹配攻击树， 则针对此用户进行溯源。权　利　要　求　书 2/2 页 3 CN 115134166 A 3