[发明专利]基于蜜点生成的防网络攻击方法、系统及装置

权利要求书

1.一种基于蜜点生成的防网络攻击系统，其特征在于，包括：

蜜点控制器，获取用户网络环境信息，根据网络环境信息自动创建docker组件，docker根据docker组件自动构建蜜点镜像；自动生成欺骗策略代码放入蜜点镜像中；

蜜点镜像，用于收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码；

反馈接收器，用于存储攻击痕迹，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码。

2.根据权利要求1所述的系统，其特征在于，所述蜜点控制器具体用于：通过网络环境提供的服务信息，将安装语句组装成dockerfile，docker会根据dockerfile自动构建相应的蜜点镜像；设置欺骗策略组件库，欺骗策略组件库分为服务内容组件库和应激反应组件库；服务内容组件库存储在Mongodb的蜜点数据库中，其中有两个数据集分别为服务口令策略和服务内容策略；口令策略数据集中存放着用户常用的口令对、认证密码、相应的服务类型和风险等级，内容策略数据集中存放着蜜点服务中的内容和内容类型和服务类型，应激反应组件库通过shell脚本实现的，预定义了所支持每一种服务的应激反应shell脚本，在构建蜜点镜像时会将脚本放入镜像中。

3.根据权利要求2所述的系统，其特征在于，所述蜜点镜像具体用于：收集蜜点安装中的服务日志，所述服务日志包括：mysql日志、SSH日志和Redis日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码，所述策略代码包括：重启服务、修改服务内容和修改服务口令。

4.根据权利要求3所述的系统，其特征在于，所述反馈接收器具体用于：将攻击痕迹归一化后存储攻击痕迹，根据攻击痕迹扩充欺骗策略库，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码，所述无法执行的欺骗策略代码包括：更改IP地址和销毁IP地址。

5.一种基于蜜点生成的防网络攻击方法，其特征在于，包括：

通过蜜点控制器获取用户网络环境信息，根据网络环境信息自动创建docker组件，docker根据docker组件自动构建蜜点镜像；自动生成欺骗策略代码放入蜜点镜像中；

通过蜜点镜像收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码；

通过反馈接收器存储攻击痕迹，接收告警信息，调用蜜点控制器中的API接口执行蜜点镜像无法执行的欺骗策略代码。

6.根据权利要求5所述的方法，其特征在于，所述通过蜜点控制器获取用户网络环境信息，自动创建docker组件，docker根据docker组件自动构建蜜点镜像，自动生成欺骗策略代码放入蜜点镜像中具体包括：通过网络环境提供的服务信息，将安装语句组装成dockerfile，docker会根据dockerfile自动构建相应的蜜点镜像；设置欺骗策略组件库，欺骗策略组件库分为服务内容组件库和应激反应组件库；服务内容组件库存储在Mongodb的蜜点数据库中，其中有两个数据集分别为服务口令策略和服务内容策略；口令策略数据集中存放着用户常用的口令对、认证密码、相应的服务类型和风险等级，内容策略数据集中存放着蜜点服务中的内容和内容类型和服务类型，应激反应组件库通过shell脚本实现的，预定义了所支持每一种服务的应激反应shell脚本，在构建蜜点镜像时会将脚本放入镜像中。

7.根据权利要求6所述的方法，其特征在于，所述通过蜜点镜像收集蜜点安装中的服务日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码具体包括：收集蜜点安装中的服务日志，所述服务日志包括：mysql日志、SSH日志和Redis日志，若发现日志中的攻击痕迹时，发送告警信息到反馈接收器，执行欺骗策略代码，所述策略代码包括：重启服务、修改服务内容和修改服务口令。