[发明专利]攻击行为的监测方法、装置、设备及存储介质

权利要求书

1.一种攻击行为的监测方法，其特征在于，所述攻击行为的监测方法包括以下步骤：

通过与被监测主机对应的蜜罐探针获取蜜罐数据；

确定所述蜜罐数据对应的服务类型，根据所述服务类型确定所述被监测主机对应的目标蜜罐应用，其中，一个蜜罐应用对应多个蜜罐探针；

通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。

2.如权利要求1所述的攻击行为的监测方法，其特征在于，所述通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤包括：

通过所述目标蜜罐应用，执行与所述蜜罐数据对应的攻击操作；

获取与所述攻击操作对应的攻击数据，以根据所述攻击数据监测攻击所述被监测主机的攻击行为。

3.如权利要求1所述的攻击行为的监测方法，其特征在于，所述通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤之后，还包括：

根据所述攻击数据执行蜜罐回溯操作，以确定攻击所述被监测主机对应攻击者的攻击意图。

4.如权利要求3所述的攻击行为的监测方法，其特征在于，所述根据所述攻击数据执行蜜罐回溯操作，以确定攻击所述被监测主机对应攻击者的攻击意图的步骤包括：

根据所述攻击数据执行蜜罐回溯操作，并在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息，并获取所述攻击者的攻击行为信息；

根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。

5.如权利要求4所述的攻击行为的监测方法，其特征在于，所述根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图的步骤之后，还包括：

输出含有所述攻击意图的告警信息，以通过所述告警信息提示用户所述被监测主机对应的攻击意图。

6.如权利要求1至5任一项所述的攻击行为的监测方法，其特征在于，所述攻击行为的监测方法还包括：

当侦测到控制所述蜜罐探针的第一控制指令后，根据所述第一控制指令控制对应的蜜罐探针，其中，所述第一控制指令至少包括以下一种：启动所述蜜罐探针的探针启动指令、关闭所述蜜罐探针的关闭指令和设置所述蜜罐探针对应模拟服务的服务数量的设置指令。

7.如权利要求1至5任一项所述的攻击行为的监测方法，其特征在于，所述攻击行为的监测方法还包括：

当侦测到控制蜜罐应用的第二控制指令后，根据所述第二控制指令控制蜜罐应用，其中，所述第二控制指令至少包括以下一种：增加蜜罐应用的增加指令、减少蜜罐应用的减少指令、启动蜜罐应用的蜜罐启动指令和暂停蜜罐应用的暂停指令。

8.一种攻击行为的监测装置，其特征在于，所述攻击行为的监测装置包括：

获取模块，用于通过与被监测主机对应的蜜罐探针获取蜜罐数据；

确定模块，用于确定所述蜜罐数据对应的服务类型，根据所述服务类型确定所述被监测主机对应的目标蜜罐应用，其中，一个蜜罐应用对应多个蜜罐探针；

监测模块，用于通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。

9.一种攻击行为的监测设备，其特征在于，所述攻击行为的监测设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的攻击行为的监测程序，所述攻击行为的监测程序被所述处理器执行时实现如权利要求1至7任一项中所述的攻击行为的监测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有攻击行为的监测程序，所述攻击行为的监测程序被处理器执行时实现如权利要求1至7任一项所述的攻击行为的监测方法的步骤。