[发明专利]攻击行为的监测方法、装置、设备及存储介质

说明书

本发明公开了一种攻击行为的监测方法、装置、设备及存储介质，涉及金融科技领域，所述攻击行为的监测方法包括以下步骤：通过与被监测主机对应的蜜罐探针获取蜜罐数据；确定所述蜜罐数据对应的服务类型，根据所述服务类型确定所述被监测主机对应的目标蜜罐应用，其中，一个蜜罐应用对应多个蜜罐探针；通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。本发明实现了前端主机和后端蜜罐服务器之间系统架构的轻量级设置，提高了通过蜜罐应用监测攻击者的攻击行为的准确率。

技术领域

本发明涉及金融科技(Fintech)的计算机技术领域，尤其涉及一种攻击行为的监测方法、装置、设备及存储介质。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，计算机技术也不例外，但由于金融行业的安全性、实时性要求，也对计算机技术提出的更高的要求。

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。目前的蜜罐应用需要在每一个蜜罐节点部署一个蜜罐应用，蜜罐应用是直接部署到需要用于入侵探测的主机上，每个主机中至少有一个蜜罐节点，每个蜜罐应用会占用大量的硬件资源，如CPU(Central Processing Unit，中央处理器)和硬盘空间，但是为了蜜罐整体效果，因此每个主机要部署很多蜜罐应用，这样就导致在IDC(Internet Data Center，互联网数据中心)中占用大量的硬件资源，同时如果有蜜罐应用的变更和迁移，整体成本将很高。

由此可知，现有蜜罐应用的设置占用主机的硬件资源多，且由于每个主机硬件资源的限制，无法在主机中部署过多的蜜罐应用，导致通过蜜罐应用监测攻击者的攻击行为的准确率低下。

发明内容

本发明的主要目的在于提供一种攻击行为的监测方法、装置、设备及存储介质，旨在解决现有的通过蜜罐应用监测攻击者的攻击行为的准确率低下，以及蜜罐应用的设置占用主机的硬件资源多的技术问题。

为实现上述目的，本发明提供一种攻击行为的监测方法，所述攻击行为的监测方法包括步骤：

通过与被监测主机对应的蜜罐探针获取蜜罐数据；

确定所述蜜罐数据对应的服务类型，根据所述服务类型确定所述被监测主机对应的目标蜜罐应用，其中，一个蜜罐应用对应多个蜜罐探针；

通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为。

可选地，所述通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤包括：

通过所述目标蜜罐应用，执行与所述蜜罐数据对应的攻击操作；

获取与所述攻击操作对应的攻击数据，以根据所述攻击数据监测攻击所述被监测主机的攻击行为。

可选地，所述通过所述目标蜜罐应用，根据所述蜜罐数据监测攻击所述被监测主机的攻击行为的步骤之后，还包括：

根据所述攻击数据执行蜜罐回溯操作，以确定攻击所述被监测主机对应攻击者的攻击意图。

可选地，所述根据所述攻击数据执行蜜罐回溯操作，以确定攻击所述被监测主机对应攻击者的攻击意图的步骤包括：

根据所述攻击数据执行蜜罐回溯操作，并在蜜罐回溯操作过程中获取攻击所述被监测主机对应攻击者的身份信息，并获取所述攻击者的攻击行为信息；

根据所述攻击行为信息和所述身份信息确定所述攻击者的攻击意图。