网络攻击处理方法及装置与流程

1.本发明实施例涉及信息安全技术领域，特别是涉及一种网络攻击处理方法、一种网络攻击处理装置、一种网络攻击处理系统、一种电子设备以及一种计算机可读存储介质。


背景技术：

2.蜜罐是布置一些作为诱饵的主机、网络服务或者信息的系统，诱使攻击者实施攻击，然后再对攻击者(黑客)的攻击行为进行捕获和分析，进而了解攻击者所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解所面对的安全威胁，对应增强安全防护能力或者及时告警。其中，基于多个蜜罐形成的网络被称为蜜罐网络。
3.为了提高攻击者攻击蜜罐的概率，需要由专门的开发人员准备多个蜜罐，然后再在服务器上对应部署，这种传统的蜜罐部署方式，蜜罐的数量可能会随着时间的增加而增加，不仅成本非常高，并且蜜罐部署效率低。


技术实现要素：

4.本发明实施例的目的在于提供一种网络攻击处理方法、一种网络攻击处理装置、一种网络攻击处理系统、一种电子设备以及一种计算机可读存储介质，以实现自动化蜜罐部署，提高蜜罐部署效率。具体技术方案如下：
5.在本发明实施的第一方面，首先提供了一种网络攻击处理方法，包括互相隔离的蜜罐网络与业务系统，所述方法包括：
6.接收蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；所述蜜罐部署策略为将于在所述业务系统上运行的业务进程的业务运行信息生成；
7.在所述业务系统上部署的蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
8.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
9.当所述监听模式为黑洞模式时，针对所述攻击请求进行告警。
10.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
11.当所述监听模式为简易模式时，向发送所述攻击请求的服务器发送所述攻击请求对应的响应信息。
12.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
13.当所述监听模式为交互模式时，将所述攻击请求转发至所述蜜罐网络，以使所述蜜罐网络基于所述攻击请求形成攻击行为信息并保存。
14.可选地，所述蜜罐网络包括具有对应类型的蜜罐，所述将所述攻击请求转发至所述蜜罐网络，包括：
15.将所述攻击请求转发至与所述攻击请求的类型匹配的所述蜜罐网络的一个或者多个的所述蜜罐中。
16.可选地，所述方法还包括：
17.统计针对所述攻击请求发送的告警信息的所述蜜罐的数量；
18.当所述蜜罐的数量达到预设阈值时，确定为需要进行告警。
19.可选地，所述方法还包括：
20.获取所述攻击行为信息或者蜜罐部署信息，展示所述攻击行为信息或者所述蜜罐部署信息。
21.可选地，所述业务运行信息包括已占用的服务端口。
22.在本发明实施的第二方面，还提供了一种网络攻击处理方法，包括互相隔离的蜜罐网络与业务系统，所述方法包括：
23.获取在所述业务系统上运行的业务进程的业务运行信息；
24.依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
25.将所述蜜罐部署策略发送至所述业务系统，以使所述业务系统上部署的蜜罐进程通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
26.在本发明实施的第三方面，还提供了一种网络攻击处理系统，包括运营模块，以及互相隔离的蜜罐网络与业务系统，其中：
27.所述运营模块，用于获取在所述业务系统上运行的业务进程的业务运行信息；依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
28.所述业务系统，用于通过蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络；
29.所述蜜罐网络，用于对所述攻击请求进行处理。
30.在本发明实施的第四方面，还提供了一种网络攻击处理装置，包括互相隔离的蜜罐网络与业务系统，所述装置包括：
31.蜜罐部署策略接收模块，用于接收蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；所述蜜罐部署策略为将于在所述业务系统上运行的业务进程的业务运行信息生成；
32.蜜罐部署模块，用于在所述业务系统上部署的蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
33.在本发明实施的第五方面，还提供了一种网络攻击处理装置，包括互相隔离的蜜罐网络与业务系统，所述装置包括：
34.业务运行信息获取模块，用于获取在所述业务系统上运行的业务进程的业务运行信息；
35.蜜罐部署策略生成模块，用于依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
36.蜜罐部署策略发送模块，用于将所述蜜罐部署策略发送至所述业务系统，以使所
述业务系统上部署的蜜罐进程通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
37.在本发明实施的又一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一所述的网络攻击处理方法。
38.在本发明实施的又一方面，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的网络攻击处理方法。
39.本发明实施例提供的一种网络攻击处理方法，在接收蜜罐部署策略后，按照蜜罐部署策略在业务系统上部署的蜜罐进程，使得蜜罐进程通过蜜罐部署策略的监听端口监听攻击请求，并按照蜜罐部署策略的监听模式对攻击请求进行处理或者转发至蜜罐网络进行处理。本发明实施例通过业务系统的业务运行信息自动生成蜜罐部署策略，使得业务系统能够基于蜜罐部署策略部署蜜罐进程，提高了蜜罐部署效率，并且由于蜜罐进程可以按照监听模式将监听的请求转发至蜜罐网络处理，因此无需在业务系统中部署蜜罐，降低了蜜罐部署成本。另外，由于蜜罐网络和业务系统是互相隔离的，因此蜜罐网络不会对用户真实业务造成影响。
附图说明
40.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
41.图1为本发明实施例中提供的一种网络攻击处理方法的步骤流程图；
42.图2为本发明实施例中提供的另一种网络攻击处理方法的步骤流程图；
43.图3为本发明实施例中提供的一种网络攻击处理系统的结构框图；
44.图4为本发明实施例中提供的一种网络攻击处理系统的架构示意图；
45.图5为本发明实施例中提供的一种网络攻击处理装置的结构框图；
46.图6为本发明实施例中提供的另一种网络攻击处理装置的结构框图；
47.图7为本发明实施例中提供的一种电子设备的结构框图。
具体实施方式
48.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。
49.在相关技术中，一种常见的蜜罐部署方式是，将蜜罐与用户真实业务的业务系统相关联，这种方式虽然能诱使攻击者进行攻击，但是同时对用户的真实业务产生了干扰，用户的真实业务的安全风险较大。其中，真实业务是指的视频播放、聊天、购物等等，可以通过在业务系统上运行的业务进程(应用程序)实现。
50.针对上述问题，本发明实施例提出了一种网络攻击处理方法，涉及到三个模块，分别是运营模块，以及互相隔离的蜜罐网络与业务系统，需要注意的是，本发明实施例的蜜罐网络与业务系统互相隔离，因此降低了用户的真实业务的安全风险。其中，这三个模块可以是通过独立服务器实现，也可以是通过多个服务器组成的服务器集群实现，本发明实施例对此无需加以限制。
51.具体地，运营模块用于获取在业务系统上运行的业务进程的业务运行信息，从而
可以依据业务运行信息生成蜜罐部署策略，然后，将蜜罐部署策略发送至业务系统，使得业务系统能够通过蜜罐部署策略的监听端口攻击请求(异常流量)，并按照蜜罐部署策略的监听模式将攻击请求在本地处理或者转发至与蜜罐网络处理。
52.参照图1，为本发明实施例中提供的一种网络攻击处理方法的步骤流程图，包括互相隔离的蜜罐网络与业务系统，应用于业务系统，如图1所示，该方法具体可以包括如下步骤：
53.步骤101、接收蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；所述蜜罐部署策略为将于在所述业务系统上运行的业务进程的业务运行信息生成。
54.其中，业务系统是用于运行业务进程的系统或者模块；业务进程是指的应用程序，例如可以是能够实现视频播放、聊天、购物等真实业务的应用程序；业务运行信息是指的与业务进程运行相关信息，具体可以包括业务进程已占用的服务端口，例如80端口已经被占用。
55.其中，蜜罐部署策略包括监听端口和监听模式，具体地，监听端口是指的用于监听攻击端的攻击请求，监听模式是指的对于在监听端口监听到的攻击请求的处理方式，例如可以是在业务系统本地处理，也可以是转发至蜜罐网络处理；具体地，蜜罐部署策略是运营模块依据在业务系统上运行的业务进程的业务运行信息生成，例如，假设80端口已经被占用，则80端口不会被设置为监听端口，如果不希望业务系统频繁与蜜罐网络交互，占用过多资源，则可以选择在业务系统上处理攻击请求而不是转发至蜜罐网络，如果希望能够通过蜜罐网络中的蜜罐对攻击请求进行捕获和分析，则可以选择将攻击请求转发至蜜罐网络。
56.在本发明实施例中，蜜罐网络可以基于k8s(可移植容器的编排管理工具)实现，并且k8s可以支持动态扩容，以更好地处理攻击请求。具体地，在k8s中可以扩展新的节点(node)，基于扩展的新的节点可以进一步添加新的蜜罐网络，或者在蜜罐网络中添加新的处理攻击请求的处理逻辑等等，使得本发明实施例的蜜罐网络能够更好地完成对攻击请求的捕获和分析等处理。当然，除了k8s之外，还可以基于docker、swarm等工具实现，本发明实施例对此无需加以限制。
57.步骤102、在所述业务系统上部署的蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
58.其中，蜜罐进程也可以称为蜜罐探针，是在业务系统上部署的组件或者应用程序，通过蜜罐进程可以对其他机器发送的数据包(例如攻击请求)捕获、过滤、分析等处理。在本发明实施例中，支持蜜罐进程自定义开放多个端口转发攻击请求，每个端口可以支持关联在不同沙箱中运行的蜜罐。
59.其中，蜜罐网络构成了一个攻击者诱捕网络体系架构，在此架构中，包含一个或多个蜜罐，保证网络的高度可控性，以及提供多种工具方便对攻击请求进行采集和分析。在本发明实施例中，蜜罐网络对应着攻击者采取攻击的步骤来生成对应的处理方案。具体地，蜜罐网络应对攻击者的攻击请求的处理方案包括：
60.业务仿真：在攻击者对用户进行踩点探测的时候，蜜罐模拟用户的真实业务，给予攻击者虚假的信息。
61.伪装漏洞：在蜜罐模拟用户的真实业务上，包装好很多常见的漏洞，引诱攻击者攻击蜜罐。
62.脱敏数据：攻击者偷走的信息都是脱敏的，对用户来说这些虚假的信息毫无价值。
63.记录痕迹：攻击者准备撤离犯罪现场，擦除攻击路径和入侵痕迹的时候，蜜罐则会将攻击者记录下来作为攻击行为信息，作为日志数据保存到云端的数据库中，基于攻击行为信息可以形成攻击者画像，并且能够捕捉到攻击者的社交网络信息，方便用户对攻击行为的溯源，而云端的数据库中记录下来的日志数据，是证明攻击者实施犯罪行为的有力证据。
64.具体地，在蜜罐中会通过模拟用户的真实业务形成诱饵，从而通过诱饵将攻击者引诱至蜜罐，具体地，蜜罐支持设置的诱饵可以包括：
65.邮件诱饵：支持设置邮件诱饵，例如，给公司高管邮箱发送的邮件，能够感知邮件被攻击者打开的行为；
66.办公网诱饵：支持在windows pc(个人电脑)上伪造登录凭据、rdp(remote desktop protocol，远程桌面协议)连接记录、文件等，欺骗攻击者横向移动阶段；
67.文件诱饵：能够感知敏感文件被打开行为；
68.互联网诱饵：在互联网上散布欺骗防御信息，迷惑攻击者，例如假的github(开源的托管服务)泄漏。
69.在本发明实施例中，对于攻击请求可以进行如下分析：攻击事件类型，包括ping扫描事件、ping扫描源；蜜罐入侵事件，包括连接建立、连接断开、密码登录、扫描器攻击、nmap扫描、密钥登录、shell命令执行、入侵遗留文件、数据库操作、未知扫描器连接、命令注入、代码注入攻击、信息泄漏尝试、xss跨站脚本攻击、sql注入攻击、后门程序、文件上传、ftp命令执行、ssh连接、远程代码执行、路径穿越、文件包含类攻击、任意文件下载漏洞、samba命令执行、curl连接、xxe攻击、反序列化、ssrf攻击、内部连接事件、下载文件、扫描器连接、用户下载事件、未授权访问；端口探测事件，包括：识别全连接、半连接。当然，上述对攻击请求的处理分析仅仅是作为示例，在具体实施时可以依据实际情况进行调整，本发明实施例对此无需加以限制。
70.在本发明实施例中，业务系统在接收到运营模块发送的蜜罐部署策略后，可以依据蜜罐部署策略调整蜜罐进程的配置参数，使得蜜罐进程通过监听端口来监听攻击请求，同时按照监听模式对在监听端口监听的攻击请求在业务系统上处理或者转发至蜜罐网络，以使蜜罐网络中的蜜罐对攻击请求进行处理。
71.在上述的网络攻击处理方法中，在接收蜜罐部署策略后，按照蜜罐部署策略在业务系统上部署的蜜罐进程，使得蜜罐进程通过蜜罐部署策略的监听端口监听攻击请求，并按照蜜罐部署策略的监听模式对攻击请求进行处理或者转发至蜜罐网络进行处理。本发明实施例通过业务系统的业务运行信息自动生成蜜罐部署策略，使得业务系统能够基于蜜罐部署策略部署蜜罐进程，提高了蜜罐部署效率，并且由于蜜罐进程可以按照监听模式将监听的请求转发至蜜罐网络处理，因此无需在业务系统中部署蜜罐，降低了蜜罐部署成本。另外，由于蜜罐网络和业务系统是互相隔离的，因此蜜罐网络不会对用户的真实业务造成影响。
72.在本发明的一示例性实施例中，蜜罐进程可以支持三种监听模式，按照交互能力和占用资源情况分别为黑洞模式、简易模式和交互模式，具体地，黑洞模式：只接收攻击请求，发送报警，占用资源最低，交互能力一般；简易模式：接收攻击请求，根据对攻击请求的
解析结果，向攻击者回显不同的结果，占用资源一般，交互能力中等；交互模式：接收攻击请求，并转发攻击请求到蜜罐网络(后端)，交互能力高。
73.针对黑洞模式，所述步骤102、按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，可以包括：当所述监听模式为黑洞模式时，针对所述攻击请求进行告警。
74.其中，当蜜罐进程的监听模式为黑洞模式时，如果蜜罐网络通过监听端口监听到攻击请求，则将针对攻击请求进行告警。具体地，告警可以是在业务系统上通过邮件、弹窗、即时通讯软件等方式通知相关人员，及时报警止损。
75.针对简易模式，所述步骤102、按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，可以包括：当所述监听模式为简易模式时，向发送所述攻击请求的服务器发送所述攻击请求对应的响应信息。
76.其中，当蜜罐进程的监听模式为简易模式时，如果蜜罐网络通过监听端口监听到攻击请求，对攻击请求进行解析，并按照解析结果，向发送攻击请求的服务器发送对应的响应信息，响应信息为预先针对不同的解析结果准备的虚拟信息。具体地，如果对攻击请求解析结果为窃取聊天记录，则可以向发送攻击请求的服务器发送虚假的聊天记录，如果对攻击请求解析结果为窃取社交账号，则可以向发送攻击请求的服务器发送虚假的社交账号。当然，除了向攻击请求的服务器发送虚假的信息，还可以针对攻击请求进行告警。
77.针对交互模式，所述步骤102、按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，可以包括：当所述监听模式为交互模式时，将所述攻击请求转发至所述蜜罐网络，以使所述蜜罐网络基于所述攻击请求形成攻击行为信息并保存。具体地，攻击行为信息可以包括攻击者身份、攻击者轨迹，攻击者使用的工具等等。
78.其中，当蜜罐进程的监听模式为交互模式时，如果蜜罐网络通过监听端口监听到攻击请求，则将攻击请求转发至蜜罐网络，以使蜜罐网络对攻击请求进行溯源，形成攻击行为信息，作为日志数据在数据库中保存。当然，除了将攻击请求转发至蜜罐网络之外，还可以在业务系统上对攻击请求进行解析，并按照解析结果，向发送攻击请求的服务器发送对应的响应信息，此外，还可以针对攻击请求进行告警。作为一种具体示例，可以形成某一时刻的攻击请求形成快照，并作为日志数据保存到数据库中。
79.可选地，所述蜜罐网络包括具有对应类型的蜜罐，所述将所述攻击请求转发至所述蜜罐网络，可以包括：将所述攻击请求转发至与所述攻击请求的类型匹配的所述蜜罐网络的一个或者多个的所述蜜罐中。
80.其中，在蜜罐网络中部署有多个蜜罐，不同的蜜罐可以用于处理不同类型的攻击请求。具体地，根据蜜罐对应的服务，可以大致将蜜罐分为如下几种类型，弱口令类：例如ssh(端口22)、rsync(端口873)、ftp(端口21)、samba(端口445)；web漏洞类：例如http(端口80)、strucs2、zabbix、redmine、https(端口443)，未授权访问：敏感数据(例如mongodb(端口27017)、memcached(端口11211)、elasticsearch(端口9200/9300/9201)、redis(端口6379)、vnc(端口5900)、mysql(端口3306))、大数据(例如hadoop(端口8088/50070/50075/50030/50060/8088/10000/10003/9000/8020))、中间件(activemq(端口8161)、zookeeper(端口2181))；windows蜜罐：例如rdp(端口3389)、mssql(端口1433)。在本发明实施例中，将攻击请求转发至与攻击请求的类型匹配的蜜罐中，例如针对网页的攻击请求，可以转发至
针对web漏洞类的蜜罐中。
81.在上述实施例中，根据不同需求，例如针对当前资源占用情况、业务重要程度等，对应蜜罐进程的监听模式，从而无需将攻击请求均转发至蜜罐网络，减少了与蜜罐网络的交互，进而减少了资源占用。此外，本发明实施例在为交互模式时，还通过将攻击请求转发至提供对应服务的蜜罐，提高对攻击请求的处理效率，并且对攻击请求处理更加准确。
82.在本发明的一示例性实施例中，所述方法还可以包括：统计针对所述攻击请求发送的告警信息的所述蜜罐的数量；当所述蜜罐的数量达到预设阈值时，确定为需要进行告警。
83.在本发明实施例中，蜜罐可以根据不同的报警策略确定攻击请求是否需要进行告警，报警策略可以是单个报警策略也可以是多个报警策略。具体地，攻击请求可以同时转发至多个蜜罐中，如果单个报警策略，有一个蜜罐发送告警信息，则可以确定为需要告警；如果是多个报警策略，在发送告警信息的蜜罐数量达到预设阈值时，则可以确定为需要告警，例如，假设预设阈值为2，在统计到发送告警信息的蜜罐的数量为2或者超过2时，可以确定为需要告警。
84.在上述实施例中，根据发送告警信息的蜜罐的数量，确定是否需要对攻击请求进行报警，避免单个蜜罐告警造成误判，提高了对攻击请求告警的准确性。
85.在本发明的一示例性实施例中，所述方法还可以包括：获取所述攻击行为信息或者蜜罐部署信息，展示所述攻击行为信息或者所述蜜罐部署信息。
86.其中，攻击行为信息是指的攻击请求的相关信息，具体可以包括攻击者身份、攻击者轨迹等等。
87.具体地，本发明实施例可以通过可视化方式来展示攻击行为信息。具体地，在展示攻击行为信息时，可以支持通过如下方式进行展示：支持自定义选择攻击时间查询；支持查看攻击者画像，能详细查看攻击者身份、标注备注、攻击者轨迹等信息；支持设备指纹的溯源，包含操作系统、显卡设备、音频设备等详细信息。支持查看攻击者轨迹，记录详细时间段的攻击事件详情，包含攻击时间、攻击资产、攻击手法及操作，以支持通过攻击者/攻击资产/隔离沙箱/等维度的事件检索，对攻击事件回放，以及支持对所有攻击通过时间线展示，支持事件以攻击者、攻击源、攻击资产、隔离沙箱、攻击手法等维度进行展示等；支持攻击源探测的展示，对攻击者ip地址、端口、服务指纹、探测时间进行记录；支持对攻击者进行溯源生成报告。
88.其中，蜜罐部署信息可以包括蜜罐进程、沙箱、蜜罐以及诱饵等的分布情况和状态。
89.具体地，本发明实施例对于蜜网部署信息可以通过拓扑图的方式进行展示，即可以将蜜罐进程、沙箱、蜜罐以及诱饵等，通过3d(三维)拓扑图的方式进行展示，通过拓扑图能够直观反映出当前的蜜罐网络系统的组成分布情况和状态。
90.在上述实施例中，对于攻击行为信息或者蜜罐部署信息通过拓扑图的方式进行展示，使得用户能够直观了解到攻击行为信息，并且支持用户选择性查看所需的攻击行为信息，提高用户的查看体验。
91.参照图2，为本发明实施例中提供的一种网络攻击处理方法的步骤流程图，包括互相隔离的蜜罐网络与业务系统，应用于运营模块，如图2所示，该方法具体可以包括如下步
骤：
92.步骤201、获取在所述业务系统上运行的业务进程的业务运行信息；
93.步骤202、依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
94.步骤203、将所述蜜罐部署策略发送至所述业务系统，以使所述业务系统上部署的蜜罐进程通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
95.其中，运营模块与业务进程通过长连接，向业务系统发送蜜罐部署策略，使得业务系统中的蜜罐进程能够基于蜜罐部署策略，对攻击请求开始基于蜜罐部署策略对攻击请求监听和处理，或者结束对攻击请求进行监听和处理。在本发明实施例中，通过长连接能够快速控制业务系统(客户端)的蜜罐进程，即运营模块可以随时向业务系统发生蜜罐部署策略，来修改蜜罐进程的监听端口和监听模式。
96.在上述的网络攻击处理方法中，运营模块包括收集各个业务系统上业务进程的业务运行信息，基于业务运行信息生成蜜罐部署策略，然后将蜜罐部署策略发布至对应的业务系统，以使业务系统基于蜜罐部署策略的监听端口监听攻击请求，并按照蜜罐部署策略的监听模式对攻击请求进行处理或者转发至蜜罐网络进行处理。在本发明实施例中，通过运营模块发布蜜罐部署策略来实现对业务系统的部署和控制，业务系统将蜜罐部署策略对蜜罐进程进行部署，使得蜜罐进程能够快速安全控制蜜罐进程的开始、结束以及变更等，效率更高。
97.参照图3，为本发明实施例中提供的一种网络攻击处理系统的结构框图，如图3所示，包括运营模块301，以及互相隔离的蜜罐网络302与业务系统303，其中：
98.所述运营模块301，用于获取在所述业务系统303上运行的业务进程的业务运行信息；依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
99.所述业务系统302，用于通过蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络303；
100.所述蜜罐网络303，用于对所述攻击请求进行处理。
101.在本发明实施例中，运营模块前期通过收集在业务系统上的业务运行信息，例如业务进程已占用的服务端口，然后在基于业务运行信息形成统一的蜜网部署策略，以发送至对应的业务系统，业务系统再依据蜜网部署策略部署其蜜罐进程，以使蜜罐进程按照蜜罐部署策略的端口监听攻击请求，以及按照监听模式对攻击请求进行处理或者转发至蜜罐网络进行处理。
102.为了使本领域技术人员更好地理解本发明实施例，下面采用一个具体的示例进行说明，参照图4，所示为本发明的一种网络攻击处理系统的架构示意图，具体地，网络攻击处理系统包括了运营模块，以及互相隔离的蜜罐网络与业务系统，具体地：运营模块包括收集各个业务系统上业务进程的业务运行信息，基于业务运行信息生成蜜罐部署策略，然后将蜜罐部署策略发布至对应的业务系统，以使业务系统基于蜜罐部署策略的监听端口监听攻击请求，并按照蜜罐部署策略的监听模式对攻击请求进行处理或者转发至蜜罐网络进行处理。在本发明实施例中，通过运营模块发布蜜罐部署策略来实现对业务系统的部署和控制，
业务系统将蜜罐部署策略对蜜罐进程进行部署，使得蜜罐进程能够快速安全控制蜜罐进程的开始、结束以及变更等，效率更高。
103.参照图5，为本发明实施例中提供的一种网络攻击处理装置的结构框图，包括互相隔离的蜜罐网络与业务系统，如图5所示，该装置具体可以包括如下模块：
104.蜜罐部署策略接收模块501，用于接收蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；所述蜜罐部署策略为将于在所述业务系统上运行的业务进程的业务运行信息生成；
105.蜜罐部署模块502，用于在所述业务系统上部署的蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
106.在本发明的一示例性实施例中，所述蜜罐部署模块502，用于当所述监听模式为黑洞模式时，针对所述攻击请求进行告警；当所述监听模式为简易模式时，向发送所述攻击请求的服务器发送所述攻击请求对应的响应信息；当所述监听模式为交互模式时，将所述攻击请求转发至所述蜜罐网络，以使所述蜜罐网络基于所述攻击请求形成攻击行为信息并保存。
107.在本发明的一示例性实施例中，所述蜜罐网络包括具有对应类型的蜜罐，所述蜜罐部署模块502，用于将所述攻击请求转发至与所述攻击请求的类型匹配的所述蜜罐网络的一个或者多个的所述蜜罐中。
108.在本发明的一示例性实施例中，所述装置还包括：报警模块，用于统计针对所述攻击请求发送的告警信息的所述蜜罐的数量；当所述蜜罐的数量达到预设阈值时，确定为需要进行告警。
109.在本发明的一示例性实施例中，所述装置还包括：展示模块，用于获取所述攻击行为信息或者蜜罐部署信息，展示所述攻击行为信息或者所述蜜罐部署信息。
110.在本发明的一示例性实施例中，所述业务运行信息包括已占用的服务端口。
111.参照图6，为本发明实施例中提供的一种网络攻击处理装置的结构框图，包括互相隔离的蜜罐网络与业务系统，如图6所示，该装置具体可以包括如下模块：
112.业务运行信息获取模块601，用于获取在所述业务系统上运行的业务进程的业务运行信息；
113.蜜罐部署策略生成模块602，用于依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
114.蜜罐部署策略发送模块603，用于将所述蜜罐部署策略发送至所述业务系统，以使所述业务系统上部署的蜜罐进程通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
115.本发明实施例还提供了一种电子设备，如图7所示，包括处理器71、通信接口72、存储器73和通信总线74，其中，处理器71，通信接口72，存储器73通过通信总线74完成相互间的通信，
116.存储器73，用于存放计算机程序；
117.处理器71，用于执行存储器73上所存放的程序时，实现如下步骤：
118.接收蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；所述蜜罐部署
策略为将于在所述业务系统上运行的业务进程的业务运行信息生成；
119.在所述业务系统上部署的蜜罐进程，通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
120.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
121.当所述监听模式为黑洞模式时，针对所述攻击请求进行告警。
122.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
123.当所述监听模式为简易模式时，向发送所述攻击请求的服务器发送所述攻击请求对应的响应信息。
124.可选地，所述按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理，包括：
125.当所述监听模式为交互模式时，将所述攻击请求转发至所述蜜罐网络，以使所述蜜罐网络基于所述攻击请求形成攻击行为信息并保存。
126.可选地，所述蜜罐网络包括具有对应类型的蜜罐，所述将所述攻击请求转发至所述蜜罐网络，包括：
127.将所述攻击请求转发至与所述攻击请求的类型匹配的所述蜜罐网络的一个或者多个的所述蜜罐中。
128.可选地，所述方法还包括：
129.统计针对所述攻击请求发送的告警信息的所述蜜罐的数量；
130.当所述蜜罐的数量达到预设阈值时，确定为需要进行告警。
131.可选地，所述方法还包括：
132.获取所述攻击行为信息或者蜜罐部署信息，展示所述攻击行为信息或者所述蜜罐部署信息。
133.可选地，所述业务运行信息包括已占用的服务端口。
134.处理器71，用于执行存储器73上所存放的程序时，还可以实现如下步骤：
135.获取在所述业务系统上运行的业务进程的业务运行信息；
136.依据所述业务运行信息生成蜜罐部署策略，所述蜜罐部署策略包括监听端口和监听模式；
137.将所述蜜罐部署策略发送至所述业务系统，以使所述业务系统上部署的蜜罐进程通过所述监听端口监听攻击请求，按照所述监听模式对所述攻击请求进行处理或者转发至所述蜜罐网络进行处理。
138.上述终端提到的通信总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
139.通信接口用于上述终端与其他设备之间的通信。
140.存储器可以包括随机存取存储器(random access memory，简称ram)，也可以包括非易失性存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可
以是至少一个位于远离前述处理器的存储装置。
141.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
142.在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的网络攻击处理方法。
143.在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的网络攻击处理方法。
144.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
145.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
146.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
147.以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。