一种高交互蜜罐的控制方法、装置及系统与流程

1.本技术涉及网络安全技术领域，尤其涉及一种高交互蜜罐的控制方法、装置及系统。


背景技术：

2.蜜罐技术是一种欺骗性防御技术，它通过诱骗入侵者进行攻击，从而监视和跟踪入侵者的行为并已日志形式记录，然后借助一定的工具进行分析，知晓入侵者的工具、策略和方法，从而相应的采取措施进行防御，实现防御能力的提升。
3.蜜罐通常采取docker容器和kvm虚拟机技术，其中基于docker容器技术，可实现可配置的开放服务，由于本身特性的限制，导致交互程度不足。而基于kvm虚拟机技术，是根据提前搭建的系统，模拟相关的服务，可实现交互程度高，但在定制化较差，后期维护比较复杂，自动化水平低的问题。急需进行技术改进和提升。现有解决方案具有如下缺点：1、策略零散不统一；2、自动化水平低；3、定制化实现难。


技术实现要素：

4.本技术提供一种高交互蜜罐的控制方法、装置及系统，以可以实现策略获取、策略调整以及策略下发的自动化管理，还有实现了策略的自动化执行和更新，并简化了对所述目标策略进行评估以及调整的定制复杂度，解决了实时交付的问题，并能实现策略的统一管理执行，降低了高交互所需的交付成本、管理成本，以及提高了在虚拟机中部署策略的灵活性。
5.第一方面，本技术提供了一种高交互蜜罐的控制方法，所述方法应用于蜜罐系统中的集中管理中心，所述方法包括：
6.向虚拟机系统中的终端安全代理发送策略获取脚本；
7.获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；
8.对所述目标策略进行评估，得到策略评估结果；
9.根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；
10.将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略。
11.可选的，所述目标策略包括服务策略和安全策略。
12.可选的，所述对所述目标策略进行评估，得到策略评估结果，包括：
13.基于业务评估模型，对所述目标策略进行评估，得到服务策略和安全策略的高交互程度；
14.将所述服务策略和安全策略的高交互程度作为所述目标策略的策略评估结果。
15.可选的，所述根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略，包括：
16.基于服务策略和安全策略规则库，根据所述策略评估结果，对所述目标策略进行
编辑和修订，得到调整后的目标策略。
17.可选的，所述方法还包括：
18.获取所述终端安全代理返回的策略更新结果。
19.第二方面，本技术提供了一种高交互蜜罐的控制装置，所述装置应用于蜜罐系统中的集中管理中心，所述装置包括：
20.发送单元，用于向虚拟机系统中的终端安全代理发送策略获取脚本；
21.获取单元，用于获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；
22.评估单元，用于对所述目标策略进行评估，得到策略评估结果；
23.调整单元，用于根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；
24.返回单元，用于将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略。
25.可选的，所述目标策略包括服务策略和安全策略。
26.可选的，所述评估单元，用于：
27.基于业务评估模型，对所述目标策略进行评估，得到服务策略和安全策略的高交互程度；
28.将所述服务策略和安全策略的高交互程度作为所述目标策略的策略评估结果。
29.可选的，所述调整单元，用于：
30.基于服务策略和安全策略规则库，根据所述策略评估结果，对所述目标策略进行编辑和修订，得到调整后的目标策略。
31.可选的，所述获取单元，还用于：
32.获取所述终端安全代理返回的策略更新结果。
33.第三方面，本技术提供了一种高交互蜜罐的控制方法，所述装置应用于虚拟机系统中的终端安全代理，所述方法包括：
34.获取蜜罐系统中的集中管理中心发送的策略获取脚本；
35.响应于所述策略获取脚本，获取所述虚拟机系统的目标策略，以及向所述集中管理中心返回所述目标策略；
36.接收所述集中管理中心返回的调整后的目标策略；其中，所述调整后的目标策略为所述集中管理中心对所述目标策略进行评估，得到策略评估结果，以及根据所述策略评估结果，对所述目标策略进行调整所得到的；
37.将所述虚拟机系统的策略由所述目标策略更新为所述调整后的目标策略。
38.可选的，所述方法还包括：
39.向所述集中管理中心返回策略更新结果。
40.第四方面，本技术提供了一种高交互蜜罐的控制装置，所述装置应用于虚拟机系统中的终端安全代理，所述装置包括：
41.获取单元，用于获取蜜罐系统中的集中管理中心发送的策略获取脚本；
42.响应单元，用于响应于所述策略获取脚本，获取所述虚拟机系统的目标策略，以及向所述集中管理中心返回所述目标策略；
43.接收单元，用于接收所述集中管理中心返回的调整后的目标策略；其中，所述调整后的目标策略为所述集中管理中心对所述目标策略进行评估，得到策略评估结果，以及根据所述策略评估结果，对所述目标策略进行调整所得到的；
44.更新单元，用于将所述虚拟机系统的策略由所述目标策略更新为所述调整后的目标策略。
45.第五方面，本技术提供了一种高交互蜜罐的控制系统，所述系统包括蜜罐系统中的集中管理中心和虚拟机系统中的终端安全代理；
46.所述集中管理中心，用于向所述终端安全代理发送策略获取脚本；获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；对所述目标策略进行评估，得到策略评估结果；根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；将所述调整后的目标策略返回所述终端安全代理；
47.所述终端安全代理，用于获取所述集中管理中心发送的所述策略获取脚本；响应于所述策略获取脚本，获取所述目标策略，以及向所述集中管理中心返回所述目标策略；接收所述集中管理中心返回的所述调整后的目标策略；将所述虚拟机系统的策略由所述目标策略更新为所述调整后的目标策略。
48.第六方面，本技术提供了一种可读介质，包括执行指令，当电子设备的处理器执行所述执行指令时，所述电子设备执行如第一方面中任一所述的方法。
49.第七方面，本技术提供了一种电子设备，包括处理器以及存储有执行指令的存储器，当所述处理器执行所述存储器存储的所述执行指令时，所述处理器执行如第一方面中任一所述的方法。
50.由上述技术方案可以看出，本技术蜜罐系统中的集中管理中心可以先向虚拟机系统中的终端安全代理发送策略获取脚本；然后，可以获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；接着，可以对所述目标策略进行评估，得到策略评估结果；紧接着，可以根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；最后，可以将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略。在本技术中，蜜罐系统中的集中管理中心可以自动获取虚拟机系统中的终端安全代理的策略获取脚本，并可以对所述目标策略进行评估以及调整，得到调整后的目标策略，并将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略，这样，本技术可以实现策略获取、策略调整以及策略下发的自动化管理，还有实现了策略的自动化执行和更新，并简化了对所述目标策略进行评估以及调整的定制复杂度，解决了实时交付的问题，并能实现策略的统一管理执行，降低了高交互所需的交付成本、管理成本，以及提高了在虚拟机中部署策略的灵活性。
51.上述的非惯用的优选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
52.为了更清楚地说明本技术实施例或现有的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中
记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
53.图1为本技术一种高交互蜜罐的控制方法的信令图示意图；
54.图2为本技术一实施例提供的高交互蜜罐的控制系统的架构示意图；
55.图3为本技术一实施例提供的一种高交互蜜罐的控制装置的结构示意图；
56.图4为本技术一实施例提供的一种高交互蜜罐的控制装置的结构示意图；
57.图5为本技术一实施例提供的一种电子设备的结构示意图。
具体实施方式
58.为使本技术的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本技术的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
59.发明人发现现有技术中，蜜罐通常采取docker容器和kvm虚拟机技术，其中基于docker容器技术，可实现可配置的开放服务，由于本身特性的限制，导致交互程度不足。而基于kvm虚拟机技术，是根据提前搭建的系统，模拟相关的服务，可实现交互程度高，但在定制化较差，后期维护比较复杂，自动化水平低的问题。急需进行技术改进和提升。现有解决方案具有如下缺点：1、策略零散不统一；2、自动化水平低；3、定制化实现难。
60.故此，本技术提供了一种高交互蜜罐的控制方法，本技术蜜罐系统中的集中管理中心可以先向虚拟机系统中的终端安全代理发送策略获取脚本；然后，可以获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；接着，可以对所述目标策略进行评估，得到策略评估结果；紧接着，可以根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；最后，可以将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略。在本技术中，蜜罐系统中的集中管理中心可以自动获取虚拟机系统中的终端安全代理的策略获取脚本，并可以对所述目标策略进行评估以及调整，得到调整后的目标策略，并将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略，这样，本技术可以实现策略获取、策略调整以及策略下发的自动化管理，还有实现了策略的自动化执行和更新，并简化了对所述目标策略进行评估以及调整的定制复杂度，解决了实时交付的问题，并能实现策略的统一管理执行，降低了高交互所需的交付成本、管理成本，以及提高了在虚拟机中部署策略的灵活性。
61.下面结合附图，详细说明本技术的各种非限制性实施方式。
62.参见图1，示出了本技术实施例中的一种高交互蜜罐的控制方法。在本实施例中，所述方法例如可以包括以下步骤：
63.s101：蜜罐系统中的集中管理中心向虚拟机系统中的终端安全代理发送策略获取脚本。
64.在本实施例中，虚拟机系统中的终端安全代理可以为后台自动运行，可与蜜罐系统中的集中管理中心进行通信以及执行任务。集中管理中心可以根据约定的开放端口和ip地址信息，检测和获取终端安全代理的存活信息。蜜罐系统中的集中管理中心与虚拟机系
统中的终端安全代理之间通过网络建立通信，该通信为加密的ssh协议，通信的账号和密码均按照事先预定的进行设置。
65.集中管理中心可以先获取虚拟机的设备标识以及服务，然后可以根据需要调整的服务策略，确定服务对应的设备标识，接着，可以根据设备标识向设备标识对应的虚拟机系统中的终端安全代理发送策略获取脚本。可以理解的是，策略获取脚本为用于触发终端安全代理返回虚拟机系统的策略。
66.集中管理中心包括策略获取模块，所述的策略获取模块用于获取虚拟机的策略。终端安全代理部署在虚拟机上，用于执行集中管理中心下发的指令。
67.s102：虚拟机系统中的终端安全代理响应于所述策略获取脚本，获取所述虚拟机系统的目标策略，以及向所述集中管理中心返回所述目标策略。
68.在本实施例中，所述目标策略包括服务策略和安全策略。虚拟机系统中的终端安全代理接收到策略获取脚本后，虚拟机系统中的终端安全代理可以响应于所述策略获取脚本，获取所述虚拟机系统的目标策略，并向所述集中管理中心返回所述目标策略。作为一种示例，终端安全代理接收到策略获取脚本后，可以先验证集中管理中心的账号和密码是否与终端安全代理中预设的账号和密码一致，若一致，则验证集中管理中心验证通过，然后，终端安全代理可以响应于所述策略获取脚本，获取所述虚拟机系统的目标策略，并向所述集中管理中心返回所述目标策略。
69.s103：所述集中管理中心对所述目标策略进行评估，得到策略评估结果；
70.在本实施例中，集中管理中心预设有业务评估模型，该业务评估模型可以包括了评估策略的规则，该评估策略的规则可以对策略进行评估。
71.在一种实现方式中，所述目标策略可以包括服务策略和安全策略。集中管理中心可以基于业务评估模型，对所述目标策略进行评估，得到服务策略和安全策略的高交互程度，其中，高交互程度反映了提供的真实攻击系统与业务场景的贴合程度。然后，集中管理中心可以将所述服务策略和安全策略的高交互程度作为所述目标策略的策略评估结果。
72.s104：所述集中管理中心根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略。
73.在本实施例中，集中管理中心可以预先设置有服务策略和安全策略规则库，服务策略和安全策略规则库包括若干策略评估结果与服务策略和安全策略的调整规则之间的对应关系，即包括若干组策略评估结果与服务策略、安全策略的调整规则的对应关系，这样，获取到一策略评估结果后，可以根据策略评估结果确定其对应的一组策略评估结果与服务策略、安全策略的调整规则的对应关系，并根据该对应关系确定该策略评估结果对应的服务策略和安全策略的调整规则。
74.具体地，集中管理中心可以基于服务策略和安全策略规则库，根据所述策略评估结果，对所述目标策略进行编辑和修订，得到调整后的目标策略。也就是说，集中管理中心可以基于服务策略和安全策略规则库，根据所述策略评估结果，确定该策略评估结果对应的服务策略和安全策略的调整规则，并根据该服务策略和安全策略的调整规则，对所述目标策略进行编辑和修订，得到调整后的目标策略，从而形成贴合业务场景的目标策略，接着，可以把该目标策略重新整合成策略生成脚本，即，将该目标策略生成与其对应的脚本。
75.在一种实现方式中，集中管理中心可以包括模型评估模块，该模型评估模块可以
用于评估虚拟机服务策略和安全策略的高交互程度，并可调整和修订，并生成策略。
76.s105：所述集中管理中心将所述调整后的目标策略返回所述终端安全代理。
77.集中管理中心确定调整后的目标策略后，集中管理中心将所述调整后的目标策略返回所述终端安全代理。在本实施例的一种实现方式总，集中管理中心包括策略部署模块，该策略部署模块用于向虚拟机传输服务软件、部署脚本、策略脚本。
78.s106：所述终端安全代理将所述目标策略更新为所述调整后的目标策略。
79.终端安全代理获取到调整后的目标策略后，终端安全代理可以将所述目标策略更新为所述调整后的目标策略。在一种实现方式中，所述方法还包括：终端安全代理向所述集中管理中心返回策略更新结果，集中管理中心获取所述终端安全代理返回的策略更新结果。
80.由上述技术方案可以看出，本技术蜜罐系统中的集中管理中心可以先向虚拟机系统中的终端安全代理发送策略获取脚本；然后，可以获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；接着，可以对所述目标策略进行评估，得到策略评估结果；紧接着，可以根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；最后，可以将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略。在本技术中，蜜罐系统中的集中管理中心可以自动获取虚拟机系统中的终端安全代理的策略获取脚本，并可以对所述目标策略进行评估以及调整，得到调整后的目标策略，并将所述调整后的目标策略返回所述终端安全代理，以便所述终端安全代理将所述目标策略更新为所述调整后的目标策略，这样，本技术可以实现策略获取、策略调整以及策略下发的自动化管理，还有实现了策略的自动化执行和更新，并简化了对所述目标策略进行评估以及调整的定制复杂度，解决了实时交付的问题，并能实现策略的统一管理执行，降低了高交互所需的交付成本、管理成本，以及提高了在虚拟机中部署策略的灵活性。
81.在本实施例中，还提供了一种高交互蜜罐的控制系统，如图2所示，所述系统包括蜜罐系统中的集中管理中心和虚拟机系统中的终端安全代理。
82.所述集中管理中心，用于向所述终端安全代理发送策略获取脚本；获取所述终端安全代理响应于所述策略获取脚本所返回的目标策略；对所述目标策略进行评估，得到策略评估结果；根据所述策略评估结果，对所述目标策略进行调整，得到调整后的目标策略；将所述调整后的目标策略返回所述终端安全代理。
83.所述终端安全代理，用于获取所述集中管理中心发送的所述策略获取脚本；响应于所述策略获取脚本，获取所述目标策略，以及向所述集中管理中心返回所述目标策略；接收所述集中管理中心返回的所述调整后的目标策略；将所述虚拟机系统的策略由所述目标策略更新为所述调整后的目标策略。
84.需要说明的是，所述系统中的集中管理中心和终端安全代理所执行的步骤均可以参见图1对应的方法实施例中的解释说明，在此不再赘述。
85.如图3所示，为本技术所述高交互蜜罐的控制装置的一个具体实施例。本实施例所述装置，即用于执行上述实施例所述方法的实体装置。其技术方案本质上与上述实施例一致，上述实施例中的相应描述同样适用于本实施例中。所述装置应用于蜜罐系统中的集中管理中心，本实施例中所述装置包括：
component interconnect，外设部件互连标准)总线或eisa(extended industry standard architecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
108.存储器，用于存放执行指令。具体地，执行指令即可被执行的计算机程序。存储器可以包括内存和非易失性存储器，并向处理器提供执行指令和数据。
109.在一种可能实现的方式中，处理器从非易失性存储器中读取对应的执行指令到内存中然后运行，也可从其它设备上获取相应的执行指令，以在逻辑层面上形成高交互蜜罐的控制装置。处理器执行存储器所存放的执行指令，以通过执行的执行指令实现本技术任一实施例中提供的高交互蜜罐的控制方法。
110.上述如本技术图1所示实施例提供的高交互蜜罐的控制装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field－programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
111.结合本技术实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。
112.本技术实施例还提出了一种可读介质，该可读存储介质存储有执行指令，存储的执行指令被电子设备的处理器执行时，能够使该电子设备执行本技术任一实施例中提供的高交互蜜罐的控制方法，并具体用于执行上述高交互蜜罐的控制的方法。
113.前述各个实施例中所述的电子设备可以为计算机。
114.本领域内的技术人员应明白，本技术的实施例可提供为方法或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例，或软件和硬件相结合的形式。
115.本技术中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
116.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要
素的过程、方法、商品或者设备中还存在另外的相同要素。
117.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。