(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211233127.9 (22)申请日 2022.10.10 (71)申请人 北京金睛云华科技有限公司 地址 100088 北京市海淀区北三环中路4 4 号58号1层21号 申请人 金睛云华 （沈阳） 科技有限公司 (72)发明人 曲武　陈浩　 (74)专利代理 机构 沈阳友和欣知识产权代理事 务所(普通 合伙) 21254 专利代理师 杨群　郭悦 (51)Int.Cl. H04L 9/40(2022.01) G06F 8/60(2018.01) G06F 9/455(2006.01) G06K 9/62(2022.01) (54)发明名称 一种海量终端蜜罐自动化部署与撤销的方 法和装置 (57)摘要 本发明涉及网络攻击蜜罐部署防护技术领 域， 特别提供了一种海量终端蜜罐自动化部署与 撤销的方法和装置， 包括如下步骤： 在Docker环 境下， 对通信流量数据包进行捕获、 分类； 将分类 好的数据包进行特征提取， 分为正常数据包和异 常数据包， 将正常数据包发送到目的地， 将异常 数据包的特征进行处理； 将处理后的异常数据包 的特征进行入侵检测， 自动建立蜜罐， 将恶意数 据包引入到相应的蜜罐中， 进一步进行检测分 析； 一定时间段内， 统计各个蜜罐内部API调用次 数与时间的关系， 来决定蜜罐的保留或撤销。 本 发明实现了海量蜜罐部署的自动化。 权利要求书2页 说明书5页 附图2页 CN 115396233 A 2022.11.25 CN 115396233 A 1.一种海量终端 蜜罐自动化部署与撤销的方法， 其特 征在于， 包括如下步骤： 1） 在主机上部署虚拟 操作系统Docker， 形成不同的容器； 2） 对容器之间的通信流 量数据包进行捕获， 并根据数据包的目的地进行分类； 3） 将分类好的数据包进行特征提取， 根据提取的特征， 将通信流量数据包分为正常数 据包和异常数据包， 将正常数据包发送到目的地， 将异常数据包的特 征进行处 理； 4） 将处理后的异常数据包的特征进行入侵检测， 当异常数据包被认定为正常数据包 时， 将其发送到目的地， 当异常数据包被认定为恶意数据包或不能进 行准确判断时， 自动建 立蜜罐， 将恶意数据包引入到相应的蜜罐中， 进一 步进行检测分析； 5） 一定时间段内， 统计各个蜜罐内部API调用次数与时间的关系， 如果蜜罐内API调用 频繁度较高， 高于设定阈值， 则继续保留该蜜罐； 若低于设定阈值， 则该蜜罐被访问次数较 低， 或已经被识别为蜜罐， 则撤销该蜜罐。 2.根据权利要求1所述的海量终端蜜罐自动化部署与撤销的方法， 其特征在于， 所述步 骤2） 中， 通过利用现有软件监听主机网卡接口 的方式来捕获容器之间的通信流 量数据包。 3.根据权利要求1所述的海量终端蜜罐自动化部署与撤销的方法， 其特征在于， 所述步 骤3） 中， 依据基于PCA的特征提取模型对通信流量数据包进行特征提取， 具体包括如下步 骤： 1） 将分类后的通信流量数据包进行PCA特征提取： 计算原始样本空间X的协方差矩阵S； 通过协方差矩阵S计算其正交矩阵Q及特征值λ1≥λ2≥…≥λn； 设置累计贡献率t的阈值， 计 算得到标准正交向量ui及降维后的样本空间U={u1,u2,…ud}， 并得到投影后的主分量特征   y={u1,u2,…ud}Txi， 形成新的候选特 征子集F1， n、 d、 i均代 表常数， T代 表转置； 2） 自适应选择PCA的二次特 征选择模块： 201） 当需要确定降维后特征子集F1的关键特征时， 进行基于关联过滤器的特征选择， 检查每个特征的相关性， 即， 使属性特征与类属性关联度最大化， 且使属性与属性之 间的冗 余度最小化， 结合启发式序列后向算法搜索策略， 得到候选的关键特 征子集F2； 202） 当不需要确定特征子集F1的关键特征时， 跳过特征提取， 获得相对较高的分类精 度； 3） 在PCA特征提取模型、 PCA二次特征选择模型的最优特征子集上， 形成数据集并进行 SVM分类训练， 在测试集上得到通信流量数据包的分类结果， 即分类为正常数据包和异常数 据包。 4.根据权利要求1所述的海量终端蜜罐自动化部署与撤销的方法， 其特征在于， 所述步 骤4） 中， 通过蜜罐进一步对恶意数据包进行检测分析后， 如果仍被认定为有入侵行为的恶 意数据包， 则执 行黑名单 策略， 将对应的恶意数据包丢弃， 或执 行报警策略。 5.一种海量终端 蜜罐自动化部署与撤销的装置， 其特 征在于， 包括如下 单元： 虚拟操作系统Docker， 用于 部署在主机上； 数据捕获模块， 用于对容器之间的通信流量数据包进行捕获， 并根据数据包的目的地 进行分类； 特征提取模块， 用于将分类好的数据包进行特征提取， 根据提取的特征， 将通信流量数 据包分为正常数据包和异常数据包， 将正常数据包发送到目的地， 将异常数据包的特征进 行处理；权　利　要　求　书 1/2 页 2 CN 115396233 A 2入侵检测模块， 用于将处 理后的异常数据包的特 征进行入侵检测； 蜜罐， 用于对被认定为恶意数据包或不能进行准确判断的数据包， 进一步进行检测分 析； 频繁度计算模块， 用于在一定时间段内， 统计各个蜜罐内部API调用次数与时间的关 系， 如果蜜罐内API调用频繁度较高， 高于设定阈值 ， 则继续保留该蜜罐； 若低于设定阈 值， 则该蜜罐被访问次数较低， 或已经被识别为蜜罐， 则撤销该蜜罐。权　利　要　求　书 2/2 页 3 CN 115396233 A 3