CN113660246A - 蜜罐切换方法、系统、计算机及可读存储介质 - Google Patents

Abstract

本申请涉及一种蜜罐切换方法、系统、计算机及可读存储介质，其中，该方法包括：根据预设的若干虚拟化方案对应创建若干蜜罐节点，其中，虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；当蜜罐节点被攻击时，上传蜜罐节点收集到的攻击数据；对攻击数据进行分析，并实时评判其风险值；当风险值高于预设值时，切换虚拟化方案的虚拟方式。通过本申请，实现了蜜罐系统能够在感受到攻陷的威胁时随时切换底层架构，在提升蜜罐的迷惑能力的同时，有效提升蜜罐网络的安全性。

Description

蜜罐切换方法、系统、计算机及可读存储介质

技术领域

本申请涉及信息安全技术领域，特别是涉及蜜罐切换方法、系统、计算机及可读存储介质。

背景技术

在欺骗防御领域，蜜罐通过自身的迷惑性、对业务的非侵入性、主动诱捕等特质，在攻防实战中发挥着非常重要的作用。

蜜罐的一般的使用场景为：通过在不同的业务网络区域部署不同的蜜罐节点，进而对攻击者产生迷惑和诱捕。但面对如今日益复杂的网络攻击，攻击者很容易攻陷目标主机，从而获取到横向扩展的权限。攻陷方式例如零日漏洞、WEB漏洞以及其他的系统自身的未知漏洞等等。如果想提高蜜罐的生存能力，增强攻防对抗的效果，就需要蜜罐的特性或者蜜罐网络中的蜜罐服务具有可动态变换的能力。目前防御技术拟态防御基于这样的思想，通过在特定的网络空间内，当检测到威胁时，动态的切换主机的服务或特性，以最大化提高攻击者的攻击难度。

然而，现有的技术模式在实现拟态蜜罐时侧重于网络层面和蜜罐的业务层面，如果蜜罐的虚拟化层面出现0day漏洞等高危的漏洞的话，蜜罐业务系统则面临着直接被打穿的风险。

发明内容

本申请实施例提供了一种及蜜罐切换方法、系统、计算机及可读存储介质，以至少解决相关技术中蜜罐业务系统直接被打穿的风险的问题。

第一方面，本申请实施例提供了一种蜜罐切换方法，该方法包括：方法包括：

根据预设的若干虚拟化方案对应创建若干蜜罐节点，其中，所述虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；

当所述蜜罐节点被攻击时，上传所述蜜罐节点收集到的攻击数据；

对所述攻击数据进行分析，并实时评判其风险值；

当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式。

在其中一些实施例中，所述实时评判其风险值的步骤之后，还包括：

对所述风险值进行可视化展示；

实时查询所述风险值对应的风险等级，并根据所述风险等级发送对应的告警提示。

在其中一些实施例中，所述根据预设的虚拟化方案对应创建若干蜜罐节点的方法包括：

在多个虚化主机上分别安装不同的虚拟化平台；

在对应的所述虚拟化平台上创建使用对应虚拟化技术的蜜罐节点，所述蜜罐节点由所述虚拟化平台上的虚拟化磁盘直接定义生成。

在其中一些实施例中，所述切换所述虚拟化方案的虚拟方式的方法包括：

当所述风险值高于预设值时，选取其中一个虚拟化主机根据切换指令创建新的蜜罐节点，所述新的蜜罐节点的虚拟化方式不同于当前被攻击的蜜罐节点虚拟方式。

在其中一些实施例中，所述切换所述虚拟化方案的虚拟方式的方法还包括：

在每个虚拟化主机上创建至少一个蜜罐节点，并使所述蜜罐节点处于关闭状态；

当所述风险值高于预设值时，从其中一个所述虚拟化主机内分配一个蜜罐节点替换被攻击的蜜罐节点，其中，用于替换的蜜罐节点的虚拟化方式与被攻击的蜜罐节点的虚拟化方式不同。

第二方面，本申请实施例提供了一种蜜罐切换系统，包括：节点生成模块、数据上传模块、数据分析模块和切换模块；

所述节点生成模块用于根据预设的若干虚拟化方案对应创建若干蜜罐节点，其中，所述虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；

所述数据上传模块用于当所述蜜罐节点被攻击时，上传所述蜜罐节点收集到的攻击数据；

所述数据分析模块用于对所述攻击数据进行分析，并实时评判其风险值；

所述切换模块用于当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式。

在其中一些实施例中，所述系统还包括：

显示模块：用于对所述风险值进行可视化展示；

告警模块：用于实时查询所述风险值对应的风险等级，并根据所述风险等级发送对应的告警提示。

在其中一些实施例中，所述节点生成模块包括：

架构单元：用于在多个虚化主机上分别安装不同的虚拟化平台；

节点创建单元：用于在对应的所述虚拟化平台上创建使用对应虚拟化技术的蜜罐节点，所述蜜罐节点由所述虚拟化平台上的虚拟化磁盘直接定义生成。

第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的蜜罐切换方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的蜜罐切换方法。

相比于相关技术，本申请实施例提供的蜜罐切换方法，通过采用如KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术创建的若干蜜罐节点作为诱导攻击的节点，诱导非法入侵对其进行攻击，且上传该蜜罐节点收集到的攻击数据，并分析所受到攻击的风险等级，进一步的去决断是否切换蜜罐节点的虚拟方式，通过切换虚拟方式，从底层虚拟化架构去实现动态蜜罐节点的切换，使得蜜罐系统能够在感受到攻陷的威胁时随时切换底层架构，在提升蜜罐的迷惑能力的同时，有效提升蜜罐网络的安全性。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本发明第一实施例提出的蜜罐切换方法的流程图；

图2是本发明第一实施例提出的风险等级提示方法的流程图；

图3是本发明第一实施例提出的创建蜜罐节点方法的流程图；

图4是本发明第一实施例提出的切换虚拟化方案的虚拟方式的方法流程图；

图5是本发明第二实施例提出的切换虚拟化方案的虚拟方式的方法流程图；

图6是本发明第三实施例提出的蜜罐切换系统的结构示意图；

图7是本发明第三实施例提出的蜜罐切换系统的一种优选结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本申请中描述的各种技术可用于各种无线通信系统，例如2G、3G、4G、5G通信系统以及下一代通信系统，又例如全球移动通信系统(Global System for Mobilecommunications，简称为GSM)，码分多址(Code Division Multiple Access，简称为CDMA)系统，时分多址(Time Division Multiple Access，简称为TDMA)系统，宽带码分多址(Wideband Code Division Multiple Access Wireless，简称为WCDMA)，频分多址(Frequency Division Multiple Addressing，简称为FDMA)系统，正交频分多址(Orthogonal Frequency-Division Multiple Access，简称为OFDMA)系统，单载波FDMA(SC-FDMA)系统，通用分组无线业务(General Packet Radio Service，简称为GPRS)系统，长期演进(Long Term Evolution，简称为LTE)系统，5G新空口(New Radio，简称为NR)系统以及其他此类通信系统。

本实施例提供的蜜罐切换系统可集成在基站、射频拉远单元(Radio RemoteUnit，简称为RRU)或者其他任意需要进行射频收发的网元设备中。本文中的基站可以是接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与网际协议(Internet Protocol，简称为IP)分组进行相互转换，作为无线终端与接入网的其余部分之间的路由器，其中接入网的其余部分可包括IP网络。基站还可协调对空中接口的属性管理。例如，基站可以是GSM或CDMA中的基站(Base Transceiver Station，简称为BTS)，也可以是WCDMA中的基站(Node B)，还可以是LTE中的演进型基站(evolutionalNode B，简称为eNB或e-Node B)，还可以是5G NR中的(generation Node B，简称为gNB)，本申请并不限定。

本申请第一实施例提供了一种蜜罐切换方法。图1是根据本申请第一实施例的蜜罐切换方法的流程图，如图1所示，该流程包括如下步骤：

步骤S10，根据预设的若干虚拟化方案对应创建若干蜜罐节点。

在本发明实施例中，虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；其中，虚拟化技术是指通过使用虚拟化集群的目标克服单机虚拟化的局限性，利用技术手段提高虚拟机可用性，最终达到业务不中断或者减少中断时间，确保业务数据更安全的目标。虚拟机集群最显著的特征是有共享存储，因为有了共享存储，虚拟机就可以实现非常快速的在线迁移。本发明采用KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术以作为该蜜罐系统的底层虚拟化架构，实现了底层架构多元化的特性，极大的增加了非法入侵人员攻克底层架构的难度，可以理解的，本发明采用的虚拟方式包括但不限于以上三种虚拟方式。本申请对此不作具体限定。

步骤S20，当蜜罐节点被攻击时，上传蜜罐节点收集到的攻击数据。

可以理解的，蜜罐本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析。本申请创造的蜜罐节点自然也用于伪装以及收集侵入者的攻击数据，以实现欺骗伪装以及威胁感知的目的。

步骤S30，对攻击数据进行分析，并实时评判其风险值。

在本申请实施例中，通过在内网边界和敏感位置部署具备威胁感知能力的探针节点，结合流量分析设备，可以很好地解决定位攻击时滞后性强及误报高的问题。侵入者信息搜集的过程势必需要嗅探到网络端口、架构、应用、系统和数据等维度，在内网中布设诱饵探针节点形成高度逼真的分布式蜜网，攻击者一旦尝试发送信息或建立初始连接，就一定会被察觉，从而快速精准定位攻击事件。当识别到攻击事件时，分析所有蜜罐节点上报的告警数据，对告警数据进行事件定义及风险等级划分，并实时计算系统的风险值，并记录蜜罐是否有被攻破的风险。

步骤S40，当风险值高于预设值时，切换虚拟化方案的虚拟方式。

综上，通过上述方法，通过创建的蜜罐节点来感知以及收集侵入者的攻击事件以及其攻击数据，并基于其攻击数据来评判其攻破的风险值，当达到一定程度时，通过切换虚拟方式(即选取与收集攻击数据的底层虚拟架构不同的蜜罐节点进行动态替换)来提升蜜罐的迷惑能力，有效的避免了蜜罐业务系统被直接打穿。

本发明第一实施例还提出一种风险等级提示方法，如图2所示，该流程方法包括：

步骤S31，对风险值进行可视化展示。

可以理解的，通过蜜罐节点反馈的攻击数据即可判断当前的被攻击状态，通过显示系统来对应显示当前被攻击的区域以及攻击程度，并进行可视化展示，便于相关负责人员了解侵入情况。

步骤S32，实时查询风险值对应的风险等级，并根据风险等级发送对应的告警提示。

在本发明实施例中，告警提示可通过在蜜罐系统内预设若干关联人员的电话号码、微信等联系方式来进行实时告警，且针对不同的风险等级对应发送不同的告警提示。例如当风险等级低时，只在后台监控的终端计算机上进行告警提示，若风险等级高时，在后台监控的终端计算机上进行告警提示的同时，还将告警信息发生至关联的通讯目标，以警示相关人员实时监控的目的，有效的提升了针对异常侵入的处理效率。

通过上述方式，实现针对不同风险等级发出区别的告警提示，并选择性发送至告警提示的群体，提升了对于发送异常侵入事件的人员处理分配能力。

本发明第一实施例还提出创建蜜罐节点的方法，如图3所示，该流程方法包括：

步骤S11，在多个虚化主机上分别安装不同的虚拟化平台。

步骤S12，在对应的虚拟化平台上创建使用对应虚拟化技术的蜜罐节点。

本发明实施例中，通过改变蜜罐节点所在的虚拟化主机来体现节点的差异性，不通的虚拟化主机上虚拟出来的节点环境，使用虚拟化特征检测工具检查出来的特征是不同的，比如使用kvm虚拟化出来的节点，具有特征1、2、3，而使用xen虚拟化出来的节点，可能具有特征4、5、6，这些特征可能会出现0day(零日)漏洞，通过切换节点的虚拟化生成方式从而改变其系统层面体现出来的特征，从而在出现如0day漏洞等情况时实现灵活适用。

本发明第一实施例还提出切换虚拟化方案的虚拟方式的方法，如图4所示，该流程方法包括：

步骤S31，判断风险值是否高于预设值。

步骤S32，若是，则选取其中一个虚拟化主机根据切换指令创建新的蜜罐节点。

其中，切换指令由管理层(切换模块)根据风险等级是否达到切换的条件而生成。可以理解的，新的蜜罐节点的虚拟化方式不同于当前被攻击的蜜罐节点虚拟方式，通过该方法，由于对外提供的服务均一致，只更改底层虚拟化架构，不更改蜜罐节点本身的操作系统和暴露的服务，以实现在切换虚拟化方式的时候，实现了攻击入侵人员无感知的技术效果。

本发明第二实施例还提出另外一种切换虚拟化方案的虚拟方式的方法，如图5所示，该流程方法包括：

步骤S41：在每个虚拟化主机上创建至少一个蜜罐节点，并使蜜罐节点处于关闭状态。

步骤S42：当风险值高于预设值时，从其中一个所述虚拟化主机内分配一个蜜罐节点替换被攻击的蜜罐节点。

其中，用于替换的蜜罐节点的虚拟化方式与被攻击的蜜罐节点的虚拟化方式不同。该切换虚拟化方案的虚拟方式通过预先创建蜜罐节点，在识别判断到风险值高于预设值时，能够立即将预先创建的蜜罐节点与被攻击的蜜罐节点进行替换，替换的反应效率相比于再创建一个新的蜜罐节点的方式，更加快速，切换过程更不容易被攻击人员所识别到。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例还提供了一种蜜罐切换系统，该系统用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本申请实施例第三实施例提出的蜜罐切换系统的结构框图，如图6所示，该系统包括：节点生成模块10、数据上传模块20、数据分析模块30和切换模块40.

其中，节点生成模块10用于根据预设的若干虚拟化方案对应创建若干蜜罐节点，虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；

数据上传模块20用于当蜜罐节点被攻击时，上传蜜罐节点收集到的攻击数据；

数据分析模块30用于对攻击数据进行分析，并实时评判其风险值；

切换模块40用于当风险值高于预设值时，切换虚拟化方案的虚拟方式。

图7是根据本申请第三实施例的蜜罐切换系统的优选结构框图，该系统包括图6所示的所有模块，此外，该系统具体还包括：

显示模块50：用于对风险值进行可视化展示；

告警模块60：用于实时查询风险值对应的风险等级，并根据风险等级发送对应的告警提示。

具体的，在本发明第三实施例中，节点生成模块10包括：

架构单元：用于在多个虚化主机上分别安装不同的虚拟化平台；

节点创建单元：用于在对应的虚拟化平台上创建使用对应虚拟化技术的蜜罐节点，蜜罐节点由虚拟化平台上的虚拟化磁盘直接定义生成。

进一步的，在本发明第三实施例中，切换模块40具体包括：

第一创建单元：用于当风险值高于预设值时，选取其中一个虚拟化主机根据切换指令创建新的蜜罐节点。

其中，该新的蜜罐节点的虚拟化方式不同于当前被攻击的蜜罐节点虚拟方式。

在本发明第四实施例中，切换模块40具体包括：

第二创建单元：用于在每个虚拟化主机上创建至少一个蜜罐节点，并使所述蜜罐节点处于关闭状态。

替换单元：用于当风险值高于预设值时，从其中一个所述虚拟化主机内分配一个蜜罐节点替换被攻击的蜜罐节点，其中，用于替换的蜜罐节点的虚拟化方式与被攻击的蜜罐节点的虚拟化方式不同。

综上，通过上述蜜罐切换系统，用以执行上述的蜜罐切换方法的相应步骤，通过创建的蜜罐节点来感知以及收集侵入者的攻击事件以及其攻击数据，并基于其攻击数据来评判其攻破的风险值，当达到一定程度时，通过切换虚拟方式(即选取与收集攻击数据的底层虚拟架构不同的蜜罐节点进行动态替换)来提升蜜罐的迷惑能力，有效的避免了蜜罐业务系统被直接打穿。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

另外，结合图1描述的本申请实施例蜜罐切换方法可以由计算机设备来实现。该计算机设备可以包括处理器以及存储有计算机程序指令的存储器。

具体地，上述处理器可以包括中央处理器(CPU)，或者特定集成电路(ApplicationSpecific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器可在数据处理系统的内部或外部。在特定实施例中，存储器是非易失性(Non-Volatile)存储器。在特定实施例中，存储器包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(Random AccessMemory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器所执行的可能的计算机程序指令。

处理器通过读取并执行存储器中存储的计算机程序指令，以实现上述实施例中的任意一种蜜罐切换方法。

在其中一些实施例中，计算机设备还可包括通信接口和总线。处理器、存储器、通信接口通过总线连接并完成相互间的通信。

通信接口用于实现本申请实施例中各模块、系统、单元和/或设备之间的通信。通信接口还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(FrontSide Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于获取到的数据信息，执行本申请实施例中的蜜罐切换方法，从而实现结合图1描述的蜜罐切换方法。

另外，结合上述实施例中的蜜罐切换方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种蜜罐切换方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种蜜罐切换方法，其特征在于，所述方法包括：

根据预设的若干虚拟化方案对应创建若干蜜罐节点，其中，所述虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；

当所述蜜罐节点被攻击时，上传所述蜜罐节点收集到的攻击数据；

对所述攻击数据进行分析，并实时评判其风险值；

当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式。

2.根据权利要求1所述的蜜罐切换方法，其特征在于，所述实时评判其风险值的步骤之后，还包括：

对所述风险值进行可视化展示；

实时查询所述风险值对应的风险等级，并根据所述风险等级发送对应的告警提示。

3.根据权利要求1或2所述的蜜罐切换方法，其特征在于，所述根据预设的虚拟化方案对应创建若干蜜罐节点，包括：

在多个虚化主机上分别安装不同的虚拟化平台；

在对应的所述虚拟化平台上创建使用对应虚拟化技术的蜜罐节点，所述蜜罐节点由所述虚拟化平台上的虚拟化磁盘直接定义生成。

4.根据权利要求3所述的蜜罐切换方法，其特征在于，所述当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式，包括：

当所述风险值高于预设值时，选取其中一个虚拟化主机根据切换指令创建新的蜜罐节点，所述新的蜜罐节点的虚拟化方式不同于当前被攻击的蜜罐节点虚拟方式。

5.根据权利要求3所述的蜜罐切换方法，其特征在于，所述当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式，包括：

在每个虚拟化主机上创建至少一个蜜罐节点，并使所述蜜罐节点处于关闭状态；

当所述风险值高于预设值时，从其中一个所述虚拟化主机内分配一个蜜罐节点替换被攻击的蜜罐节点，其中，用于替换的蜜罐节点的虚拟化方式与被攻击的蜜罐节点的虚拟化方式不同。

6.一种蜜罐切换系统，其特征在于，包括：节点生成模块、数据上传模块、数据分析模块和切换模块；

所述节点生成模块用于根据预设的若干虚拟化方案对应创建若干蜜罐节点，其中，所述虚拟化方案来自以下虚拟方式中的任意一种：KVM虚拟化技术、XEN虚拟化技术或VMWARE的虚拟化技术；

所述数据上传模块用于当所述蜜罐节点被攻击时，上传所述蜜罐节点收集到的攻击数据；

所述数据分析模块用于对所述攻击数据进行分析，并实时评判其风险值；

所述切换模块用于当所述风险值高于预设值时，切换所述虚拟化方案的虚拟方式。

7.根据权利要求6所述的蜜罐切换系统，其特征在于，所述系统还包括：

显示模块：用于对所述风险值进行可视化展示；

告警模块：用于实时查询所述风险值对应的风险等级，并根据所述风险等级发送对应的告警提示。

8.根据权利要求6所述的蜜罐切换系统，其特征在于，所述节点生成模块包括：

架构单元：用于在多个虚化主机上分别安装不同的虚拟化平台；

节点创建单元：用于在对应的所述虚拟化平台上创建使用对应虚拟化技术的蜜罐节点，所述蜜罐节点由所述虚拟化平台上的虚拟化磁盘直接定义生成。

9.一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的蜜罐切换方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至5中任一项所述的蜜罐切换方法。

Images