CN114978731A - 一种基于多样性扩展的诱捕蜜罐实现系统及方法 - Google Patents

Abstract

本发明涉及一种基于多样性扩展的诱捕蜜罐实现系统及方法，属于网络安全技术领域。本发明提供的基于多样性扩展的诱捕蜜罐实现系统及方法通过强化学习模型调整和扩展现有蜜罐，能够提高诱捕的效率，且扩大诱捕范围，实现了面向战场等复杂网络的诱捕蜜罐的多样性和动态扩展，在一定程度上解决了传统蜜罐静态单一、命中率低等问题，整体上提高蜜网的灵活性。

Description

一种基于多样性扩展的诱捕蜜罐实现系统及方法

技术领域

本发明属于网络安全技术领域，具体涉及一种基于多样性扩展的诱捕蜜罐实现系统及方法。

背景技术

随着信息化战争的不断演化变革，网络威胁形势愈发严峻。在面对业务环境复杂多样、攻击手段层出不穷的复杂网络攻防情况下，传统的防火墙、入侵检测等被动安全防护手段已然捉襟见肘。而蜜罐技术作为一种有效的主动防御技术，通过欺骗的手段，诱骗入侵者在特定环境内发起攻击，一方面减少对实际系统的威胁，另一方面能够获取攻击工具、掌握攻击手段、支持攻击溯源，成为网络安全防御领域的重要方向。

现阶段，静态单一蜜罐、广泛撒网蜜罐、动态部署蜜罐是最常见的三种蜜罐形式，存在以下的不足之处：

(1)静态单一蜜罐，只部署单一的、静态的蜜罐，被动等待攻击者入侵，大多数攻击者会轻而易举发现蜜罐，从而进行跳转逃脱。

(2)广泛撒网蜜罐，采用广撒网的被动部署方式，在蜜罐节点部署后，守株待兔，被动等待入侵者的发现和攻击，开销大，命中率低，若攻击者未进入蜜罐，则功亏一篑。

(3)动态部署蜜罐，利用监控到的网络信息进行动态部署和配置，感知周围网络环境，配置适当数量的蜜罐，并随网络环境的变化做出调整。但是，动态部署蜜罐多随着网络环境变化而变化，并不会主动地去扩展更多样性的蜜罐，且虚拟蜜罐之间通信交互行为少，诱捕效率低，不能达到引诱敌人发起更多攻击的目的。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何解决传统蜜罐静态单一、命中率低等问题，整体上提高蜜网的灵活性。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于多样性扩展的诱捕蜜罐实现系统，包括：

异常检测模块，用于收集网络流量，主动识别和检测异常流量信息，包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务这些特征信息；

蜜罐生成模块，用于根据异常检测模块收集到的特征信息，自动生成能够满足攻击者攻击意图的虚拟蜜罐；

智能学习模块用于：首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息，在攻击者与虚拟蜜罐未成功通信时，通过强化学习的方式不断调整虚拟蜜罐的状态，生成新的不同的虚拟蜜罐；在攻击者与虚拟蜜罐成功通信时，在与攻击者交互过程中，通过强化学习的方式对虚拟蜜罐的状态进行不断的调整，扩展地生成其他多个不同的虚拟蜜罐；其次，通过提高不同虚拟蜜罐之间的通信交互性，提升蜜罐的多样性和真实性；

流量牵引模块，用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中，引诱入侵者发起更多攻击，记录和监视攻击行为。

优选地，所述异常检测模块部署于整个网络的通信入口处，在收集网络流量时，排除掉正常通信流量，识别和检测出异常的恶意请求行为，发现网络上的潜在威胁，记录所述特征信息，所述正常通信流量是指，真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为，异常检测模块中除涉及到基于攻击特征库的已知攻击行为检测，还涉及到基于异常行为分析的实时入侵检测。

优选地，所述蜜罐生成模块根据异常检测模块检测到的特征信息，初步判断攻击者的攻击意图，自适应生成与攻击者攻击意图相匹配的虚拟蜜罐，从而获取更多的攻击者信息，其中，如果发现攻击者试图通过FTP端口发起攻击，便自动生成一个开启FTP服务的虚拟蜜罐，并在FTP文件中存储包含假敏感数据的文件。

优选地，所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时，通过强化学习的方式不断学习虚拟蜜罐的动作和状态，选取经过学习后的最优的前K个虚拟蜜罐的状态生成K个不同的虚拟蜜罐，另外在每个虚拟蜜罐中除学习到的动作和状态外，再开启2～3个不同的其他服务，从而迷惑攻击者，其中，采用SARSA强化学习方法，即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成不同的虚拟蜜罐，K为不为0的自然数。

优选地，所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时，所使用的SARSA模型中的最优价值Q函数的模型为：

Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]

其中，a代表虚拟蜜罐当前的动作；s代表虚拟蜜罐当前的环境状态；r代表对当前环境的短期奖励值，以评估虚拟蜜罐上一个动作；Q(s,a)代表在当前状态s下所采取动作a的回报价值；Q(s′,a′)代表在状态s′下所采取动作a′的回报价值；γ为折扣率，该值越大表示越重视以往的经验；α代表学习率；

输入代表s的全部集合的状态空间S、代表a的全部集合的动作空间A、还输入折扣率γ、学习率α，然后初始化Q(s,a)，经过SARSA模型训练后，选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。

优选地，所述智能学习模块通过提高不同虚拟蜜罐之间的通信交互性，提升蜜罐的多样性和真实性时，设第一蜜罐开启了FTP服务、HTTP服务，第二蜜罐开启了HTTP服务、邮件服务，第三蜜罐开启了FTP服务、邮件服务；则通过第一蜜罐和第二蜜罐进行HTTP通信、第二蜜罐和第三蜜罐进行邮件通信，第一蜜罐和第三蜜罐进行FTP通信，来达到不同虚拟蜜罐之间高交互通信的目的。

优选地，所述流量牵引模块具体采用策略路由和OpenVPN加密隧道实现攻击流量的重定向，根据攻击者IP进行重定向规则的动态删除和添加，对正常数据流方向和异常数据流方向的数据流做不同标记，使得不同的数据流遵循不同的路由规则，从而将异常数据流与正常数据流分开，将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。

本发明还提供了一种利用所述系统实现的方法，包括以下步骤：

首先，异常检测模块收集整个网络内的流量，判断流量是否正常，发现异常流量信息时，记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息；

其次，蜜罐生成模块根据检测到的特征信息，生成针对性的虚拟蜜罐；

然后，通过流量牵引模块将攻击流量重定向至虚拟蜜罐；

再次，判断攻击者与虚拟蜜罐是否成功通信，如果不是，则智能学习模块通过强化学习的方法调整虚拟蜜罐状态，生成新的不同的虚拟蜜罐；如果是，则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐；同时，提高不同虚拟蜜罐之间的通信交互性；

最后，通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐，诱捕攻击行为，记录攻击信息。

优选地，每个虚拟蜜罐为独立的设备，分配一个合法的外部IP地址，用来模拟任何真实的操作系统、数据库、应用系统，主动地对攻击者发起的安全事件进行反应。

本发明还提供了一种所述方法在网络安全技术领域中的应用。

(三)有益效果

(1)本发明根据异常行为检测的结果，生成具有针对性的、能够满足攻击者攻击意图的虚拟蜜罐，避免了传统蜜罐全部署的盲目性和巨大开销；

(2)本发明在虚拟蜜罐与攻击主机响应中断，或者入侵者识破虚拟蜜罐的情况下，通过强化学习的方式扩展生成多个新的虚拟蜜罐，提升了蜜罐的真实性和多样性，重新引诱入侵者发起更多攻击。

附图说明

图1为本发明基于多样性扩展的诱捕蜜罐实现方法的总体架构图，其中给出了本发明的模块设计、数据流向与相互作用；

图2为本发明基于多样性扩展的诱捕蜜罐实现方法的总体流程图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

本发明提出了一种基于多样性扩展的诱捕蜜罐实现系统及方法，旨在通过强化学习的方式扩展虚拟蜜罐的多样性，同时通过不同虚拟蜜罐之间的高交互通信行为构造蜜网的真实性，从而扩大引诱范围和提高诱捕效率，这样，即使攻击者识破了其中一两个虚拟蜜罐，也会陷入到其他的虚拟蜜罐中。

本发明提供的基于多样性扩展的诱捕蜜罐实现系统及方法通过强化学习模型调整和扩展现有蜜罐，能够提高诱捕的效率，且扩大诱捕范围，实现了面向战场等复杂网络的诱捕蜜罐的多样性和动态扩展，在一定程度上解决了传统蜜罐静态单一、命中率低等问题，整体上提高蜜网的灵活性。本发明面向常见复杂网络安全威胁环境所采取的主动防御手段，用于诱捕侦察、访问、欺骗、攻击利用、载荷投递、信息泄露、信息篡改等已知的和未知的威胁。

该方法通过异常检测模块、蜜罐生成模块、智能学习模块、流量牵引模块四部分实现。首先通过异常检测模块识别和检测网络异常流量行为；其次，利用蜜罐生成模块生成与入侵者意图相匹配的虚拟蜜罐；然后，利用智能学习模块通过强化学习的方法调整蜜罐状态，并扩展地生成其他多个虚拟蜜罐；最后，通过流量牵引模块，将攻击流量牵引至经学习后的虚拟蜜罐。

图1是基于多样性扩展的诱捕蜜罐实现方法的模块设计与总体架构，具体为：

(1)异常检测模块主动识别和检测网络异常流量信息，排除正常通信流量，收集恶意请求信息，包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息，并发送至蜜罐生成模块；

(2)蜜罐生成模块根据异常检测模块收集的特征信息，自动生成与攻击者攻击意图相匹配的虚拟蜜罐；

(3)智能学习模块根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息，在攻击者与虚拟蜜罐未成功通信时，通过强化学习的方式不断调整虚拟蜜罐至最佳状态，生成新的不同的虚拟蜜罐，在攻击者与虚拟蜜罐成功通信时，在与攻击者交互过程中，通过强化学习的方式不断调整虚拟蜜罐至最佳状态，扩展地生成其他多个不同的虚拟蜜罐，且通过新的或不同的多个虚拟蜜罐之间进行高交互通信，增强蜜网真实性，以便后续引诱攻击者发起更多的攻击；该响应信息是攻击者的回复报文或请求，例如攻击者回复了其中某种协议的报文，则虚拟蜜罐根据攻击者的回复进行再次调整，并再次响应。

(4)流量牵引模块将异常检测模块提供的攻击流量牵引(重定向)至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或其他多个虚拟蜜罐中，引诱入侵者发起更多攻击，记录和监视攻击行为。

图2是基于多样性扩展的诱捕蜜罐实现方法的总体流程，具体流程为：

(1)首先，异常检测模块收集整个网络内的流量，判断流量是否正常，发现异常流量信息时，记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息；

(2)其次，蜜罐生成模块根据检测到的特征信息，生成针对性的虚拟蜜罐；

(3)然后，通过流量牵引模块将攻击流量重定向至虚拟蜜罐；

(4)再次，判断攻击者与虚拟蜜罐是否成功通信，如果不是，则智能学习模块通过强化学习的方法调整虚拟蜜罐状态，生成新的不同的虚拟蜜罐；如果是，则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐；同时，提高不同虚拟蜜罐之间的通信交互性；

(5)最后，通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐，诱捕攻击行为，记录攻击信息。

本发明的基于多样性扩展的诱捕蜜罐实现方法具体通过以下的四大模块实现：

(1)异常检测模块，用于主动识别和检测异常流量信息，排除正常通信流量，收集恶意请求信息，包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息。

异常检测模块的具体实现方法包括：

异常检测模块部署于整个网络的通信入口处，用于收集网络流量，排除掉正常通信流量，正常通信流量是指，真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为，识别和检测出异常的恶意请求行为，发现网络上的潜在威胁，记录恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击特征、开放端口和服务等特征信息。异常检测模块中除涉及到传统的基于预先攻击特征库的已知攻击行为检测，还应涉及到基于异常行为分析的实时入侵检测，通过多维数据分析、关联分析等手段，结合威胁情报库，提高对未知威胁的检测效率。

(2)蜜罐生成模块，用于根据异常检测模块收集到的特征信息，自动生成能够满足攻击者攻击意图的虚拟蜜罐，每个虚拟蜜罐可看作是独立的设备，分配一个合法的外部IP地址，用来模拟任何真实的操作系统、数据库、应用系统等，主动地对攻击者发起的安全事件进行反应。

蜜罐生成模块的具体实现方法包括：

根据异常检测模块检测到的特征信息，初步判断攻击者的攻击意图，自适应生成与攻击者攻击意图相匹配的虚拟蜜罐，从而获取更多的攻击者信息。例如，如果发现攻击者试图通过FTP端口发起攻击，便自动生成一个开启FTP服务的虚拟蜜罐，并在FTP文件中存储包含假敏感数据的文件。每一个虚拟蜜罐都可通过管理员手动或自动配置，每个虚拟蜜罐都可看作一台独立设备分配一个合法IP，虚拟蜜罐不需要模仿整个操作系统，只需要模仿操作系统的一部分如TCP/IP协议栈，构造不同的数据包，从而达到欺骗入侵者的目的。

(3)智能学习模块用于：首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息，在攻击者与虚拟蜜罐未成功通信时，通过强化学习的方式不断调整虚拟蜜罐至最佳状态，生成新的不同的虚拟蜜罐，在攻击者与虚拟蜜罐成功通信时，在与攻击者交互过程中，通过强化学习的方式对虚拟蜜罐的状态进行不断的调整，扩展地生成其他多个不同的虚拟蜜罐，其次，通过提高不同虚拟蜜罐之间的通信交互性，提升蜜罐的多样性和真实性。

智能学习模块的具体实现方法包括：

通过强化学习方法生成新的或其他多个不同的虚拟蜜罐，增强密网的多样性。收集虚拟蜜罐和攻击者的通信流量，通过强化学习的方式不断学习虚拟蜜罐的动作和状态，选取经过学习后的最优的前K个(可根据网络规模大小选择K值，K为不为0的自然数)虚拟蜜罐的状态生成K个不同的虚拟蜜罐，另外在每个虚拟蜜罐中除学习到的动作和状态外，再开启2～3个不同的其他服务，从而迷惑攻击者。其中，采用SARSA(状态-动作-奖励-状态-动作)强化学习方法，即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成新的虚拟蜜罐或扩展地生成其他多个不同的虚拟蜜罐。

所述SARSA模型中的最优价值Q函数的模型为：

Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]

其中，a代表虚拟蜜罐当前的动作；s代表虚拟蜜罐当前的环境状态；r代表对当前环境的短期奖励值，以评估虚拟蜜罐上一个动作；Q(s,a)代表在当前状态s下所采取动作a的回报价值；Q(s′,a′)代表在状态s′下所采取动作a′的回报价值；γ为折扣率，该值越大表示越重视以往的经验；α代表学习率。

输入状态空间S(S代表s的全部集合)、动作空间A(A代表a的全部集合)、折扣率γ、学习率α后，初始化Q(s,a)，经过SARSA模型训练后，选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。

通过不同虚拟蜜罐的高交互通信行为，增强蜜网真实性。例如，蜜罐1开启了FTP服务、HTTP服务，蜜罐2开启了HTTP服务、邮件服务，蜜罐3开启了FTP服务、邮件服务；则可以通过蜜罐1和蜜罐2进行HTTP通信、蜜罐2和蜜罐3进行邮件通信，蜜罐1和蜜罐3进行FTP通信，来达到不同虚拟蜜罐之间高交互通信的目的。

(4)流量牵引模块，用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中，引诱入侵者发起更多攻击，记录和监视攻击行为。

流量牵引模块的具体实现方法包括：

将攻击流量重定向至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的多个虚拟蜜罐。具体地，采用策略路由和OpenVPN加密隧道实现攻击流量的重定向，根据攻击者IP进行重定向规则的动态删除和添加，对不同方向(包括正常数据流方向和异常数据流方向)的数据流做不同标记，使得不同的数据流遵循不同的路由规则，从而将异常数据流与正常数据流分开，将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。最终达到在虚拟蜜罐中诱捕攻击行为、监视入侵行为、获取更多攻击信息的目的。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种基于多样性扩展的诱捕蜜罐实现系统，其特征在于，包括：

异常检测模块，用于收集网络流量，主动识别和检测异常流量信息，包括恶意请求的攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务这些特征信息；

蜜罐生成模块，用于根据异常检测模块收集到的特征信息，自动生成能够满足攻击者攻击意图的虚拟蜜罐；

智能学习模块用于：首先根据蜜罐生成模块生成的虚拟蜜罐和攻击者的响应信息，在攻击者与虚拟蜜罐未成功通信时，通过强化学习的方式不断调整虚拟蜜罐的状态，生成新的不同的虚拟蜜罐；在攻击者与虚拟蜜罐成功通信时，在与攻击者交互过程中，通过强化学习的方式对虚拟蜜罐的状态进行不断的调整，扩展地生成其他多个不同的虚拟蜜罐；其次，通过提高不同虚拟蜜罐之间的通信交互性，提升蜜罐的多样性和真实性；

流量牵引模块，用于将异常检测模块提供的攻击流量牵引至蜜罐生成模块生成的虚拟蜜罐或者经过强化学习后的新的或扩展得到的其他多个虚拟蜜罐中，引诱入侵者发起更多攻击，记录和监视攻击行为。

2.如权利要求1所述的系统，其特征在于，所述异常检测模块部署于整个网络的通信入口处，在收集网络流量时，排除掉正常通信流量，识别和检测出异常的恶意请求行为，发现网络上的潜在威胁，记录所述特征信息，所述正常通信流量是指，真实业务和真实业务之间的正常通信行为、虚拟蜜罐和虚拟蜜罐之间的正常通信行为，异常检测模块中除涉及到基于攻击特征库的已知攻击行为检测，还涉及到基于异常行为分析的实时入侵检测。

3.如权利要求1所述的系统，其特征在于，所述蜜罐生成模块根据异常检测模块检测到的特征信息，初步判断攻击者的攻击意图，自适应生成与攻击者攻击意图相匹配的虚拟蜜罐，从而获取更多的攻击者信息，其中，如果发现攻击者试图通过FTP端口发起攻击，便自动生成一个开启FTP服务的虚拟蜜罐，并在FTP文件中存储包含假敏感数据的文件。

4.如权利要求1所述的系统，其特征在于，所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时，通过强化学习的方式不断学习虚拟蜜罐的动作和状态，选取经过学习后的最优的前K个虚拟蜜罐的状态生成K个不同的虚拟蜜罐，另外在每个虚拟蜜罐中除学习到的动作和状态外，再开启2～3个不同的其他服务，从而迷惑攻击者，其中，采用SARSA强化学习方法，即SARSA模型作为所述强化学习模型对虚拟蜜罐的动作和状态进行学习从而生成不同的虚拟蜜罐，K为不为0的自然数。

5.如权利要求4所述的系统，其特征在于，所述智能学习模块在生成新的或扩展其他不同虚拟蜜罐时，所使用的SARSA模型中的最优价值Q函数的模型为：

Q(s,a)←Q(s,a)+α[r+γQ(s′,a′)-Q(s,a)]

其中，a代表虚拟蜜罐当前的动作；s代表虚拟蜜罐当前的环境状态；r代表对当前环境的短期奖励值，以评估虚拟蜜罐上一个动作；Q(s,a)代表在当前状态s下所采取动作a的回报价值；Q(s′,a′)代表在状态s′下所采取动作a′的回报价值；γ为折扣率，该值越大表示越重视以往的经验；α代表学习率；

输入代表s的全部集合的状态空间S、代表a的全部集合的动作空间A、还输入折扣率γ、学习率α，然后初始化Q(s,a)，经过SARSA模型训练后，选取使得最优价值Q函数最优的前K个虚拟蜜罐状态生成K个不同的虚拟蜜罐。

6.如权利要求1所述的系统，其特征在于，所述智能学习模块通过提高不同虚拟蜜罐之间的通信交互性，提升蜜罐的多样性和真实性时，设第一蜜罐开启了FTP服务、HTTP服务，第二蜜罐开启了HTTP服务、邮件服务，第三蜜罐开启了FTP服务、邮件服务；则通过第一蜜罐和第二蜜罐进行HTTP通信、第二蜜罐和第三蜜罐进行邮件通信，第一蜜罐和第三蜜罐进行FTP通信，来达到不同虚拟蜜罐之间高交互通信的目的。

7.如权利要求1所述的系统，其特征在于，所述流量牵引模块具体采用策略路由和OpenVPN加密隧道实现攻击流量的重定向，根据攻击者IP进行重定向规则的动态删除和添加，对正常数据流方向和异常数据流方向的数据流做不同标记，使得不同的数据流遵循不同的路由规则，从而将异常数据流与正常数据流分开，将异常数据流利用OpenVPN加密隧道转发至虚拟蜜罐中。

8.一种利用权利要求1至7中任一项所述系统实现的方法，其特征在于，包括以下步骤：

首先，异常检测模块收集整个网络内的流量，判断流量是否正常，发现异常流量信息时，记录下攻击者IP、攻击设备指纹信息、攻击行为、攻击方法、开放端口和服务等特征信息；

其次，蜜罐生成模块根据检测到的特征信息，生成针对性的虚拟蜜罐；

然后，通过流量牵引模块将攻击流量重定向至虚拟蜜罐；

再次，判断攻击者与虚拟蜜罐是否成功通信，如果不是，则智能学习模块通过强化学习的方法调整虚拟蜜罐状态，生成新的不同的虚拟蜜罐；如果是，则智能学习模块通过强化学习方法生成其他不同的虚拟蜜罐；同时，提高不同虚拟蜜罐之间的通信交互性；

最后，通过流量牵引模块将异常检测模块提供的攻击流量重定向至新的或其他不同的虚拟蜜罐，诱捕攻击行为，记录攻击信息。

9.如权利要求8所述的方法，其特征在于，每个虚拟蜜罐为独立的设备，分配一个合法的外部IP地址，用来模拟任何真实的操作系统、数据库、应用系统，主动地对攻击者发起的安全事件进行反应。

10.一种如权利要求8或9所述方法在网络安全技术领域中的应用。

Images