CN115632893A - 一种蜜罐生成方法和装置 - Google Patents

Abstract

本申请实施例提供了一种蜜罐生成方法和装置，所述方法包括：基于客户端请求的流量数据进行流量解析，获得客户端请求的应用层协议；基于客户端请求的应用层协议，对客户端请求的流量数据进行字段提取，获得客户端请求的字段，基于客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；对所述有效的查询结果进行数据筛选，获得有效的筛选结果；将客户端请求与有效的筛选结果进行响应内容构造，获得新的响应内容；基于客户端请求的应用层协议，将新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。本申请实施例蜜罐生成过程中占用资源少，对虚拟环境要求不高。

Description

一种蜜罐生成方法和装置

技术领域

本申请各实施例属于网络安全及伪装欺骗技术领域，具体而言，涉及一种蜜罐生成方法和装置。

背景技术

蜜罐是基于欺骗伪装的技术理念，以模拟真实业务系统的形式，引诱、监控、分析、溯源攻击行为的一种网络安全防护技术。由于蜜罐没有业务上的用途，所有流量都可视为扫描或攻击行为，因此可以比较好的聚焦于真实威胁，具有低误报的特点。

常见的高交互蜜罐一般使用真实的业务系统，直接部署运行在虚拟机或者容器等虚拟的受限环境中，从而可以完整模拟真实业务系统的交互、业务流程以及漏洞，对于扫描器和真人攻击者均具有较强的欺骗性。但是这种方法存在占用资源大，对虚拟环境要求高，且存在许可授权问题。

低交互蜜罐一般由开发人员专门编写，模拟实现对应业务的通信逻辑和业务流程，以及相关漏洞，并可以对常见扫描器攻击进行专门优化，实现比较完善的欺骗扫描器，这种方法存在人工模拟不全面，不能实现欺骗真人攻击者的目的，且开发时间较长。低交互蜜罐也可以通过人工收集业务的静态资源，使用通用的网站服务器的方法实现，但是该方法无动态交互，无漏洞仿真。

基于此，需要一种新的蜜罐生成方法。

发明内容

本说明书实施例提供一种蜜罐生成方法和装置，以解决部分或者全部问题：蜜罐生成过程中，占用资源大，对虚拟环境要求高，开发时间长，无动态交互等问题。

为解决上述技术问题，本说明书实施例是这样实现的：

本说明书实施例提供一种蜜罐生成方法，所述方法包括：

基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；

基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

本说明书实施例提供一种蜜罐生成装置，所述装置包括：

流量解析模块，基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

字段提取模块，基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；

数据查询模块，基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

数据筛选模块，对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

响应内容构造模块，将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

响应发送模块，基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：通过基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；对所述有效的查询结果进行数据筛选，获得有效的筛选结果；将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端，能够适用于任意业务，由流量数据和算法驱动，可以实现各种丰富的，动态的功能接口，以及各种漏洞仿真；且能够实现程序和数据相互独立，高效易用，具体地，开发者只用关心匹配、筛选和构造算法，无定制开发，可作为通用标品，开发成本低，维护成本低；使用者只用关心流量数据来源，方便使用；整个过程中没有实际攻击利用发生，全模拟，更加安全，对部署使用和虚拟化安全环境要求低；资源占用与原有业务站点无关，高占用业务可以保持低占用蜜罐。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分，本领域技术人员应该理解的是，这些附图未必是按比例绘制的，在附图中：

图1为本说明书实施例提供的一种蜜罐生成方法的框架图；

图2为本说明书实施例提供的一种蜜罐生成方法的示意图；

图3为本说明书实施例提供的一种蜜罐生成方法的流程示意图；

图4为本说明书实施例提供的一种蜜罐生成装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1为本说明书实施例提供的一种蜜罐生成方法的框架图。如图1所示，流量解析模块主要用于实现流量的格式统一化，并存储到数据库。具体而言，流量解析模块将不同来源和格式的流量数据转化为便于后续处理及存储的预设格式，并保存到数据库中，以构成预设数据库。流量数据为被抓流量的设备所在的客户端与服务器端通信所产生的流量数据，流量数据可以包括：设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据。由于不同的流量数据具有不同的解析逻辑，一般而言，是根据流量数据对应的流量文件格式进行解析，解析结果也是由流量文件格式而定的，解析结果至少包括传输层协议的数据。

响应内容构造模块接受外部流量，在数据库中查询相似的流量，并将查询结果构造为响应，生成蜜罐。

为了进一步理解本说明书实施例提供的蜜罐生成方法，下面将予以详细说明。

图2为本说明书实施例提供的一种蜜罐生成方法的示意图。如图2所示，蜜罐生成方法包括如下步骤：

步骤S201：基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议。

在本说明书实施例中，所述基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议，具体包括：

对所述客户端请求的流量数据进行转化，获得预设格式的流量数据；

对所述预设格式的流量数据进行解析，获得所述客户端请求的应用层协议。

客户端是向蜜罐发起攻击的设备，客户端请求的流量数据可以为设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据，客户端请求的流量数据的具体类型并不构成对本申请的限定。

在具体实施例中，预设格式是根据流量数据对应的流量文件格式确定的，预设格式的具体形式可以根据不同的流量文件格式进行调整，在此不做限定。

步骤S203：基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段。

由于应用层协议的不同，会导致流量数据所包含的字段的不同。因此，在对流量数据提取时，需要基于应用层协议进行提取。在本说明书的一个实施例中，应用层协议为http协议，则对流量数据的提取，可以提取为时间、请求URL、请求参数、请求头、请求体、响应头、响应体。当然，应用层协议也可以为其他协议，http协议仅为本申请的一个示例性说明。

在本说明书中，客户端请求的字段包括请求时间、请求字段及响应字段。

步骤S205：基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果。

预设数据库是基于不同格式的流量数据构建的，预设数据库的构建包括：

基于流量数据进行流量解析，获得所述流量数据的应用层协议；

基于所述流量数据的应用层协议，对所述流量数据进行字段提取，获得所述流量数据的字段以构成预设数据库。

在具体实施例中，流量数据可以包括：设备镜像流量、wireshark抓包流量、内部扫描器流量等各种流量数据，流量数据的具体类型并不构成对本申请的限定。

在本说明书实施例中，所述基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果，具体包括：

以所述客户端请求的字段作为精确查询条件，在预设数据库中进行精确查询，若所述精确查询结果为空，则对所述客户端请求的字段进行简化或调整以进行简化查询，直至获得有效的查询结果；

所述方法还包括：

若所述精确查询结果为空，则将所述客户端请求的默认响应数据作为有效的查询结果。

预设数据库是根据基于历史流量数据或者已获得的流量数据解析后，进行字段提取后获得的字段的集合。

在具体实施例中，对所述客户端请求的字段进行简化或调整以进行简化查询，可以通过将客户端请求的字段进行缩减，或者选择与客户端请求的字段的字符集相同的字段作为查询条件，也可以选择与客户端请求的字段长度相同的字段作为查询条件。总之，可以通过多种简化或者调整字段的方式进行查询，以获得有效的查询结果。

步骤S207：对所述有效的查询结果进行数据筛选，获得有效的筛选结果。

前述步骤获得的有效的查询结果，可能存在多条结果，需要进一步进行数据筛选，以排除查询不合理的结果。

在本说明书实施例中，对所述有效的查询结果进行数据筛选，获得有效的筛选结果，具体包括：

根据所述客户端请求的字段，对所述有效的数据查询结果进行分类，以数量最多的一类作为疑似筛选结果；

对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

在具体实施例中，以客户端请求的字段为分类标准，针对不同的目标位置，选择相同字段作为一类，字段不同的作为另一类。

在本说明书实施例中，所述对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果，具体包括：

基于所述请求字段及所述请求字段对应的字符集，对所述疑似筛选结果评分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

具体而言，基于所述请求字段中的各个字段的匹配程度，以及请求字段对应的字符集，分别设置字段匹配程序的权重及字符集的权重，对疑似筛选结果进行评分，以评分结果最高的疑似筛选结果作为有效的筛选结果。字段匹配程序的权重及字符集的权重可以根据具体的业务场景而设置，在此不做限定。

步骤S209：将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容。

在本说明书实施例中，所述将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容，具体包括：

将所述客户端请求与所述有效的筛选结果进行交叉比对，获得交叉比对结果；

基于所述交叉比对结果，提取动态字段；

基于所述动态字段，进行响应内容构造，获得新的响应内容。

在本说明书实施例中，所述动态字段包括：请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段；

所述基于所述动态字段，进行响应内容构造，获得新的响应内容，具体包括：

将所述请求响应间有关联的动态字段替换为所述请求内容，从所述响应内有关联的动态字段中，随机选取一组数据作为所述响应数据，从与其他字段无关联的动态字段中，随机选取一个数据，从而获得新的响应内容。

在本说明书实施例中，所述基于所述交叉比对结果，提取动态字段，具体包括：

基于所述交叉比对结果，提取相同项及差异项，获得动态字段。

步骤S211：基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

为了进一步理解本说明书实施例提供的蜜罐生成方法，下面将结合具体的流程示意图予以说明。

图3为本说明书实施例提供的一种蜜罐生成方法的流程示意图。如图3所示，接收客户端请求后，经过字段提取后，进行数据查询以获得有效的查询结果，有效的查询结果经过筛选获得有效的筛选结果。然后根据有效的筛选结果，进行响应内容构造，获得新的响应内容，并将新的响应内容发送至客户端。

为了进一步理解本说明书实施例提供的蜜罐生成方法，下面结合具体的实施例予以说明。

请求中解析提取出相应字段pp_r1,pp_r2,pp_r3，从流量中提取出对应业务IP/域名的数据存入数据库，每条流量解析后提取出4个字段，其中r1,r2,r3是请求字段，s1,s2是响应字段。具体如表1所示。

表1

	r1	r2	r3	s1	s2
						1	p1_r1	p1_r2	p1_r3	p1_s1	p1_s2
2	p2_r1	p2_r2	p2_r3	p2_s1	p2_s2
						...	...	...		...	...
n	pn_r1	pn_r2	pn_r3	pn_s1	pn_s2

基于前述例子，获得客户端请求的字段，例如：请求字段和响应字段，进一步进行数据查询，该数据查询是从预设数据库中进行查询的，以获得有效的查询结果。具体地，从预设数据库中，以客户端请求的字段进行精确查询，查询字段可以表示为r1=pp_r1 & r2=pp_r2 & r3=pp_r3，若能够查到有效的查询结果，则进行下一步数据筛选；如查询结果为空，则进一步简化查询条件，直至查询到有效的查询结果。例如查询r1=pp_r1 & r2=pp_r2，查询r1=pp_r1 & r3=pp_r3，不断调整/简化查询条件。具体地，可以使用更加宽泛的查询条件作为简化查询条件，例如是r1和pp_r1的字符集相同，r3和pp_r3的长度相同等。

由于有效的查询结果可以为多条，需要进一步进行数据筛选。具体地，和前述数据查询的条件类似，对查询的结果进行分类，取数量最多的一类，比如p1_s1=p2_s1，p1和p2应该分为一类，p1_s1!=p3_s1，p3分为另一类；进一步，将结果中的字段进行打分，从而获得有效的筛选数据，比如使用字符相数据似度算法进行打分，可选Simhash，Levenshtein，Hamming等算法，具体打分方法并不构成对本申请的限定。

经过筛选获得的有效的筛选数据，可用于响应构建。例如有如下数据，如表2所示。

表2

id

r1

s1

s2

s3

s4

s5

1

123

{"id":"4e1c98b8cac5"}

123

aaa

abcd

{"abcd":true}

2

456

{"id":"2bfe52f2e069"}

456

aaa

efgh

{"efgh":true}

对比数据字段，其中：

请求响应间有关联的动态字段：r1与s2；响应内有关联的动态字段：s4与s5；与其他字段无关联的动态字段：s1。

比如客户端发来请求解析得pp_r1=789，根据字段计算规则，即：将所述请求响应间有关联的动态字段替换为所述请求内容，从所述响应内有关联的动态字段中，随机选取一组数据作为所述响应数据，从与其他字段无关联的动态字段中，随机选取一个数据，从而获得新的响应内容。具体到本实施例，r1字段与s2字段关联，替换对应数据；s4与s5关联，随机取其中一组，例如取第二条；s1字段随机取其中一组，例如取第一条。

那么构造出的新的响应内容如表3所示。

表3

s1	s2	s3	s4	s5
					{"id":"4e1c98b8cac5"}	789	aaa	efgh	{"efgh":true}

采用本说明书实施例提供的蜜罐生成方法，能够适用于任意业务，由流量数据和算法驱动，可以实现各种丰富的，动态的功能接口，以及各种漏洞仿真；且能够实现程序和数据相互独立，高效易用，具体地，开发者只用关心匹配、筛选和构造算法，无定制开发，可作为通用标品，开发成本低，维护成本低；使用者只用关心流量数据来源，方便使用；整个过程中没有实际攻击利用发生，全模拟，更加安全，对部署使用和虚拟化安全环境要求低；资源占用与原有业务站点无关，高占用业务可以保持低占用蜜罐。

本说明书实施例提供了一种蜜罐生成方法，基于同样的思路，本说明书实施例提供一种蜜罐生成装置。图4为本说明书实施例提供的一种蜜罐生成装置的示意图，如图4所示，该蜜罐生成装置包括：

流量解析模块401，基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

字段提取模块403，基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；

数据查询模块405，基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

数据筛选模块407，对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

响应内容构造模块409，将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

响应发送模块411，基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

在本说明书实施例中，所述基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议，具体包括：

对所述客户端请求的流量数据进行转化，获得预设格式的流量数据；

对所述预设格式的流量数据进行解析，获得所述客户端请求的应用层协议。

在本说明书实施例中，所述基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果，具体包括：

以所述客户端请求的字段作为精确查询条件，对预设数据库进行精确查询，若所述精确查询结果为空，则对所述客户端请求的字段进行简化或调整以进行简化查询，直至获得有效的查询结果；

所述方法还包括：

若所述精确查询结果为空，则将所述客户端请求的默认响应数据作为有效的查询结果。

在本说明书实施例中，对所述有效的查询结果进行数据筛选，获得有效的筛选结果，具体包括：

根据所述客户端请求的字段，对所述有效的数据查询结果进行分类，以数量最多的一类作为疑似筛选结果；

对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

在本说明书实施例中，所述对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果，具体包括：

基于所述请求字段及所述请求字段对应的字符集，对所述疑似筛选结果评分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

在本说明书实施例中，所述将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容，具体包括：

将所述客户端请求与所述有效的筛选结果进行交叉比对，获得交叉比对结果；

基于所述交叉比对结果，提取动态字段；

基于所述动态字段，进行响应内容构造，获得新的响应内容。

在本说明书实施例中，所述动态字段包括：请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段；

所述基于所述动态字段，进行响应内容构造，获得新的响应内容，具体包括：

将所述请求响应间有关联的动态字段替换为所述请求内容，从所述响应内有关联的动态字段中，随机选取一组数据作为所述响应数据，从与其他字段无关联的动态字段中，随机选取一个数据，从而获得新的响应内容。

在本说明书实施例中，所述基于所述交叉比对结果，提取动态字段，具体包括：

基于所述交叉比对结果，提取相同项及差异项，获得动态字段。

本说明书实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段，所述客户端请求的字段包括请求时间、请求字段及响应字段；

基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

在本说明书实施例中，所述基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议，具体包括：

对所述客户端请求的流量数据进行转化，获得预设格式的流量数据；

对所述预设格式的流量数据进行解析，获得所述客户端请求的应用层协议。

在本说明书实施例中，所述基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果，具体包括：

以所述客户端请求的字段作为精确查询条件，对预设数据库进行精确查询，若所述精确查询结果为空，则对所述客户端请求的字段进行简化或调整以进行简化查询，直至获得有效的查询结果；

所述方法还包括：

若所述精确查询结果为空，则将所述客户端请求的默认响应数据作为有效的查询结果。

在本说明书实施例中，对所述有效的查询结果进行数据筛选，获得有效的筛选结果，具体包括：

根据所述客户端请求的字段，对所述有效的数据查询结果进行分类，以数量最多的一类作为疑似筛选结果；

对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

在本说明书实施例中，所述对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果，具体包括：

基于所述请求字段及所述请求字段对应的字符集，对所述疑似筛选结果评分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

在本说明书实施例中，所述将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容，具体包括：

将所述客户端请求与所述有效的筛选结果进行交叉比对，获得交叉比对结果；

基于所述交叉比对结果，提取动态字段；

基于所述动态字段，进行响应内容构造，获得新的响应内容。

在本说明书实施例中，所述动态字段包括：请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段；

所述基于所述动态字段，进行响应内容构造，获得新的响应内容，具体包括：

将所述请求响应间有关联的动态字段替换为所述请求内容，从所述响应内有关联的动态字段中，随机选取一组数据作为所述响应数据，从与其他字段无关联的动态字段中，随机选取一个数据，从而获得新的响应内容。

在本说明书实施例中，所述基于所述交叉比对结果，提取动态字段，具体包括：

基于所述交叉比对结果，提取相同项及差异项，获得动态字段。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种蜜罐生成方法，其特征在于，所述方法包括：

基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；

基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

2.如权利要求1所述的蜜罐生成方法，其特征在于，所述基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议，具体包括：

对所述客户端请求的流量数据进行转化，获得预设格式的流量数据；

对所述预设格式的流量数据进行解析，获得所述客户端请求的应用层协议。

3.如权利要求1所述的蜜罐生成方法，其特征在于，所述基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果，具体包括：

以所述客户端请求的字段作为精确查询条件，在所述预设数据库中进行精确查询，若所述精确查询结果为空，则对所述客户端请求的字段进行简化或调整以进行简化查询，直至获得有效的查询结果；

所述方法还包括：

若所述精确查询结果为空，则将所述客户端请求的默认响应数据作为有效的查询结果。

4.如权利要求1所述的蜜罐生成方法，其特征在于，对所述有效的查询结果进行数据筛选，获得有效的筛选结果，具体包括：

根据所述客户端请求的字段，对所述有效的数据查询结果进行分类，以数量最多的一类作为疑似筛选结果；

对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

5.如权利要求4所述的蜜罐生成方法，其特征在于，所述对所述疑似筛选结果进行打分，以评分结果最高的疑似筛选结果作为有效的筛选结果，具体包括：

基于所述请求字段及所述请求字段对应的字符集，对所述疑似筛选结果评分，以评分结果最高的疑似筛选结果作为有效的筛选结果。

6.如权利要求1所述的蜜罐生成方法，其特征在于，所述将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容，具体包括：

将所述客户端请求与所述有效的筛选结果进行交叉比对，获得交叉比对结果；

基于所述交叉比对结果，提取动态字段；

基于所述动态字段，进行响应内容构造，获得新的响应内容。

7.如权利要求6所述的蜜罐生成方法，其特征在于，所述动态字段包括：请求响应间有关联的动态字段、响应内有关联的动态字段、与其他字段无关联的动态字段；

所述基于所述动态字段，进行响应内容构造，获得新的响应内容，具体包括：

将所述请求响应间有关联的动态字段替换为请求内容，从所述响应内有关联的动态字段中，随机选取一组数据作为响应数据，从与其他字段无关联的动态字段中，随机选取一个数据，从而获得新的响应内容。

8.如权利要求6所述的蜜罐生成方法，其特征在于，所述基于所述交叉比对结果，提取动态字段，具体包括：

基于所述交叉比对结果，提取相同项及差异项，获得动态字段。

9.如权利要求1所述的蜜罐生成方法，其特征在于，所述预设数据库是基于不同格式的流量数据构建的，所述预设数据库的构建包括：

基于流量数据进行流量解析，获得所述流量数据的应用层协议；

基于所述流量数据的应用层协议，对所述流量数据进行字段提取，获得所述流量数据的字段以构成所述预设数据库。

10.一种蜜罐生成装置，其特征在于，所述装置包括：

流量解析模块，基于客户端请求的流量数据进行流量解析，获得所述客户端请求的应用层协议；

字段提取模块，基于所述客户端请求的应用层协议，对所述客户端请求的流量数据进行字段提取，获得所述客户端请求的字段；

数据查询模块，基于所述客户端请求的字段，在预设数据库中进行精确查询，若所述精确查询结果为空，则采用简化查询，直至获得有效的查询结果；

数据筛选模块，对所述有效的查询结果进行数据筛选，获得有效的筛选结果；

响应内容构造模块，将所述客户端请求与所述有效的筛选结果进行响应内容构造，获得新的响应内容；

响应发送模块，基于所述客户端请求的应用层协议，将所述新的响应内容构建成符合所述应用层协议的数据包，发送至所述客户端。

Images