(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111387704.5 (22)申请日 2021.11.22 (71)申请人 国家电网公司华中分部 地址 430077 湖北省武汉市洪山区徐 东大 街233号 (72)发明人 成凯　吴湛　邹澄澄　谈林涛　 肖冬玲　 (74)专利代理 机构 湖南企企卫知识产权代理有 限公司 43257 代理人 张慧 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种蜜罐攻击阶段分析与聚合系统的方法 (57)摘要 本发明涉及网络安全技术领域， 具体涉及一 种蜜罐攻击阶段分析与聚合系统的方法， 方法内 容包括首先蜜罐日志模块将蜜罐的攻击日志与 数据进行采集与格式化输出蜜罐攻击数据； 然后 根据预设的标记规则， 对输出的蜜罐攻击数据进 行标记并输出蜜罐标记数据； 然后攻击聚合分析 模块对蜜罐标记数据进行聚合分析， 通过聚合分 析攻击阶段， 将攻击IP的是数据进行采集、 标记 等工作， 根据数据进行聚合分析， 能有有效的快 速得出全阶段的攻击， 从而可以有效、 高效地分 析出本轮攻击的过程与攻击 手段。 权利要求书1页 说明书4页 附图4页 CN 113965412 A 2022.01.21 CN 113965412 A 1.一种蜜罐攻击阶段分析与聚合系统的方法， 其特征在于： 分析与聚合系统包括蜜罐 日志模块、 攻击阶段 标记模块和攻击聚合分析模块； 蜜罐攻击阶段分析与聚合系统的方法包括如下步骤： S1.所述蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击数 据； S2.根据预设的标记规则， 对所述S1步骤中输出的蜜罐攻击数据进行标记， 输出蜜罐标 记数据； S3.选择需要 进行分析的攻击IP； S4.所述攻击聚合分析模块对步骤S2的蜜罐 标记数据进行聚合分析。 2.根据权利要求1所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 步骤S1中的攻击日志与数据包括： 流 量数据日志、 登录日志和蜜罐应用日志。 3.根据权利要求1所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 步骤S1中格式化输出的蜜罐攻击数据格式包括： 【攻击IP， 攻击类型， 攻击时间】 。 4.根据权利要求1所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 S2步骤中的标记包括： 探测扫描标记、 渗透攻击标记、 攻陷蜜 罐标记、 后门远控标记、 跳板攻 击标记。 5.根据权利要求1所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 S2步骤中的蜜罐 标记数据格式包括： 【攻击IP， 攻击标记， 攻击时间】 。 6.根据权利要求1所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 步骤S4中的聚合分析包括： 标记缺失分析、 攻击聚合分析。 7.根据权利要求6所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 的标记缺失分析包括： 查询攻击IP对所有攻击标记数据； 根据攻击IP的攻击标记数据得出 攻击阶段 标记缺失数据。 8.根据权利要求6所述的一种 蜜罐攻击阶段分析与聚合系统 的方法， 其特征在于： 所述 的聚合分析包括： 根据缺 失的阶段标记、 根据攻击的连续性规则查询、 分析与关联相关的攻 击数据及攻击IP。权　利　要　求　书 1/1 页 2 CN 113965412 A 2一种蜜罐攻 击阶段分析与聚合系统的方 法 技术领域 [0001]本发明涉及网络安全技术领域， 具体涉及 一种蜜罐攻击阶段分析与聚合系统的方 法。 背景技术 [0002]随着计算机技术的发展， 信息网络已经成为社会发展的重要保证， 为此保证信息 网络安全至 关重要， 因此针对网络上各种攻击手段需制定相应防护手段以免遭受到网络攻 击。 蜜罐技术被大量采用到网络安全技术中。 蜜罐技术本质上是一种对攻击方进行欺骗的 技术， 通过布置一些作为诱饵的主机、 网络服务或者信息， 诱使攻击方对它们实施攻击， 从 而可以对攻击行为进行捕获和分析， 了解攻击方所使用的工具与方法， 推测 攻击意图和动 机， 能够让防御方清晰地了解他们 所面对的安全威胁。 但由于蜜罐系统每时每刻都会收集 海量的攻击数据， 而想从中分析 出有效的数据信息是十分困难的 需要了解的是， 攻击诱捕中， 攻击者往往会通过不断变更IP地址来扰乱攻击的分 析， 使得获取到的攻击数据杂乱无章， 难以分析及得 出有益的结论。 发明内容 [0003]为解决现有技术存在的攻击诱捕中分析容易被扰乱， 难以得出有益结论等不足， 本发明提供了一种蜜罐攻击阶段分析与聚合系统的方法。 [0004]本发明的技术方案为： 分析与聚合系统包括蜜罐日志模块、 攻击阶段标记模块和 攻击聚合分析模块； 蜜罐攻击阶段分析与聚合系统的方法包括如下步骤： S1.所述蜜罐日志模块将蜜罐的攻击日志与数据进行采集与格式化输出蜜罐攻击 数据； S2.根据预设的标记规则， 对所述S1步骤中输出的蜜罐攻击数据 进行标记， 输出蜜 罐标记数据； S3.选择需要 进行分析的攻击IP； S4.所述攻击聚合分析模块对步骤S2的蜜罐 标记数据进行聚合分析。 [0005]进一步， 所述步骤S1中的攻击日志与数据 包括： 流量数据日志、 登录日志和蜜罐应 用日志。 [0006]进一步， 所述步骤S1中格式化输出的蜜罐攻击数据格式包括： 【攻击IP， 攻击类型， 攻击时间】 。 [0007]进一步， 所述S2步骤中的标记包括： 探测扫描标记、 渗透攻击标记、 攻陷蜜罐标记、 后门远控标记、 跳 板攻击标记。 [0008]进一步， 所述S2步骤中的蜜罐 标记数据格式包括： 【攻击IP， 攻击标记， 攻击时间】 。 [0009]进一步， 所述步骤S4中的聚合分析包括： 标记缺失分析、 攻击聚合分析。 [0010]进一步， 所述的标记缺失分析包括： 查询攻击IP对所有攻击标记 数据； 根据攻击IP说　明　书 1/4 页 3 CN 113965412 A 3