(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111405063.1 (22)申请日 2021.11.24 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼103 (72)发明人 蔡晶晶　陈俊　张凯　程磊　 (74)专利代理 机构 北京天方智力知识产权代理 事务所(普通 合伙) 11719 代理人 路远 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/55(2013.01) G06F 21/57(2013.01) (54)发明名称 一种蜜罐系统的高交互溯源方法、 装 备及硬 件 (57)摘要 本申请公开了一种蜜罐系统的高交互溯源 方法、 装备及硬件， 可以检测入侵设备的访问。 方 法包括： 若检测到入侵设备非法访问， 获取所述 入侵设备的访问行为特征； 然后， 根据所述访问 行为特征， 确定目标蜜标； 紧接着， 根据所述目标 蜜标， 生成诱导文件， 以便所述入侵设备响应于 诱导文件返回设备信息； 再紧接着， 根据所述设 备信息， 确定所述入侵设备的用户信息。 根据访 问行为特征来确定目标蜜 标， 交互性强以及针对 性强， 能有效帮助目标设备获得入侵设备的用户 信息， 为研究网络非法入侵提供了真实数据， 可 帮助防止网络非法访问， 提高网络信息安全。 权利要求书2页 说明书9页 附图2页 CN 114095264 A 2022.02.25 CN 114095264 A 1.一种蜜罐系统的高交互溯源方法， 其特征在于， 所述方法应用于目标设备， 所述方法 包括： 若检测到入侵设备非法访问， 获取 所述入侵设备的访问行为特 征； 根据所述访问行为特 征， 确定目标蜜标； 根据所述目标蜜标， 生成诱导文件， 以便所述入侵设备响应于所述诱导文件返回设备 信息； 根据所述设备信息， 确定所述入侵设备的用户信息 。 2.如权利要求1所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述若检测到入 侵设备非法访问， 获取 所述入侵设备的访问行为特 征， 包括： 根据所述目标设备的运行系统漏洞， 确定目标蜜罐； 若检测到所述入侵设备非法访问， 响应于非法访问利用所述目标蜜罐引导所述入侵设 备对所述目标蜜标进行访问， 以获取 所述入侵设备的访问行为特 征。 3.如权利要求1所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述根据 所述访 问行为特 征， 确定目标蜜标， 包括： 根据所述访问行为特 征， 确定访问方式和访问位置； 根据所述访问方式和访问位置， 确定访问文件； 根据所述访问文件， 确定目标蜜标。 4.如权利要求1所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述根据 所述目 标蜜标， 生产诱 导文件， 以便所述入侵设备响应于诱 导文件返回设备信息， 包括： 根据所述目标蜜标， 生成所述 诱导文件； 确定所述 诱导文件放置的目标位置； 利用所述目标位置， 将所述诱导文件传输给所述入侵设备， 以便所述入侵设备响应于 所述诱导文件返回所述设备信息 。 5.如权利要求4所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述确定所述诱 导文件放置的目标位置的方式为： 获取所述入侵设备 的访问路径， 根据所述访问路径确定 所述诱导文件放置的目标位置 。 6.如权利要求5所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述获取所述入 侵设备的访问路径， 根据所述访问路径确定所述 诱导文件放置的目标位置， 包括： 根据所述访问行为特 征， 确定访问位置； 根据所述访问位置， 获取 所述入侵设备的访问路径； 根据所述访问路径确定所述 诱导文件放置的目标位置 。 7.如权利要求6所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述利用所述目 标位置， 将所述诱导文件传输给所述入侵设备， 以便所述入侵设备响应于所述诱导文件返 回所述设备信息， 包括： 根据所述 诱导文件， 生成提 示信息； 若所述入侵设备响应所述提示信息， 则利用所述目标位置， 将所述诱导文件传输给所 述入侵设备， 以便所述入侵设备响应于所述 诱导文件返回所述设备信息 。 8.如权利要求1所述的一种 蜜罐系统的高交互溯源方法， 其特征在于， 所述根据 所述设 备信息， 确定所述入侵设备的用户信息， 包括：权　利　要　求　书 1/2 页 2 CN 114095264 A 2根据所述设备信息， 确定域名信息和协议 地址信息； 根据所述 域名信息和所述协议 地址信息， 确定所述入侵设备的用户信息 。 9.一种蜜罐系统的高交互溯源装备， 其特征在于， 所述入侵设备一种蜜罐系统的高交 互溯源装备包括： 第一获取模块， 用于若检测到入侵设备非法访问， 获取 所述入侵设备的访问行为特 征； 第一确定模块， 用于根据所述访问行为特 征， 确定目标蜜标； 生成模块， 用于根据 所述目标蜜标， 生成诱导文件， 以便所述入侵设备响应于诱导文件 返回设备信息； 第二确定模块， 用于根据所述设备信息， 确定所述入侵设备的用户信息 。 10.一种硬件， 其特征在于， 所述硬件为可读介质， 所述可读介质包括执行指令， 当电子 设备的处 理器执行所述执行指令时， 所述电子设备 执行如权利要求1 ‑8中任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114095264 A 3