本申請涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種蜜罐部署方法、裝置及云端服務(wù)器。

背景技術(shù)：

隨著嵌入式設(shè)備的盛行，嵌入式設(shè)備逐步成為攻擊者的目標，現(xiàn)有技術(shù)通過搭建蜜罐來捕獲攻擊者在網(wǎng)絡(luò)中的攻擊行為，現(xiàn)有技術(shù)中的高交互式蜜罐采用真實的操作系統(tǒng)搭建而成，可以捕獲到大量的信息，但是，由于高交互式蜜罐需要真實的嵌入式設(shè)備，因此存在被攻陷的可能，并且高交互式蜜罐的維護成本比較高。

技術(shù)實現(xiàn)要素：

有鑒于此，本申請?zhí)峁┮环N新的技術(shù)方案，可以實現(xiàn)批量部署多臺蜜罐設(shè)備，降低蜜罐設(shè)備的部署成本。

為實現(xiàn)上述目的，本申請?zhí)峁┘夹g(shù)方案如下：

根據(jù)本申請的第一方面，提出了一種蜜罐部署方法，應(yīng)用在云端服務(wù)器上，包括：

確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備；

控制建立與所述至少一臺蜜罐設(shè)備的通信連接；

將所述模擬仿真器的鏡像文件發(fā)送至所述至少一臺蜜罐設(shè)備，以供所述至少一臺蜜罐設(shè)備運行所述模擬仿真器的鏡像文件，將所述模擬仿真器安裝在所述至少一臺蜜罐設(shè)備上。

根據(jù)本申請的第二方面，提出了一種蜜罐部署方法，應(yīng)用在蜜罐設(shè)備上，包括：

當與云端服務(wù)器建立通信連接后，從所述云端服務(wù)器下載模擬仿真器的鏡像文件；

控制運行所述模擬仿真器的鏡像文件，將所述模擬仿真器安裝在所述蜜罐設(shè)備上。

根據(jù)本申請的第三方面，提出了一種蜜罐部署裝置，應(yīng)用在云端服務(wù)器上，包括：

第一確定模塊，用于確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備；

控制模塊，用于控制建立與所述至少一臺蜜罐設(shè)備的通信連接；

第一發(fā)送模塊，用于在所述控制模塊控制建立與所述至少一臺蜜罐設(shè)備的通信連接后，將所述模擬仿真器的鏡像文件發(fā)送至所述第一確定模塊確定的所述至少一臺蜜罐設(shè)備，以供所述至少一臺蜜罐設(shè)備運行所述模擬仿真器的鏡像文件，將所述模擬仿真器安裝在所述至少一臺蜜罐設(shè)備上。

根據(jù)本申請的第四方面，提出了一種蜜罐部署裝置，應(yīng)用在蜜罐設(shè)備上，包括：

下載模塊，用于當與云端服務(wù)器建立通信連接后，從所述云端服務(wù)器下載模擬仿真器的鏡像文件；

控制運行模塊，用于控制運行所述下載模塊下載的所述模擬仿真器的鏡像文件，將所述模擬仿真器安裝在所述蜜罐設(shè)備上。

根據(jù)本申請的第五方面，提出了一種云端服務(wù)器，所述云端服務(wù)器包括：

第一處理器；用于存儲所述第一處理器可執(zhí)行指令的第一存儲器；第一網(wǎng)絡(luò)接口；

其中，所述第一處理器，用于確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備，控制建立與所述至少一臺蜜罐設(shè)備的通信連接；

所述第一網(wǎng)絡(luò)接口，用于將所述模擬仿真器的鏡像文件發(fā)送至所述至少一臺蜜罐設(shè)備，以供所述至少一臺蜜罐設(shè)備運行所述模擬仿真器的鏡像文件， 將所述模擬仿真器安裝在所述至少一臺蜜罐設(shè)備上。

根據(jù)本申請的第六方面，提出了一種蜜罐設(shè)備，所述蜜罐設(shè)備包括：

第二處理器；用于存儲所述第二處理器可執(zhí)行指令的第二存儲器；第二網(wǎng)絡(luò)接口；

其中，所述第二網(wǎng)絡(luò)接口，用于與云端服務(wù)器建立通信連接；

所述第二處理器，用于當通過所述第二網(wǎng)絡(luò)接口與云端服務(wù)器建立通信連接后，從所述云端服務(wù)器下載模擬仿真器的鏡像文件；控制運行所述模擬仿真器的鏡像文件，將所述模擬仿真器安裝在所述蜜罐設(shè)備上。

由以上技術(shù)方案可見，本申請可以大大提高批量部署蜜罐設(shè)備的效率，實現(xiàn)了以自動化的方式部署蜜罐設(shè)備，避免了在蜜罐設(shè)備上通過手動方式登錄蜜罐設(shè)備，并采用手動方式在蜜罐設(shè)備上部署模擬仿真器的鏡像文件，降低了蜜罐設(shè)備的部署成本。

附圖說明

圖1a示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署方法的流程示意圖；

圖1b示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署方法的場景圖；

圖2示出了根據(jù)本發(fā)明的示例性實施例二的蜜罐部署方法的流程示意圖；

圖3示出了根據(jù)本發(fā)明的示例性實施例三的蜜罐部署方法的流程示意圖；

圖4示出了根據(jù)本發(fā)明的示例性實施例四的蜜罐部署方法的流程示意圖；

圖5示出了根據(jù)本發(fā)明的示例性實施例五的蜜罐部署方法的流程示意圖；

圖6示出了根據(jù)本發(fā)明的示例性實施例六的蜜罐部署方法的流程示意圖；

圖7示出了根據(jù)本發(fā)明的示例性實施例七的蜜罐部署方法的流程示意圖；

圖8示出了根據(jù)本發(fā)明的示例性實施例八的蜜罐部署方法的流程示意圖；

圖9示出了根據(jù)本發(fā)明的示例性實施例九的蜜罐部署方法的流程示意圖；

圖10示出了根據(jù)本發(fā)明的一示例性實施例的云端服務(wù)器的結(jié)構(gòu)示意圖；

圖11示出了根據(jù)本發(fā)明的一示例性實施例的蜜罐設(shè)備的結(jié)構(gòu)示意圖；

圖12示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署裝置的結(jié)構(gòu)示意圖；

圖13示出了根據(jù)本發(fā)明的示例性實施例二的蜜罐部署裝置的結(jié)構(gòu)示意圖；

圖14示出了根據(jù)本發(fā)明的示例性實施例三的蜜罐部署裝置的結(jié)構(gòu)示意圖；

圖15示出了根據(jù)本發(fā)明的示例性實施例四的蜜罐部署裝置的結(jié)構(gòu)示意圖。

具體實施方式

這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。

在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當理解，本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項 目的任何或所有可能組合。

應(yīng)當理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當……時”或“響應(yīng)于確定”。

為對本申請進行進一步說明，提供下列實施例：

圖1a示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署方法的流程示意圖，圖1b示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署方法的場景圖；本實施例可以應(yīng)用在云端服務(wù)器上，如圖1a所示，包括如下步驟：

步驟101，確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備。

步驟102，控制建立與至少一臺蜜罐設(shè)備的通信連接。

步驟103，將模擬仿真器的鏡像文件發(fā)送至至少一臺蜜罐設(shè)備，以供至少一臺蜜罐設(shè)備運行模擬仿真器的鏡像文件，將模擬仿真器安裝在至少一臺蜜罐設(shè)備上。

在一個示例性場景中，如圖1b所示，系統(tǒng)架構(gòu)中包括云端服務(wù)器10和蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13、…、蜜罐設(shè)備1n，其中n為大于1的整數(shù)。在一實施例中，可以通過在實體機或者服務(wù)器上部署蜜罐形成蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13、…、蜜罐設(shè)備1n。

當云端服務(wù)器10確定需要在蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13上安裝模擬仿真器時，可以與蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13建立通信連接后，云端服務(wù)器10可以將蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13需要安裝的模擬仿真器的鏡像文件發(fā)送至蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13，蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13在接收到鏡像文件后，控制運行模擬仿真器的鏡像文件，將模擬仿真器安裝在蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13。

在一實施例中，如圖1b所示，云端服務(wù)器10可以具有功能模塊：鏡像管理模塊21、蜜罐控制模塊22、數(shù)據(jù)分析模塊23、通訊模塊24。

其中，鏡像管理模塊21用于存儲技術(shù)人員制作完成的模擬仿真器的鏡像文件，在一實施例中，模擬仿真器可以為qemu模擬仿真器，通過采用arm或mips架構(gòu)實現(xiàn)仿真嵌入式設(shè)備的環(huán)境。

蜜罐控制模塊22用于監(jiān)控蜜罐設(shè)備的狀態(tài)，對蜜罐設(shè)備進行相關(guān)操作，例如，控制蜜罐設(shè)備從鏡像管理模塊21下載模擬仿真器的鏡像文件，控制蜜罐設(shè)備修改已下載的模擬仿真器的鏡像文件，控制蜜罐設(shè)備修改已下載的模擬仿真器的鏡像文件，控制蜜罐設(shè)備停止運行已下載的模擬仿真器的鏡像文件，控制蜜罐設(shè)備重新部署模擬仿真器的鏡像文件，以及蜜罐設(shè)備刪除模擬仿真器的鏡像文件，等等。

數(shù)據(jù)分析模塊23用于收集蜜罐設(shè)備上傳的行為數(shù)據(jù)，并對行為數(shù)據(jù)進行分析和展示。

通訊模塊24用于管理鏡像管理模塊21、蜜罐控制模塊22、數(shù)據(jù)分析模塊23與各個蜜罐設(shè)備之間的通訊，作為數(shù)據(jù)和命令的傳輸途徑。

由上述描述可知，本發(fā)明實施例通過上述步驟101-步驟103，大大提高了批量部署蜜罐設(shè)備的效率，實現(xiàn)了以自動化的方式部署蜜罐設(shè)備，避免了在蜜罐設(shè)備上通過手動方式登錄蜜罐設(shè)備，并采用手動方式在蜜罐設(shè)備上部署模擬仿真器的鏡像文件，降低了蜜罐設(shè)備的部署成本。

圖2示出了根據(jù)本發(fā)明的示例性實施例二的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何分析來自蜜罐設(shè)備的數(shù)據(jù)為例并結(jié)合圖1b進行示例性說明，如圖2所示，包括如下步驟：

步驟201，接收來自至少一臺蜜罐設(shè)備根據(jù)預(yù)設(shè)的通信協(xié)議進行封裝的行為數(shù)據(jù)。

步驟202，根據(jù)封裝后的行為數(shù)據(jù)確定至少一臺蜜罐設(shè)備上的攻擊行為。

上述步驟201中，在一實施例中，封裝后的行為數(shù)據(jù)包括攻擊者在模擬仿真器中執(zhí)行的命令，在另一實施例中，封裝后的行為數(shù)據(jù)包括攻擊者下載 至模擬仿真器中或在模擬仿真器中生成的惡意文件。在一實施例中，預(yù)設(shè)的通信協(xié)議可以為安全外殼協(xié)議(ssh)、遠程終端協(xié)議(telnet)等，蜜罐設(shè)備(例如，圖1b中的蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13)可以通過ssh、telnet接收到行為數(shù)據(jù)，蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13還可以對蜜罐設(shè)備的文件系統(tǒng)進行監(jiān)控，并監(jiān)控攻擊者下載至模擬仿真器中或在模擬仿真器中生成的惡意文件。蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13通過對上述兩種類型的行為數(shù)據(jù)進行封裝，將封裝后的行為數(shù)據(jù)發(fā)送給云端服務(wù)器。

上述步驟202中，在一實施例中，可以根據(jù)不同的數(shù)據(jù)類型采用不同的分析方式對采集到的行為數(shù)據(jù)進行分析和展示，如圖1b所示，云端服務(wù)器10接收到封裝后的行為數(shù)據(jù)后，可以對封裝后的行為數(shù)據(jù)進行解析，根據(jù)解析后的行為數(shù)據(jù)確定蜜罐設(shè)備的攻擊行為，例如，攻擊者采用telnet登錄蜜罐設(shè)備，攻擊者的一些操作為明文操作，因此可以通過對telnet方式得到的數(shù)據(jù)流進行檢測，再例如，攻擊者將惡意文件下載至蜜罐設(shè)備的模擬仿真器中，以木馬為例，一些木馬通常都是先進入蜜罐設(shè)備后，下載木馬并執(zhí)行木馬文件，當檢測生成模擬仿真器中有新的木馬樣本時，可以通過木馬樣本分析出攻擊者的攻擊行為。

本實施例中，通過蜜罐設(shè)備上傳的行為數(shù)據(jù)進行分析，可以很方便地對遠端的蜜罐設(shè)備的攻擊行為進行管理及監(jiān)測；由于蜜罐設(shè)備上的模擬仿真器為嵌入式的虛擬機環(huán)境，因此蠕蟲和病毒并不會判斷出其所在的環(huán)境，從而可以確保蠕蟲和病毒仍可以執(zhí)行，進而可以確保云端服務(wù)器捕獲到蠕蟲和病毒的完整攻擊行為。

圖3示出了根據(jù)本發(fā)明的示例性實施例三的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何對運行狀態(tài)異常的蜜罐設(shè)備進行相應(yīng)處理為例并結(jié)合圖1b進行示例性說明，如圖3所示，包括如下步驟：

步驟301，接收來自至少一臺蜜罐設(shè)備的用于表示運行狀態(tài)為異常的通知消息。

步驟302，根據(jù)通知消息對至少一臺蜜罐設(shè)備做相應(yīng)處理。

如圖1b所示，云端服務(wù)器10可以對蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13上安裝的模擬仿真器的進程的運行狀態(tài)進行監(jiān)測，例如，蜜罐設(shè)備11上安裝的模擬仿真器是否異常退出、是否正在運行等等。

例如，云端服務(wù)器10接收到蜜罐設(shè)備11返回的用于表示運行狀態(tài)異常的通知消息，通過該通知消息可以確定模擬仿真器異常退出運行，云端服務(wù)器10可以確定蜜罐設(shè)備11是否需要重新部署，或者刪除定模擬仿真器的鏡像文件。本領(lǐng)域技術(shù)人員可以理解的是，“相應(yīng)處理”可以與通知消息中所攜帶的異常類型相對應(yīng)，本申請對此不做具體限制。

本實施例中，當蜜罐設(shè)備出現(xiàn)異常時，根據(jù)通知消息對蜜罐設(shè)備做相應(yīng)處理，從而可以很方便的對遠端的蜜罐設(shè)備進行異常管理，降低了對蜜罐設(shè)備異常管理的復(fù)雜度。

圖4示出了根據(jù)本發(fā)明的示例性實施例四的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何操作蜜罐設(shè)備為例并結(jié)合圖1b進行示例性說明，如圖4所示，包括如下步驟：

步驟401，從至少一臺蜜罐設(shè)備中確定需要操作的蜜罐設(shè)備。

步驟402，生成用于操作需要操作的蜜罐設(shè)備的控制指令，以供需要操作的蜜罐設(shè)備控制模擬仿真器。

如圖1b所示，當云端服務(wù)器10正在對蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13上安裝的模擬仿真器的運行狀態(tài)進行監(jiān)控時，如果云端服務(wù)器10需要對蜜罐設(shè)備11上安裝的模擬仿真器進行修改、開啟、停止、重新部署或者刪除等任意一種類型的操作，云端服務(wù)器10可以生成用于操作需要操作的蜜罐設(shè)備的控制指令，蜜罐設(shè)備11在接收到該控制指令后，可以根據(jù)控制指令控制模擬仿真器，例如，對模擬仿真器進行修改、開啟、停止、重新部署或者刪除等操作。

本實施例中，當需要對任意一臺蜜罐設(shè)備進行操作時，通過生成用于操作需要操作的蜜罐設(shè)備的控制指令，以供需要操作的蜜罐設(shè)備控制模擬仿真 器，從而可以很方便的操作遠端的蜜罐設(shè)備。

圖5示出了根據(jù)本發(fā)明的示例性實施例五的蜜罐部署方法的流程示意圖；本實施例可以應(yīng)用在云端服務(wù)器上，本實施例結(jié)合圖1b進行示例性說明，如圖5所示，包括如下步驟：

步驟501，確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備的登錄信息。

步驟502，控制建立與至少一臺蜜罐設(shè)備的通信連接。

步驟503，當與至少一臺蜜罐設(shè)備建立通信連接后，通過至少一臺蜜罐設(shè)備的登錄信息登錄至少一臺蜜罐設(shè)備。

步驟504，將模擬仿真器的鏡像文件發(fā)送至至少一臺蜜罐設(shè)備，以供至少一臺蜜罐設(shè)備運行模擬仿真器的鏡像文件，將模擬仿真器安裝在至少一臺蜜罐設(shè)備上。

在一個示例性場景中，如圖1b所示，當云端服務(wù)器10確定需要在蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13上安裝模擬仿真器時，可以與蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13建立通信連接后，通過蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13各自的登錄信息登錄蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13。其中，登錄信息可以為蜜罐設(shè)備的登錄賬號和登錄密碼。

云端服務(wù)器10可以將蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13需要安裝的模擬仿真器的鏡像文件發(fā)送至蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13，蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13在接收到鏡像文件后，控制運行模擬仿真器的鏡像文件，將模擬仿真器安裝在蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13。

由上述描述可知，本發(fā)明實施例通過上述步驟101-步驟103，大大提高了批量部署蜜罐設(shè)備的效率，實現(xiàn)了以自動化的方式部署蜜罐設(shè)備，避免了在蜜罐設(shè)備上通過手動方式登錄蜜罐設(shè)備，并采用手動方式在蜜罐設(shè)備上部署模擬仿真器的鏡像文件，降低了蜜罐設(shè)備的部署成本。

圖6示出了根據(jù)本發(fā)明的示例性實施例六的蜜罐部署方法的流程示意圖；本實施例可以應(yīng)用在蜜罐設(shè)備上，如圖6所示，包括如下步驟：

步驟601，當與云端服務(wù)器建立通信連接后，從云端服務(wù)器下載模擬仿真器的鏡像文件。

步驟602，控制運行模擬仿真器的鏡像文件，將模擬仿真器安裝在蜜罐設(shè)備上。

蜜罐設(shè)備從云端服務(wù)器上下載模擬仿真器的鏡像文件的相關(guān)描述可以參見上述圖1a所示實施例的描述，再次不在詳述。

由上述描述可知，本發(fā)明實施例通過上述步驟501和步驟502，可以大大提高批量部署蜜罐設(shè)備的效率，實現(xiàn)以自動化的方式部署蜜罐設(shè)備，避免在蜜罐設(shè)備上通過手動方式登錄蜜罐設(shè)備，并采用手動方式在蜜罐設(shè)備上部署模擬仿真器的鏡像文件，降低了蜜罐設(shè)備的部署成本。

圖7示出了根據(jù)本發(fā)明的示例性實施例七的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何監(jiān)控模擬仿真器中的數(shù)據(jù)為例并結(jié)合圖1b進行示例性說明，如圖7所示，包括如下步驟：

步驟701，對模擬仿真器中的行為數(shù)據(jù)進行監(jiān)控。

步驟702，將監(jiān)控得到的行為數(shù)據(jù)根據(jù)預(yù)設(shè)的通信協(xié)議進行封裝。

步驟703，將封裝后的行為數(shù)據(jù)發(fā)送至云端服務(wù)器，以供云端服務(wù)器根據(jù)封裝后的行為數(shù)據(jù)確定蜜罐設(shè)備的攻擊行為。

在上述步驟701中，模擬仿真器中的行為數(shù)據(jù)可以包括攻擊者執(zhí)行的命令，和/或，攻擊者下載至模擬仿真器中或在所述模擬仿真器中生成的惡意文件。在一實施例中，當確定通過預(yù)設(shè)通信協(xié)議接收到行為數(shù)據(jù)時，啟動預(yù)設(shè)通信協(xié)議對應(yīng)的進程，通過修改進程得到進程中執(zhí)行的命令；通過監(jiān)控蜜罐設(shè)備上的文件系統(tǒng)，獲取攻擊者下載至模擬仿真器中或在模擬仿真器中生成的惡意文件。

在上述步驟702中，在一實施例中，封裝可以以預(yù)設(shè)的數(shù)據(jù)格式進行封裝，并使云端服務(wù)器能夠解析出封裝后的數(shù)據(jù)即可。

本實施例中，通過對蜜罐設(shè)備的模擬仿真器捕獲到的行為數(shù)據(jù)進行封裝，可以使云端服務(wù)器很方便地對遠端的蜜罐設(shè)備的攻擊行為進行管理及監(jiān)測； 由于蜜罐設(shè)備上的模擬仿真器為嵌入式虛擬機環(huán)境，因此蠕蟲和病毒并不會判斷出其所在的環(huán)境，從而可以確保蠕蟲和病毒仍可以執(zhí)行，進而可以確保云端服務(wù)器捕獲到蠕蟲和病毒的完整攻擊行為。

圖8示出了根據(jù)本發(fā)明的示例性實施例八的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何對運行狀態(tài)異常的蜜罐設(shè)備進行相應(yīng)處理為例并結(jié)合圖1b進行示例性說明，如圖8所示，包括如下步驟：

步驟801，確定模擬仿真器的運行狀態(tài)。

步驟802，當運行狀態(tài)為異常時，向云端服務(wù)器發(fā)送用于表示運行狀態(tài)為異常的通知消息，以供云端服務(wù)器根據(jù)通知消息對蜜罐設(shè)備做相應(yīng)處理。

如圖1b所示，蜜罐設(shè)備11、蜜罐設(shè)備12、蜜罐設(shè)備13可以確定其模擬仿真器的進程在當前的運行狀態(tài)，例如，蜜罐設(shè)備11上安裝的模擬仿真器是否異常退出、是否正在運行等等。

例如，蜜罐設(shè)備11確定其上安裝的模擬仿真器異常退出運行，則可以以標志位的方式表示該種異常方式，并在通知消息中攜帶該標志位，從而可以使云端服務(wù)器在接收到通知消息后，通過標志位確定蜜罐設(shè)備11的異常類型，云端服務(wù)器10可以確定蜜罐設(shè)備11是否需要重新部署，或者刪除定模擬仿真器的鏡像文件。本領(lǐng)域技術(shù)人員可以理解的是，“相應(yīng)處理”可以與通知消息中所攜帶的異常類型相對應(yīng)，本申請對此不做具體限制。

本實施例中，當蜜罐設(shè)備出現(xiàn)異常時，通過生成通知消息使云端服務(wù)器根據(jù)通知消息對蜜罐設(shè)備做相應(yīng)處理，從而可以很方便的對遠端的蜜罐設(shè)備進行異常管理，降低了對蜜罐設(shè)備異常管理的復(fù)雜度。

圖9示出了根據(jù)本發(fā)明的示例性實施例九的蜜罐部署方法的流程示意圖；本實施例在上述實施例的基礎(chǔ)上，以如何操作蜜罐設(shè)備為例并結(jié)合圖1b進行示例性說明，如圖9所示，包括如下步驟：

步驟901，接收來自云端服務(wù)器用于操作模擬仿真器的控制指令。

步驟902，根據(jù)控制指令控制模擬仿真器。

如圖1b所示，如果云端服務(wù)器10需要對蜜罐設(shè)備11上安裝的模擬仿 真器進行修改、開啟、停止、重新部署或者刪除等任意一種類型的操作，云端服務(wù)器10可以生成用于操作需要操作的蜜罐設(shè)備的控制指令，蜜罐設(shè)備11在接收到該控制指令后，可以根據(jù)控制指令控制模擬仿真器，例如，對模擬仿真器進行修改、開啟、停止、重新部署或者刪除等操作。

本實施例中，當需要蜜罐設(shè)備進行操作時，根據(jù)接收到控制指令控制模擬仿真器，從而可以很方便的操作遠端的蜜罐設(shè)備。

對應(yīng)于上述的蜜罐部署方法，本申請還提出了圖10所示的根據(jù)本申請的一示例性實施例的云端服務(wù)器的示意結(jié)構(gòu)圖。請參考圖10，在硬件層面，該云端服務(wù)器包括第一處理器、內(nèi)部總線、第一網(wǎng)絡(luò)接口、內(nèi)存以及存儲第一處理器可執(zhí)行指令的第一存儲器，當然還可能包括其他業(yè)務(wù)所需要的硬件。

其中，第一處理器，用于確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備，控制建立與至少一臺蜜罐設(shè)備的通信連接；

網(wǎng)絡(luò)接口，用于將模擬仿真器的鏡像文件發(fā)送至至少一臺蜜罐設(shè)備，以供至少一臺蜜罐設(shè)備運行模擬仿真器的鏡像文件，將模擬仿真器安裝在至少一臺蜜罐設(shè)備上。

對應(yīng)于上述的蜜罐部署方法，本申請還提出了圖11所示的根據(jù)本申請的一示例性實施例的蜜罐設(shè)備的示意結(jié)構(gòu)圖。請參考圖11，在硬件層面，該蜜罐設(shè)備包括第二處理器、內(nèi)部總線、第二網(wǎng)絡(luò)接口、內(nèi)存以及存儲第二處理器可執(zhí)行指令的第二存儲器，當然還可能包括其他業(yè)務(wù)所需要的硬件。

其中，第二網(wǎng)絡(luò)接口，用于與云端服務(wù)器建立通信連接；

第二處理器，用于當通過第二網(wǎng)絡(luò)接口與云端服務(wù)器建立通信連接后，從云端服務(wù)器下載模擬仿真器的鏡像文件；控制運行模擬仿真器的鏡像文件，將模擬仿真器安裝在蜜罐設(shè)備上。

圖12示出了根據(jù)本發(fā)明的示例性實施例一的蜜罐部署裝置的結(jié)構(gòu)示意圖；如圖12所示，該蜜罐部署裝置可應(yīng)用在云端服務(wù)器上，可以包括：第一確定模塊121、控制模塊122、發(fā)送模塊123。其中：

第一確定模塊121，用于確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備；

控制模塊122，用于控制建立與第一確定模塊121確定的至少一臺蜜罐設(shè)備的通信連接；

發(fā)送模塊123，用于在控制模塊122控制建立與至少一臺蜜罐設(shè)備的通信連接后，將模擬仿真器的鏡像文件發(fā)送至至少一臺蜜罐設(shè)備，以供至少一臺蜜罐設(shè)備運行模擬仿真器的鏡像文件，將模擬仿真器安裝在至少一臺蜜罐設(shè)備上。

圖13示出了根據(jù)本發(fā)明的示例性實施例二的蜜罐部署裝置的結(jié)構(gòu)示意圖；在上述圖12所示實施例的基礎(chǔ)上，如圖13所示，在一實施例中，裝置還可包括：

第一接收模塊124，用于接收來自第一確定模塊121確定的至少一臺蜜罐設(shè)備根據(jù)預(yù)設(shè)的通信協(xié)議進行封裝的行為數(shù)據(jù)；

第二確定模塊125，用于根據(jù)第一接收模塊124接收到的封裝后的行為數(shù)據(jù)確定至少一臺蜜罐設(shè)備上的攻擊行為。

在一實施例中，封裝后的行為數(shù)據(jù)可包括攻擊者在模擬仿真器中執(zhí)行的命令。

在另一實施例中，封裝后的行為數(shù)據(jù)可包括下載至模擬仿真器中或在模擬仿真器中生成的惡意文件。

在一實施例中，裝置還可包括：

第二接收模塊126，用于接收來自第一確定模塊121確定的至少一臺蜜罐設(shè)備的用于表示運行狀態(tài)為異常的通知消息；

處理模塊127，用于根據(jù)第二接收模塊126接收到的通知消息對至少一臺蜜罐設(shè)備做相應(yīng)處理。

在一實施例中，裝置還可包括：

第三確定模塊128，用于從第一確定模塊121確定的至少一臺蜜罐設(shè)備中確定需要操作的蜜罐設(shè)備；

生成模塊129，用于生成用于操作第三確定模塊128確定的需要操作的蜜罐設(shè)備的控制指令，以供需要操作的蜜罐設(shè)備控制模擬仿真器。

在一實施例中，控制模塊122可包括：

確定單元1221，用于確定需要安裝模擬仿真器的至少一臺蜜罐設(shè)備的登錄信息；

登錄單元1222，用于通過確定單元1221確定的至少一臺蜜罐設(shè)備的登錄信息登錄至少一臺蜜罐設(shè)備。

圖14示出了根據(jù)本發(fā)明的示例性實施例三的蜜罐部署裝置的結(jié)構(gòu)示意圖；如圖14所示，該蜜罐部署裝置可應(yīng)用在蜜罐設(shè)備上，可以包括：下載模塊141、控制運行模塊142；其中：

下載模塊141，用于當與云端服務(wù)器建立通信連接后，從云端服務(wù)器下載模擬仿真器的鏡像文件；

控制運行模塊142，用于控制運行下載模塊141下載的模擬仿真器的鏡像文件，將模擬仿真器安裝在蜜罐設(shè)備上。

圖15示出了根據(jù)本發(fā)明的示例性實施例四的蜜罐部署裝置的結(jié)構(gòu)示意圖；如圖15所示，本實施例在上述圖14所示實施例的基礎(chǔ)上，在一實施例中，裝置還可包括：

監(jiān)控模塊143，用于對控制運行模塊142控制的模擬仿真器中的數(shù)據(jù)進行監(jiān)控；

數(shù)據(jù)封裝模塊144，用于將監(jiān)控模塊143監(jiān)控得到的行為數(shù)據(jù)根據(jù)預(yù)設(shè)的通信協(xié)議進行封裝；

第二發(fā)送模塊145，用于將數(shù)據(jù)封裝模塊144封裝后的行為數(shù)據(jù)發(fā)送至云端服務(wù)器，以供云端服務(wù)器對封裝后的行為數(shù)據(jù)進行分析展示后確定蜜罐設(shè)備的攻擊行為。

在一實施例中，模擬仿真器中的數(shù)據(jù)可包括進程中執(zhí)行的命令和/或蜜罐設(shè)備上的文件系統(tǒng)新生成的系統(tǒng)文件，監(jiān)控模塊143可包括：

進程啟動單元1431，用于當確定通過預(yù)設(shè)通信協(xié)議接收到的數(shù)據(jù)時，啟動預(yù)設(shè)通信協(xié)議對應(yīng)的進程，通過修改進程得到進程中執(zhí)行的命令；

監(jiān)控單元1432，用于對文件系統(tǒng)進行監(jiān)控；

獲取單元1433，用于當監(jiān)控單元1432監(jiān)控到文件系統(tǒng)有新的系統(tǒng)文件生成時，獲取新的系統(tǒng)文件。

在一實施例中，裝置還可包括：

第四確定模塊146，用于確定模擬仿真器的運行狀態(tài)；

第三發(fā)送模塊147，用于當?shù)谒拇_定模塊146確定運行狀態(tài)為異常時，向云端服務(wù)器發(fā)送用于表示運行狀態(tài)為異常的通知消息，以供云端服務(wù)器根據(jù)通知消息對蜜罐設(shè)備做相應(yīng)處理。

在一實施例中，裝置還可包括：

第三接收模塊148，用于接收來自云端服務(wù)器用于操作模擬仿真器的控制指令；

控制模塊149，用于根據(jù)第三接收模塊148接收到的控制指令控制模擬仿真器。

上述實施例可見，本申請可以很方便的批量部署蜜罐設(shè)備，并可很方便的對遠端的蜜罐設(shè)備進行管理。

本領(lǐng)域技術(shù)人員在考慮說明書及實踐這里公開的發(fā)明后，將容易想到本申請的其它實施方案。本申請旨在涵蓋本申請的任何變型、用途或者適應(yīng)性變化，這些變型、用途或者適應(yīng)性變化遵循本申請的一般性原理并包括本申請未公開的本技術(shù)領(lǐng)域中的公知常識或慣用技術(shù)手段。說明書和實施例僅被視為示例性的，本申請的真正范圍和精神由下面的權(quán)利要求指出。

還需要說明的是，術(shù)語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、商品或者設(shè)備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、商品或者設(shè)備所固有的要素。在沒有更多限制的情況下，由語句“包括一個……”限定的要素，并不排除在包括所述要素的過程、方法、商品或者設(shè)備中還存在另外的相同要素。

以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在 本申請保護的范圍之內(nèi)。