(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111518609.4 (22)申请日 2021.12.12 (65)同一申请的已公布的文献号 申请公布号 CN 114221804 A (43)申请公布日 2022.03.22 (73)专利权人 中国电子科技 集团公司第十五研 究所 地址 100083 北京市海淀区北四环中路21 1 号 专利权人 中电科网络空间安全研究院有限 公司　 中国电子科技 集团公司第三十 研 究所 (72)发明人 张先国　任传伦　徐军化　杨天长　 陈璐　尹誉衡　(74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 专利代理师 李学康 (51)Int.Cl. H04L 9/40(2022.01) (56)对比文件 CN 113612783 A,2021.1 1.05 CN 108600193 A,2018.09.28 CN 112134857 A,2020.12.25 US 2021160283 A1,2021.0 5.27 US 2021185073 A1,2021.0 6.17 审查员 徐刚 (54)发明名称 一种基于特征识别和交互验证的蜜罐识别 方法 (57)摘要 本发明公开了一种基于特征识别和交互验 证的蜜罐识别方法， 其步骤包括： 根据互联网IP 节点的信用信息， 对可信IP节点进行过滤； 通过 蜜罐判别方法， 利用开源的密罐特征， 识别出IP 节点中是否存在蜜罐的Dionaea、 Conpot、 kippo 和t‑pot特征， 则初步判断该IP节点中存在蜜罐； 通过对其多端口和服务进行扫描， 实现蜜罐探测 识别； 基于聚合效应， 对得到互联网资产信息进 行分析； 通过登录验证方式和系统的操作命令交 互验证方式对确认的蜜罐识别结果进行校验； 如 果经过若干次的登录， 每次都可以成功登录 该IP 节点， 则校验对蜜罐产品的确认结果为正确。 本 发明通过采用初步判断、 判断、 确认和校验的识 别模式， 提高了蜜罐识别技 术速度和准确率。 权利要求书1页 说明书4页 附图1页 CN 114221804 B 2022.11.08 CN 114221804 B 1.一种基于特 征识别和交 互验证的蜜罐识别方法， 其特 征在于， 其 步骤包括： S1， 根据互联网IP节点的信用信息， 对可信IP节点进行过滤， 滤除可信IP节点,将剩下 的IP节点作为步骤S2中的需要扫描的IP节 点； 互联网IP节点的信用信息通过对 该IP节点的 公开信息进行搜集和判断得到； S2， 对步骤S1过滤后剩下的IP节点进行扫描， 通过蜜罐判别方法， 利用开源的密罐特 征， 识别出IP节点中是否存在蜜罐的Dionaea、 Conpot、 kippo和t ‑pot特征， 如果该IP节点中 存在上述特 征， 则初步判断该IP节点中存在蜜罐； S3， 对步骤S2中初步判断的存在蜜罐的IP节点， 通过对其多端口和服务进行扫 描， 实现 蜜罐探测识别； S4， 基于聚合效应， 对步骤S3得到互联网资产信息进行分析， 如果互联网资产信息中的 IP地址及端口号呈现周期性变化， 并且具有一定规 律性， 则确认该IP节点中存在蜜罐； S5， 通过登录验证方式和系统的操作命令交互验证方式对步骤S4确认的蜜罐识别结果 进行校验； 通过使用网络远程登录方式， 登录步骤S4确认的存在蜜 罐的IP节 点， 如果经过若 干次的登录， 每次都可以成功登录该IP节点， 则校验步骤S4的对蜜罐产品的确认结果为正 确； 在使用网络远程登录方式成功登录步骤S4确认的存在蜜罐的IP节点后， 使用系统操作 命令与该IP节点进行命令交互， 如果输入系统操作命令后得不到正确的反馈结果， 则确定 该蜜罐为低交 互式密罐产品； S6， 设置老化时间， 到达老化时间后， 对互联网IP节点的信用信息进行更新， 重复步骤 进行步骤S1至S5的操作； 所述的步骤S3， 其具体包括， 对步骤S2中初步判断的存在蜜罐的IP节点进行探测和扫 描， 对扫描得到的互联网资产信息进 行统计， 互联网资产信息包括网络节 点IP地址、 IP节 点 所开放的端口、 节点类型、 节点设备名称、 技术协 议的信息， 扫描 策略采用多端口模式， 当扫 描到探测报文抵达所探测的IP节点时， 根据IP节点返回的SYN  ACK报文判断是否实现探测 的探测系统与IP节点建立连接， 与IP节点建立连接后， 如果探测 到该IP节点超过13个端口 对外开放时， 则判断该IP节点中存在蜜罐。权　利　要　求　书 1/1 页 2 CN 114221804 B 2一种基于特征识别和交互 验证的蜜罐识别方 法 技术领域 [0001]本发明涉及网络安全技术领域， 具体涉及到一种基于特征识别和交互验证的蜜罐 识别方法。 背景技术 [0002]在网络安全技术领域中， 蜜罐是一种虚假的易受攻击 的信息资源， 其价值在于被 探测、 扫描、 攻击或攻陷， 目的是为了获取攻击者和攻击技术的相关信息， 以保护真实的网 络系统。 [0003]蜜罐技术应用的成功与否决定于蜜罐系统对攻击者的迷惑性。 因此， 有必要从攻 击者的角度对现有蜜罐系统进行检验， 发现蜜罐 的系统的不足之处加以改进， 以使蜜罐系 统起到更好的防护作用， 该技术称为蜜罐识别技术。 蜜罐识别技术也被称为反蜜罐技术 (Anti‑Honeypot)， 即为通过各种技术手段对蜜罐软件的存在与否进行检测， 进而判断是否 处于蜜罐环境。 [0004]在计算机安全领域中， 蜜罐识别技术的研究对于操作系统及用户自身的技术缺陷 的发现有着至关重要的作用， 与此同时， 蜜罐识别技术的研究对于攻击者保护自身身份及 保护攻击工具、 攻击方法和策略上也具有一定意义。 现有的蜜罐识别技术存在识别速度慢 和识别准确率低的问题。 发明内容 [0005]针对现有的蜜罐识别技术存在识别速度慢和识别准确率低的问题， 本发明公开了 一种基于特征识别和交互验证的蜜罐识别方法， 用来解决蜜 罐由于操作系统及用户自身的 技术缺陷， 实现提高蜜罐识别技 术的速度以及准确率的能力。 [0006]本发明公开了一种基于特 征识别和交 互验证的蜜罐识别方法， 其 步骤包括： [0007]S1， 根据互联网IP节点的信用信息， 对可信IP节点进行过滤， 滤除可信IP节点,将 剩下的IP节 点作为步骤S2中的需要扫描的IP节 点； 互联网IP节 点的信用信息通过对 该IP节 点的公开信息进行搜集和判断得到 。 [0008]S2， 对步骤S1过滤后剩下的IP节点进行扫描， 通过蜜罐判别方法， 利用开源的密罐 特征， 识别出IP节点中是否存在蜜罐的Dionaea、 Conpot、 kippo和t ‑pot特征， 如果该IP节点 中存在上述特 征， 则初步判断该IP节点中存在蜜罐； [0009]S3， 对步骤S2中初步判断的存在蜜罐的IP节点， 通过对其多端口和服务进行扫描， 实现蜜罐探测识别； [0010]对步骤S2中初步判断的存在蜜罐的IP节点进行探测和扫描， 对扫描得到的互联 网 资产信息进行统计， 互联网资产信息包括网络节点IP地址、 IP节点所开放的端口、 节点类 型、 节点设备名称、 技术协议等信息， 扫描策略采用多端口模式， 当扫描到探测报文抵达所 探测的IP节 点时， 根据IP节 点返回的SYNACK报文判断是否实现探测的探测系统与IP节 点建 立连接， 与IP节 点建立连接后， 如果探测到该IP节 点超过13个端口对外开放时， 则判断该IP说　明　书 1/4 页 3 CN 114221804 B 3