一种蜜点部署优化方法

本发明涉及网络安全，尤其涉及一种蜜点部署优化方法。

背景技术：

1、在当前网络安全领域，蜜罐是一种通过布置虚假的主机、网络服务或信息作为诱饵，引诱攻击者对其进行攻击的诱骗系统。传统蜜罐主要分为低交互和高交互两种类型，低交互型蜜罐的诱捕能力受限，难以提供有效和全面的攻击信息，而高交互型蜜罐由于资源投入和部署难度较大，难以在广泛的业务网络中实现全面部署，无法有效覆盖所有潜在攻击面。

2、蜜点是一种诱骗攻击者的安全工具，当攻击者访问蜜点时，蜜点会发出警报通知。蜜点无需实现被保护主机的全部功能，只需在服务类型和交互流程等方面与被保护主机相似，这种轻量级的蜜点技术相较于蜜罐不仅避免了过多的资源投入，同时在被动检测攻击方面表现出了较低的误报率。但现有的蜜点技术部署方案未充分考虑攻击者多样化的手法和策略，仅采用随机部署的策略，可能导致蜜点在一些低风险区域过度部署，使得一些蜜点处于冗余状态，资源利用效率降低，捕获到攻击的概率也会随之降低，从而浪费了有限的蜜点资源。因此，亟需提供一种方案改善上述问题。

技术实现思路

1、本发明的目的在于提供一种蜜点部署优化方法，改善了现有技术中蜜点随机部署方法捕获攻击概率、资源利用效率低的问题。

2、本发明提供的一种蜜点部署优化方法，采用如下的技术方案：

3、基于攻击者的扫描策略制定蜜点的部署策略，并基于所述部署策略将k个初始蜜点分别部署在待防御网络的不同ip地址后，获取在所述待防御网络内所有所述初始蜜点被攻击扫描的总次数，并对相同攻击来源的扫描进行去重处理后获得有效捕获次数；

4、删除所述待防御网络内的所有所述初始蜜点，基于所述部署策略在所述待防御网络内逐个新增优化蜜点，并基于所述待防御网络内可部署蜜点的ip地址数量、所述有效捕获次数，逐个计算新增的所述优化蜜点的边际效用，并基于所述边际效用确定优化蜜点的新增数量。

5、如上所述的蜜点部署优化方法，其中，基于攻击者的扫描策略执行制定蜜点的部署策略的过程中，所述部署策略包括针对范围攻击扫描的指数分布策略、针对随机攻击扫描的随机相位均分策略和针对地址解析协议攻击扫描的边缘分布策略。

6、如上所述的蜜点部署优化方法，其中，基于所述随机相位均分策略将k1个初始蜜点分别部署在待防御网络的不同ip地址时，包括：

7、基于所述待防御网络内所有ip地址的数量和需要部署的所述初始蜜点数量k1，确定所述随机相位均分策略中所述k1个初始蜜点之间的ip地址之差为δ；

8、生成所述随机相位均分策略中第一个所述初始蜜点的随机相位d0∈(0，δ]，计算得到所述随机相位均分策略中所述初始蜜点的待部署ip地址di＝d0+(i-1)×δ，i∈[1，k1]；

9、当第i个所述待部署ip地址已被占用时，随机更改所述第i个待部署ip地址为((i-1)×δ，i×δ]地址区间内最为接近的ip地址，当所述((i-1)×δ，i×δ]地址区间内的ip地址都被占用时，随机更改所述第i个待部署ip地址为所述待防御网络内其他可部署蜜点的ip地址；

10、将k1个所述待部署ip地址上分别部署所述初始蜜点，其中k1≤k。

11、如上所述的蜜点部署优化方法，其中，基于所述指数分布策略将k2个初始蜜点分别部署在待防御网络的不同ip地址时，包括：

12、在所述待防御网络中，在待防御ip地址周围满足指数分布且可部署蜜点的ip地址进行随机采样获得指数ip地址，基于距离待防御ip地址距离和最小选定k2个待部署ip地址，并在所述k2个待部署ip地址上分别部署所述初始蜜点，其中k2≤k。

13、如上所述的蜜点部署优化方法，其中，选定起始ip地址或终止ip地址为待部署ip地址，并在待部署ip地址上部署初始蜜点。

14、如上所述的蜜点部署优化方法，其中，对相同攻击来源的扫描进行去重处理获得有效捕获次数时，包括：所述初始蜜点获取被扫描时的攻击来源信息，并将同一攻击来源的扫描进行去重，获得所述初始蜜点的有效捕获次数。

15、如上所述的蜜点部署优化方法，其中，逐个新增优化蜜点的过程中，包括：基于所述初始蜜点所处ip地址的捕获次数，决定新增所述优化蜜点时ip地址的优先级。

16、如上所述的蜜点部署优化方法，其中，计算新增的所述优化蜜点的边际效用，包括：

17、计算攻击者在优化蜜点新增前，对所述待防御网络进行攻击时未被捕获的第一概率；计算攻击者在优化蜜点新增后，对所述待防御网络进行攻击时未被捕获的第二概率；

18、基于所述第一概率和所述第二概率，计算新增的所述优化蜜点的边际效用；

19、如上所述的蜜点部署优化方法，其中，计算未被捕获的概率的过程中，根据以下公式进行计算：

20、

21、其中n为所述待防御网络中可用于部署蜜点的ip地址数量，k为所述新增的优化蜜点数量，h为所述有效捕获次数，pk为第k个新增的优化蜜点的攻击未被捕捉的概率。

22、如上所述的蜜点部署优化方法，其中，确定所述优化蜜点新增数量的过程中，包括：当所述边际效用小于预设阈值时，停止新增所述优化蜜点。

23、本发明提出的蜜点部署优化方法的有益效果在于：

24、1、本发明的蜜点部署策略采用指数分布、随机相位均匀分布、边缘分布，能使蜜点更全面的覆盖待防御网络，有效利用了攻击者的扫描策略，提高捕获攻击概率。

25、2、本发明的蜜点边际效用，对每个蜜点新增前后攻击未被捕获概率变化进行计算，可以有效地评估和优化蜜点部署数量，在保证捕获成功率的同时，提高资源利用效率。

技术特征：

1.一种蜜点部署优化方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种蜜点部署优化方法，其特征在于，基于攻击者的扫描策略执行制定蜜点的部署策略的过程中，所述部署策略包括针对随机攻击扫描的随机相位均分策略、针对范围攻击扫描的指数分布策略和针对地址解析协议攻击扫描的边缘分布策略。

3.根据权利要求2所述的一种蜜点部署优化方法，其特征在于，基于所述随机相位均分策略将k1个初始蜜点分别部署在待防御网络的不同ip地址时，包括：

4.根据权利要求2所述的一种蜜点部署优化方法，其特征在于，基于所述指数分布策略将k2个初始蜜点分别部署在待防御网络的不同ip地址时，包括：

5.根据权利要求3至4任一项所述的一种蜜点部署优化方法，其特征在于，选定起始ip地址或终止ip地址为待部署ip地址，并在待部署ip地址上部署初始蜜点。

6.根据权利要求1所述的一种蜜点部署优化方法，其特征在于，对相同攻击来源的扫描进行去重处理获得有效捕获次数时，包括：所述初始蜜点获取被扫描时的攻击来源信息，并将同一攻击来源的攻击扫描进行去重，获得所述初始蜜点的有效捕获次数。

7.根据权利要求1所述的一种蜜点部署优化方法，其特征在于，逐个新增优化蜜点的过程中，基于所述初始蜜点所处ip地址的捕获次数，决定新增所述优化蜜点时ip地址的优先级。

8.根据权利要求1所述的一种蜜点部署优化方法，其特征在于，计算新增的所述优化蜜点的边际效用，包括：

9.根据权利要求8所述的一种蜜点部署优化方法，其特征在于，执行计算攻击未被捕捉的概率的过程中，根据以下公式进行计算：

10.根据权利要求1所述的一种蜜点部署优化方法，其特征在于，确定所述优化蜜点的新增数量的过程中，当所述边际效用小于预设阈值时，停止新增所述优化蜜点。

技术总结本发明提供了一种蜜点部署优化方法，涉及网络安全技术领域。蜜点优化部署方法包括以下步骤：基于攻击者的扫描策略制定蜜点部署策略，并基于所述部署策略将K个初始蜜点部署在待防御网络的不同IP地址，获取K个所述初始蜜点有效捕获总次数；删除所有初始蜜点，基于所述部署策略在所述待防御网络内逐个新增优化蜜点，并基于所述待防御网络内IP地址的数量和有效捕获次数，计算新增的所述优化蜜点的边际效用并确定所述优化蜜点的新增数量。本发明通过研究多样化的攻击手段制定蜜点部署策略，从而提高攻击捕获率并避免资源浪费，以及提出蜜点边际效用分析方法以实现对蜜点部署数量的评估和优化。技术研发人员：田志宏,李默涵,李可可,孙彦斌,方滨兴,刘园,徐光侠,仇晶,鲁辉,苏申,李浩波受保护的技术使用者：广州大学技术研发日：技术公布日：2024/12/2