(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210945864.5 (22)申请日 2022.08.08 (71)申请人 北京永信至诚科技股份有限公司 地址 100094 北京市海淀区丰豪东路9号院 6号楼 (72)发明人 蔡晶晶　陈俊　张凯　程磊　 (74)专利代理 机构 北京知呱 呱知识产权代理有 限公司 1 1577 专利代理师 朱芳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种蜜罐防逃逸方法及系统 (57)摘要 本发明公开一种蜜罐防逃逸方法和系统， 该 方法通过提取场景虚拟机的行为 关键特征码， 将 行为关键 特征码提交到蜜罐数据中心； 将行为关 键特征码和蜜罐数据中心的缓存信息进行比对 得到偏差数据， 将偏差数据和特征库比对， 特征 库包括正常特征库和异常特征库； 若存在未知特 征， 进行未知特征分析， 若未知特征被判定为异 常特征， 则将判定为异常特征的未知特征加入异 常特征库； 抽取异常特征的上下文数据及特征 码， 进行逃逸规则匹配， 若触发指定逃逸规则， 进 行逃逸行为响应。 本发明可灵活应用于大规模的 蜜罐场景， 同时可按照逃逸规则进行灵活的调 配， 可最大化实现蜜罐模拟场景的业务价值(欺 骗性/诱惑性)。 权利要求书2页 说明书10页 附图3页 CN 115086081 A 2022.09.20 CN 115086081 A 1.一种蜜罐防逃逸方法， 其特 征在于， 包括： 提取场景虚拟机的行为关键特 征码， 将所述行为关键特 征码提交到蜜罐 数据中心； 将所述行为关键特征码和蜜罐数据中心的缓存信 息进行比对得到偏差数据， 将偏差数 据和特征库比对， 所述特 征库包括 正常特征库和异常特 征库； 若存在未知特征， 进行未知特征分析， 若未知特征被判定为异常特征， 则将判定为异常 特征的未知特 征加入异常特 征库； 抽取异常特征的上下文数据及特征码， 进行逃逸规则匹配， 若触发指定逃逸规则， 进行 逃逸行为响应。 2.根据权利要求1所述的一种 蜜罐防逃逸方法， 其特征在于， 通过部署在场景虚拟机 内 的客户端程序提取 所述行为关键特 征码； 客户端程序采用HOOK技术隐蔽运行在场景虚拟机中， 并根据蜜罐数据中心下发的配置 任务进行 行为关键特 征码的采集、 处 理及上报； 蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、 处理逻辑、 上报方 式及异常 办法； 对提取的行为关键特 征码信息进行压缩， 经 过加密隧道上传到蜜罐 数据中心； 若在预定时间内未将行为关键特征码信息上传到蜜罐数据中心， 进入静默状态， 按照 预设时间进行尝试链接， 并根据数据量情况进行清理。 3.根据权利要求2所述的一种 蜜罐防逃逸方法， 其特征在于， 当所述行为关键特征码和 蜜罐数据中心的缓存信息比对不存在偏差数据时， 根据取样任务要求， 在指 定的时间段内， 获取基于时间序列的所有信息并自动上报。 4.根据权利要求1所述的一种 蜜罐防逃逸方法， 其特征在于， 上下文数据包括按照时间 序的用户空间， 抽取的程序/驱动内容； 抽取的程序内容包括程序进程、 调用驱动、 创建文件、 网络进程、 修订注册表/系统文 件， 及操作系统安全监控 事件； 抽取的驱动内容包括使用次数、 依赖模块和调用关系。 5.根据权利要求1所述的一种 蜜罐防逃逸方法， 其特征在于， 逃逸规则根据异常特征库 中的定义情况进行扩展设计， 利用逃逸所用程序的组合、 关键特征、 置信度进 行逃逸综合判 定； 通过蜜罐数据中心监控策略的定义， 监控策略依赖异常特征库及异常特征库衍生数 据， 结合场景虚拟机或者控制力度进行配置和管理； 逃逸行为响应包括： 对存在逃逸行为的场景虚拟机进行 快照保存； 对存在逃逸行为的场景虚拟机进行强制断开网络； 对存在逃逸行为的场景虚拟机进行强制关机操作 对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作， 重新建立蜜罐场景。 6.一种蜜罐防逃逸系统， 其特 征在于， 包括： 数据采集模块， 用于提取场景虚拟机的行为关键特征码， 将所述行为关键特征码提交 到蜜罐数据中心； 偏差数据获取模块， 用于将所述行为关键特征码和蜜罐数据中心的缓存信 息进行比对权　利　要　求　书 1/2 页 2 CN 115086081 A 2得到偏差数据； 偏差数据比对模块， 将偏差数据和特征库比对， 所述特征库包括正常特征库和异常特 征库； 未知特征分析模块， 用于若存在未知特征， 进行未知特征分析， 若未知特征被判定为异 常特征， 则将判定为异常特 征的未知特 征加入异常特 征库； 逃逸规则匹配模块， 用于抽取异常特 征的上下文数据及特 征码， 进行 逃逸规则匹配； 逃逸响应模块， 用于若触发指定逃逸 规则， 进行 逃逸行为响应。 7.根据权利要求6所述的一种蜜罐防逃逸系统， 其特征在于， 所述数据采集模块中， 通 过部署在场景虚拟 机内的客户端程序提取所述行为关键特征码； 客户端程序采用H OOK技术 隐蔽运行在场景虚拟机中， 并根据蜜 罐数据中心下发的配置任务进行行为关键特征码的采 集、 处理及上报； 蜜罐数据中心下发的配置任务的配置内容包括数据采集内容/位置、 处理 逻辑、 上报方式及异常办法； 对提取的行为关键特征码信息进 行压缩， 经过加密隧道上传到 蜜罐数据中心； 还包括静默处理模块， 用于若在预定时间内未将行为关键特征码信 息上传到蜜罐数据 中心， 进入静默状态， 按照预设时间进行尝试链接， 并根据数据量情况进行清理。 8.根据权利要求7所述的一种蜜罐防逃逸系统， 其特征在于， 所述偏差数据获取模块 中， 当所述行为关键特征码和蜜罐数据中心的缓存信息比对不存在偏差数据时， 根据取样 任务要求， 在指定的时间段内， 获取基于时间序列的所有信息并自动上报。 9.根据权利要求6所述的一种蜜罐防逃逸系统， 其特征在于， 所述逃逸规则匹配模块 中， 上下文数据包括按照时间序的用户空间， 抽取的程序/驱动内容； 抽取的程序内容包括程序进程、 调用驱动、 创建文件、 网络进程、 修订注册表/系统文 件， 及操作系统安全监控 事件； 抽取的驱动内容包括使用次数、 依赖模块和调用关系； 所述逃逸规则匹配模块中， 逃逸规则根据异常特征库中的定义情况进行扩展设计， 利 用逃逸所用程序的组合、 关键特 征、 置信度进行 逃逸综合判定 。 10.根据权利要求6所述的一种 蜜罐防逃逸系统， 其特征在于， 所述逃逸响应模块中， 通 过蜜罐数据中心监控策略的定义， 监控策略依赖异常特征库及异常特征库衍生数据， 结合 场景虚拟机或者控制力度进行配置和管理； 所述逃逸响应模块中， 逃逸行为响应包括： 对存在逃逸行为的场景虚拟机进行 快照保存； 对存在逃逸行为的场景虚拟机进行强制断开网络； 对存在逃逸行为的场景虚拟机进行强制关机操作 对存在逃逸行为的场景虚拟机进行强制恢复最初状态操作， 重新建立蜜罐场景。权　利　要　求　书 2/2 页 3 CN 115086081 A 3