(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210269896.8 (22)申请日 2022.03.18 (71)申请人 烽台科技 （北京） 有限公司 地址 100000 北京市海淀区北坞村路甲25 号静芯园I座一层101室 (72)发明人 方永成　赵重浩　刘茂林　龚亮华　 (74)专利代理 机构 深圳中一联合知识产权代理 有限公司 4 4414 专利代理师 张菁华 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/953(2019.01) G06F 16/25(2019.01) G06F 9/445(2018.01) (54)发明名称 蜜罐识别方法、 装置、 设备及存 储介质 (57)摘要 本申请公开了一种蜜罐识别方法、 装置、 设 备及存储介质， 属于网络安全领域。 所述方法包 括： 先向待识别的目标的目标端口发送扫描请 求， 再获取来自目标端口的扫描响应。 然后若确 定扫描响应中的字段与蜜罐指纹库中的任一特 征指纹匹配， 则确定目标中存在蜜罐。 若确定扫 描响应中的字段与蜜罐指纹库中的所有特征指 纹均不匹配， 则确定与目标端口匹配的目标蜜罐 识别插件， 根据目标蜜罐识别插件与目标端口的 交互结果确定目标中存在蜜罐。 其中， 蜜罐指纹 库包括多种蜜罐的特征指纹， 目标蜜罐识别插件 用于与目标端口进行交互。 如此可以通过蜜罐指 纹库或目标蜜罐识别插件识别目标中的蜜罐， 可 识别蜜罐种类较多， 通用性较好， 满足网络安全 中蜜罐的多样性。 权利要求书2页 说明书17页 附图2页 CN 114826663 A 2022.07.29 CN 114826663 A 1.一种蜜罐识别方法， 其特 征在于， 应用于第一设备， 所述方法包括： 对于待识别的目标， 向所述目标的目标端口发送扫描请求； 获取来自所述目标端口 的扫描响应； 若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹配， 则确定所述目标 中存在蜜罐， 所述蜜罐指纹库包括多种蜜罐的特 征指纹； 若确定所述扫描响应中的字段与 所述蜜罐指纹库中的所有特征指纹均不匹配， 则确定 与所述目标端口匹配的目标蜜 罐识别插件， 根据所述目标蜜 罐识别插件与所述目标端口的 交互结果确定所述目标中存在蜜罐， 所述目标蜜罐识别插件用于与所述目标端口进行交 互。 2.如权利要求1所述的方法， 其特征在于， 所述目标蜜罐识别插件对应的交互策略为目 标交互策略， 所述目标蜜罐识别插件用于按照所述目标交互策略与所述目标端口进行交 互； 所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜 罐之前， 所述方法还 包括： 通过所述目标蜜罐识别插件， 按照所述目标交互策略与所述目标端口进行交互， 得到 所述目标蜜罐识别插 件与所述目标端口 的交互结果； 所述根据所述目标蜜罐识别插件与所述目标端口的交互结果确定所述目标中存在蜜 罐， 包括： 确定所述交 互结果是否符合预设条件； 若所述交 互结果符合所述预设条件， 则确定所述目标中存在蜜罐。 3.如权利要求2所述的方法， 其特 征在于， 所述预设条件 包括以下 条件中的任一种： 所述交互结果中存在第一预设字段； 在所述目标交互策略为采用随机生成的账号和密码对所述目标端口进行多次登录的 情况下， 多次登录所述目标端口均成功； 在所述目标交互策略为对所述目标端口多次请求不同的路由的情况下， 多次请求不同 的路由后来自所述目标端口 的响应结果均相同。 4.如权利要求1所述的方法， 其特征在于， 所述确定与 所述目标端口匹配的目标蜜罐识 别插件， 包括： 确定所述目标端口提供的目标服 务； 从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标蜜罐 识别插件。 5.如权利要求4所述的方法， 其特征在于， 所述多种 蜜罐识别插件中每种 蜜罐识别插件 存在对应的交 互策略； 所述从多种蜜罐识别插件中确定与所述目标服务匹配的蜜罐识别插件作为所述目标 蜜罐识别插 件， 包括以下 方式中的任一种： 若所述目标服务包括SSH服务、 FTP服务、 TELENT服务或mySQL服务， 则从所述多种蜜罐 识别插件中确定对应的交互策略为采用随机生成的账号和密码对所述目标端口进行多次 登录的蜜罐识别插 件作为所述目标蜜罐识别插 件； 若所述目标服务包括HTTP服务、 HTTPS服务， 则从所述多种蜜罐识别插件中确定对应的权　利　要　求　书 1/2 页 2 CN 114826663 A 2交互策略为对所述目标端口多次请求不同的路由的蜜罐识别插件作为所述目标蜜罐识别 插件。 6.如权利要求1 ‑5任一所述的方法， 其特征在于， 所述向所述目标端口发送扫描请求， 包括： 根据所述第一设备的源设备地址， 生成伪造的至少一个伪源设备地址； 根据所述源设备地址， 以及所述至少一个伪源设备地址， 构造多个扫描请求， 所述多个 扫描请求至少包括第一扫描请求和 第二扫描请求， 所述第一扫描请求为所述源设备地址发 送的请求， 所述第二扫描请求为伪造的所述至少一个伪源设备地址中任一伪源设备地址发 送的请求； 向所述目标端口发送所述多个扫描请求， 以对所述目标端口进行欺骗扫描。 7.如权利要求1 ‑5任一所述的方法， 其特 征在于， 所述方法还 包括： 从所述目标中下载文件， 提取所述文件的宏代码， 若根据所述宏代码确定所述目标中 存在蜜标， 则确定所述目标中存在蜜罐； 或者， 确定所述目标中正在运行的进程， 若确定所述正在运行的进程的进程名存在第 二预设 字段， 则确定所述目标中存在蜜罐。 8.一种蜜罐识别装置， 其特 征在于， 所述装置包括： 发送模块， 用于对于待识别的目标， 向所述目标的目标端口发送扫描请求； 获取模块， 用于获取来自所述目标端口 的扫描响应； 第一确定模块， 用于若确定所述扫描响应中的字段与蜜罐指纹库中的任一特征指纹匹 配， 则确定所述目标中存在蜜罐， 所述蜜罐指纹库包括多种蜜罐的特 征指纹； 第二确定模块， 用于若确定所述扫描响应中的字段与 所述蜜罐指纹库中的所有特征指 纹均不匹配， 则确定与所述 目标端口匹配的目标蜜罐识别插件， 根据所述 目标蜜罐识别插 件与所述目标端口的交互结果确定所述目标中存在蜜 罐， 所述目标蜜 罐识别插件用于与所 述目标端口进行交 互。 9.一种计算机设备， 其特征在于， 所述计算机设备包括存储器、 处理器以及存储在所述 存储器中并可在所述处理器上运行的计算机程序， 所述计算机程序被所述处理器执行时实 现如权利要求1至7任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时实现如权利要求1至7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114826663 A 3