买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：南京赛宁信息技术有限公司

摘要：本发明公开了一种基于反馈的自学习蜜罐部署方法与系统，本发明在收到威胁流量时，首先提取威胁流量特征，输入部署决策模型得到推荐的蜜罐并部署；接着将威胁流量引流到部署的蜜罐，并统计该蜜罐的威胁捕获情况记录到威胁捕获情况表；然后根据威胁捕获情况表，周期性地对蜜罐的捕获状态进行分析，得到需要调整的蜜罐类型及其对应的威胁流量特征；再基于需要调整的蜜罐类型及其对应的威胁流量特征重新训练部署决策模型，在收到新的威胁流量时，基于重新训练的模型部署蜜罐并重复上述过程。本发明能够提高系统的威胁捕获率，以及面对威胁时的灵活性和适应性，避免全面部署蜜罐造成的硬件资源浪费。

主权项：1.一种基于反馈的自学习蜜罐部署方法，其特征在于，包括如下步骤：步骤1，实时分析网络中的威胁流量，提取威胁流量特征，输入部署决策模型得到模型推荐的与当前威胁流量特征匹配度最高的蜜罐并部署；所述威胁流量特征包括威胁类型、威胁来源IP地址、攻击的目标端口和威胁等级；步骤2，将步骤1中分析的威胁流量引流到部署的蜜罐，并统计该蜜罐在所设时间周期内的威胁捕获情况，基于统计结果判断捕获成功还是失败并记录到威胁捕获情况表；所述威胁捕获情况表中记录有威胁流量特征、蜜罐类型和捕获结果标识；步骤3，根据威胁捕获情况表，周期性地对蜜罐的捕获状态进行分析，包括：按照蜜罐类型进行分类，针对具体的蜜罐类型对威胁流量特征进行聚类，并统计每个聚类下的威胁捕获成功率；去除聚类中成员数量少于第一阈值的聚类，选取捕获成功率低于第二阈值的聚类，得到需要调整的蜜罐类型及其对应的威胁流量特征；步骤4，将步骤3中得到的需要调整的蜜罐类型及其对应的威胁流量特征更新至模型的训练集，重新训练部署决策模型，在收到新的威胁流量时，基于重新训练的模型部署蜜罐并重复步骤2至步骤4；如果一个威胁流量特征在预设次数的模型调整后，监控到的威胁捕获情况都是失败，则将该威胁流量特征加入无法适配的队列，在没有新的蜜罐类型加入时，处于无法适配的队列的威胁流量特征不参与部署决策模型调整；在增加新的蜜罐类型时，主动触发部署决策模型的调整过程，处于无法适配的队列的威胁流量特征参与模型调整，清空无法适配的队列。

全文数据：

权利要求：

百度查询： 南京赛宁信息技术有限公司 一种基于反馈的自学习蜜罐部署方法与系统