买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：北京金睛云华科技有限公司;金睛云华(沈阳)科技有限公司

摘要：本发明涉及网络攻击蜜罐部署防护技术领域，特别提供了一种海量终端蜜罐自动化部署与撤销的方法和装置，包括如下步骤：在Docker环境下，对通信流量数据包进行捕获、分类；将分类好的数据包进行特征提取，分为正常数据包和异常数据包，将正常数据包发送到目的地，将异常数据包的特征进行处理；将处理后的异常数据包的特征进行入侵检测，自动建立蜜罐，将恶意数据包引入到相应的蜜罐中，进一步进行检测分析；一定时间段内，统计各个蜜罐内部API调用次数与时间的关系，来决定蜜罐的保留或撤销。本发明实现了海量蜜罐部署的自动化。

主权项：1.一种海量终端蜜罐自动化部署与撤销的方法，其特征在于，包括如下步骤：1）在主机上部署虚拟操作系统Docker，形成不同的容器；2）对容器之间的通信流量数据包进行捕获，并根据数据包的目的地进行分类；3）将分类好的数据包进行特征提取，根据提取的特征，将通信流量数据包分为正常数据包和异常数据包，将正常数据包发送到目的地，将异常数据包的特征进行处理；所述步骤3）中，依据基于PCA的特征提取模型对通信流量数据包进行特征提取，具体包括如下步骤：301）将分类后的通信流量数据包进行PCA特征提取：计算原始样本空间X的协方差矩阵S；通过协方差矩阵S计算其正交矩阵Q及特征值λ1≥λ2≥…≥λn；设置累计贡献率t的阈值，计算得到标准正交向量ui及降维后的样本空间U={u1,u2,…ud}，并得到投影后的主分量特征y={u1,u2,…ud}Txi，形成新的候选特征子集F1，n、d、i均代表常数，T代表转置；302）自适应选择PCA的二次特征选择模块：302-1）当需要确定降维后特征子集F1的关键特征时，进行基于关联过滤器的特征选择，检查每个特征的相关性，即，使属性特征与类属性关联度最大化，且使属性与属性之间的冗余度最小化，结合启发式序列后向算法搜索策略，得到候选的关键特征子集F2；302-2）当不需要确定特征子集F1的关键特征时，跳过特征提取，获得相对较高的分类精度；303）在PCA特征提取模型、PCA二次特征选择模型的最优特征子集上，形成数据集并进行SVM分类训练，在测试集上得到通信流量数据包的分类结果，即分类为正常数据包和异常数据包；4）将处理后的异常数据包的特征进行入侵检测，当异常数据包被认定为正常数据包时，将其发送到目的地，当异常数据包被认定为恶意数据包或不能进行准确判断时，自动建立蜜罐，将恶意数据包引入到相应的蜜罐中，进一步进行检测分析；5）一定时间段内，统计各个蜜罐内部API调用次数与时间的关系，如果蜜罐内API调用频繁度较高，高于设定阈值，则继续保留该蜜罐；若低于设定阈值，则该蜜罐被访问次数较低，或已经被识别为蜜罐，则撤销该蜜罐。

全文数据：

权利要求：

百度查询： 北京金睛云华科技有限公司 金睛云华(沈阳)科技有限公司 一种海量终端蜜罐自动化部署与撤销的方法和装置