CN114567472A - 一种数据处理方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明实施例适用于计算机技术领域，提供了一种数据处理方法、装置、电子设备及存储介质，其中，数据处理方法包括：在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，蜜罐特征的相关参数随时间动态变化；将第一响应包发送至第一对端设备；第一对端设备表征第一访问请求的发送方。

Description

一种数据处理方法、装置、电子设备及存储介质

技术领域

本发明涉及计算机技术领域，尤其涉及一种数据处理方法、装置、电子设备及存储介质。

背景技术

目前，相关技术通过部署蜜罐来保护业务***。但是攻击者基本都会使用反蜜罐特征插件，该插件能快速识别出蜜罐，导致蜜罐失效。

发明内容

为了解决上述问题，本发明实施例提供了一种数据处理方法、装置、电子设备及存储介质，以至少解决相关技术攻击者使用反蜜罐特征插件能快速识别出蜜罐的问题。

本发明的技术方案是这样实现的：

第一方面，本发明实施例提供了一种数据处理方法，该方法包括：

在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化；

将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

在上述方案中，所述蜜罐特征包括攻击者身份溯源代码，所述蜜罐特征的相关参数包括以下至少之一：跨域请求频率、跨域请求站点、来源厂商、代码混淆方式；

相应地，所述蜜罐特征的相关参数随时间动态变化，包括以下至少之一：

对所述蜜罐的攻击者身份溯源代码跨域请求频率进行随时间动态变化；

对所述蜜罐的攻击者身份溯源代码跨域请求站点进行随时间动态变化；

随时间动态变更来源不同厂商的攻击者身份溯源代码；

对所述蜜罐的攻击者身份溯源代码进行代码混淆，且代码混淆方式随时间动态变化。

在上述方案中，当所述蜜罐特征的相关参数包括代码混淆方式时；所述对所述蜜罐的攻击者身份溯源代码进行代码混淆，至少包括以下任意一项：

对所述攻击者身份溯源代码中的标识符进行混淆；

在所述攻击者身份溯源代码中***垃圾代码；

对所述攻击者身份溯源代码中的数值类数据进行编码混淆；

将所述攻击者身份溯源代码的执行逻辑转换为循环逻辑；

删除所述攻击者身份溯源代码中的换行符和/或缩进符。

在上述方案中，所述蜜罐特征的相关参数包括所述蜜罐特征在所述第一响应包中的位置点，所述蜜罐特征的相关参数随时间动态变化，包括：

变更所述蜜罐特征在所述第一响应包中的位置点，以使所述蜜罐特征在所述第一响应包中的位置点动态变化。

在上述方案中，所述基于蜜罐特征生成第一响应包，包括：

确定所述第一响应包的文档对象模型；

确定在所述文档对象模型中***所述蜜罐特征的位置点；

在所述位置点***所述蜜罐特征，得到所述第一响应包。

在上述方案中，在基于蜜罐特征生成第一响应包之前，所述方法还包括：

获取用户选定的配置参数；

基于所述配置参数生成所述蜜罐特征。

第二方面，本发明实施例提供了一种数据处理装置，该装置包括：

生成模块，用于在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化；

发送模块，用于将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

第三方面，本发明实施例提供了一种电子设备，包括处理器和存储器，所述处理器和存储器相互连接，其中，所述存储器用于存储计算机程序，所述计算机程序包括程序指令，所述处理器被配置用于调用所述程序指令，执行本发明实施例第一方面提供的数据处理方法的步骤。

第四方面，本发明实施例提供了一种计算机可读存储介质，包括：所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的数据处理方法的步骤。

第五方面，本发明实施例提供了一种云计算平台，包括用于实现蜜罐的数据处理软件模块，所述数据处理软件模块用于实现如本发明实施例第一方面提供的数据处理方法的步骤。

本发明实施例在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包，将第一响应包发送至第一对端设备。其中，蜜罐特征的相关参数随时间动态变化，第一对端设备表征第一访问请求的发送方。本发明实施例通过动态变化蜜罐的响应包中携带的蜜罐特征，增强了蜜罐的隐蔽性，增加了攻击者识别出蜜罐的难度。就算攻击者之前识别出过蜜罐对应的蜜罐特征，由于蜜罐特征是动态变化的，变化后的蜜罐特征不会匹配之前攻击者识别蜜罐所采用的特征，使得攻击者无法识别出蜜罐。

附图说明

图1是本发明实施例提供的一种攻击流量走向的示意图；

图2是本发明实施例提供的另一种攻击流量走向的示意图；

图3是本发明实施例提供的一种数据处理方法的实现流程示意图；

图4是本发明实施例提供的另一种数据处理方法的实现流程示意图；

图5是本发明实施例提供的另一种数据处理方法的实现流程示意图；

图6是本发明实施例提供的一种文档对象模型的结构示意图；

图7是本发明实施例提供的另一种数据处理方法的实现流程示意图；

图8是本发明实施例提供的另一种数据处理装置的示意图；

图9是本发明一实施例提供的电子设备的示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

蜜罐是一种虚拟***，蜜罐相当于一种情报收集***，通过蜜罐仿真企业的真实业务***，用来当入侵诱饵，引诱黑客前来攻击。攻击者入侵后，通过监测与分析，收集黑客所用的工具和信息，进而巩固自己的防御***。

目前绝大多数蜜罐是通过在Docker(容器)或虚拟机上部署并开放相应虚假应用或***，诱导攻击者访问这些虚假应用或***，可以拖延攻击者时间。当蜜罐特征具体为身份溯源代码时，还可以通过抓取攻击者的指纹来溯源攻击者，指纹可以是社交账号等虚拟网络身份信息或攻击设备的设备信息。目前蜜罐溯源的主要手段是通过在开放的蜜罐应用中***蜜罐特征(比如身份溯源代码)，诱导已登录第三方应用的攻击者访问应用后被蜜罐特征抓取指纹，并发送到防守方手中，进而导致攻击者被安全专家溯源到个人身份。

但是，蜜罐通常在响应包的同一个位置***蜜罐特征，并且每次都***相同的蜜罐特征，这样容易被攻击者使用的反蜜罐特征插件识别出蜜罐特征，对蜜罐特征执行拦截，导致蜜罐失效。

针对上述相关技术的缺点，本发明实施例提供了一种数据处理方法，至少能够防止攻击者轻易识别出蜜罐响应包中的蜜罐特征。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。

图1是本发明实施例提供的一种攻击流量走向的示意图，其中，网络设备可以是安装在业务***所在主机上的虚拟设备，比如可以是虚拟机形式的防火墙；网络设备也可以是硬件服务器，比如可以是网关或代理服务器。网络设备的作用是转发攻击者或真实用户发送给业务***的访问请求，以及转发业务***发送给攻击者或真实用户的响应包。

图2是本发明实施例提供的另一种攻击流量走向的示意图，图2相比图1少了网络设备，攻击者可以直接访问蜜罐，蜜罐的响应包也可以直接发送给攻击者。

图3是本发明实施例提供的一种数据处理方法的实现流程示意图，所述数据处理方法的执行主体为上述图1或图2中的蜜罐。本发明实施例可以应用于图1或图2任意一种场景中，本申请不做限定。

参考图3，数据处理方法包括：

S301，在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化。

在相关技术中，蜜罐在接收到访问请求后，会根据访问请求生成响应包，蜜罐生成的响应包携带有蜜罐特征(比如对身份进行识别的身份溯源代码)。相关技术蜜罐每次生成的响应包中的蜜罐特征的相关参数都是相同的，因此容易被攻击者识别出响应包中的蜜罐特征。具体解释如下，攻击者识别蜜罐特征的手段通常就是：预设参数的值或者范围，然后进行参数匹配，如果匹配上，则认为访问到了蜜罐。因此，如果固定蜜罐特征的参数保持不变，则攻击者在攻防对抗中，会确定出蜜罐特征的相关参数，并把相关参数的值写入蜜罐检测的代码中，如果后续再维持这一相关参数，则很容易被攻击者识别为蜜罐，导致蜜罐失败的情况发生。因此，本申请所采用的具体手段就是：蜜罐特征的相关参数设置为动态变化，这不仅可以在攻击者攻防对抗中，很难确定出蜜罐特征的相关参数，而且在确定出相关参数之后，也会在后续动态变化过程中脱离攻击者的检测，使得其难以检测出蜜罐。

相关参数的含义是生成蜜罐特征时需要的一些参数和/或蜜罐特征的***位置。比如：对于蜜罐特征是身份溯源代码时，生成蜜罐特征时需要的一些参数是：跨域请求频率、请求站点、不同蜜罐厂商的溯源代码、代码混淆方式。在本发明实施例中，蜜罐特征的相关参数随时间动态变化，增加了攻击者识别出响应包中的蜜罐特征的难度。

例如，每隔设定时间就变更一次蜜罐特征在响应包中的位置点，使得攻击者无法在响应包的固定位置点识别到蜜罐特征。

参考图4，在一实施例中，在基于蜜罐特征生成第一响应包之前，所述方法还包括：

S401，获取用户选定的配置参数。

S402，基于所述配置参数生成所述蜜罐特征。

本发明实施例可以提供一些配置参数供用户选择，最终根据用户选择的配置参数生成蜜罐特征。或者，预先设定好一些配置参数的组合，在接收到生成蜜罐特征的指令的情况下，根据预先设定好的配置参数的组合自动生成蜜罐特征。

这里，配置参数可以针对攻击者身份溯源代码的相关参数进行配置，比如跨域请求频率(如一分钟发送请求频率)、请求站点(如百度贴吧、新浪微博等第三方应用站点等)、不同蜜罐厂商的溯源代码和代码混淆方式等。当然，配置参数还可以针对除了攻击者身份溯源代码之外的其他蜜罐特征的相关参数进行配置。

用户可以每隔一段时间调整一次配置参数，从而实现蜜罐特征相关参数随时间动态变化的效果。

所述蜜罐特征的相关参数随时间动态变化(变更指令可以定时自动触发，或者用户人为触发)。通过动态变化蜜罐特征，避免攻击者通过简单分析即可得到蜜罐特征，能够对抗攻击者分析，能够在一定程度上提高蜜罐的隐蔽性，防止蜜罐被识别后导致蜜罐引流失败。

所述蜜罐特征包括攻击者身份溯源代码，所述蜜罐特征的相关参数包括以下至少之一：跨域请求频率、跨域请求站点、来源厂商、代码混淆方式；

相应地，所述蜜罐特征的相关参数随时间动态变化，包括以下至少之一：

对所述蜜罐的攻击者身份溯源代码跨域请求频率进行随时间动态变化；

对所述蜜罐的攻击者身份溯源代码跨域请求站点进行随时间动态变化；

随时间动态变更来源不同厂商的攻击者身份溯源代码；

对所述蜜罐的攻击者身份溯源代码进行代码混淆，且代码混淆方式随时间动态变化。

本申请可以灵活选择上述一项或多项相关参数进行动态变化，本申请并不对动态变化的时间间隔进行限定，可以不按照固定的时间间隔变化相关参数，进一步增加蜜罐的隐蔽性。

在一实施例中，当所述蜜罐特征的相关参数包括代码混淆方式时；所述对所述蜜罐的攻击者身份溯源代码进行代码混淆，至少包括以下任意一项：

对所述攻击者身份溯源代码中的标识符进行混淆；

在所述攻击者身份溯源代码中***垃圾代码；

对所述攻击者身份溯源代码中的数值类数据进行编码混淆；

将所述攻击者身份溯源代码的执行逻辑转换为循环逻辑；

删除所述攻击者身份溯源代码中的换行符和/或缩进符。

本发明实施例以代码混淆为例描述动态变化相关技术手段。代码混淆亦称花指令，是将计算机程序的代码，转换成一种功能上等价，但是难于阅读和理解的形式的行为。代码混淆可以用于程序源代码，也可以用于程序编译而成的中间代码。代码混淆包括：将代码中的各种元素，如变量，函数，类的名字改写成无意义的名字。比如改写成单个字母，或是简短的无意义字母组合，甚至改写成“__”这样的符号，使得阅读的人无法根据名字猜测其用途。重写代码中的部分逻辑，将其变成功能上等价。比如将for循环改写成while循环，将循环改写成递归，精简中间变量等。打乱代码的格式，比如删除空格，将多行代码挤到一行中，或者将一行代码断成多行等。

其中，对所述攻击者身份溯源代码中的标识符进行混淆，包括：常量名、变量名和函数名等标识符混淆。

通过删除攻击者身份溯源代码中的缩进和/或换行符，减小代码体积，增加阅读难度。

对所述攻击者身份溯源代码中的数值类数据进行编码混淆，包括：对数字、字符串、数组以及布尔进行编码混淆，包括十六进制编码、Unicode编码、Base64编码、拆分字符串和加密字符串等方式。

将所述攻击者身份溯源代码的执行逻辑转换为循环逻辑，包括：通过把原始代码的先行流程平坦化后变成循环流程，增加代码的阅读分析难度。

通过对蜜罐的攻击者身份溯源代码进行代码混淆，不断改变攻击者身份溯源代码的复杂度，增加代码的阅读分析难度，从而增加攻击者识别出响应包中的蜜罐特征的难度，防止攻击者快速删除蜜罐特征，让攻击者反蜜罐特征插件一直不能发挥作用。

在一实施例中，所述蜜罐特征的相关参数包括所述蜜罐特征在所述第一响应包中的位置点，所述蜜罐特征的相关参数随时间动态变化，包括：

变更所述蜜罐特征在所述第一响应包中的位置点，以使所述蜜罐特征在所述第一响应包中的位置点动态变化。

这里，可以定时变更蜜罐特征的位置点，也可以不定时变更蜜罐特征的位置点，例如可以使得每次发送的第一响应包的蜜罐特征的位置点都不同。通过变更蜜罐特征在响应包中的位置点，使得攻击者无法在响应包的固定位置点识别到蜜罐特征，避免攻击者通过简单脚本对蜜罐特征进行删除。

参考图5，在一实施例中，所述基于蜜罐特征生成第一响应包，包括：

S501，确定所述第一响应包的文档对象模型。

这里，可以对第一响应包进行解析，得到文档对象模型(DOM，Document ObjectModel)。DOM是超文本标记语言(HTML，Hyper Text Markup Language)或可扩展标记语言(XML，Extensible Markup Language)结构的一种展现形式，通过编程对DOM进行修改可以达到修改HTML/XML的目的。JavaScript中提供了一套完备的方法来获取、遍历和操作DOM。

S502，确定在所述文档对象模型中***所述蜜罐特征的位置点。

DOM采用的是树形结构，树形结构的每个部分称为节点，包括元素节点和属性节点，文档对象模型就是用来操作这些节点的。

参考图6，图6是本发明实施例提供的一种文档对象模型的结构示意图。其中，图6所示文档对象模型是树状的，在head中包括元素节点meta和title；在body中包括元素节点a、img、div等。元素节点下又包含属性节点，比如，div元素节点包括属性节点id和class。

这里位置点指的就是文档对象模型中的节点，只要***蜜罐特征后能正常执行代码，就是一个可以***蜜罐特征的位置点。

S503，在所述位置点***所述蜜罐特征，得到所述第一响应包。

应理解，只需要在一个位置点***蜜罐特征即可，比如在<div>元素节点中间***蜜罐特征，再对文档对象模型进行封装，得到第一响应包。

参考图7，在一实施例中，所述确定在所述文档对象模型中***所述蜜罐特征的位置点，包括：

S701，在所述文档对象模型中确定至少两个位置点。

S702，从所述至少两个位置点中确定***所述蜜罐特征的位置点。

可以在文档对象模型中确定多个可以***蜜罐特征的位置点，可以通过随机选择的方式从中选择一个位置点***蜜罐特征。

基于确定出的多个可以***蜜罐特征的位置点，本发明实施例可以通过不定期更换在第一响应包中***蜜罐特征的位置点，提高蜜罐特征的隐蔽性，增加攻击者识别蜜罐特征的难度。

S302，将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

得到第一响应包后，将第一响应包发送给访问方，就算攻击者以前检测到过蜜罐发送的响应包中的蜜罐特征，由于第一响应包中的蜜罐特征的相关参数是动态变换的，当前时间发送的第一响应包中的蜜罐特征与蜜罐以前发送的响应包中携带的蜜罐特征是不同的，比如蜜罐特征的***位置可以是不同的，蜜罐的隐蔽性强。攻击者无法根据历史经验识别出当前第一响应包中的蜜罐特征，比如，当攻击者确定某一蜜罐特征对应蜜罐时，由于本申请是动态变化蜜罐特征的，因此，变化后的蜜罐特征就不会匹配之前攻击者识别蜜罐所采用的特征，从而可以延缓攻击者识别蜜罐的时长，增加识别蜜罐特征的难度。

本发明实施例在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包，将第一响应包发送至第一对端设备。其中，蜜罐特征的相关参数随时间动态变化，第一对端设备表征第一访问请求的发送方。本发明实施例通过动态变化蜜罐的响应包中携带的蜜罐特征，增强了蜜罐的隐蔽性，增加了攻击者识别出蜜罐的难度。就算攻击者之前识别出过蜜罐对应的蜜罐特征，由于蜜罐特征是动态变化的，变化后的蜜罐特征不会匹配之前攻击者识别蜜罐所采用的特征，所以攻击者无法根据常规经验识别出蜜罐。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

需要说明的是，本发明实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

另外，在本发明实施例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

参考图8，图8是本发明实施例提供的一种数据处理装置的示意图，如图8所示，该装置包括生成模块和发送模块。

生成模块，用于在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化；

发送模块，用于将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

在一实施例中，所述蜜罐特征包括攻击者身份溯源代码，所述蜜罐特征的相关参数包括以下至少之一：跨域请求频率、跨域请求站点、来源厂商、代码混淆方式；

相应地，所述装置还包括：变化模块，用于将蜜罐特征的相关参数随时间动态变化，变化模块用于执行以下至少之一：

对所述蜜罐的攻击者身份溯源代码跨域请求频率进行随时间动态变化；

对所述蜜罐的攻击者身份溯源代码跨域请求站点进行随时间动态变化；

随时间动态变更来源不同厂商的攻击者身份溯源代码；

对所述蜜罐的攻击者身份溯源代码进行代码混淆，且代码混淆方式随时间动态变化。

在一实施例中，当所述蜜罐特征的相关参数包括代码混淆方式时；所述变化模块对所述蜜罐的攻击者身份溯源代码进行代码混淆，至少执行以下任意一项：

对所述攻击者身份溯源代码中的标识符进行混淆；

在所述攻击者身份溯源代码中***垃圾代码；

对所述攻击者身份溯源代码中的数值类数据进行编码混淆；

将所述攻击者身份溯源代码的执行逻辑转换为循环逻辑；

删除所述攻击者身份溯源代码中的换行符和/或缩进符。

在一实施例中，所述蜜罐特征的相关参数包括所述蜜罐特征在所述第一响应包中的位置点，所述变化模块用于：

变更所述蜜罐特征在所述第一响应包中的位置点，以使所述蜜罐特征在所述第一响应包中的位置点动态变化。

在一实施例中，所述生成模块基于蜜罐特征生成第一响应包，包括：

确定所述第一响应包的文档对象模型；

确定在所述文档对象模型中***所述蜜罐特征的位置点；

在所述位置点***所述蜜罐特征，得到所述第一响应包。

在一实施例中，所述生成模块还用于：

获取用户选定的配置参数；

基于所述配置参数生成所述蜜罐特征。

实际应用时，所述生成模块和发送模块可通过电子设备中的处理器，比如中央处理器(CPU，Central Processing Unit)、数字信号处理器(DSP，Digital SignalProcessor)、微控制单元(MCU，Microcontroller Unit)或可编程门阵列(FPGA，Field－Programmable Gate Array)等实现。

需要说明的是：上述实施例提供的装置在进行数据处理时，仅以上述各模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的模块完成，即将装置的内部结构划分成不同的模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的装置与数据处理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

上述数据处理装置可以是镜像文件形式，该镜像文件被执行后，可以以容器或者虚拟机的形式运行，以实现本申请所述的数据处理方法。当然也不局限为镜像文件形式，只要能够实现本申请所述的数据处理方法的一些软件形式都在本申请的保护范围之内，比如还可以为云计算平台中hypervisor(虚拟机监控器)中所实现的软件模块。

基于上述程序模块的硬件实现，且为了实现本申请实施例的方法，本申请实施例还提供了一种电子设备，蜜罐设置于电子设备中，上述蜜罐实现的方法由电子设备的处理器实现。图9为本申请实施例电子设备的硬件组成结构示意图，如图9所示，电子设备包括：

通信接口，能够与其它设备比如网络设备等进行信息交互；

处理器，与所述通信接口连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。

当然，实际应用时，电子设备中的各个组件通过总线***耦合在一起。可理解，总线***用于实现这些组件之间的连接通信。总线***除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为总线***。

本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。

可以理解，存储器可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(ROM，Read Only Memory)、可编程只读存储器(PROM，Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM，Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM，Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM，ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM，Compact Disc Read-Only Memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM，Random AccessMemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(SRAM，Static Random Access Memory)、同步静态随机存取存储器(SSRAM，Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM，Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM，SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM，Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM，SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM，Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本发明实施例还提供了一种云计算平台，包括用于实现蜜罐的数据处理软件模块，所述数据处理软件模块用于实现如本发明实施例提供的数据处理方法的步骤。

云计算平台是采用计算虚拟化、网络虚拟化、存储虚拟化技术把多个独立的服务器物理硬件资源组织成池化资源的一种业务形态，它是一种基于虚拟化技术发展基础上软件定义资源的结构，可以提供虚拟机、容器等形态的资源能力。通过消除硬件与操作***之间的固定关系，依赖网络的连通统一资源调度，然后提供所需要的虚拟资源和服务，是一种新型的IT，软件交付模式，具备灵活，弹性，分布式，多租户，按需等特点。

目前的云计算平台支持几种服务模式：

SaaS(Software as a Service，软件即服务)：云计算平台用户无需购买软件，而改为租用部署于云计算平台的软件，用户无需对软件进行维护，软件服务提供商会全权管理和维护软件；

PaaS(Platform as a Service，平台即服务)：云计算平台用户(此时通常为软件开发商)可以在云计算平台提供的架构上建设新的应用，或者扩展已有的应用，同时却不必购买开发、质量控制或生产服务器；

IaaS(Infrastructure as a Service，基础架构即服务)：云计算平台通过互联网提供了数据中心、基础架构硬件和软件资源，IaaS模式下的云计算平台可以提供服务器、操作***、磁盘存储、数据库和/或信息资源。

上述本申请实施例揭示的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的程序，结合其硬件完成前述方法的步骤。

可选地，所述处理器执行所述程序时实现本申请实施例的各个方法中由电子设备实现的相应流程，为了简洁，在此不再赘述。

在示例性实施例中，本申请实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的第一存储器，上述计算机程序可由电子设备的处理器执行，以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个***，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，本申请实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。

另外，在本申请实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种数据处理方法，应用于蜜罐；其特征在于，所述方法包括：

在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化；

将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

2.根据权利要求1所述的方法，其特征在于，所述蜜罐特征包括攻击者身份溯源代码，所述蜜罐特征的相关参数包括以下至少之一：跨域请求频率、跨域请求站点、来源厂商、代码混淆方式；

相应地，所述蜜罐特征的相关参数随时间动态变化，包括以下至少之一：

对所述蜜罐的攻击者身份溯源代码跨域请求频率进行随时间动态变化；

对所述蜜罐的攻击者身份溯源代码跨域请求站点进行随时间动态变化；

随时间动态变更来源不同厂商的攻击者身份溯源代码；

对所述蜜罐的攻击者身份溯源代码进行代码混淆，且代码混淆方式随时间动态变化。

3.根据权利要求2所述的方法，其特征在于，当所述蜜罐特征的相关参数包括代码混淆方式时；所述对所述蜜罐的攻击者身份溯源代码进行代码混淆，至少包括以下任意一项：

对所述攻击者身份溯源代码中的标识符进行混淆；

在所述攻击者身份溯源代码中***垃圾代码；

对所述攻击者身份溯源代码中的数值类数据进行编码混淆；

将所述攻击者身份溯源代码的执行逻辑转换为循环逻辑；

删除所述攻击者身份溯源代码中的换行符和/或缩进符。

4.根据权利要求1所述的方法，其特征在于，所述蜜罐特征的相关参数包括所述蜜罐特征在所述第一响应包中的位置点，所述蜜罐特征的相关参数随时间动态变化，包括：

变更所述蜜罐特征在所述第一响应包中的位置点，以使所述蜜罐特征在所述第一响应包中的位置点动态变化。

5.根据权利要求4所述的方法，其特征在于，所述基于蜜罐特征生成第一响应包，包括：

确定所述第一响应包的文档对象模型；

确定在所述文档对象模型中***所述蜜罐特征的位置点；

在所述位置点***所述蜜罐特征，得到所述第一响应包。

6.根据权利要求1至5中任一项所述的方法，其特征在于，在基于蜜罐特征生成第一响应包之前，所述方法还包括：

获取用户选定的配置参数；

基于所述配置参数生成所述蜜罐特征。

7.一种数据处理装置，其特征在于，包括：

生成模块，用于在接收到第一访问请求的情况下，基于蜜罐特征生成第一响应包；其中，所述蜜罐特征的相关参数随时间动态变化；

发送模块，用于将所述第一响应包发送至第一对端设备；所述第一对端设备表征所述第一访问请求的发送方。

8.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的数据处理方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1至6任一项所述的数据处理方法。

10.一种云计算平台，其特征在于，包括用于实现蜜罐的数据处理软件模块，所述数据处理软件模块用于实现如权利要求1至6任一项所述的数据处理方法的步骤。

Images