(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108769071A(43)申请公布日2018.11.06(21)申请号201810708234.X(22)申请日2018.07.02(71)申请人腾讯科技（深圳）有限公司地址518000广东省深圳市南山区高新区科技中一路腾讯大厦35层(72)发明人杨经宇李杰张伟刘钊王鸿学刘桂泽马劲松(74)专利代理机构广州华进联合专利商标代理有限公司44224代理人何平邓云鹏(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)权利要求书1页说明书11页附图5页(54)发明名称攻击信息处理方法、装置和物联网蜜罐系统(57)摘要本申请涉及一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和物联网蜜罐系统，该方法包括：接收接入服务器调度的攻击流量；获取所述攻击流量中含有的恶意代码；在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；获取执行所述恶意代码产生的行为数据，得到监控信息。由于蜜罐监控环境基于面向物联网设备的Linux系统创建，从而使得蜜罐系统模拟物联网设备上的特有命令，使蜜罐系统能够适应并支持物联网环境。CN108769071ACN108769071A权利要求书1/1页1.一种攻击信息处理方法，包括：接收接入服务器调度的攻击流量；获取所述攻击流量中含有的恶意代码；在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；获取执行所述恶意代码产生的行为数据，得到监控信息。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述监控信息上报至管理服务器。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取管理服务器部署的物联网设备的固件配置信息；根据所述固件配置信息下载固件，创建蜜罐。4.根据权利要求3所述的方法，其特征在于，所述根据所述固件配置信息下载固件，创建蜜罐，包括：根据固件配置信息，从所述管理服务器下载对应的固件；从所述管理服务器中添加补丁和监控工具，创建蜜罐。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取模拟物联网终端的特征信息的模拟程序和所述模拟程序的服务配置信息；在所述恶意代码的执行逻辑与所述服务配置信息相关时，执行所述特征信息的模拟程序，所述物联网终端的特征信息利用爬虫工具采集得到。6.根据权利要求1所述的方法，其特征在于，所述获取执行所述恶意代码产生的行为数据，得到监控信息，包括：使用Linux系统的审计工具，提取执行所述恶意代码所产生的审计记录；和/或使用环形缓冲区显示命令，获取Linux内核的环形缓冲区信息；和/或使用容器监控工具，监控服务器系统调用和命令，和/或使用网络监控工具记录网络流量数据。7.一种攻击信息处理装置，包括：攻击流量接收模块，用于接收接入服务器调度的攻击流量；代码获取模块，用于获取所述攻击流量中含有的恶意代码；执行模块，用于在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；监控获取模块，用于获取执行所述恶意代码产生的行为数据，得到监控信息。8.根据权利要求7所述的装置，其特征在于，所述装置还包括：上报模块，用于将所述监控信息上报至管理服务器。9.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。10.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如权利要求1至6中任一项所述方法的步骤。11.一种物联网蜜罐系统，包括：用于调度攻击流量的接入服务器、多个如权利要求10所述的计算机设备、以及与各所述计算机设备连接，接收上报的监控信息的管理服务器。2CN108769071A说明书1/11页攻击信息处理方法、装置和物联网蜜罐系统技术领域[0001]本申请涉及网络案例技术领域，特别是涉及一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和物联网蜜罐系统。背景技术[0002]蜜罐技术是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。[0003]近年来，物联网技术快速发展，而传统的蜜罐主要针对互联网设备，没有及时适应物联网设备，即传统蜜罐对物联网设备的支持度低。发明内容[0004]基于此，有必要针对蜜罐对物联网设备支持度低的技术问题，提供一种攻击信息处理方法、装置、计算机可读存储介质、计算机设备和蜜罐系统。