蜜罐安全状态确定方法、电子设备和计算机可读存储介质转让专利
申请号 : CN202210159871.2
文献号 : CN114500086B
文献日 : 2022-11-04
发明人 : 李峰 , 孙晓鹏 , 王绍密 , 和希文 , 时伟强 , 赵田雨 , 林晔 , 陈英涛
申请人 : 山东云天安全技术有限公司
摘要 :
本发明提出了一种蜜罐安全状态确定方法、电子设备和计算机可读存储介质,该方法包括:响应于蜜罐主动向外发送初始信号,判断所述初始信号所属的连接协议是否为TCP协议;若所述初始信号为TCP连接建立前三次握手过程中的首包SYN消息,确定所述初始信号所属的连接协议为所述TCP协议,以及基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态;否则,确定所述初始信号所属的连接协议为非TCP协议,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态。本技术方案,可针对不同的连接协议分别准确有效地确定蜜罐的安全状态,避免了因判断方式单一而造成的判断不准确的可能出现,有效提升了蜜罐安全状态判断的可靠性和准确性。
权利要求 :
1.一种蜜罐安全状态确定方法,其特征在于,包括:
响应于蜜罐主动向外发送初始信号,判断所述初始信号所属的连接协议是否为TCP协议;
若所述初始信号为TCP连接建立前三次握手过程中的首包SYN消息,确定所述初始信号所属的连接协议为所述TCP协议,以及基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态;
否则,确定所述初始信号所属的连接协议为非TCP协议,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态;
所述在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤,包括:基于所述初始信号所属的连接协议、所述蜜罐在第一指定时间间隔内的外发流量累计值以及所述蜜罐在第二指定时间间隔内的外发包累计数量,确定所述蜜罐的可信度;
在所述蜜罐的可信度小于指定可信度时,确定所述蜜罐处于被攻陷状态,其中,计算所述可信度的方式包括:获取所述初始信号所属的连接协议对应的协议参数;
对所述蜜罐在第一指定时间间隔内的外发流量累计值进行校正后,得到第一数值,其中,d=(1‑x)*d1+x*|d2‑d1|
d表示所述第一数值,x表示第一校验系数,为所述蜜罐在第一指定时间间隔内的外发包累计数量与外发流量累计值的比值,d1表示所述蜜罐在第一指定时间间隔内的外发流量累计值,d2表示所述蜜罐在第一指定时间间隔内的额定外发流量值;
对所述蜜罐在第二指定时间间隔内的外发包累计数量进行校正后,得到第二数值,其中,p=(1‑y)*p1+y*|p2‑p1|
p表示所述第二数值,y表示第二校验系数,为所述蜜罐在第二指定时间间隔内的外发包累计数量与外发流量累计值的比值,p1表示所述蜜罐在第二指定时间间隔内的外发包累计数量,p2表示所述蜜罐在第二指定时间间隔内的额定外发包数量;
对所述协议参数、所述第一数值和所述第二数值进行归一化处理后,再进加权求和,得到所述蜜罐的可信度。
2.根据权利要求1所述的蜜罐安全状态确定方法,其特征在于,所述基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态,包括:若检测到所述TCP协议对应的长连接心跳包,和/或,若所述TCP协议对应的长连接的连接时长大于指定时长阈值,确定所述蜜罐处于被攻陷状态。
3.一种电子设备,其特征在于,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述权利要求1或2所述的方法。
4.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1或2所述的方法流程。
说明书 :
蜜罐安全状态确定方法、电子设备和计算机可读存储介质
技术领域
[0001] 本发明涉及网络安全技术领域,尤其涉及一种蜜罐安全状态确定方法、电子设备和计算机可读存储介质。
背景技术
[0002] 目前,在网络安全领域,往往通过架设蜜罐来保护实际系统的安全。具体地,蜜罐可以是作为诱饵的主机、网络服务或者信息,诱使攻击方对其进行攻击,从而对攻击行为进行捕获和分析,以此为基础来增强实际系统的安全防护能力。在相关技术中,这一过程往往将蜜罐视作完全被动响应的装置,一旦蜜罐发生主动行为,即认定蜜罐被攻陷,触发后续的安全防护手段。
[0003] 然而,蜜罐本身也可能与外部进行一些必要的交互,并非所有与外部的通信行为都是被攻陷后才能产生,也可能是在接收外部数据后进行响应,现有的蜜罐安全状态判断方式并未将这些可能性考虑在内,其所得的判断结果很可能出现错误。
[0004] 因此,如何准确可靠地判断蜜罐安全状态,成为目前亟待解决的技术问题。
发明内容
[0005] 本发明实施例提供了一种蜜罐安全状态确定方法、电子设备和计算机可读存储介质,旨在解决相关技术中判断蜜罐安全状态的方式缺乏准确性的技术问题。
[0006] 第一方面,本发明实施例提供了一种蜜罐安全状态确定方法,包括:响应于蜜罐主动向外发送初始信号,判断所述初始信号所属的连接协议是否为TCP协议;若所述初始信号为TCP连接建立前三次握手过程中的首包SYN消息,确定所述初始信号所属的连接协议为所述TCP协议,以及基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态;否则,确定所述初始信号所属的连接协议为非TCP协议,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态。
[0007] 在本申请的实施例中,可选地,所述基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态,包括:若检测到所述TCP协议对应的长连接心跳包,和/或,若所述TCP协议对应的长连接的连接时长大于指定时长阈值,确定所述蜜罐处于被攻陷状态。
[0008] 在本申请的实施例中,可选地,若所述初始信号所属的连接协议为所述非TCP协议,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤之前,还包括:根据所述非TCP协议的协议类型,选择对应的所述指定被攻陷条件。
[0009] 在本申请的实施例中,可选地,所述在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤,包括:若检测到所述蜜罐使用位于本地开放端口白名单以外的异常端口进行通信,确定所述蜜罐处于被攻陷状态。
[0010] 在本申请的实施例中,可选地,所述在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤,包括:响应于所述蜜罐主动向外发送所述初始信号,检测所述蜜罐是否具有长期通讯连接;在检测到所述蜜罐具有长期通讯连接时,确定所述蜜罐处于被攻陷状态,其中,若所述蜜罐向外部对象发起服务,且所述服务所用连接的心跳包满足长期通讯连接条件,则确定所述蜜罐具有长期通讯连接。
[0011] 在本申请的实施例中,可选地,所述在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤,包括:基于所述初始信号所属的连接协议、所述蜜罐在第一指定时间间隔内的长期通讯连接心跳数量以及所述蜜罐在第二指定时间间隔内的长期通讯连接心跳频率,确定所述蜜罐的可信度;在所述蜜罐的可信度小于指定可信度时,确定所述蜜罐处于被攻陷状态。
[0012] 在本申请的实施例中,可选地,所述在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤,包括:基于所述初始信号所属的连接协议、所述蜜罐在第一指定时间间隔内的外发流量累计值以及所述蜜罐在第二指定时间间隔内的外发包累计数量,确定所述蜜罐的可信度;在所述蜜罐的可信度小于指定可信度时,确定所述蜜罐处于被攻陷状态。
[0013] 在本申请的实施例中,可选地,计算所述可信度的方式包括:获取所述初始信号所属的连接协议对应的协议参数;对所述蜜罐在第一指定时间间隔内的外发流量累计值进行校正后,得到第一数值,其中,
[0014] d=(1‑x)*d1+x*|d2‑d1|
[0015] d表示所述第一数值,x表示第一校验系数,为所述蜜罐在第一指定时间间隔内的外发包累计数量与外发流量累计值的比值, d1表示所述蜜罐在第一指定时间间隔内的外发流量累计值,d2表示所述蜜罐在第一指定时间间隔内的额定外发流量值;对所述蜜罐在第二指定时间间隔内的外发包累计数量进行校正后,得到第二数值,其中,
[0016] p=(1‑y)*p1+y*|p2‑p1|
[0017] p表示所述第二数值,y表示第二校验系数,为所述蜜罐在第二指定时间间隔内的外发包累计数量与外发流量累计值的比值,p1表示所述蜜罐在第二指定时间间隔内的外发包累计数量,p2表示所述蜜罐在第二指定时间间隔内的额定外发包数量;对所述协议参数、所述第一数值、所述第二数值进行归一化处理后,再进加权求和,得到所述蜜罐的可信度。
[0018] 第二方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述第一方面中任一项所述的方法。
[0019] 第三方面,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
[0020] 以上技术方案,针对相关技术中的相关技术中判断蜜罐安全状态的方式缺乏准确性的技术问题,可针对不同的连接协议分别准确有效地确定蜜罐的安全状态,避免了因判断方式单一而造成的判断不准确的可能出现,有效提升了蜜罐安全状态判断的可靠性和准确性。
附图说明
[0021] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0022] 图1示出了根据本发明的一个实施例的蜜罐安全状态确定方法的流程图。
[0023] 图2示出了根据本发明的一个实施例的确定蜜罐可信度的方式的流程图。
具体实施方式
[0024] 为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
[0025] 应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0026] 在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
[0027] 实施例一
[0028] 图1示出了根据本发明的一个实施例的蜜罐安全状态确定方法的流程图。
[0029] 如图1所示,根据本发明的一个实施例的蜜罐安全状态确定方法,包括:
[0030] 步骤102,响应于蜜罐主动向外发送初始信号,判断所述初始信号所属的连接协议是否为TCP协议,其中,若所述初始信号为TCP连接建立前三次握手过程中的首包SYN消息,确定所述初始信号所属的连接协议为所述TCP协议,进入步骤104,若所述初始信号所属的连接协议为非TCP协议,进入步骤106。
[0031] 步骤104,基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态。
[0032] TCP协议建立连接时使用的握手信号为同步序列编号(SYN,Synchronize Sequence Numbers),在通信双方建立正常的TCP网络连接时,主动方首先发出一个SYN消息,即TCP连接建立前三次握手过程中的首包SYN消息,通信对象使用SYN+ACK应答表示接收到了这个消息,最后主动方再以ACK消息响应。这样两者之间才能建立起可靠的TCP连接。其中,TCP协议包括但不限于Http协议、telnet协议、IMAP协议、FTP协议、SSH 协议等。
[0033] 基于此原理,在一种可能的设计中,蜜罐在采用TCP协议与外部对象进行通信时,若蜜罐主动向外发送的初始信号为同步序列编号,就说明蜜罐是绝对主动地向外发包,而非是在接收外部数据后进行合理响应。因此,若蜜罐主动向外发送的初始信号为同步序列编号,就说明所述初始信号所属的连接协议为TCP协议,认定其主动发包行为是被攻陷引起,确定所述蜜罐处于被攻陷状态。
[0034] 在另一种可能的设计中,认定蜜罐主动发包行为具有因被攻陷引起的可能性,接着,通过TCP协议对应的检测方式,进一步确定所述蜜罐是否处于被攻陷状态,后续将在实施例三中详细叙述本技术方案。
[0035] 步骤106,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态。
[0036] 若所述初始信号所属的连接协议为非TCP协议,该连接协议可能是UDP协议、ICMP协议、IGMP协议、GRE协议等各式各样的协议。
[0037] 在本申请的实施例中,可选地,若所述初始信号所属的连接协议为所述非TCP协议,在所述蜜罐满足指定被攻陷条件的情况下,确定所述蜜罐处于被攻陷状态的步骤之前,还包括:根据所述非TCP协议的协议类型,选择对应的所述指定被攻陷条件。
[0038] 换言之,由于这些协议自身的个性化特征,其各自的指定被攻陷条件也各不相同。因此,在判断所述初始信号所属的连接协议为所述非TCP协议后,可基于非TCP协议的协议类型,选择与其对应的指定被攻陷条件,验证蜜罐在采用该协议的情况下是否处于被攻陷状态。
[0039] 通过以上技术方案,可针对不同的连接协议分别准确有效地确定蜜罐的安全状态,避免了因判断方式单一而造成的判断不准确的可能出现,有效提升了蜜罐安全状态判断的可靠性和准确性。
[0040] 下面通过多个实施例对各非TCP协议可能面对的多种指定被攻陷条件进行阐述。
[0041] 实施例二
[0042] 对于TCP协议,基于所述TCP协议对应的检测方式,确定所述蜜罐是否处于被攻陷状态,包括:若检测到所述TCP协议对应的长连接心跳包,和/或,若所述TCP协议对应的长连接的连接时长大于指定时长阈值,确定所述蜜罐处于被攻陷状态。
[0043] 蜜罐通过TCP协议与外部对象建立长连接时,蜜罐与外部对象会通过发送心跳包来表示长连接持续存在,因此,一旦检测到长连接心跳包,即说明蜜罐与外部对象建立了长连接用于通信,完全具有向外部对象泄露数据的危险,故可认定所述蜜罐处于被攻陷状态。
[0044] 实施例三
[0045] 若检测到所述蜜罐使用位于本地开放端口白名单以外的异常端口进行通信,确定所述蜜罐处于被攻陷状态。
[0046] 具体来说,对于任一类型的非TCP协议,可在本地设置开放端口白名单,认定端口白名单内的端口为合法通信端口。若蜜罐通过该非TCP协议进行通信时,采用了端口白名单以外的异常端口,说明这一通信行为并非安全的合法通信行为,由此,蜜罐的主动发包属于风险行为,可确定蜜罐处于被攻陷状态。
[0047] 实施例四
[0048] 在一种可能的设计中,响应于所述蜜罐主动向外发送所述初始信号,检测所述蜜罐是否具有长期通讯连接;在检测到所述蜜罐具有长期通讯连接时,确定所述蜜罐处于被攻陷状态。
[0049] 蜜罐通过该非TCP协议进行通信时,若主动向外发送所述初始信号,确有可能是正常交互行为,但若蜜罐与外部对象发起服务后建立的长期通讯连接,则说明蜜罐很可能被该外部对象攻陷并持续向外部对象输出自身的数据。因此,可通过检测蜜罐是否具有长期通讯连接来检测蜜罐的安全状态。
[0050] 具体来说,当通信双方建立长期通讯连接后,往往会通过传输心跳包来表明连接的持续性,那么,若所述蜜罐向外部对象发起服务,且与外部对象保持长期通讯连接,那么蜜罐必然维持与外部对象的心跳连接。
[0051] 在此基础上,在一种可能的设计中,可设置长期通讯连接条件为存在与外部对象的长期通讯连接,即只要蜜罐与外部对象之间具有长期通讯连接,蜜罐就具有向外部对象泄露数据的风险,此时,确定所述蜜罐处于被攻陷状态。
[0052] 在另一种可能的设计中,可设置长期通讯连接条件为蜜罐向外周期性地发送心跳包,若蜜罐满足向外周期性地与外部对象交互心跳包这一条件,说明蜜罐与外部对象之间存在稳定的长期通讯连接。
[0053] 至此,若所述蜜罐向外部对象发起服务,且所述服务所用连接的心跳包满足长期通讯连接条件,则确定所述蜜罐具有长期通讯连接。以上两种设计均可有效检测出非TCP协议下蜜罐的安全状态,有效提升了蜜罐安全状态判断的可靠性和准确性。
[0054] 实施例五
[0055] 在蜜罐通过该非TCP协议进行通信时,若主动向外发送所述初始信号,确有可能是正常交互行为,但若蜜罐与外部对象发起服务后建立的长期通讯连接,则说明蜜罐很可能被该外部对象攻陷并持续向外部对象输出自身的数据。也就是说,蜜罐与外部对象通信交互心跳包的行为属于风险行为,其心跳包的相关参数可以作为对风险行为的风险评估条件。
[0056] 具体地,可基于所述初始信号所属的连接协议、所述蜜罐在第一指定时间间隔内的长期通讯连接心跳数量以及所述蜜罐在第二指定时间间隔内的长期通讯连接心跳频率,计算所述蜜罐的可信度,以该可信度作为蜜罐是否处于被攻陷状态的验证标准。
[0057] 具体的计算方式可选为:对蜜罐在第一指定时间间隔内的长期通讯连接心跳数量和蜜罐在第二指定时间间隔内的长期通讯连接心跳频率加权求平均值,作为所述可信度。
[0058] 需要知晓,在上述任一实施例中,在涉及蜜罐与外部对象进行通信的心跳的步骤之前,均需有效识别蜜罐与外部对象进行通信的心跳,在识别出心跳后再执行各实施例中与心跳相关联的步骤。
[0059] 具体地,可检测蜜罐与外部对象进行通信过程中的数据包的长度,将指定长度的数据包识别为可能为心跳包的对象,进一步地,获取和比较这些可能为心跳包的对象的发包时间,若这些可能为心跳包的对象的发包时间呈周期性分布,则说明这些对象为蜜罐与外部对象进行通信过程中规律传输的心跳包。由此,可快速有效地识别蜜罐与外部对象进行通信过程中的心跳,为确定蜜罐的安全状态提供可靠的基础。
[0060] 实施例六
[0061] 如图2所示,具体地,根据本发明的另一个实施例的确定蜜罐可信度的方式包括:
[0062] 步骤202,获取初始信号所属的连接协议对应的协议参数。
[0063] 若所述初始信号所属的连接协议为非TCP协议,由于非TCP协议多种多样,为准确计算蜜罐可信度,可基于每种非TCP协议的通信方式、通信参数等,为每种非TCP协议设置对应的协议参数,该协议参数代表非TCP协议的特征值,用于蜜罐可信度的计算。
[0064] 步骤204,对蜜罐在第一指定时间间隔内的外发流量累计值进行校正后,得到第一数值,其中,
[0065] d=(1‑x)*d1+x*|d2‑d1|
[0066] d表示所述第一数值,x表示第一校验系数,为所述蜜罐在第一指定时间间隔内的外发包累计数量与外发流量累计值的比值,d1表示所述蜜罐在第一指定时间间隔内的外发流量累计值,d2表示所述蜜罐在第一指定时间间隔内的额定外发流量值。
[0067] 对于每种非TCP协议,均设置有第一指定时间间隔内的额定外发流量值,该额定外发流量值为该非TCP协议在多个历史第一指定时间间隔内外发流量的平均值。由于蜜罐单次在第一指定时间间隔内的外发流量累计值具有不稳定性,因此,在基于其判断蜜罐的安全状态时,可基于额定外发流量值对其进行校正,从而可减小蜜罐单次外发流量的不稳定性的影响,提升蜜罐安全状态判断的可靠性。
[0068] 另外,蜜罐在第一指定时间间隔内的外发包累计数量与外发流量累计值的比值越大,其单位时间内的外发内容所携带的数据量越小,泄露的有效信息占比也就越少,因此,该比值与蜜罐外发数据的不安全程度成反比,以其作为校正系数,可在校正结果中有效体现蜜罐外发数据的不安全程度带来的影响,有助于提升蜜罐安全状态判断的可靠性。
[0069] 步骤206,对所述蜜罐在第二指定时间间隔内的外发包累计数量进行校正后,得到第二数值,其中,
[0070] p=(1‑y)*p1+y*|p2‑p1|
[0071] p表示所述第二数值,y表示第二校验系数,为所述蜜罐在第二指定时间间隔内的外发包累计数量与外发流量累计值的比值,p1表示所述蜜罐在第二指定时间间隔内的外发包累计数量,p2表示所述蜜罐在第二指定时间间隔内的额定外发包数量。
[0072] 对于每种非TCP协议,均设置有第二指定时间间隔内的额定外发包数量,该额定外发包数量为该非TCP协议在多个历史第二指定时间间隔内外发流量的平均外发包数量。
[0073] 由于蜜罐单次在第二指定时间间隔内的外发包累计数量具有不稳定性,因此,在基于其判断蜜罐的安全状态时,可基于额定外发包数量对其进行校正,从而可减小蜜罐单次外发流量的不稳定性的影响,提升蜜罐安全状态判断的可靠性。
[0074] 另外,蜜罐在第二指定时间间隔内的外发包累计数量与外发流量累计值的比值越大,其单位时间内的外发内容所携带的数据量越小,泄露的有效信息占比也就越少,因此,该比值与蜜罐外发数据的不安全程度成反比,以其作为校正系数,可在校正结果中有效体现蜜罐外发数据的不安全程度带来的影响,有助于提升蜜罐安全状态判断的可靠性。
[0075] 步骤208,对所述协议参数、所述第一数值、所述第二数值进行归一化处理后,再进加权求和,得到所述蜜罐的可信度。
[0076] 步骤210,在所述蜜罐的可信度小于指定可信度时,确定所述蜜罐处于被攻陷状态。
[0077] 归一化处理可将所述协议参数、所述第一数值、所述第二数值按比例缩放,使之落入相同量级范围内,使得在对三者进行加权时更具合理性。最终,将所述协议参数、所述第一数值、所述第二数值归一化处理后的值进行加权求和,得到蜜罐的可信度。对于每种非TCP协议,均可基于其协议的通信方式和通信参数等实际信息,为其设置对应的协议参数权重、第一数值权重、第二数值权重。
[0078] 需要补充的是,上文所述的每一种非TCP协议,均可将本申请上下文多个实施例所述的各指定被攻陷条件单独使用,以快速判断蜜罐的安全状态。
[0079] 或者,上文所述的每一种非TCP协议,也可将本申请上下文多个实施例所述的各指定被攻陷条件中两个或两个以上组合使用,从而全面准确地判断蜜罐的安全状态,提升蜜罐安全状态判断的可靠性和准确性。
[0080] 本发明的一个实施例的电子设备,包括至少一个存储器;以及,与所述至少一个存储器通信连接的处理器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述任一实施例中所述的方案。因此,该电子设备具有和上述任一实施例中相同的技术效果,在此不再赘述。
[0081] 本发明实施例的电子设备以多种形式存在,包括但不限于:
[0082] (1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
[0083] (2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
[0084] (3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
[0085] (4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
[0086] (5)其他具有数据交互功能的电子装置。
[0087] 另外,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一实施例中所述的方法流程。
[0088] 以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,可针对不同的连接协议分别准确有效地确定蜜罐的安全状态,避免了因判断方式单一而造成的判断不准确的可能出现,有效提升了蜜罐安全状态判断的可靠性和准确性。
[0089] 应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0090] 应当理解,尽管在本发明实施例中可能采用术语第一、第二等来描述数值,但这些数值不应限于这些术语。这些术语仅用来将数值彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一数值也可以被称为第二数值,类似地,第二数值也可以被称为第一数值。
[0091] 取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
[0092] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。