一种防御方法、装置、客户机、服务器、存储介质及系统

摘要

本申请提供了一种防御方法、装置、客户机、服务器、存储介质及系统，该方法应用于客户机，包括：获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。这样，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

说明书

技术领域

本申请涉及网络安全技术领域，尤其涉及一种防御方法、装置、客户机、服务器、存储介质及系统。

背景技术

目前，网络设备防御攻击的方式一般为基于流量检测的被动防御，例如，将网页应用防护系统(WAF，Web Application Firewall)设备串联，或者旁路在网络链路中，对网络中的流量进行检测及阻断。然而，基于流量检测的被动防御的方案只能在攻击发生时对攻击技术进行分析和防御，但是对于高级攻击手段，被动防御方案仍有可能被绕过或者攻陷，从而无法对网络设备起到防护功能。因此，如何提升防御能力仍然是网络安全领域面临的问题。

发明内容

本申请的主要目的在于提出一种防御方法、装置、客户机、服务器、存储介质及系统，利用客户机中的伪装服务程序和服务器中的蜜罐系统联动配合实现了主动防御功能，提升了安全防御效果。

本申请的技术方案可以如下实现：

第一方面，本申请实施例提供了一种防御方法，应用于客户机，该方法包括：

获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

第二方面，本申请实施例提供了一种防御方法，应用于服务器，且该服务器部署有蜜罐系统，该方法包括：

向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；

当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

将所述分析结果发送到所述客户机。

第三方面，本申请实施例提供了一种防御装置，应用于客户机，该防御装置包括伪装单元、转发单元和处置单元；其中，

伪装单元，配置为获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

转发单元，配置为在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

处置单元，配置为接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

第四方面，本申请实施例提供了一种客户机，该客户机包括第一存储器和第一处理器；其中，

所述第一存储器，用于存储能够在处理器上运行的计算机程序；

所述第一处理器，用于在运行计算机程序时，执行如第一方面所述的方法。

第五方面，本申请实施例提供了一种防御装置，应用于服务器，该服务器部署有蜜罐系统，该防御装置包括发送单元、接收单元和分析单元；其中，

发送单元，配置为向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；

接收单元，配置为当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

分析单元，配置为通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

发送单元，还配置为将所述分析结果发送到所述客户机。

第六方面，本申请实施例提供了一种服务器，该服务器部署有蜜罐系统，该服务器包括第二存储器和第二处理器；其中，

所述第二存储器，用于存储能够在处理器上运行的计算机程序；

所述第二处理器，用于在运行计算机程序时，执行如第二方面所述的方法。

第七方面，本申请实施例提供了一种计算机存储介质，计算机存储介质储存有防御程序，防御程序被第一处理器执行时实现如第一方面所述的方法、或者被第二处理器执行时实现如第二方面所述的方法。

第八方面，本申请实施例提供了一种防御系统，该防御系统至少包括客户机和服务器，且所述服务器部署有蜜罐系统；

其中，客户机，用于执行以下步骤：

获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

服务器，用于执行以下步骤：

向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；

当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

将所述分析结果发送到所述客户机。

本申请实施例提供了一种防御方法、装置、客户机、服务器、存储介质及系统，在客户机侧，获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。在服务器侧，该服务器部署有蜜罐系统，通过向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；将所述分析结果发送到所述客户机。这样，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

附图说明

图1为本申请实施例中提供的一种防御方法的流程示意图；

图2为本申请实施例中提供的另一种防御方法的流程示意图；

图3为本申请实施例中提供的又一种防御方法的流程示意图；

图4为本申请实施例中提供的再一种防御方法的流程示意图；

图5为本申请实施例中提供的一种防御系统的交互过程示意图；

图6为本申请实施例提供的一种防御装置的组成结构示意图；

图7为本申请实施例提供的一种客户机的具体硬件结构示意图；

图8为本申请实施例提供的另一种防御装置的组成结构示意图；

图9为本申请实施例提供的一种服务器的具体硬件结构示意图；

图10为本申请实施例提供的一种防御系统的组成结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本申请实施例中涉及到的名词解释如下。

蜜罐(或称为蜜罐网络、蜜罐技术)：是一个专门用于诱骗黑客(或称为攻击者)的虚拟系统或网络，且蜜罐能够发现、保存和分析计算机系统上黑客留下的蛛丝马迹，并随时跟踪他们的行踪，借而了解黑客使用的最新技术和工作思路。通过获取这些信息，将会更好地理解系统所遇到的威胁，并且思考如何防止这些威胁，从而在与黑客的战争中获得最大的主动权。

下一代防火墙(Next Generation Firewall，NG Firewall)：是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎下一代防火墙能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

目前，蜜罐作为新兴的网络防御技术，不但能够主动诱捕来自外网的攻击者，还可以在企业内网提前发现横向扩散病毒的主机，另外能够收集攻击者的重要信息，具备较好的主动安全对抗效果。

然而，由于蜜罐系统需要独立部署，需要承担的高额的成本，大部分客户难以承担，因此蜜罐系统无法广泛应用到各个行业客户中；另外，蜜罐本身缺少对发现的安全事件应急处置的方法，提前发现攻击者后仍需配合别的设备进行处置。同时，下一代防火墙作为部署在网络中重要网关边界安全设备，可以有效抵御大部分攻击，但是对于高级攻击手段依然存在被绕过的可能，导致下一代防火墙无法及时发现某些攻击，因此，如何提升防火墙的防御能力成为更迫切的安全需求。

本申请实施例提供了一种防御方法，应用于客户机，该方法的基本思想是：获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。这样，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

在本申请的一实施例中，参见图1，其示出了本申请实施例提供的一种防御方法的流程示意图。如图1所示，该方法可以包括：

S101：获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序。

需要说明的是，为了解决蜜罐技术的种种缺点，本申请实施例利用客户机和部署有蜜罐系统的服务器配合来诱骗攻击者进行攻击，实现对攻击者的主动防御。

本申请实施例提供的防御方法应用在客户机中，客户机可以包括个人计算机、工业计算机、膝上型电脑、车载电子设备等计算类设备，同时，客户机还包括网络交换机、IP协议密码机、安全路由器、线路密码机、防火墙设备、安全网关设备、入侵检测系统(IntrusionDetection System，IDS)和入侵检测防御系统(Intrusion Pevention System)等安全类设备。换句话说，防御方法可以应用在传输层和数据链路层之间的网络层上。

还需要说明的是，对于客户机来说，接收服务器发送的蜜罐资源信息，从而客户机能够获知服务器都提供那些蜜罐资源，从而配置伪装服务程序。

在这里，服务器上部署有蜜罐系统，蜜罐资源信息能够指示蜜罐系统所提供的服务资源。蜜罐系统可以是真实网络系统，例如windows系统、Linux系统等，蜜罐系统能够提供各种服务资源，例如万维网(World Wide Web，WEB)网页服务、邮件服务等，同时蜜罐系统是单独隔离的，从而能够在受控环境中引诱攻击者进行攻击，从而还原攻击者的途径、方法、过程等。

伪装服务程序是指用于诱骗攻击者进行攻击的服务，即利用蜜罐系统提供的服务资源所生成的、并非为用户真实提供服务的伪装服务程序，后续访问伪装服务程序的所有流量均会被转发至蜜罐系统，以使得蜜罐系统对攻击者进行分析。

还需要说明的是，为了获取蜜罐资源信息，可以由客户机向所述服务器发送资源列表请求，然后接收服务器发送的蜜罐资源信息换句话说，由于客户机和服务器相互独立，客户机需要向服务器发送资源列表请求，从而服务器向客户机下发蜜罐资源信息，这样客户机能够根据蜜罐资源信息了解服务器中蜜罐系统提供的哪些伪装服务，然后结合自身需求确定伪装服务程序的伪装对象。

这样，由于服务器上的蜜罐系统提供了所需的蜜罐资源，客户机仅需要利用这些蜜罐资源配置伪装服务程序即可，同时客户机仍然作为正常机器被使用，而不需要单独配置一台蜜罐客户机，极大地降低了蜜罐部署的成本。

S102：在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器。

需要说明的是，当伪装服务程序被访问时，客户机将伪装服务程序所接收到的访问数据转发给服务器，访问数据就是指客户机接收到的访问伪装服务的流量。其中，所述服务器部署有蜜罐系统。

也就是说，当客户机接收到访问伪装服务程序的访问数据时，客户机将访问数据直接转发给服务器中的蜜罐系统，从而蜜罐系统在受控环境下收集攻击者的攻击行为，例如，攻击者采用远程(telnet)登录客户机，此时攻击者的一些操作为明文操作可以通过对telnet方式得到的数据流进行检测，再例如，攻击者准备将恶意文件下载至客户机，以木马程序为例，那么实际上这些木马程序被下载到蜜罐系统，从而蜜罐系统可以通过执行木马程序分析出攻击者的攻击行为。另外，除了来自外网攻击者的攻击数据，内网中其他被病毒攻陷的客户机的横向病毒扩散也同样会被发现。

在本实施例中，通过蜜罐系统通过对客户机转发的访问数据进行分析，可以很方便地监控外部对客户机的攻击行为。另外，由于伪装服务程序的端口号的特殊性，正常用户并不会访问到这些端口号，所以伪装服务程序并不会影响正常用户的访问请求。

S103：接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

需要说明的是，客户机将访问数据发送给服务器后，服务器中部署的蜜罐系统会按照预设策略对访问数据进行分析，之后服务器将分析结果发送给客户机，此时，客户机就可以根据分析结果进行相应的处置操作。

具体的，蜜罐系统对访问数据的分析方法可以包括：

(1)利用预设检测算法对所述访问数据进行分析，得到分析结果。预设检测算法可以是对大量攻击样本数据进行学习后的神经网络算法。例如，采用大量蠕虫病毒样本、僵尸病毒样本等对预设神经网络进行训练，得到预设检测算法。此时，如果访问数据包含蠕虫病毒等，预设检测算法可以对其进行检出。

(2)对访问数据中包括的可执行文件/可执行指令进行执行，通过系统日志收集可执行文件/可执行指令的行为数据，从而确定分析结果。具体的，蜜罐系统实际上提供了一种隔离性的环境来“放任”访问数据对其进行攻击，从而收集到访问数据的攻击行为。也就是说，访问数据中如果包含恶意的可执行文件/可执行指令，则访问数据在到达蜜罐系统后，会释放这些可执行文件/可执行指令，从而可执行文件/可执行指令进行攻击，例如从行为数据中可以获知，可执行文件/可执行指令是否试图删除文件、新增文件、获取使用者隐私信息、口令探测、进行溢出攻击、篡改系统设置、进行泛洪攻击等。

除此之外，多种已有的安全检测方法均可用于蜜罐系统对访问数据的分析，本申请实施例在此不做限定。

另外，在一种具体的实施例中，客户机和服务器之间的交互是由网关程序和蜜罐系统来完成的，即网关程序和蜜罐系统之间存在通信链路，此时，蜜罐系统将蜜罐资源信息直接下发至网关程序，从而网关程序完成配置伪装服务程序的过程；另外，由于网关程序本身的功能就是对外部数据进行中转和过滤，因此当网关程序接收到访问伪装服务程序的访问数据后，可以直接将访问数据转发给服务器的蜜罐系统，同时接收服务器返回的分析结果。

本申请实施例提供了一种防御方法，应用于客户机，通过获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。这样，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

在本申请的另一实施例中，参见图2，其示出了本申请实施例提供的另一种防御方法的流程示意图。如图2所示，该方法可以包括：

S201：从所述蜜罐资源信息中确定被伪装对象。

需要说明的是，伪装服务程序可以包括三部分：主体服务、通信地址和端口号。在这里，通信地址通常是指网际协议(Internet Protocol，IP)地址。

由于伪装服务程序的主体服务是由服务器中的蜜罐资源提供的，所以客户机需要获取蜜罐资源信息，以获知服务器都能提供哪些蜜罐资源，从而确定被伪装对象，被伪装对象可以是例如网页服务、邮件服务等。

S202：根据所述被伪装对象，获取被伪装通信地址和被伪装端口号。

需要说明的是，根据被伪装对象，确定被伪装通信地址和被伪装端口号。具体的，例如被伪装对象是网页服务，那么需要获取客户机上真实网页服务的IP地址和端口号，将其分别确定为被伪装通信地址和被伪装端口号，从而能够获取攻击者的攻击数据。另外，被伪装端口号是人为选定的特殊端口号，正常用户基本不会访问这些特殊端口号，同时这些特殊端口号又是攻击者的主要攻击对象，例如提供远程管理设备的161端口号。

S203：基于所述被伪装对象、所述被伪装通信地址和所述被伪装端口号，利用网关程序配置所述伪装服务程序。

需要说明的是，基于被伪装对象、被伪装通信地址和被伪装端口号，利用网关程序配置伪装服务程序。在这里，网关程序是指不同网络之间互相连接的程序，即外部数据需要通过网关程序才能够进入客户机之内，网关程序可以包括本地防火墙、WEB应用防火墙、入侵检测系统和入侵检测防御系统等。

这样，根据被伪装对象、被伪装通信地址和被伪装端口号，在网关程序上配置了伪装服务程序，由于正常用户并不会访问到这些端口号，所以正常用户的访问数据仍然会进入客户机中得到处理，从而客户机仍然能够完成原有的工作内容。换句话说，客户机仍然可以正常处理业务，无需专门配置一台设备用于

S204：在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器。

需要说明的是，在客户机配置好伪装服务程序之后，由于该伪装服务程序的端口号为特殊端口号，正常业务并不会使用到，即该客户机在正常工作过程中，不会有正常流量通过该端口号访问伪装服务程序)，客户机仍然可以作为正常业务机器进行使用。但是，当客户机接收到访问所述伪装服务程序的访问数据时，则将该访问数据发送到所述服务器，以便服务器在蜜罐环境中对该访问数据进行分析，从而能够主动诱骗攻击者进行攻击，实现主动防御。

S205：接收所述服务器针对所述访问数据的分析结果，根据所述分析结果，判断所述访问数据中是否存在攻击数据。

在这里，对于步骤205，如果判断结果为是，则执行步骤S206。

需要说明的是，在客户机将访问伪装服务程序的访问数据转发给服务器后，服务器中的蜜罐系统对访问数据进行分析，从而生成访问数据的分析结果，并将其发送给客户机。也就是说，客户机会接收到服务器对访问数据的分析结果，通过分析结果，客户机能够获知访问数据中是否存在攻击数据。

如果访问数据中存在攻击数据，则进行后续处置步骤；如果访问数据中不存在攻击数据，则无需针对访问数据做其他安全措施，可以将访问数据引入客户机中的真实服务，或者询问使用人员如何处理等等。

S206：控制网关程序丢弃所述访问数据。

需要说明的是，如果分析结果显示，访问数据中存在攻击数据，客户机丢弃访问数据，从而有效的保护客户机的网络安全。

进一步地，在一些实施例中，在所述访问数据中存在所述攻击数据的情况下，该方法还包括：

判断所述分析结果中是否存在所述攻击数据的攻击轨迹信息；

在所述分析结果中存在攻击轨迹信息的情况下，基于所述攻击轨迹信息，控制所述网关程序进行防御操作。

需要说明的是，服务器的蜜罐系统提供了一个模拟的系统环境，诱骗攻击数据进行攻击，此时蜜罐系统会记录下攻击数据如何进行攻击的具体步骤，例如如何组装、如何启动、如何发起探测、如何获取数据、攻击对象是什么、如果回传数据等等，这些信息即为攻击轨迹信息。如果蜜罐系统能够收集到攻击数据的攻击轨迹信息，则会将攻击轨迹信息作为分析结果的一部分，发送给客户机。

因此，对于客户机而言，还会判断分析结果中是否存在攻击数据的攻击轨迹信息，如果存在，则由客户机对攻击轨迹信息进行深入分析，然后进行防御操作。例如，如果攻击轨迹信息显示了攻击者所攻击的系统漏洞，则客户机可以主动下载防御补丁；如果攻击轨迹信息显示了攻击者所用的身份数据(例如cookie数据、用户名等)，则客户机可以将其与自身的存储信息进行对比，以确定具体的攻击者。

进一步地，在一些实施例中，在所述访问数据中存在所述攻击数据的情况下，该方法还包括：

判断所述分析结果中是否存在所述攻击数据的攻击者信息；

在所述分析结果中存在所述攻击者信息的情况下，基于所述攻击者信息，控制所述网关程序进行攻击者封锁操作。

需要说明的是，除此之外，服务器中的蜜罐系统还会通过多种手段对攻击数据进行分析，例如预设代码注入等，顺利的话可以直接获得攻击数据的攻击者信息，此时服务器同样会将攻击者信息的一部分作为分析结果下发给客户机。因此，客户机根据所接收到的分析结果，能够确定攻击者信息，攻击者信息主要是指攻击者指纹信息等。之后，根据攻击者信息，客户机利用网关程序进行联动封锁操作(联动封锁操作可以包括攻击者封锁操作)，也就是说，虽然蜜罐系统在发现攻击者后并不具有处置能力，但是通过蜜罐系统将攻击者指纹信息下发给客户机，从而网关程序能够与之进行攻击者封锁操作。

也就是说，服务器中的蜜罐系统会通过多种手段对访问数据进行分析，除了判断访问数据中是否存在攻击数据，还有可能收集到攻击数据的攻击轨迹信息和攻击者信息。其中，能够直接获得攻击者信息是最为理想的状况，这样可以直接使网关程序进行攻击者封锁操作；而攻击轨迹信息则提供了更多的攻击过程相关信息，从而进行防御操作，而且如果服务器不能直接获得攻击者信息，客户机也可以尝试根据攻击轨迹信息确定攻击者，

还需要说明的是，攻击者信息一般会包括攻击者的通信地址(IP地址)。因此，当所述攻击者信息包括攻击者的通信地址时，所述基于所述攻击者信息，控制所述网关程序进行攻击者封锁操作，可以包括：控制所述网关程序将来自于所述攻击者的通信地址的相关数据进行丢弃。

换句话说，在能够确定攻击者的IP地址的情况下，攻击者封锁操作是指控制所述网关程序将来自于所述攻击者的通信地址的相关数据进行丢弃，另外，根据其他的攻击者信息，联动封锁操作也可以包括根据攻击手段确定系统中存在的漏洞并进行修复，提醒用户修改某些密码等等。

本申请实施例提供了一种防御方法，通过本实施例对前述实施例的具体实现进行了详细阐述，从中可以看出，在相关技术中，蜜罐技术需要选择一台成本高且性能较好的客户机来独立部署蜜罐系统，无法广泛覆盖在客户网络中。基于此，本申请实施例可以利用客户机已有的网关侧安全程序(即前述的网关程序)，通过配置特定的IP地址和端口号，诱骗攻击者的访问，然后将流量转发到部署在服务器的蜜罐系统，从而实现网关程序具备欺骗诱骗能力，同时还能借助蜜罐系统的溯源等能力，进行攻击源追溯；从而能够使网关程序完全具备蜜罐的欺骗诱骗和攻击溯源能力，并大幅降低部署成本和硬件成本，提升客户整体安全防御效果，使得网关程序从被动防御技术转变为主动防御技术。

在本申请的又一实施例中，参见图3，其示出了本申请实施例提供的又一种防御方法的流程示意图。如图3所示，该方法可以包括：

S301：向客户机发送蜜罐资源信息。

需要说明的是，为了解决蜜罐技术的种种缺点，本申请实施例利用客户机和部署有蜜罐系统的服务器配合来诱骗攻击者进行攻击，从而获取攻击者信息，实现对攻击者的主动防御。

本申请实施例提供的防御方法应用在服务器中，该服务器中部署有蜜罐系统(或称为云蜜罐系统)。在这里，蜜罐系统可以是真实网络系统，例如windows系统、Linux系统等，蜜罐系统能够提供各种服务资源，例如WEB网页服务、邮件服务等，同时蜜罐系统是单独隔离的，从而能够在受控环境中引诱攻击者进行攻击，从而还原攻击者的途径、方法、过程等。

服务器需要向客户机发送蜜罐资源信息，以使得客户机了解服务器中的蜜罐系统都支持哪些伪装服务，从而客户机能够配置伪装服务程序。在这里，蜜罐资源信息就是指服务器中的蜜罐系统所提供的服务资源，且蜜罐资源信息用于指示所述客户机配置伪装服务程序，

需要说明的是，由于客户机需要根据蜜罐系统提供的服务资源来建立伪装服务程序，一般来说，服务器会接受到客户机发送的资源列表请求，从而向客户机发送蜜罐资源信息，这样客户机能够获知服务器中的蜜罐系统都支持哪些服务，从而建立伪装服务程序。

这样，通过向客户机下发蜜罐资源信息，配合客户机配置伪装服务程序，从而普通的客户机可以具备蜜罐诱捕功能。另外，对于部署在服务器中的蜜罐系统，可以同时为多个客户机提供服务资源，对于客户机而言降低了蜜罐资源的使用成本；且客户机为正常的业务机器，可续单独设置，进一步降低了客户的蜜罐部署成本。

S302：当所述伪装服务程序被访问时，接收所述客户机转发的访问数据。

需要说明的是，当客户机中的伪装服务程序被访问时，客户机会将访问伪装程序的数据作为访问数据转发给服务器，以便于蜜罐系统根据预设策略对访问数据进行分析。在这里，访问数据是指所述客户机接收到的所述伪装服务程序的访问数据。

S303：通过所述蜜罐系统对所述访问数据进行分析，得到分析结果。

需要说明的是，蜜罐系统根据预设策略对待分数据进行分析，以得到分析结果。例如，攻击者采用远程登录(telnet登录)客户机，此时攻击者的一些操作为明文操作可以通过对telnet方式得到的数据流进行检测，再例如，攻击者准备将恶意文件下载至客户机，以木马为例，那么实际上这些木马被下载到蜜罐系统，从而蜜罐系统可以进一步通过木马样本分析出攻击者的攻击行为。在本实施例中，通过客户机转发的访问数据进行分析，可以很方便地监控外部对客户机的攻击行为。

还需要说明的是，蜜罐系统对访问数据的分析方法可以包括：

(1)利用预设检测算法对所述访问数据进行分析，得到分析结果。预设检测算法可以是对大量攻击样本数据进行学习后的神经网络算法。例如，采用大量蠕虫病毒样本、僵尸病毒样本等对预设神经网络进行训练，得到预设检测算法。此时，如果访问数据包含蠕虫病毒等，预设检测算法可以对其进行检出。

(2)对访问数据中包括的可执行文件/可执行指令进行执行，通过系统日志收集可执行文件/可执行指令的行为数据，从而确定分析结果。具体的，蜜罐系统实际上提供了一种隔离性的环境来“放任”访问数据对其进行攻击，从而收集到访问数据的攻击行为。也就是说，访问数据中如果包含恶意的可执行文件/可执行指令，则访问数据在到达蜜罐系统后，会释放这些可执行文件/可执行指令，从而可执行文件/可执行指令进行攻击，例如从行为数据中可以获知，可执行文件/可执行指令是否试图删除文件、新增文件、获取使用者隐私信息、口令探测、进行溢出攻击、篡改系统设置、进行泛洪攻击等。

除此之外，多种已有的安全检测方法均可用于蜜罐系统对访问数据的分析，本申请实施例在此不做限定。

这样，通过蜜罐系统对访问数据进行分析，获得了分析结果。

S304：将所述分析结果发送到所述客户机。

需要说明的是，服务器将所述分析结果发送到所述客户机，以使得所述客户机基于所述分析结果进行相应的处置操作。

也就是说，服务器将分析结果返回给客户机，从而客户机能够根据分析结果进行防御操作。具体的，如果在对访问数据分析后，没有发现问题，那么客户机无需进行下一步操作；如果发现问题后，则客户机将针对问题进行主动防御操作，从而使得客户机具有主动防御能力，提高了客户机的安全性。

需要说明的是，同前述实施例，客户机和服务器之间的交互是由网关程序和蜜罐系统来完成的，即网关程序和蜜罐系统之间存在通信链路，此时，蜜罐系统将蜜罐资源信息直接下发至网关程序，从而网关程序完成配置伪装服务程序的过程；当接收到网关程序转发的访问数据时，蜜罐系统对访问数据进行分析，然后向网关程序下发分析结果。

综上所述，在相关技术中，可以采用独立部署的蜜罐设备，或者独立的防火墙，或者防火墙与用户本地已有的蜜罐产品进行简单的联动，但是这并不能解决蜜罐技术的种种缺点。本申请实施例通过在网关程序与云端的蜜罐系统实现深度联动，让客户部署无感知，无高昂成本，网关程序即可实现欺骗诱骗技术，对提高网络安全具有重要意义。

本申请实施例提供了一种防御方法，应用于服务器，该服务器部署有蜜罐系统，通过向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；将所述分析结果发送到所述客户机。这样，蜜罐系统能够对客户机转发的访问数据进行分析，然后服务器将分析结果下发至客户机，以使得客户机能够进行防御操作，实现了服务器中蜜罐系统和客户机中网关程序的深度联动，提升了整体安全防御的效果。

在本申请的再一实施例中，参见图4，其示出了本申请实施例提供的再一种防御方法的流程示意图。如图4所示，该方法可以包括：

S401：向客户机发送蜜罐资源信息。

需要说明的是，本申请实施例提供的防御方法应用于部署有蜜罐系统的服务器。由服务器将蜜罐系统所提供的蜜罐资源信息发送给客户机，以便于客户机根据蜜罐资源信息了解蜜罐系统所提供的服务资源，从而配置伪装服务程序。

S402：当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

需要说明的是，对于客户机而言，伪装服务程序的端口号是正常业务中几乎不会被访问的。因此，当客户机中的伪装服务程序接收到访问数据时，很有可能该访问数据为攻击者发送的。所以，客户机上伪装服务程序被访问时，客户机会将访问数据转发给服务器。换句话说，对于服务器而言，当客户机中的伪装服务程序被访问时，会接收到客户机转发的访问数据，以便服务器中的蜜罐系统对其进行分析。

S403：通过所述蜜罐系统判断所述访问数据中是否存在攻击数据。

需要说明的是，在接收到访问数据之后，由服务器中的蜜罐系统判断所述访问数据中是否存在攻击数据。

S404：根据判断结果，生成分析结果。

需要说明的是，根据判断结果，服务器生成对访问数据的分析结果，即分析结果用于指示访问数据是否包含攻击数据。

进一步地，在一些实施例中，在所述访问数据中存在攻击数据的情况下，该方法还可以包括：

通过所述蜜罐系统对所述攻击数据进行攻击轨迹识别，得到攻击轨迹信息；

将所述攻击轨迹信息添加进入所述分析结果。

需要说明的是，服务器中的蜜罐系统是一个隔离的环境，从而攻击数据在可控的环境下释放和攻击，从而能够对攻击数据进行攻击轨迹识别，确定攻击轨迹信息，攻击轨迹信息可以包括攻击过程中的多种信息，利用攻击对象、攻击流程、攻击过程所用的凭证等，服务器会将攻击轨迹信息加入分析结果中，后续客户机可以根据攻击轨迹信息进行对应的防御。

进一步地，在一些实施例中，在所述访问数据中存在攻击数据的情况下，所述方法还包括：

通过所述蜜罐系统对所述攻击数据进行预设代码注入操作，生成所述攻击者信息；

将所述攻击者信息添加进入所述分析结果。

需要说明的是，蜜罐系统可以对访问数据进行预设代码注入操作(或称为代码反注入)，从而生成分析结果。预设代码可以包括反编译代码，用来获取访问数据的源头信息。这里，反编译代码就是将二进制执行代码转换成源代码，例如反编译代码可以为利用JavaScript语言编写的代码。

还需要说明的是，在所述访问数据中存在攻击数据的情况下，还可以进一步通过所述蜜罐系统对所述攻击数据进行预设代码注入操作，生成所述攻击者信息，并将攻击者信息添加进入分析结果中。在这里，攻击者信息可以是攻击轨迹信息、攻击者的社交信息、攻击者的位置信息等。一般来说，攻击者信息一般包括攻击者的通信地址(即IP地址)。然后根据攻击者信息得到分析结果下发至客户机，以便客户机对攻击者的IP地址进行联动封锁操作。

需要说明的是，对于访问数据，蜜罐系统会通过预设的多种手段对其进行分析，在此以攻击轨迹识别和预设代码注入的手段为例进行了具体说明，但是蜜罐系统还可以通过其他更多的手段对其分析，并生成对应的信息，添加进入分析结果中，本申请实施例在此不做限定。

另外，攻击轨迹信息和攻击者信息都是并不一定能够获取到的。也就是说，如果经过蜜罐系统的分析，获取到了攻击轨迹信息/攻击者信息，则会将其添加进入分析结果；但是如果无法获取到，则分析结果则不包括这些信息。

这样，经过服务器对访问数据的分析，确定了分析结果。

S405：将所述分析结果发送到所述客户机。

需要说明的是，服务器将分析结果发送到客户机，以便于客户机根据分析结果对访问数据进行相应的处置。

本申请实施例提供了一种防御方法，通过本实施例对前述实施例的具体实现进行了详细阐述，从中可以看出，服务器通过蜜罐系统能够对客户机转发的访问数据进行分析，在访问数据存在攻击数据的情况下，服务器还可以对攻击数据进行攻击轨迹识别和预设代码注入操作，以便获取攻击数据的攻击轨迹信息和攻击者信息，从而客户机能够更有针对性的对攻击数据的进行处置，实现了服务器中蜜罐系统和客户机中网关程序的深度联动，提升了整体安全防御的效果。

在本申请的再一实施例中，以网关程序为下一代防火墙为例进行详细说明，参见图5，其示出了本申请实施例提供的一种防御系统50的交互过程示意图。如图5所示，该防御系统50的核心组件包括客户机501和服务器502；其中，客户机501中安装有下一代防火墙5011，服务器502中安装有蜜罐系统5021(也称为云端高级溯源分析对抗平台)。

也就是说，如图5所示，防御系统的两大核心组件分别为下一代防火墙5011和蜜罐系统5021。下一代防火墙5011用于提供蜜罐策略配置及转发引流功能，蜜罐系统5021用于提供真实蜜罐系统资源。

进一步地，防御系统50的工作流程包括以下步骤：

S601：在下一代防火墙上配置伪装服务的IP地址、服务和端口号，同时配置相关的联动封锁策略。

需要说明的是，如图5所示，对于客户机501而言，利用蜜罐系统5021所提供的服务资源，在下一代防火墙5011上配置伪装服务(相当于伪装服务程序)的IP地址、服务和端口号(分别相当于前述的被伪装通信地址、被伪装对象和被伪装端口号)，同时配置相关的联动封锁策略。这里，伪装服务是所选定的引诱攻击者进行攻击的服务，IP地址和端口号实际上是客户机501中伪装服务所对应的真实服务的IP地址和端口号。

联动封锁策略是指对于蜜罐系统5021所下发的攻击者相关信息的处置策略。例如，如果发现某个IP有过攻击或者怀疑是可疑的IP地址下一代防火墙5011可以设置策略，以后遇到该相同的IP地址报文过来，就直接丢包。不做任何分析和转发处理。比如：外部攻击者IP地址为202.202.202.1，申请访问客户的业务192.168.1.10；下一代防火墙5011在未识别攻击前会转发该报文的同时并解析该IP的所有内容是否有任何异常；如果某次发现202.202.202.1是攻击者IP，防火墙可以直接配置联动封锁，下次不允许任何该IP任何转发，全部丢弃。

S602：外网攻击者/内网失陷主机访问伪装服务。

需要说明的是，如图5所示，外网攻击者或者内网失陷主机为了攻击客户机501，对伪装服务进行访问。

S603：下一代防火墙将访问伪装服务的流量转发引流到蜜罐系统5021中。

需要说明的是，由于伪装服务的端口号的特殊性，几乎不会有正常用户访问。因此，下一代防火墙5011直接将访问伪装服务的流量转发引流到蜜罐系统5021中。

S604：蜜罐系统对访问流量进行分析，得到分析结果。

需要说明的是，如图5所示，蜜罐系统5021对客户机转发的访问流量进行分析，通过Javascript(一种即时编译型的高级编程语言，简称JS)代码反注入，溯源攻击者指纹信息，从而获得攻击者的相关信息，以实现主动防御。也就是说，通过蜜罐系统5021，能够识别记录黑客攻击轨迹，以及通过代码反注入，获取攻击者指纹，从而生成分析结果。

S605：蜜罐系统将分析结果下发到下一代防火墙上，下一代防火墙根据策略联动封锁动作，对攻击者IP进行联动封锁。

需要说明的是，如图5所示，蜜罐系统5021将分析结果下发到下一代防火墙5011上，下一代防火墙5011根据策略联动封锁动作，对攻击者IP进行联动封锁。在这里，分析结果包含攻击者画像，例如攻击轨迹、指纹信息(如社交信息)等。

目前，相关技术一般采用是独立部署的蜜罐，或者独立的防火墙，或者防火墙与客户机中本地已有的蜜罐产品进行简单的联动，而本申请实施例创新的关键点是结合下一代防火墙(或其他网关安全程序)的网络设备，引入蜜罐能力，并将蜜罐能力集成到云端，通过防火墙与云端后端实现对应的主动防御能力，最终提高网络安全性。

本申请实施例提供了一种防御系统，通过本实施例对前述实施例的具体实现进行了详细阐述，从中可以看出，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

在本申请的又一实施例中，参见图6，其示出了本申请实施例提供的一种防御装置70的结构示意图，如图6所示，该防御装置70应用于客户机，防御装置70包括伪装单元701、转发单元702和处置单元703；其中，

伪装单元701，配置为获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

转发单元702，配置为在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

处置单元703，配置为接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

在一些实施例中，伪装单元701，还配置为从所述蜜罐资源信息中确定被伪装对象；根据所述被伪装对象，获取被伪装通信地址和被伪装端口号；基于所述被伪装对象、所述被伪装通信地址和所述被伪装端口号，利用网关程序配置所述伪装服务程序。

在一些实施例中，处置单元703，还配置为根据所述分析结果，判断所述访问数据中是否存在攻击数据；在所述访问数据中存在所述攻击数据的情况下，丢弃所述访问数据。

在一些实施例中，处置单元703，还配置为在所述访问数据中存在所述攻击数据的情况下，判断所述分析结果中是否存在所述攻击数据的攻击轨迹信息；在所述分析结果中存在攻击轨迹信息的情况下，基于所述攻击轨迹信息进行防御操作。

在一些实施例中，处置单元703，还配置为判断所述分析结果中是否存在所述攻击数据的攻击者信息；在所述分析结果中存在所述攻击者信息的情况下，基于所述攻击者信息，控制所述网关程序进行攻击者封锁操作。

可以理解地，在本实施例中，“单元”可以是部分电路、部分处理器、部分程序或软件等等，当然也可以是模块，还可以是非模块化的。而且在本实施例中的各组成部分可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时，可以存储在一个计算机可读取存储介质中，基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

因此，本实施例提供了一种计算机存储介质，该计算机存储介质存储有防御程序，所防御程序被至少一个处理器执行时实现前述实施例中任一项所述的方法的步骤。

基于上述的一种防御装置70的组成以及计算机存储介质，参见图7，其示出了本申请实施例提供的一种客户机501的具体硬件结构示意图。如图7所示，可以包括：第一通信接口801、第一存储器802和第一处理器803；各个组件通过第一总线系统804耦合在一起。可理解，第一总线系统804用于实现这些组件之间的连接通信。第一总线系统804除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图7中将各种总线都标为第一总线系统804。其中，第一通信接口801，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

第一存储器802，用于存储能够在第一处理器803上运行的计算机程序；

第一处理器803，用于在运行所述计算机程序时，执行：

获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

可以理解，本申请实施例中的第一存储器802可以是易失性第一存储器或非易失性第一存储器，或可包括易失性和非易失性第一存储器两者。其中，非易失性第一存储器可以是只读第一存储器(Read-Only Memory，ROM)、可编程只读第一存储器(ProgrammableROM，PROM)、可擦除可编程只读第一存储器(Erasable PROM，EPROM)、电可擦除可编程只读第一存储器(Electrically EPROM，EEPROM)或闪存。易失性第一存储器可以是随机存取第一存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取第一存储器(Static RAM，SRAM)、动态随机存取第一存储器(Dynamic RAM，DRAM)、同步动态随机存取第一存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取第一存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取第一存储器(Enhanced SDRAM，ESDRAM)、同步链动态随机存取第一存储器(Synchronous link DRAM，SLDRAM)和直接内存总线随机存取第一存储器(Direct Rambus RAM，DRRAM)。本申请描述的系统和方法的第一存储器802旨在包括但不限于这些和任意其它适合类型的第一存储器。

而第一处理器803可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过第一处理器803中的硬件的集成逻辑电路或者软件形式的指令完成。上述的第一处理器803可以是通用第一处理器、数字信号第一处理器(DigitalSignal Processor，DSP)、专用集成电路(APPlication Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用第一处理器可以是微第一处理器或者该第一处理器也可以是任何常规的第一处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码第一处理器执行完成，或者用译码第一处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机第一存储器，闪存、只读第一存储器，可编程只读第一存储器或者电可擦写可编程第一存储器、寄存器等本领域成熟的存储介质中。该存储介质位于第一存储器802，第一处理器803读取第一存储器802中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本申请描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(APPlication Specific Integrated Circuits，ASIC)、数字信号第一处理器(DigitalSignal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable Logic Device，PLD)、现场可编程门阵列(Field-Programmable GateArray，FPGA)、通用第一处理器、控制器、微控制器、微第一处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本申请所述功能的模块(例如过程、函数等)来实现本申请所述的技术。软件代码可存储在第一存储器中并通过第一处理器执行。第一存储器可以在第一处理器中或在第一处理器外部实现。

可选地，作为另一个实施例，第一处理器803还配置为在运行所述计算机程序时，执行前述实施例中任一项所述的方法的步骤。

本申请实施例提供了一种客户机，该客户机包括伪装单元、转发单元和处置单元，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

本申请的又一实施例中，参见图8，其示出了本申请实施例提供的一种防御装置90的组成结构图，如图8所示，该防御装置90应用于服务器，服务器部署有蜜罐系统，该防御装置90包括发送单元901、接收单元902和分析单元903；其中，

发送单元901，配置为向客户机发送蜜罐资源信息其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；；

接收单元902，配置为当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

分析单元903，配置为通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

发送单元901，还配置为将所述分析结果发送到所述客户机。

在一些实施例中，分析单元903，具体配置为通过所述蜜罐系统判断所述访问数据中是否存在攻击数据；根据判断结果，生成分析结果。

在一些实施例中，分析单元903，还配置为在所述访问数据中存在攻击数据的情况下，通过所述蜜罐系统对所述攻击数据进行攻击轨迹识别，得到攻击轨迹信息；将所述攻击轨迹信息添加进入所述分析结果。

在一些实施例中，分析单元903，还配置为在所述访问数据中存在攻击数据的情况下，通过所述蜜罐系统对所述攻击数据进行预设代码注入操作，生成所述攻击者信息；将所述攻击者信息添加进入所述分析结果。

可以理解地，在本实施例中，“单元”可以是部分电路、部分处理器、部分程序或软件等等，当然也可以是模块，还可以是非模块化的。而且在本实施例中的各组成部分可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本实施例提供了一种计算机存储介质，应用于服务器502，该计算机存储介质存储有防御程序，所述主机分类程序被第二处理器执行时实现前述实施例中任一项所述的方法。

基于上述防御装置90的组成以及计算机存储介质，参见图9，其示出了本申请实施例提供的服务器502的具体硬件结构示例，如图9所示，服务器502可以包括：第二通信接口1001、第二存储器1002和第二处理器1003；各个组件通过第二总线系统1004耦合在一起。可理解，第二总线系统1004用于实现这些组件之间的连接通信。第二总线系统1004除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图9中将各种总线都标为第二总线系统1004。其中，

第二通信接口1001，用于在与其他外部网元之间进行收发信息过程中，信号的接收和发送；

第二存储器1002，用于存储能够在第二处理器1003上运行的计算机程序；

第二处理器1003，用于在运行所述计算机程序时，执行：

向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；

当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

将所述分析结果发送到所述客户机。

可选地，作为另一个实施例，第二处理器1003还配置为在运行所述计算机程序时，执行前述实施例中任一项所述的方法。

可以理解，第二存储器1002与第一存储器802的硬件功能类似，第二处理器1003与第一处理器803的硬件功能类似；这里不再详述。

本申请实施例提供了一种服务器，该服务器包括发送单元、接收单元和分析单元和，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

基于上述客户机501和服务器502的组成以及硬件结构示例，参见图10，其示出了本申请实施例提供的一种防御系统50的组成结构示意图。如图10所示，所述防御系统50至少包括前述实施例中任一项所述的客户机501和服务器502，且所述服务器502中部署有蜜罐系统，客户机501和服务器502之间通信连接。

其中，所述客户机501，用于执行以下步骤：

获取蜜罐资源信息，并根据所述蜜罐资源信息配置伪装服务程序；

在所述伪装服务程序被访问的情况下，将访问所述伪装服务程序的访问数据转发至所述服务器；其中，所述服务器部署有蜜罐系统；

接收所述服务器针对所述访问数据的分析结果，基于所述分析结果进行相应的处置操作。

所述服务器502，用于执行以下步骤：

向客户机发送蜜罐资源信息；其中，所述蜜罐资源信息用于指示所述客户机配置伪装服务程序；

当所述伪装服务程序被访问时，接收所述客户机转发的访问数据；

通过所述蜜罐系统对所述访问数据进行分析，得到分析结果；

将所述分析结果发送到所述客户机。

对于防御系统50而言，通过在客户机中配置伪装服务程序，联合服务器中的蜜罐系统，使得客户机具备主动防御的能力，提升了整体安全防御的效果；另外，仅需要对正常客户机进行配置就可以诱骗攻击者进行攻击，大幅降低部署成本和硬件成本。

需要说明的是，在本申请中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

本申请所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本申请所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本申请所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。