CN106961414A - 一种基于蜜罐的数据处理方法、装置及系统 - Google Patents
一种基于蜜罐的数据处理方法、装置及系统 Download PDFInfo
- Publication number
- CN106961414A CN106961414A CN201610018434.3A CN201610018434A CN106961414A CN 106961414 A CN106961414 A CN 106961414A CN 201610018434 A CN201610018434 A CN 201610018434A CN 106961414 A CN106961414 A CN 106961414A
- Authority
- CN
- China
- Prior art keywords
- tcp
- feedback
- source data
- packet
- header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种基于蜜罐的数据处理方法、装置及系统,其中方法包括:获取由攻击终端向蜜罐发送的源数据包;在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;向所述攻击终端发送所述TCP反馈数据包。本申请中蜜罐可以不响应非关键的TCP源数据包,从而将节省出一部分的系统资源。这部分系统资源可以用于响应其它端口的关键的数据包,从而扩大捕获关键TCP源数据包的端口范围,进而提高发现新型攻击手段的能力。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于蜜罐的数据处理方法、装置及系统。
背景技术
随着网络技术的不断进步,互联网中的网络攻击也越来越多。攻击者可以借助一些终端(以下简称攻击终端)来攻击服务器。因此,服务器上通常设置有一些针对攻击手段而制定的防范手段,以此来防范攻击者的攻击。为了获取更多攻击者的攻击手段,目前可以使用蜜罐技术。
蜜罐技术是一种模拟真实服务器的技术,安装有蜜罐技术的设备称为蜜罐,蜜罐的作用为使攻击者误认为蜜罐即为真实服务器。为了引诱攻击者前来攻击,蜜罐上还设计有精心布置的漏洞,从而使得蜜罐对外展现的效果为具有漏洞的服务器,从而引诱攻击者前来攻击。
攻击者在扫描服务器的过程中,当扫描到蜜罐时会误认为蜜罐为具有漏洞的服务器,从而向蜜罐发送攻击数据。由于蜜罐的IP地址并非一个真实服务器IP地址,正常设备不会向蜜罐发送正常数据,所以当有设备向蜜罐发送数据时,该数据即为攻击者发送的攻击数据。蜜罐可以记录攻击者发送的攻击数据,并可以分析攻击数据来获知攻击者的攻击手段。
为了方便蜜罐的设计,目前蜜罐的软件程序与真实服务器上的软件程序没有实质区别,只是两者的使用目的不同而已。由于真实服务器与终端之间基于TCP/IP协议或UDP协议进行数据传输,因此蜜罐与攻击终端之间也基于TCP/IP协议或UDP协议进行数据传输。
在基于TCP/IP协议进行数据传输的过程中,攻击终端可以向蜜罐发送源数据包,蜜罐可以调用TCP/IP协议的应用程序接口来响应源数据包并生成反馈数据包,然后向攻击终端发送反馈数据包,以此来实现蜜罐与攻击终端之间的交互。
发明内容
本申请发明人在研究过程中发现:
为了简化蜜罐的设计,蜜罐仅需要调用TCP/IP协议的应用程序接口来响应源数据包即可,从而使蜜罐无需过多关注具体的TCP/IP协议细节。这在一定程度上可以简化蜜罐设计,与此同时,这也使得蜜罐需要对源数据包中所有基于TCP协议类型的TCP源数据包进行响应。
但是,申请人发现并不是所有TCP源数据包均可以被蜜罐用来分析攻击者的攻击手段。在所有TCP源数据包中,少部分TCP源数据包是对分析攻击手段有益的关键源数据包,多部分是对分析攻击手段无益的非关键源数据包。但是,目前蜜罐的处理过程对所有TCP源数据包一视同仁,即蜜罐会响应所有的TCP源数据包,这使得蜜罐浪费一部分系统资源在非关键TCP源数据包上。
由于蜜罐的系统资源有限且处理非关键的TCP源数据包占用一部分系统资源,所以目前蜜罐仅能够监听并处理常用的一些端口的TCP源数据包,而无法监听并处理大量端口的TCP源数据包,从而导致蜜罐捕获关键TCP源数据包的端口范围有限,进而导致蜜罐发现新型攻击手段的能力有限。
因此,现在需要一种数据传输方法,使得蜜罐可以不响应非关键的TCP源数据包,以便可以将节省出的系统资源用于处理大量端口的关键的TCP源数据包,从而扩大捕获关键的TCP源数据包的端口范围,进而提高发现新型攻击手段的能力。
为了实现上述目的,本申请提供了以下技术手段:
一种基于蜜罐的数据处理方法,包括:
获取由攻击终端向蜜罐发送的源数据包;
在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;
向所述攻击终端发送所述TCP反馈数据包。
优选的,所述模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包,包括:
依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头;
基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
优选的,所述依据所述预设响应规则并调用应用函数确定所述TCP反馈数据包的TCP包头,包括:
依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头;
调用第二应用函数,确定所述TCP包头中的IP头;
调用第三应用函数,确定所述TCP包头中的MAC头;
将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
优选的,所述依据所述预设响应规则并调用第一应用函数确定所述TCP包头中的TCP头,包括:
依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位;
依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号;
调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号;
将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
优选的,依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位,包括:
在所述预先指定标志位为SYN的情况下,所述反馈标志位为SYN及ACK;
在所述预先指定标志位为ACK及PSH的情况下,若向所述攻击终端发送一个TCP反馈数据包,则所述反馈标志位为RST;若向所述攻击终端发送两个TCP反馈数据包,则第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
优选的,依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号,包括:
在所述预先指定标志位为SYN的情况下,所述TCP头中的反馈序列号为随机数,且,所述反馈确认号为所述源数据包的源序列号加1;
在所述预先指定标志位为ACK及PSH的情况下,所述TCP头中的反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。
优选的,还包括:
在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。
优选的,所述模拟UDP协议构建与所述源数据包对应的UDP反馈数据包,包括:
调用应用函数确定所述UDP反馈数据包的UDP包头;
基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
将所述UDP包头和所述反馈数据组成所述UDP反馈数据包。
优选的,所述调用应用函数确定所述UDP反馈数据包的UDP包头,包括:
调用第一应用函数,确定所述UDP包头中UDP头;
调用第二应用函数,确定所述UDP包头中的IP头;
调用第三应用函数,确定所述UDP包头中的MAC头;
将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
优选的,在获取由攻击终端向蜜罐发送的源数据包之前,还包括:
从各个端口接收若干个攻击终端发送的所有源数据包;
按预设监听规则集过滤掉所有数据包中的非监听源数据包,获得监听源数据包;
对所述监听源数据包中每个源数据包执行如权利要求1所述的方法。
优选的,所述预设监听规则集包括:
全端口监听、指定IP地址监听、指定端口监听和/或指定协议监听。
一种基于蜜罐的数据处理装置,包括:
获取单元,用于获取由攻击终端向蜜罐发送的源数据包;
模拟TCP数据包单元,用于在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;
发送单元,用于向所述攻击终端发送所述TCP反馈数据包。
优选的,所述模拟TCP数据包单元包括:
确定TCP包头单元,用于依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头;
生成单元,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成TCP数据包单元,用于将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
优选的,所述确定TCP包头单元,包括:
确定TCP头单元,用于依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头;
确定IP头单元,用于调用第二应用函数,确定所述TCP包头中的IP头;
确定MAC头单元,用于调用第三应用函数,确定所述TCP包头中的MAC头;
组成TCP包头单元,用于将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
优选的,所述确定TCP头单元,包括:
确定反馈标志位单元,用于依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位;
确定序号单元,用于依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号;
确定端口号单元,用于调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号;
确定单元,用于将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
优选的,确定反馈标志位单元包括:
第一单元,用于在所述预先指定标志位为SYN的情况下,所述反馈标志位为SYN及ACK;
第二单元,用于在所述预先指定标志位为ACK及PSH的情况下,若向所述攻击终端发送一个TCP反馈数据包,则所述反馈标志位为RST;若向所述攻击终端发送两个TCP反馈数据包,则第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
优选的,确定序号单元包括:
第三单元,用于在所述预先指定标志位为SYN的情况下,所述TCP头中的反馈序列号为随机数,且,所述反馈确认号为所述源数据包的源序列号加1;
第四单元,用于在所述预先指定标志位为ACK及PSH的情况下,所述TCP头中的反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。
优选的,还包括:
模拟UDP数据包单元,用于在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。
优选的,所述模拟UDP数据包单元,包括:
确定UDP包头单元,用于调用应用函数确定所述UDP反馈数据包的UDP包头;
生成单元,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成UDP数据包单元,用于将所述UDP包头和所述反馈数据组成所述UDP反馈数据包。
优选的,所述确定UDP包头单元,包括:
确定UDP头单元,用于调用第一应用函数,确定所述UDP包头中UDP头;
确定IP头单元,用于调用第二应用函数,确定所述UDP包头中的IP头;
确定MAC头单元,用于调用第三应用函数,确定所述UDP包头中的MAC头;
组成UDP包头单元,用于将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
优选的,还包括:
获取源数据包单元,用于从各个端口接收若干个攻击终端发送的所有源数据包;
获得监听源数据包单元,用于按预设监听规则集过滤掉所有数据包中的非监听源数据包,获得监听源数据包;
执行单元,用于对所述监听源数据包中每个源数据包执行如权利要求1所述的方法。
优选的,所述预设监听规则集包括:
全端口监听、指定IP地址监听、指定端口监听和/或指定协议监听。
一种基于蜜罐的数据处理系统,包括:
攻击终端和蜜罐;
所述攻击终端,用于向蜜罐发送源数据包;
所述蜜罐,用于获取由攻击终端向蜜罐发送的源数据包;在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;向所述攻击终端发送所述TCP反馈数据包。
通过以上技术手段可以看出本申请具有以下有益效果:
本申请发明人经过分析发现,当TCP源数据包中携带有攻击数据,或者,表示即将传输携带有攻击数据的源数据包时,确定源数据包为关键的TCP源数据包;而TCP源数据包是否携带有攻击数据,或者,是否表示即将传输携带有攻击数据的源数据包,可以通过TCP源数据包的有效标志位来确定。因此,通过TCP源数据包的有效标志位可以确定源数据包是否关键。
本申请发明人分析TCP/IP协议之后,发现一些标志位可以表示TCP源数据包中携带有攻击数据,或者,表示即将传输携带有攻击数据的源数据包,因此,将这些标志位作为预设指定标志位,并用于表示关键的TCP源数据包。
蜜罐在确定源数据包为TCP协议类型之后,便进一步确定源数据包的有效标志位与预先指定标志位是否一致。若源数据包中的有效标志位与预先指定标志位一致,则确定该源数据包为关键的TCP源数据包,因此响应该源数据包生成TCP反馈数据包,然后向攻击终端发送所述TCP反馈数据包。若源数据包中的有效标志位与预先指定标志位不一致,则确定该源数据包为非关键的TCP源数据包,因此不响应该数据包,从而节省蜜罐的系统资源。
本申请蜜罐不再调用TCP/IP协议的应用程序接口来处理所有源数据包,而是仅在源数据包满足预设响应条件时,才模拟TCP/IP协议响应源数据包,否则不响应源数据包。这使得蜜罐可以不响应非关键的TCP源数据包,从而将节省出一部分的系统资源。这部分系统资源可以用于响应其它端口的关键的数据包,从而扩大捕获关键TCP源数据包的端口范围,进而提高发现新型攻击手段的能力。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种基于蜜罐的数据处理方法的流程图;
图2为本申请实施例公开的又一种基于蜜罐的数据处理方法的流程图;
图3为本申请实施例公开的TCP包头的示意图;
图4为本申请实施例公开的又一种基于蜜罐的数据处理方法的流程图;
图5为本申请实施例公开的TCP头的示意图;
图6为本申请实施例公开的又一种基于蜜罐的数据处理方法的流程图;
图7为本申请实施例公开的又一种基于蜜罐的数据处理方法的流程图;
图8为本申请实施例公开的一种基于蜜罐的数据处理装置的结构示意图;
图9为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图10为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图11为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图12为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图13为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图14为本申请实施例公开的又一基于蜜罐的数据处理装置的结构示意图;
图15为本申请实施例公开的一种基于蜜罐的数据处理系统的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请发明人发现蜜罐与攻击终端进行交互过程中,蜜罐会调用TCP/IP协议的应用程序接口来处理源数据包,这会使得蜜罐响应所有的源数据包。但是,针对基于TCP协议类型的TCP源数据包而言,一部分TCP源数据包是对蜜罐分析攻击手段无益的非关键TCP源数据包。若调用TCP/IP协议的应用程序接口来响应所有源数据包,则会将蜜罐一部分系统资源浪费在非关键的TCP源数据包上。
因此,本申请发明人设想:针对关键的TCP源数据包而言,蜜罐可以响应该TCP源数据包,以便蜜罐可以获取更多攻击数据;针对非关键的TCP源数据包而言,蜜罐可以不响应该TCP源数据包,以便节约蜜罐的系统资源。
攻击终端与蜜罐之间基于TCP/IP协议,攻击终端可以通过端口向外发送源数据包,蜜罐通过同样的端口便可以接收蜜罐发送的源数据包。蜜罐可以接收全端口的源数据包,但是受限于系统资源并不能响应全端口的源数据包。因此,现有技术中监听规则集将全端口源数据包进行过滤,仅监听剩余的少量端口的源数据包。
TCP/IP协议总共具有端口号范围从0到65535的65536个端口。由于本申请可以仅仅对关键的TCP数据包进行响应,所以可以节约出较多的系统资源。因此,本申请可以扩大监听端口范围,最大程度上可以实现全端口(0-65535)监听。
为了增加监听端口号的灵活度,本申请设定了预设监听规则集。预设监听规则集可以由技术人员根据自己想要监听的源数据包进行设置,例如,当希望监听全端口的源数据包时,预设监听规则集则为全端口监听;当希望监听某部分端口号的源数据包时,可以设置监听的端口号范围;当希望监听某一个IP地址的源数据包时,则可以设置监听的IP地址,以便从全端口源数据包中过滤出监听IP地址的攻击终端发送的源数据包,等等。
本申请中预设监听规则集可以根据技术人员的需要进行灵活配置,不再像现有技术一样受限于系统资源,而无法监听大量端口的TCP源数据包。由于本申请扩大了捕获关键TCP源数据包的端口范围,所以可以提高发现新型攻击手段的能力。
在介绍本申请的具有内容之前,首先说明TCP源数据包的标志位。TCP源数据包具有6个标志位:URG、ACK、PSH、RST、SYN和FIN。当一个标志位设置为“1”时,表示该标志位有效,当一个标志位设置为“0”时,表示该标志位无效。
其中,URG表示紧急指针字段有效;ACK置位表示确认号字段有效;PSH表示当前报文需要请求推(push)操作;RST置位表示复位TCP连接;SYN用于建立TCP连接时同步序号;FIN用于释放TCP连接时标识发送方比特流结束。
本申请发明人分析TCP/IP协议之后,发现一些标志位可以表示TCP源数据包中携带有攻击数据,或者,表示即将传输携带有攻击数据的源数据包,因此,将这些标志位作为预设指定标志位,并用于表示关键的TCP源数据包。
例如,当TCP源数据包有效标志位为SYN时,表示攻击终端希望与蜜罐建立连接,在建立连接之后便向蜜罐发送攻击数据。因此,当有效标志位为SYN时,表示攻击终端即将传输携带有攻击数据的源数据包。因此,将SYN标志位作为预先指定标志位。再如,TCP源数据包有效标志位为ACK及PSH时,表示该TCP源数据包中包含攻击数据,因此,将ACK及PSH作为预先指定标志位。
当然,还可以将其它的表示TCP源数据包具关键的标志位,作为预先指定标志位,本申请不再一一列举。可以理解的是,预先指定标志位至少包括SYN,和,ACK及PSH。
基于上述设想,本申请提供了一种基于蜜罐的数据处理方法。如图1所示,包括以下步骤:
步骤S101:获取由攻击终端向蜜罐发送的源数据包。
源数据包可以具有两种类型:基于有状态连接的TCP协议类型和基于无状态连接的UDP协议类型。
本申请中源数据包采用七元组格式,即源数据包的包头中包括:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号、目的端口号和协议号。其中,源MAC地址、源IP地址和源端口号均为攻击终端侧的信息,目的MAC地址、目的IP地址和目的端口号均为蜜罐侧的信息。协议号可以表示源数据包使用UDP协议类型还是TCP协议类型。
步骤S102:在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致。
蜜罐在接收源数据包之后提取源数据包的包头中的协议号,若协议号表示源数据包采UDP协议类型,则表示源数据包为UDP源数据包,从而执行UDP源数据包的处理过程(后续实施例中将详细表述)。若协议号表示源数据包采TCP协议类型,则表示源数据包为TCP源数据包,从而执行TCP源数据包的处理过程。
当源数据包为TCP协议类型的TCP源数据包时,TCP源数据包可能对分析攻击手段有益,也可能对分析攻击手段无益。为了进一步验证TCP源数据包的有非关键,蜜罐可以提取源数据包的有效标志位。即,在6个标志位中查找设置为“1”的标志位。
然后判断TCP源数据包中的有效效标志位是否与预先指定标志位一致,若一致,则表示TCP源数据包满足预设响应条件,即TCP源数据包为关键的数据包。若不一致,则表示TCP源数据包不满足预设响应条件,即TCP源数据包为非关键的数据包。
当确定TCP源数据包为关键的数据包后,为了获得更多有益数据包,蜜罐可以响应TCP源数据包。当确定TCP源数据包为非关键的数据包后,为了节省系统资源,蜜罐可以不响应TCP源数据包。
由于本申请未采用条用TCP/IP协议的应用程序接口来响应TCP源数据包,所以,在蜜罐响应TCP源数据包的过程中,蜜罐可以模拟TCP/IP协议构建与源数据包对应的TCP反馈数据包。
下面介绍蜜罐模拟TCP/IP协议构建TCP反馈数据包的具体过程。如图2所示,具体包括以下步骤:
步骤S201:依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头。
TCP反馈数据包由TCP包头和反馈数据两部分组成。参见图3为TCP包头的示意图,从图示中可以看出TCP包头包括TCP头、IP头和MAC头三个部分。参见图4,构建TCP包头的过程包括以下步骤:
步骤S401:依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头。
本步骤的内容较多,将在图6所示的实施例中进行详细描述。
步骤S402:调用第二应用函数,确定所述TCP包头中的IP头。
TP头主要包括发送方的源IP地址和目的方的目的IP地址。TCP反馈数据包是由蜜罐发送至攻击终端的,所以源IP地址为蜜罐的IP地址,目的IP地址为攻击终端的IP地址。
从步骤S101的描述中可知,源数据包是由攻击终端发送至蜜罐的,所以源数据包中源IP地址即为攻击终端的IP地址,目的IP地址即为蜜罐的IP地址。也就是说,TCP反馈数据包的源IP地址和目的IP地址,与源数据包源IP地址和目的IP地址刚好是相反的。
因此,本步骤调用第二应用函数来将源数据包的源IP地址作为TCP反馈数据包的目的IP地址,将源数据包的目的IP地址作为TCP反馈数据包的源IP地址的过程。
步骤S403:调用第三应用函数,确定所述TCP包头中的MAC头。
MAC头主要包括发送方的源MAC地址和目的方的目的MAC地址。TCP包头中的MAC头与IP头的原理类似,即TCP反馈数据包的源MAC地址和目的MAC地址,与源数据包源MAC地址和目的MAC地址刚好是相反的。
因此,本步骤调用第三应用函数来将源数据包的源MAC地址作为TCP反馈数据包的目的MAC地址,将源数据包的目的MAC地址作为TCP反馈数据包的源MAC地址。
步骤S404:将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
在通过上述步骤确定MAC头、IP头和TCP头之后,可以依据图3所示的TCP包头的示意图,将MAC头、IP头和TCP头组成TCP反馈数据包的TCP头。
接着返回图2,进入步骤S202:基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据。
在步骤S101中可知源数据包包括包头和源数据两个部分,源数据即为源数据包中应用层数据,源数据才是攻击终端向蜜罐发送的攻击数据。由于蜜罐是模拟真实服务器的设备,所以在蜜罐上存储有预设蜜罐规则,预设蜜罐规则为若干个源数据以及与之一一对应的反馈数据,反馈数据为模拟真实服务器在接收源数据之后应该向攻击终端发送数据。
因此,在蜜罐接收TCP源数据包之后,可以提取TCP源数据包中的源数据,并依据预设蜜罐规则查找与源数据对应的反馈数据,从而模拟真实服务器生成反馈数据。
步骤S203:将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
在构建TCP包头和反馈数据之后,蜜罐可以将TCP包头和反馈数据这两个部分组成TCP反馈数据包。
接着返回图1,进入步骤S103:向所述攻击终端发送所述TCP反馈数据包。
在步骤S102中确定TCP反馈数据包之后,蜜罐可以向攻击终端发送TCP反馈数据包,以模拟真实服务器响应源数据包的过程。
在图4所示的实施例中并未详细介绍步骤S401,下面详细介绍图4实施例中步骤S401确定所述TCP包头中的TCP头的具体过程。
参见图5为TCP头的组成示意图,由图示可以看出,TCP头包括源端口号、目的端口号、序列号、确认号、6个标志位以及其它内容。其它内容可以由已有的软件程序实现,本实施例不再详细描述。
参见图6,确定TCP头具体包括以下步骤:
步骤S601:依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位。
在TCP/IP协议中三次握手机制,第一次握手为A向B发送有效标志位为SYN的源数据包,这表示A意与B建立连接。第二次握手为B在接收源数据包之后,会向A发送有效标志位为SYN及ACK的反馈数据包,这表示B接收到建立连接请求,可以继续建立连接操作。第三次握手为A向B发送有效标志位ACK的源数据包。至此三次握手机制完成,A与B建立TCP连接。
基于三次握手机制,当预先指定标志位为SYN时,即当攻击终端发送的TCP源数据包中有效标志位为SYN时,蜜罐应该向攻击终端发送有效标志位为SYN及ACK的数据包,所以反馈标志位为SYN及ACK。
当终端向真实服务器发送有效标志位为ACK及PSH的源数据包,则表示该源数据包中携带有数据。真实服务器在接收源数据包会验证数据是否真确,当真实服务器未正确接收源数据包时,真实服务器会向终端发送有效标志位为RST的反馈数据包,以提醒终端重新发送刚才的数据包。当真实服务器正确接收源数据包之后,会向终端发送两个反馈数据包,第一个反馈数据包的有效标志位为ACK,表示服务器已经收到刚才发送的源数据包;第二个反馈数据包的有效标志位为RST,表示进行复位操作。
因此,当预先指定标志位为ACK及PSH时,即当攻击终端向蜜罐发送有效标志位为ACK及PSH的源数据包,蜜罐可以模拟真实服务器以正确接收源数据包的情况。此时,蜜罐可以向攻击终端发送两个TCP反馈数据包,第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
当然,蜜罐也可以模拟服务器未正确接收源数据的情况。此时,蜜罐可以向攻击终端发送一个TCP反馈数据包,TCP反馈数据包的反馈标志位为RST。
步骤S602:依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号。其中,反馈序列号和反馈确认号均为32位。
参见表1,以一个实例来描述三次握手阶段的序列号和确认号。
| 序号 | 方向(有效标志位) | 序列号seq | 确认号ack |
| 1 | A→B(SYN) | a(随机数) | 0 |
| 2 | B→A(SYN+ACK) | b(随机数) | a+1 |
| 3 | A→B(ACK) | a+1 | b+1 |
针对序号1的过程,A向B发起连接请求,以随机数a初始化源数据包的序列号seq,此时源数据的包头中的确认号为0。
针对序号2的过程,B收到A的连接请求后,以一个随机数b初始化反馈数据包的序列号seq,意思是A的链接请求已收到,B方的数据流从b开始。反馈数据包的确认号ack为源数据包的序列号a加1(a+1)。
针对序号3的过程,A收到B的回复之后,再次构建一个源数据包,源数据包的序列号为上次源数据包中序列号a加1(a+1),意思是B的回复A已经收到,A方数据流从(a+1)开始。源数据包此时的确认号ack为反馈数据包的序列号b加1(b+1)。
基于三次握手机制,在所述预先指定标志位为SYN的情况下,蜜罐向攻击终端发送的反馈数据包中的反馈序列号为随机数,所述反馈确认号为源数据包的源序列号加1。详见序号2的执行过程。
参见表2,以一个实例来描述数据传输阶段的序列号和确认号。
针对序号23的过程,B接收到A发来的seq=40000,ack=70000,size=1514的源数据包。
针对序号24的过程,B在接收源数据包之后,也向A发送一个反馈数据包,告知A上个数据包已经收到。反馈序列号以源数据包的确认号ack填充,反馈确认号以源数据包的序列号加上数据包大小(不包括MAC头、IP头和TCP头)
因此,在所述预先指定标志位为ACK及PSH的情况下,所述反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。参见针对序号24的过程。
步骤S603:调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号。
TCP头包括发送方的源端口号和目的方的目的端口号。端口号与图4所示的实施例中的MAC地址与IP地址的原理类似,即TCP反馈数据包的源端口号和目的端口号,与源数据包源端口号和目的端口号刚好是相反的。
因此,本步骤调用第一应用函数来将源数据包的源端口号作为TCP反馈数据包的目的端口号,将源数据包的目的端口号作为TCP反馈数据包的源端口号。
步骤S604:将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
将步骤S601中确定反馈标志位设置有有效标志位,其它标志位设置为无效标志位。将步骤S602中确定反馈序列号和反馈确认号,存储至TCP头的相应位置。将步骤S603中确定的源端口号和目的端口号存储至TCP头的相应位置,然后通过已有的软件程序实现其它内容。通过上述过程完成TCP反馈数据包的TCP头。
通过以上技术手段可以看出本申请具有以下有益效果:
本申请发明人经过分析发现,当TCP源数据包中携带有攻击数据,或者,表示即将传输携带有攻击数据的源数据包时,确定源数据包为关键的TCP源数据包;而TCP源数据包是否携带有攻击数据,或者,是否表示即将传输携带有攻击数据的源数据包,可以通过TCP源数据包的有效标志位来确定。因此,通过TCP源数据包的有效标志位可以确定源数据包是否关键。
本申请发明人分析TCP/IP协议之后,发现一些标志位可以表示TCP源数据包中携带有攻击数据,或者,表示即将传输携带有攻击数据的源数据包,因此,将这些标志位作为预设指定标志位,并用于表示关键的TCP源数据包。
蜜罐在确定源数据包为TCP协议类型之后,便进一步确定源数据包的有效标志位与预先指定标志位是否一致。若源数据包中的有效标志位与预先指定标志位一致,则确定该源数据包为关键的TCP源数据包,因此响应该源数据包生成TCP反馈数据包,然后向攻击终端发送所述TCP反馈数据包。若源数据包中的有效标志位与预先指定标志位不一致,则确定该源数据包为非关键的TCP源数据包,因此不响应该数据包,从而节省蜜罐的系统资源。
本申请蜜罐不再调用TCP/IP协议的应用程序接口来处理所有源数据包,而是仅在源数据包满足预设响应条件时,才模拟TCP/IP协议响应源数据包,否则不响应源数据包。这使得蜜罐可以不响应非关键的TCP源数据包,从而将节省出一部分的系统资源。这部分系统资源可以用于响应其它端口的关键的数据包,从而扩大捕获关键TCP源数据包的端口范围,进而提高发现新型攻击手段的能力。
在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。如图7所示,具体包括以下步骤:
步骤S701:调用应用函数确定所述UDP反馈数据包的UDP包头。
调用第一应用函数,确定所述UDP包头中UDP头,调用第二应用函数,确定所述UDP包头中的IP头;调用第三应用函数,确定所述UDP包头中的MAC头。将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
UDP头主要包括源端口号和目的端口号,IP头主要包括源IP头和目的IP头,MAC头主要包括源MAC地址和目的MAC地址。基于第一应用函数、第二应用函数和第三应用函数来分别确定UDP头、IP头和MAC头;并将MAC头、IP头和UDP头组成UDP包头。
具体执行过程,详见图4所示的实施例,在此不再赘述。
步骤S702:基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据。
该过程已在步骤S202中进行详细描述,在此不再赘述。
步骤S703:将所述UDP包头和所述UDP反馈数据组成所述UDP反馈数据包。
在构建UDP包头和反馈数据之后,蜜罐可以将UDP包头和反馈数据这两个部分组成UDP反馈数据包。
如图8所示,本申请提供一种基于蜜罐的数据处理装置,包括:
获取单元81,用于获取由攻击终端向蜜罐发送的源数据包。
模拟TCP数据包单元82,用于在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致。
发送单元83,用于向所述攻击终端发送所述TCP反馈数据包。
此外,本申请提供一种基于蜜罐的数据处理装置,还包括:
模拟UDP数据包单元84,用于在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。所述发送单元,还用于向所述攻击终端发送所述UDP反馈数据包。
如图9所示,所述模拟TCP数据包单元82包括:
确定TCP包头单元91,用于依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头;
生成单元92,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成TCP数据包单元93,用于将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
其中,所述确定TCP包头单元91,如图10所示,具体包括:
确定TCP头单元101,用于依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头。
确定IP头单元102,用于调用第二应用函数,确定所述TCP包头中的IP头;
确定MAC头单元103,用于调用第三应用函数,确定所述TCP包头中的MAC头。
组成TCP包头单元104,用于将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
其中,所述确定TCP头单元101,如图11所示,具体包括:
确定反馈标志位单元111,用于依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位。
确定序号单元112,用于依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号。
确定端口号单元113,用于调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号。
确定单元114,用于将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
其中,确定反馈标志位单元111,具体包括:
第一单元1111,用于在所述预先指定标志位为SYN的情况下,所述反馈标志位为SYN及ACK。或者,
第二单元1112,用于在所述预先指定标志位为ACK及PSH的情况下,若向所述攻击终端发送一个TCP反馈数据包,则所述反馈标志位为RST;若向所述攻击终端发送两个TCP反馈数据包,则第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
如图13所示,确定序号单元112包括:
第三单元1121,用于在所述预先指定标志位为SYN的情况下,所述TCP头中的反馈序列号为随机数,且,所述反馈确认号为所述源数据包的源序列号加1。
第四单元1122,用于在所述预先指定标志位为ACK及PSH的情况下,所述TCP头中的反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。
如图12所示,模拟UDP数据包单元84,包括:
确定UDP包头单元121,用于调用应用函数确定所述UDP反馈数据包的UDP包头;
生成单元122,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成UDP数据包单元123,用于将所述UDP包头和所述反馈数据组成所述UDP反馈数据包。
其中,所述确定UDP包头单元121,如图13所示,具体包括:
确定UDP头单元131,用于调用第一应用函数,确定所述UDP包头中UDP头;
确定IP头单元132,用于调用第二应用函数,确定所述UDP包头中的IP头;
确定MAC头单元133,用于调用第三应用函数,确定所述UDP包头中的MAC头;
组成UDP包头单元134,用于将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
本申请还提供一种基于蜜罐的数据处理装置,如图14所示,在图8所示的基础上,还包括:
获取源数据包单元141,用于从各个端口接收若干个攻击终端发送的所有源数据包;
获得监听源数据包单元142,用于按预设监听规则集过滤掉所有数据包中的非监听源数据包,获得监听源数据包;其中,所述预设监听规则集包括:全端口监听、指定IP地址监听、指定端口监听和/或指定协议监听。
执行单元143,用于对所述监听源数据包中每个源数据包执行如权利要求1所述的方法。
如图15所示,本申请提供了一种基于蜜罐的数据处理系统,包括:
攻击终端100和蜜罐200;
所述攻击终端100,用于向蜜罐200发送源数据包;
所述蜜罐200,用于获取由攻击终端向蜜罐200发送的源数据包;在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;向所述攻击终端发送所述TCP反馈数据包。
通过以上内容可以看出本申请具有以下有益效果:
本申请蜜罐不再调用TCP/IP协议的应用程序接口来处理所有源数据包,而是仅在源数据包满足预设响应条件时,才模拟TCP/IP协议响应源数据包,否则不响应源数据包。这使得蜜罐可以不响应非关键的TCP源数据包,从而将节省出一部分的系统资源。这部分系统资源可以用于响应其它端口的关键的数据包,从而扩大捕获关键TCP源数据包的端口范围,进而提高发现新型攻击手段的能力。
本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算设备可读取存储介质中。基于这样的理解,本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算设备(可以是个人计算机,服务器,移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (23)
1.一种基于蜜罐的数据处理方法,其特征在于,包括:
获取由攻击终端向蜜罐发送的源数据包;
在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;
向所述攻击终端发送所述TCP反馈数据包。
2.如权利要求1所述的方法,其特征在于,所述模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包,包括:
依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头;
基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
3.如权利要求2所述的方法,其特征在于,所述依据所述预设响应规则并调用应用函数确定所述TCP反馈数据包的TCP包头,包括:
依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头;
调用第二应用函数,确定所述TCP包头中的IP头;
调用第三应用函数,确定所述TCP包头中的MAC头;
将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
4.如权利要求3所述的方法,其特征在于,所述依据所述预设响应规则并调用第一应用函数确定所述TCP包头中的TCP头,包括:
依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位;
依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号;
调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号;
将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
5.如权利要求4所述的方法,其特征在于,依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位,包括:
在所述预先指定标志位为SYN的情况下,所述反馈标志位为SYN及ACK;
在所述预先指定标志位为ACK及PSH的情况下,若向所述攻击终端发送一个TCP反馈数据包,则所述反馈标志位为RST;若向所述攻击终端发送两个TCP反馈数据包,则第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
6.如权利要求4所述的方法,其特征在于,依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号,包括:
在所述预先指定标志位为SYN的情况下,所述TCP头中的反馈序列号为随机数,且,所述反馈确认号为所述源数据包的源序列号加1;
在所述预先指定标志位为ACK及PSH的情况下,所述TCP头中的反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。
7.如权利要求1所述的方法,其特征在于,还包括:
在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。
8.如权利要求7所述的方法,其特征在于,所述模拟UDP协议构建与所述源数据包对应的UDP反馈数据包,包括:
调用应用函数确定所述UDP反馈数据包的UDP包头;
基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
将所述UDP包头和所述反馈数据组成所述UDP反馈数据包。
9.如权利要求8所述的方法,其特征在于,所述调用应用函数确定所述UDP反馈数据包的UDP包头,包括:
调用第一应用函数,确定所述UDP包头中UDP头;
调用第二应用函数,确定所述UDP包头中的IP头;
调用第三应用函数,确定所述UDP包头中的MAC头;
将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
10.如权利要求1所述的方法,其特征在于,在获取由攻击终端向蜜罐发送的源数据包之前,还包括:
从各个端口接收若干个攻击终端发送的所有源数据包;
按预设监听规则集过滤掉所有数据包中的非监听源数据包,获得监听源数据包;
对所述监听源数据包中每个源数据包执行如权利要求1所述的方法。
11.如权利要求10所述的方法,其特征在于,所述预设监听规则集包括:
全端口监听、指定IP地址监听、指定端口监听和/或指定协议监听。
12.一种基于蜜罐的数据处理装置,其特征在于,包括:
获取单元,用于获取由攻击终端向蜜罐发送的源数据包;
模拟TCP数据包单元,用于在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;
发送单元,用于向所述攻击终端发送所述TCP反馈数据包。
13.如权利要求12所述的装置,其特征在于,所述模拟TCP数据包单元包括:
确定TCP包头单元,用于依据预设响应规则并调用应用函数,确定所述TCP反馈数据包的TCP包头;
生成单元,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成TCP数据包单元,用于将所述TCP包头和所述反馈数据组成所述TCP反馈数据包。
14.如权利要求13所述的装置,其特征在于,所述确定TCP包头单元,包括:
确定TCP头单元,用于依据所述预设响应规则并调用第一应用函数,确定所述TCP包头中的TCP头;
确定IP头单元,用于调用第二应用函数,确定所述TCP包头中的IP头;
确定MAC头单元,用于调用第三应用函数,确定所述TCP包头中的MAC头;
组成TCP包头单元,用于将所述MAC头、所述IP头和所述TCP头,组成所述TCP反馈数据包的TCP包头。
15.如权利要求14所述的装置,其特征在于,所述确定TCP头单元,包括:
确定反馈标志位单元,用于依据所述预设响应规则中的标志位规则,确定与所述预先指定标志位对应的反馈标志位;
确定序号单元,用于依据所述预设响应规则中的序号规则,确定所述TCP头中的反馈序列号和反馈确认号;
确定端口号单元,用于调用所述第一应用函数确定所述TCP头中的源端口号和目的端口号;
确定单元,用于将包括所述反馈序列号、反馈确认号、有效标志位为所述反馈标志位、源端口号和目的端口号的TCP头,确定为所述TCP反馈数据包的TCP头。
16.如权利要求15所述的装置,其特征在于,确定反馈标志位单元包括:
第一单元,用于在所述预先指定标志位为SYN的情况下,所述反馈标志位为SYN及ACK;
第二单元,用于在所述预先指定标志位为ACK及PSH的情况下,若向所述攻击终端发送一个TCP反馈数据包,则所述反馈标志位为RST;若向所述攻击终端发送两个TCP反馈数据包,则第一个TCP反馈数据包的反馈标志位为ACK,第二个TCP反馈数据包的反馈标志位为RST。
17.如权利要求15所述的装置,其特征在于,确定序号单元包括:
第三单元,用于在所述预先指定标志位为SYN的情况下,所述TCP头中的反馈序列号为随机数,且,所述反馈确认号为所述源数据包的源序列号加1;
第四单元,用于在所述预先指定标志位为ACK及PSH的情况下,所述TCP头中的反馈序列号为源数据包的源确认号,所述反馈确认号为源数据包的源序列号与源数据长度的和值。
18.如权利要求12所述的装置,其特征在于,还包括:
模拟UDP数据包单元,用于在确定所述源数据包为UDP协议类型的情况下,模拟UDP协议构建与所述源数据包对应的UDP反馈数据包。
19.如权利要求18所述的装置,其特征在于,所述模拟UDP数据包单元,包括:
确定UDP包头单元,用于调用应用函数确定所述UDP反馈数据包的UDP包头;
生成单元,用于基于所述预设蜜罐规则,生成与所述源数据包中的源数据对应的反馈数据;
组成UDP数据包单元,用于将所述UDP包头和所述反馈数据组成所述UDP反馈数据包。
20.如权利要求19所述的装置,其特征在于,所述确定UDP包头单元,包括:
确定UDP头单元,用于调用第一应用函数,确定所述UDP包头中UDP头;
确定IP头单元,用于调用第二应用函数,确定所述UDP包头中的IP头;
确定MAC头单元,用于调用第三应用函数,确定所述UDP包头中的MAC头;
组成UDP包头单元,用于将所述MAC头、所述IP头和所述UDP头,组成所述UDP反馈数据包的UDP包头。
21.如权利要求12所述的装置,其特征在于,还包括:
获取源数据包单元,用于从各个端口接收若干个攻击终端发送的所有源数据包;
获得监听源数据包单元,用于按预设监听规则集过滤掉所有数据包中的非监听源数据包,获得监听源数据包;
执行单元,用于对所述监听源数据包中每个源数据包执行如权利要求1所述的方法。
22.如权利要求21所述的装置,其特征在于,所述预设监听规则集包括:
全端口监听、指定IP地址监听、指定端口监听和/或指定协议监听。
23.一种基于蜜罐的数据处理系统,其特征在于,包括:
攻击终端和蜜罐;
所述攻击终端,用于向蜜罐发送源数据包;
所述蜜罐,用于获取由攻击终端向蜜罐发送的源数据包;在确定所述源数据包为TCP协议类型的情况下,仅在所述源数据包满足预设响应条件下,模拟TCP/IP协议构建与所述源数据包对应的TCP反馈数据包;其中,所述预设响应条件为所述源数据包中的有效标志位与预先指定标志位一致;向所述攻击终端发送所述TCP反馈数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610018434.3A CN106961414B (zh) | 2016-01-12 | 2016-01-12 | 一种基于蜜罐的数据处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610018434.3A CN106961414B (zh) | 2016-01-12 | 2016-01-12 | 一种基于蜜罐的数据处理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106961414A true CN106961414A (zh) | 2017-07-18 |
| CN106961414B CN106961414B (zh) | 2020-12-25 |
Family
ID=59481365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610018434.3A Active CN106961414B (zh) | 2016-01-12 | 2016-01-12 | 一种基于蜜罐的数据处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106961414B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110351238A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 工控蜜罐系统 |
| CN110417710A (zh) * | 2018-04-27 | 2019-11-05 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN113179280A (zh) * | 2021-05-21 | 2021-07-27 | 深圳市安之天信息技术有限公司 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
| CN114500086A (zh) * | 2022-02-22 | 2022-05-13 | 山东云天安全技术有限公司 | 蜜罐安全状态确定方法、电子设备和计算机可读存储介质 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| WO2008049908A2 (fr) * | 2006-10-27 | 2008-05-02 | Alcatel Lucent | Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies |
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
| WO2011090466A1 (en) * | 2010-01-20 | 2011-07-28 | Symantec Corporation | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
| US8127356B2 (en) * | 2003-08-27 | 2012-02-28 | International Business Machines Corporation | System, method and program product for detecting unknown computer attacks |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN104539594A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 |
| CN104660584A (zh) * | 2014-12-30 | 2015-05-27 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
| CN105025028A (zh) * | 2015-07-28 | 2015-11-04 | 中国工程物理研究院计算机应用研究所 | 基于流量分析的ip黑洞发现方法 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
-
2016
- 2016-01-12 CN CN201610018434.3A patent/CN106961414B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8127356B2 (en) * | 2003-08-27 | 2012-02-28 | International Business Machines Corporation | System, method and program product for detecting unknown computer attacks |
| WO2008049908A2 (fr) * | 2006-10-27 | 2008-05-02 | Alcatel Lucent | Dispositif de controle de paquets, pour un routeur d'un reseau de communication, en vue du routage de paquets suspects vers des equipements d'analyse dedies |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
| CN101567887A (zh) * | 2008-12-25 | 2009-10-28 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| WO2011090466A1 (en) * | 2010-01-20 | 2011-07-28 | Symantec Corporation | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
| CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
| CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
| CN105227515A (zh) * | 2014-05-28 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 网络入侵阻断方法、装置及系统 |
| CN104539594A (zh) * | 2014-12-17 | 2015-04-22 | 南京晓庄学院 | 融合DDoS威胁过滤与路由优化的SDN架构、系统及工作方法 |
| CN104660584A (zh) * | 2014-12-30 | 2015-05-27 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
| CN105025028A (zh) * | 2015-07-28 | 2015-11-04 | 中国工程物理研究院计算机应用研究所 | 基于流量分析的ip黑洞发现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 徐兰云: "增强蜜罐系统安全性的相关技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110417710A (zh) * | 2018-04-27 | 2019-11-05 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
| CN110417710B (zh) * | 2018-04-27 | 2022-05-17 | 腾讯科技(北京)有限公司 | 攻击数据捕获方法、装置及存储介质 |
| CN110351238A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 工控蜜罐系统 |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN110830457B (zh) * | 2019-10-25 | 2022-06-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN113179280A (zh) * | 2021-05-21 | 2021-07-27 | 深圳市安之天信息技术有限公司 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
| CN113179280B (zh) * | 2021-05-21 | 2022-11-22 | 深圳安天网络安全技术有限公司 | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 |
| CN114500086A (zh) * | 2022-02-22 | 2022-05-13 | 山东云天安全技术有限公司 | 蜜罐安全状态确定方法、电子设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106961414B (zh) | 2020-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106961414A (zh) | 一种基于蜜罐的数据处理方法、装置及系统 | |
| Fall et al. | Tcp/ip illustrated | |
| CN101938532B (zh) | 基于udp的穿越nat设备的方法及系统 | |
| Groves et al. | An IBM second generation RISC processor architecture | |
| CN110557354B (zh) | 一种实现节点间通讯的方法、装置及电子设备 | |
| CN102438331B (zh) | 一种移动终端通过手机上网的方法及系统 | |
| CN103931162B (zh) | 处理业务的方法和网络设备 | |
| WO2018121589A1 (zh) | 数据链路的检测方法、装置及系统 | |
| CN108881425B (zh) | 一种数据包处理方法及系统 | |
| CN1917512B (zh) | 一种建立对等直连通道的方法 | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN110011935A (zh) | 数据流处理方法及相关设备 | |
| CN103763374A (zh) | 基于udt的数据传输方法及装置 | |
| US20090154464A1 (en) | Method and system for simulating network address translation | |
| Velinov et al. | Power consumption analysis of the new covert channels in coap | |
| JP7401564B2 (ja) | 通信方法及び関連デバイス | |
| CN107104919A (zh) | 防火墙设备、流控制传输协议sctp报文的处理方法 | |
| CN102427452A (zh) | 同步报文发送方法、装置和网络设备 | |
| Kokkonen et al. | Analysis of approaches to internet traffic generation for cyber security research and exercise | |
| CN101102269A (zh) | 一种gprs网络中的数据负载均衡方法 | |
| CN103348740A (zh) | 一种接入处理方法、设备和系统 | |
| Meena | Implementation of SNMP (simple network management protocol) on sensor network | |
| CN110995680A (zh) | 虚拟机报文接收方法、系统、装置及计算机可读存储介质 | |
| Nwankwo et al. | Hybrid MQTT-COAP Protocol for Data Communication in Internet of Things | |
| WO2022100442A1 (zh) | 传输数据的方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |