CN110995763A - 一种数据处理方法、装置、电子设备和计算机存储介质 - Google Patents
一种数据处理方法、装置、电子设备和计算机存储介质 Download PDFInfo
- Publication number
- CN110995763A CN110995763A CN201911368549.5A CN201911368549A CN110995763A CN 110995763 A CN110995763 A CN 110995763A CN 201911368549 A CN201911368549 A CN 201911368549A CN 110995763 A CN110995763 A CN 110995763A
- Authority
- CN
- China
- Prior art keywords
- proxy node
- address
- routing information
- terminal
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 26
- 230000015654 memory Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 14
- 238000013519 translation Methods 0.000 claims description 13
- 238000005538 encapsulation Methods 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 19
- 230000002159 abnormal effect Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 239000003999 initiator Substances 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 description 2
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提出了一种数据处理方法、装置、电子设备和计算机存储介质,该方法包括:接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;根据所述路由信息,对所述第一流量进行IP溯源。如此,可以接收代理节点发送的第一流量,直接根据第一流量的路由信息便可以进行IP溯源,无需基于特定的互联网协议实现,即,本发明实施例中的IP溯源方法无需适配上层互联网协议。
Description
技术领域
本申请涉及计算机安全技术,尤其涉及一种数据处理方法、装置、电子设备和计算机存储介质。
背景技术
地址级溯源如网际互连协议(Internet Protocol,IP)溯源通常是指寻找网络事件发起者的相关信息,通常用于网络攻击、非法内容传播时对发起者的查找;这里,IP溯源的实现方式可以是:在服务器端将监测到的源IP为流量发起者的IP;在相关技术中,IP溯源都是基于特定的互联网协议才能实现,如果采用除特定的协议外的其它互联网协议进行通信,则IP溯源不能实现,即,相关技术中IP溯源的适用的场景较少。
发明内容
本发明实施例期望提供数据处理的技术方案。
本发明实施例提供了一种数据处理方法,应用于蜜罐服务端,所述方法包括:
接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
根据所述路由信息,对所述第一流量进行IP溯源。
可选地,所述接收终端的代理节点发送的第一流量,包括:
通过所述代理节点与所述蜜罐服务端之间建立的连接,接收所述代理节点发送的第一流量。
可选地,所述建立的连接为通用路由封装协议(Generic RoutingEncapsulation,GRE)隧道。
可选地,所述GRE隧道的两端的IP地址处于同一网段。
可选地,所述第一流量是所述代理节点通过反向代理路由至所述蜜罐服务端的。
可选地,所述第一流量的路由信息是所述代理节点对所述第一流量的目的地址进行网络地址转换后得到的。
可选地,所述方法还包括:
获取所述第一流量的回复报文,根据所述第一流量的路由信息中的源IP地址,将所述回复报文发送至所述代理节点;所述代理节点,还用于将所述回复报文转发至所述终端。
可选地,所述回复报文是所述代理节点对所述回复报文的目的地址进行网络地址转换后转发至所述终端的。
可选地,根据所述第一流量的路由信息中的源IP地址,将所述回复报文发送至所述代理节点,包括:
根据所述第一流量的路由信息中的源IP地址,建立所述回复报文的第一路由信息,根据所述回复报文的第一路由信息,将所述回复报文发送至所述代理节点。
可选地,所述方法还包括:获取所述第一流量的回复报文;
所述回复报文的目的IP地址是代理节点的IP地址时,建立第二路由信息,在第二路由信息中,目的IP地址为代理节点的IP地址;
根据所述第二路由信息,将所述回复报文发送至所述代理节点。
本发明实施例还提供了一种数据处理装置,应用于蜜罐服务端,所述装置包括:确定模块和处理模块,其中,
确定模块,用于接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
处理模块,用于根据所述路由信息,对所述第一流量进行IP溯源。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意一种数据处理方法。
本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种数据处理方法。
本发明实施例提出的数据处理方法、装置、电子设备和计算机存储介质中,蜜罐服务端接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;根据所述路由信息,对所述第一流量进行IP溯源。可以看出,本发明实施例中,蜜罐服务端可以接收代理节点发送的第一流量,直接根据第一流量的路由信息便可以进行IP溯源,也就是说,在代理节点与蜜罐服务端能够通信时,本发明实施例中IP溯源仅需要第一流量的路由信息便可以实现,无需基于特定的互联网协议实现,即,本发明实施例中的IP溯源方法无需适配上层互联网协议,可以适用于各类互联网系统,扩展了本发明实施例的应用场景。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,这些附图示出了符合本发明的实施例,并与说明书一起用于说明本发明的技术方案。
图1为本发明实施例的一个应用场景的示意图;
图2为本发明实施例中终端和服务器的连接方式示意图;
图3为本发明实施例中安全资源池的结构示意图;
图4为本发明实施例的数据处理方法的流程图;
图5为本发明实施例中判断终端是否被攻击的流程图;
图6为本发明实施例的数据处理方法的一个具体实现流程的示例图;
图7为本发明实施例的处理装置的组成结构示意图;
图8为本发明实施例的电子设备的结构示意图。
具体实施方式
在相关技术中,IP溯源都是基于特定的互联网协议才能实现,在第一种实现方式中,对于超文本传输协议(HyperText Transfer Protocol,HTTP)协议,可以基于XFF头(X-Forwarded-For)字段确定HTTP报文中携带的发起者的IP地址,并可以在服务器端解析和记录该IP地址;在第二种实现方式中,对于代理协议(ProxyProtocol),可以通过对传输控制协议(Transmission Control Protocol,TCP)增加一个标记,来实现源IP地址的传递,如此,在会话握手阶段记录源IP地址,从而实现IP溯源。
在第一种实现方式中,由于XFF头仅支持HTTP协议,因而,第一种实现方式对其它的互联网协议不能适用;在第二种实现方式中,需要通信双方均支持代理协议,即,第二种实现方式对其它的互联网协议不能适用;可见,相关技术中,IP溯源适用的场景较少。
针对上述技术问题,提出本发明实施例的技术方案。以下结合附图及实施例,对本发明实施例进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明实施例记载的技术方案可以任意组合的方式实施。
需要说明的是,在本发明实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
例如,本发明实施例提供的数据处理方法包含了一系列的步骤,但是本发明实施例提供的数据处理方法不限于所记载的步骤,同样地,本发明实施例提供的数据处理装置包括了一系列模块,但是本发明实施例提供的数据处理装置不限于包括所明确记载的模块,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的模块。
本发明实施例可以基于终端和/或服务器实现,这里,终端可以是瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统,等等。服务器可以是小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等;。
服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
图1为本发明实施例的一个应用场景的示意图,如图1所示,终端与服务器形成通信连接,本发明实施例并不对终端与服务器的连接方式进行限定;当用户通过终端访问网络时,可以通过与终端的人机交互向终端输入需要访问的网页的名称或地址,终端可以根据需要访问的网页对应的IP地址,向对应的服务器发送访问请求;服务器接收的访问请求后,可以向终端发送访问请求对应的回复报文,终端可以根据相应的回复报文向用户显示相应网页的内容。
图2为本发明实施例中终端和服务器的连接方式示意图,如图2所示,终端在确定需要访问的网页对应的IP地址,可以通过代理节点向服务器发送访问请求,代理节点与终端处于同一业务网段中;具体地,在终端向代理节点访问请求后,代理节点可以将代理请求转发至服务器;服务器可以将回复报文通过代理节点发送至终端。
可选地,上述服务器可以是蜜罐服务端或其它电子设备。这里,蜜罐服务端可以是采用蜜罐技术的电子设备,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的终端、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
蜜罐服务端可以位于安全资源池中,安全资源池是基于软件定义安全技术实现的安全服务化交付的平台;运营方只要通过标准X86服务器搭配安全资源池系统,就能以服务的形式向租户提供丰富的安全服务,大部分服务以安全组件的形式提供,比如vAF、vSSL、vAD、vDAS等。
图3为本发明实施例中安全资源池的结构示意图,如图3所示,安全资源池还可以包括蜜罐,蜜罐服务端与蜜罐形成通信连接,蜜罐服务端可以将接收的数据发送至蜜罐,蜜罐可以根据接收到的数据,生成对应的日志信息;蜜罐还可以根据接收到的数据生成对应的回复报文,并将回复报文和日志信息发送至蜜罐服务端;在一实施方式中,上述安全资源池还可以包括日志中心,蜜罐服务端可以与日志中心形成通信连接,蜜罐服务端可以将接收的日志信息发送至日志中心,日志中心记录接收的日志信息;这里,日志信息可以包括:蜜罐接收到的数据的类型、蜜罐接收的数据的来源、蜜罐接收数据的时间等。
图4为本发明实施例的数据处理方法的流程图,如图4所示,该流程可以包括:
步骤401:接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
这里,代理节点可以伪装成正常业务节点,在实际实施时,代理节点的作用是:可以将业务网段内的异常流量引向蜜罐服务端,在具体的示例中,在至少一个终端的IP地址与代理节点的IP地址均处于同一业务网段时,可以称上述至少一个终端与代理节点处于同一业务网段中,正常情况下,处于同一业务网段中的终端的用户确认了代理节点的上述作用,可以获知代理节点不是正确的访问外部网络的节点,不会通过访问代理节点来访问外部网络的节点,即,处于同一业务网段中的终端不会主动访问代理节点;当处于同一业务网段中的终端被攻击时,被攻击的终端可能会扫描于同一业务网段的其它终端,并尝试攻击上述其它终端的常见服务;例如,处于同一业务网段中的终端受到拒绝服务攻击、利用型攻击、信息收集型攻击、假消息攻击或口令攻击时,被攻击的终端可能会扫描于同一业务网段的其它终端,并尝试攻击上述其它终端,例如,对上述其它终端的服务进行数据篡改或权限篡改。
图5为本发明实施例中判断终端是否被攻击的流程图,如图5所示,该流程可以包括:
步骤4011:代理节点判断是否接收到来自同一业务网段内的流量,如果是则执行步骤4012,如果否,则结束流程。
步骤4012:确定与代理节点处在同一业务网段的终端被攻击。
参照前述记载的内容,当理节点接收到来自同一业务网段内的流量时,可以认为这些流量为异常流量,从而,可以确认与代理节点处在同一业务网段的终端被攻击;这里,异常流量可以是各种类型的数据,本发明实施例对此并不进行限制。
在一实施方式中,代理节点可以通过反向代理将来自终端的流量引向蜜罐服务端,对于终端而言,代理节点相当于目标服务器,即,终端直接访问代理节点,便可以获取目标服务器的资源,目标服务器可以为终端需要通过访问获取资源的服务器;在具体实现时,蜜罐服务端可以基于蜜罐技术伪装成目标服务器,代理节点在接收到终端的流量时,通过反向代理可以将来自终端的流量引向蜜罐服务端。可选地,第一流量是代理节点通过反向代理路由至蜜罐服务端的,第一流量可以是各种类型的数据,本发明实施例对此并不进行限制;也就是说,即,代理节点在接收到第一流量时,可以通过反向代理将第一流量引向蜜罐服务端;具体地,在代理节点采用反向代理方式时,对于终端而言,代理节点相当于目标服务器,因而,如果代理节点在通过反向代理接收到第一流量,则可以认为第一流量是要发送至目标服务器的流量,此时,可以将第一流量引向与代理节点连接的蜜罐服务端。如此,通过反向代理技术,易于实现将第一流量引向蜜罐服务端,从而,便于后续蜜罐服务端对第一流量进行后续处理。
这里,终端与代理节点可以形成通信连接,本发明实施例中,并不对终端与代理节点的连接方式进行限定。
在一实施方式中,代理节点接收第一流量的源IP地址可以为异常终端的IP地址,异常终端可以为向代理节点发送第一流量的终端。
在一实施方式中,第一流量的路由信息还可以包括第一流量对应的目的地址、下一跳信息等。
在一实施方式中,第一流量的路由信息是代理节点对第一流量的目的地址进行网络地址转换后得到的,即,代理节点在接收到来自终端的第一流量后,可以对第一流量的目的地址进行网络地址转换,从而将第一流量引向蜜罐服务端;网络地址转换(NetworkAddress Translation,NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写IP地址的技术。示例性地,代理节点可以对第一流量的目的地址进行目的地址转换(Destination Network Address Translation,DNAT),将第一流量的目的地址由代理节点的IP地址转换为蜜罐服务端的IP地址,从而,将第一流量引向蜜罐服务端,如此,通过DNAT,易于实现蜜罐服务端对第一流量的接收,从而,便于后续蜜罐服务端对第一流量进行后续处理。
对于蜜罐服务端接收代理节点发送的第一流量的实现方式,示例性地,蜜罐服务端,可以通过代理节点与蜜罐服务端之间建立的连接,接收代理节点发送的第一流量。
本发明实施例中,并不对上述建立的连接的种类进行限制,只要确保代理节点与蜜罐服务端能够进行数据交互即可;示例性地,上述建立的连接为GRE隧道,GRE是一种隧道协议,其根本功能就是要实现隧道功能,通过隧道连接的两个远程网络就如同直连,GRE在两个远程网络之间模拟出直连链路,从而使网络间达到直连;通过建立的GRE隧道,可以较为容易地实现代理节点与蜜罐服务端之间的直连。
可选地,GRE隧道的两端的IP地址处于同一网段,如此,本发明实施例可以通过使用GRE隧道,将代理节点与蜜罐服务端模拟在相同的网络环境中;在具体实现时,在建立GRE隧道时,可以在GRE的IP池中选出一对未使用的IP对;具体地,GRE的IP池存储有多个IP对,每个IP对可以表示处于同一网段的两个不同的IP地址,对于不同的代理节点,均可以与对应的蜜罐服务端建立GRE隧道,在任意一个代理节点与对应的蜜罐服务端建立GRE隧道时,可以从GRE的IP池存储的多个IP中选取出一个IP对,并将选取出的IP对标记为已使用;然后,当另一个代理节点与对应的蜜罐服务端建立GRE隧道时,需要在GRE的IP池存储的多个未使用的IP对(未标记为已使用)中选取出一个IP对。当在GRE的IP池中选出一对未使用的IP对后,可以将上述选取的IP对应用于GRE隧道两端,即,将上述选取的IP对应用于代理节点和蜜罐服务端。
步骤402:根据所述路由信息,对所述第一流量进行IP溯源。
在实际应用中,蜜罐服务端可以根据第一流量的路由信息,确定代理节点接收所述第一流量时的源IP地址,进而实现对第一流量的IP溯源。
进一步地,蜜罐服务端可以接收的第一流量发送至蜜罐,蜜罐可以对第一流量的信息进行记录,生成第一流量对应的日志信息,蜜罐还可以根据第一流量生成对应的回复报文,并将回复报文和日志信息发送至蜜罐服务端;在一实施方式中,上述安全资源池还可以包括日志中心,蜜罐服务端可以与日志中心形成通信连接,蜜罐服务端可以将接收的日志信息发送至日志中心,日志中心记录接收的日志信息。
在实际应用中,上述安全资源池中的蜜罐可以是支持至少一种互联网协议的蜜罐,蜜罐服务端可以根据自身采用的互联网协议,向相应的蜜罐发送第一流量;在具体的示例中,上述安全资源池中的蜜罐包括但不限于:HTTP蜜罐、FTP蜜罐、安全外壳协议(SecureShell,SSH)蜜罐、结构化查询语言(Structured Query Language,SQL)蜜罐,这里,HTTP蜜罐可以为支持HTTP协议的蜜罐,FTP蜜罐可以为支持FTP协议的蜜罐,SSH蜜罐可以为支持SSH协议的蜜罐,SQL蜜罐可以为支持SQL协议的蜜罐。
在实际应用中,步骤401至步骤402可以基于蜜罐服务端的处理器实现,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital SignalProcessing Device,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central ProcessingUnit,CPU)、控制器、微控制器、微处理器中的至少一种。
可以看出,本发明实施例中,蜜罐服务端可以接收代理节点发送的第一流量,直接根据第一流量的路由信息便可以进行IP溯源,也就是说,在代理节点与蜜罐服务端能够通信时,本发明实施例中IP溯源仅需要第一流量的路由信息便可以实现,无需基于特定的互联网协议实现,即,本发明实施例中的IP溯源方法无需适配上层互联网协议,可以适用于各类互联网系统,扩展了本发明实施例的应用场景。
在一实施方式中,在接收终端的代理节点发送的第一流量后,上述流程还可以包括:
步骤A:获取第一流量的回复报文,根据第一流量的路由信息中的源IP地址,将回复报文发送至代理节点;
步骤B:代理节点将回复报文转发至终端。
在实际应用中,步骤A可以基于蜜罐服务端的处理器等实现;蜜罐服务端在获取到第一流量的回复报文后,可以根据第一流量的路由信息中的源IP地址,确定出与该源IP地址对应的终端和代理节点,将回复报文发送至代理节点。
在代理节点与蜜罐服务端建立有GRE隧道的情况下,蜜罐服务端可以将第一流量的回复报文通过GRE隧道返回至代理节点。
在一实施方式中,蜜罐服务端可以根据第一流量的路由信息中的源IP地址,建立上述回复报文的第一路由信息,上述回复报文的第一路由信息可以表示将回复报文发送至第一流量的路由信息中的源IP地址的路由;因而,蜜罐服务端可以根据上述回复报文的第一路由信息,将上述回复报文发送至代理节点。
在一个具体的示例中,在蜜罐服务端接收到回复报文后,如果回复报文的在目的IP地址是代理节点所处业务网段中任意一个终端的IP地址时,可以基于建立的GRE隧道增加第一路由信息,在该第一路由信息中,第一路由信息中的下一跳为代理节点IP,如果,回复报文的目的IP地址是代理节点的IP地址,则需要增加另一个第二路由信息,该第二路由信息中,目的IP地址为代理节点的IP地址;在具体实现时,可以基于第二路由信息和默认网关实现蜜罐服务端至代理节点的信息发送。
本发明实施例中,代理节点,还用于将上述回复报文转发至上述终端;具体实现时,代理节点可以对上述回复报文的目的地址进行网络地址转换,得到网络地址转换结果,代理节点可以根据该网络地址转换结果将上述回复报文转发至上述终端;如此,可以完成终端、代理节点与安全资源池的一次数据交互。
在一实施方式中,代理节点可以对上述回复报文的源地址(即蜜罐服务端的IP地址)进行源地址转换(Source Network Address Translation,SNAT),将上述回复报文的源地址由蜜罐服务端的IP地址转换为代理节点的IP地址,从而,在将上述回复报文转发至终端后,终端可以确认上述回复报文的源IP地址为代理节点的IP地址。
在一种实施方式中,图6为本发明实施例的数据处理方法的一个具体实现流程的示例图,如图6所示,异常终端与代理节点处于同一网段,即,同处于业务网段1中,异常终端可以为向代理节点发送第一流量的终端;代理节点与蜜罐服务端之间可以建立GRE隧道,可以基于GRE隧道实现代理节点与蜜罐服务端的数据交互;蜜罐服务端位于安全资源池中,安全资源池还可以包括日志中心和蜜罐,蜜罐服务端分别与日志中心和蜜罐形成通信连接。
为了实现代理节点将第一流量引向蜜罐服务端,需要建立代理节点与蜜罐服务端之间的GRE隧道,在具体实现时,可以首先根据前述记载的内容,在GRE的IP池中选出一对未使用的IP对,然后,基于该IP对创建GRE隧道;进一步地,还可以在代理节点上设置DNAT策略,并在蜜罐服务端上设置用于路由信息,用于实现对第一流量的回复报文的转发。
在一种实施方式中,对于GRE隧道三层链路,需要保证代理节点的网口IP与蜜罐服务端的IP之间路由可达;在生成了上述IP对后,可以使用LINUX命令创建GRE通道,此时若代理节点IP与蜜罐服务端IP路由可达,则在代理节点上可以根据因特网包探索器(PacketInternet Groper,PING)命令确定:代理节点IP与蜜罐服务端IP是连通的,这里,PING命令是工作在TCP/IP网络体系结构中应用层的一个服务命令,用于测试网络连接是否成功。
基于前述记载的内容,并参照图6,异常终端访问代理节点时,代理节点可以根据异常终端访问代理节点时的第一流量,进行DNAT,将第一流量的目的IP地址从代理节点的IP地址变成蜜罐服务端的IP地址,即在代理节点上新增一条DNAT策略,目的IP地址初始为代理节点IP,源IP地址是业务网段1,此时,可以将目的IP地址修改成蜜罐服务端IP地址。当蜜罐服务端向代理节点发送第一流量的回复报文时,代理节点可以根据上述DNAT策略对回复报文进行SNAT。
下面参照图3和图6示例性地说明IP溯源流程。
异常终端攻击代理节点的服务时,产生的第一流量的源IP地址为异常终端IP地址,目的IP地址为代理节点IP地址,这里,第一流量可以是各种类型的数据,本发明实施例对此并不进行限制,第一流量的源IP地址表示第一流量的来源的IP地址,第一流量的来源可以是异常终端。在代理节点上,将该第一流量目的IP地址转换成蜜罐服务端IP地址,并通过GRE隧道转发到蜜罐服务端。
蜜罐服务端根据收到第一流量的端口,将第一流量转发到蜜罐;蜜罐可以记录日志,蜜罐记录的日志可以包含:第一流量的类型、第一流量的源IP地址、蜜罐接收到第一流量的时间等信息;蜜罐还可以将对应的回复报文发送至蜜罐服务端,蜜罐服务端可以将回复报文转发到代理节点。
代理节点将回包报文的源IP地址改成代理节点IP地址,并将回复报文转发给异常终端;异常终端收到报文,可以以为攻击成功,可以准备下一次攻击。
此时在蜜罐中记录的日志,第一流量的源IP地址为异常终端的IP,因而,达到了IP溯源的效果,且与采用的互联网协议无关。
在前述实施例提出的数据处理方法的基础上,本发明实施例还提出了一种数据处理装置。
图7为本发明实施例的处理装置的组成结构示意图,如图7所示,该装置应用于蜜罐服务端,该装置包括:确定模块701和处理模块702,其中,
确定模块701,用于接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
处理模块702,用于根据所述路由信息,对所述第一流量进行IP溯源。
可选地,所述确定模块701,用于通过所述代理节点与所述蜜罐服务端之间建立的连接,接收所述代理节点发送的第一流量。
可选地,所述建立的连接为GRE隧道。
可选地,所述GRE隧道的两端的IP地址处于同一网段。
可选地,所述第一流量是所述代理节点通过反向代理路由至所述蜜罐服务端的。
可选地,所述第一流量的路由信息是所述代理节点对所述第一流量的目的地址进行网络地址转换后得到的。
可选地,所述处理模块702,还用于获取所述第一流量的回复报文,根据所述第一流量的路由信息中的源IP地址,将所述回复报文发送至所述代理节点;所述代理节点,还用于将所述回复报文转发至所述终端。
可选地,所述回复报文是所述代理节点对所述回复报文的目的地址进行网络地址转换后转发至所述终端的。
可选地,所述处理模块702,用于根据所述第一流量的路由信息中的源IP地址,建立所述回复报文的第一路由信息,根据所述回复报文的第一路由信息,将所述回复报文发送至所述代理节点。
可选地,所述处理模块702,还用于获取所述第一流量的回复报文;所述回复报文的目的IP地址是代理节点的IP地址时,建立第二路由信息,在第二路由信息中,目的IP地址为代理节点的IP地址;根据所述第二路由信息,将所述回复报文发送至所述代理节点。
上述确定模块701和处理模块702均可由位于蜜罐服务端中的处理器实现,上述处理器为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
具体来讲,本实施例中的一种数据处理方法对应的计算机程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种数据处理方法对应的计算机程序指令被一电子设备读取或被执行时,实现前述实施例的任意一种数据处理方法。
基于前述实施例相同的技术构思,参见图8,其示出了本发明实施例提供的一种电子设备80,可以包括:存储器81、处理器82及存储在存储器81上并可在处理器82上运行的计算机程序;其中,
存储器81,用于存储计算机程序和数据;
处理器82,用于执行所述存储器中存储的计算机程序,以实现前述实施例的任意一种数据处理方法。
在实际应用中,上述存储器81可以是易失性存储器(volatile memory),例如RAM;或者非易失性存储器(non-volatile memory),例如ROM,快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器82提供指令和数据。
上述处理器82可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。
在一些实施例中,本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法,其具体实现可以参照上文方法实施例的描述,为了简洁,这里不再赘述
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述
本申请所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (13)
1.一种数据处理方法,其特征在于,应用于蜜罐服务端,所述方法包括:
接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
根据所述路由信息,对所述第一流量进行IP溯源。
2.根据权利要求1所述的方法,其特征在于,所述接收终端的代理节点发送的第一流量,包括:
通过所述代理节点与所述蜜罐服务端之间建立的连接,接收所述代理节点发送的第一流量。
3.根据权利要求2所述的方法,其特征在于,所述建立的连接为通用路由封装协议GRE隧道。
4.根据权利要求3所述的方法,其特征在于,所述GRE隧道的两端的IP地址处于同一网段。
5.根据权利要求2所述的方法,其特征在于,所述第一流量是所述代理节点通过反向代理路由至所述蜜罐服务端的。
6.根据权利要求2所述的方法,其特征在于,所述第一流量的路由信息是所述代理节点对所述第一流量的目的地址进行网络地址转换后得到的。
7.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
获取所述第一流量的回复报文,根据所述第一流量的路由信息中的源IP地址,将所述回复报文发送至所述代理节点;所述代理节点,还用于将所述回复报文转发至所述终端。
8.根据权利要求7所述的方法,其特征在于,所述回复报文是所述代理节点对所述回复报文的目的地址进行网络地址转换后转发至所述终端的。
9.根据权利要求7所述的方法,其特征在于,根据所述第一流量的路由信息中的源IP地址,将所述回复报文发送至所述代理节点,包括:
根据所述第一流量的路由信息中的源IP地址,建立所述回复报文的第一路由信息,根据所述回复报文的第一路由信息,将所述回复报文发送至所述代理节点。
10.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:获取所述第一流量的回复报文;
所述回复报文的目的IP地址是代理节点的IP地址时,建立第二路由信息,在第二路由信息中,目的IP地址为代理节点的IP地址;
根据所述第二路由信息,将所述回复报文发送至所述代理节点。
11.一种数据处理装置,其特征在于,应用于蜜罐服务端,所述装置包括:确定模块和处理模块,其中,
确定模块,用于接收终端的代理节点发送的第一流量,确定所述第一流量的路由信息,所述代理节点与终端的网际互连协议IP地址处于同一网段中,且所述代理节点用于接收来自所述终端的所述第一流量;所述路由信息包括所述代理节点接收所述第一流量时的源IP地址;
处理模块,用于根据所述路由信息,对所述第一流量进行IP溯源。
12.一种电子设备,其特征在于,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器用于运行所述计算机程序时,执行权利要求1至10任一项所述的方法。
13.一种计算机存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至10任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911368549.5A CN110995763B (zh) | 2019-12-26 | 2019-12-26 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911368549.5A CN110995763B (zh) | 2019-12-26 | 2019-12-26 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995763A true CN110995763A (zh) | 2020-04-10 |
CN110995763B CN110995763B (zh) | 2022-08-05 |
Family
ID=70077463
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911368549.5A Active CN110995763B (zh) | 2019-12-26 | 2019-12-26 | 一种数据处理方法、装置、电子设备和计算机存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995763B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060143709A1 (en) * | 2004-12-27 | 2006-06-29 | Raytheon Company | Network intrusion prevention |
CN101188613A (zh) * | 2007-12-11 | 2008-05-28 | 北京大学 | 一种结合路由和隧道重定向网络攻击的方法 |
WO2017060778A2 (en) * | 2015-09-05 | 2017-04-13 | Nudata Security Inc. | Systems and methods for detecting and scoring anomalies |
US9912695B1 (en) * | 2017-04-06 | 2018-03-06 | Qualcomm Incorporated | Techniques for using a honeypot to protect a server |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
-
2019
- 2019-12-26 CN CN201911368549.5A patent/CN110995763B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060143709A1 (en) * | 2004-12-27 | 2006-06-29 | Raytheon Company | Network intrusion prevention |
CN101188613A (zh) * | 2007-12-11 | 2008-05-28 | 北京大学 | 一种结合路由和隧道重定向网络攻击的方法 |
WO2017060778A2 (en) * | 2015-09-05 | 2017-04-13 | Nudata Security Inc. | Systems and methods for detecting and scoring anomalies |
US9912695B1 (en) * | 2017-04-06 | 2018-03-06 | Qualcomm Incorporated | Techniques for using a honeypot to protect a server |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
Non-Patent Citations (1)
Title |
---|
孙睿: "基于恶意代码养殖的DDoS检测系统的设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113949520A (zh) * | 2020-06-29 | 2022-01-18 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN113949520B (zh) * | 2020-06-29 | 2024-02-09 | 奇安信科技集团股份有限公司 | 欺骗诱捕的方法、装置、计算机设备和可读存储介质 |
CN113285926A (zh) * | 2021-04-26 | 2021-08-20 | 南方电网数字电网研究院有限公司 | 面向电力监控系统的蜜罐诱捕方法、装置、计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN110995763B (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112422481B (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
EP3507964B1 (en) | Malware detection for proxy server networks | |
US9491189B2 (en) | Revival and redirection of blocked connections for intention inspection in computer networks | |
EP3092749B1 (en) | Method and apparatus of identifying proxy ip address | |
US20200213359A1 (en) | Generating collection rules based on security rules | |
US10027627B2 (en) | Context sharing between endpoint device and network security device using in-band communications | |
WO2019183522A1 (en) | Traffic forwarding and disambiguation by using local proxies and addresses | |
CN108881328B (zh) | 数据包过滤方法、装置、网关设备及存储介质 | |
CN113783885B (zh) | 一种蜜罐网络代理方法及相关装置 | |
CN113824791A (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
CN110995763B (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
CN111147519A (zh) | 数据检测方法、装置、电子设备和介质 | |
Ortega et al. | Preventing ARP cache poisoning attacks: A proof of concept using OpenWrt | |
Schutijser | Towards automated DDoS abuse protection using MUD device profiles | |
Vanderavero et al. | The honeytank: a scalable approach to collect malicious Internet traffic | |
CN109451094B (zh) | 一种获取源站ip地址方法、系统、电子设备和介质 | |
CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas | |
Schindler et al. | IPv6 network attack detection with HoneydV6 | |
Vitale et al. | Inmap-t: Leveraging TTCN-3 to test the security impact of intra network elements | |
CN114915492B (zh) | 一种流量转发方法、装置、设备及介质 | |
RU2797264C1 (ru) | Способ и система туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения | |
CN113676540B (zh) | 一种连接建立方法及装置 | |
US20240267359A1 (en) | Domain name system (dns) security | |
Foster | " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |