CN111556061B - 网络伪装方法、装置、设备及计算机可读存储介质 - Google Patents
网络伪装方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111556061B CN111556061B CN202010359689.2A CN202010359689A CN111556061B CN 111556061 B CN111556061 B CN 111556061B CN 202010359689 A CN202010359689 A CN 202010359689A CN 111556061 B CN111556061 B CN 111556061B
- Authority
- CN
- China
- Prior art keywords
- address
- packet
- attack
- attacker
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络伪装方法、装置、设备及计算机可读存储介质,所述网络伪装方法包括以下步骤:在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;将所述第一攻击包发送至所述真实主机;在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。本发明在捕获到攻击者发送的第一个攻击包时,将攻击包中的目的地址转换成真实主机的真实地址,将攻击者定向至真实主机,并且使真实主机准确响应攻击者,从而提升了蜜罐或者蜜网的仿真度,解决了传统的蜜罐或者蜜网容易被攻击者识破的技术问题。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络伪装方法、装置、设备及计算机可读存储介质。
背景技术
蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可称为诱捕网络,由蜜墙和若干个蜜罐组成。蜜网技术实质上还是一类研究型的高交互蜜罐技术,其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于蜜网构成了一个黑客诱捕网络体系架构。
蜜网有着三大核心需求,即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险,其中,数据控制由蜜墙完成。蜜墙对流入的网络包不做任何限制,使得黑客能攻入蜜网,但对黑客使用蜜网向外发起的攻击进行严格控制。数据控制的方法包括攻击包抑制和对外连接数限制两种手段,攻击包抑制主要针对使用少量连接即能奏效的已知攻击(如权限提升攻击等),检测出从蜜网向外发送的含有攻击特征的攻击数据包,发出报警信息并对攻击数据包加以抛弃或修改,使其不能对第三方网络构成危害,对外连接数限制则主要针对网络探测和拒绝服务攻击。现有技术中,在传统的蜜网或者蜜罐捕获到攻击者时,会引导攻击者向蜜罐攻击,由于这种中低交互的蜜罐或者蜜罐网络的仿真度低,因此导致传统的蜜罐或者蜜网容易被攻击者识别出来。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种网络伪装方法、装置、设备及计算机可读存储介质,旨在解决传统的蜜罐或者蜜网容易被攻击者识破的技术问题。
为实现上述目的,本发明提供一种网络伪装方法,所述网络伪装方法包括以下步骤:
在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;
将所述第一攻击包发送至所述真实主机;
在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。
可选地,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
将所述第二攻击包发送至所述蜜罐;
在接收到与所述第二攻击包相匹配的第二应答包,则将所述第二应答包的源地址中的地址信息转换成所述伪装地址,并将所述第二应答包发送至所述攻击者。
可选地,所述在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址的步骤之后,还包括:
存储所述第二攻击包,对所述第二攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
若所述攻击特征的威胁级别达预设级别,则隔离所述攻击者。
可选地,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
存储所述第一攻击包,以对所述第一攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
基于所述攻击数据,确定告警信息,并输出所述告警信息。
可选地,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
建立真实应答包会话表;
所述在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址的步骤包括:
在接收到与所述第一攻击包相匹配的第一应答包时,基于所述真实应答包会话表,将所述第一应答包的源地址中的地址信息转换成所述伪装地址。
可选地,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤包括:
在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源;
若所述数据包包含虚假服务资源,则将所述数据包作为第一攻击包,并将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
可选地,所述在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源的步骤之前,还包括:
配置所述虚假服务资源对应的伪装策略表,所述伪装策略表用于检测所述数据包。
此外,为实现上述目的,本发明还提供一种网络伪装装置,所述网络伪装装置包括:
第一转换模块,用于在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;
发送模块,用于将所述第一攻击包发送至所述真实主机;
第二转换模块,用于在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。
此外,为实现上述目的,本发明还提供一种网络伪装设备,所述网络伪装设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络伪装程序,所述网络伪装程序被所述处理器执行时实现如上述的网络伪装方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络伪装程序,所述网络伪装程序被处理器执行时实现如上述的网络伪装方法的步骤。
本发明通过在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;将所述第一攻击包发送至所述真实主机;在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。在本实施例中,在捕获到攻击者发送的第一个攻击包时,将攻击者对应的攻击包中的目的地址转换成真实主机的真实地址,将攻击者定向至真实主机;真实主机向新型网络伪装装置发送携带有真实主机信息的第一应答包,新型网络伪装装置在接收到真实主机发送的第一应答包,将第一应答包源地址中的地址信息转换成攻击者先前攻击的伪装地址,以使真实主机可以准确回应,并且真实主机向攻击者回复携带有真实主机信息的应答包,提升了蜜罐或者蜜网的仿真度,解决了传统的蜜罐或者蜜网容易被攻击者识破的技术问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的网络伪装设备结构示意图;
图2为本发明网络伪装方法第一实施例的流程示意图;
图3为本发明网络伪装方法对应的一种系统架构图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的网络伪装设备结构示意图。
本发明实施例网络伪装设备可以是PC,也可以是智能手机、平板电脑、电子书阅读器、便携计算机等具有显示功能的可移动式终端设备。
如图1所示,该网络伪装设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,网络伪装设备还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。
本领域技术人员可以理解,图1中示出的网络伪装设备结构并不构成对网络伪装设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络伪装程序。
在图1所示的网络伪装设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的网络伪装程序。
在本实施例中,网络伪装设备包括:存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的网络伪装程序,其中,处理器1001调用存储器1005中存储的网络伪装程序时,并执行以下操作:
在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;
将所述第一攻击包发送至所述真实主机;
在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
将所述第二攻击包发送至所述蜜罐;
在接收到与所述第二攻击包相匹配的第二应答包,则将所述第二应答包的源地址中的地址信息转换成所述伪装地址,并将所述第二应答包发送至所述攻击者。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
存储所述第二攻击包,对所述第二攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
若所述攻击特征的威胁级别达预设级别,则隔离所述攻击者。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
存储所述第一攻击包,以对所述第一攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
基于所述攻击数据,确定告警信息,并输出所述告警信息。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
建立真实应答包会话表;
所述在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址的步骤包括:
在接收到与所述第一攻击包相匹配的第一应答包时,基于所述真实应答包会话表,将所述第一应答包的源地址中的地址信息转换成所述伪装地址。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源;
若所述数据包包含虚假服务资源,则将所述数据包作为第一攻击包,并将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
进一步地,处理器1001可以调用存储器1005中存储的网络伪装程序,还执行以下操作:
配置所述虚假服务资源对应的伪装策略表,所述伪装策略表用于检测所述数据包。
本发明还提供一种网络伪装方法,参照图2,图2为本发明网络伪装方法第一实施例的流程示意图。
在本实施例中,该网络伪装方法包括以下步骤:
本发明提出的网络伪装方法应用于新型网络伪装装置,参照图3,该新型网络伪装装置串联接入目标保护设备,且在新型网络伪装装置的旁路接入蜜罐,新型网络伪装装置还接入真实主机。新型网络伪装装置用于将匹配伪装策略的攻击包转换目的网络地址后,重定向到真实主机或者蜜罐,并建立反方向的真实应答会话表或者蜜罐应答包会话表,以分别将真实主机应答包以及蜜罐应答包转换源网络地址后,重定向回攻击者;新型网络伪装装置还用于记录攻击者对真实主机或者蜜罐产生的攻击行为,并对攻击行为进行分析。蜜罐用于给攻击者提供伪装服务和网络访问响应,蜜罐还可以攻击者对蜜罐产生的攻击行为进行记录。真实主机用于给攻击者提供伪装服务和网络访问响应。
其中,新型网络伪装装置包括解析模块、地址转换模块和分析模块,其中,解析模块用于解析攻击包以提取攻击包中的头信息和攻击数据,地址转换模块用于将匹配伪装策略的攻击包转换目的网络地址以及将真实主机应答包和蜜罐应答包,分析模块用于对攻击数据进行分析。蜜罐可以是单个蜜罐也可以是多个蜜罐,通常新型网络伪装装置的旁路所接入的蜜罐为多个蜜罐,在本实施例中,蜜罐的数量不作限定,目标保护设备可以是云平台设备或者网络终端设备。
步骤S10,在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;
步骤S20,将所述第一攻击包发送至所述真实主机;
一实施例中,当新型网络伪装装置接收到攻击者发送的攻击包时,此时说明攻击者被新型网络伪装装置在网络中释放的虚假服务资源所捕获,新型网络伪装装置中的解析模块解析并提取攻击包中的头信息,得到攻击包中的头信息,以对攻击包中的头信息进行检测;新型网络伪装装置检测头信息,以确定该攻击包是否为首次接收的第一攻击包。若该攻击包为该攻击者发送的第一个攻击包,则新型网络伪装装置中的地址转换模块修改第一攻击包中的目的地址,将第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址,并将第一攻击包发送至该真实主机,从而将第一攻击包定向至真实主机。
进一步地,新型网络伪装装置对攻击包中的头信息进行检测,包括对头信息中的源地址、目的地址、端口号以及协议号进行检测,其中,源地址包括源MAC地址和源IP地址,目的地址包括目的MAC地址和目的IP地址,端口号包括TCP或UDP的源端口号和目的端口号,协议号包括IP协议号。
进一步地,基于攻击包中的头信息,以确定该攻击包是否为首次接收到的第一攻击包。若检测头信息中的源地址与目的地址的组合为新型网络伪装装置第一次接收到的,则攻击包为该攻击者发送的第一攻击包。
进一步地,在新型网络伪装装置接收到数据包时,对数据包进行检测,以检测数据包是否为攻击者发送的攻击包。具体地,新型网络伪装装置在接收到任何的网络设备发送的数据包,则解析数据包并对数据包进行分析,检测数据包是否包含虚假服务资源。解析数据包得到数据包的头信息,对头信息的源地址进行分析,若头信息的源地址属于虚假地址,则数据包为攻击者发送的攻击包,其中,虚假服务资源包括虚假地址。
步骤S30,在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。
一实施例中,新型网络伪装装置将攻击者的第一攻击包发送至真实主机,真实主机接收攻击者的第一攻击包。在真实主机中,在接收到第一攻击包后,回复第一攻击包对应的第一应答包,向新型网络伪装装置发送第一应答包,以对接收到第一攻击包进行应答,其中,第一应答包即为真实主机应答包。
新型网络伪装装置接收真实主机发送的第一应答包,并对第一应答包进行检测,检测第一应答包头信息中的目的地址与第一攻击包中的源地址是否相同,以检测第一应答包是否与第一攻击包相匹配。若新型网络伪装装置检测到第一应答包头信息中的目的地址与第一攻击包中的源地址相同,则第一应答包与攻击包相匹配,那么新型网络伪装装置修改第一应答包中的源地址,将第一应答包的源地址中的地址信息转换成攻击者攻击的伪装地址,以供真实主机准确响应攻击者。具体地,新型网络伪装装置中的地址转换模块将第一应答包的源地址中的真实地址转换成攻击者攻击的伪装地址。由于第一应答包中的源地址为真实主机的真实地址,因此,为防止攻击者发现应答包实际上来源于其它主机,因此新型网络伪装装置修改第一应答包中的源地址,将第一应答包的源地址中的地址信息转换成伪装地址。
本实施例提出的网络伪装方法,通过在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;将所述第一攻击包发送至所述真实主机;在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。在本实施例中,在捕获到攻击者发送的第一个攻击包时,新型网络伪装装置接收攻击者发送的第一攻击包,将攻击者对应的攻击包中的目的地址转换成真实主机的真实地址,将攻击者定向至真实主机;真实主机向新型网络伪装装置发送携带有真实主机信息的第一应答包,新型网络伪装装置在接收到真实主机发送的第一应答包,将第一应答包源地址中的地址信息转换成攻击者先前攻击的伪装地址,以使真实主机可以准确回应,并且真实主机向攻击者回复携带有真实主机信息的应答包,提升了蜜罐或者蜜网的仿真度,解决了传统的蜜罐或者蜜网容易被攻击者识破的技术问题。
基于第一实施例,提出本发明网络伪装方法的第二实施例,在本实施例中,步骤S10之后,还包括:
步骤a,在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
步骤b,将所述第二攻击包发送至所述蜜罐;
步骤c,在接收到与所述第二攻击包相匹配的第二应答包,则将所述第二应答包的源地址中的地址信息转换成所述伪装地址,并将所述第二应答包发送至所述攻击者。
一实施例中,在接收到攻击者发送的第一攻击包之后,若后续接收到同一攻击者发送的第二攻击包,说明真实主机通过第一应答包与攻击者的验证成功,并且攻击者继续向伪装地址对应的虚假主机发送第二攻击包,则在再接收到该攻击者发送的第二攻击包时,新型网络伪装装置中的解析模块解析并提取第二攻击包中的头信息,得到第二攻击包中的头信息;新型网络伪装装置中的地址转换模块修改第二攻击包的头信息中的目的地址,将第二攻击包的目的地址中的伪装地址转换成蜜罐的真实地址,将第二攻击包发送至该真实地址对应的蜜罐,从而将攻击者发送的第一攻击包之后的第二攻击包定向至蜜罐,从而使攻击者转移攻击蜜罐,而非继续攻击真实主机。
新型网络伪装装置将攻击者后续发送的第二攻击包发送至蜜罐,使得蜜罐接收攻击者发送的第二攻击包。在蜜罐中,在接收到第二攻击包后,回复攻击包对应的第二应答包,向新型网络伪装装置发送第二应答包,以使蜜罐对接收到的第二攻击包进行应答,其中,第二应答包即为蜜罐应答包。
新型网络伪装装置接收蜜罐发送的第二应答包,并对第二应答包进行检测,检测第二应答包头信息中的目的地址与第二攻击包中的源地址是否相同,以检测第二应答包是否与第二攻击包相匹配。若新型网络伪装装置检测到第二应答包头信息中的目的地址与第二攻击包中的源地址相同,则第二应答包与第二攻击包相匹配,那么新型网络伪装装置修改第二应答包中的源地址,将第二应答包的源地址中的地址信息转换成攻击者攻击的伪装地址,以供蜜罐准确响应攻击者。具体地,新型网络伪装装置中的地址转换模块将第二应答包的源地址中的蜜罐真实地址转换成攻击者攻击的伪装地址。由于第二应答包中的源地址为蜜罐的真实地址,因此,为防止攻击者发现应答包实际上来源于蜜罐,因此新型网络伪装装置对第二应答包中的源地址进行修改,将第一应答包的源地址中的地址信息转换成伪装地址。
进一步地,一实施例中,所述在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址的步骤之后,还包括:
步骤d,存储所述第二攻击包,对所述第二攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
步骤e,若所述攻击特征的威胁级别达预设级别,则隔离所述攻击者。
一实施例中,新型网络伪装装置还包括威胁分析模块,新型网络伪装装置将接收到的第二攻击包进行备份以及存储;新型网络伪装装置中的解析模块对存储的第二攻击包进行解析,得到攻击数据,新型网络伪装装置中的威胁分析模块对攻击数据进行分析,以获取攻击数据中的攻击特征,其中,攻击特征可以包括攻击事件发生的时间、攻击阶段、危害程度或者威胁级别等。若检测到攻击特征的威胁级别达到预设的级别,则基于第二攻击包头信息中的源地址中存储的攻击者的地址信息,定位攻击者在网络中的设备位置,以隔离攻击者所在的设备。隔离攻击者所在的设备的手段可以是断开目标设备的网络连接,以防止隐匿于目标设备的攻击者对其他的设备实施网络攻击。
进一步地,一实施例中,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
步骤f,存储所述第一攻击包,以对所述第一攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
步骤g,基于所述攻击数据,确定告警信息,并输出所述告警信息。
一实施例中,新型网络伪装装置还包括威胁分析模块,新型网络伪装装置在接收到攻击者发送的第一攻击包时,也对攻击者发送的第一攻击包进行备份和存储;新型网络伪装装置中的解析模块对存储的第一攻击包进行解析,得到第一攻击包的攻击数据,新型网络伪装装置中的威胁分析模块对第一攻击包的攻击数据进行分析,以获取第一攻击包中包含的攻击特征,其中,攻击特征可以包括攻击事件发生的时间、攻击阶段、危害程度或者威胁级别等。在对第一攻击包进行备份存储的同时,新型网络伪装装置产生告警信息,其中,告警信息包含第一攻击包的位置信息。新型网络伪装装置将告警信息发送至设备管理中心,以使设备管理中心获取告警信息以及告警信息中存储的攻击者的设备位置,以供设备管理中心对攻击者所在设备进行实时监控和防御。
进一步地,一实施例中,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
步骤h,建立真实应答包会话表;
步骤i,所述在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址的步骤包括:
在接收到与所述第一攻击包相匹配的第一应答包时,基于所述真实应答包会话表,将所述第一应答包的源地址中的地址信息转换成所述伪装地址。
一实施例中,新型网络伪装装置在接收到攻击者发送的第一攻击包,修改第一攻击包中的目的地址的同时,建立真实应答包会话表。在真实主机中,在接收到第一攻击包后,回复第一攻击包对应的第一应答包,向新型网络伪装装置发送第一应答包,以对接收到第一攻击包进行应答,其中,第一应答包即为真实主机应答包。
新型网络伪装装置接收真实主机发送的第一应答包,对第一应答包进行检测,检测第一应答包头信息中的目的地址与第一攻击包中的源地址是否相同,以检测第一应答包是否与第一攻击包相匹配。若新型网络伪装装置检测到第一应答包头信息中的目的地址与第一攻击包中的源地址相同,则第一应答包与攻击包相匹配,那么通过真实应答包会话表,新型网络伪装装置修改第一应答包中的源地址,将第一应答包的源地址中的地址信息转换成攻击者攻击的伪装地址,以供真实主机准确响应攻击者。具体地,新型网络伪装装置中的地址转换模块将第一应答包的源地址中的真实地址转换成攻击者攻击的伪装地址。由于第一应答包中的源地址为真实主机的真实地址,因此,为防止攻击者发现应答包实际上来源于其它主机,因此新型网络伪装装置修改第一应答包中的源地址,将第一应答包的源地址中的地址信息转换成伪装地址。
进一步地,一实施例中,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤包括:
步骤j,在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源;
步骤k,若所述数据包包含虚假服务资源,则将所述数据包作为第一攻击包,并将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
一实施例中,新型网络伪装装置接入目标保护设备所在网络,基于ARP欺骗技术在网络中伪装出大量伪装主机,伪装主机即为虚假服务资源,从而在网络中释放大量虚假服务资源,以引诱攻击者,如将网络中的空闲网络资源配置成虚假服务资源。新型网络伪装装置在接收到任何的网络设备发送的数据包时,解析数据包并对数据包进行分析,检测数据包是否包含虚假服务资源。解析数据包得到数据包的头信息,对头信息的源地址进行分析,若头信息的源地址属于虚假地址,则数据包中包含虚假服务资源;若数据包包含虚假服务资源,且数据包为攻击者发送的第一攻击包,则将第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
进一步地,一实施例中,所述在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源的步骤之前,还包括:
步骤l,配置所述虚假服务资源对应的伪装策略表,所述伪装策略表用于检测所述数据包。
一实施例中,在新型网络伪装装置中预先配置虚假服务资源对应的伪装策略表。新型网络伪装装置在接收到任何的网络设备发送的数据包时,解析数据包,并对数据包进行分析,通过伪装策略表检测数据包是否包含虚假服务资源。解析数据包得到数据包的头信息,对头信息的源地址进行分析,若头信息的源地址属于虚假地址,则数据包中包含虚假服务资源。
本实施例提出的网络伪装方法,通过在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;将所述第二攻击包发送至所述蜜罐;在接收到与所述第二攻击包相匹配的第二应答包,则将所述第二应答包的源地址中的地址信息转换成所述伪装地址,并将所述第二应答包发送至所述攻击者。在本实施例中,在当攻击者被捕获时,将除第一攻击包之外的其余攻击包中的目的地址转换成蜜罐的真实地址,以直接将除第一攻击包之外的其余攻击包重定向到蜜罐;并且修改蜜罐发送的第二应答包中的源地址,将第二应答包中的源地址修改成攻击者攻击的伪装地址,从而使得蜜罐可以准确对攻击者做出响应,从而防止蜜罐被攻击者识破。
此外,本发明实施例还提出一种网络伪装装置,所述网络伪装装置包括:
第一转换模块,用于在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址;
发送模块,用于将所述第一攻击包发送至所述真实主机;
第二转换模块,用于在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址,并将所述第一应答包发送至所述攻击者。
可选地,所述第一转换模块,还用于:
在接收到所述攻击者发送的所述第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
将所述第二攻击包发送至所述蜜罐;
在接收到与所述第二攻击包相匹配的第二应答包,则将所述第二应答包的源地址中的地址信息转换成所述伪装地址,并将所述第二应答包发送至所述攻击者。
可选地,所述第一转换模块,还用于:
存储所述第二攻击包,对所述第二攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
若所述攻击特征的威胁级别达预设级别,则隔离所述攻击者。
可选地,所述第一转换模块,还用于:
存储所述第一攻击包,以对所述第一攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
基于所述攻击数据,确定告警信息,并输出所述告警信息。
可选地,所述第一转换模块,还用于:
建立真实应答包会话表;
所述在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述伪装地址的步骤包括:
在接收到与所述第一攻击包相匹配的第一应答包时,基于所述真实应答包会话表,将所述第一应答包的源地址中的地址信息转换成所述伪装地址。
可选地,所述第一转换模块,还用于:
在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源;
若所述数据包包含虚假服务资源,则将所述数据包作为第一攻击包,并将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
可选地,所述第一转换模块,还用于:
配置所述虚假服务资源对应的伪装策略表,所述伪装策略表用于检测所述数据包。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络伪装程序,所述网络伪装程序被处理器执行时实现如上述中任一项所述的网络伪装方法的步骤。
本发明计算机可读存储介质具体实施例与上述网络伪装方法的各实施例基本相同,在此不再详细赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络伪装方法,其特征在于,所述网络伪装方法包括以下步骤:
在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址,所述目的地址包括目的MAC地址和目的IP地址;
将所述第一攻击包发送至所述真实主机;
在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述第一攻击包的目的地址中的伪装地址,并将所述第一应答包发送至所述攻击者,所述源地址包括源MAC地址和源IP地址;
在接收到所述攻击者发送的第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
将所述第二攻击包发送至所述蜜罐。
2.如权利要求1所述的网络伪装方法,其特征在于,所述将所述第二攻击包发送至所述蜜罐的步骤之后包括:
在接收到与所述第二攻击包相匹配的第二应答包时,将所述第二应答包的源地址中的地址信息转换成所述第二攻击包的目的地址中的伪装地址,并将所述第二应答包发送至所述攻击者。
3.如权利要求1所述的网络伪装方法,其特征在于,所述在接收到所述攻击者发送的第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址的步骤之后,还包括:
存储所述第二攻击包,对所述第二攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
若所述攻击特征的威胁级别达预设级别,则隔离所述攻击者。
4.如权利要求1所述的网络伪装方法,其特征在于,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
存储所述第一攻击包,以对所述第一攻击包对应的攻击数据进行分析,以捕获所述攻击者的攻击特征;
基于所述攻击数据,确定告警信息,并输出所述告警信息。
5.如权利要求1所述的网络伪装方法,其特征在于,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤之后,还包括:
建立真实应答包会话表;
所述在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述第一攻击包的目的地址中的伪装地址的步骤包括:
在接收到与所述第一攻击包相匹配的第一应答包时,基于所述真实应答包会话表,将所述第一应答包的源地址中的地址信息转换成所述第一攻击包的目的地址中的伪装地址。
6.如权利要求1至5任一项所述的网络伪装方法,其特征在于,所述在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址的步骤包括:
在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源;
若所述数据包包含虚假服务资源,则将所述数据包作为第一攻击包,并将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址。
7.如权利要求6所述的网络伪装方法,其特征在于,所述在首次接收到网络设备发送的数据包时,检测所述数据包是否包含虚假服务资源的步骤之前,还包括:
配置所述虚假服务资源对应的伪装策略表,所述伪装策略表用于检测所述数据包。
8.一种网络伪装装置,其特征在于,所述网络伪装装置包括:
第一转换模块,用于在首次接收到攻击者发送的第一攻击包时,将所述第一攻击包的目的地址中的伪装地址转换成真实主机的真实地址,所述目的地址包括目的MAC地址和目的IP地址;
发送模块,用于将所述第一攻击包发送至所述真实主机;
第二转换模块,用于在接收到与所述第一攻击包相匹配的第一应答包时,将所述第一应答包的源地址中的地址信息转换成所述第一攻击包的目的地址中的伪装地址,并将所述第一应答包发送至所述攻击者,所述源地址包括源MAC地址和源IP地址;
所述第一转换模块还用于在接收到所述攻击者发送的第二攻击包时,将所述第二攻击包的目的地址中的伪装地址转换成蜜罐的蜜罐地址;
所述发送模块还用于将所述第二攻击包发送至所述蜜罐。
9.一种网络伪装设备,其特征在于,所述网络伪装设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络伪装程序,所述网络伪装程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络伪装方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络伪装程序,所述网络伪装程序被处理器执行时实现如权利要求1至7中任一项所述的网络伪装方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359689.2A CN111556061B (zh) | 2020-04-29 | 2020-04-29 | 网络伪装方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010359689.2A CN111556061B (zh) | 2020-04-29 | 2020-04-29 | 网络伪装方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111556061A CN111556061A (zh) | 2020-08-18 |
| CN111556061B true CN111556061B (zh) | 2022-07-12 |
Family
ID=72004280
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010359689.2A Active CN111556061B (zh) | 2020-04-29 | 2020-04-29 | 网络伪装方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111556061B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531258B (zh) * | 2020-11-05 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 网络攻击行为的处理方法和装置、存储介质及电子设备 |
| CN114285589A (zh) * | 2021-01-05 | 2022-04-05 | 广州非凡信息安全技术有限公司 | 主动引流攻击流量、伪装响应的方法、终端及系统 |
| CN113794674B (zh) * | 2021-03-09 | 2024-04-09 | 北京沃东天骏信息技术有限公司 | 用于检测邮件的方法、装置和系统 |
| CN115701029A (zh) * | 2021-07-16 | 2023-02-07 | 台达电子工业股份有限公司 | 网络封包处理装置及网络封包处理方法 |
| CN113660252B (zh) * | 2021-08-12 | 2023-05-16 | 江苏亨通工控安全研究院有限公司 | 主动防御系统及方法 |
| CN114465746B (zh) * | 2021-09-28 | 2022-11-08 | 北京卫达信息技术有限公司 | 一种网络攻击控制方法及系统 |
| CN114448731B (zh) * | 2022-04-07 | 2022-08-05 | 广州锦行网络科技有限公司 | 蜜罐部署方法、装置、设备及计算机可读介质 |
| CN114978618A (zh) * | 2022-05-06 | 2022-08-30 | 国网湖北省电力有限公司信息通信公司 | 一种在真实信息中随机加入虚假信息的网络伪装方法、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
-
2020
- 2020-04-29 CN CN202010359689.2A patent/CN111556061B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN109347881A (zh) * | 2018-11-30 | 2019-02-15 | 东软集团股份有限公司 | 基于网络欺骗的网络防护方法、装置、设备及存储介质 |
| CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111556061A (zh) | 2020-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111556061B (zh) | 网络伪装方法、装置、设备及计算机可读存储介质 | |
| US11757844B2 (en) | Smart proxy for a large scale high-interaction honeypot farm | |
| US11757936B2 (en) | Large scale high-interactive honeypot farm | |
| US10805325B2 (en) | Techniques for detecting enterprise intrusions utilizing active tokens | |
| US11722509B2 (en) | Malware detection for proxy server networks | |
| CN111526132B (zh) | 攻击转移方法、装置、设备及计算机可读存储介质 | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| CN110213212B (zh) | 一种设备的分类方法和装置 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN103051617A (zh) | 识别程序的网络行为的方法、装置及系统 | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
| CN112600852B (zh) | 漏洞攻击处理方法、装置、设备及存储介质 | |
| CN111385376A (zh) | 一种终端的非法外联监测方法、装置、系统及设备 | |
| CN113179280B (zh) | 基于恶意代码外联行为的欺骗防御方法及装置、电子设备 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
| US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
| CN111541701B (zh) | 攻击诱捕方法、装置、设备及计算机可读存储介质 | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| US20220231990A1 (en) | Intra-lan network device isolation | |
| CN116760607A (zh) | 蜜罐诱捕节点的建立方法及装置、介质、设备 | |
| US10237287B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| CN103067360A (zh) | 程序网络行为识别方法及系统 | |
| US11683337B2 (en) | Harvesting fully qualified domain names from malicious data packets |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |