CN112995162A - 网络流量的处理方法及装置、电子设备、存储介质 - Google Patents
网络流量的处理方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN112995162A CN112995162A CN202110179601.3A CN202110179601A CN112995162A CN 112995162 A CN112995162 A CN 112995162A CN 202110179601 A CN202110179601 A CN 202110179601A CN 112995162 A CN112995162 A CN 112995162A
- Authority
- CN
- China
- Prior art keywords
- redirection
- honeypot system
- attack
- redirection message
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络流量的处理方法及装置、电子设备、存储介质,其中,所述方法应用于安全设备,所述方法包括:识别网络流量中的攻击流量;基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络流量的处理方法及装置、电子设备、存储介质。
背景技术
主流的防御web攻击的方式一般为基于流量检测的被动防御,例如,将web应用防护系统(WAF,Web Application Firewall)设备串联或者旁路在网络链路中,对网络中的流量进行检测及阻断。基于流量检测的被动防御的方案只能对攻击技术见招拆招,使得防御技术总是被攻击技术带着走,不能实现主动防御。
发明内容
为解决上述技术问题,本申请实施例提供了一种网络流量的处理方法及装置、电子设备、存储介质。
本申请实施例提供了一种网络流量的处理方法,应用于安全设备,所述方法包括:
识别网络流量中的攻击流量;
基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;
将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
本申请一可选实施方式中,所述蜜罐系统的配置信息包括所述蜜罐系统的地址信息;所述第一重定向报文中包括重定向地址,所述重定向地址为所述蜜罐系统的地址信息。
本申请一可选实施方式中,基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文,包括:
基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文。
本申请一可选实施方式中,所述基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文,包括:
基于蜜罐系统的配置信息构造所述攻击流量的第二重定向报文;所述第二重定向报文中包括重定向地址;
根据所述安全设备的部署模式对所述第二重定向报文进行处理,得到第一重定向报文。
本申请一可选实施方式中,所述将所述第一重定向报文发送至目标客户端,包括:
在所述安全设备的部署模式为反向代理模式的情况下,将所述第一重定向报文发送至目标客户端;或者,
在所述安全设备的部署模式为转发模式的情况下,利用所述第一重定向报文替换目标服务器的响应报文,并将所述第一重定向报文发送至目标客户端。
本申请实施例还提供了一种网络流量的处理方法,应用于蜜罐系统,所述方法包括:
接收到攻击流量的访问的情况下,对所述攻击流量进行收集、分析和/或处理;其中,所述攻击流量由目标客户端基于第一重定向报文引导至蜜罐系统中;所述第一重定向报文为所述安全设备基于所述蜜罐系统的配置信息构造的针对所述攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例还提供了一种网络流量的处理方法,应用于目标客户端,所述方法包括:
接收安全设备发送的第一重定向报文,并依据所述第一重定向报文访问所述蜜罐系统;所述第一重定向报文为所述安全设备基于蜜罐系统的配置信息构造的针对攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例还提供了一种网络流量的处理装置,应用于安全设备,所述处理装置包括:
识别单元,用于识别网络流量中的攻击流量;
构造单元,用于基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;
发送单元,用于将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
本申请一可选实施方式中,所述蜜罐系统的配置信息包括所述蜜罐系统的地址信息;所述第一重定向报文中包括重定向地址,所述重定向地址为所述蜜罐系统的地址信息。
本申请一可选实施方式中,所述构造单元,具体用于:基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文。
本申请一可选实施方式中,所述构造单元,具体用于:基于蜜罐系统的配置信息构造所述攻击流量的第二重定向报文;所述第二重定向报文中包括重定向地址;根据所述安全设备的部署模式对所述第二重定向报文进行处理,得到第一重定向报文。
本申请一可选实施方式中,所述发送单元,具体用于:在所述安全设备的部署模式为反向代理模式的情况下,将所述第一重定向报文发送至目标客户端;或者,在所述安全设备的部署模式为转发模式的情况下,利用所述第一重定向报文替换目标服务器的响应报文,并将所述第一重定向报文发送至目标客户端。
本申请实施例还提供了一种网络流量的处理装置,应用于蜜罐系统,所述装置包括:
处理单元,用于接收到攻击流量的访问的情况下,对所述攻击流量进行收集、分析和/或处理;其中,所述攻击流量由目标客户端基于第一重定向报文引导至蜜罐系统中;所述第一重定向报文为所述安全设备基于所述蜜罐系统的配置信息构造的针对所述攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例还提供了一种网络流量的处理装置,应用于目标客户端,所述装置包括:
接收单元,用于接收安全设备发送的第一重定向报文,并依据所述第一重定向报文访问所述蜜罐系统;所述第一重定向报文为所述安全设备基于蜜罐系统的配置信息构造的针对攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例还提供了一种电子设备,其特征在于,所述电子设备包括:存储器和处理器,所述存储器上存储有计算机可执行指令,所述处理器运行所述存储器上的计算机可执行指令时可实现上述实施例所述的方法。
本申请实施例还提供了一种计算机存储介质,所述存储介质上存储有可执行指令,该可执行指令被处理器执行时实现上述实施例所述的方法。
本申请实施例的技术方案,通过识别网络流量中的攻击流量;基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。如此,能够在攻击者针对真实业务发起攻击的前期,就由安全设备对攻击流量进行重定向,将攻击者引流到蜜罐系统中,提高了蜜罐系统对攻击者进行诱捕的主动性和诱捕的成功率。
附图说明
图1为本申请实施例提供的网络流量的处理方法的流程示意图;
图2为本申请实施例提供的网络流量处理系统的结构组成示意图;
图3为本申请实施例提供的电子设备的示意图。
具体实施方式
为了能够更加详尽地了解本申请的特点与技术内容,下面结合附图对本申请的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请。
除对网络中的流量进行检测及阻断的这种基于流量的被动防御外,还可以利用蜜罐诱捕技术,通过由防御方构造伪装的业务环境(即蜜罐系统),引诱攻击者进入蜜罐系统,进而对攻击者实施更精确的反制措施。可采用的诱捕策略有:1、在真实业务的子网中部署仿真蜜罐;此策略需要依赖攻击者利用扫描、猜测等手段对蜜罐进行访问。2、在真实业务中植入诱捕信息、诱捕链接,指向仿真蜜罐;此策略需要大范围改动真实业务环境,对真实业务的可靠性和可维护性都造成较大影响。
为克服以上策略的缺陷,提出了本申请实施例的各个技术方案。
本申请实施例提供的网络流量的处理方法应用于各种网络安全设备中,网络安全设备部署在网络边界,通过执行本申请实施例提供的网络流量的处理方法的各步骤,能够在攻击者针对真实业务发起攻击的前期,就对攻击者通过互联网发起的攻击流量进行识别,并将识别出的攻击流量重定向到蜜罐系统中,从而提高蜜罐系统对攻击者进行诱捕的主动性和诱捕的成功率。
本申请实施例的技术方案,能够将流量检测技术与蜜罐技术进行结合,通过提供一种包含流量检测技术和蜜罐系统识别技术的联动诱捕方案,在利用检测技术识别出网络流量中的攻击流量后,不进行常规的连接阻断操作,而是对攻击流量进行重定向,将攻击者引导到蜜罐系统中。
本申请由于对于攻击流量的重定向是在网络安全设备上进行,不需要对业务环境进行修改,因而不会对真实业务的可靠性和可维护性产生影响。
针对本申请实施例提供的网络流量的处理方法的各步骤,可以分别由网络安全设备中划分的不同的系统模块来实现,例如对于网络流量中攻击流量的识别可以由网络安全设备中的流量检测系统来实现,对于重定向地址的确定以及重定向报文的转发可以由网络安全设备中的重定向系统来实现。
图1为本申请实施例提供的网络流量的处理方法的流程示意图,如图1所示,所述方法包括如下步骤:
步骤101:识别网络流量中的攻击流量。
网络中存在多种流量,当用户利用互联网访问业务服务器时,会向业务服务器发送访问请求,该访问请求需要经过网络安全设备进行安全检测后再到达业务服务器。网络安全设备在接收到用户的访问请求时,将用户的访问请求作为待检测报文,通过对待检测报文进行检测和分析确定出该待检测报文是否为攻击流量。攻击流量是攻击者通过互联网发起的攻击行为时产生的网络流量,攻击流量会对业务服务器的稳定运行以及数据安全产生威胁。
对于待检测报文是否为攻击流量的确定可以根据攻击流量的情况利用多种方式来实现,若由网络安全设备中的流量检测系统来执行,流量检测系统的类型包括但不限于:WAF、入侵检测系统(IDS,Intrusion Detection System)、感知探针等;对于网络流量的检测识别技术包括但不限于:规则引擎、语法引擎、机器学习引擎等。例如,在一些方案中,可以将待检测报文与预先存储的安全规则进行匹配,若不能够匹配,则确定待检测报文为攻击流量;若能够匹配,则确定待检测报文为安全流量。在另一种方案中,还可以利用预先建立的机器学习模型对待检测报文的行为特征进行分析,确定待检测报文是否为攻击流量,在此不做限定。
步骤102:基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文。
蜜罐系统是专门用于诱捕黑客攻击的一套系统,它可以是物理上存在的一台主机,上面部署各种漏洞和监控系统;也可以是虚拟出来的IP地址、端口和服务,它本身并不存在,但对于网络上的攻击者看来,这台主机是存在的,能够响应、提供服务。蜜罐系统的存在是为了收集和分析网络中的各种扫描、攻击和攻陷等行为,通过监视流入/流出蜜罐系统的网络流量就可以对这些行为进行分析,判断是否可能属于有恶意的网络攻击行为。
本申请一可选实施方式中,所述蜜罐系统的配置信息包括所述蜜罐系统的地址信息;所述第一重定向报文中包括重定向地址,所述重定向地址为所述蜜罐系统的地址信息。
蜜罐系统中可以包括有多种类型的配置信息,且该配置信息能够自动的同步到具有重定向系统功能的网络安全设备中,使得重定向系统能够基于蜜罐系统的配置信息生成重定向页面。例如,针对不同类型的攻击流量,需要采用不同的蜜罐系统来对攻击流量进行分析,在这一情况下,蜜罐系统的配置信息中包括蜜罐系统能够处理的攻击流量的类型以及蜜罐系统的位置等配置信息,基于蜜罐系统的以上两种配置信息即可在识别出攻击流量后,基于该攻击流量的类型确定出与该类型的攻击流量对应的蜜罐系统的位置,该位置可以利用统一资源定位系统(URL,Uniform Resource Locator)来表示。在一些实施方式中,在识别出攻击流量后,通过识别并分析攻击流量中包含的敏感字、敏感字符以及字符串长度中即可确定出该攻击流量的类型,进而基于蜜罐系统的配置信息以及该攻击流量的类型确定出攻击流量的重定向地址,该重定向地址可以为用于对攻击流量进行处理的蜜罐系统的URL地址。
本申请实施例中,第一重定向报文中包括有重定向地址信息,除重定向地址信息外,第一重定向报文中还可以包括有重定向指令。重定向地址信息是基于蜜罐系统的配置信息生成的,重定向指令,如location指令能够用于指示攻击流量按照重定向地址跳转至蜜罐系统。
本申请一可选实施方式中,针对基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文这一步骤,具体可通过如下方式实现:
基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文。
本申请实施例中,网络安全设备可以具有不同的部署模式,部署模式包括:反向代理模式、转发模式、旁路镜像模式等;其中,转发模式包括路由转发模式和透明转发模式。
本申请一可选实施方式中,对于基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文这一过程具体可采用如下方式实现:
基于蜜罐系统的配置信息构造所述攻击流量的第二重定向报文;所述第二重定向报文中包括重定向地址;
根据所述安全设备的部署模式对所述第二重定向报文进行处理,得到第一重定向报文。
具体的,在一些方案中,安全设备在检测出网络流量中的攻击流量后,通过对攻击流量中包含的字段的分析,结合蜜罐系统的配置信息,可首先生成与该攻击流量对应的第二重定向报文。在一些实施方式中,该第二重定向报文为超级文本标记语言(HTML,HyperText Markup Language)格式,该第二重定向报文也可以称之为重定向页面。
本申请实施例中,第一重定向报文一般是基于对第二重定向报文进行数据格式的修改得到的。在一种实施方式中,第二重定向报文为HTML格式,第一重定向报文为超文本传输协议(即HTTP)格式。具体的,若第一重定向报文为HTML格式,在网络安全设备的部署模式为反向代理模式或转发模式时,网络安全设备能够将第二重定向报文构造为具有传输控制协议(TCP,Transmission Control Protocol)格式的第一重定向报文,这里,具有TCP格式的第一重定向报文具体可以为HTTP重定向报文。
步骤103:将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
本申请实施例中,目标客户端即为攻击者发起攻击流量时所使用的客户端。通过将第一重定向报文发送至目标客户端,由于该第一重定向报文中包括重定向地址。目标客户端在接收到包含重定向地址的第一重定向报文后,对第一重定向报文进行解析,使得攻击流量按照第一重定向报文中包含的重定向地址对与该重定向地址对应的蜜罐系统进行访问,达到将攻击流量引导至蜜罐系统的目的。
本申请实施例中,步骤102至步骤103可以由网络安全设备中的重定向系统来执行。重定向系统能够实现的功能包括:重定向报文的生成、重定向报文的修改,具体包括但不限于:基于反向代理的代理改包技术、纯转发部署的非代理改包技术。
本申请一可选实施方式中,对于将所述第一重定向报文发送至目标客户端这一步骤具体包含以下两种方式:
在所述安全设备的部署模式为反向代理模式的情况下,将所述第一重定向报文发送至目标客户端;或者,
在所述安全设备的部署模式为转发模式的情况下,利用所述第一重定向报文替换目标服务器的响应报文,并将所述第一重定向报文发送至目标客户端。
具体的,在安全设备的部署模式为反向代理模式的情况下,攻击流量的直接访问对象为安全设备,安全设备直接基于攻击流量的访问产生响应报文,该响应报文即为基于蜜罐系统的配置信息产生的针对攻击流量的第一重定向报文,而后,安全设备将其生成的第一重定向报文代理转发至客户端。
在安全设备的部署模式为转发模式的情况下,攻击流量的直接访问对象,即攻击流量所要攻击的对象为目标服务器,目标服务器基于攻击流量会产生一个响应报文,网络安全设备通过截取和监控攻击流量的访问请求,生成第一重定向报文,并将业务服务器基于攻击流量产生的响应报文替换为具有TCP格式的第一重定向报文,而后,将该具有TCP格式的第一重定向报文转发至目标客户端。
本申请实施例的技术方案,能够在安全设备的部署模式为反向代理模式或转发模式这两种模式的情况下,实现对攻击流量的重定向,通过提供一种利用HTTP重定向报文进行攻击引流的诱捕技术,将包含有重定向地址的第一重定向报文转发到客户端,使得攻击者在客户端基于第一重定向报文中的重定向地址访问蜜罐系统,由蜜罐系统对攻击者的行为进行监控和分析。这里,蜜罐系统能够实现对攻击流量进行攻击检测以及黑客行为的分析与溯源等。例如,蜜罐系统在接收到攻击流量时,通过实时记录和审计攻击者的攻击流量、行为和数据,了解攻击者的方式、手段和目的,并且完成对攻击溯源、取证等进一步的工作。
本申请实施例的技术方案,通过在攻击者对业务服务器发起攻击时,就由安全设备对攻击流量进行检测,并确定出与该攻击流量对应的蜜罐系统的重定向地址,使得攻击者在客户端通过访问该重定向地址而被引导至蜜罐系统中,由蜜罐系统对攻击者的攻击行为进行分析,提高了蜜罐系统对攻击者进行诱捕的主动性和诱捕的成功率。并且,本申请中流量的识别以及重定向均在网络安全设备上实现,无需对真实的业务网络进行修改或配置,不会对真实业务的可靠性和可维护性产生影响。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例还提供了一种网络流量的处理方法,应用于蜜罐系统,所述方法包括:
接收到攻击流量的访问的情况下,对所述攻击流量进行收集、分析和/或处理。
本申请实施例中,所述攻击流量由目标客户端基于第一重定向报文引导至蜜罐系统中;所述第一重定向报文为所述安全设备基于所述蜜罐系统的配置信息构造的针对所述攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例的技术方案,通过在攻击者对业务服务器发起攻击时,就由安全设备对攻击流量进行检测,并确定出与该攻击流量对应的蜜罐系统的重定向地址,使得攻击者在客户端通过访问该重定向地址而被引导至蜜罐系统中,由蜜罐系统对攻击者的攻击行为进行分析,提高了蜜罐系统对攻击者进行诱捕的主动性和诱捕的成功率,蜜罐系统在接收到攻击流量时,通过实时记录和审计攻击者的攻击流量、行为和数据,了解攻击者的方式、手段和目的,并且完成对攻击溯源、取证等进一步的工作。此外,本申请中流量的识别以及重定向均在网络安全设备上实现,无需对真实的业务网络进行修改或配置,不会对真实业务的可靠性和可维护性产生影响。
本申请实施例还提供了一种网络流量的处理方法,应用于目标客户端,所述方法包括:
接收安全设备发送的第一重定向报文,并依据所述第一重定向报文访问所述蜜罐系统。
本申请实施例中,所述第一重定向报文为所述安全设备基于蜜罐系统的配置信息构造的针对攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例的技术方案,通过在攻击者对业务服务器发起攻击时,就由安全设备对攻击流量进行检测,并基于蜜罐系统的配置信息构造出该攻击流量的重定向报文,该重定向报文中包括重定向地址,并将该重定向报文转发给客户端,使得攻击者在客户端通过访问重定向地址而被引导至蜜罐系统中,由蜜罐系统对攻击者的攻击行为进行分析,提高了蜜罐系统对攻击者进行诱捕的主动性和诱捕的成功率,蜜罐系统在接收到攻击流量时,通过实时记录和审计攻击者的攻击流量、行为和数据,了解攻击者的方式、手段和目的,并且完成对攻击溯源、取证等进一步的工作。此外,本申请中流量的识别以及重定向均在网络安全设备上实现,无需对真实的业务网络进行修改或配置,不会对真实业务的可靠性和可维护性产生影响。
图2为申请实施例提供的一种网络流量的处理装置,应用于安全设备,所述处理装置包括:
识别单元201,用于识别网络流量中的攻击流量;
构造单元202,用于基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;
发送单元203,用于将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
本申请一可选实施方式中,所述蜜罐系统的配置信息包括所述蜜罐系统的地址信息;所述第一重定向报文中包括重定向地址,所述重定向地址为所述蜜罐系统的地址信息。
本申请一可选实施方式中,所述构造单元202,具体用于:基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文。
本申请一可选实施方式中,所述构造单元202,具体用于:基于蜜罐系统的配置信息构造所述攻击流量的第二重定向报文;所述第二重定向报文中包括重定向地址;根据所述安全设备的部署模式对所述第二重定向报文进行处理,得到第一重定向报文。
本申请一可选实施方式中,所述发送单元203,具体用于:在所述安全设备的部署模式为反向代理模式的情况下,将所述第一重定向报文发送至目标客户端;或者,在所述安全设备的部署模式为转发模式的情况下,利用所述第一重定向报文替换目标服务器的响应报文,并将所述第一重定向报文发送至目标客户端。
本申请实施例还提供了一种网络流量的处理装置,应用于蜜罐系统,所述装置包括:
处理单元,用于接收到攻击流量的访问的情况下,对所述攻击流量进行收集、分析和/或处理;其中,所述攻击流量由目标客户端基于第一重定向报文引导至蜜罐系统中;所述第一重定向报文为所述安全设备基于所述蜜罐系统的配置信息构造的针对所述攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
本申请实施例还提供了一种网络流量的处理装置,应用于目标客户端,所述装置包括:
接收单元,用于接收安全设备发送的第一重定向报文,并依据所述第一重定向报文访问所述蜜罐系统;所述第一重定向报文为所述安全设备基于蜜罐系统的配置信息构造的针对攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
需要说明的是:上述实施例提供的各网络流量的处理装置在进行数据处理时,仅以上述各模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的模块完成,即将装置的内部结构划分成不同的模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的网络流量的处理装置与网络流量的处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图3是本申请实施例提供的电子设备的示意图。如图3所示,该实施例的电子设备包括:处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序。所述处理器执行所述计算机程序时实现上述各个方法实施例中的步骤,例如图1所示的步骤101至103。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块的功能,例如图2所示识别单元201、构造单元202、发送单元203的功能。
示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器中,并由所述处理器执行,以完成本申请。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述电子设备中的执行过程。
所述电子设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,图3仅仅是电子设备的示例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述电子设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理模块(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器可以是所述电子设备的内部存储模块,例如电子设备的硬盘或内存。所述存储器也可以是所述电子设备的外部存储设备,例如所述电子设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器还可以既包括所述电子设备的内部存储模块也包括外部存储设备。所述存储器用于存储所述计算机程序以及所述电子设备所需的其他程序和数据。所述存储器还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简沽,仅以上述各功能模块、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块、模块完成,即将所述装置的内部结构划分成不同的功能模块或模块,以完成以上描述的全部或者部分功能。实施例中的各功能模块、模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中,上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。另外,各功能模块、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中模块、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/电子设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/电子设备实施例仅仅是示意性的,例如,所述模块或模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
另一点,所显示或讨论的相互之间的相合或直接祸合或通讯连接可以是通过一些接口,装置或模块的间接稠合或通讯连接,可以是电性,机械或其它的形式。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块/模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件未完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制:尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换:而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络流量的处理方法,其特征在于,应用于安全设备,所述方法包括:
识别网络流量中的攻击流量;
基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;
将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
2.根据权利要求1所述的方法,其特征在于,所述蜜罐系统的配置信息包括所述蜜罐系统的地址信息;所述第一重定向报文中包括重定向地址,所述重定向地址为所述蜜罐系统的地址信息。
3.根据权利要求1所述的方法,其特征在于,基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文,包括:
基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文。
4.根据权利要求3所述的方法,其特征在于,所述基于蜜罐系统的配置信息以及安全设备的部署模式构造所述攻击流量的第一重定向报文,包括:
基于蜜罐系统的配置信息构造所述攻击流量的第二重定向报文;所述第二重定向报文中包括重定向地址;
根据所述安全设备的部署模式对所述第二重定向报文进行处理,得到第一重定向报文。
5.根据权利要求4所述的方法,其特征在于,所述将所述第一重定向报文发送至目标客户端,包括:
在所述安全设备的部署模式为反向代理模式的情况下,将所述第一重定向报文发送至目标客户端;或者,
在所述安全设备的部署模式为转发模式的情况下,利用所述第一重定向报文替换目标服务器的响应报文,并将所述第一重定向报文发送至目标客户端。
6.一种网络流量的处理方法,其特征在于,应用于蜜罐系统,所述方法包括:
接收到攻击流量的访问的情况下,对所述攻击流量进行收集、分析和/或处理;其中,所述攻击流量由目标客户端基于第一重定向报文引导至蜜罐系统中;所述第一重定向报文为所述安全设备基于所述蜜罐系统的配置信息构造的针对所述攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
7.一种网络流量的处理方法,其特征在于,应用于目标客户端,所述方法包括:
接收安全设备发送的第一重定向报文,并依据所述第一重定向报文访问所述蜜罐系统;所述第一重定向报文为所述安全设备基于蜜罐系统的配置信息构造的针对攻击流量的重定向报文;所述攻击流量由所述安全设备对网络流量进行识别得到。
8.一种网络流量的处理装置,其特征在于,应用于安全设备,所述处理装置包括:
识别单元,用于识别网络流量中的攻击流量;
构造单元,用于基于蜜罐系统的配置信息构造所述攻击流量的第一重定向报文;
发送单元,用于将所述第一重定向报文发送至目标客户端,以使所述目标客户端依据所述第一重定向报文访问所述蜜罐系统。
9.一种电子设备,其特征在于,所述电子设备包括:存储器和处理器,所述存储器上存储有计算机可执行指令,所述处理器运行所述存储器上的计算机可执行指令时可实现权利要求1至5,或权利要求6,或权利要求7中任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述存储介质上存储有可执行指令,该可执行指令被处理器执行时实现权利要求1至5,或权利要求6,或权利要求7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110179601.3A CN112995162B (zh) | 2021-02-07 | 2021-02-07 | 网络流量的处理方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110179601.3A CN112995162B (zh) | 2021-02-07 | 2021-02-07 | 网络流量的处理方法及装置、电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995162A true CN112995162A (zh) | 2021-06-18 |
| CN112995162B CN112995162B (zh) | 2023-03-21 |
Family
ID=76392705
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110179601.3A Active CN112995162B (zh) | 2021-02-07 | 2021-02-07 | 网络流量的处理方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995162B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257438A (zh) * | 2021-12-16 | 2022-03-29 | 南方电网数字电网研究院有限公司 | 基于蜜罐的电力监控系统管理方法、装置和计算机设备 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114629691A (zh) * | 2022-02-25 | 2022-06-14 | 北京珞安科技有限责任公司 | 数据处理方法、装置以及存储介质 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
| CN109962838A (zh) * | 2017-12-26 | 2019-07-02 | 中国电信股份有限公司 | 垃圾邮件处理方法、装置、系统和计算机可读存储介质 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
-
2021
- 2021-02-07 CN CN202110179601.3A patent/CN112995162B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109962838A (zh) * | 2017-12-26 | 2019-07-02 | 中国电信股份有限公司 | 垃圾邮件处理方法、装置、系统和计算机可读存储介质 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
| CN111756761A (zh) * | 2020-06-29 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 基于流量转发的网络防御系统、方法和计算机设备 |
| CN111565199A (zh) * | 2020-07-14 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击信息处理方法、装置、电子设备及存储介质 |
| CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257438A (zh) * | 2021-12-16 | 2022-03-29 | 南方电网数字电网研究院有限公司 | 基于蜜罐的电力监控系统管理方法、装置和计算机设备 |
| CN114257438B (zh) * | 2021-12-16 | 2024-01-23 | 南方电网数字平台科技(广东)有限公司 | 基于蜜罐的电力监控系统管理方法、装置和计算机设备 |
| CN114500026A (zh) * | 2022-01-20 | 2022-05-13 | 深信服科技股份有限公司 | 一种网络流量处理方法、装置及存储介质 |
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114629691A (zh) * | 2022-02-25 | 2022-06-14 | 北京珞安科技有限责任公司 | 数据处理方法、装置以及存储介质 |
| CN114915492A (zh) * | 2022-06-21 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
| CN114915492B (zh) * | 2022-06-21 | 2024-03-05 | 杭州安恒信息技术股份有限公司 | 一种流量转发方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995162B (zh) | 2023-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995162B (zh) | 网络流量的处理方法及装置、电子设备、存储介质 | |
| CA2966408C (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10574695B2 (en) | Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| US20110219035A1 (en) | Database security via data flow processing | |
| US20110214157A1 (en) | Securing a network with data flow processing | |
| Chung et al. | Allergy attack against automatic signature generation | |
| GB2512954A (en) | Detecting and marking client devices | |
| CN102844750A (zh) | Web浏览器中的可执行代码验证 | |
| CN114826663B (zh) | 蜜罐识别方法、装置、设备及存储介质 | |
| CN110362992A (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| Ajmal et al. | Last line of defense: Reliability through inducing cyber threat hunting with deception in scada networks | |
| Surnin et al. | Probabilistic estimation of honeypot detection in Internet of things environment | |
| Grossman | Cross-site scripting worms and viruses | |
| CN106982188A (zh) | 恶意传播源的检测方法及装置 | |
| CN114500026A (zh) | 一种网络流量处理方法、装置及存储介质 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| CN116781331A (zh) | 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置 | |
| Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
| Shiraishi et al. | Multi-environment analysis system for evaluating the impact of malicious web sites changing their behavior | |
| Anbar et al. | NADTW: new approach for detecting TCP worm | |
| CN113794674B (zh) | 用于检测邮件的方法、装置和系统 | |
| CN113542302B (zh) | 攻击干扰方法、装置、网关及可读存储介质 | |
| Ghafir et al. | Defending against the advanced persistent threat: Detection of disguised executable files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |