CN114584349A - 网络数据的保护方法、装置、终端及可读存储介质 - Google Patents
网络数据的保护方法、装置、终端及可读存储介质 Download PDFInfo
- Publication number
- CN114584349A CN114584349A CN202210138166.4A CN202210138166A CN114584349A CN 114584349 A CN114584349 A CN 114584349A CN 202210138166 A CN202210138166 A CN 202210138166A CN 114584349 A CN114584349 A CN 114584349A
- Authority
- CN
- China
- Prior art keywords
- intranet
- virtual machine
- address
- service virtual
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用于网络安全技术领域,尤其涉及一种网络数据的保护方法、装置、终端及可读存储介质。其中,网络数据的保护方法包括:获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;接收用户访问目标IP地址的请求信息;若目标IP地址为牵引IP地址,则将请求信息转发至与第一内网隔离的第二内网,由第二内网中的服务虚拟机提供模拟服务,并获取用户在第二内网中的访问痕迹信息;在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中待保护数据进行保护,实现了对待保护数据与攻击者的访问的主动隔离,并通过服务虚拟机提供的模拟服务拖延攻击者,以及时对待保护数据的进行保护,提高了待保护数据的安全性。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种网络数据的保护方法、装置、终端及可读存储介质。
背景技术
随着网络技术的快速发展,大量的网络数据存在于网络设备中,然而,互联网的开放性给攻击者非法获取网络数据带来了可能。例如,攻击者往往可以通过刺探和扫描的方式,以确定所需网络数据所在位置,例如,所需网络数据的互联网协议地址(InternetProtocol Address,IP地址),进而进一步攻击获取所需网络数据,网络数据的安全性较低。
发明内容
本申请实施例提供了一种网络数据的保护方法、装置、终端及可读存储介质,可以解决面对攻击者的扫描和刺探攻击,网络数据的安全性较低的技术问题。
第一方面,本申请实施例提供了一种网络数据的保护方法,包括:
获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收用户访问目标IP地址的请求信息;
若所述目标IP地址为所述牵引IP地址,则将所述请求信息转发至与所述第一内网相隔离的第二内网中,以由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,并获取所述用户在所述第二内网中的访问痕迹信息;
在基于所述用户在所述第二内网中的访问痕迹信息确定所述用户存在攻击目的时,采取保护措施对所述第一内网中的待保护数据进行保护。
第二方面,本申请实施例提供了网络数据的保护装置,包括:
获取单元,用于获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收单元,用于接收用户访问目标IP地址的请求信息;
转发单元,用于若所述目标IP地址为所述牵引IP地址,则将所述请求信息转发至与所述第一内网相隔离的第二内网,以由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,并获取所述用户在所述第二内网中的访问痕迹信息;
保护单元,用于在基于所述用户在所述第二内网中的访问痕迹信息确定所述用户存在攻击目的时,采取保护措施对所述第一内网中的待保护数据进行保护。
第三方面,本申请实施例提供了一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面的方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述第一方面的方法的步骤。
本申请实施例中,通过首先获取第一内网中未使用的一个或多个IP地址作为牵引IP,使得在接收到用户访问目标IP地址的请求信息时,若用户访问目标IP地址为牵引IP,则将用户的访问请求牵引到与所述第一内网隔离的第二内网中,以由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,并获取用户在所述第二内网中的访问痕迹,进而根据用户的访问痕迹判断所述用户是否存在攻击目的,以便在确定所述用户存在攻击目的时,及时采取保护措施对所述第一内网中的待保护数据进行保护,实现了面对攻击者对IP地址的扫描和刺探攻击,尝试把攻击者引入第二内网中,增加了攻击者刺探到待保护数据的IP地址的难度,降低了攻击者刺探到待保护数据的可能性,实现了对待保护数据与攻击者的访问的主动隔离,并在第二内网中通过虚拟机提供的模拟服务拖延攻击者,以便及时采取保护措施对待保护数据的进行保护,提高了待保护数据的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种网络数据的保护方法的第一实现流程示意图;
图2是本申请一实施例提供的一种网络数据的保护方法的第二实现流程示意图;
图3是本申请实施例提供的网络数据的保护装置的结构示意图;
图4是本申请实施例提供的终端的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
随着网络技术的快速发展,大量的网络数据存在于网络设备中,然而,互联网的开放性给攻击者非法获取网络数据带来了可能。
例如,攻击者往往首先通过测探和扫描的方式,以确定所需网络数据所在位置,例如,所需网络数据的互联网协议地址(Internet Protocol Address,IP地址),进而进一步对该互联网协议地址进行攻击,以获取所需网络数据,网络数据的安全性较低。
由此可见,获知网络数据的IP地址对于网络数据的安全来说十分关键,一旦网络数据的IP地址被暴露,攻击者可以有多种多样的方法对网络数据进行攻击获取。因此,基于上述问题,本申请实施例中提供一种网络数据的保护方法、装置、终端及可读存储介质,可以实现面对攻击者扫描和刺探攻击,增加了攻击者刺探到待保护数据的IP地址的难度,降低了攻击者刺探到待保护数据的可能性,实现了对待保护数据与攻击者的访问的主动隔离,提高了待保护数据的安全性。
为了说明本申请上述的技术方案,下面结合附图,并通过具体实施例来进行说明。
示例性的,如图1示出了本申请实施例提供的一种网络数据的保护方法实现流程示意图,该网络数据的保护方法具体包括下述步骤101至步骤103。
步骤101:获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
其中,上述第一内网中可以为真实内网,上述第一内网中可以存在待保护数据,如第一内网用户的网络资产等。
例如,若某网络用户的第一内网为192.168.88网段,即第一内网的IP地址为192.168.88.0/24,其中,IP地址192.168.88.1和192.168.88.2为待保护数据所在的IP地址,第一内网中未使用的IP地址为192.168.88.3—192.168.88.254,则可以将192.168.88.3—192.168.88.254这252个IP地址作为牵引地址,以便在用户请求访问这252个IP地址中的任意一个IP地址时,将其引入到与上述第一内网相隔离的第二内网中,由第二内网中的服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息(即,下述步骤102至步骤103)。
步骤102:接收用户访问目标IP地址的请求信息;
步骤103:若目标IP地址为所述牵引IP地址,则将请求信息转发至与第一内网相隔离的第二内网中,以由第二内网中的服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息;
本申请实施例中,上述用户访问目标IP地址的请求信息,可以是指,用户访问目标IP地址的相关请求。
本申请实施例中,上述第二内网可以为模拟内网,上述第二内网中创建有一台或多台服务虚拟机,该一台或多台服务虚拟机可以根据请求信息提供模拟服务。
其中,上述模拟服务为区别于真实服务的虚假服务,上述模拟服务可以为在一个或多个方面对真实服务进行模拟的模拟服务,用于对进入第二内网中的用户进行迷惑,混淆用户的视听,以达到拖延用户的效果。
例如,上述模拟服务可以与第一内网的应用场景相关;为了提高模拟的真实性,上述模拟服务还可以为与第一内网中提供的真实服务类型相同的模拟服务,如为用户提供相关虚假数据、虚假应用等。
在具体应用中,为了进一步提高服务虚拟机的服务真实性,上述服务虚拟机在提供模拟服务的过程中,上述服务虚拟机可以提供与真实服务过程相同的模拟服务过程,如在提供相关虚假数据之前,先进行弱密码、验证码等弱身份验证,以提高进入第二内网的用户对服务虚拟机的服务的信任,实现对用户的蒙蔽,从而吸引用户对服务虚拟机进行持续攻击,为后续根据用户在第二内网中的访问痕迹信息确定用户存在攻击目的而需要对待保护数据进行保护时争取时间(即,下述步骤104)。
需要说明的是,上述由第二内网中的服务虚拟机根据请求信息提供模拟服务的过程中,若上述第二内网中的服务虚拟机包含多台,则可以由任意一台服务虚拟机根据请求信息进行服务,例如,可以为第二内网中的所有的服务虚拟机设定服务优先级,由优先级高的服务虚拟机先行提供服务等,本申请对此不做限制。
在本申请的一些实施方式中,为了防止攻击者在查验服务虚拟机的IP地址与想要访问的目标IP是否相同时发现IP地址不相同而识破服务虚拟机的模拟服务,提高对用户的蒙蔽性,在上述由第二内网中的服务虚拟机根据请求信息提供模拟服务的过程中,还可以由服务虚拟机中IP地址与目标IP地址相同的目标服务虚拟机根据请求信息提供模拟服务。
在第二内网中的服务虚拟机为用户提供模拟服务时,用户在第二内网中的访问和请求通常会留下痕迹信息,因此,可以获取用户在第二内网中的访问痕迹信息,以根据该访问痕迹信息确定用户是否存在攻击目的。
步骤104:在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中的待保护数据进行保护。
例如,可选的,若用户在第二内网中对于同一处密码验证输入密码进行验证的次数超过预设验证阈值,或者用户在第二内网中在预设时长内持续发送的请求数量超过预设请求阈值,则可以确定用户存在攻击目的,进而采取保护措施对第一内网中的待保护数据进行保护。
其中,上述采取保护措施对第一内网中的待保护数据进行保护,可以为通过控制断电等方式对第一内网中的待保护数据进行保护,还可以为通过输出提示信息,以提醒运维人员采取措施对待保护数据进行保护,本申请对此不做限制。
本申请实施例中,通过首先获取第一内网中未使用的一个或多个IP地址作为牵引IP,使得在接收到用户访问目标IP地址的请求信息时,若用户访问目标IP地址为牵引IP,则将用户的访问请求牵引到与第一内网隔离的第二内网中,以由第二内网中的服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹,进而根据用户的访问痕迹判断用户是否存在攻击目的,以便在确定用户存在攻击目的时,及时采取保护措施对第一内网中的待保护数据进行保护,实现了面对攻击者对IP地址进行的扫描和刺探,尝试把攻击者引入第二内网中,增加了攻击者刺探到待保护数据IP地址的难度,降低了攻击者刺探到待保护数据的可能性,实现了对待保护数据与攻击者的访问的主动隔离,并在第二内网中通过虚拟机提供的模拟服务拖延攻击者的脚步,以便及时采取保护措施对待保护数据的进行保护,提高了待保护数据的安全性。
在本申请的一些实施方式中,上述网络数据的保护方法还可以包含在上述第二内网中创建上述服务虚拟机。
可选的,为了提高服务虚拟机在提供模拟服务时的真实性,在上述创建服务虚拟机的过程中,上述服务虚拟机的类型可以与第一内网的应用场景有关,例如,若第一内网的应用场景为某制造业企业的生产数据,则服务虚拟机的操作系统类型可以为与企业的生成数据系统一致的操作系统,例如,Linux操作系统;上述服务虚拟机的类型还可以与第一内网中待保护数据的存储形式相同,例如,若第一内网中待保护数据的存储形式为mysql数据库,则服务虚拟机中数据的组织形式可以同为mysql数据库形式。
可选的,本申请的一些实施方式中,为了防止攻击者在查验当前提供服务的IP地址与想要访问的目标IP是否相同时发现IP地址不同而识破服务虚拟机的模拟服务,提高对用户的蒙蔽性,上述在第二内网中创建虚拟机的过程中,可以在第二内网中创建与牵引IP地址一一对应的服务虚拟机,相应的,在上述由服务虚拟机根据请求信息提供模拟服务的过程中,可以由服务虚拟机中IP地址与目标IP地址相同的目标服务虚拟机根据请求信息提供模拟服务。
例如,若牵引IP地址包含252个,分别为198.168.88.3—198.168.88.254,则可以创建252个IP地址分别为198.168.88.3—198.168.88.254的服务虚拟机,使得在接收到用户访问IP地址为198.168.88.3的请求信息时,由于198.168.88.3为牵引IP地址,将该请求信息转发至第二内网中,由第二内网中IP地址同为198.168.88.3的服务虚拟机提供模拟服务。
可选的,在本申请的一些实施方式中,上述牵引IP包含多个未使用的IP地址,在创建有多个服务虚拟机的第二内网的过程中,为提高第二内网中服务虚拟机的独立性,保障服务虚拟机的安全性,上述在第二内网中创建与牵引IP地址一一对应的服务虚拟机的过程中,可以通过为服务虚拟机设置vlan(Virtual Local Area Network,虚拟局域网)标识,将服务虚拟机通过vlan标识分隔在多个虚拟局域网中。
在一个具体应用中,上述第二内网中的服务虚拟机的IP地址与牵引IP地址一一对应,并且各个服务虚拟机通过vlan标识被分隔在多个虚拟局域网中,为了实现对访问第二内网流量的可控性,以及对需要提供模拟服务的目标服务虚拟机的快速寻址并发送请求信息,避免对请求信息的响应时间过长而导致响应失败,可以通过进行地址转换和路由设置,以将请求信息转发至与第一内网隔离的第二内网中。
例如,如图2中示出的,在本申请实施例提供的另一种网络数据的保护方法,具体包含下述步骤201至步骤205。
步骤201:获取第一内网中的未使用的多个IP地址作为牵引IP地址;
例如,在第一内网192.168.88.0/24中,若未使用的IP地址未192.168.88.3—192.168.88.254,则可以将192.168.88.3—192.168.88.254这252个地址作为牵引IP地址。
步骤202:在第二内网中创建与牵引IP地址一一对应的服务虚拟机,将服务虚拟机通过vlan标识分隔在多个虚拟局域网中,并记录各个服务虚拟机对应的IP地址和vlan标识;
例如,在第二内网中分别创建IP地址为192.168.88.3—192.168.88.254的252个服务虚拟机,并将该252个服务虚拟机通过vlan标识1-28划分在28个虚拟局域网中,并记录各个服务虚拟机对应的IP地址和vlan标识。以虚拟局域网1为例,将IP地址为192.168.88.3—192.168.88.11对应的9个服务虚拟机划分在虚拟局域网1中,即将IP地址为192.168.88.3—192.168.88.11对应的服务虚拟机的vlan标识确定为1并做记录。
其中,在上述记录各个服务虚拟机对应的IP地址和vlan标识过程中,可以基于服务虚拟机的标识将IP地址、vlan标识与服务虚拟机匹配对应,其中,服务虚拟机的标识可以为服务虚拟机创建进程号,也可以为服务虚拟机的物理地址等。
步骤203:接收用户访问目标IP地址的请求信息;
步骤204:若目标IP地址为牵引IP地址,则基于各个服务虚拟机对应的IP地址和vlan标识,确定IP地址与所述目标IP地址相同的目标服务虚拟机所在的目标虚拟局域网,并根据预设路由规则确定转发路由;
例如,接收到用户访问目标IP地址为192.168.88.5的请求信息,则确定该目标IP为牵引IP,并可以确定目标服务虚拟机对应的IP地址为192.168.88.5,通过查找各个服务虚拟机对应的IP地址和vlan标识,确定目标服务虚拟机的vlan标识为1,即确定目标服务虚拟机所在的目标虚拟机局域网为虚拟局域网1,则可以根据预设路由规则,确定转发到虚拟局域网中IP地址为192.168.88.5的目标服务虚拟机的转发路由,以将该请求信息转发到第二内网中的虚拟局域网1中IP地址为192.168.88.5的服务虚拟机中,并由该服务虚拟机提供模拟服务。
步骤205:将请求信息根据转发路由转发至第二内网中目标虚拟局域网中的目标服务虚拟机,以由第二内网中的目标服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息;
步骤206:在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中的待保护数据进行保护。
其中,上述步骤206与步骤104相同,本申请对此不再赘述。
本申请实施例中,通过获取第一内网中的未使用的多个IP地址作为牵引IP地址,并在第二内网中创建与牵引IP地址一一对应的服务虚拟机,将服务虚拟机通过vlan标识分隔在多个虚拟局域网中,并记录各个服务虚拟机对应的IP地址和vlan标识,使得在接收到用户访问目标IP地址的请求信息时,若目标IP地址为牵引IP地址,则基于各个服务虚拟机对应的IP地址和vlan标识,确定IP地址与目标IP地址相同的目标服务虚拟机所在的目标虚拟局域网,并根据预设路由规则确定转发路由,进而将请求信息根据转发路由转发至第二内网中目标虚拟局域网中的目标服务虚拟机,以由第二内网中的目标服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息,进而在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中的待保护数据进行保护,实现创建了IP地址与牵引IP地址相同的服务虚拟机,提高了服务虚拟机模拟服务的真实性,增加了用户对服务虚拟机服务的信任度的同时,通过进行转发路由确定,有利于对进入第二内网流量的控制,保障了用户能够正常而快速访问到第二内网中服务虚拟机提供的模拟服务,提高了网络数据的安全性。
可选的,为了查询并掌握当前第二内网中的服务虚拟机的服务状态,在本申请的一些实施方式中,上述方法还可以包括对服务虚拟机的工作状态进行检测,具体的,通过向服务虚拟机发送报文信息,检测是否接收到服务虚拟机根据所述报文信息发送的回复信息;若接收到服务虚拟机根据报文信息发送的回复信息,则可以确定服务虚拟机处于正常工作状态。
需要说明的是,在一些实施方式中,上述创建服务虚拟机的过程中,可以通过首先创建一个控制虚拟机,再由控制虚拟机在上述第二内网中创建上述服务虚拟机;相应的,上述控制虚拟机在创建上述服务虚拟机时可以记录各个服务虚拟机对应的IP地址和vlan标识,上述将请求信息转发至与第一内网隔离的第二内网中,可以由上述控制虚拟机基于各个服务虚拟机对应的IP地址和vlan标识,确定目标服务虚拟机所在的目标虚拟局域网,并根据预设路由规则确定转发路由,进而将请求信息根据转发路由转发至目标虚拟局域网中的目标服务虚拟机中。
其中,上述控制虚拟机可以为在开源虚拟机管理平台上创建的一个虚拟机,例如Proxmox Virtual Environment(PVE)平台上的虚拟机,即PVE控制虚拟机。
示例性的,在一个具体应用中,上述控制虚拟机创建上述服务虚拟机的过程可以包含下述步骤31至步骤33。
步骤31:获取待创建的服务虚拟机的IP地址、vlan标识和类型信息;
其中,上述待创建的服务虚拟机的IP地址、vlan标识用于记录服务虚拟机所在虚拟局域网和IP地址;
其中,上述待创建的服务虚拟机的类型信息用于确定创建服务虚拟机所需要的模板虚拟机的类型,例如,上述服务虚拟机的类型信息可以包括服务虚拟机的操作系统类型,还可以包括服务虚拟机支持的语言类型等。
步骤32:根据待创建的服务虚拟机的类型信息,以待创建的服务虚拟机的类型信息对应类型的虚拟机为模板,克隆得到待创建的服务虚拟机;
其中,上述克隆操作可以为开源虚拟机管理平台支持的克隆操作。
步骤33:根据预设路由规则进行路由规则配置,并获取待创建的服务虚拟机的虚拟网卡对应的mac地址;
其中,上述服务虚拟机的虚拟网卡对应的mac地址可以用于对服务虚拟机进行标识。
步骤34:基于待创建的服务虚拟机的mac地址配置待创建虚拟机的动态IP地址。
具体的,可以以动态配置IP地址的形式固定配置某mac地址对应的服务虚拟机的IP地址。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,在本申请的一些实施方式中,某些步骤可以采用其它顺序进行。
图3示出了本申请实施例提供的一种网络数据的保护装置300的结构示意图,包括获取单元301、接收单元302、转发单元303和保护单元304。
获取单元301,用于获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收单元302,用于接收用户访问目标IP地址的请求信息;
转发单元303,用于若目标IP地址为牵引IP地址,则将请求信息转发至与第一内网相隔离的第二内网中,以由第二内网中的服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息;
保护单元304,用于在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中的待保护数据进行保护。
本申请的一些实施方式中,上述网络数据的保护装置还可以包含创建单元,用于在第二内网中创建服务虚拟机。
本申请的一些实施方式中,上述创建单元还可以具体用于,在第二内网中创建与牵引IP地址一一对应的服务虚拟机,上述转发单元还可以具体用于,由第二内网中的服务虚拟机中IP地址与目标IP地址相同的目标服务虚拟机根据请求信息提供模拟服务。
本申请的一些实施方式中,上述牵引IP地址包含多个未使用的IP地址,上述创建单元还可以具体用于,将服务虚拟机通过vlan标识分隔在多个虚拟局域网中。
本申请的一些实施方式中,上述创建单元还可以具体用于,记录各个服务虚拟机对应的IP地址和vlan标识;上述转发单元303还可以具体用于,基于各个服务虚拟机对应的IP地址和vlan标识,确定目标服务虚拟机所在的目标虚拟局域网,并根据预设路由规则确定转发路由;将请求信息根据转发路由转发至第二内网中目标虚拟局域网中的目标服务虚拟机。
本申请的一些实施方式中,上述网络数据的保护装置还可以具体包括检测单元,用于向服务虚拟机发送报文信息;检测是否接收到服务虚拟机根据报文信息发送的回复信息;若接收到服务虚拟机根据报文信息发送的回复信息,则确定服务虚拟机处于正常工作状态。
需要说明的是,为描述的方便和简洁,上述描述的网络数据的保护装置300的具体工作过程,可以参考上述图1和图2中描述的方法的对应过程,在此不再赘述。
如图4所示,本申请提供一种用于实现上述网络数据的保护方法的终端4,该终端可以为智能手机、平板电脑、个人电脑(PC)、学习机等终端,所述终端4包括:处理器40、存储器41、以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42,例如网络数据的保护程序。所述处理器40执行所述计算机程序42时实现上述网络数据的保护方法实施例中的步骤,例如图1所示的步骤101至104。或者,所述处理器40执行所述计算机程序42时实现上述各装置实施例中各模块/单元的功能,例如,图3所示的获取单元301、接收单元302、转发单元303和保护单元304的功能。
所述计算机程序42可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器41中,并由所述处理器40执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序42在所述终端4中的执行过程。例如,所述计算机程序42可以被分割成获取单元、接收单元、转发单元和保护单元(虚拟装置中的单元),具体功能如下:
获取单元301,用于获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收单元302,用于接收用户访问目标IP地址的请求信息;
转发单元303,用于若目标IP地址为牵引IP地址,则将请求信息转发至与第一内网相隔离的第二内网中,以由第二内网中的服务虚拟机根据请求信息提供模拟服务,并获取用户在第二内网中的访问痕迹信息;
保护单元304,用于在基于用户在第二内网中的访问痕迹信息确定用户存在攻击目的时,采取保护措施对第一内网中的待保护数据进行保护。
所述网络数据的保护装置可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是终端4的示例,并不构成对终端4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述网络数据的保护装置还可以包括输入输出设备、网络接入设备、总线等。
应当理解,在本申请实施例中,所称处理器41可以是中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器41可以是所述终端4的内部存储单元,例如网络数据的保护装置的硬盘或内存。所述存储器41也可以是所述终端4的外部存储设备,例如所述终端4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器41还可以既包括所述终端4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述终端4所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
上述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。上述计算机可读介质可以包括:能够携带上述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,上述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络数据的保护方法,其特征在于,所述方法包括:
获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收用户访问目标IP地址的请求信息;
若所述目标IP地址为所述牵引IP地址,则将所述请求信息转发至与所述第一内网相隔离的第二内网中,以由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,并获取所述用户在所述第二内网中的访问痕迹信息;
在基于所述用户在所述第二内网中的访问痕迹信息确定所述用户存在攻击目的时,采取保护措施对所述第一内网中的待保护数据进行保护。
2.如权利要求1所述的保护方法,其特征在于,在所述接收用户访问目标IP地址的请求信息之前,所述方法还包括,在所述第二内网中创建所述服务虚拟机。
3.如权利要求2所述的保护方法,其特征在于,所述在所述第二内网中创建所述服务虚拟机,包括:
在所述第二内网中创建与所述牵引IP地址一一对应的所述服务虚拟机;
所述由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,包括:
由所述第二内网中的所述服务虚拟机中IP地址与所述目标IP地址相同的目标服务虚拟机根据所述请求信息提供模拟服务。
4.如权利要求3所述的保护方法,其特征在于,所述牵引IP地址包含多个未使用的IP地址,所述在所述第二内网中创建与所述牵引IP地址一一对应的所述服务虚拟机包括:
将所述服务虚拟机通过vlan标识分隔在多个虚拟局域网中。
5.如权利要求4所述的保护方法,其特征在于,所述在所述第二内网中创建与所述牵引IP地址一一对应的所述服务虚拟机包括:
记录各个所述服务虚拟机对应的IP地址和vlan标识;
所述将所述请求信息转发至与所述第一内网相隔离的第二内网中,包括:
基于所述各个所述服务虚拟机对应的IP地址和vlan标识,确定所述目标服务虚拟机所在的目标虚拟局域网,并根据预设路由规则确定转发路由;
将所述请求信息根据所述转发路由转发至所述第二内网中所述目标虚拟局域网中的所述目标服务虚拟机。
6.如权利要求1所述的保护方法,其特征在于,所述方法还包括,
向所述服务虚拟机发送报文信息;
检测是否接收到所述服务虚拟机根据所述报文信息发送的回复信息;
若接收到所述服务虚拟机根据所述报文信息发送的回复信息,则确定所述服务虚拟机处于正常工作状态。
7.一种网络数据的保护装置,其特征在于,包括:
获取单元,用户获取第一内网中的未使用的一个或多个IP地址作为牵引IP地址;
接收单元,用于接收用户访问目标IP地址的请求信息;
转发单元,用于若所述目标IP地址为所述牵引IP地址,则将所述请求信息转发至与所述第一内网相隔离的第二内网中,以由所述第二内网中的服务虚拟机根据所述请求信息提供模拟服务,并获取所述用户在所述第二内网中的访问痕迹信息;
保护单元,用于在基于所述用户在所述第二内网中的访问痕迹信息确定所述用户存在攻击目的时,采取保护措施对所述第一内网中的待保护数据进行保护。
8.如权利要求7所述的保护装置,其特征在于,所述保护装置还包括:
创建单元,用于在所述第二内网中创建所述服务虚拟机。
9.一种终端,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210138166.4A CN114584349A (zh) | 2022-02-15 | 2022-02-15 | 网络数据的保护方法、装置、终端及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210138166.4A CN114584349A (zh) | 2022-02-15 | 2022-02-15 | 网络数据的保护方法、装置、终端及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114584349A true CN114584349A (zh) | 2022-06-03 |
Family
ID=81774500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210138166.4A Pending CN114584349A (zh) | 2022-02-15 | 2022-02-15 | 网络数据的保护方法、装置、终端及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584349A (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| US20180146008A1 (en) * | 2016-11-23 | 2018-05-24 | Attivo Networks Inc. | Implementing Decoys in Network Endpoints |
| US10044675B1 (en) * | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US20190098051A1 (en) * | 2017-09-27 | 2019-03-28 | Cox Communications, Inc. | Systems and Methods of Virtual Honeypots |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
| WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
| CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
-
2022
- 2022-02-15 CN CN202210138166.4A patent/CN114584349A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10044675B1 (en) * | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
| US20180146008A1 (en) * | 2016-11-23 | 2018-05-24 | Attivo Networks Inc. | Implementing Decoys in Network Endpoints |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| US20190098051A1 (en) * | 2017-09-27 | 2019-03-28 | Cox Communications, Inc. | Systems and Methods of Virtual Honeypots |
| CN109617878A (zh) * | 2018-12-13 | 2019-04-12 | 烽台科技(北京)有限公司 | 一种蜜网的组建方法及系统、计算机可读存储介质 |
| WO2021032207A1 (zh) * | 2019-08-22 | 2021-02-25 | 华为技术有限公司 | 网络威胁的诱捕方法、系统和转发设备 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN111683106A (zh) * | 2020-08-13 | 2020-09-18 | 云盾智慧安全科技有限公司 | 主动防护系统及方法 |
| CN112714137A (zh) * | 2021-03-25 | 2021-04-27 | 江苏天翼安全技术有限公司 | 一种基于虚拟交换跨vlan大规模部署蜜网的方法 |
| CN113098906A (zh) * | 2021-05-08 | 2021-07-09 | 广州锦行网络科技有限公司 | 微蜜罐在现代家庭中的应用方法 |
| CN113612783A (zh) * | 2021-08-09 | 2021-11-05 | 杭州安恒信息安全技术有限公司 | 一种蜜罐防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| EP3178011B1 (en) | Method and system for facilitating terminal identifiers | |
| CN109688186B (zh) | 数据交互方法、装置、设备及可读存储介质 | |
| CN109873804A (zh) | 基于行为的服务识别方法、装置、设备及可读存储介质 | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| US10834105B2 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
| US11263266B2 (en) | Traffic anomaly sensing device, traffic anomaly sensing method, and traffic anomaly sensing program | |
| WO2020019485A1 (zh) | 一种模拟器识别方法、识别设备及计算机可读介质 | |
| CN110943984B (zh) | 一种资产安全保护方法及装置 | |
| CN113050900A (zh) | 屏幕分享方法、装置、设备及存储介质 | |
| CN113904852A (zh) | 蜜罐动态部署方法、装置、电子设备和可读存储介质 | |
| CN110619022B (zh) | 基于区块链网络的节点检测方法、装置、设备及存储介质 | |
| CN105790948A (zh) | 一种身份认证方法及装置 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| US10200864B2 (en) | Method and device for managing wireless access point | |
| CN104967603A (zh) | 应用账号安全验证方法及装置 | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| CN112688899A (zh) | 云内安全威胁检测方法、装置、计算设备及存储介质 | |
| CN114584349A (zh) | 网络数据的保护方法、装置、终端及可读存储介质 | |
| CN113824748B (zh) | 一种资产特征主动探测对抗方法、装置、电子设备及介质 | |
| CN115208689A (zh) | 基于零信任的访问控制方法、装置及设备 | |
| CN110990873B (zh) | 一种违规操作的监控方法、计算机设备及存储介质 | |
| CN113709136A (zh) | 一种访问请求验证方法和装置 | |
| CN113760450A (zh) | 私有云虚拟机自动安全管理方法、装置、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |