CN114598510A - 蜜场网络流量重定向系统、方法、电子设备、介质及产品 - Google Patents
蜜场网络流量重定向系统、方法、电子设备、介质及产品 Download PDFInfo
- Publication number
- CN114598510A CN114598510A CN202210167925.XA CN202210167925A CN114598510A CN 114598510 A CN114598510 A CN 114598510A CN 202210167925 A CN202210167925 A CN 202210167925A CN 114598510 A CN114598510 A CN 114598510A
- Authority
- CN
- China
- Prior art keywords
- data packet
- target network
- network data
- information
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 165
- 238000000034 method Methods 0.000 title claims abstract description 77
- 230000004044 response Effects 0.000 claims abstract description 152
- 238000012545 processing Methods 0.000 claims abstract description 32
- 238000004806 packaging method and process Methods 0.000 claims abstract description 27
- 239000003999 initiator Substances 0.000 claims abstract description 20
- 230000004048 modification Effects 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 239000000126 substance Substances 0.000 claims description 5
- 238000005538 encapsulation Methods 0.000 abstract description 15
- 230000008569 process Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品,系统包括客户端、数据包重定向引擎以及蜜罐主机;客户端接收网络数据包,确定待重定向的目标网络数据包,进行封装处理后发送至数据包重定向引擎,接收返回的响应数据包,解封处理后转发给发起方;数据包重定向引擎用于接收目标网络数据包,对数据包的地址和/或端口信息进行修改后发送至目标蜜罐主机,接收返回的响应数据包,对响应数据包的地址和/或端口信息修改后封装,发送客户端;蜜罐主机位于蜜场内,对接收到的目标网络数据包进行处理,返回响应数据包。本发明提供的系统,操作简单,能够保留目标网络数据包的原始IP,不会丢失数据信息,提高数据包处理的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种蜜场网络流量重定向系统、方法、电子设备、介质及产品。
背景技术
随着互联网的蓬勃发展,网络安全问题变得越来越重要。传统的基于主机层的被动防御方法已经难以保护现有网络的安全,因此,主动防御的概念诞生了,蜜场系统属于一种主动防御策略。
现有技术中,蜜场系统采用蜜场网络流量重定向技术,通过在业务主机大量部署诱饵客户端使其成为诱饵主机,然后采用网络四层流量代理将访问诱饵主机特定端口的流量转发到位于蜜场的蜜罐中,在蜜罐中分析访问流量、识别攻击行为、截获攻击载荷并报警。但是这种处理方式,TCP代理对IP数据包做了重组,不再有数据包的原始信息,而且代理修改了源目的IP地址,蜜场后端可能会提取不到攻击者IP,且代理需要绑定对应的端口,若操作有误会影响客户实际服务,导致用户体验较差。
发明内容
本发明提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品,用以解决现有技术中存在的数据包信息丢失、提取不到攻击方的IP、操作复杂导致用户体验较差的技术问题,以实现提高数据包处理的准确性,提升用户体验的目的。
第一方面,本发明提供一种蜜场网络流量重定向系统,包括:客户端、数据包重定向引擎以及蜜罐主机;其中,
所述客户端位于业务主机内,用于接收网络数据包,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;用于将所述目标网络数据包进行封装处理,并发送至所述数据包重定向引擎;还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包,对所述响应数据包进行解封处理,并转发给所述目标网络数据包的发起方;
所述数据包重定向引擎位于蜜场内,用于接收目标网络数据包,并对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;还用于接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改后,将修改后的响应数据包封装并发送至所述客户端;
所述蜜罐主机位于蜜场内,用于对所接收到的目标网络数据包进行处理,并返回所述目标网络数据包的响应数据包。
进一步,根据本发明提供的蜜场网络流量重定向系统,所述客户端包括用户态模块和内核模块;其中,
所述内核模块用于接收网络数据包,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;用于将所拦截的目标网络数据包发送至所述用户态模块;
所述用户态模块用于从所述内核模块接收目标网络数据包,将所接收的目标网络数据包进行封装处理,并发送至所述数据包重定向引擎;还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包,对所述响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
进一步,根据本发明提供的蜜场网络流量重定向系统,所述蜜罐主机作为虚拟化的guest与所述数据包重定向引擎处于同一个主机内。
进一步,根据本发明提供的蜜场网络流量重定向系统,所述蜜罐主机与所述数据包重定向引擎位于不同的主机内;
所述蜜罐主机包括数据包收发服务,所述数据包收发服务用于接收所述数据包重定向引擎发送至所在蜜罐主机的目标网络数据包,还用于拦截所在蜜罐主机发送的所述目标网络数据包的响应数据包,并转发至所述数据包重定向引擎。
第二方面,本发明还提供一种蜜场网络流量重定向方法,包括:
接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序;
对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎;
接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
进一步,根据本发明提供的蜜场网络流量重定向方法,在所述接收目标网络数据包之前,方法还包括:
接收端口配置信息。
进一步,根据本发明提供的蜜场网络流量重定向方法,所述接收端口配置信息,包括:
用户态模块与蜜场管理中心建立通信连接;
用户态模块接收所述蜜场管理中心下发的端口配置信息,并将所述端口配置信息传输给所述内核模块。
进一步,根据本发明提供的蜜场网络流量重定向方法,所述基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包,包括:
所述内核模块判断所接收的网络数据包是否与已存储的待拦截数据流信息相匹配;
在相匹配的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
在不匹配的情况下,基于由用户态模块下发的所述端口配置信息和预先存储的服务程序信息,判断所接收的网络数据包所涉及的端口是否存在对应的服务程序;
在所述端口存在对应的服务程序的情况下,对所述网络数据包进行放行处理,并将所述网络数据包的信息作为待放行数据流信息加以存储;
在所述端口不存在对应的服务程序的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
将所述目标网络数据包的信息作为待拦截数据流信息加以存储。
进一步,根据本发明提供的蜜场网络流量重定向方法,所述对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎,包括:
所述用户态模块从内核模块接收目标网络数据包;
将所述目标网络数据包作为载荷封装后发送至数据包重定向引擎。
第三方面,本发明还提供一种蜜场网络流量重定向方法,包括:
接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的;
对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;
接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
进一步,根据本发明提供的蜜场网络流量重定向方法,所述对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机,包括:
判断所接收的目标网络数据包是否与已存储的重定向数据流信息相匹配;
在相匹配的情况下,按照所述重定向数据流信息修改所述目标网络数据包的地址和/或端口信息,将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息;
在不匹配的情况下,基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在,在存在的情况下,修改所述目标网络数据包的地址和/或端口信息,基于修改后的目标网络数据包的地址和/或端口信息生成重定向数据流信息并存储;将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息。
进一步,根据本发明提供的蜜场网络流量重定向方法,在所述基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在之前,方法还包括:
从蜜场管理中心获取目标蜜罐主机的地址和/或端口信息,以及地址池;其中,所述地址池中的地址和/或端口信息用于修改目标网络数据包的地址和/或端口信息。
进一步,根据本发明提供的蜜场网络流量重定向方法,所述对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端,包括:
基于预先记录的目标网络数据包修改前后的地址和/或端口信息,对所述目标网络数据包的响应数据包的地址和/或端口信息进行修改;
将修改后的响应数据包进行封装,将封装后的响应数据包发送至所述客户端。
第四方面,本发明还提供一种电子设备,包括:
处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上任一项中所述蜜场网络流量重定向的步骤。
第五方面,本发明还提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使计算机执行如上所述蜜场网络流量重定向方法的步骤。
第六方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上任一项所述蜜场网络流量重定向方法的步骤。
本发明提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品,系统包括:客户端、数据包重定向引擎以及蜜罐主机;客户端用于接收网络数据包,确定待重定向的目标网络数据包,进行封装处理后发送至数据包重定向引擎,还接收返回的响应数据包,解封处理后转发给对应的发起方;数据包重定向引擎用于接收目标网络数据包,对该数据包的地址和/或端口信息进行修改后发送至目标蜜罐主机,接收返回的响应数据包,对响应数据包的地址和/或端口信息修改后封装,发送至客户端;蜜罐主机位于蜜场内,对接收到的目标网络数据包进行处理,返回响应数据包。本发明提供的系统,操作简单,能够保留目标网络数据包的原始IP,不会丢失数据信息,提高了数据包处理的准确性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种蜜场网络流量重定向系统的结构示意图;
图2是本发明提供的一种蜜罐部署的结构示意图之一;
图3是本发明提供的一种蜜罐部署的结构示意图之二;
图4是本发明提供的一种蜜场网络流量重定向方法的流程示意图之一;
图5是本发明提供的蜜场网络流量重定向方法的整体流程示意图之一;
图6是本发明提供的一种蜜场网络流量重定向方法的流程示意图之二;
图7是本发明提供的蜜场网络流量重定向方法的整体流程示意图之二;
图8是本发明提供的电子设备的结构示意图;
附图标记说明:
1-客户端; 2-数据包重定向引擎;
3-蜜罐主机; 4-业务主机;
5-网络数据包; 6-目标网络数据包;
7-响应数据包; 8-蜜场。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明提供的一种蜜场网络流量重定向系统的结构示意图,如图1所述,本发明提供的蜜场网络流量重定向系统,包括:客户端1、数据包重定向引擎2以及蜜罐主机3;其中,
所述客户端1位于业务主机4内,用于接收网络数据包5,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包6;用于将所述目标网络数据包6进行封装处理,并发送至所述数据包重定向引擎2;还用于接收所述数据包重定向引擎2返回的所述目标网络数据包6的响应数据包7,对所述响应数据包7进行解封处理,并转发给所述目标网络数据包6的发起方;
所述数据包重定向引擎2位于蜜场内,用于接收目标网络数据包6,并对所述目标网络数据包6的地址和/或端口信息进行修改,将修改后的目标网络数据包6发送至目标蜜罐主机3;还用于接收所述目标蜜罐主机3返回的所述目标网络数据包6的响应数据包7,对所述响应数据包7的地址和/或端口信息进行修改后,将修改后的响应数据包7封装并发送至所述客户端1;
所述蜜罐主机3位于蜜场内,用于对所接收到的目标网络数据包6进行处理,并返回所述目标网络数据包6的响应数据包7。
在本实施例中,客户端1是位于业务主机4内的,主要用于接收网络数据包5,然后根据预先获取的端口配置信息与服务程序信息,从网络数据包5中确定出待重定向的目标网络数据包6,对目标网络数据包6进行封装处理,然后发送至数据包重定向引擎2;还用于接收数据包重定向引擎2返回的目标网络数据包6的响应数据包7,对响应数据包7进行解封处理,并转发给目标网络数据包6的发起方,其中,发起方也就是攻击方。其中,响应数据包是指根据请求数据包做出回应的数据包。本实施例中是将目标网络数据包6作为载荷进行封装后发送给数据包重定向引擎2的,封装方式可以是隧道类封装协议,还可以是消息队列的形式,具体可以根据用户的实际需要进行设定,在此不作具体限定。
需要说明的是,目标网络数据包6的确定是通过将网络数据包5的端口配置信息与已存储的服务程序信息进行比对,在比对不成功的情况下,将网络数据包确定为目标网络数据包,具体的处理流程见下述实施例,在此不作详细介绍。
需要说明的是,数据包重定向引擎2位于蜜场内,用于接收目标网络数据包6,然后对目标网络数据包6的地址和/或端口信息进行修改,将修改后的目标网络数据包6发送至目标蜜罐主机3,然后接收目标蜜罐主机3返回的响应数据包7,对该响应数据包7的地址和/或端口信息进行修改后,将修改后的响应数据包7封装并发送至客户端,其中,封装方式可以采用消息队列的形式,还可以是其他的形式,在此不作具体限定。需要说明的是,地址和/或端口信息属于目标网络数据包的五元组信息,五元组信息具体是指源IP地址、源端口、目的IP地址、目的端口和传输层协议,在截获目标网络数据包时,将其五元组信息进行缓存。
需要说明的是,蜜罐主机3也位于蜜场内,用于对所接收到的目标网络数据包6进行处理,并返回目标网络数据包6的响应数据包7。其中,蜜罐主机3可以与数据包重定向引擎2部署在一起,也可以是独立部署方式,具体可以根据用户的实际需要进行设定,在此不作具体限定。
根据本发明提供的蜜场网络流量重定向系统,该系统包括客户端、蜜场网络流量重定向引擎和蜜罐主机,通过三者之间的协调与配合,使得本发明提供的系统,操作简单,能够保留原始IP的目标数据包,不会丢失数据信息,提高了数据包处理的准确性。
在本发明的另一个实施例中,所述客户端包括用户态模块和内核模块;其中,
所述内核模块用于接收网络数据包5,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包6;用于将所拦截的目标网络数据包6发送至所述用户态模块;
所述用户态模块用于从所述内核模块接收目标网络数据包6,将所接收的目标网络数据包6进行封装处理,并发送至所述数据包重定向引擎2;还用于接收所述数据包重定向引擎2返回的所述目标网络数据包6的响应数据包7,对所述响应数据包7进行解封处理,并转发给所述目标网络数据包6的发起方。
在本实施例中,内核模块与用户态模块进行通信,用户态模块与蜜场管理中心进行通信,还与数据包重定向引擎2进行通信。本实施例中,用户态模块从蜜场管理中心获取待重定向的端口配置信息,并将该信息下发给内核模块,然后内核模块用于接收用户态模块下发的端口配置信息,在网络数据包5到达时,判断业务主机中对应的端口是否存在相应的服务程序,如果存在对应的服务程序则跳过该网络数据包5,同时将网络数据包5的五元组信息加入缓存,当该数据流中的后续网络数据包到达时直接快速对其放行,如果不存在对应的服务程序,则内核模块截获该网络数据包5,并将该网络数据包5确定为目标网络数据包6,将目标网络数据包6的五元组信息加入缓存,并将截获到的目标网路数据包6上传给用户态模块。需要说明的是,设定端口存在对应的服务程序,是确定该端口不需要进行重定向处理的端口,当不存在对应的服务程序时,则确定端口为需要进行重定向处理的端口。
在本实施例中,用户态模块接收内核模块上传的目标网络数据包6,对目标网络数据包6进行封装处理,并发送至数据包重定向引擎2,同时还用于接收数据包重定向引擎2返回的目标网络数据包6的响应数据包7,对响应数据包7进行解封处理,并转发给目标网络数据包6的发起方。
需要说明的是,用户态模块需要监听内核模块向上发送的目标网络数据包6,将目标网络数据包6作为载荷进行封装,封装后发送给位于蜜场的数据包重定向引擎2,其中,监听方式采用hook监听方式,封装方式可以是隧道类封装协议,也可以是消息队列,在此不作具体限定。
根据本发明提供的蜜场网络流量重定向系统,内核模块用于接收网络数据包,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包,然后将所拦截的目标网络数据包发送至用户态模块,用户态模块接收目标网络数据包,将所接收的目标网络数据包进行封装处理,并发送至数据包重定向引擎,接收数据包重定向引擎返回的响应数据包,对响应数据包进行解封处理,并转发给目标网络数据包的发起方,操作简单,能够保留目标网络数据包的原始IP,不会丢失数据信息,提高了数据包处理的准确性。
在本发明的另一个实施例中,如图2所示,所述蜜罐主机作为虚拟化的guest与所述数据包重定向引擎处于同一个主机内。
在本实施例中,蜜罐主机作为虚拟化的guest,与数据包重定向引擎处于同一个主机内,形成蜜罐主机嵌套式部署,嵌套式部署是蜜罐主机作为虚拟化的guest与数据包重定向引擎处于同一个主机的部署方式,数据包重定向引擎可以直接拦截蜜罐主机发出的响应数据包并进行封装处理。需要说明的是,如图2所示,其中agent是指客户端,蜜罐主机嵌套式部署方式,蜜罐主机不需要对响应数据包做任何操作,只需要记录并上报流量检测结果及报警消息即可。
需要说明的是,guest原意是指“客人”、“旅客”、“访客”的意思,在计算机中,guest是指让客人访问电脑系统的帐户,在windowsXP操作系统中称之为来宾帐户。
根据本发明提供的蜜场网络流量重定向系统,将蜜罐主机作为虚拟化的guest与数据包重定向引擎处于同一个主机内,操作简单,能够保证蜜场网络流量处理的准确性,提升用户体验。
在本发明的另一个实施例中,如图3所示,所述蜜罐主机与所述数据包重定向引擎位于不同的主机内;
所述蜜罐主机包括数据包收发服务,所述数据包收发服务用于接收所述数据包重定向引擎发送至所在蜜罐主机的目标网络数据包,还用于拦截所在蜜罐主机发送的所述目标网络数据包的响应数据包,并转发至所述数据包重定向引擎。
在本实施例中,蜜罐主机采用独立部署的方式,使蜜罐主机与重定向引擎位于不同的主机内,独立部署的蜜罐主机与数据包重定向引擎不存在host和guest的关系,数据包重定向引擎不用于直接拦截蜜罐主机发出的响应数据包。本实施例中,如图3所示,agent是指客户端,蜜罐主机包括数据包收发服务,用于接收数据包重定向引擎发送至所在蜜罐主机的目标网络数据包,还可以拦截蜜罐主机发送的响应数据包,并将该响应数据包转发给数据包重定向引擎。
需要说明的是,本实施例中,数据包收发服务是一种运行在蜜罐主机中配合数据包重定向引擎的服务,该数据包收发服务能够接收数据包重定向引擎转发到蜜罐主机的目标网络数据包,并拦截蜜罐主机发出的响应数据包转发给数据包重定向引擎。
需要说明的是,IP地址池用于提供修改目标网络数据包或响应数据包的IP地址和/或端口的信息,因为蜜场主机与客户端可能存在于不同的虚拟网络中,需要重定向到蜜场主机的网络流量中可能存在与蜜场内部的虚拟网络冲突的地址信息,目标网络数据包的地址端口在将目标网络数据包发送给蜜罐主机前需要替换为一一对应的另一组蜜场主机内不冲突的地址端口。
根据本发明提供的蜜场网络流量重定向系统,蜜罐主机与重定向引擎位于不同的主机内,蜜罐主机包括数据包收发服务,数据包收发服务用于接收数据包重定向引擎发送至所在蜜罐主机的目标网络数据包,还用于拦截所在蜜罐主机发送的目标网络数据包的响应数据包,并转发至数据包重定向引擎。能够保证数据包处理的准确性和效率,提升用户体验。
图4为本发明提供的一种蜜场网络流量重定向方法的流程示意图,如图4所示,本发明提供的蜜场网络流量重定向方法,应用于客户端,具体包括以下步骤:
步骤401:接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序。
在本实施例中,需要接收网络数据包,根据预先获取的端口配置信息与服务程序信息,确定出待重定向的目标网络数据包,需要说明的是,本实施例中是内核模块接收到用户态模块下发的端口配置信息,然后在网络数据包到达时,判断客户主机中对应的端口是否存在相应的服务程序,如果网络数据包的端口存在对应的服务程序则对该网络数据包进行放行,同时将网络数据包的五元组信息加入缓存,当该数据流中的后续网络数据包到达时直接对其进行快速放行;如果网络数据包的端口不存在对应的服务程序,则内核模块会截获该网络数据包,并将该网络数据包确定为目标网络数据包,同时将网络数据包的五元组信息进行缓存,当该数据流中的后续网络数据包到达时快速判断并截获,然后将截获的目标网络数据包发送给用户态模块。
需要说明的是,服务程序是指对外提供业务服务的用户态程序,比如nginx、apache、mysql、sshd这种。另外,用户态模块存在hook监听程序,用于监听内核模块上传的目标网络数据包,同时hook监听程序会避免跟业务的服务程序竞争同一个网络数据包。
需要说明的是,端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,服务程序信息用于描述业务主机中运行的服务程序。
步骤402:对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎。
在本实施例中,用户态模块用于对接收的目标网络数据包进行封装处理,然后将封装后的目标网络数据包传输至数据包重定向引擎,其中,数据封装(DataEncapsulation)是把业务数据映射到某个封装协议的净荷中,然后填充对应协议的包头,形成封装协议的数据包的方式。需要说明的是,封装方式采用现有技术中较成熟的封装方式,在此不作具体限定。
步骤403:接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
在本实施例中,用户态模块用于接收数据包重定向引擎返回的封装后的目标数据包所对应的响应数据包,然后对封装后的响应数据包进行解封处理,将解封处理后的响应数据包转发给目标数据包的发起方,其中,发起方是指发送目标数据包的攻击方。
根据本发明提供的蜜场网络流量重定向方法,接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;对目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎,接收数据包重定向引擎返回的封装后的目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给目标网络数据包的发起方,本发明提供的方法,操作简单,能够保留目标网络数据包的原始IP,不会丢失数据信息,提高了数据包处理的准确性。
在本发明的另一个实施例中,在所述接收目标网络数据包之前,方法还包括:
接收端口配置信息。
在本实施例中,需要在接收目标网络数据包之前,接收端口配置信息,该端口配置信息是用于描述待重定向的目标网络数据包所涉及的端口的信息,常见的端口配置信息,如mysql数据库默认端口号为3306,Django默认端口号为8000,Redis缓存处理软件默认端口为6379。
根据本发明提供的蜜场网络流量重定向方法,需要在接收目标网络数据包之前,接收端口配置信息,用于根据端口配置信息确定出待重定向的目标网络数据包,提高数据包处理的准确性。
在本发明的另一个实施例中,所述接收端口配置信息,包括:
用户态模块与蜜场管理中心建立通信连接;
用户态模块接收所述蜜场管理中心下发的端口配置信息,并将所述端口配置信息传输给所述内核模块。
在本实施例中,用户态模块与蜜场管理中心建立通信连接,然后用户态模块接收蜜场管理中心下发的端口配置信息,并将该端口配置信息传输给内核模块,用于确定待重定向的目标数据包。
根据本发明提供的蜜场网络流量重定向方法,用户态模块与蜜场管理中心建立通信连接,用户态模块接收所述蜜场管理中心下发的端口配置信息,并将所述端口配置信息传输给内核模块,能够准确确定出目标网络数据包,提高重定向处理的效率。
在本发明的另一个实施例中,所述基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包,包括:
所述内核模块判断所接收的网络数据包是否与已存储的待拦截数据流信息相匹配;
在相匹配的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
在不匹配的情况下,基于由用户态模块下发的所述端口配置信息和预先存储的服务程序信息,判断所接收的网络数据包所涉及的端口是否存在对应的服务程序;
在所述端口存在对应的服务程序的情况下,对所述网络数据包进行放行处理,并将所述网络数据包的信息作为待放行数据流信息加以存储;
在所述端口不存在对应的服务程序的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
将所述目标网络数据包的信息作为待拦截数据流信息加以存储。
在本实施例中,需要内核模块判断所接收的网络数据包是否与已存储的待拦截数据流信息相匹配,当接收的网络数据包与待拦截数据流信息相匹配时,确定该网络数据包为目标网络数据包,并拦截目标网络数据包,并传输给用户态模块,其中,待拦截数据流信息是指用之前已经确定要重定向给蜜罐主机的数据包所在数据流的信息。
当网络数据包与待拦截数据流信息不匹配时,基于由用户态模块下发的端口配置信息和预先存储的服务程序信息,判断所接收的网络数据包所涉及的端口是否存在对应的服务程序;当端口存在对应的服务程序时,对该网络数据包进行放行处理,并将该网络数据包的信息作为待放行数据流信息加以存储;当端口不存在对应的服务程序时,确定该网络数据包为目标网络数据包,拦截目标网络数据包,并传输给用户态模块,同时将该目标网络数据包的五元组信息加入缓存,还需要将目标网络数据包的信息作为待拦截数据流信息加以存储。
根据本发明提供的蜜场网络流量重定向方法,通过判断端口是否存在对应的服务程序来确定出目标网络数据包,并传输给用户态模块,能够准确确定出待重定向的目标数据包,提高数据包处理的效率。
在本发明的另一个实施例中,所述对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎,包括:
所述用户态模块从内核模块接收目标网络数据包;
将所述目标网络数据包作为载荷封装后发送至数据包重定向引擎。
在本实施例中,用户态模块通过hook监听程序实时监听内核模块上传的目标网络数据包,然后对目标网络数据包进行封装处理,将目标网络数据包作为载荷进行封装,封装后发送至数据包重定向引擎。需要说明的是,封装方式可以是隧道类封装协议,还可以是消息队列的封装方式,在此不作具体限定,
根据本发明提供的蜜场网络流量重定向方法,利用用户态模块从内核模块接收目标网络数据包,然后将目标网络数据包作为载荷封装后发送至数据包重定向引擎,能够保留目标数据包的信息,提高数据包处理的准确性。
在本发明的另一个实施例中,如图5所示,本实施例提供的蜜场网络流量重定向方法应用于客户端,客户端由内核部分与用户态部分组成,其中,用户态模块与蜜场管理中心进行通信,用于获取需要待重定向的端口配置信息,并下发给内核模块,同时利用hook监听程序监听内核模块向上发送的目标网络数据包,将目标网络数据包作为载荷进行封装,封装后发送给位于蜜场中的数据包重定向引擎,其中,封装方式可以是隧道类封装协议,也可以是消息队列等。
需要说明的是,用户态模块还用于接收蜜场中的数据包重定向引擎返回的响应数据包,对该响应数据包进行解封处理,解封装后发送给攻击源。
需要说明的是,内核模块用于接收用户态模块下发的端口配置信息,然后在网络数据包到达时,判断客户主机中对应的端口是否存在相应的服务程序,如果存在对应的服务程序则对该网络数据包进行放行,同时将该网络数据包的五元组信息加入缓存,当该数据流中的后续网络数据包到达时直接对其快速放行。如果不存在对应的服务程序,则内核模块会截获该网络数据包,并将该网络数据包确定为目标网络数据包,将该目标网络数据包的五元组信息加入缓存,当该数据流中的后续网络数据包到达时能欧快速判断并截获,然后将截获的目标网络数据包向上发送给用户态模块。
图6是本发明提供的另一种蜜场网络流量重定向方法的流程示意图,如图6所示,本发明提供的蜜场网络流量重定向方法,应用于数据包重定向引擎,具体包括以下步骤:
步骤601:接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的。
在本实施例中,数据包重定向引擎与客户端中的用户态模块进行通信,消息队列接收用户态模块发送的目标网络数据包,并对该目标网络数据包进行解封处理,其中,目标网络数据包是客户端基于预先获取的端口配置信息与服务程序信息进行比较确定的,是在端口不存在对应的服务程序时确定下来的。需要说明的是,服务程序是指对外提供业务服务的用户态程序,比如nginx、apache、mysql、sshd。
步骤602:对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机。
在本实施例中,需要对目标网络数据包的地址和/或端口信息进行修改,并将修改后的目标网络数据包发送给目标蜜罐主机。需要说明的是,本实施例中,根据预先获取的IP地址池修改地址端口后转发给相应的蜜罐主机,并记录原始五元组与修改后五元组对应关系。需要说明的是,需要对查询IP地址池中的地址信息的网络数据包做响应,以使蜜罐主机中的数据包接收服务可以正常发出目标网络数据包。
步骤603:接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
在本实施例中,需要接收目标蜜罐主机返回的目标网络数据包的响应数据包,对该响应数据包的地址和/或端口信息进行修改,并对修改后的响应数据包进行封装处理,然后将封装后的响应数据包发送至客户端。
需要说明的是,接收蜜罐主机返回的响应数据包,根据存储的五元组信息对应关系修改响应数据包的地址端口后,将响应数据包封装并转发给对应的客户端。其中,由于蜜场主机与客户端可能存在于不同的虚拟网络中,需要重定向到蜜场主机中的网络流量可能存在与蜜场内部的虚拟网络冲突的地址,需要将目标网络数据包的地址端口在发送给蜜罐主机前替换为一一对应的另一组蜜场内不冲突的地址端口,本实施例中通过IP地址池实现目标网络数据包或响应数据包的地址和/或端口信息的修改。
根据本发明提供的蜜场网络流量重定向方法,接收并解封目标网络数据包,然后对目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;接收目标蜜罐主机返回的目标网络数据包的响应数据包,对响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至客户端,本发明提供的方法,操作简单,能够保留目标网络数据包的原始IP,不会丢失数据信息,提高了数据包处理的准确性。
在本发明的另一个实施例中,所述对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机,包括:
判断所接收的目标网络数据包是否与已存储的重定向数据流信息相匹配;
在相匹配的情况下,按照所述重定向数据流信息修改所述目标网络数据包的地址和/或端口信息,将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息;
在不匹配的情况下,基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在,在存在的情况下,修改所述目标网络数据包的地址和/或端口信息,基于修改后的目标网络数据包的地址和/或端口信息生成重定向数据流信息并存储;将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息。
在本实施例中,需要判断所接收的目标网络数据包是否与已存储的重定向数据流信息相匹配,当两者相匹配时,按照重定向数据流信息修改目标网络数据包的地址和/或端口信息,将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息,形成一定的对应关系。
当目标网络数据包与重定向数据流信息不匹配时,需要基于预先获取的目标蜜罐主机的地址和/或端口信息判断目标蜜罐主机是否存在,在存在的情况下,修改目标网络数据包的地址和/或端口信息,基于修改后的目标网络数据包的地址和/或端口信息生成重定向数据流信息并存储,并将修改后的目标网络数据包发送至目标蜜罐主机,然后记录修改前后的地址和/或端口信息。
根据本发明提供的蜜场网络流量重定向方法,在数据包重定向引擎中判断接收到的目标网络数据包与预先存储的重定向数据流信息是否相匹配,然后通过修改目标网络数据包的地址和/或端口信息的方式将修改后的目标网络数据包发送给对应的目标蜜罐主机,通过设置的信息修改方式,保证数据包处理的准确性,提升了用户体验。
在本发明的另一个实施例中,在所述基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在之前,方法还包括:
从蜜场管理中心获取目标蜜罐主机的地址和/或端口信息,以及地址池;其中,所述地址池中的地址和/或端口信息用于修改目标网络数据包的地址和/或端口信息。
在本实施例中,数据包重定向引擎与蜜场管理中心进行通信,从蜜场管理中心获取目标蜜罐主机的地址和/或端口信息以及地址池,其中,地址池中的地址和/或端口信息用于修改目标网络数据包的地址和/或端口信息。需要说明的是,数据包重定向引擎还用于接收蜜罐主机所接收的流量检测结果和报警信息发送到蜜场管理中心中。
根据本发明提供的蜜场网络流量重定向方法,从蜜场管理中心获取目标蜜罐主机的地址和/或端口信息,以及地址池,通过地址池中的信息修改相关数据包的地址和/或端口信息,在保留数据包的原始IP地址信息中实现重定向处理,提高了数据包处理的准确性,提升了用户体验。
在本发明的另一个实施例中,所述对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端,包括:
基于预先记录的目标网络数据包修改前后的地址和/或端口信息,对所述目标网络数据包的响应数据包的地址和/或端口信息进行修改;
将修改后的响应数据包进行封装,将封装后的响应数据包发送至所述客户端。
在本实施例中,需要根据预先记录的目标网络数据包修改前后的地址和/或端口信息,修改响应数据包的地址和/或端口信息,并将修改后的响应数据包进行封装处理,然后将封装后的响应数据包发送给客户端。
根据本发明提供的蜜场网络流量重定向方法,基于预先记录的目标网络数据包修改前后的地址和/或端口信息,对目标网络数据包的响应数据包的地址和/或端口信息进行修改,并将修改后的响应数据包进行封装,将封装后的响应数据包发送至客户端,能够实现网络流量的准确定向,提高数据包处理的效率。
在本发明的另一个实施例中,如图7所示,数据包重定向引擎与蜜场管理中心通信,获取IP地址池,目标蜜罐主机的IP地址及端口信息,并且接收蜜罐主机上班的流量检测结果及报警消息,然后发送到蜜场管理中心。同时,还用于接收客户端发送的待重定向的目标网络数据包,根据IP地址池修改目标网络数据包的地址端口后转发给相应的蜜罐接收服务,并记录目标网络数据的原始五元组信息与修改后的五元组信息,确定两者之间的对应关系。
需要说明的是,还需要对IP地址池中查询到的地址信息所对应的的ARP包做响应,以使蜜罐接收服务可以正常发出目标网络数据包,同时接收蜜罐主机返回的响应数据包,根据存储的五元组信息对应关系修改响应数据包的地址端口信息,然后对响应数据包进行封装,封装后转发给对应的客户端。
需要说明的是,IP地址池用于提供修改目标网络数据包或响应数据包的IP地址及端口的虚拟装置,由于蜜场主机与客户端可能存在于不同的虚拟网络中,需要重定向到蜜场的流量可能存在与蜜场内部的虚拟网络冲突的地址,因此,需要将目标网络数据包地址端口在发送给蜜罐主机之前,替换为一一对应的另一组蜜场内不冲突的地址端口。
由于本发明实施例所述方法与上述实施例所述系统的原理相同,对于更加详细的解释内容在此不再赘述。
图8为本发明实施例中提供的电子设备实体结构示意图,如图8所示,本发明提供一种电子设备,包括:处理器(processor)801、存储器(memory)802和总线803;
其中,处理器801、存储器802通过总线803完成相互间的通信;
处理器801用于调用存储器802中的程序指令,以执行上述各方法实施例中所提供的方法,例如包括:接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序;对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎;接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
又例如:接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的;对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
本发明实施例中提供一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使所述计算机执行上述各方法实施例中所提供的方法,例如包括:接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序;对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎;接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
又例如:接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的;对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各实施例所提供的方法,该方法包括:接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序;对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎;接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
又例如:接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的;对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例中所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (16)
1.一种蜜场网络流量重定向系统,其特征在于,包括:客户端、数据包重定向引擎以及蜜罐主机;其中,
所述客户端位于业务主机内,用于接收网络数据包,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;用于将所述目标网络数据包进行封装处理,并发送至所述数据包重定向引擎;还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包,对所述响应数据包进行解封处理,并转发给所述目标网络数据包的发起方;
所述数据包重定向引擎位于蜜场内,用于接收目标网络数据包,并对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;还用于接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改后,将修改后的响应数据包封装并发送至所述客户端;
所述蜜罐主机位于蜜场内,用于对所接收到的目标网络数据包进行处理,并返回所述目标网络数据包的响应数据包。
2.根据权利要求1所述的蜜场网络流量重定向系统,其特征在于,所述客户端包括用户态模块和内核模块;其中,
所述内核模块用于接收网络数据包,并基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;用于将所拦截的目标网络数据包发送至所述用户态模块;
所述用户态模块用于从所述内核模块接收目标网络数据包,将所接收的目标网络数据包进行封装处理,并发送至所述数据包重定向引擎;还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包,对所述响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
3.根据权利要求1所述的蜜场网络流量重定向系统,其特征在于,所述蜜罐主机作为虚拟化的guest与所述数据包重定向引擎处于同一个主机内。
4.根据权利要求1所述的蜜场网络流量重定向系统,其特征在于,所述蜜罐主机与所述数据包重定向引擎位于不同的主机内;
所述蜜罐主机包括数据包收发服务,所述数据包收发服务用于接收所述数据包重定向引擎发送至所在蜜罐主机的目标网络数据包,还用于拦截所在蜜罐主机发送的所述目标网络数据包的响应数据包,并转发至所述数据包重定向引擎。
5.基于权利要求1至4任一项所述的蜜场网络流量重定向系统所实现的蜜场网络流量重定向方法,其特征在于,包括:
接收网络数据包,基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包;其中,所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息,所述服务程序信息用于描述业务主机中运行的服务程序;
对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎;
接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包,对封装后的响应数据包进行解封处理,并转发给所述目标网络数据包的发起方。
6.根据权利要求5所述的蜜场网络流量重定向方法,其特征在于,在所述接收目标网络数据包之前,方法还包括:
接收端口配置信息。
7.根据权利要求6所述的蜜场网络流量重定向方法,其特征在于,所述接收端口配置信息,包括:
用户态模块与蜜场管理中心建立通信连接;
用户态模块接收所述蜜场管理中心下发的端口配置信息,并将所述端口配置信息传输给所述内核模块。
8.根据权利要求5所述的蜜场网络流量重定向方法,其特征在于,所述基于预先获取的端口配置信息与服务程序信息,确定待重定向的目标网络数据包,包括:
所述内核模块判断所接收的网络数据包是否与已存储的待拦截数据流信息相匹配;
在相匹配的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
在不匹配的情况下,基于由用户态模块下发的所述端口配置信息和预先存储的服务程序信息,判断所接收的网络数据包所涉及的端口是否存在对应的服务程序;
在所述端口存在对应的服务程序的情况下,对所述网络数据包进行放行处理,并将所述网络数据包的信息作为待放行数据流信息加以存储;
在所述端口不存在对应的服务程序的情况下,确定所述网络数据包为目标网络数据包,拦截所述目标网络数据包,并传输给所述用户态模块;
将所述目标网络数据包的信息作为待拦截数据流信息加以存储。
9.根据权利要求1所述的蜜场网络流量重定向方法,其特征在于,所述对所述目标网络数据包进行封装处理,将封装后的目标网络数据包传输至数据包重定向引擎,包括:
所述用户态模块从内核模块接收目标网络数据包;
将所述目标网络数据包作为载荷封装后发送至数据包重定向引擎。
10.基于权利要求1至4任一项所述的蜜场网络流量重定向系统所实现的蜜场网络流量重定向方法,其特征在于,包括:
接收并解封目标网络数据包;其中,所述目标网络数据包是所述客户端基于预先获取的端口配置信息与服务程序信息确定的;
对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机;
接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包,对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端。
11.根据权利要求10所述的蜜场网络流量重定向方法,其特征在于,所述对所述目标网络数据包的地址和/或端口信息进行修改,将修改后的目标网络数据包发送至目标蜜罐主机,包括:
判断所接收的目标网络数据包是否与已存储的重定向数据流信息相匹配;
在相匹配的情况下,按照所述重定向数据流信息修改所述目标网络数据包的地址和/或端口信息,将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息;
在不匹配的情况下,基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在,在存在的情况下,修改所述目标网络数据包的地址和/或端口信息,基于修改后的目标网络数据包的地址和/或端口信息生成重定向数据流信息并存储;将修改后的目标网络数据包发送至目标蜜罐主机,并记录修改前后的地址和/或端口信息。
12.根据权利要求11所述的蜜场网络流量重定向方法,其特征在于,在所述基于预先获取的目标蜜罐主机的地址和/或端口信息判断所述目标蜜罐主机是否存在之前,方法还包括:
从蜜场管理中心获取目标蜜罐主机的地址和/或端口信息,以及地址池;其中,所述地址池中的地址和/或端口信息用于修改目标网络数据包的地址和/或端口信息。
13.根据权利要求10所述的蜜场网络流量重定向方法,其特征在于,所述对所述响应数据包的地址和/或端口信息进行修改,将修改后的响应数据包封装并发送至所述客户端,包括:
基于预先记录的目标网络数据包修改前后的地址和/或端口信息,对所述目标网络数据包的响应数据包的地址和/或端口信息进行修改;
将修改后的响应数据包进行封装,将封装后的响应数据包发送至所述客户端。
14.一种电子设备,其特征在于,包括:
处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求5至9中任一项所述蜜场网络流量重定向方法的步骤,或执行如权利要求10至13中任一项所述蜜场网络流量重定向方法的步骤。
15.一种计算机程序产品,所述计算机程序产品包括计算机可执行指令,其特征在于,所述指令在被执行时用于执行如权利要求5至9中任一项所述蜜场网络流量重定向方法的步骤,或执行如权利要求10至13中任一项所述蜜场网络流量重定向方法的步骤。
16.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使计算机执行如权利要求5至9中任一项所述蜜场网络流量重定向方法的步骤,或执行如权利要求10至13中任一项所述蜜场网络流量重定向方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210167925.XA CN114598510A (zh) | 2022-02-23 | 2022-02-23 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210167925.XA CN114598510A (zh) | 2022-02-23 | 2022-02-23 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114598510A true CN114598510A (zh) | 2022-06-07 |
Family
ID=81804998
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210167925.XA Pending CN114598510A (zh) | 2022-02-23 | 2022-02-23 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114598510A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
CN116260855A (zh) * | 2023-05-12 | 2023-06-13 | 北京百度网讯科技有限公司 | 通信方法、装置、电子设备以及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113783885A (zh) * | 2021-09-16 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 一种蜜罐网络代理方法及相关装置 |
-
2022
- 2022-02-23 CN CN202210167925.XA patent/CN114598510A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
US20170331858A1 (en) * | 2016-05-10 | 2017-11-16 | Quadrant Information Security | Method, system, and apparatus to identify and study advanced threat tactics, techniques and procedures |
CN107809425A (zh) * | 2017-10-20 | 2018-03-16 | 杭州默安科技有限公司 | 一种蜜罐部署系统 |
CN109768993A (zh) * | 2019-03-05 | 2019-05-17 | 中国人民解放军32082部队 | 一种高覆盖内网蜜罐系统 |
CN112291246A (zh) * | 2020-10-30 | 2021-01-29 | 四川长虹电器股份有限公司 | 一种在蜜罐场景下扩展攻击流量牵引能力的方法 |
CN112995162A (zh) * | 2021-02-07 | 2021-06-18 | 深信服科技股份有限公司 | 网络流量的处理方法及装置、电子设备、存储介质 |
CN113783885A (zh) * | 2021-09-16 | 2021-12-10 | 杭州安恒信息技术股份有限公司 | 一种蜜罐网络代理方法及相关装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115499242A (zh) * | 2022-10-11 | 2022-12-20 | 中电云数智科技有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
CN115499242B (zh) * | 2022-10-11 | 2023-12-26 | 中电云计算技术有限公司 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
CN116260855A (zh) * | 2023-05-12 | 2023-06-13 | 北京百度网讯科技有限公司 | 通信方法、装置、电子设备以及存储介质 |
CN116260855B (zh) * | 2023-05-12 | 2023-08-25 | 北京百度网讯科技有限公司 | 通信方法、装置、电子设备以及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114598510A (zh) | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 | |
CN110999265B (zh) | 管理云计算服务端点和虚拟机之间的网络连接性 | |
CN113326228B (zh) | 基于远程直接数据存储的报文转发方法、装置及设备 | |
CN105791315B (zh) | 一种udp协议加速方法和系统 | |
WO2017067391A1 (zh) | 虚拟机的数据共享方法及装置 | |
CN108848025B (zh) | 数据处理方法、智能网关、物联网系统 | |
EP3338396A1 (en) | Device and method for establishing connection in load-balancing system | |
CN110380959B (zh) | 转发报文方法和装置 | |
CN109196842B (zh) | 一种会话保持方法、设备及存储介质 | |
CN111262715B (zh) | 一种虚拟内网加速方法、系统和计算机设备 | |
CN111464505A (zh) | 消息处理方法、设备、装置、存储介质及处理器 | |
CN110691139B (zh) | 一种数据传输方法、装置、设备及存储介质 | |
CN111885004A (zh) | 一种应用层消息传输方法及通信接口平台 | |
CN111130982A (zh) | 报文转发方法、装置、网关设备及可读存储介质 | |
CN112187584B (zh) | 路径故障探测方法、系统、服务器及存储介质 | |
CN112217685A (zh) | 隧道探测方法、终端设备、系统、计算机设备和存储介质 | |
CN112118258B (zh) | 在蜜罐场景下获取攻击者信息的系统及方法 | |
CN108064441B (zh) | 一种加速网络传输优化方法以及系统 | |
CN108848202B (zh) | 电子装置、数据传输方法及相关产品 | |
CN113839894B (zh) | 报文处理方法及系统 | |
CN114666846A (zh) | 一种通信方法及网关设备 | |
CN113709016B (zh) | 通信系统以及通信方法、装置、设备和存储介质 | |
CN106850386B (zh) | 报文处理方法和设备 | |
CN113328921B (zh) | 一种虚拟网络的数据链路层通信方法及装置 | |
CN114221898B (zh) | 报文处理方法及网络系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |