CN115225349A - 一种蜜罐流量处理方法、装置、电子设备及存储介质 - Google Patents
一种蜜罐流量处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115225349A CN115225349A CN202210763857.3A CN202210763857A CN115225349A CN 115225349 A CN115225349 A CN 115225349A CN 202210763857 A CN202210763857 A CN 202210763857A CN 115225349 A CN115225349 A CN 115225349A
- Authority
- CN
- China
- Prior art keywords
- attack
- virtual
- honeypot
- address
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000005111 flow chemistry technique Methods 0.000 title claims abstract description 41
- 230000004044 response Effects 0.000 claims abstract description 73
- 238000001514 detection method Methods 0.000 claims description 53
- 230000004048 modification Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 235000012907 honey Nutrition 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000002829 reductive effect Effects 0.000 description 7
- 238000003672 processing method Methods 0.000 description 6
- 230000009467 reduction Effects 0.000 description 5
- 238000013519 translation Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000010979 ruby Substances 0.000 description 2
- 229910001750 ruby Inorganic materials 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种蜜罐流量处理方法、装置、电子设备及存储介质,该方法包括:通过虚拟网络设备接收攻击设备发送的攻击请求报文;对攻击请求报文的报文地址进行修改,获得修改后的请求报文;通过虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文;对蜜罐响应报文的报文地址进行还原,获得攻击响应报文;通过虚拟网络设备向攻击设备发送攻击响应报文。通过使用电子设备上运行的虚拟蜜罐设备(即运行有蜜罐系统的虚拟设备)和虚拟网络设备(即具有网络功能的虚拟设备)来处理攻击请求报文,从而避免了物理服务器上运行的蜜罐系统通过真实网络设备来响应攻击请求报文,有效地提高了对蜜罐流量处理的计算资源和网络资源的利用率。
Description
技术领域
本申请涉及网络安全、蜜罐系统和流量牵引的技术领域,具体而言,涉及一种蜜罐流量处理方法、装置、电子设备及存储介质。
背景技术
蜜罐系统(Honey-Pot System),是指一种软件应用系统,用来称当入侵诱饵,引诱攻击者前来攻击;在攻击者入侵后,通过监测与分析,就可以知道攻击者是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。
目前,为了避免打扰正常业务流量的处理过程,蜜罐系统通常是单独部署在一个物理服务器上的,然后,通过物理网关对正常业务流量和攻击流量进行分流,具体例如:通过物理网关识别出网络流量是否是攻击流量,若是,则将该攻击流量转发至蜜罐系统部署的服务器,以使蜜罐系统部署的服务器处理该攻击流量;否则,将该网络流量作为正常业务流量进行处理。在具体的实践过程中发现,物理网关与蜜罐系统部署的服务器的计算资源利用率较低,且物理网关与蜜罐系统部署的服务器之间的网络资源利用率较低,因此,目前对蜜罐流量处理的计算资源和网络资源的利用率较低。
发明内容
本申请实施例的目的在于提供一种蜜罐流量处理方法、装置、电子设备及存储介质,用于改善对蜜罐流量处理的计算资源和网络资源的利用率较低的问题。
本申请实施例提供了一种蜜罐流量处理方法,应用于电子设备,电子设备上运行有虚拟蜜罐设备和虚拟网络设备;该蜜罐流量处理方法包括:通过虚拟网络设备接收攻击设备发送的攻击请求报文;对攻击请求报文的报文地址进行修改,获得修改后的请求报文;通过虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文;对蜜罐响应报文的报文地址进行还原,获得攻击响应报文;通过虚拟网络设备向攻击设备发送攻击响应报文。在上述方案的实现过程中,通过使用电子设备上运行的虚拟蜜罐设备和虚拟网络设备来处理攻击请求报文,从而避免了物理服务器上运行的蜜罐系统通过真实网络设备来响应攻击请求报文,有效地提高了对蜜罐流量处理的计算资源和网络资源的利用率;进一步地,通过修改攻击请求报文的方式来将请求报文牵引至虚拟蜜罐设备,并使用虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文,使得攻击者被虚拟蜜罐设备发送的攻击响应报文所迷糊,从而增加了真实的业务服务器被攻击的难度。因此,通过上面的方式不仅提高了对蜜罐流量处理的计算资源和网络资源的利用率,而且也提高了网络环境的安全性。
可选地,在本申请实施例中,攻击请求报文的报文地址包括:来源地址和目标地址;对攻击请求报文的报文地址进行修改,获得修改后的请求报文,包括:将目标地址由虚拟网络设备的外网地址修改为虚拟蜜罐设备的内网地址;将来源地址由攻击设备的外网地址修改为虚拟网络设备的内网地址,获得修改后的请求报文。在上述方案的实现过程中,通过将目标地址由虚拟网络设备的外网地址修改为虚拟蜜罐设备的内网地址,并将来源地址由攻击设备的外网地址修改为虚拟网络设备的内网地址,从而有效地隔离了内网环境和外网环境,使得攻击者无法直接获知内网环境中的虚拟蜜罐设备的情况,从而进一步提升了内网环境中虚拟蜜罐设备的迷惑性。
可选地,在本申请实施例中,蜜罐响应报文的报文地址包括:来源地址和目标地址;对蜜罐响应报文的报文地址进行还原,获得攻击响应报文,包括:将目标地址由虚拟网络设备的内网地址还原为攻击设备的外网地址,获得还原后的响应报文;将来源地址由虚拟蜜罐设备的内网地址还原为虚拟网络设备的外网地址,获得攻击响应报文。在上述方案的实现过程中,通过将目标地址由虚拟网络设备的内网地址还原为攻击设备的外网地址,获得还原后的响应报文,并将来源地址由虚拟蜜罐设备的内网地址还原为虚拟网络设备的外网地址,从而有效地隔离了内网环境和外网环境,使得攻击者无法直接获知内网环境中的虚拟蜜罐设备的情况,从而进一步提升了内网环境中虚拟蜜罐设备的迷惑性。
可选地,在本申请实施例中,电子设备上还运行有虚拟检测设备;在通过虚拟网络设备接收攻击设备发送的攻击请求报文之后,还包括:将攻击请求报文进行复制,获得复制的攻击请求报文;使用虚拟检测设备对复制的攻击请求报文进行攻击检测,获得攻击检测结果。在上述方案的实现过程中,通过将攻击请求报文进行复制,获得复制的攻击请求报文,并使用虚拟检测设备对复制的攻击请求报文进行攻击检测,从而尽可能发现各种攻击企图、攻击行为或者攻击结果,以增加网络系统资源的安全性。
可选地,在本申请实施例中,获得攻击检测结果之后,还包括:判断攻击检测结果是否为存在恶意攻击;若是,则输出报警信号,和/或,根据攻击检测结果生成攻击检测报告。在上述方案的实现过程中,通过在攻击检测结果是存在恶意攻击的情况下,输出报警信号,和/或,根据攻击检测结果生成攻击检测报告,从而可能发现各种攻击企图、攻击行为或者攻击结果,以增加网络系统资源的安全性。
可选地,在本申请实施例中,电子设备上还运行有虚拟清洗设备;在通过虚拟网络设备接收攻击设备发送的攻击请求报文之后,还包括:通过虚拟网络设备向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗。在上述方案的实现过程中,通过虚拟网络设备向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗,从而可能虚拟清洗设备对攻击请求报文进行清洗,以增加网络系统资源的安全性。
可选地,在本申请实施例中,虚拟网络设备是基于Linux操作系统中的网络命名空间实现的,网络命名空间中设置有veth类型虚拟网卡。
本申请实施例还提供了一种蜜罐流量处理装置,应用于电子设备,电子设备上运行有虚拟蜜罐设备和虚拟网络设备;蜜罐流量处理装置包括:请求报文接收模块,用于通过虚拟网络设备接收攻击设备发送的攻击请求报文;请求报文修改模块,用于对攻击请求报文的报文地址进行修改,获得修改后的请求报文;响应报文生成模块,用于通过虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文;响应报文还原模块,用于对蜜罐响应报文的报文地址进行还原,获得攻击响应报文;响应报文发送模块,用于通过虚拟网络设备向攻击设备发送攻击响应报文。
可选地,在本申请实施例中,攻击请求报文的报文地址包括:来源地址和目标地址;请求报文修改模块,包括:目标地址修改模块,用于将目标地址由虚拟网络设备的外网地址修改为虚拟蜜罐设备的内网地址;来源地址修改模块,用于将来源地址由攻击设备的外网地址修改为虚拟网络设备的内网地址,获得修改后的请求报文。
可选地,在本申请实施例中,蜜罐响应报文的报文地址包括:来源地址和目标地址;响应报文还原模块,包括:目标地址还原模块,用于将目标地址由虚拟网络设备的内网地址还原为攻击设备的外网地址,获得还原后的响应报文;来源地址还原模块,用于将来源地址由虚拟蜜罐设备的内网地址还原为虚拟网络设备的外网地址,获得攻击响应报文。
可选地,在本申请实施例中,电子设备上还运行有虚拟检测设备;蜜罐流量处理装置,还包括:请求报文复制模块,用于将攻击请求报文进行复制,获得复制的攻击请求报文;报文攻击检测模块,用于使用虚拟检测设备对复制的攻击请求报文进行攻击检测,获得攻击检测结果。
可选地,在本申请实施例中,蜜罐流量处理装置,还包括:检测结果判断模块,用于判断攻击检测结果是否为存在恶意攻击;结果信号输出模块,用于若攻击检测结果是存在恶意攻击,则输出报警信号,和/或,根据攻击检测结果生成攻击检测报告。
可选地,在本申请实施例中,电子设备上还运行有虚拟清洗设备;蜜罐流量处理装置,还包括:请求报文转发模块,用于通过虚拟网络设备向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗。
可选地,在本申请实施例中,虚拟网络设备是基于Linux操作系统中的网络命名空间实现的,网络命名空间中设置有veth类型虚拟网卡。
本申请实施例还提供了一种电子设备,包括:处理器和存储器,存储器存储有处理器可执行的机器可读指令,机器可读指令被处理器执行时执行如上面描述的方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如上面描述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请实施例中的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出的本申请实施例提供的蜜罐流量处理方法的流程示意图;
图2示出的本申请实施例提供的电子设备与攻击设备的交互过程示意图;
图3示出的本申请实施例提供的攻击请求报文的处理过程示意图;
图4示出的本申请实施例提供的对攻击请求报文进行攻击检测的流程示意图;
图5示出的本申请实施例提供的蜜罐流量处理装置的结构示意图;
图6示出的本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请实施例中的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请实施例的详细描述并非旨在限制要求保护的本申请实施例的范围,而是仅仅表示本申请实施例中的选定实施例。基于本申请实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请实施例保护的范围。
可以理解的是,本申请实施例中的“第一”、“第二”用于区别类似的对象。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
在介绍本申请实施例提供的蜜罐流量处理方法之前,先介绍本申请实施例中所涉及的一些概念:
命名空间(Linux namespace)是linux内核针对实现虚拟化引入的一个特性,网络命名空间是Linux内核提供的6种命名空间之一,一个单独的命名空间可以被认为是隔离的拥有单独的环境(例如网络卡、路由转发表和iptables等)。网络命名空间经常用来隔离网络设备和服务,在同一个网络命名空间中的设备可以能够访问对方设备。
需要说明的是,本申请实施例提供的蜜罐流量处理方法可以被电子设备执行,这里的电子设备是指具有执行计算机程序功能的设备终端或者服务器,设备终端例如:智能手机、个人电脑、平板电脑、个人数字助理或者移动上网设备等。服务器是指通过网络提供计算服务的设备,服务器例如:x86服务器以及非x86服务器,非x86服务器包括:大型机、小型机和UNIX服务器。
下面介绍该蜜罐流量处理方法适用的应用场景,这里的应用场景包括但不限于:由于该蜜罐流量处理方法的电子设备上运行的是虚拟蜜罐设备(即运行有蜜罐系统的虚拟设备)和虚拟网络设备(即具有网络功能的虚拟设备),因此使用虚拟蜜罐设备和虚拟网络设备来处理攻击请求报文,可以使用该蜜罐流量处理方法来提高对蜜罐流量处理的计算资源和网络资源的利用率。还可以使用该蜜罐流量处理方法来增强蜜罐系统的功能,具体例如:将攻击请求报文牵引至虚拟蜜罐设备,并使用虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文,使得攻击者被虚拟蜜罐设备发送的攻击响应报文所迷糊,让攻击者感觉到电子设备上运行虚拟网络设备的真实性和更多虚拟网络设备带来的迷惑性,从而增加了真实的业务服务器被攻击的难度。
请参见图1示出的本申请实施例提供的蜜罐流量处理方法的流程示意图;该蜜罐流量处理方法可以应用于电子设备,即该蜜罐流量处理方法可以在电子设备上运行,该电子设备上可以运行有虚拟蜜罐设备和虚拟网络设备。蜜罐流量处理方法的主要思路是,由于该电子设备上运行虚拟蜜罐设备和虚拟网络设备,避免了使用真实的蜜罐服务器和真实的网络设备来牵引攻击请求报文流量,改善了传统使用真实的蜜罐服务器和网络设备来牵引流量导致资源占用过多的问题,从而有效地提高了对蜜罐流量处理的计算资源和网络资源的利用率。上述的蜜罐流量处理方法的实施过程可以包括:
步骤S110:通过虚拟网络设备接收攻击设备发送的攻击请求报文。
虚拟网络设备(Virtual Network Device)是具有网络功能的虚拟设备,此处的虚拟设备可以是在Linux命名空间(Linux namespace)中创建的虚拟主机,具体例如:使用向netns的命名空间中创建一个名为vm1的虚拟主机,那么使用Linux命令可以表示为:ipnetns add vm1。
请参见图2示出的本申请实施例提供的电子设备与攻击设备的交互过程示意图;本申请实施例的虚拟蜜罐设备和虚拟网络设备均可以根据具体情况进行设置,具体例如:将电子设备中的虚拟蜜罐设备设置为1、2、5和8个等等,将电子设备中的虚拟网络设备设置为1、2、5和8个等等。上述步骤S110的实施方式例如:攻击设备可以通过传输控制协议(Transmission Control Protocol,TCP)或者用户数据报协议(User Datagram Protocol,UDP)穿过互联网(广域网或局域网)向电子设备发送攻击请求报文。然后,电子设备可以通过虚拟网络设备接收互联网上的攻击设备发送的攻击请求报文,其中,虚拟网络设备通过TCP协议或者UDP协议接收攻击设备发送的攻击请求报文。
步骤S120:对攻击请求报文的报文地址进行修改,获得修改后的请求报文。
步骤S130:通过虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文。
虚拟蜜罐设备(Virtual Honeypot Device)是指运行有蜜罐系统(Honey PotSystem)的虚拟设备,由于不同的虚拟蜜罐设备运行的蜜罐系统有很大差异,因此,虚拟蜜罐设备根据请求报文生成的蜜罐响应报文也是有非常大的差异的。
步骤S140:对蜜罐响应报文的报文地址进行还原,获得攻击响应报文。
步骤S150:通过虚拟网络设备向攻击设备发送攻击响应报文。
在上述的实现过程中,通过使用电子设备上运行的虚拟蜜罐设备(即运行有蜜罐系统的虚拟设备)和虚拟网络设备(即具有网络功能的虚拟设备)来处理攻击请求报文,从而避免了物理服务器上运行的蜜罐系统通过真实网络设备来响应攻击请求报文,有效地提高了对蜜罐流量处理的计算资源和网络资源的利用率;进一步地,通过修改攻击请求报文的方式来将请求报文牵引至虚拟蜜罐设备,并使用虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文,使得攻击者被虚拟蜜罐设备发送的攻击响应报文所迷糊,从而增加了真实的业务服务器被攻击的难度。因此,通过上面的方式不仅提高了对蜜罐流量处理的计算资源和网络资源的利用率,而且也提高了网络环境的安全性。
请参见图3示出的本申请实施例提供的攻击请求报文的处理过程示意图;由于电子设备可以运行有多个虚拟蜜罐设备和多个虚拟网络设备,此处的多个虚拟蜜罐设备和多个虚拟网络设备的数量可以根据具体情况设置。本申请实施例中以一个虚拟蜜罐设备和两个虚拟网络设备为例进行说明,具体例如:图3中的电子设备上运行有一个虚拟蜜罐设备和两个虚拟网络设备,该虚拟蜜罐设备的内网地址(即蜜罐服务地址)可以是172.17.0.1,虚拟网络设备1和虚拟网络设备2等等,下面的实施例以图3中的虚拟网络设备1为例进行说明,虚拟网络设备2的修改方式与虚拟网络设备1类似,因此就不再赘述。假设仅有一个攻击设备,且该攻击设备的外网地址是10.36.18.4,那么攻击设备即可以通过虚拟网络设备1的外网地址发送攻击请求报文,也可以通过虚拟网络设备2的外网地址发送攻击请求报文。
可以理解的是,电子设备上运行的两个虚拟网络设备包括:虚拟网络设备1和虚拟网络设备2,其中,虚拟网络设备1(即有独立的命名空间1)可以设置有两个网卡,一个veth002网卡和一个Enp5s0.1网卡,可以在虚拟网络设备1的veth002网卡上设置其内网地址(即172.17.0.2),且可以在虚拟网络设备1的Enp5s0.1网卡上设置其外网地址(即10.36.3.21)。同理地,虚拟网络设备2(即有独立的命名空间1)可以包括一个veth003网卡和一个Enp5s0.3网卡,在虚拟网络设备2的veth003网卡上将内网地址设置为172.17.0.3,且在虚拟网络设备2的Enp5s0.3网卡上将外网地址设置为10.36.3.23。虚拟网络设备1和虚拟网络设备2分别拥有自己的网络命名空间,所以电子设备中的虚拟蜜罐设备难以访问到该网络命名空间中的数据,因此,为了虚拟蜜罐设备通过虚拟的内网与虚拟网络设备1相互通信,还可以分别为虚拟蜜罐设备1新建一个veth200网卡,该veth200网卡可以设置为虚拟网络设备1的veth002网卡的对端卡,具体的Linux命令可以表示为:ip link add veth002type veth peer name veth200;brctl addif br0 veth002。同理地,为了虚拟蜜罐设备通过虚拟的内网与虚拟网络设备2相互通信,还可以分别为虚拟蜜罐设备新建一个veth300网卡,该veth300网卡可以设置为虚拟网络设备2的veth003网卡的对端卡。
作为步骤S120的一种可选实施方式,上述的攻击请求报文的报文地址包括:来源地址(即图中的src地址)和目标地址(即图中的dst地址);对攻击请求报文进行修改的实施方式可以包括:
步骤S121:将目标地址由虚拟网络设备的外网地址修改为虚拟蜜罐设备的内网地址。
上述步骤S121的实施方式例如:以图3中的虚拟网络设备1为例进行说明,由于该攻击请求报文的目标地址是虚拟网络设备1的外网地址(10.36.3.21),因此,可以对该攻击请求报文进行目的网络地址转换(Destination Network Address Translation,DNAT),也就是说,使用第一iptables规则将目标地址(即图中的dst地址)由虚拟网络设备1的外网地址(10.36.3.21)修改为虚拟蜜罐设备的内网地址(172.17.0.1),此处的第一iptables规则可以根据具体情况设置,该第一iptables规则具体可以使用Linux命令表达例如:ip netnsexec vm1 iptables-t nat-A PREROUTING-p tcp-d 10.36.3.21--dport 8080-j DNAT--to 172.17.0.1:12345;其中,命令中8080端口为电子设备中的虚拟蜜罐设备暴露给攻击者的外网端口,命令中的12345端口为虚拟蜜罐设备提供的蜜罐仿真服务真正监听端口,此处的端口设置和映射配置也可以根据具体情况设置。
步骤S122:将来源地址由攻击设备的外网地址修改为虚拟网络设备的内网地址,获得修改后的请求报文。
上述步骤S122的实施方式例如:以图3中的虚拟网络设备1为例进行说明,由于攻击请求报文中的来源地址仍然是攻击设备的外网地址(10.36.18.4),因此,可以对该攻击请求报文进行来源网络地址转换(Source Network Address Translation,SNAT),也就是说,可以使用第二iptables规则将来源地址(即图中的src地址)由攻击设备的外网地址(10.36.18.4)修改为虚拟网络设备的内网地址(172.17.0.2),获得修改后的请求报文,同理此处的第二iptables规则可以根据具体情况设置,参考上面的第一iptables规则。
作为步骤S140的一种可选实施方式,上述的蜜罐响应报文的报文地址可以包括:来源地址(即图中的src地址)和目标地址(即图中的dst地址);对蜜罐响应报文进行还原的实施方式可以包括:
步骤S141:将目标地址由虚拟网络设备的内网地址还原为攻击设备的外网地址,获得还原后的响应报文。
上述步骤S141的实施方式例如:以图3中的虚拟网络设备1为例进行说明,由于该攻击响应报文的目标地址是虚拟网络设备1的内网地址(172.17.0.2),然而真正的目标地址是攻击设备的外网地址(10.36.18.4),因此,可以对该攻击响应报文进行目的网络地址转换(DNAT),也就是说,可以使用第三iptables规则将目标地址由虚拟网络设备的内网地址(172.17.0.2)修改还原为攻击设备的外网地址(10.36.18.4),获得还原后的响应报文,同理此处的第三iptables规则可以根据具体情况设置,参考上面的第一iptables规则。
步骤S142:将来源地址由虚拟蜜罐设备的内网地址还原为虚拟网络设备的外网地址,获得攻击响应报文。
上述步骤S142的实施方式例如:以图3中的虚拟网络设备1为例进行说明,由于攻击响应报文中的来源地址仍然是虚拟蜜罐设备的内网地址(172.17.0.1),然而内网地址可能无法在互联网等广域网中进行正确转发,因此,可以对该攻击响应报文进行来源网络地址转换(SNAT),也就是说,可以使用第四iptables规则将来源地址由虚拟蜜罐设备的内网地址(172.17.0.1)还原为虚拟网络设备的外网地址(10.36.3.21),获得攻击响应报文,同理此处的第四iptables规则可以根据具体情况设置,参考上面的第一iptables规则。
请参见图4示出的本申请实施例提供的对攻击请求报文进行攻击检测的流程示意图;作为上述蜜罐流量处理方法的一种可选实施方式,电子设备上还可以运行有虚拟检测设备;在接收攻击请求报文之后,还可以使用虚拟检测设备对攻击请求报文进行攻击检测,该实施方式可以包括:
步骤S210:将攻击请求报文进行复制,获得复制的攻击请求报文。
上述步骤S210的实施方式例如:使用预设编程语言编译或者解释的可执行程序将攻击请求报文进行复制,获得复制的攻击请求报文,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。
步骤S220:使用虚拟检测设备对复制的攻击请求报文进行攻击检测,获得攻击检测结果。
虚拟检测设备(Virtual Detection Device)是指安装有攻击检测系统或者入侵检测系统(Intrusion Detection Systems,IDS)的虚拟设备,此处的虚拟设备例如虚拟机。
上述步骤S220的实施方式例如:通过运行有攻击检测系统或者入侵检测系统(IDS)的虚拟检测设备对复制的攻击请求报文进行攻击检测,获得攻击检测结果,此处的入侵检测系统是指依照一定的安全策略,通过软件或者硬件对网络和系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以增加网络系统资源的机密性、完整性和可用性。
作为上述蜜罐流量处理方法的一种可选实施方式,获得攻击检测结果之后,还可以在检测出存在恶意攻击的情况下,输出报警信号,该实施方式可以包括:
步骤S230:判断攻击检测结果是否为存在恶意攻击。
步骤S240:若攻击检测结果是存在恶意攻击,则输出报警信号,和/或,根据攻击检测结果生成攻击检测报告。
上述步骤S230至步骤S240的实施方式例如:使用预设编程语言编译或者解释的可执行程序判断攻击检测结果是否为存在恶意攻击,可以使用的编程语言例如:C、C++、Java、BASIC、JavaScript、LISP、Shell、Perl、Ruby、Python和PHP等等。若使用可执行程序确定攻击检测结果是存在恶意攻击,则输出报警信号,和/或,根据攻击检测结果生成攻击检测报告。
作为上述蜜罐流量处理方法的一种可选实施方式,电子设备上还运行有虚拟清洗设备;在接收攻击请求报文之后,还可以对攻击请求报文进行清洗,该实施方式可以包括:
步骤S250:通过虚拟网络设备向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗。
上述步骤S250的实施方式例如:虚拟网络设备通过超文本传输协议(Hyper TextTransfer Protocol,HTTP)或者超文本传输安全协议(Hyper Text Transfer ProtocolSecure,HTTPS)向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗。
作为上述蜜罐流量处理方法的一种可选实施方式,虚拟网络设备是基于Linux操作系统中的网络命名空间实现的,网络命名空间中设置有veth类型虚拟网卡,veth类型虚拟网卡例如上述的相互通信的veth002网卡和veth200网卡,以及上述的相互通信的veth003网卡和veth300网卡,由于网络命名空间中的veth002网卡与作为宿主机的电子设备中的内网网络是隔离的,因此,可以使用veth类型虚拟网卡来让电子设备上的虚拟蜜罐设备与命名空间中的虚拟网络设备之间相互通信。
上述的电子设备中设置有macVlan类型虚拟网卡,macVlan类型虚拟网卡例如上述的Enp5s0.1网卡和Enp5s0.3网卡,macVlan类型虚拟网卡是用于电子设备与攻击设备之间相互通信的。
可以理解的是,通过网络命名空间中设置有veth类型虚拟网卡和电子设备中设置的macVlan类型虚拟网卡,从而有效地隔离了veth类型虚拟网卡对应的内网环境和macVlan类型虚拟网卡对应的外网环境,使得攻击者无法直接获知内网环境中的虚拟蜜罐设备的情况,从而进一步提升了内网环境中虚拟蜜罐设备的迷惑性。
本申请实施例中上面选择网络命名空间来实现虚拟网络设备,而不是使用docker等虚拟容器来实现虚拟网络设备,其具体原因在于,docker是使用多种命名空间(包含网络命名空间)实现的,因此使用docker来实现网络设备具有额外的内存资源消耗和进程资源开销。然而,本申请实施例中采用单个网络命名空间来实现虚拟网络设备,能够有效地节约内存资源消耗和进程资源开销,进一步提高了对蜜罐流量处理的计算资源和网络资源的利用率。
请参见图5示出的本申请实施例提供的蜜罐流量处理装置的结构示意图;本申请实施例提供了一种蜜罐流量处理装置300,应用于电子设备,电子设备上运行有虚拟蜜罐设备和虚拟网络设备;蜜罐流量处理装置包括:
请求报文接收模块310,用于通过虚拟网络设备接收攻击设备发送的攻击请求报文。
请求报文修改模块320,用于对攻击请求报文的报文地址进行修改,获得修改后的请求报文。
响应报文生成模块330,用于通过虚拟蜜罐设备根据修改后的请求报文生成蜜罐响应报文。
响应报文还原模块340,用于对蜜罐响应报文的报文地址进行还原,获得攻击响应报文。
响应报文发送模块350,用于通过虚拟网络设备向攻击设备发送攻击响应报文。
可选地,在本申请实施例中,攻击请求报文的报文地址包括:来源地址和目标地址;请求报文修改模块,包括:
目标地址修改模块,用于将目标地址由虚拟网络设备的外网地址修改为虚拟蜜罐设备的内网地址。
来源地址修改模块,用于将来源地址由攻击设备的外网地址修改为虚拟网络设备的内网地址,获得修改后的请求报文。
可选地,在本申请实施例中,蜜罐响应报文的报文地址包括:来源地址和目标地址;响应报文还原模块,包括:
目标地址还原模块,用于将目标地址由虚拟网络设备的内网地址还原为攻击设备的外网地址,获得还原后的响应报文。
来源地址还原模块,用于将来源地址由虚拟蜜罐设备的内网地址还原为虚拟网络设备的外网地址,获得攻击响应报文。
可选地,在本申请实施例中,电子设备上还运行有虚拟检测设备;蜜罐流量处理装置,还包括:
请求报文复制模块,用于将攻击请求报文进行复制,获得复制的攻击请求报文。
报文攻击检测模块,用于使用虚拟检测设备对复制的攻击请求报文进行攻击检测,获得攻击检测结果。
可选地,在本申请实施例中,蜜罐流量处理装置,还包括:
检测结果判断模块,用于判断攻击检测结果是否为存在恶意攻击。
结果信号输出模块,用于若攻击检测结果是存在恶意攻击,则输出报警信号,和/或,根据攻击检测结果生成攻击检测报告。
可选地,在本申请实施例中,电子设备上还运行有虚拟清洗设备;蜜罐流量处理装置,还包括:
请求报文转发模块,用于通过虚拟网络设备向虚拟清洗设备转发攻击请求报文,以使虚拟清洗设备对攻击请求报文进行清洗。
可选地,在本申请实施例中,虚拟网络设备是基于Linux操作系统中的网络命名空间实现的,网络命名空间中设置有veth类型虚拟网卡。
应理解的是,该装置与上述的蜜罐流量处理方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。该装置包括至少一个能以软件或固件(firmware)的形式存储于存储器中或固化在装置的操作系统(operating system,OS)中的软件功能模块。
请参见图6示出的本申请实施例提供的电子设备的结构示意图。本申请实施例提供的一种电子设备400,包括:处理器410和存储器420,存储器420存储有处理器410可执行的机器可读指令,机器可读指令被处理器410执行时执行如上的方法。
本申请实施例还提供了一种计算机可读存储介质430,该计算机可读存储介质430上存储有计算机程序,该计算机程序被处理器410运行时执行如上的方法。
其中,计算机可读存储介质430可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其他的方式实现。以上所描述的装置实施例仅是示意性的,例如,附图中的流程图和框图显示了根据本申请实施例的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以和附图中所标注的发生顺序不同。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这主要根据所涉及的功能而定。
另外,在本申请实施例中的各个实施例的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。此外,在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上的描述,仅为本申请实施例的可选实施方式,但本申请实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请实施例的保护范围之内。
Claims (10)
1.一种蜜罐流量处理方法,其特征在于,应用于电子设备,所述电子设备上运行有虚拟蜜罐设备和虚拟网络设备;所述方法包括:
通过所述虚拟网络设备接收攻击设备发送的攻击请求报文;
对所述攻击请求报文的报文地址进行修改,获得修改后的请求报文;
通过所述虚拟蜜罐设备根据所述修改后的请求报文生成蜜罐响应报文;
对所述蜜罐响应报文的报文地址进行还原,获得攻击响应报文;
通过所述虚拟网络设备向所述攻击设备发送所述攻击响应报文。
2.根据权利要求1所述的方法,其特征在于,所述攻击请求报文的报文地址包括:来源地址和目标地址;所述对所述攻击请求报文的报文地址进行修改,获得修改后的请求报文,包括:
将所述目标地址由所述虚拟网络设备的外网地址修改为所述虚拟蜜罐设备的内网地址;
将所述来源地址由所述攻击设备的外网地址修改为所述虚拟网络设备的内网地址,获得所述修改后的请求报文。
3.根据权利要求1所述的方法,其特征在于,所述蜜罐响应报文的报文地址包括:来源地址和目标地址;所述对所述蜜罐响应报文的报文地址进行还原,获得攻击响应报文,包括:
将所述目标地址由所述虚拟网络设备的内网地址还原为所述攻击设备的外网地址,获得还原后的响应报文;
将所述来源地址由所述虚拟蜜罐设备的内网地址还原为所述虚拟网络设备的外网地址,获得所述攻击响应报文。
4.根据权利要求1-3任一所述的方法,其特征在于,所述电子设备上还运行有虚拟检测设备;在所述通过所述虚拟网络设备接收攻击设备发送的攻击请求报文之后,还包括:
将所述攻击请求报文进行复制,获得复制的攻击请求报文;
使用所述虚拟检测设备对所述复制的攻击请求报文进行攻击检测,获得攻击检测结果。
5.根据权利要求4所述的方法,其特征在于,所述获得攻击检测结果之后,还包括:
判断所述攻击检测结果是否为存在恶意攻击;
若是,则输出报警信号,和/或,根据所述攻击检测结果生成攻击检测报告。
6.根据权利要求1-3任一所述的方法,其特征在于,所述电子设备上还运行有虚拟清洗设备;在所述通过所述虚拟网络设备接收攻击设备发送的攻击请求报文之后,还包括:
通过所述虚拟网络设备向所述虚拟清洗设备转发所述攻击请求报文,以使所述虚拟清洗设备对所述攻击请求报文进行清洗。
7.根据权利要求1-3任一所述的方法,其特征在于,所述虚拟网络设备是基于Linux操作系统中的网络命名空间实现的,所述网络命名空间中设置有veth类型虚拟网卡。
8.一种蜜罐流量处理装置,其特征在于,应用于电子设备,所述电子设备上运行有虚拟蜜罐设备和虚拟网络设备;所述蜜罐流量处理装置包括:
请求报文接收模块,用于通过所述虚拟网络设备接收攻击设备发送的攻击请求报文;
请求报文修改模块,用于对所述攻击请求报文的报文地址进行修改,获得修改后的请求报文;
响应报文生成模块,用于通过所述虚拟蜜罐设备根据所述修改后的请求报文生成蜜罐响应报文;
响应报文还原模块,用于对所述蜜罐响应报文的报文地址进行还原,获得攻击响应报文;
响应报文发送模块,用于通过所述虚拟网络设备向所述攻击设备发送所述攻击响应报文。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210763857.3A CN115225349B (zh) | 2022-06-29 | 2022-06-29 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210763857.3A CN115225349B (zh) | 2022-06-29 | 2022-06-29 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115225349A true CN115225349A (zh) | 2022-10-21 |
| CN115225349B CN115225349B (zh) | 2024-01-23 |
Family
ID=83609107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210763857.3A Active CN115225349B (zh) | 2022-06-29 | 2022-06-29 | 一种蜜罐流量处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115225349B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
| CN117811836A (zh) * | 2024-02-28 | 2024-04-02 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
| CN102307144A (zh) * | 2011-08-19 | 2012-01-04 | 杭州华三通信技术有限公司 | 一种trill网络中dhcp报文转发方法和路由桥 |
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN107786532A (zh) * | 2016-08-31 | 2018-03-09 | 西门子公司 | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
-
2022
- 2022-06-29 CN CN202210763857.3A patent/CN115225349B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
| CN102307144A (zh) * | 2011-08-19 | 2012-01-04 | 杭州华三通信技术有限公司 | 一种trill网络中dhcp报文转发方法和路由桥 |
| EP3057283A1 (en) * | 2015-02-16 | 2016-08-17 | Alcatel Lucent | A method for mitigating a security breach, a system, a virtual honeypot and a computer program product |
| CN107786532A (zh) * | 2016-08-31 | 2018-03-09 | 西门子公司 | 工业自动化系统和云连接器中使用虚拟蜜罐的系统和方法 |
| CN109361670A (zh) * | 2018-10-21 | 2019-02-19 | 北京经纬信安科技有限公司 | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 |
| CN112134857A (zh) * | 2020-09-07 | 2020-12-25 | 广州锦行网络科技有限公司 | 一种蜜罐系统多个节点绑定一个蜜罐的方法 |
| CN112738128A (zh) * | 2021-01-08 | 2021-04-30 | 广州锦行网络科技有限公司 | 一种新型蜜罐组网方法及蜜罐系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055445A (zh) * | 2022-12-21 | 2023-05-02 | 安天科技集团股份有限公司 | 一种蜜罐技术实现方法、装置及电子设备 |
| CN117811836A (zh) * | 2024-02-28 | 2024-04-02 | 北京长亭科技有限公司 | 一种流量转发与检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115225349B (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| CN109922075B (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| US11089057B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
| CN115225349B (zh) | 一种蜜罐流量处理方法、装置、电子设备及存储介质 | |
| CN112019575B (zh) | 数据包处理方法、装置、计算机设备以及存储介质 | |
| CN111314358B (zh) | 攻击防护方法、装置、系统、计算机存储介质及电子设备 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| US11483339B1 (en) | Detecting attacks and quarantining malware infected devices | |
| CN114281547B (zh) | 一种数据报文处理方法、装置、电子设备及存储介质 | |
| CN108259416B (zh) | 检测恶意网页的方法及相关设备 | |
| US10205738B2 (en) | Advanced persistent threat mitigation | |
| CN110809004A (zh) | 一种安全防护方法、装置、电子设备及存储介质 | |
| CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| EP2815350A2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| CN115296900B (zh) | 一种网络报文修正方法、装置、电子设备及存储介质 | |
| CN113542302B (zh) | 攻击干扰方法、装置、网关及可读存储介质 | |
| US11683327B2 (en) | Demand management of sender of network traffic flow | |
| CN114285660B (zh) | 蜜网部署方法、装置、设备及介质 | |
| CN113660199B (zh) | 流量攻击的防护方法、装置、设备及可读存储介质 | |
| CN115190077B (zh) | 控制方法、装置及计算设备 | |
| CN116781426B (zh) | 一种端口修复方法、装置、存储介质及电子设备 | |
| KR102156600B1 (ko) | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 | |
| JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |