CN116760607A - 蜜罐诱捕节点的建立方法及装置、介质、设备 - Google Patents

蜜罐诱捕节点的建立方法及装置、介质、设备 Download PDF

Info

Publication number
CN116760607A
CN116760607A CN202310777940.0A CN202310777940A CN116760607A CN 116760607 A CN116760607 A CN 116760607A CN 202310777940 A CN202310777940 A CN 202310777940A CN 116760607 A CN116760607 A CN 116760607A
Authority
CN
China
Prior art keywords
network
honeypot
equipment
virtual
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310777940.0A
Other languages
English (en)
Inventor
达盼飞
郑力达
李明蕊
王文君
陈曦
陆怡凡
刘骏文
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202310777940.0A priority Critical patent/CN116760607A/zh
Publication of CN116760607A publication Critical patent/CN116760607A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/26Special purpose or proprietary protocols or architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种蜜罐诱捕节点的建立方法及装置、介质和设备。方法包括:建立第一网络设备与第二网络设备之间的网络连接;获取待接入网络信息,并在第一网络设备中配置与待接入网络信息的接入网段,其中,接入网段属于第二网络设备对应的网段;获取虚拟网络信息,并在第一网络设备中配置与虚拟网络信息对应的虚拟网络地址,开放虚拟网络地址的全部端口,并将每个端口作为蜜罐诱捕节点,其中,虚拟网络地址属于接入网段;建立第一网络设备与蜜罐设备之间的网络连接,以使第一网络设备将请求重定向至蜜罐设备,其中,请求与虚拟网络地址相对应。本申请的方法解决了现有方法诱捕面较窄所导致的发现攻击者几率低下的问题。

Description

蜜罐诱捕节点的建立方法及装置、介质、设备
技术领域
本申请涉及网络安全领域,尤其是涉及到一种蜜罐诱捕节点的建立方法及装置、介质和设备。
背景技术
蜜罐技术通过布置一些作为诱饵的主机、网络服务或者信息,使得蜜罐看起来是一个真实的计算机系统,其中包含相应的应用服务和数据,迷惑攻击者使其认为蜜罐是一个真实的目标,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
一个业务网段中,属于蜜罐的IP越多,就越能增加攻击者的触碰几率,越能体现蜜罐的效果。然而目前的方法是通过添加网卡或者子网卡的方式,在网卡上承载IP地址的方式作为蜜罐诱捕节点,这种方式的弊端是必须要在系统上创建海量的IP地址,例如1个B段的网络地址有6万多个,如果都以网卡及IP显式配置的方式,对系统是极大的负担,因此,蜜罐诱捕节点的数量不能设置过多。此外,现有的蜜罐技术中,仅在每个节点中开放一个端口,伪装成正常的服务端口。综上,现有的蜜罐技术的诱捕面较窄,导致发现攻击者的几率不高。
发明内容
有鉴于此,本申请提供了一种蜜罐诱捕节点的建立方法及装置、介质和设备,解决了现有的蜜罐诱捕方法中诱捕面较窄所导致的发现攻击者几率低下的问题。
根据本申请的一个方面,提供了一种蜜罐诱捕节点蜜罐诱捕节点的建立方法,包括:
建立第一网络设备与第二网络设备之间的网络连接;
获取待接入网络信息,并在所述第一网络设备中配置与所述待接入网络信息的接入网段,其中,所述接入网段属于所述第二网络设备对应的网段;
获取虚拟网络信息,并在所述第一网络设备中配置与所述虚拟网络信息对应的虚拟网络地址,将每个所述虚拟网络地址作为蜜罐诱捕节点,并开放所述虚拟网络地址的全部端口,其中,所述虚拟网络地址属于所述接入网段,蜜罐诱捕节点用于采集外部设备发送的请求;
建立所述第一网络设备与蜜罐设备之间的网络连接,以使所述第一网络设备将请求重定向至所述蜜罐设备,其中,所述请求与所述蜜罐诱捕节点相对应。
可选地,所述将外部设备的请求重定向至所述蜜罐设备,包括:
响应于所述外部设备发送的寻址请求,解析所述寻址请求得到目标网络地址;
判断所述目标网络地址是否与所述虚拟网络地址匹配;
若不匹配,则丢弃所述寻址请求对应的请求包;
若匹配,则生成与所述寻址请求对应的第一应答信息,并将所述第一应答信息发送至所述外部设备,以使所述外部设备响应于所述第一应答信息,向所述第一网络设备发送流量数据;
响应于所述流量数据,判断所述流量数据对应的网络协议;
若所述网络协议为tcp或udp协议,则将所述流量数据转发至所述蜜罐设备,接收所述蜜罐设备反馈的与所述流量数据对应的第二应答信息,并将所述第二应答信息发送至所述外部设备。
可选地,在所述建立所述第一网络设备与蜜罐设备之间的网络连接之后,所述方法还包括:
若所述蜜罐设备为多个,则分别建立每个所述虚拟网络地址与所述蜜罐设备之间的映射,其中,每个所述虚拟网络地址对应一个所述蜜罐,每个所述蜜罐对应至少一个所述虚拟网络地址;
相应地,所述将所述流量数据转发至所述蜜罐设备,包括:
在多个所述蜜罐设备中,确定与所述目标网络地址存在映射关系的蜜罐设备为目标蜜罐设备;
将所述流量数据发送至所述目标蜜罐设备。
可选地,所述蜜罐设备部署有仿真服务;
相应地,在所述将所述流量数据转发至所述蜜罐设备之后,所述方法还包括:
所述蜜罐设备响应于所述流量数据,调用所述仿真服务,并利用所述仿真服务生成与所述流量数据对应的第二应答信息。
可选地,在所述将所述流量数据转发至所述蜜罐设备之后,所述方法还包括:
所述蜜罐设备响应于所述流量数据,根据所述流量数据对应的网络服务类型以及网络协议类型,生成与所述流量数据对应的第二应答信息。
可选地,在所述判断所述流量数据对应的网络协议之后,所述方法还包括:
若所述网络协议为icmp协议,则所述第一网络设备生成与所述icmp协议对应的第三应答信息,并将所述第三应答信息发送至所述外部设备。
可选地,所述方法还包括:
记录多个所述外部设备、每个外部设备对应的寻址请求以及流量数据,得到信息采集记录;
根据所述信息采集记录,得到外部设备对应的攻击行为分析结果。
根据本申请的另一方面,提供了一种蜜罐诱捕节点蜜罐诱捕节点的建立装置,所述装置包括:
第一连接模块,用于建立第一网络设备与第二网络设备之间的网络连接;
接入网段配置模块,用于获取待接入网络信息,并在所述第一网络设备中配置与所述待接入网络信息的接入网段,其中,所述接入网段属于所述第二网络设备对应的网段;
蜜罐诱捕节点配置模块,用于获取虚拟网络信息,并在所述第一网络设备中配置与所述虚拟网络信息对应的虚拟网络地址,将每个所述虚拟网络地址作为蜜罐诱捕节点,并开放所述虚拟网络地址的全部端口,其中,所述虚拟网络地址属于所述接入网段,所述蜜罐诱捕节点用于采集外部设备发送的请求;
第二连接模块,用于建立所述第一网络设备与蜜罐设备之间的网络连接,以使所述第一网络设备将外部设备的请求重定向至所述蜜罐设备,其中,所述请求与所述蜜罐诱捕节点相对应。
可选地,所述装置还包括代理模块,用于:
响应于所述外部设备发送的寻址请求,解析所述寻址请求得到目标网络地址;
判断所述目标网络地址与所述虚拟网络地址是否匹配;
若不匹配,则丢弃所述寻址请求对应的请求包;
若匹配,则生成与所述寻址请求对应的第一应答信息,并将所述第一应答信息发送至所述外部设备,以使所述外部设备响应于所述第一应答信息,向所述第一网络设备发送流量数据;
响应于所述流量数据,判断所述流量数据对应的网络协议;
若所述网络协议为tcp或udp协议,则将所述流量数据转发至所述蜜罐设备,接收所述蜜罐设备反馈的与所述流量数据对应的第二应答信息,并将所述第二应答信息发送至所述外部设备。
可选地,所述代理模块还用于:
若所述蜜罐设备为多个,则分别建立每个所述虚拟网络地址与所述蜜罐设备之间的映射,其中,每个所述虚拟网络地址对应一个所述蜜罐,每个所述蜜罐对应至少一个所述虚拟网络地址;
以及,
在多个所述蜜罐设备中,确定与所述目标网络地址存在映射关系的蜜罐设备为目标蜜罐设备;
将所述流量数据发送至所述目标蜜罐设备。
可选地,所述蜜罐设备部署有仿真服务;
相应地,所述装置还包括仿真模块,用于控制所述蜜罐设备响应于所述流量数据,调用所述仿真服务,并利用所述仿真服务生成与所述流量数据对应的第二应答信息。
可选地,所述仿真模块还用于,控制所述蜜罐设备响应于所述流量数据,根据所述流量数据对应的网络服务类型以及网络协议类型,生成与所述流量数据对应的第二应答信息。
可选地,所述装置还包括处理模块,用于:
若所述网络协议为icmp协议,则所述第一网络设备生成与所述icmp协议对应的第三应答信息,并将所述第三应答信息发送至所述外部设备。
可选地,所述装置还包括分析模块,用于:
记录多个所述外部设备、每个外部设备对应的寻址请求以及流量数据,得到信息采集记录;
根据所述信息采集记录,得到外部设备对应的攻击行为分析结果。
根据本申请又一个方面,提供了一种介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现上述蜜罐诱捕节点的建立方法。
根据本申请再一个方面,提供了一种设备,包括存储介质和处理器,所述存储介质存储有计算机程序所述处理器执行所述计算机程序时实现上述蜜罐诱捕节点的建立方法。
借由上述技术方案,本申请将第一网络设备作为代理,通过网络映射的方法,暴露给外部设备大量的虚拟网络地址,每个虚拟网络地址均可作为一个蜜罐诱捕节点,这样的设置不受实体设备限制,可在多个网段中设置大量蜜罐诱捕节点,极大地提升诱捕面。此外,每个虚拟地址均开放全部端口,无论外部设备访问哪个虚拟网络地址的哪个端口,其请求均被转发至实体蜜罐设备,进一步扩大了诱捕面,增加了发现攻击者的几率,有利于提高实际系统的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种蜜罐诱捕节点的建立方法的流程示意图;
图2示出了本申请实施例提供的另一种蜜罐诱捕节点的建立方法的设备连接示意图;
图3示出了本申请实施例提供的另一种蜜罐诱捕节点的建立方法的第一网络设备的结构框图;
图4示出了本申请实施例提供的另一种蜜罐诱捕节点的建立方法的寻址请求的处理流程示意图;
图5示出了本申请实施例提供的一种蜜罐诱捕节点的建立装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本实施例中提供了一种蜜罐诱捕节点的建立方法,如图1所示,该方法包括:
步骤101,建立第一网络设备与第二网络设备之间的网络连接。
步骤102,获取待接入网络信息,并在第一网络设备中配置与待接入网络信息的接入网段,其中,接入网段属于第二网络设备对应的网段。
步骤103,获取虚拟网络信息,并在第一网络设备中配置与虚拟网络信息对应的虚拟网络地址,将每个虚拟网络地址作为蜜罐诱捕节点,并开放虚拟网络地址的全部端口,其中,虚拟网络地址属于接入网段。
步骤104,建立第一网络设备与蜜罐设备之间的网络连接,以使第一网络设备将外部设备的请求重定向至蜜罐设备,其中,请求与蜜罐诱捕节点相对应。
本申请实施例提供的蜜罐诱捕节点的建立方法,可在不设置多个网卡的前提下,提供大量蜜罐诱捕节点,通过蜜罐诱捕节点采集外部设备发送的请求,进而对请求进行分析。该方法可应用于蜜罐技术中,将蜜罐诱捕节点伪装成真实的业务系统,以利用蜜罐诱捕节点诱使攻击方实施攻击,进而可分析攻击方的攻击行为,以对当前实际业务系统进行改进,提高业务系统的安全性。在此基础上,每个诱捕节点均开放全部端口,通过快速和低成本的方式创建大量诱捕节点,且每个节点都能暴露大量端口,提升诱捕面,提高被攻击的几率,因而更有利于发现攻击者。
网络的装配流程如下:首先建立第一网络设备与第二网络设备之间的网络连接,其中,第一网络设备可以为自研发的可接入多vlan并提供多个网络节点的网络设备,第二网络设备可以为第一网络设备对应的上层交换机。第一网络设备可以通过trunk的方式接入到第二网络设备上。
然后获取待接入网段信息,并根据待接入网段信息配置第一网络设备的接入网段。例如,若待接入网段信息包含192.168.1.128/26网段,则将该网段作为要接入的网段配置到第一网络设备上。可以理解的是,为了实现网络的连通,接入网段要属于第二网络设备对应的网段,也即第二网络设备可提供的网段。
之后获取虚拟网络信息,其中,虚拟网络地址是真实业务系统未使用的ip地址。根据虚拟网络信息在第一网络设备上配置需要对外暴露的虚拟网络地址,并将每个虚拟网络地址作为蜜罐诱捕节点,通过这样的设置可以得到大量蜜罐诱捕节点。此外,开放每个虚拟地址的所有端口,当外部设备攻击该虚拟网络地址,试图访问虚拟网络地址的某个端口时,即可捕获并记录该外部设备的攻击行为,并对其进行分析,以增强实际系统的安全性。
此外,由于网络安全域通常会要求不同的网段是隔离的,而且攻击者很可能是先在同一网段进行扫描,不会上来就扫描全网。所以如果只有一台蜜罐设备,那么攻击者的扫描行为很可能不会触碰到蜜罐,所以理想情况是在所有网段均部署诱捕节点。基于此,可接收多个待接入网段信息,从而在第一网络设备上配置多个接入网段,以实现多个不同网段均设置诱捕节点效果。
最后建立第一网络设备与蜜罐设备之间的网络连接,使得二者能通过三层网络互相访问。其中,蜜罐设备是事先部署好的,具备交互能力的实体设备。若第一网络设备接收到外部设备的请求,请求访问某个虚拟网络地址的任意端口,则可将该请求重定向至蜜罐设备,蜜罐设备对该请求进行反馈,并经由第一网络设备将反馈的信息转发至外部设备,实现外部设备与蜜罐设备之间的数据交互,从而记录并分析外部设备的攻击特点。
该实施例将第一网络设备作为代理,通过网络映射的方法,暴露给外部设备大量的虚拟网络地址,每个虚拟网络地址均可作为一个蜜罐诱捕节点,这样的设置不受实体设备限制,可在多个网段中设置大量蜜罐诱捕节点,极大地提升诱捕面。此外,每个虚拟地址均开放全部端口,无论外部设备访问哪个虚拟网络地址的哪个端口,其请求均被转发至实体蜜罐设备,进一步扩大了诱捕面,增加了发现攻击者的几率,有利于提高实际系统的安全性。
图2示出了本申请一个实施例的蜜罐诱捕节点的建立方法的设备连接示意图,如图所示,第二网络设备为上层交换机,为第一网络设备(也即多vlan海量节点设备)提供接入网络,第一网络设备以trunk的方式接入到第二网络设备上。而实体蜜罐设备通过三层网络与第一网络设备相连接,通过第一网络设备实现与外部设备之间的数据交互。
图3示出了本申请一个实施例的蜜罐诱捕节点的建立方法的第一网络设备的结构框图,如图所示,第一网络设备包括策略配置模块、vlan接入模块、虚拟地址模块、代理转发模块以及实时处理模块。其中,vlan接入模块用于将第一网络设备与第二网络设备连接,并使第一网络设备接入到实际的vlan中,使得第一网络设备具有在多个不同的vlan中产生虚拟网络地址也即诱捕IP的能力;虚拟地址模块用于在各个不同的vlan中产生大量的虚拟网络地址;代理转发模块用于在虚拟网络地址上开放虚假端口,诱使攻击者访问,一旦攻击者访问此端口,就将流量发送到对应的实体蜜罐设备上,并将实体蜜罐给予的响应代理反馈给攻击者,形成对应的交互;实时处理模块用于实时检测外部流量,并做出对应的响应处理;策略配置模块用于对vlan接入模块、虚拟地址模块以及代理转发模块进行配置,具体地,策略配置模块对vlan接入模块进行配置,配置第一网络设备可以接入的网络以及vlanID,对虚拟地址模块进行配置,配置各vlan上需要对外暴露的诱捕IP也即虚拟网络地址,从而形成蜜罐诱捕节点,对代理转发模块进行配置,配置将外部对虚拟地址节点的访问的流量转发到对应实体蜜罐的规则,从而使得代理转发模块可根据访问流量对应的不同协议内容,做出相应的处理。
进一步地,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,提供了另一种蜜罐诱捕节点的建立方法,在该方法中,将请求重定向至蜜罐设备,包括如下步骤:
步骤201,响应于外部设备发送的寻址请求,解析寻址请求得到目标网络地址。
步骤202,判断目标网络地址与虚拟网络地址是否匹配。
步骤203,若不匹配,则丢弃寻址请求对应的请求包。
步骤204,若匹配,则生成与寻址请求对应的第一应答信息,并将第一应答信息发送至外部设备,以使外部设备响应于第一应答信息,向第一网络设备发送流量数据。
步骤205,响应于流量数据,判断流量数据对应的网络协议。
步骤206,若网络协议为tcp或udp协议,则将流量数据转发至蜜罐设备,接收蜜罐设备反馈的与流量数据对应的第二应答信息,并将第二应答信息发送至外部设备。
在步骤201-206中,外部设备访问目标网络地址前,首先会进行ARP寻址,在对应的vlan中广播ARP寻址请求包,需要根据目标IP地址(也即目标网络地址)来请求获得对应的目标MAC地址。由于第一网络设备通过trunk方式接入到各个vlan中,因此如果请求ARP广播包所在vlan和第一网络设备接入的vlan一致,则第一网络设备能接收到对应的ARP请求包。也即,若第一网络设备接收到ARP寻址请求,则说明该ARP寻址请求的目标网络地址属于第一网络设备的接入网段。
此后可判断该ARP寻址请求的目标网络地址是否与虚拟网络地址匹配,若不匹配,也即外部设备要访问的地址不在虚拟网络地址中,则认为外部设备的访问目标非本设备,因此直接将该寻址请求对应的请求被丢弃,不进行响应。若匹配,则可进行下一步的应答操作。在该步骤中,由于每个虚拟网络地址均开放了全部端口,因此,无论请求的目标网络地址为哪个端口,只要IP匹配,即可捕获该请求,攻击被捕获的可能性大大提升,更有利于发现攻击者。
具体地,第一网络设备可响应于接收到的外部设备发出的ARP寻址请求,并对其进行应答。具体地,第一网络设备的实时处理模块加载并获取配置在第一网络设备上的所有虚拟网络地址,并解析寻址请求得到外部设备的目标网络地址,然后判断目标网络地址是否属于第一网络设备上的虚拟网络地址,也即判断目标网络地址与虚拟网络地址是否匹配。若找到与目标网络地址匹配的虚拟网络地址,则代表访问目标是该设备,因此进行ARP应答,生成与寻址请求对应的第一应答信息也即APR响应并发送至外部设备。其中,第一应答信息包括目标MAC地址和目标IP地址的对应关系。
外部设备接收到第一应答信息后,认为目标设备已经找到,可以开始正常的流量发送,因此就会将对应的流量数据发送给第一网络设备。而第一网络设备在接收到外部流量后,实时处理模块对外部访问请求流量进行协议解析,并根据网络协议类型进行相应的处理。具体地,若网络协议为tcp或udp协议,则第一网络设备将流量数据转发至蜜罐设备,蜜罐设备根据流量数据返回对应的第二应答信息,第一网络设备再将第二应答信息发送至外部设备,以实现外部设备请求流量的重定向以及外部设备与蜜罐设备之间的交互反馈。
该实施例利用第一网络设备实现代理功能,无论外部设备请求访问的是哪个虚拟网络地址,均可转发至实体蜜罐设备,并将第一网络设备作为中转,实现外部设备以及蜜罐设备之间的交互。
可选地,在建立第一网络设备与蜜罐设备之间的网络连接之后,方法还包括如下步骤:
若蜜罐设备为多个,则分别建立每个虚拟网络地址与蜜罐设备之间的映射,其中,每个虚拟网络地址对应一个蜜罐设备,每个蜜罐设备对应至少一个虚拟网络地址。
在该步骤中,蜜罐设备可设置为多个,此时可分别建立每个虚拟网络地址与蜜罐设备之间的映射,其中,虚拟网络地址与蜜罐设备之间的映射为m:1的关系,也即一个蜜罐设备可以对应一个或多个虚拟网络地址,而一个虚拟网络地址只能对应一个蜜罐设备。
通过这样的映射关系,可以将大量的虚拟网络地址与数量较少的蜜罐设备对应起来。还可根据映射关系在代理转发模块设置代理转发规则,代理转发规则用于限定针对每个虚拟网络地址的请求信息转发给哪个蜜罐设备。
相应地,将流量数据转发至蜜罐设备,包括:
步骤301,在多个蜜罐设备中,确定与目标网络地址存在映射关系的蜜罐设备为目标蜜罐设备。
步骤302,将流量数据发送至目标蜜罐设备。
在步骤301-302中,根据代理转发规则,将目标地址转换为最终对应的蜜罐设备的地址,并通过代理转发模块,将请求流量重定向到目标蜜罐设备上。具体地,由于代理转发规则体现了虚拟网络地址与蜜罐设备之间的映射,因此,根据代理转发规则即可确定与目标网络地址存在映射关系的蜜罐设备,并将其作为目标蜜罐设备,进而将外部设备发送的流量数据转发至目标蜜罐设备。
该实施例可设置多个蜜罐设备,并根据虚拟网络地址与蜜罐设备之间的映射关系设置代理转发规则,并利用代理转发规则指导流量数据的转发。相较于单一蜜罐设备,多个蜜罐设备可同时处理更多外部设备发送的请求,因此性能更高。
可选地,蜜罐设备部署有仿真服务;相应地,在将流量数据转发至蜜罐设备之后,方法还包括如下步骤:
蜜罐设备响应于流量数据,调用仿真服务,并利用仿真服务生成与流量数据对应的第二应答信息。
在该步骤中,蜜罐设备虽然设置在真实业务的网络环境内,但不承载实际业务,其上的信息也不对正常用户和业务公开。具体地,蜜罐设备部署有仿真服务,该仿真服务是基于实际系统中的真实服务设置的,能够模拟真实服务所提供的功能,可以与真实服务相同,也可以是真实服务的简化版本。在第一网络设备将外部设备发送的流量数据转发至蜜罐设备后,蜜罐设备针对该流量数据生成反馈信息也即第二应答信息,进而实现外部设备与蜜罐设备之间的交互。由于第二应答信息是利用仿真服务生成的,因此可以使得外部设备认为访问到了真实服务,并得到了真实服务的反馈信息。
可选地,在将流量数据转发至蜜罐设备之后,方法还包括:
蜜罐设备响应于流量数据,根据流量数据对应的网络服务类型以及网络协议类型,生成与流量数据对应的第二应答信息。
在该步骤中,蜜罐设备上也可以不部署仿真服务,通过无服务的方式降低对蜜罐设备的硬件要求以及部署复杂度。具体地,蜜罐设备根据网络服务类型以及网络协议类型生成第二应答信息并反馈给外部设备。若网络协议类型为udp类型,则直接获取数据流量的首包,进而通过首包分析攻击者的意图,并根据实际需求设置是否对其进行应答。若网络协议类型为tcp类型,则根据策略服务类型也即网络服务类型生成第二应答信息进行应答。此外,针对tcp类型的网络协议,也可直接获取数据流量的首包,进而通过首包分析攻击者的意图直接获取数据流量的首包,进而通过首包分析攻击者的意图。
该实施例设计了无服务蜜罐,由于蜜罐设备不部署仿真服务,相对于传统蜜罐来说,无服务蜜罐采用流量侧应答的方式,具备极强安全性以及简单接入能力。通过流量伪装诱捕地址,针对于伪装地址的icmp以及相关tcp与udp检测都可检测出扫描行为,同时对于内网蠕虫传播以及横向二次传播来说具备极强的发现能力。通过对应用层首包payload检测可检测出绝大多数攻击行为并立即告警。适合于对于入侵检测能力强需求的用户。
可选地,在判断流量数据对应的网络协议之后,方法还包括如下步骤:
若网络协议为icmp协议,则第一网络设备生成与icmp协议对应的第三应答信息,并将第三应答信息发送至外部设备。
在该步骤中,若网络协议为icmp协议,则由于icmp协议的特殊性,该协议与真实的业务服务无关,因此,第一网络设备之间生成对应的icmp标准应答也即第三应答信息并反馈给外部设备,而不再转发至蜜罐设备。
该实施例考虑到外部设备发送的流量数据可能基于不同的网络协议,因此分别针对不同网络协议做出不同的响应。由于icmp协议仅与主机有关,而与服务无关,因此基于icmp协议的流量数据不转发至提供仿真服务的蜜罐设备,而由第一网络设备直接应答,减轻了代理转发的压力以及蜜罐设备的工作负荷。
可选地,方法还包括如下步骤:
步骤401,记录多个外部设备、每个外部设备对应的寻址请求以及流量数据,得到信息采集记录。
步骤402,根据信息采集记录,得到外部设备对应的攻击行为分析结果。
在该步骤中,将每个外部设备发送的寻址请求以及流量数据均记录下来,形成信息采集记录,并对其进行分析。基于信息采集记录,可以分析外部设备的攻击方法以及工具,推测攻击意图,进而有针对性地增强实际系统的安全防护能力。
图4示出了本申请一个实施例的蜜罐诱捕节点的建立方法的寻址请求的处理流程示意图,该流程图适用于部署了仿真服务的蜜罐设备,图中步骤由第一网络设备的实时处理模块完成。如图所示,外部设备发送寻址请求至第一网络设备,若寻址请求对应的地址属于第一网络设备的接入vlan也即接入网段,第一网络设备接收该寻址请求并对其进行处理。具体地,读取第一网络设备中的本地虚拟地址列表,获取第一网络设备中配置的所有虚拟网络地址,并判断寻址请求对应的目的地址是否是虚拟网络地址,如果不是虚拟网络地址,则不响应该寻址请求,如果是虚拟网络地址则对其进行ARP应答。外部设备在接收到ARP应答后,向第一网络设备发送外部流量数据,第一网络设备接收到该流量数据后,判断流量数据对应的协议类型,若为tcp协议或udp协议,则读取代理转发规则并根据代理转发规则确定目标蜜罐设备,利用NAT地址转换将目标地址重定向至目标蜜罐设备的网络地址,进而将流量数据转发至目标蜜罐设备。若协议类型为icmp协议,则不将流量数据转发至蜜罐设备,而是直接由第一网络设备进行icmp的应答,也即虚地址应答。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
进一步地,作为上述蜜罐诱捕节点的建立方法的具体实现,本申请实施例提供了一种蜜罐诱捕节点的建立装置,如图5所示,该装置包括:第一连接模块、接入网段配置模块、蜜罐诱捕节点配置模块以及第二连接模块。
第一连接模块,用于建立第一网络设备与第二网络设备之间的网络连接;
接入网段配置模块,用于获取待接入网络信息,并在第一网络设备中配置与待接入网络信息的接入网段,其中,接入网段属于第二网络设备对应的网段;
蜜罐诱捕节点配置模块,用于获取虚拟网络信息,并在第一网络设备中配置与虚拟网络信息对应的虚拟网络地址,将每个虚拟网络地址作为蜜罐诱捕节点,并开放虚拟网络地址的全部端口,其中,虚拟网络地址属于接入网段,蜜罐诱捕节点用于采集外部设备发送的请求;
第二连接模块,用于建立第一网络设备与蜜罐设备之间的网络连接,以使第一网络设备将外部设备的请求重定向至蜜罐设备,其中,请求与蜜罐诱捕节点相对应。
在具体的应用场景中,可选地,装置还包括代理模块,用于:
响应于外部设备发送的寻址请求,解析寻址请求得到目标网络地址;
判断目标网络地址与虚拟网络地址是否匹配;
若不匹配,则丢弃寻址请求对应的请求包;
若匹配,则生成与寻址请求对应的第一应答信息,并将第一应答信息发送至外部设备,以使外部设备响应于第一应答信息,向第一网络设备发送流量数据;
响应于流量数据,判断流量数据对应的网络协议;
若网络协议为tcp或udp协议,则将流量数据转发至蜜罐设备,接收蜜罐设备反馈的与流量数据对应的第二应答信息,并将第二应答信息发送至外部设备。
在具体的应用场景中,可选地,代理模块还用于:
若蜜罐设备为多个,则分别建立每个虚拟网络地址与蜜罐设备之间的映射,其中,每个虚拟网络地址对应一个蜜罐,每个蜜罐对应至少一个虚拟网络地址;
以及,
在多个蜜罐设备中,确定与目标网络地址存在映射关系的蜜罐设备为目标蜜罐设备;
将流量数据发送至目标蜜罐设备。
在具体的应用场景中,可选地,蜜罐设备部署有仿真服务;
相应地,装置还包括仿真模块,用于控制蜜罐设备响应于流量数据,调用仿真服务,并利用仿真服务生成与流量数据对应的第二应答信息。
在具体的应用场景中,可选地,仿真模块还用于,控制蜜罐设备响应于流量数据,根据流量数据对应的网络服务类型以及网络协议类型,生成与流量数据对应的第二应答信息。
在具体的应用场景中,可选地,装置还包括处理模块,用于:
若网络协议为icmp协议,则第一网络设备生成与icmp协议对应的第三应答信息,并将第三应答信息发送至外部设备。
在具体的应用场景中,可选地,装置还包括分析模块,用于:
记录多个外部设备、每个外部设备对应的寻址请求以及流量数据,得到信息采集记录;
根据信息采集记录,得到外部设备对应的攻击行为分析结果。
需要说明的是,本申请实施例提供的一种蜜罐诱捕节点的建立装置所涉及各功能模块的其他相应描述,可以参考上述方法中的对应描述,在此不再赘述。
基于上述方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述蜜罐诱捕节点的建立方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1至图4所示的方法,以及图5所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种设备,具体可以为个人计算机、服务器、网络设备等,该电子设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1至图4所示的蜜罐诱捕节点的建立方法。
可选地,该电子设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如蓝牙接口、WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种电子设备结构并不构成对该电子设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理和保存电子设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各控件之间的通信,以及与该实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。的单元或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的单元可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的单元可以合并为一个单元,也可以进一步拆分成多个子单元。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (10)

1.一种蜜罐诱捕节点的建立方法,其特征在于,所述方法包括:
建立第一网络设备与第二网络设备之间的网络连接;
获取待接入网络信息,并在所述第一网络设备中配置与所述待接入网络信息的接入网段,其中,所述接入网段属于所述第二网络设备对应的网段;
获取虚拟网络信息,并在所述第一网络设备中配置与所述虚拟网络信息对应的虚拟网络地址,将每个所述虚拟网络地址作为蜜罐诱捕节点,并开放所述虚拟网络地址的全部端口,其中,所述虚拟网络地址属于所述接入网段,所述蜜罐诱捕节点用于采集外部设备发送的请求;
建立所述第一网络设备与蜜罐设备之间的网络连接,以使所述第一网络设备将所述请求重定向至所述蜜罐设备,其中,所述请求与所述蜜罐诱捕节点相对应。
2.根据权利要求1所述的方法,其特征在于,所述将所述的请求重定向至所述蜜罐设备,包括:
响应于所述外部设备发送的寻址请求,解析所述寻址请求得到目标网络地址;
判断所述目标网络地址与所述虚拟网络地址是否匹配;
若不匹配,则丢弃所述寻址请求对应的请求包;
若匹配,则生成与所述寻址请求对应的第一应答信息,并将所述第一应答信息发送至所述外部设备,以使所述外部设备响应于所述第一应答信息,向所述第一网络设备发送流量数据;
响应于所述流量数据,判断所述流量数据对应的网络协议;
若所述网络协议为tcp或udp协议,则将所述流量数据转发至所述蜜罐设备,接收所述蜜罐设备反馈的与所述流量数据对应的第二应答信息,并将所述第二应答信息发送至所述外部设备。
3.根据权利要求2所述的方法,其特征在于,在所述建立所述第一网络设备与蜜罐设备之间的网络连接之后,所述方法还包括:
若所述蜜罐设备为多个,则分别建立每个所述虚拟网络地址与所述蜜罐设备之间的映射,其中,每个所述虚拟网络地址对应一个所述蜜罐设备,每个所述蜜罐设备对应至少一个所述虚拟网络地址;
相应地,所述将所述流量数据转发至所述蜜罐设备,包括:
在多个所述蜜罐设备中,确定与所述目标网络地址存在映射关系的蜜罐设备为目标蜜罐设备;
将所述流量数据发送至所述目标蜜罐设备。
4.根据权利要求2所述的方法,其特征在于,所述蜜罐设备部署有仿真服务;
相应地,在所述将所述流量数据转发至所述蜜罐设备之后,所述方法还包括:
所述蜜罐设备响应于所述流量数据,调用所述仿真服务,并利用所述仿真服务生成与所述流量数据对应的第二应答信息。
5.根据权利要求2所述的方法,其特征在于,在所述将所述流量数据转发至所述蜜罐设备之后,所述方法还包括:
所述蜜罐设备响应于所述流量数据,根据所述流量数据对应的网络服务类型以及网络协议类型,生成与所述流量数据对应的第二应答信息。
6.根据权利要求2所述的方法,其特征在于,在所述判断所述流量数据对应的网络协议之后,所述方法还包括:
若所述网络协议为icmp协议,则所述第一网络设备生成与所述icmp协议对应的第三应答信息,并将所述第三应答信息发送至所述外部设备。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:
记录多个所述外部设备、每个外部设备对应的寻址请求以及流量数据,得到信息采集记录;
根据所述信息采集记录,得到所述外部设备对应的攻击行为分析结果。
8.一种蜜罐诱捕节点的建立装置,其特征在于,所述装置包括:
第一连接模块,用于建立第一网络设备与第二网络设备之间的网络连接;
接入网段配置模块,用于获取待接入网络信息,并在所述第一网络设备中配置与所述待接入网络信息的接入网段,其中,所述接入网段属于所述第二网络设备对应的网段;
蜜罐诱捕节点配置模块,用于获取虚拟网络信息,并在所述第一网络设备中配置与所述虚拟网络信息对应的虚拟网络地址,将每个所述虚拟网络地址作为蜜罐诱捕节点,并开放所述虚拟网络地址的全部端口,其中,所述虚拟网络地址属于所述接入网段,所述蜜罐诱捕节点用于采集外部设备发送的请求;
第二连接模块,用于建立所述第一网络设备与蜜罐设备之间的网络连接,以使所述第一网络设备将外部设备的请求重定向至所述蜜罐设备,其中,所述请求与所述蜜罐诱捕节点相对应。
9.一种存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1至7中任一项所述的方法。
10.一种电子设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7中任一项所述的方法。
CN202310777940.0A 2023-06-28 2023-06-28 蜜罐诱捕节点的建立方法及装置、介质、设备 Pending CN116760607A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310777940.0A CN116760607A (zh) 2023-06-28 2023-06-28 蜜罐诱捕节点的建立方法及装置、介质、设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310777940.0A CN116760607A (zh) 2023-06-28 2023-06-28 蜜罐诱捕节点的建立方法及装置、介质、设备

Publications (1)

Publication Number Publication Date
CN116760607A true CN116760607A (zh) 2023-09-15

Family

ID=87949484

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310777940.0A Pending CN116760607A (zh) 2023-06-28 2023-06-28 蜜罐诱捕节点的建立方法及装置、介质、设备

Country Status (1)

Country Link
CN (1) CN116760607A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118760A (zh) * 2023-10-24 2023-11-24 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117118760A (zh) * 2023-10-24 2023-11-24 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质
CN117118760B (zh) * 2023-10-24 2024-01-23 北京派网科技有限公司 基于伪网络的流量转发的威胁感知方法、装置和存储介质

Similar Documents

Publication Publication Date Title
EP3923551B1 (en) Method and system for entrapping network threat, and forwarding device
US10567431B2 (en) Emulating shellcode attacks
US10476891B2 (en) Monitoring access of network darkspace
US10091238B2 (en) Deception using distributed threat detection
US10805325B2 (en) Techniques for detecting enterprise intrusions utilizing active tokens
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
US9609019B2 (en) System and method for directing malicous activity to a monitoring system
US9356950B2 (en) Evaluating URLS for malicious content
CN111556061B (zh) 网络伪装方法、装置、设备及计算机可读存储介质
US20190253453A1 (en) Implementing Decoys In A Network Environment
CN111526132B (zh) 攻击转移方法、装置、设备及计算机可读存储介质
Dietz et al. IoT-botnet detection and isolation by access routers
US9516451B2 (en) Opportunistic system scanning
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
CN111083117A (zh) 一种基于蜜罐的僵尸网络的追踪溯源系统
Agrawal et al. The performance analysis of honeypot based intrusion detection system for wireless network
Agrawal et al. Wireless rogue access point detection using shadow honeynet
CN116760607A (zh) 蜜罐诱捕节点的建立方法及装置、介质、设备
CN112383511A (zh) 一种流量转发方法及系统
US10547638B1 (en) Detecting name resolution spoofing
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
CN111541701A (zh) 攻击诱捕方法、装置、设备及计算机可读存储介质
CN116527395A (zh) 一种网络威胁探测方法、装置及存储介质
Jin et al. Anomaly detection by monitoring unintended dns traffic on wireless network
Riordan et al. Building and deploying billy goat, a worm detection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination