CN118138257A - 内网异常设备探测方法、装置、设备及存储介质 - Google Patents

内网异常设备探测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN118138257A
CN118138257A CN202211537454.3A CN202211537454A CN118138257A CN 118138257 A CN118138257 A CN 118138257A CN 202211537454 A CN202211537454 A CN 202211537454A CN 118138257 A CN118138257 A CN 118138257A
Authority
CN
China
Prior art keywords
address
access request
detection
domain
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211537454.3A
Other languages
English (en)
Inventor
李峰
吕荣峰
童贞理
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202211537454.3A priority Critical patent/CN118138257A/zh
Publication of CN118138257A publication Critical patent/CN118138257A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种内网异常设备探测方法、装置、设备及存储介质。该方法应用于防火墙设备,防火墙设备位于预设网络架构中,包括:接收域内交换机发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址;访问请求是对应探测域网络内访问设备发送至域内交换机的;根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。本申请的方案能够扩大探测内网异常设备的范围。

Description

内网异常设备探测方法、装置、设备及存储介质
技术领域
本申请涉及信息安全技术,尤其涉及一种内网异常设备探测方法、装置、设备及存储介质。
背景技术
蜜罐是一种对网络攻击者进行欺骗的技术,通过发布伪装的系统服务、网络、数据库等,引诱攻击者对其实施攻击,记录攻击源与攻击行为。通常包括蜜罐管理系统和蜜罐探针,蜜罐探针可以是伪装的服务器或服务,用于获取攻击数据并发送给蜜罐服务器,蜜罐管理系统用于对攻击数据进行存储或分析等。在内网中,可以通过蜜罐技术来探测内网中存在网络安全问题的异常设备。
现有技术中,存在以下三种部署蜜罐用于探测内网异常设备的方式。其一,将蜜罐和蜜罐管理系统集成在一台蜜罐服务器上,这种方式的探测范围有限,只能探测到访问蜜罐服务器上的蜜罐探针的异常设备。其二,在蜜罐服务器上虚拟出多个虚拟服务器,在每个虚拟服务器上部署蜜罐管理系统和蜜罐探针,或者直接部署多个蜜罐服务器,以扩大探测范围。这种方式需要较高的硬件成本,并且扩大的探测范围也有限。其三,将蜜罐探针部署到业务服务器中。这种方式无法对已存在业务服务的端口进行探测。
综上,现有技术中,探测内网异常设备的方法的探测范围有限。
发明内容
本申请提供一种内网异常设备探测方法、装置、设备及存储介质,用以解决现有技术中探测内网异常设备的方法的探测范围有限的问题。
根据本申请的第一方面,提供一种内网异常设备探测方法,所述方法应用于防火墙设备,所述防火墙设备位于预设网络架构中;所述预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述方法包括:
接收所述域内交换机发送的访问请求,所述访问请求包括目的IP地址,所述访问请求中包括的目的IP地址为虚拟IP地址;所述访问请求是对应探测域网络内访问设备发送至所述域内交换机的;
根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;
将所述修改后的访问请求发送给所述蜜罐服务器,以使蜜罐服务器基于所述修改后的访问请求确定所述访问设备为异常设备。
作为一种可选的实施方式,所述根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,包括:
在所述映射关系中查询与所述访问请求中包括的目的IP地址一致的虚拟IP地址;
获取与所述访问请求中包括的目的IP地址一致的虚拟IP地址具有映射关系的探测网卡IP地址;
将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
作为一种可选的实施方式,所述根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址之前,还包括:
获取第一预设数量的探测网卡IP地址,以及每个探测域网络中第二预设数量的虚拟IP地址;
对于每个探测域网络中的虚拟IP地址,执行以下操作,以获得虚拟IP地址与探测网卡IP地址映射关系:
若确定所述第二预设数量等于所述第一预设数量,则建立探测域网络中的各虚拟IP地址与各探测网卡IP地址一一对应的映射关系;
若确定所述第二预设数量小于第一预设数量,则建立探测域网络中的各虚拟IP地址与相同数量的探测网卡IP地址一一对应的映射关系。
作为一种可选的实施方式,所述访问请求中还包括目的端口,所述修改后的访问请求中还包括所述目的端口;
所述将所述修改后的访问请求发送给所述蜜罐服务器,包括:
若确定所述修改后的访问请求的目的端口属于预设允许访问端口,则将所述修改后的访问请求发送给所述蜜罐服务器。
作为一种可选的实施方式,所述预设网络架构中还包括域外交换机,所述域外交换机用于通过对应端口与防火墙设备及至少一个域内交换机通信连接;
所述接收所述域内交换机发送的访问请求,包括:
接收所述域内交换机通过所述域外交换机发送的访问请求,所述访问请求中还包括探测域网络标识,所述探测域网络标识是域外交换机基于访问请求的接收端口确定的。
作为一种可选的实施方式,所述将所述修改后的访问请求发送给所述蜜罐服务器之后,还包括:
接收所述蜜罐服务器发送的访问响应;所述访问响应中包括源IP地址和目的IP地址,所述访问响应中包括的源IP地址为探测网卡IP地址;
根据所述访问响应中包括的目的IP地址确定所述访问响应对应的探测域网络标识,并根据所述映射关系和所述访问响应对应的探测域网络标识,将所述访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应,修改后的访问响应对应的探测域标识与所述访问响应对应的探测域标识相同;
将所述修改后的访问响应通过所述域外交换机发送给所述探测域网络标识对应的域内交换机,以使所述域内交换机根据所述修改后的访问响应的目的IP地址将所述修改后的访问响应发送至对应的访问设备。
作为一种可选的实施方式,所述接收所述域内交换机发送的访问请求之后,还包括:
复制所述访问请求,获得所述访问请求的镜像报文;
将所述镜像报文发送给所述蜜罐服务器,以使所述蜜罐服务器对所述镜像报文进行解析,确定被攻击的虚拟IP地址。
根据本申请的第二方面,提供一种内网异常设备探测方法,所述方法应用于蜜罐服务器,所述蜜罐服务器位于预设网络架构中;所述预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述方法包括:
接收所述防火墙设备发送的修改后的访问请求,所述修改后的访问请求中包括的目的IP地址为探测网卡IP地址;所述探测网卡IP地址与虚拟IP地址具有映射关系,所述映射关系预先存储在所述防火墙设备内;
对所述修改后的访问请求进行解析,确定探测域网络内的异常设备。
作为一种可选的实施方式,所述方法应用于蜜罐服务器,所述蜜罐服务器位于预设网络架构中;所述预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述方法包括:
接收所述防火墙设备发送的修改后的访问请求,所述修改后的访问请求中包括的目的IP地址为探测网卡IP地址;所述探测网卡IP地址与虚拟IP地址具有映射关系,所述映射关系预先存储在所述防火墙设备内;
对所述修改后的访问请求进行解析,确定探测域网络内的异常设备。
作为一种可选的实施方式,所述对所述修改后的访问请求进行解析,确定探测域网络内的异常设备之后,还包括:
根据所述修改后的访问请求生成其对应的访问响应,所述访问响应包括源IP地址和目的IP地址,所述访问响应中包括的源IP地址为探测网卡IP地址;
将所述访问响应发送给所述防火墙设备,以使所述防火墙设备将所述访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。
根据本申请的第三方面,提供一种内网异常设备探测装置,所述装置应用于防火墙设备,所述防火墙设备位于预设网络架构中;所述预设网络架构还包括蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述装置包括:
第一接收模块,用于接收所述域内交换机发送的访问请求,所述访问请求包括目的IP地址,所述访问请求中包括的目的IP地址为虚拟IP地址;所述访问请求是对应探测域网络内访问设备发送至所述域内交换机的;
修改模块,用于根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;
第一发送模块,用于将所述修改后的访问请求发送给所述蜜罐服务器,以使蜜罐服务器基于所述修改后的访问请求确定所述访问设备为异常设备。
根据本申请的第四方面,提供一种内网异常设备探测装置,所述装置应用于蜜罐服务器,所述蜜罐服务器位于预设网络架构中;所述预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述装置包括:
第二接收模块,用于接收所述防火墙设备发送的修改后的访问请求,所述修改后的访问请求中包括的目的IP地址为探测网卡IP地址;所述探测网卡IP地址与虚拟IP地址具有映射关系,所述映射关系预先存储在所述防火墙设备内;
解析模块,用于对所述修改后的访问请求进行解析,确定探测域网络内的异常设备。
根据本申请的第五方面,提供一种防火墙设备,包括:存储器,处理器和收发器;
所述存储器,所述处理器和所述收发器电路互连;
所述存储器存储计算机执行指令;
所述收发器用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第一方面中所述的方法。
根据本申请的第六方面,提供一种蜜罐服务器,包括:存储器,处理器和收发器;
所述存储器,所述处理器和所述收发器电路互连;
所述存储器存储计算机执行指令;
所述收发器用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如第二方面中所述的方法。
根据本申请的第七方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如第一方面或第二方面中所述的方法。
本申请提供的内网异常设备探测方法、装置、设备及存储介质,内网异常设备探测方法应用于防火墙设备,所述防火墙设备位于预设网络架构中;所述预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;通过接收所述域内交换机发送的访问请求,所述访问请求包括目的IP地址,所述访问请求中包括的目的IP地址为虚拟IP地址;所述访问请求是对应探测域网络内访问设备发送至所述域内交换机的;根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;将所述修改后的访问请求发送给所述蜜罐服务器,以使蜜罐服务器基于所述修改后的访问请求确定所述访问设备为异常设备。由于蜜罐服务器的每一个探测网卡具有不同的探测网卡IP地址,每个探测域网络内配置第二预设数量的虚拟IP地址,防火墙设备可以根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,修改访问请求中的目的IP地址,因此,探测域网络内的异常设备在访问虚拟IP地址时,实际访问的设备为蜜罐服务器。蜜罐服务器上除了蜜罐管理系统对应的端口之外,其余的端口均可以开放,不存在已有业务端,对于固定提供服务的端口,也能够进行探测。对于异常设备来说,各探测网卡IP地址对应的虚拟IP地址,是不同的设备。通过增加探测网卡IP地址的数量就能够增加各探测域网络中虚拟IP地址的数量,提高异常设备访问到蜜罐服务器的概率,在不增加硬件的前提下,扩大探测范围。综上,本申请的方案,能够扩大探测内网异常设备的范围。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是根据本申请实施例提供的内网异常设备探测方法的应用场景对应的网络架构图;
图2是根据本申请实施例一提供的内网异常设备探测方法的流程示意图;
图3是根据本申请实施例八提供的内网异常设备探测方法的流程示意图;
图4是根据本申请实施例十一提供的内网异常设备探测装置的结构示意图;
图5是根据本申请实施例十二提供的内网异常设备探测装置的结构示意图;
图6是根据本申请实施例十三提供的防火墙设备的结构示意图;
图7是根据本申请实施例十四提供的蜜罐服务器的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
以下对本申请所涉及的现有技术进行详细说明及分析。
蜜罐是一种对网络攻击者进行欺骗的技术,通常包括蜜罐管理系统和蜜罐探针,蜜罐探针可以是伪装的服务器或服务,例如网页服务、数据库服务等,用于获取攻击数据并发送给蜜罐服务器,蜜罐管理系统用于对攻击数据进行存储或分析。
在内网中,蜜罐技术可以用户探测内网中存在网络安全问题的异常设备。攻击者在控制内网设备之后,会通过纵向攻击和横向渗透等,不断地提升自己的权限并进一步入侵组织内部更多的设备和服务器,以求控制更多的设备和服务器,直至获得核心电脑和服务器的控制权。这些攻击和渗透都会产生异常扫描、探测、访问和链接。由于蜜罐没有其他的任务需要完成,因此,蜜罐获取到的任何流量、任何与蜜罐进行交互的设备都被视为是可疑的。
现有技术中,存在以下三种部署蜜罐用于探测内网异常设备的方法。
第一种方式,将蜜罐探针和蜜罐管理系统部署均部署在蜜罐服务器上,蜜罐探针可以是在蜜罐服务器上伪装的服务。将蜜罐服务器接入内网中,内网中的异常设备可以通过蜜罐服务器的互联网协议IP地址访问蜜罐服务器,并可以通过端口号访问蜜罐探针伪装的服务。这种方式部署的蜜罐,只有一个探测IP地址,即蜜罐服务器的IP地址,只有在异常设备通过蜜罐服务器的IP地址访问蜜罐探针提供的虚拟服务时,蜜罐探针才能够获取到异常设备发送的攻击数据,其探测到异常设备的概率较低,探测范围有限。
第二种方式,在蜜罐服务器上虚拟出多个虚拟服务器,在每个虚拟服务器上部署蜜罐管理系统和蜜罐探针,蜜罐探针可以是部署在各虚拟服务器中的虚拟服务。或者,直接部署多个蜜罐服务器。将各虚拟服务器或蜜罐服务器接入内网中。这种方式在第一种方式的基础上,增加了探测IP地址的数量,各虚拟服务器的IP地址均为探测IP地址,提高了异常设备访问到蜜罐的概率,扩大了探测范围。但是,在一台服务器上虚拟多个虚拟服务器,需要消耗大量硬件资源,对服务器的硬件性能要求较高。而部署多个蜜罐服务器,又需要多台服务器,将大量服务器用于部署蜜罐,过于浪费资源。并且,采用这种方式扩大探测范围需要依赖硬件资源,扩大的范围有限。
第三种方式,将蜜罐管理系统部署在蜜罐服务器上,将蜜罐探针部署在内网中的业务服务器上。这种方式可以在内网中的任意设备上部署蜜罐探针,但是,对于已经存在业务服务的端口,例如用于文件传输服务的21端口、用于超文本传输服务的80端口等,为了避免业务冲突,就不能够部署虚拟服务。因此,这种方式仅能够在异常设备访问非已有业务端口时检测到异常设备,而无法对已有业务端口进行探测,探测范围有限。
综上,现有技术中,探测内网异常设备的方法的探测范围有限。
所以,在面对现有技术中的问题时,发明人通过创造性研究,为了能够扩大探测范围,首先需要能够对已有业务端口进行访问,同时,不能依赖硬件设备来扩大探测范围。由于任何与蜜罐进行交互的设备都被视为是可疑的,因此,只需要使蜜罐能够与内网中的设备进行交互,就可以探测到异常设备。而异常设备通过IP地址访问内网中的其它设备,因此,可以将蜜罐和蜜罐管理系统均部署在蜜罐服务器上,在局域网中设置指向蜜罐服务器的虚拟IP,使得异常设备访问任意一个虚拟IP时,实际访问的是蜜罐服务器,就可以在不增加硬件资源的同时,增加探测IP地址的数量,提高异常设备访问到蜜罐的概率,扩大探测范围。
所以发明人提出本申请的内网异常设备探测方法、装置、设备及存储介质,通过将方法应用于防火墙设备,防火墙设备位于预设网络架构中;预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;防火墙设备与蜜罐服务器以及各域内交换机通信连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量;方法包括:接收域内交换机发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址;访问请求是对应探测域网络内访问设备发送至域内交换机的;根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。由于蜜罐服务器的每一个探测网卡具有不同的探测网卡IP地址,每个探测域网络内配置第二预设数量的虚拟IP地址,防火墙设备可以根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,修改访问请求中的目的IP地址,因此,探测域网络内的异常设备在访问虚拟IP地址时,实际访问的设备为蜜罐服务器。蜜罐服务器上除了蜜罐管理系统对应的端口之外,其余的端口均可以开放,不存在已有业务端,对于固定提供服务的端口,也能够进行探测。对于异常设备来说,各探测网卡IP地址对应的虚拟IP地址,是不同的设备。通过增加探测网卡IP地址的数量就能够增加各探测域网络中虚拟IP地址的数量,提高异常设备访问到蜜罐服务器的概率,在不增加硬件的前提下,扩大探测范围。综上,本申请的方案,能够扩大探测内网异常设备的范围。
本申请提供的内网异常设备探测方法、装置及存储介质,旨在解决现有技术的如上技术问题。下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
下面将对本申请实施例提供的内网异常设备探测方法的网络架构和应用场景进行介绍。下面的描述涉及附图时,除非另有表示,不同附图中的相同数据表示相同或相似的要素。
图1是本申请实施例提供的内网异常设备探测方法的应用场景对应的网络架构图。如图1所示,本申请实施例提供的一种应用场景对应的网络架构中包括:防火墙设备11、蜜罐服务器12、多个探测域网络13以及位于各探测域网络的域内交换机131。每个探测域网络13包括至少一个内网设备132。
防火墙设备11与蜜罐服务器12以及各探测域网络13的域内交换机131通信连接。例如,通过网络或光纤连接实现防火墙设备11与蜜罐服务器12以及防火墙设备11与各域内交换机131的通信连接。
蜜罐服务器12包括第一预设数量的探测网卡121。各探测网卡121具有不同的探测网卡互联网协议IP地址1211。
每个探测域网络13内配置有第二预设数量的虚拟IP地址133。各探测域网络13内虚拟IP地址133的数量可以不同,第二预设数量小于或等于第一预设数量。
防火墙设备11可以接收域内交换机131发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址,访问请求是域内交换机131对应探测域网络13内的访问设备发送至域内交换机131的。访问设备可以是探测域网络13内的任意的内网设备132。
防火墙设备在接收到访问请求之后,可以根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。
蜜罐服务器12可以接收防火墙设备11发送的修改后的访问请求,修改后的访问请求中包括的目的IP地址为探测网卡IP地址。探测网卡IP地址与虚拟IP地址具有映射关系,映射关系预先存储在防火墙设备内。
蜜罐服务器12可以对修改后的访问请求进行解析,确定探测域网络13内的异常设备。
下面将结合附图,对本申请的实施例进行描述。以下实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
实施例一
图2是根据本申请实施例一提供的内网异常设备探测方法的流程示意图。如图2所示,本申请的执行主体为内网异常设备探测装置,该内网异常设备探测装置位于防火墙设备中,防火墙设备位于预设网络架构中。预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机。防火墙设备与蜜罐服务器以及各域内交换机通信连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量。本实施例提供的内网异常设备探测方法包括步骤201至步骤203。
步骤201,接收域内交换机发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址;访问请求是对应探测域网络内访问设备发送至域内交换机的。
本实施例中,探测域网络可以理解为一个局域网,探测域网络可以是内网中的局域网或隔离区(demilitarized zone,DMZ)等。各探测域网络内配置有第二预设数量的虚拟IP地址,并且各探测域网络中虚拟IP地址的数量可以不相同。探测域网络中的虚拟IP地址与探测域网络中的设备的IP地址属于同一网段。当探测域网络中存在异常设备时,异常设备往往会对探测域网络中的设备、端口进行扫描。例如,使用因特网控制报文协ICMP中的ping命令测试网络可达性,获取到探测域网络中的设备IP地址。
这里,防火墙设备可以被设置为透明模式,由于探测域网络中的域内交换机与防火墙设备连接,防火墙设备与蜜罐服务器连接,并且可以将探测域网络中的虚拟IP地址转换为具有映射关系的探测网卡地址。因此,对于异常设备来说,探测域网络中的虚拟IP地址是可以连接的设备,该设备的介质访问控制MAC地址为与虚拟IP地址存在映射关系的探测网卡的MAC地址。
本实施例中,防火墙设备与域内交换机可以通过网线、光纤等进行连接。访问请求可以是因特网控制报文协议ICMP数据包、用户数据报协议UDP数据包、传输控制协议TCP数据包等。
本实施例中,虚拟IP地址可以是根据探测域网络中已有设备的IP地址随机生成的IP地址。
本实施例中,在异常设备对虚拟IP地址发起访问请求时,访问请求首先到达域内交换机,域内交换机通过其与防火墙设备连接的端口将访问请求转发给防火墙设备。这里,由于域内交换机是根据其各端口所连接的主机的MAC地址,对接收的数据进行转发的。而域内交换机通过防火墙设备与蜜罐服务器连接,因此,域内交换机有一个端口是与蜜罐服务器连接的,进而,域内交换机在接收到目的IP地址为虚拟IP地址的访问请求时,可以根据预先构建的IP地址与MAC地址映射表对访问请求进行转发,将访问请求转发至与防火墙设备连接的端口。防火墙设备接收到域内交换机发送的访问请求。
步骤202,根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
本实施例中,一个虚拟IP地址映射到一个探测网卡IP地址,属于同一个探测域网络中的虚拟IP地址映射到不同的探测网卡IP地址,属于不同探测域网络中的虚拟IP地址可以映射到相同的探测网卡IP地址。
防火墙设备在接收到域内交换机发送的访求请求之后,可以读取到访问请求中的目的IP地址,并在预先构建的虚拟IP地址与探测网卡IP地址的映射关系中,查找到目的IP地址修改为具有映射关系的探测网卡IP地址,进而将访问请求中的目的IP地址修改为具有映射关系的探测网卡IP地址,获得修改后访问请求。防火墙设备可以不对除了访问请求中包括的目的IP地址之外的其他任何信息进行修改。
其中,防火墙设备可以通过网络地址转换(Network Address Translation,简称NAT)技术对访问请求中包括的目的IP地址进行修改。
步骤203,将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。
本实施例中,防火墙设备与蜜罐服务器可以通过网线、光纤等进行连接。防火墙设备在获得修改后访问请求后,可以根据修改后访问请求中的目的IP地址确定修改后的访问请求的目的探测网卡,并将修改后的访问请求发送给目的探测网卡,以使得蜜罐服务器接收到修改后的访问请求。
本实施例提供的内网异常设备探测方法,应用于防火墙设备,防火墙设备位于预设网络架构中;预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;防火墙设备与蜜罐服务器以及各域内交换机通信连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量;通过接收域内交换机发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址;访问请求是对应探测域网络内访问设备发送至域内交换机的;根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。由于蜜罐服务器的每一个探测网卡具有不同的探测网卡IP地址,每个探测域网络内配置第二预设数量的虚拟IP地址,防火墙设备可以根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,修改访问请求中的目的IP地址,因此,探测域网络内的异常设备在访问虚拟IP地址时,实际访问的设备为蜜罐服务器。蜜罐服务器上除了蜜罐管理系统对应的端口之外,其余的端口均可以开放,不存在已有业务端,对于固定提供服务的端口,也能够进行探测。对于异常设备来说,各探测网卡IP地址对应的虚拟IP地址,是不同的设备。通过增加探测网卡IP地址的数量就能够增加各探测域网络中虚拟IP地址的数量,提高异常设备访问到蜜罐服务器的概率,在不增加硬件的前提下,扩大探测范围。综上,本申请的方案,能够扩大探测内网异常设备的范围。
实施例二
本实施例提供的内网异常设备探测方法,在实施例一的基础上,对步骤202进行细化,则步骤202细化包括步骤2021至步骤2023。
步骤2021,在映射关系中查询与访问请求中包括的目的IP地址一致的虚拟IP地址。
本实施例中,对于异常设备来说,虚拟IP地址是其想要或认为可连接的设备。因此,异常设备在发送访问请求时,访问请求中的目的IP地址为虚拟IP地址。防火墙设备在接收到访问请求后,可以读取到访问请求中的目的IP地址,并可以将访问请求中的目的IP地址作为关键字,在预先构建的虚拟IP地址与探测网卡IP地址的映射关系中进行查询,找到与目的IP地址一直的虚拟IP地址。
步骤2022,获取与访问请求中包括的目的IP地址一致的虚拟IP地址具有映射关系的探测网卡IP地址。
本实施例中,防火墙设备在找到与目的IP地址一致的虚拟IP地址后,可以获取到与虚拟IP地址具有映射关系的探测网卡IP地址,进而获取到与访问请求中包括的目的IP地址具有映射关系的探测网卡IP地址。
步骤2023,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
本实施例中,防火墙设备可以将访问请求的IP报头中的目的IP地址修改为与目的IP地址具有映射关系的探测网卡IP地址,获得修改后的访问请求。
本实施例提供的内网异常设备探测方法,通过在映射关系中查询与访问请求中包括的目的IP地址一致的虚拟IP地址;获取与访问请求中包括的目的IP地址一致的虚拟IP地址具有映射关系的探测网卡IP地址;将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求,由于在映射关系中查询与目的IP地址一致的虚拟IP地址,获得与目的IP地址具有映射关系的探测网卡IP地址,再将目的IP地址修改为其具有映射关系的探测网卡IP地址,因此,能够准确无误地对访问请求中的目的IP地址进行修改,确保访问请求能够发送给蜜罐服务器。
实施例三
本实施例提供的内网异常设备探测方法,在上述任意一个实施例的基础上,步骤202之前,还包括步骤301至步骤302。
步骤301,获取第一预设数量的探测网卡IP地址,以及每个探测域网络中第二预设数量的虚拟IP地址。
本实施例中,探测网卡IP地址的数量等于探测网卡的数量,探测网卡可以是实体网卡,也可以是虚拟网卡,示例性地,探测网卡可以是蜜罐服务器虚拟出的虚拟网卡。这里,由于虚拟IP地址需要由防火墙设备转换为探测网卡IP地址之后,才可以连接的,因此,在同一个探测域网络中,虚拟IP地址的数量需要小于或等于探测网卡IP地址的数量。
步骤302,对于每个探测域网络中的虚拟IP地址,执行以下操作,以获得虚拟IP地址与探测网卡IP地址映射关系:
若确定第二预设数量等于第一预设数量,则建立探测域网络中的各虚拟IP地址与各探测网卡IP地址一一对应的映射关系;
若确定第二预设数量小于第一预设数量,则建立探测域网络中的各虚拟IP地址与相同数量的探测网卡IP地址一一对应的映射关系。
本实施例中,对于一个探测域来说,若第二预设数量等于第一预设数量,则探测域网络中虚拟IP地址的数量与探测网卡IP地址的数量相同,只需要将虚拟IP地址与探测网卡IP地址一一对应形成映射关系,该探测域网络中的每一个虚拟IP地址对应一个探测网卡IP地址,且各虚拟IP地址对应不同的探测网卡IP地址。每一个探测网卡IP地址对应该探测域网络中的一个虚拟IP地址。
若第二预设数量小于第一预设数量,则探测域网络中虚拟IP地址的数量小于探测网卡IP地址的数量,只需要将该探测域网络中每一个虚拟IP地址与一个探测网卡IP地址对应,即将虚拟IP地址与相同数量的探测网卡IP地址一一对应形成映射关系,该探测域网络中的每一个虚拟IP地址对应一个探测网卡IP地址,且各虚拟IP地址对应不同的探测网卡IP地址。每一个虚拟IP地址对应该探测与网络中的一个或0个虚拟IP地址。
本实施例提供的内网异常设备探测方法,通过获取第一预设数量的探测网卡IP地址,以及每个探测域网络中第二预设数量的虚拟IP地址;对于每个探测域网络中的虚拟IP地址,执行以下操作,以获得虚拟IP地址与探测网卡IP地址映射关系:若确定第二预设数量等于第一预设数量,则建立探测域网络中的各虚拟IP地址与各探测网卡IP地址一一对应的映射关系;若确定第二预设数量小于第一预设数量,则建立探测域网络中的各虚拟IP地址与相同数量的探测网卡IP地址一一对应的映射关系。由于将每个探测域网络中的虚拟IP地址与探测网卡IP地址一一对应,因此,能够保证各探测域网络中的各虚拟IP地址均存在具有映射关系的探测网卡IP地址,各虚拟IP地址均是可以连接到的。
实施例四
本实施例提供的内网异常设备探测方法,在上述任意一个实施例的基础上,访问请求中还包括目的端口,修改后的访问请求中还包括目的端口;并对步骤203进行细化,则步骤203细化包括步骤2031。
步骤2031,若确定修改后的访问请求的目的端口属于预设允许访问端口,则将修改后的访问请求发送给蜜罐服务器。
本实施例中,预设允许访问端口可以是除了蜜罐服务器上蜜罐管理系统的维护、管理端口之外的其他所有端口,蜜罐管理系统的维护、管理端口数量较少且有限,一般为2至3个,至多不会超过5个。蜜罐管理系统的管理端口可以被预设为不允许访问端口。这里,为更好探测内网异常设备,蜜罐管理系统的维护、管理端口可以与标准服务端口完全不同。
在修改后的访问请求的目的端口为允许访问端口时,允许修改后的访问请求通过防火墙设备,即,将修改后的访问请求发送至目的IP地址对应的探测网卡。
在修改后的访问请求的目的端口为不允许访问的端口时,则不允许修改后的访问请求通过防火墙设备,即,丢弃修改后的访问请求。在目的端口为不允许访问的端口时,为保护蜜罐服务器自身的安全,防火墙设备可以将修改后的访问请求丢弃。
本实施例中,允许访问的端口可以由防火墙设备采用访问控制列表(AccessControl Lists,简称ACL)策略设置。ACL策略是一种指令列表,这些指令列表用来告诉防火墙设备哪些数据可以收、可以转发,哪些数据需要拒绝接收或拒绝转发。
本实施例提供的内网异常设备探测方法,访问请求中还包括目的端口,修改后的访问请求中还包括目的端口;通过若确定修改后的访问请求的目的端口属于预设允许访问端口,则将修改后的访问请求发送给蜜罐服务器。由于若确定修改后的访问请求的目的端口属于预设允许访问端口,则将修改后的访问请求发送给蜜罐服务器,因此,除了管理端口之外的其他端口均能够被异常设备访问,在保护蜜罐服务器自身不被攻击的同时,能够扩大探测范围。
实施例五
本实施例提供的内网异常设备探测方法,在上述任意一个实施例的基础上,预设网络架构中还包括域外交换机,域外交换机用于通过对应端口与防火墙设备及至少一个域内交换机通信连接;并对步骤201进行细化,则步骤201细化包括步骤2011。
步骤2011,接收域内交换机通过域外交换机发送的访问请求,访问请求中还包括探测域网络标识,探测域网络标识是域外交换机基于访问请求的接收端口确定的。
本实施例中,由于防火墙设备的端口数量有限,在探测域网络的数量较多时,还可以在防火墙设备与探测域网络之间增加域外交换机,域外交换机可以为二层交换机,二层交换机根据其地址表中各端口对应的MAC地址对各端口接收的数据进行转发。
域外交换机与防火墙设备之间可以通过光纤或网线连接,域外交换机与各探测域网络中的域内交换机之间可以通过光纤或网线连接。在防火墙设备与域内交换机之间通过域外交换机连接时,域内交换机可以直接与防火墙设备连接,也可以通过域外交换机与防火墙设备连接。在多个域内交换机均通过域外交换机与防火墙设备连接数,多个域内交换机可能接入了防火墙设备的同一个端口,为区分各域内交换机所在的探测域网络,访问请求中可以包括探测域网络标识。探测域网络标识可以是域外交换机根据访问请求的接收端口确定的。
示例性地,域外交换机可以为与不同域内交换机连接的链路端口分配不同的虚拟局域网标识vlan id,从而区分各链路。域外交换机与防火墙设备连接的端口可以被配置为透传trunk模式,将各vlan id透传到防火墙设备。防火墙设备与域外交换机连接的端口可以被配置为子接口模式,以启用网络二层功能,将子接口二层dot1q id与域外交换机各链路端口相对应,以区分各探测域网络。
作为一种可选的实施方式,防火墙可以将各端口和/或各子接口连接的探测域网络进行隔离,形成各探测域网络的网络安全域,以及蜜罐服务器的网络安全域,并且,可以禁止不同探测域网络之间的访问请求,保证各探测域网络之间的网络安全。
本实施例提供的内网异常设备探测方法,预设网络架构中还包括域外交换机,域外交换机用于通过对应端口与防火墙设备及至少一个域内交换机通信连接;通过接收域内交换机通过域外交换机发送的访问请求,访问请求中还包括探测域网络标识,探测域网络标识是域外交换机基于访问请求的接收端口确定的。由于防火墙设备通过域外交换机接收域内交换机发送的访问请求,可以与更多的探测域网络连接,因此,可以扩大探测域的范围。
实施例六
本实施例提供的内网异常设备探测方法,在上述任意一个实施例的基础上,步骤203之后,还包括步骤401至步骤403。
步骤401,接收蜜罐服务器发送的访问响应;访问响应中包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址。
本实施例中,访问响应是蜜罐服务器在接收到修改后的访问请求中,针对修改后的访问请求给出的响应。例如,可以是对异常设备发送的建立连接访问请求中的SYN报文的响应。蜜罐服务器可以将访问响应发送给防火墙设备,以使防火墙设备接受到访问响应。
可以理解的是,访问响应中包括的源IP地址为访问请求中包括的目的IP地址具有映射关系的探测网卡IP地址,访问响应中包括的目的IP地址为发起访问请求的异常设备的IP地址。
步骤402,根据访问响应中包括的目的IP地址确定访问响应对应的探测域网络标识,并根据映射关系和访问响应对应的探测域网络标识,将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应,修改后的访问响应对应的探测域标识与访问响应对应的探测域标识相同。
本实施例中,由于一个虚拟IP地址对应一个探测网卡IP地址,而一个探测网卡IP地址在每个探测域中均存在一个具有映射关系的虚拟IP地址。因此,防火墙设备在接收到访问响应后,可以根据访问响应中包括的目的IP地址确定访问响应对应的探测域网络标识。这里,在域内交换机通过域外交换机与防火墙设备连接时,探测域网络标识可以是探测域网络的域内交换机连接至域外交换机的端口的vlan id,在域内交换机直接与防火墙设备连接时,探测域网络标识可以是域内交换机连接至的防火墙设备的端口标识。
本实施例中,防火墙设备在确定访问响应对应的探测域网络标识后,可以在映射关系中查询与访问响应中包括的源IP地址具有映射关系的虚拟IP地址。
这里,与访问响应中包括的源IP地址具有映射关系的虚拟IP地址可能不止一个。因此,需要根据访问响应对应的探测域网络标识,从与访问响应中包括的源IP地址具有映射关系的虚拟IP地址确定与访问响应中包括的源IP地址具有映射关系且在对应的探测域网络中的虚拟IP地址,并将访问响应中包括的源IP地址,修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。这里,防火墙设备可以不对除了访问响应中包括的源IP地址之外的其他任何信息进行修改。
可以理解的是,修改后的访问响应对应的探测域标识与访问响应对应的探测域标识相同。
步骤403,将修改后的访问响应通过域外交换机发送给探测域网络标识对应的域内交换机,以使域内交换机根据修改后的访问响应的目的IP地址将修改后的访问响应发送至对应的访问设备。
本实施例中,可以通过防火墙设备与探测域网络标识对应的端口将修改后的访问响应发送给探测域网络标识对应的域内交换机,或者通过防火墙设备与探测域网络对应的子接口将修改后的访问响应发送给域外交换机,由域外交换机将修改后的访问响应转发给探测域网络的域内交换机。域内交换机在接收到修改后的访问响应之后,将修改后的访问响应发送给发起访问请求的异常设备,以使异常设备接收到访问请求对应的访问响应。
本实施例提供的内网异常设备探测方法,通过接收蜜罐服务器发送的访问响应;访问响应中包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址;根据访问响应中包括的目的IP地址确定访问响应对应的探测域网络标识,并根据映射关系和访问响应对应的探测域网络标识,将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应,修改后的访问响应对应的探测域标识与访问响应对应的探测域标识相同;将修改后的访问响应通过域外交换机发送给探测域网络标识对应的域内交换机,以使域内交换机根据修改后的访问响应的目的IP地址将修改后的访问响应发送至对应的访问设备。由于将访问响应中包括的源IP地址修改为了具有映射关系且在对应的探测域网络中的虚拟IP地址,能够准确地将访问响应反馈给发起访问请求的异常设备,使得蜜罐服务器可以被设置为交互蜜罐,在不被异常设备感知到的情况下,探测到异常设备,为网络安全攻击争取响应时间。
实施例七
本实施例提供的内网异常设备探测方法,在上述任意一个实施例的基础上,步骤201之后还包括步骤501至步骤502。
步骤501,复制访问请求,获得访问请求的镜像报文。
步骤502,将镜像报文发送给蜜罐服务器,以使蜜罐服务器对镜像报文进行解析,确定被攻击的虚拟IP地址。
本实施例中,由于防火墙设备将异常设备发起的访问请求中包括的目的IP地址修改为了具有映射关系的探测网卡IP地址,因此,蜜罐服务器仅能够通过对访问请求的分析确定异常设备,而无法确定被异常设备访问的虚拟IP地址,在异常设备访问的IP地址与异常设备不属于同一个探测域网络时,无法确定被攻击的探测域网络。
本实施例中,可以在防火墙设备上设置一个镜像端口,镜像端口用于复制访问请求,获得访问请求的镜像报文。镜像端口与蜜罐服务器连接,防火墙设备可以通过镜像端口将镜像报文发送给蜜罐服务器,蜜罐服务在接收镜像报文之后,可以通过对镜像报文的解析,获取到镜像报文中的目的IP地址,进而确定被异常设备攻击的虚拟IP地址,确定被设备攻击的探测域网络。
本实施例提供的内网异常设备探测方法,通过复制访问请求,获得访问请求的镜像报文;将镜像报文发送给蜜罐服务器,以使蜜罐服务器对镜像报文进行解析,确定被攻击的虚拟IP地址。由于复制访问请求,获得镜像报文,再将镜像报文发送给蜜罐服务器,因此,蜜罐服务器可以在接收到镜像报文之后,确定出被攻击的探测域网络。
作为一种可选的实施方式,防火墙上还可以配置允许访问IP,在接受的访问请求的目的IP地址属于允许访问IP,才对访问请求中包括的目的IP地址进行修改,获得修改后的访问请求,并转发修改后的访问请求。这里,允许访问IP可以由防火墙设备采用访问控制列表(Access Control Lists,简称ACL)策略设置。
实施例八
图3是根据本申请实施例八提供的内网异常设备探测方法的流程示意图。如图3所示,本申请的执行主体为内网异常设备探测装置,该内网异常设备探测装置位于蜜罐服务器中,该蜜罐服务器位于预设网络架构中。预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;防火墙设备与蜜罐服务器以及各域内交换机通信连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量。本实施例提高的内网异常设备探测方法包括步骤601至步骤602。
步骤601,接收防火墙设备发送的修改后的访问请求,修改后的访问请求中包括的目的IP地址为探测网卡IP地址;探测网卡IP地址与虚拟IP地址具有映射关系,映射关系预先存储在防火墙设备内。
本实施例中,蜜罐服务器上配置有第一预设数量的探测网卡,各探测网卡具有不同的探测网卡IP地址,以及不同的MAC地址。蜜罐探针设置在蜜罐服务器上,与蜜罐管理系统一同构成蜜罐,蜜罐可以是静默探测的蜜罐,也可以是具有虚拟蜜罐服务的低交互蜜罐。
本实施例中,由于探测网卡IP地址与虚拟IP地址具有映射关系,虚拟IP地址为探测域网络中的IP地址,因此,异常设备在访问虚拟IP地址时,实际访问的设备为蜜罐服务器,并且,不论异常设备访问的是哪一个探测网卡IP地址,在存在虚拟服务器,实际访问的均是蜜罐探针虚拟出的服务。因此,蜜罐服务器仅需要虚拟探测网卡,而不需要虚拟多个服务,在探测到异常设备的同时,能够节约蜜罐服务器的硬件资源,进而可以虚拟大量的探测网卡,在多个探测域网络中部署虚拟IP地址,增加探测范围。
本实施例中,可以通过预设网卡抓包程序抓取所以发送至蜜罐服务器的数据包,例如,蜜罐服务器接收的修改后的访问请求。预设网卡抓包程序能够抓取基于传输控制协议/网际协议TCP/IP协议的所有流量,例如,TCP协议流量、UDP协议流量、IP协议流量、ICMP协议流量。相较于通过蜜罐探测虚拟的服务抓取流量只能抓取到异常设备请求服务时的流量,通过预设抓包程序抓取流量,能够抓取到二层数据包,例如,异常设备请求连接时的流量,能够更加灵敏的探测到内网中的异常设备。
本实施例中,如果蜜罐服务器上部署了虚拟服务,则蜜罐探针会抓取到异常设备发起的攻击流量,并可以由蜜罐管理系统对攻击流量进行解析和处理,确定出内网异常设备。同时,预设网卡抓包程序也将获得网卡的二层数据,并对二层数据进行解析和处理,确定出内网异常设备。如果蜜罐服务器上没有部署虚拟服务,就只有预设网卡抓包数据对攻击流量进行解析和处理,确定出内网异常设备。其中,攻击流量可以是异常设备发送的访问请求。
步骤602,对修改后的访问请求进行解析,确定探测域网络内的异常设备。
本实施例中,可以蜜罐服务器解析修改后的访问请求,获取到修改后的访问请求中包括的源IP地址,确定出内网中的异常设备。具体地,可以根据访问请求中包括的源IP地址所在的网段,确定发起访问请求的异常设备所在的探测域网络,并根据源IP地址确定异常设备为探测域网络中的哪一个设备。
本实施例提供的内网异常设备探测方法,通过接收防火墙设备发送的修改后的访问请求,修改后的访问请求中包括的目的IP地址为探测网卡IP地址;探测网卡IP地址与虚拟IP地址具有映射关系,映射关系预先存储在防火墙设备内;对修改后的访问请求进行解析,确定探测域网络内的异常设备。由于通过接收防火墙发送的修改后的访问请求,修改后的访问请求的目的IP地址为探测网卡IP地址,探测网卡IP地址与探测域网络中的虚拟IP地址具有映射关系,因此,仅使用蜜罐服务器上的一个蜜罐,就能够接收到各探测域网络中的异常设备发起的访问请求,对各探测域网络进行探测,能够通过增加探测网卡IP地址的数量和探测域网络中虚拟IP地址的数量来扩大探测范围。
实施例九
本实施例提供的内网异常设备探测方法,在实施例八的基础上,步骤602之后还包括步骤701至步骤702。
步骤701,根据修改后的访问请求生成其对应的访问响应,访问响应包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址。
本实施中,访问响应是根据修改后的访问请求生成的。例如,异常设备发送的访问请求为TCP协议中的第一次握手报文SYN报文时,访问响应可以是蜜罐服务器响应第一次握手的第二次握手报文SYN+ACK报文。
步骤702,将访问响应发送给防火墙设备,以使防火墙设备将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。
本实施例中,对应的探测域网络是指发起访问请求的异常设备所在的探测域网络。蜜罐服务器可以将访问响应发送给防火墙设备。此处,获得修改后的访问响应的方式可以与上述实施例相同,此处不再赘述。
本实施例提供的内网异常设备探测方法,通过根据修改后的访问请求生成其对应的访问响应,访问响应包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址;将访问响应发送给防火墙设备,以使防火墙设备将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。由于根据修改后的访问请求生成访问响应,并将访问响应通过防火墙设备发送给域内交换机,因此,蜜罐服务器能够与异常设备进行交互。
实施例十
本实施例提供的内网异常设备探测方法,在实施例八或九的基础上,还包括步骤801至步骤802。
步骤801,接收防火墙设备发送的镜像报文。
本实施例中,蜜罐服务器还可以接收防火墙设备发送的镜像报文,镜像报文是防火墙设备对接收到的访问请求进行复制得到的。蜜罐服务器可以通过接收防火墙设备发送的镜像报文,接收内网异常设备对蜜罐发起的访问以及对内网中所有IP的各种扫描、探测、攻击的ICMP、UDP、TCP协议数据。
步骤802,对镜像报文进行解析,以确定被攻击的虚拟IP地址。
本实施例中,蜜罐服务器可以通过蜜罐管理系统对镜像报文进行解析、处理、汇总和分析,确定出被攻击的虚拟IP地址,并可以形成各种被攻击的虚拟IP地址的数据页面、报表、数据查询页面等。
本实施例提供的内网异常设备探测方法,通过接收防火墙设备发送的镜像报文;对镜像报文进行解析,以确定被攻击的虚拟IP地址。由于通过接收防火墙发送的镜像报文,并对镜像报文进行解析,因此,蜜罐服务器能够确定出被内网异常设备攻击的虚拟IP地址。
实施例十一
图4是根据本申请实施例十一提供的内网异常设备探测装置的结构示意图。本实施例提供的内网异常设备探测装置应用于防火墙设备,防火墙设备位于预设网络架构中。预设网络架构还包括蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;防火墙设备与蜜罐服务器以及各域内交换机连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量。
如图4所示,本实施例提供的内网异常设备探测装置1100包括:第一接收模块1101、修改模块1102和第一发送模块1103。
第一接收模块1101,用于接收域内交换机发送的访问请求,访问请求包括目的IP地址,访问请求中包括的目的IP地址为虚拟IP地址。访问请求是对应探测域网络内访问设备发送至域内交换机的。
修改模块1102,用于根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
第一发送模块1103,用于将修改后的访问请求发送给蜜罐服务器,以使蜜罐服务器基于修改后的访问请求确定访问设备为异常设备。
作为一种可选的实施方式,修改模块1102具体用于,在映射关系中查询与访问请求中包括的目的IP地址一致的虚拟IP地址;获取与访问请求中包括的目的IP地址一致的虚拟IP地址具有映射关系的探测网卡IP地址;将访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
作为一种可选的实施方式,内网异常设备探测装置1100还包括映射模块,映射模块用于,获取第一预设数量的探测网卡IP地址,以及每个探测域网络中第二预设数量的虚拟IP地址;对于每个探测域网络中的虚拟IP地址,执行以下操作,以获得虚拟IP地址与探测网卡IP地址映射关系:若确定第二预设数量等于第一预设数量,则建立探测域网络中的各虚拟IP地址与各探测网卡IP地址一一对应的映射关系;若确定第二预设数量小于第一预设数量,则建立探测域网络中的各虚拟IP地址与相同数量的探测网卡IP地址一一对应的映射关系。
作为一种可选的实施方式,访问请求中还包括目的端口,修改后的访问请求中还包括目的端口;第一发送模块1103具体用于,若确定修改后的访问请求的目的端口属于预设允许访问端口,则将修改后的访问请求发送给蜜罐服务器。
作为一种可选的实施方式,预设网络架构中还包括域外交换机,域外交换机用于通过对应端口与防火墙设备及至少一个域内交换机通信连接;第一接收模块1101具体用于,接收域内交换机通过域外交换机发送的访问请求,访问请求中还包括探测域网络标识,探测域网络标识是域外交换机基于访问请求的接收端口确定的。
作为一种可选的实施方式,第一接收模块1101还用于,接收蜜罐服务器发送的访问响应;访问响应中包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址。修改模块1102还用于,根据访问响应中包括的目的IP地址确定访问响应对应的探测域网络标识,并根据映射关系和访问响应对应的探测域网络标识,将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应,修改后的访问响应对应的探测域标识与访问响应对应的探测域标识相同。第一发送模块1103还用于,将修改后的访问响应通过域外交换机发送给探测域网络标识对应的域内交换机,以使域内交换机根据修改后的访问响应的目的IP地址将修改后的访问响应发送至对应的访问设备。
作为一种可选的实施方式,内网异常设备探测装置1100还包括复制模块,复制模块用于,复制访问请求,获得访问请求的镜像报文;将镜像报文发送给蜜罐服务器,以使蜜罐服务器对镜像报文进行解析,确定被攻击的虚拟IP地址。
本实施例提供的内网异常设备探测装置1100可以执行上述实施例一至七中任意一个实施例提供的内网异常设备探测方法,具体的实现方式与原理类似,此处不再赘述。
实施例十二
图5是根据本申请实施例十二提供的内网异常设备探测装置的结构示意图。本实施例提供的内网异常设备探测装置应用于蜜罐服务器,蜜罐服务器位于预设网络架构中。预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;防火墙设备与蜜罐服务器以及各域内交换机通信连接;蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;第二预设数量小于或等于第一预设数量。
如图5所示,本实施例提供的内网异常设备探测装置1200包括:第二接收模块1201和解析模块1202。
第二接收模块1201用于,接收防火墙设备发送的修改后的访问请求,修改后的访问请求中包括的目的IP地址为探测网卡IP地址;探测网卡IP地址与虚拟IP地址具有映射关系,映射关系预先存储在防火墙设备内。
解析模块1202用于,对修改后的访问请求进行解析,确定探测域网络内的异常设备。
作为一种可选的实施方式,内网异常设备探测装置1200还包括第二发送模块,第二发送模块用于,根据修改后的访问请求生成其对应的访问响应,访问响应包括源IP地址和目的IP地址,访问响应中包括的源IP地址为探测网卡IP地址;将访问响应发送给防火墙设备,以使防火墙设备将访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。
作为一种可选的实施方式,第二接收模块1201还用于,接收防火墙设备发送的镜像报文;对镜像报文进行解析,以确定被攻击的虚拟IP地址。
本实施例提供的内网异常设备探测装置可以执行上述实施例八至十中任意一个实施例提供的内网异常设备探测方法,具体的实现方式与原理类似,此处不再赘述。
实施例十三
图6是根据本申请实施例十三提供的防火墙设备的结构示意图。如图6所示,本实施例提供的防火墙设备1300包括存储器1301、处理器1302和收发器1303。
存储器1301、处理器1302和收发器1303电路互连。
存储器1301存储计算机执行指令。
收发器1303用于收发数据。
处理器1302执行存储器1301存储的计算机执行指令,实现上述实施例一至七中任意一个实施例提供的内网异常设备探测方法,具体的实现方式与原理类似,此处不再赘述。
存储器1301、处理器1302和收发器1303之间可以通过总线实现电路互连。
在示例性实施例中,存储器1301可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘等。防火墙设备1300可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例一至七中任意一个实施例提供的内网异常设备探测方法。
实施例十四
图7是根据本申请实施例十四提供的蜜罐服务器的结构示意图。如图7所示,本实施例提供的蜜罐服务器1400包括存储器1401、处理器1402和收发器1403。
存储器1401、处理器1402和收发器1403电路互连。
存储器1401存储计算机执行指令。
收发器1403用于收发数据。
处理器1402执行存储器1401存储的计算机执行指令,实现上述实施例一至七中任意一个实施例提供的内网异常设备探测方法,具体的实现方式与原理类似,此处不再赘述。
存储器1401、处理器1402和收发器1403之间可以通过总线实现电路互连。
在示例性实施例中,存储器1401可以由任何类型的易失性或非易失性存储设备或者它们的组合实现。蜜罐服务器1400可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例八至十中任意一个实施例提供的内网异常设备探测方法。
本申请的实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,计算机执行指令被处理器执行时用于实现如上述任意一个实施例提供的内网异常设备探测方法。示例性地,计算机可读存储介质可以为只读存储器(ROM)、随机存取存储器(RAM)、磁带、软盘和光数据存储设备等。
应该理解,上述的设备实施例仅是示意性的,本申请的设备还可通过其它的方式实现。例如,上述实施例中模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如,多个模块可以结合,或者可以集成到另一个系统,或一些特征可以忽略或不执行。
另外,若无特别说明,在本申请各个实施例中的各功能模块可以集成在一个模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一起。上述集成的模块既可以采用硬件的形式实现,也可以采用软件程序模块的形式实现。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本申请所必须的。
进一步需要说明的是,虽然流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (15)

1.一种内网异常设备探测方法,其特征在于,所述方法应用于防火墙设备,所述防火墙设备位于预设网络架构中;所述预设网络架构还包括:蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述方法包括:
接收所述域内交换机发送的访问请求,所述访问请求包括目的IP地址,所述访问请求中包括的目的IP地址为虚拟IP地址;所述访问请求是对应探测域网络内访问设备发送至所述域内交换机的;
根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;
将所述修改后的访问请求发送给所述蜜罐服务器,以使蜜罐服务器基于所述修改后的访问请求确定所述访问设备为异常设备。
2.根据权利要求1所述的方法,其特征在于,所述根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,包括:
在所述映射关系中查询与所述访问请求中包括的目的IP地址一致的虚拟IP地址;
获取与所述访问请求中包括的目的IP地址一致的虚拟IP地址具有映射关系的探测网卡IP地址;
将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求。
3.根据权利要求2所述的方法,其特征在于,所述根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址之前,还包括:
获取第一预设数量的探测网卡IP地址,以及每个探测域网络中第二预设数量的虚拟IP地址;
对于每个探测域网络中的虚拟IP地址,执行以下操作,以获得虚拟IP地址与探测网卡IP地址映射关系:
若确定所述第二预设数量等于所述第一预设数量,则建立探测域网络中的各虚拟IP地址与各探测网卡IP地址一一对应的映射关系;
若确定所述第二预设数量小于第一预设数量,则建立探测域网络中的各虚拟IP地址与相同数量的探测网卡IP地址一一对应的映射关系。
4.根据权利要求1所述的方法,其特征在于,所述访问请求中还包括目的端口,所述修改后的访问请求中还包括所述目的端口;
所述将所述修改后的访问请求发送给所述蜜罐服务器,包括:
若确定所述修改后的访问请求的目的端口属于预设允许访问端口,则将所述修改后的访问请求发送给所述蜜罐服务器。
5.根据权利要求1所述的方法,其特征在于,所述预设网络架构中还包括域外交换机,所述域外交换机用于通过对应端口与防火墙设备及至少一个域内交换机通信连接;
所述接收所述域内交换机发送的访问请求,包括:
接收所述域内交换机通过所述域外交换机发送的访问请求,所述访问请求中还包括探测域网络标识,所述探测域网络标识是域外交换机基于访问请求的接收端口确定的。
6.根据权利要求5所述的方法,其特征在于,所述将所述修改后的访问请求发送给所述蜜罐服务器之后,还包括:
接收所述蜜罐服务器发送的访问响应;所述访问响应中包括源IP地址和目的IP地址,所述访问响应中包括的源IP地址为探测网卡IP地址;
根据所述访问响应中包括的目的IP地址确定所述访问响应对应的探测域网络标识,并根据所述映射关系和所述访问响应对应的探测域网络标识,将所述访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应,修改后的访问响应对应的探测域标识与所述访问响应对应的探测域标识相同;
将所述修改后的访问响应通过所述域外交换机发送给所述探测域网络标识对应的域内交换机,以使所述域内交换机根据所述修改后的访问响应的目的IP地址将所述修改后的访问响应发送至对应的访问设备。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述接收所述域内交换机发送的访问请求之后,还包括:
复制所述访问请求,获得所述访问请求的镜像报文;
将所述镜像报文发送给所述蜜罐服务器,以使所述蜜罐服务器对所述镜像报文进行解析,确定被攻击的虚拟IP地址。
8.一种内网异常设备探测方法,其特征在于,所述方法应用于蜜罐服务器,所述蜜罐服务器位于预设网络架构中;所述预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述方法包括:
接收所述防火墙设备发送的修改后的访问请求,所述修改后的访问请求中包括的目的IP地址为探测网卡IP地址;所述探测网卡IP地址与虚拟IP地址具有映射关系,所述映射关系预先存储在所述防火墙设备内;
对所述修改后的访问请求进行解析,确定探测域网络内的异常设备。
9.根据权利要求8所述的方法,其特征在于,所述对所述修改后的访问请求进行解析,确定探测域网络内的异常设备之后,还包括:
根据所述修改后的访问请求生成其对应的访问响应,所述访问响应包括源IP地址和目的IP地址,所述访问响应中包括的源IP地址为探测网卡IP地址;
将所述访问响应发送给所述防火墙设备,以使所述防火墙设备将所述访问响应中包括的源IP地址修改为具有映射关系且在对应的探测域网络中的虚拟IP地址,获得修改后的访问响应。
10.根据权利要求8或9所述的方法,其特征在于,还包括:
接收所述防火墙设备发送的镜像报文;
对所述镜像报文进行解析,以确定被攻击的虚拟IP地址。
11.一种内网异常设备探测装置,其特征在于,所述装置应用于防火墙设备,所述防火墙设备位于预设网络架构中;所述预设网络架构还包括蜜罐服务器、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;每个探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述装置包括:
第一接收模块,用于接收所述域内交换机发送的访问请求,所述访问请求包括目的IP地址,所述访问请求中包括的目的IP地址为虚拟IP地址;所述访问请求是对应探测域网络内访问设备发送至所述域内交换机的;
修改模块,用于根据预先构建的虚拟IP地址与探测网卡IP地址的映射关系,将所述访问请求中包括的目的IP地址修改为具有映射关系的探测网卡IP地址,以获得修改后的访问请求;
第一发送模块,用于将所述修改后的访问请求发送给所述蜜罐服务器,以使蜜罐服务器基于所述修改后的访问请求确定所述访问设备为异常设备。
12.一种内网异常设备探测装置,其特征在于,所述装置应用于蜜罐服务器,所述蜜罐服务器位于预设网络架构中;所述预设网络架构还包括防火墙设备、多个探测域网络以及位于各探测域网络的域内交换机;所述防火墙设备与蜜罐服务器以及各所述域内交换机通信连接;所述蜜罐服务器包括第一预设数量的探测网卡;各探测网卡具有不同的探测网卡互联网协议IP地址;各探测域网络内配置第二预设数量的虚拟IP地址;所述第二预设数量小于或等于第一预设数量;所述装置包括:
第二接收模块,用于接收所述防火墙设备发送的修改后的访问请求,所述修改后的访问请求中包括的目的IP地址为探测网卡IP地址;所述探测网卡IP地址与虚拟IP地址具有映射关系,所述映射关系预先存储在所述防火墙设备内;
解析模块,用于对所述修改后的访问请求进行解析,确定探测域网络内的异常设备。
13.一种防火墙设备,其特征在于,包括:存储器、处理器和收发器;
所述存储器、所述处理器和所述收发器电路互连;
所述存储器存储计算机执行指令;
所述收发器用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-7中任一项所述的方法。
14.一种蜜罐服务器,其特征在于,包括:存储器、处理器和收发器;
所述存储器、所述处理器和所述收发器电路互连;
所述存储器存储计算机执行指令;
所述收发器用于收发数据;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求8-10中任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-10任一项所述的方法。
CN202211537454.3A 2022-12-02 2022-12-02 内网异常设备探测方法、装置、设备及存储介质 Pending CN118138257A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211537454.3A CN118138257A (zh) 2022-12-02 2022-12-02 内网异常设备探测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211537454.3A CN118138257A (zh) 2022-12-02 2022-12-02 内网异常设备探测方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN118138257A true CN118138257A (zh) 2024-06-04

Family

ID=91231362

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211537454.3A Pending CN118138257A (zh) 2022-12-02 2022-12-02 内网异常设备探测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN118138257A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118694619A (zh) * 2024-08-28 2024-09-24 天翼视联科技有限公司 一种摄像机漏洞防护方法、装置、电子装置和存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118694619A (zh) * 2024-08-28 2024-09-24 天翼视联科技有限公司 一种摄像机漏洞防护方法、装置、电子装置和存储介质

Similar Documents

Publication Publication Date Title
US12074908B2 (en) Cyber threat deception method and system, and forwarding device
US10091238B2 (en) Deception using distributed threat detection
US9491189B2 (en) Revival and redirection of blocked connections for intention inspection in computer networks
US10375110B2 (en) Luring attackers towards deception servers
CN110071929B (zh) 一种基于虚拟化平台的海量诱饵捕获攻击源的防御方法
US20190253453A1 (en) Implementing Decoys In A Network Environment
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
US20170026387A1 (en) Monitoring access of network darkspace
CN110099040B (zh) 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
US20150326588A1 (en) System and method for directing malicous activity to a monitoring system
CN111885046B (zh) 一种基于Linux的透明内网访问方法及装置
CN111314281A (zh) 一种攻击流量转发至蜜罐的方法
WO2015171789A1 (en) Emulating shellcode attacks
Winter et al. How china is blocking tor
TW200951757A (en) Malware detection system and method
CN107241313B (zh) 一种防mac泛洪攻击的方法及装置
WO2016081561A1 (en) System and method for directing malicious activity to a monitoring system
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
Adjei et al. SSL stripping technique (DHCP snooping and ARP spoofing inspection)
CN118138257A (zh) 内网异常设备探测方法、装置、设备及存储介质
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
Jadhav et al. Detection and mitigation of arp spoofing attack
CN110995763A (zh) 一种数据处理方法、装置、电子设备和计算机存储介质
US20220103582A1 (en) System and method for cybersecurity
DeCusatis et al. Zero trust cloud networks using transport access control and high availability optical bypass switching

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination