[go: up one dir, main page]

CN113709186B - 一种高效蜜罐代理转发的方法与装置 - Google Patents

一种高效蜜罐代理转发的方法与装置 Download PDF

Info

Publication number
CN113709186B
CN113709186B CN202111234104.5A CN202111234104A CN113709186B CN 113709186 B CN113709186 B CN 113709186B CN 202111234104 A CN202111234104 A CN 202111234104A CN 113709186 B CN113709186 B CN 113709186B
Authority
CN
China
Prior art keywords
address
source
destination
port
honeypot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111234104.5A
Other languages
English (en)
Other versions
CN113709186A (zh
Inventor
王滨
何承润
万里
陈俊霖
余超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202111234104.5A priority Critical patent/CN113709186B/zh
Publication of CN113709186A publication Critical patent/CN113709186A/zh
Application granted granted Critical
Publication of CN113709186B publication Critical patent/CN113709186B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种高效蜜罐代理转发的方法与装置,该方法包括:接收蜜罐代理节点通过RPC调用方式传递的RPC参数,当第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、第一目的IP地址、第一目的端口以及所述payload,构造第二访问请求,并将第二访问请求转发给目的蜜罐服务节点;以及,建立本次会话的映射关系表;当检测到与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配的目标报文时,依据映射关系表中的第一源IP地址以及第一源端口,对目标报文进行IP地址以及端口替换,得到替换后的目标报文;依据替换后的目标报文进行攻击分析。该方法可以避免攻击源丢失。

Description

一种高效蜜罐代理转发的方法与装置
技术领域
本申请涉及网络安全检测防护设备领域,尤其涉及一种高效蜜罐代理转发的方法与装置。
背景技术
在高交互蜜罐场景中,一般模式都是采用蜜罐服务集中本地部署,核心服务模块均在蜜罐服务端,蜜罐节点主要追求轻量化部署模式,降低节点端部署成本和复杂度,提高蜜罐节点的稳定性和易用性。
一般代理节点本身并不会部署蜜罐服务,而是采用流量代理转发的模式,通过本地监听端口对访问请求进行代理转发,此时代理节点只需要提供监听端口及转发流量即可,功能比较简单,部署容易。
然而实践发现,由于IP通信的技术原理,在代理转发的模式下,蜜罐服务端接收到的访问请求的源IP是代理节点的本地IP地址,因此,若在蜜罐服务端直接进行抓包,并通过协议分析攻击溯源,则无法还原真实的攻击者IP信息,即丢失攻击源,此时即使分析出存在攻击行为也无法定位攻击者身份,蜜罐的效果大大降低。
发明内容
有鉴于此,本申请提供一种高效蜜罐代理转发方法及装置。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种高效蜜罐代理转发的方法,应用于蜜罐服务端部署的RPC服务节点,所述方法包括:
接收蜜罐代理节点通过RPC调用方式传递的RPC参数,所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递,所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及payload;
当所述第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload,构造第二访问请求,并将所述第二访问请求转发给目的蜜罐服务节点,所述第二源IP地址为所述RPC服务节点的IP地址,所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口;
以及,建立本次会话的映射关系表,所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系;
当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时,依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,得到替换后的目标报文;
依据所述替换后的目标报文进行攻击分析。
根据本申请实施例的第二方面,提供一种高效蜜罐代理转发的装置,包括:
接收单元,用于接收蜜罐代理节点通过RPC调用方式传递的RPC参数,所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递,所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及负载payload;
报文构造单元,用于当所述第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload,构造第二访问请求;所述第二源IP地址为RPC服务节点的IP地址,所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口;
转发单元,用于将所述第二访问请求转发给目的蜜罐服务节点;
表项建立单元,用于当所述第一访问请求为新会话对应的访问请求时,建立本次会话的映射关系表,所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系;
替换单元,用于当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时,依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,得到替换后的目标报文;
攻击分析单元,用于依据所述替换后的目标报文进行攻击分析。
根据本申请实施例的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器用于执行机器可执行指令,以实现上述第一方面提供的方法。
根据本申请实施例的第四方面,提供一种机器可读存储介质,该机器可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面提供的方法。
本申请实施例的高效蜜罐代理转发的方法,通过在蜜罐服务端部署RPC服务节点,蜜罐代理节点接收到访问请求时,不再按照传统转发规则进行源地址信息替换后转发,而是通过RPC调用方式,将访问请求的源地址信息、目的地址信息以及payload以RPC参数的方式传递给RPC服务节点,由RPC服务节点以映射关系表的形式记录攻击源的地址信息,并在检测到与映射关系表匹配的报文时,依据记录的攻击源的地址信息对该报文进行地址信息替换,依据替换后的报文进行攻击分析,有效避免了攻击源丢失;此外,由于代理节点不再依据传统转发规则将访问请求转发给蜜罐服务节点,而是通过RPC调用的方式将相关的RPC参数传递给RPC服务节点,从而,蜜罐服务端可以不需要将蜜罐服务节点的端口对外暴露,减少了蜜罐代理节点与蜜罐服务节点直接通信带来的暴露风险,提高了蜜罐服务节点的安全性。
附图说明
图1为本申请一示例性实施例示出的一种高效蜜罐代理转发的方法的流程示意图;
图2为本申请一示例性实施例示出的一种蜜罐部署模式的场景示意图;
图3为本申请一示例性实施例示出的蜜罐代理转发方案实现流程示意图;
图4为本申请一示例性实施例示出的蜜罐代理转发方案实现流程示意图;
图5为本申请一示例性实施例示出的一种高效蜜罐代理转发的装置的结构示意图;
图6为本申请一示例性实施例示出的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图1,为本申请实施例提供的一种高效蜜罐代理转发方法的流程示意图,其中,该高效蜜罐代理转发方法可以应用于蜜罐服务端部署的RPC(Remote Procedure Call,远程过程调用)服务节点,如图1所示,该高效蜜罐代理转发方法可以包括:
需要说明的是,本申请实施例中各步骤的序号大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
步骤S100、接收蜜罐代理节点通过RPC调用方式传递的RPC参数,该RPC参数由蜜罐代理节点接收到第一访问请求时传递,该RPC参数包括第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及payload。
本申请实施例中,为了避免针对蜜罐服务节点的访问请求的源地址信息在访问请求的转发过程中被替换,导致无法对攻击进行溯源,可以在蜜罐服务端部署RPC服务节点,当蜜罐代理节点接收到针对蜜罐服务节点的访问请求时,不再按照传统报文转发规则进行转发,而是通过RPC调用的方式,将该访问请求中的源地址信息、目的地址信息以及payload(负载)以RPC参数的形式传递给RPC服务节点。
示例性的,RPC调用方式是一种用于实现分布式系统间的透明通信的通信方案,属于节点间的进程通信方式,RPC调用方式中:不同节点上的进程是允许相互调用的,当节点A上的进程调用节点B上的进程时,节点A上的调用进程被挂起,而节点B上的被调用进程开始执行。调用方节点可以通过使用参数(即RPC参数)将信息传送给被调用方节点,然后可以通过传回的结果得到信息。消息传递过程透明,对用户不可见。
示例性的,当蜜罐代理节点接收到访问请求(本文中称为第一访问请求)时,蜜罐代理节点可以将该第一访问请求的源IP地址(本文中称为第一源IP地址)、源端口(本文中称为第一源端口)、目的IP地址(本文中称为第一目的IP地址)、目的端口(本文中称为第一目的端口)以及payload,以RPC参数的形式,通过RPC调动的方式,调用RPC服务节点的RPC接口,传递给RPC服务节点。
步骤S110、当第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、第一目的IP地址、第一目的端口以及payload,构造第二访问请求,并将第二访问请求转发给目的蜜罐服务节点。
步骤S120、建立本次会话的映射关系表,该映射关系表记录有第二源IP地址、第二源端口、第一目的IP地址、第一目的端口、第一源IP地址以及第一源端口的映射关系。
本申请实施例中,为了保证访问请求的正常转发,并避免丢失攻击源,当RPC服务节点接收到蜜罐代理节点通过RPC调用方式传递的第一访问请求对应的RPC参数时,并确定第一访问请求为新会话(即任一蜜罐代理节点新发起的针对蜜罐服务集群中的某一蜜罐服务节点的会话)对应的访问请求时,一方面,RPC服务节点可以依据第一目的IP地址,与目的蜜罐服务节点建立连接(可以称为会话连接),并以RPC服务节点的IP地址为源IP地址(本文中称为第二源IP地址),RPC服务节点与目的蜜罐服务节点建立连接的端口为源端口(本文中称为第二源端口),第一目的IP地址为目的IP地址,第一目的端口为目的端口,并以第一访问请求的payload作为payload,构造新的访问请求(本文中称为第二访问请求),并将第二访问请求转发给目的蜜罐服务节点,保证访问请求的正常转发。
在一个示例中,在RPC服务节点依据新会话对应的访问请求,与目的蜜罐服务节点建立会话连接的情况下,RPC服务节点可以向蜜罐代理节点返回一个会话句柄,后续流程中,对于针对该会话的访问请求,蜜罐代理节点可以将该会话句柄也以RPC参数的形式传递给RPC服务节点,从而,RPC服务节点可以依据RPC参数中是否包括会话句柄,确定访问请求是否为新会话对应的访问请求。
在另一个示例中,蜜罐代理节点可以确定接收到的访问请求是否为对应新会话的访问请求,对于对应新会话的访问请求,以及对应非新会话的访问请求,蜜罐代理节点可以通过调用RPC服务节点的不同RPC接口的方式,将相关RPC参数传递给RPC服务节点,从而,RPC服务节点可以依据接收到RPC参数的RPC接口,确定访问请求是否为对应新会话的访问请求。
另一方面,RPC服务节点可以依据接收到的第一访问请求对应的RPC参数,以及RPC服务节点响应第一访问请求与目的蜜罐服务节点的连接,建立本次会话的映射关系表,该映射关系表可以记录上述第二源IP地址、第二源端口、第一目的IP地址、第一目的端口、第一源IP地址以及第一源端口的映射关系,用于记录第一访问请求的源地址信息,避免丢失攻击源。
示例性的,在第一访问请求不是新会话对应的访问请求的情况下,RPC服务节点仍可以按照步骤S110中描述的方式进行第二访问请求的构造,但不需要进行映射关系表的建立。
步骤S130、当检测到与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配的目标报文时,依据该映射关系表中的第一源IP地址以及第一源端口,对目标报文进行IP地址以及端口替换,得到替换后的目标报文。
步骤S140、依据替换后的目标报文进行攻击分析。
本申请实施例中,为了实现针对攻击源的溯源分析,RPC服务节点可以依据上述映射关系表,对接收到的报文进行匹配。
示例性的,RPC服务节点可以依据接收到的报文的源IP地址、源端口、目的IP地址以及目的端口,查询映射关系表,确定报文的源IP地址、源端口、目的IP地址以及目的端口,是否与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配。
示例性的,报文的源IP地址、源端口、目的IP地址以及目的端口,与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配,可以包括:
报文的源IP地址和源端口与映射关系表中的第二源IP地址和第二源端口相同,且报文的目的IP地址和目的端口与映射关系表中的第一目的IP地址和第一目的端口相同;
或者,
报文的目的IP地址和目的端口与映射关系表中的第二源IP地址和第二源端口相同,且报文的源IP地址和源端口与映射关系表中的第一目的IP地址和第一目的端口相同。
本申请实施例中,当RPC服务节点检测到与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配的报文(本文中称为目标报文)时,可以依据映射关系表中的第一源IP地址以及第一源端口,对目标报文进行IP地址以及端口替换,得到替换后的目标报文,以还原攻击源的地址信息,进而,可以依据替换后的目标报文进行攻击分析。
可见,在图1所示方法流程中,通过在蜜罐服务端部署RPC服务节点,蜜罐代理节点接收到访问请求时,不再按照传统转发规则进行源地址信息替换后转发,而是通过RPC调用方式,将访问请求的源地址信息、目的地址信息以及payload以RPC参数的方式传递给RPC服务节点,由RPC服务节点以映射关系表的形式记录攻击源的地址信息,并在检测到与映射关系表匹配的报文时,依据记录的攻击源的地址信息对该报文进行地址信息替换,依据替换后的报文进行攻击分析,有效避免了攻击源丢失;此外,由于代理节点不再依据传统转发规则将访问请求转发给蜜罐服务节点,而是通过RPC调用的方式将相关的RPC参数传递给RPC服务节点,从而,蜜罐服务端可以不需要将蜜罐服务节点的端口对外暴露,减少了蜜罐代理节点与蜜罐服务节点直接通信带来的暴露风险,提高了蜜罐服务节点的安全性。
在一些实施例中,目标报文的源IP地址以及源端口为第二源IP地址以及第二源端口,目标报文的目的IP地址以及目的端口为第一目的IP地址以及第一目的端口;
步骤S130中,依据该映射关系表中的第一源IP地址以及第一源端口,对目标报文进行IP地址以及端口替换,可以包括:
依据第一源IP地址以及第一源端口替换目标报文的源IP地址以及源端口。
示例性的,当目标报文的源IP地址以及源端口为第二源IP地址以及第二源端口,目标报文的目的IP地址以及目的端口为第一目的IP地址以及第一目的端口,即目标报文正序命中映射关系表时,例如,该目标报文为RPC服务节点重新构造的访问请求,RPC服务节点可以依据映射关系表中的攻击源地址信息,即第一源IP地址以及第一源端口,替换目标报文的源IP地址以及源端口,以还原攻击源地址信息。
在一些实施例中,目标报文的源IP地址以及源端口为第一目的IP地址以及第一目的端口,目标报文的目的IP地址以及目的端口为第二源IP地址以及第二源端口;
步骤S130中,依据该映射关系表中的第一源IP地址以及第一源端口,对目标报文进行IP地址以及端口替换,可以包括:
依据第一源IP地址以及第一源端口替换目标报文的目的IP地址以及目的端口。
示例性的,当目标报文的源IP地址以及源端口为第一目的IP地址以及第一目的端口,目标报文的目的IP地址以及目的端口为第二源IP地址以及第二源端口,即目标报文反序命中映射关系表时,例如,该目标报文为蜜罐服务节点发送的响应报文,RPC服务节点可以依据映射关系表中的攻击源地址信息,即第一源IP地址以及第一源端口,替换目标报文的目的IP地址以及目的端口,以还原攻击源地址信息。
在一些实施例中,步骤S140中,依据替换后的目标报文进行攻击分析,可以包括:
将替换后的目标报文注入蜜罐服务端的虚拟网卡,以使协议分析引擎依据监听到的虚拟网卡中的报文进行攻击分析。
示例性的,为了实现攻击分析,蜜罐服务端可以创建用于进行攻击分析的虚拟网卡。当RPC服务节点按照上述实施例中描述的方式对目标报文进行地址信息替换时,可以将替换后的目标报文注入所创建的虚拟网卡。
相应地,协议分析引擎可以通过对该虚拟网卡进行监听的方式,依据监听到的报文进行攻击分析,以模拟出监听真实攻击链路的报文场景,有利于后续采用不同工具进行流量分析的通用扩展性。
在一些实施例中,上述映射关系表为以第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口为key,以第一源IP地址以及第一源端口为value的会话哈希表;
步骤S130中,检测到与映射关系表匹配的目标报文,可以包括:
检测到与会话哈希表的key匹配的目标报文。
示例性的,为了提高报文匹配效率,RPC服务节点可以以键值对(key-value)的形式存储映射关系表中的第二源IP地址、第二源端口、第一目的IP地址、第一目的端口、第一源IP地址以及第一源端口,以第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口为key,以第一源IP地址以及第一端口为value,建立映射关系表(可以称为会话哈希表)。
相应地,对于需要通过RPC服务节点转发的报文,RPC服务节点可以依据报文的源地址信息以及目的地址信息,查询会话哈希表,比较报文的源地址信息以及目的地址信息,与会话哈希表的key,确定是否匹配。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体应用场景对本申请实施例提供的技术方案进行说明。
请参见图2,为本申请实施例提供的一种蜜罐部署模式的场景示意图,如图2所示,该场景中包括多个蜜罐服务端和蜜罐代理端,蜜罐服务端包括蜜罐服务集群以及RPC服务节点,蜜罐服务集群包括多个蜜罐服务节点,蜜罐代理端包括多个蜜罐代理节点。
如图3和图4所示,基于图2所示场景,本申请实施例提供的蜜罐代理转发方案实现流程如下:
S1、蜜罐代理节点开放监听指定端口,接收外部的访问请求。
S2、蜜罐代理节点将访问请求中的源、目的IP及端口信息(如上述第一源IP地址、第一源端口、第一目的IP地址、第一目的端口)及Payload信息通过RPC参数传递到服务端。
S3、RPC服务节点通过RPC接口接收蜜罐代理节点传递的RPC参数,根据转发规则,将流量转发至真实蜜罐服务节点中,并接收响应数据,返回给RPC接口。
示例性的,RPC服务节点接收到RPC参数时,可以确定对应的访问请求是否为新会话对应的访问请求,并在该访问请求为新会话对应的访问请求的情况下,与目的蜜罐服务节点建立会话连接。
RPC服务节点可以依据本节点的IP地址、本节点上与目的蜜罐节点建立该会话连接的端口,以及RPC参数中的目的IP地址、目的端口以及payload,构造新的访问请求,并转发给目的蜜罐服务节点。
S4、RPC服务节点建立本次会话的会话哈希表。
示例性的,该会话哈希表的可以为本节点的IP地址、本节点上与目的蜜罐节点建立该会话连接的端口、RPC参数中的目的IP地址以及目的端口,value为RPC参数中的源IP地址和源端口。
S5、对于需要转发的报文,RPC节点依据报文的源IP地址、源端口、目的IP地址以及目的端口查询是否存在匹配的会话哈希表。
示例性的,RPC服务节点可以通过对物理网卡进行监听的方式,捕获需要转发的报文。
S6、对于正序命中会话哈希表的目标报文,依据匹配的会话哈希表中的value替换该目标报文的源IP地址和源端口。
S7、对于反序命中会话哈希表的目标报文,依据匹配的会话哈希表中的value替换该密保报文的目的IP地址和目的端口。
S8、将替换后的目标报文注入指定的虚拟网卡。
S9、协议分析引擎监听虚拟网卡,以捕获和分析攻击源与蜜罐服务节点之间的数据。
可见,通过部署RPC服务节点,蜜罐代理节点通过RPC调用的方式,将接收到的访问请求的源地址信息、目的地址信息以及payload,以RPC参数的形式传递给RPC服务节点,由RPC服务节点确定转发路径并记录攻击源地址信息。蜜罐服务端通过RPC接口对外暴露,无需将真实蜜罐服务节点的端口对外进行暴 ,降低了蜜罐服务节点被暴露的风险。
此外,通过在蜜罐服务端进行报文的恢复重组,得到原始访问请求,并注入到虚拟网卡中,有效还原了真实的攻击场景,有利于后续采用不同工具进行流量分析的通用扩展性。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图5,为本申请实施例提供的一种高效蜜罐代理转发的装置的结构示意图,如图5所示,该高效蜜罐代理转发的装置可以包括:
接收单元510,用于接收蜜罐代理节点通过RPC调用方式传递的RPC参数,所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递,所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及负载payload;
报文构造单元520,用于当所述第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload,构造第二访问请求;所述第二源IP地址为RPC服务节点的IP地址,所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口;
转发单元530,用于将所述第二访问请求转发给目的蜜罐服务节点;
表项建立单元540,用于当所述第一访问请求为新会话对应的访问请求时,建立本次会话的映射关系表,所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系;
替换单元550,用于当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时,依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,得到替换后的目标报文;
攻击分析单元560,用于依据所述替换后的目标报文进行攻击分析。
在一些实施例中,所述目标报文的源IP地址以及源端口为所述第二源IP地址以及所述第二源端口,所述目标报文的目的IP地址以及目的端口为所述第一目的IP地址以及所述第一目的端口;
所述替换单元550依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的源IP地址以及源端口。
在一些实施例中,所述目标报文的源IP地址以及源端口为所述第一目的IP地址以及所述第一目的端口,所述目标报文的目的IP地址以及目的端口为所述第二源IP地址以及所述第二源端口;
所述替换单元550依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的目的IP地址以及目的端口。
在一些实施例中,所述攻击分析单元560依据所述替换后的目标报文进行攻击分析,包括:
将所述替换后的目标报文注入所述蜜罐服务端的虚拟网卡,以使协议分析引擎依据监听到的所述虚拟网卡中的报文进行攻击分析。
在一些实施例中,所述映射关系表为以所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口为键key,以所述第一源IP地址以及第一源端口为值value的会话哈希表;
所述替换单元550检测到与所述映射关系表匹配的目标报文,包括:
检测到与所述会话哈希表的key匹配的目标报文。
请参见图6,为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器601、存储有计算机程序的机器可读存储介质602。处理器601与机器可读存储介质602可经由系统总线603通信。并且,通过读取并执行机器可读存储介质602中与高效蜜罐代理转发的逻辑对应的计算机程序,处理器601可执行上文描述的高效蜜罐代理转发的方法。
本文中提到的机器可读存储介质602可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
在一些实施例中,还提供了一种机器可读存储介质,该机器可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上文描述的高效蜜罐代理转发的方法。例如,所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种高效蜜罐代理转发的方法,其特征在于,应用于蜜罐服务端部署的远程过程调用RPC服务节点,所述方法包括:
接收蜜罐代理节点通过RPC调用方式传递的RPC参数,所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递,所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及负载payload;
当所述第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload,构造第二访问请求,并将所述第二访问请求转发给目的蜜罐服务节点,所述第二源IP地址为所述RPC服务节点的IP地址,所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口;
以及,建立本次会话的映射关系表,所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系;
当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时,依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,得到替换后的目标报文;
依据所述替换后的目标报文进行攻击分析。
2.根据权利要求1所述的方法,其特征在于,所述目标报文的源IP地址以及源端口为所述第二源IP地址以及所述第二源端口,所述目标报文的目的IP地址以及目的端口为所述第一目的IP地址以及所述第一目的端口;
所述依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的源IP地址以及源端口。
3.根据权利要求1所述的方法,其特征在于,所述目标报文的源IP地址以及源端口为所述第一目的IP地址以及所述第一目的端口,所述目标报文的目的IP地址以及目的端口为所述第二源IP地址以及所述第二源端口;
所述依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的目的IP地址以及目的端口。
4.根据权利要求1所述的方法,其特征在于,所述依据所述替换后的目标报文进行攻击分析,包括:
将所述替换后的目标报文注入所述蜜罐服务端的虚拟网卡,以使协议分析引擎依据监听到的所述虚拟网卡中的报文进行攻击分析。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述映射关系表为以所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口为键key,以所述第一源IP地址以及第一源端口为值value的会话哈希表;
所述检测到与所述映射关系表匹配的目标报文,包括:
检测到与所述会话哈希表的key匹配的目标报文。
6.一种高效蜜罐代理转发的装置,其特征在于,包括:
接收单元,用于接收蜜罐代理节点通过RPC调用方式传递的RPC参数,所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递,所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口,以及负载payload;
报文构造单元,用于当所述第一访问请求为新会话对应的访问请求时,依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload,构造第二访问请求;所述第二源IP地址为RPC服务节点的IP地址,所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口;
转发单元,用于将所述第二访问请求转发给目的蜜罐服务节点;
表项建立单元,用于当所述第一访问请求为新会话对应的访问请求时,建立本次会话的映射关系表,所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系;
替换单元,用于当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时,依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,得到替换后的目标报文;
攻击分析单元,用于依据所述替换后的目标报文进行攻击分析。
7.根据权利要求6所述的装置,其特征在于,所述目标报文的源IP地址以及源端口为所述第二源IP地址以及所述第二源端口,所述目标报文的目的IP地址以及目的端口为所述第一目的IP地址以及所述第一目的端口;
所述替换单元依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的源IP地址以及源端口。
8.根据权利要求6所述的装置,其特征在于,所述目标报文的源IP地址以及源端口为所述第一目的IP地址以及所述第一目的端口,所述目标报文的目的IP地址以及目的端口为所述第二源IP地址以及所述第二源端口;
所述替换单元依据所述映射关系表中的第一源IP地址以及第一源端口,对所述目标报文进行IP地址以及端口替换,包括:
依据所述第一源IP地址以及第一源端口替换所述目标报文的目的IP地址以及目的端口。
9.根据权利要求6所述的装置,其特征在于,所述攻击分析单元依据所述替换后的目标报文进行攻击分析,包括:
将所述替换后的目标报文注入所述蜜罐服务端的虚拟网卡,以使协议分析引擎依据监听到的所述虚拟网卡中的报文进行攻击分析。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述映射关系表为以所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口为键key,以所述第一源IP地址以及第一源端口为值value的会话哈希表;
所述替换单元检测到与所述映射关系表匹配的目标报文,包括:
检测到与所述会话哈希表的key匹配的目标报文。
CN202111234104.5A 2021-10-22 2021-10-22 一种高效蜜罐代理转发的方法与装置 Active CN113709186B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111234104.5A CN113709186B (zh) 2021-10-22 2021-10-22 一种高效蜜罐代理转发的方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111234104.5A CN113709186B (zh) 2021-10-22 2021-10-22 一种高效蜜罐代理转发的方法与装置

Publications (2)

Publication Number Publication Date
CN113709186A CN113709186A (zh) 2021-11-26
CN113709186B true CN113709186B (zh) 2022-03-01

Family

ID=78646805

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111234104.5A Active CN113709186B (zh) 2021-10-22 2021-10-22 一种高效蜜罐代理转发的方法与装置

Country Status (1)

Country Link
CN (1) CN113709186B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114567472B (zh) * 2022-02-22 2024-07-09 深信服科技股份有限公司 一种数据处理方法、装置、电子设备及存储介质
CN115208688A (zh) * 2022-08-02 2022-10-18 杭州安恒信息技术股份有限公司 一种蜜罐防御方法、系统、计算机设备和存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9485276B2 (en) * 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN109462599B (zh) * 2018-12-13 2021-05-11 烽台科技(北京)有限公司 一种蜜罐管理系统
US11876833B2 (en) * 2019-08-15 2024-01-16 Uchicago Argonne, Llc Software defined networking moving target defense honeypot
CN112422481B (zh) * 2019-08-22 2021-10-26 华为技术有限公司 网络威胁的诱捕方法、系统和转发设备
CN113098835A (zh) * 2020-01-08 2021-07-09 北京奇虎科技有限公司 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统
CN112019545B (zh) * 2020-08-28 2022-08-12 杭州安恒信息安全技术有限公司 一种蜜罐网络部署方法、装置、设备及介质

Also Published As

Publication number Publication date
CN113709186A (zh) 2021-11-26

Similar Documents

Publication Publication Date Title
AU2020276394B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
CN108521426B (zh) 一种基于区块链的阵列蜜罐协同控制方法
CN113709186B (zh) 一种高效蜜罐代理转发的方法与装置
CN109831318A (zh) 一种获取网络拓扑的系统、方法和服务器
Ling et al. Protocol-level hidden server discovery
CN112995151A (zh) 访问行为处理方法和装置、存储介质及电子设备
CN107682470B (zh) 一种检测nat地址池中公网ip可用性的方法及装置
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN111314276A (zh) 一种对多个攻击行为检测的方法、装置及系统
CN111565203B (zh) 业务请求的防护方法、装置、系统和计算机设备
CN111935167A (zh) 用于工控的违规外联检测方法、装置、设备及存储介质
CN108881233A (zh) 防攻击处理方法、装置、设备及存储介质
CN116781331A (zh) 基于反向代理的蜜罐诱捕的网络攻击溯源方法及装置
CN115051851B (zh) 物联网场景下的用户访问行为管控系统和方法
CN114666300B (zh) 基于多任务的双向连接阻断方法、装置及电子设备
WO2019043804A1 (ja) ログ分析装置、ログ分析方法及びコンピュータ読み取り可能記録媒体
CN110505176A (zh) 报文优先级的确定、发送方法及装置、路由系统
WO2024255388A1 (zh) 一种异常信令的分析方法、装置及可读存储介质
CN111131192A (zh) 一种旁路防护方法及装置
CN116436668A (zh) 信息安全管控方法及相关装置
CN110198298A (zh) 一种信息处理方法、装置及存储介质
CN115883169A (zh) 基于蜜罐系统的工控网络攻击报文响应方法及响应系统
CN110809033B (zh) 报文转发方法、装置及交换服务器
CN106899423A (zh) 域名系统的处理方法、装置及域名系统
HK40047320A (zh) 訪問行為處理方法和裝置、存儲介質及電子設備

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant