【技术实现步骤摘要】
一种基于蜜罐诱导的攻击感知方法、装置、设备及介质
本专利技术涉及入侵检测领域,尤其涉及一种基于蜜罐诱导的攻击感知方法、装置、设备及介质。
技术介绍
入侵检测系统是指依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并提出告警的系统。传统的入侵检测系统通过安全策略对入侵行为进行行为匹配,从而达到检测目的。但是,这种传统的检测方法无法对攻击行为进行诱导,并且对于未能匹配安全策略的攻击行为无法识别。
技术实现思路
为了解决现有技术中传统的检测方法无法对攻击行为进行诱导,并且对于未能匹配安全策略的攻击行为无法识别的技术问题。本专利技术实施例提供一种基于蜜罐诱导的攻击感知方法、装置、设备及介质。一方面,本专利技术提供了一种基于蜜罐诱导的攻击感知方法,所述方法包括:过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应...
【技术保护点】
1.一种基于蜜罐诱导的攻击感知方法,其特征在于,所述方法包括:/n过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;/n在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;/n将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。/n
【技术特征摘要】
1.一种基于蜜罐诱导的攻击感知方法,其特征在于,所述方法包括:
过滤捕获的数据包以得到第一目标数据包,将所述第一目标数据包输出至用户态进程;
在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包;
将第一目标数据包和/或其对应的第二目标数据包确定为待解析数据包,基于预设的解析规则集对所述待解析数据包进行解析,根据解析结果分析攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述在用户态进程中确定所述第一目标数据包对应的目标通信诱导策略,包括:
获取所述第一目标数据包对应的传输协议;
将所述传输协议对应的目标诱导策略确定为目标通信诱导策略。
3.根据权利要求2所述的方法,其特征在于,若所述传输协议为传输控制协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
获取第一目标数据包中报文头部的标志位;
根据所述标志位生成回复数据包;
将所述回复数据包发送至所述第一目标数据包的源互联网协议地址。
4.根据权利要求3所述的方法,其特征在于,所述根据所述标志位生成回复数据包,包括:
若所述标志位为SYN,则根据三次握手过程生成标志位为ACK的数据包和标志位为SYN的数据包,将所述标志位为ACK的数据包和标志位为SYN的数据包作为回复数据包;
若所述标志位为PSH,则获取所述第一目标数据包指向的端口,判断所述端口是否存在对应的指纹信息,若存在,则根据所述指纹信息生成回复数据包;若不存在,直接生成标志为ACK的确认数据包;
若所述标志位为FIN,则根据四次挥手过程生成标志位为ACK的数据包和标志位为FIN的数据包,将所述标志位为ACK的数据包和标志位为FIN的数据包作为回复数据包。
5.根据权利要求2所述的方法,其特征在于,若所述传输协议为用户数据报协议,则基于所述目标通信诱导策略与所述第一目标数据包对应的源互联网协议地址通信以捕获所述源互联网协议地址发出的至少一个第二目标数据包,包括:
解析第一目标数据包以得到所述第一目标数据包...
【专利技术属性】
技术研发人员:宋兵,朱少扬,董志强,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。