本发明专利技术实施例提供了一种设备探测处理方法、装置、电子设备、存储介质和程序,根据访问流量从设备信息库中获取设备信息,生成访问流量的响应流量。对于攻击者发送的设备探测信息,均能通过设备信息库查询到相关的设备信息。根据查询到的设备信息生成响应流量,成功应对攻击者的设备探测行为,使得攻击者对欺骗诱捕系统进行攻击。诱捕系统进行攻击。诱捕系统进行攻击。
【技术实现步骤摘要】
设备探测处理方法、装置、电子设备、存储介质和程序
[0001]本专利技术涉及网络安全防御
,尤其是涉及一种设备探测处理方法、装置、电子设备、存储介质和程序。
技术介绍
[0002]攻击者对某一系统进行网络攻击之前,往往需要先对该系统中的设备种类和设备数量进行探测。在探测到该系统中包含的设备种类和设备数量均满足一定要求后,才会对该系统进行网络攻击。欺骗诱捕系统通常会诱导攻击者对其自身进行攻击,然后收集攻击者攻击的数据,对攻击者进行分析,从而能够基于分析结果更好的对攻击进行防御。然而,欺骗诱捕系统中实际并不存在多种设备,因而攻击者在对设备种类和设备数量进行探测之后,往往会取消攻击行为。
[0003]为了使得攻击者对欺骗诱捕系统进行攻击,通常会模拟一些设备的虚拟环境,通过模拟的虚拟环境欺骗攻击者对设备种类和设备数量的探测。然而,欺骗诱捕系统能模拟的设备种类和数量极其有限,而实际的网络设备多达几千种,用设备的虚拟环境根本无法解决在一个物理设备上同时仿真如此多设备的问题。
[0004]可见,现有的欺骗诱捕系统中仿真的设备有限,无法应对攻击者的设备探测行为。
技术实现思路
[0005]本专利技术实施例提供一种设备探测处理方法、装置、电子设备、存储介质和程序,用以解决现有的欺骗诱捕系统中仿真的设备有限,无法应对攻击者的设备探测行为的问题。
[0006]针对以上技术问题,第一方面,本专利技术实施例提供一种设备探测处理方法,应用于欺骗诱捕系统,包括:
[0007]接收访问流量,根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息,并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务;
[0008]若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息,则根据所述目标设备的设备信息生成所述访问流量的响应流量;
[0009]其中,所述设备信息库中包括各设备的设备信息,任一设备的设备信息中包括由所述任一设备提供的服务。
[0010]可选地,所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息,包括:
[0011]获取所述访问流量中的地址信息,作为流量地址信息,并获取预先对所述设备信息库中的至少一个设备配置的查询地址信息;
[0012]获取与所述流量地址信息相匹配的查询地址信息,作为目标查询地址信息;
[0013]将所配置的查询地址信息为所述目标查询地址信息的设备作为所述目标设备,从所述设备信息库中获取所述目标设备的设备信息。
[0014]可选地,所述获取与所述流量地址信息相匹配的查询地址信息,作为目标查询地
址信息,包括:
[0015]根据所述流量地址信息中的源IP、目的IP和目的端口,从所配置的查询地址信息中获取与所述流量地址信息相匹配的匹配查询地址信息,将所述匹配查询地址信息作为所述目标查询地址信息;
[0016]或者,根据所述流量地址信息中的源IP和目的IP,从查询地址信息中获取与所述流量地址信息相匹配的待选查询地址信息,根据所述流量地址信息中的目的端口,以及配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记录的端口信息,从待选查询地址信息中确定所述匹配查询地址信息,将所述匹配查询地址信息作为所述目标查询地址信息。
[0017]可选地,所述将所述匹配查询地址信息作为所述目标查询地址信息,包括:
[0018]若存在至少两个匹配查询地址信息,则获取配置了各匹配查询地址信息的设备,作为待选设备;
[0019]根据所述设备信息库中各待选设备的设备信息,确定与附加匹配条件相匹配的目标设备信息,将所述目标设备信息对应的设备所配置的查询地址信息作为所述目标查询地址信息;
[0020]其中,所述附加匹配条件包括如下条件中至少一种:设备名称、设备厂商。
[0021]可选地,所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息之前,还包括:
[0022]获取根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置的转发地址信息,判断转发地址信息中是否存在与所述访问流量中的流量地址信息相匹配的转发地址信息;
[0023]若存在与所述流量地址信息相匹配的转发地址信息,则根据与所述流量地址信息相匹配的转发地址信息,将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中;
[0024]若不存在与所述流量地址信息相匹配的转发地址信息,则根据所述流量地址信息从设备信息库中获取目标设备的设备信息。
[0025]可选地,所述若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息,则根据所述目标设备的设备信息生成所述访问流量的响应流量,包括:
[0026]获取所述目标设备的设备信息中记录的所述目标服务的服务信息,根据所述服务信息判断所述访问流量中是否携带了对提供目标服务的设备进行探测的设备探测信息;
[0027]若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息,则根据所述目标设备的设备信息生成所述访问流量的响应流量;
[0028]若所述访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息,则丢弃所述访问流量。
[0029]可选地,还包括:
[0030]判断接收到所述访问流量的时间点到当前时间点之间的时长是否大于或等于预设时长,若是,则获取从转发地址信息中获取目标转发地址信息,根据所述目标转发地址信息将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中;
[0031]其中,所述转发地址信息根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置;所述目标转发地址信息中目的端口所对应的服务为所述目标服务。
[0032]第二方面,本专利技术实施例提供一种设备探测处理装置,应用于欺骗诱捕系统,包
括:
[0033]获取模块,用于接收访问流量,根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息,并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务;
[0034]响应模块,用于若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息,则根据所述目标设备的设备信息生成所述访问流量的响应流量;
[0035]其中,所述设备信息库中包括各设备的设备信息,任一设备的设备信息中包括由所述任一设备提供的服务。
[0036]第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以上所述的设备探测处理方法的步骤。
[0037]第四方面,本专利技术实施例提供一种非暂态可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以上任一项所述的设备探测处理方法的步骤。
[0038]第五方面,本专利技术实施例提供一种计算机程序,该计算机程序被处理器执行时实现以上任一项所述的设备探测处理方法的步骤。
[0039]本专利技术的实施例提供了一种设备探测本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种设备探测处理方法,其特征在于,应用于欺骗诱捕系统,包括:接收访问流量,根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息,并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务;若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息,则根据所述目标设备的设备信息生成所述访问流量的响应流量;其中,所述设备信息库中包括各设备的设备信息,任一设备的设备信息中包括由所述任一设备提供的服务。2.根据权利要求1所述的设备探测处理方法,其特征在于,所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息,包括:获取所述访问流量中的地址信息,作为流量地址信息,并获取预先对所述设备信息库中的至少一个设备配置的查询地址信息;获取与所述流量地址信息相匹配的查询地址信息,作为目标查询地址信息;将所配置的查询地址信息为所述目标查询地址信息的设备作为所述目标设备,从所述设备信息库中获取所述目标设备的设备信息。3.根据权利要求2所述的设备探测处理方法,其特征在于,所述获取与所述流量地址信息相匹配的查询地址信息,作为目标查询地址信息,包括:根据所述流量地址信息中的源IP、目的IP和目的端口,从查询地址信息中获取与所述流量地址信息相匹配的匹配查询地址信息,将所述匹配查询地址信息作为所述目标查询地址信息;或者,根据所述流量地址信息中的源IP和目的IP,从所配置的查询地址信息中获取与所述流量地址信息相匹配的待选查询地址信息,根据所述流量地址信息中的目的端口,以及配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记录的端口信息,从待选查询地址信息中确定所述匹配查询地址信息,将所述匹配查询地址信息作为所述目标查询地址信息。4.根据权利要求3所述的设备探测处理方法,其特征在于,所述将所述匹配查询地址信息作为所述目标查询地址信息,包括:若存在至少两个匹配查询地址信息,则获取配置了各匹配查询地址信息的设备,作为待选设备;根据所述设备信息库中各待选设备的设备信息,确定与附加匹配条件相匹配的目标设备信息,将所述目标设备信息对应的设备所配置的查询地址信息作为所述目标查询地址信息;其中,所述附加匹配条件包括如下条件中至少一种:设备名称、设备厂商。5.根据权利要求1所述的设备探测处理方法,其特征在于,所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息之前,还包括:获取根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置的转发地址信息,判断转发地址信息中是否存在与所述访问流量中的流量地址...
【专利技术属性】
技术研发人员:计东,张卓,陈毓端,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。