蜜场网络流量重定向系统、方法、电子设备、介质及产品技术方案

本发明专利技术提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品，系统包括客户端、数据包重定向引擎以及蜜罐主机；客户端接收网络数据包，确定待重定向的目标网络数据包，进行封装处理后发送至数据包重定向引擎，接收返回的响应数据包，解封处理后转发给发起方；数据包重定向引擎用于接收目标网络数据包，对数据包的地址和/或端口信息进行修改后发送至目标蜜罐主机，接收返回的响应数据包，对响应数据包的地址和/或端口信息修改后封装，发送客户端；蜜罐主机位于蜜场内，对接收到的目标网络数据包进行处理，返回响应数据包。本发明专利技术提供的系统，操作简单，能够保留目标网络数据包的原始IP，不会丢失数据信息，提高数据包处理的准确性。的准确性。的准确性。

【技术实现步骤摘要】
蜜场网络流量重定向系统、方法、电子设备、介质及产品


[0001]本专利技术涉及网络安全
，尤其涉及一种蜜场网络流量重定向系统、方法、电子设备、介质及产品。

技术介绍

[0002]随着互联网的蓬勃发展，网络安全问题变得越来越重要。传统的基于主机层的被动防御方法已经难以保护现有网络的安全，因此，主动防御的概念诞生了，蜜场系统属于一种主动防御策略。
[0003]现有技术中，蜜场系统采用蜜场网络流量重定向技术，通过在业务主机大量部署诱饵客户端使其成为诱饵主机，然后采用网络四层流量代理将访问诱饵主机特定端口的流量转发到位于蜜场的蜜罐中，在蜜罐中分析访问流量、识别攻击行为、截获攻击载荷并报警。但是这种处理方式，TCP代理对IP数据包做了重组，不再有数据包的原始信息，而且代理修改了源目的IP地址，蜜场后端可能会提取不到攻击者IP，且代理需要绑定对应的端口，若操作有误会影响客户实际服务，导致用户体验较差。

技术实现思路

[0004]本专利技术提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品，用以解决现有技术中存在的数据包本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种蜜场网络流量重定向系统，其特征在于，包括：客户端、数据包重定向引擎以及蜜罐主机；其中，所述客户端位于业务主机内，用于接收网络数据包，并基于预先获取的端口配置信息与服务程序信息，确定待重定向的目标网络数据包；用于将所述目标网络数据包进行封装处理，并发送至所述数据包重定向引擎；还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包，对所述响应数据包进行解封处理，并转发给所述目标网络数据包的发起方；所述数据包重定向引擎位于蜜场内，用于接收目标网络数据包，并对所述目标网络数据包的地址和/或端口信息进行修改，将修改后的目标网络数据包发送至目标蜜罐主机；还用于接收所述目标蜜罐主机返回的所述目标网络数据包的响应数据包，对所述响应数据包的地址和/或端口信息进行修改后，将修改后的响应数据包封装并发送至所述客户端；所述蜜罐主机位于蜜场内，用于对所接收到的目标网络数据包进行处理，并返回所述目标网络数据包的响应数据包。2.根据权利要求1所述的蜜场网络流量重定向系统，其特征在于，所述客户端包括用户态模块和内核模块；其中，所述内核模块用于接收网络数据包，并基于预先获取的端口配置信息与服务程序信息，确定待重定向的目标网络数据包；用于将所拦截的目标网络数据包发送至所述用户态模块；所述用户态模块用于从所述内核模块接收目标网络数据包，将所接收的目标网络数据包进行封装处理，并发送至所述数据包重定向引擎；还用于接收所述数据包重定向引擎返回的所述目标网络数据包的响应数据包，对所述响应数据包进行解封处理，并转发给所述目标网络数据包的发起方。3.根据权利要求1所述的蜜场网络流量重定向系统，其特征在于，所述蜜罐主机作为虚拟化的guest与所述数据包重定向引擎处于同一个主机内。4.根据权利要求1所述的蜜场网络流量重定向系统，其特征在于，所述蜜罐主机与所述数据包重定向引擎位于不同的主机内；所述蜜罐主机包括数据包收发服务，所述数据包收发服务用于接收所述数据包重定向引擎发送至所在蜜罐主机的目标网络数据包，还用于拦截所在蜜罐主机发送的所述目标网络数据包的响应数据包，并转发至所述数据包重定向引擎。5.基于权利要求1至4任一项所述的蜜场网络流量重定向系统所实现的蜜场网络流量重定向方法，其特征在于，包括：接收网络数据包，基于预先获取的端口配置信息与服务程序信息，确定待重定向的目标网络数据包；其中，所述端口配置信息用于描述待重定向的目标网络数据包所涉及的端口的信息，所述服务程序信息用于描述业务主机中运行的服务程序；对所述目标网络数据包进行封装处理，将封装后的目标网络数据包传输至数据包重定向引擎；接收所述数据包重定向引擎返回的封装后的所述目标网络数据包的响应数据包，对封装后的响应数据包进行解封处理，并转发给所述目标网络数据包的发起方。6.根据权利要求5所述的蜜场网络流量重定向方法，其特征在于，在所述接收目标网络
数据包之前，方法还包括：接收端口配置信息。7.根据权利要求6所述的蜜场网络流量重定向方法，其特征在于，所述接收端口配置信息，包括：用户态模块与蜜场管理中心建立通信连接；用户态模块接收所述蜜场管理中心下发的端口配置信息，并将所述端口配置信息传输给所述内核模块。8.根据权利要求5所述的蜜场网络流量重定向方法，其特征在于，所述基于预先获取的端口配置信息与服务程序信息，确定待重定向的目标网络数据包，包括：所述内核模块判断所接收的网络数据包是否与已存储的待拦截数据流信息相匹配；在相匹配的情况下，确定所述网络数据包为目标网络数据包，拦截所述目标网络数据包，并传输给所述用户态模块；在不匹配的情况下，基于由用户态模块下发的所述端口配置信息和预先存储的服务程序信息，判断所接收的网络数据包所涉及的端口是否存在对应的服务程序；在所述端口存在对应的服务程序的情况下...

【专利技术属性】
技术研发人员：刘浩，胡宇，冯顾，
申请(专利权)人：奇安信网神信息技术北京股份有限公司，
类型：发明
国别省市：