本申请提供了一种蜜罐导流方法、装置、电子设备及可读存储介质,所述方法包括:接收指向专有网络的数据流量,所述数据流量内记录有目的地的IP地址,该IP地址为所述专有网络的私网网段的IP地址,所述专有网络关联有用于部署蜜罐的蜜罐主机;确认所述IP地址未分配的情况下,将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内。本申请中,接收到指向专有网络的数据流量后,通过导流的方式,可以将目的地IP地址为未分配地址的数据流量导流到蜜罐主机内,本申请导流方案无需建立蜜罐主机与所包含的IP地址的关联关系,可以仅设置少数个甚至一个蜜罐主机,就可以接收整个专有网络的攻击流量,部署成本低,覆盖面广。覆盖面广。覆盖面广。
【技术实现步骤摘要】
一种蜜罐导流方法、装置、电子设备及可读存储介质
[0001]本申请涉及计算机
,具体而言,涉及一种蜜罐导流方法、装置、电子设备及可读存储介质。
技术介绍
[0002]专有网络VPC(Virtual Private Cloud)是用户创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,专有网络内部服务器之间交互的流量,称为东西向流量。当前的安全管理对于VPC内部的东西向流量缺少检测和防御能力,一旦攻击者入侵并控制了VPC内一台实例便可以通过内网横向攻击控制更多服务器,造成较大损失。
[0003]目前可以通过部署蜜罐的方式来进行安全防御,即在VPC内部部署多个与服务器主机区分开的诱饵主机。但是攻击者入侵的探测行为是随机的,因此捕获攻击行为的效果取决于蜜罐的部署密度,成本和维护难度较高,数据收集面窄。
技术实现思路
[0004]本申请通过将针对未分配IP地址的数据流量导流至蜜罐主机的方式解决现有蜜罐导流中传统蜜罐部署的成本过高的问题。
[0005]为解决上述问题,本申请第一方面提供了一种蜜罐导流方法,包括:
[0006]接收指向专有网络的数据流量,所述数据流量内记录有目的地的IP地址,该IP地址为所述专有网络的私网网段的IP地址,所述专有网络关联有用于部署蜜罐的蜜罐主机;
[0007]确认所述IP地址未分配的情况下,将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内。
[0008]本申请第二方面提供了一种蜜罐导流装置,其包括:
[0009]流量接收模块,其用于接收指向专有网络的数据流量,所述数据流量内记录有目的地的IP地址,该IP地址为所述专有网络的私网网段的IP地址,所述专有网络关联有用于部署蜜罐的蜜罐主机;
[0010]流量导流模块,其用于确认所述IP地址未分配的情况下,将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内。
[0011]本申请第三方面提供了一种电子设备,其包括:存储器和处理器;
[0012]所述存储器,其用于存储程序;
[0013]所述处理器,耦合至所述存储器,用于执行所述程序,以用于:
[0014]接收指向专有网络的数据流量,所述数据流量内记录有目的地的IP地址,该IP地址为所述专有网络的私网网段的IP地址,所述专有网络关联有用于部署蜜罐的蜜罐主机;
[0015]确认所述IP地址未分配的情况下,将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内。
[0016]本申请中,接收到指向专有网络的数据流量后,通过导流的方式,可以将目的地IP地址为未分配地址的数据流量导流到蜜罐主机内,本申请导流方案无需建立蜜罐主机与所
包含的IP地址的关联关系,可以仅设置少数个甚至一个蜜罐主机,就可以接收整个专有网络的攻击流量,部署成本低,覆盖面广。
[0017]本申请中,通过将攻击流量引入处于隔离网络的蜜罐主机,基于导流方案,隔离用户服务器主机与蜜罐主机,避免蜜罐将风险带入真实网络环境,避免了传统蜜罐一旦被攻陷,可能成为攻击、危害其他服务器主机的跳板的风险。
附图说明
[0018]图1为根据本申请一个实施例的蜜罐导流方法的流程图;
[0019]图2为根据本申请蜜罐导流方案的场景示意图;
[0020]图3为根据本申请一个蜜罐交互实施例的蜜罐导流方法的流程图;
[0021]图4为根据本申请一个设置诱饵主机实施例的蜜罐导流方法的流程图;
[0022]图5为根据本申请一个实施例的蜜罐导流装置的结构框图;
[0023]图6为根据本申请实施例的电子设备的结构框图。
具体实施方式
[0024]为使本申请的上述目的、特征和优点能够更为明显易懂,下面结合附图对本申请的具体实施例做详细的说明。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
[0025]需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
[0026]专有网络VPC(Virtual Private Cloud)是用户创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS(Elastic Compute Service,云服务器)、SLB(Server Load Balancer,负载均衡)、RDS(Relational Database Service,关系型数据库)等。
[0027]通常在数据中心中,网络流量分为两种类型,一种是数据中心外部用户和内部服务器之间交互的流量,这样的流量称作南北向流量;另外一种就是数据中心内部服务器之间交互的流量,也叫东西向流量。云计算场景中,东西向流量占据的比例远远高于南北向流量占据的比例。
[0028]当前云上网络安全管理对VPC内部,东西向流量缺少检测和防御能力,一旦攻击者入侵并控制了VPC内一台实例便可以通过内网横向攻击控制更多服务器,造成较大损失。基于此,可以通过部署蜜罐的方式来进行检测或防御。
[0029]目前蜜罐解决方案多为传统方案,即在网络内部部署多个与服务器主机区分开的诱饵主机,而攻击者入侵的探测行为是随机的,因此捕获攻击行为的效果取决于蜜罐/诱饵主机的部署密度,成本和维护难度较高,数据收集面窄,无法提供广泛作用域。
[0030]针对上述问题,本申请提供一种新的蜜罐导流方案,能够通过导流方法,将攻击流量引导至蜜罐进行处理,成本低,维护简单。
[0031]为了便于理解,在此对下述可能使用的术语进行解释:
[0032]蜜罐:蜜罐是一种用来侦测或抵御未经授权操作或者是攻击者攻击的陷阱,因原理类似诱捕昆虫的蜜罐而得名。蜜罐看起来是一个真实的计算机系统,其上运行不同种类的作业程序,例如,邮件系统。运行的作业程序不同,蜜罐的类型不同。蜜罐一般都会刻意构造安全漏洞来吸引攻击者,例如,弱密码或者端口开放。在攻击者进入后,蜜罐可以追踪攻击者的攻击行为,详细记录攻击过程中的痕迹,从而获取到攻击者操作,使用的工具、病毒等等有价值的信息,利用这些情报,可以帮助分析系统现有的安全能力薄弱点,以及后续安全工作的重点。另外一方面,蜜罐也能吸引攻击者的注意力,通过诱饵假数据消耗攻击者时间,从而避免真实系统被攻击。
[0033]VPC控制器:VPC网络的控制引擎,控制XGW(eXtendable Gateway,虚拟网关组件),VS(Virtual Switch,虚拟交换机)等转发设备和服务。
[0034]弹性网卡:(Elastic Network Interface,ENI)是绑定私有网络内云服务器的一种弹性网络接口,可在多个云服务器间自由迁移。可以在云服务器上绑定多个弹性网卡,实现高可用网络方案;也可以在弹性网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种蜜罐导流方法,其特征在于,包括:接收指向专有网络的数据流量,所述数据流量内记录有目的地的IP地址,该IP地址为所述专有网络的私网网段的IP地址,所述专有网络关联有用于部署蜜罐的蜜罐主机;确认所述IP地址未分配的情况下,将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收所述蜜罐主机内的蜜罐针对所述数据流量的返回流量并向所述数据流量的发送方进行传输。3.根据权利要求2所述的方法,其特征在于,所述蜜罐内预设有响应策略,基于该响应策略生成针对所述蜜罐主机分配至该蜜罐的所述数据流量的所述返回流量。4.根据权利要求1所述的方法,其特征在于,通过以下步骤确认所述IP地址未分配:获取记录有已分配的私网网段的IP地址的查询表,在所述查询表内查询所述IP地址,未查到的所述IP地址确认为未分配。5.根据权利要求1所述的方法,其特征在于,所述专有网络内设置有弹性网卡,所述将记录有所述IP地址的所述数据流量导流到所述蜜罐主机内,包括:将所述数据流量转发至所述弹性网卡,所述弹性网卡基于预设的分配策略将所述数据流量发送至对应的蜜罐主机内。6.根据权利要求1所述的方法,其特征在于,所述专有网络内设置有诱饵主机,所述诱饵主机内部署有多个已分配的私网网段的IP地址,所述接收指向专有网络的数据流量之后...
【专利技术属性】
技术研发人员:吴曦,周来,
申请(专利权)人:阿里云计算有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。