蜜罐引流方法技术

本申请公开了一种蜜罐引流方法

【技术实现步骤摘要】
蜜罐引流方法、装置、网关代理设备以及存储介质


[0001]本申请涉及网络安全
，更具体地，涉及一种蜜罐引流方法
、
装置
、
网关代理设备以及存储介质
。

技术介绍

[0002]传统的蜜罐产品中，大多数都需要单独部署蜜罐服务器，将蜜罐服务器静态部署在真实业务服务的网络空间中，或者通过探针技术进行旁路部署
。
但无论哪种部署方式，都需要在真实业务服务的网络空间中创建新的网络服务，导致蜜罐的网络互联协议
(Internet Protocol
，
IP)
地址
、
域名或者端口与真实业务服务不同，由此攻击者很可能会绕过蜜罐，而直接攻击已知网络地址的真实业务服务，导致蜜罐无法成功捕获威胁攻击
。

技术实现思路

[0003]鉴于上述问题，本申请提出了一种蜜罐引流方法
、
装置
、
网关代理设备以及存储介质，以增强蜜罐的伪装性，并减少对真实业务服务对应的内网资源的改动，降低蜜罐部署的成本
。
[0004]第一方面，本申请实施例提供了一种蜜罐引流方法，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同，所述方法包括：获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志
。
[0005]第二方面，本申请实施例提供了一种蜜罐引流装置，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同，所述装置包括：请求获取模块以及地址重定向模块，其中，请求获取模块用于获取终端设备发起的网络访问请求；地址重定向模块用于若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志
。
[0006]第三方面，本申请实施例提供了一种网关代理设备，包括：一个或多个处理器；存储器；一个或多个应用程序，其中所述一个或多个应用程序被存储在所述存储器中并被配置为由所述一个或多个处理器执行，所述一个或多个程序配置用于执行上述第一方面提供的蜜罐引流方法
。
[0007]第四方面，本申请实施例提供了一种计算机可读取存储介质，所述计算机可读取存储介质中存储有程序代码，所述程序代码可被处理器调用执行上述第一方面提供的蜜罐引流方法
。
[0008]本申请提供的方案，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所
述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同
。
通过获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，或者，基于网络访问请求的相关信息生成安全审计日志
。
通过部署与真实业务服务具有相同网络地址的欺骗诱饵，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在网关代理设备上，能够减少对真实业务服务对应的内网资源的改动，降低蜜罐部署成本
。
附图说明
[0009]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0010]图1示出了本申请一个实施例提供的蜜罐引流方法的流程示意图
。
[0011]图2示出了本申请实施例中网关代理设备的结构示意图
。
[0012]图3示出了本申请另一个实施例提供的蜜罐引流方法的流程示意图
。
[0013]图4示出了本申请另一个实施例中步骤
S220
的具体流程示意图
。
[0014]图5示出了本申请实施例中蜜罐引流方法的流程示意图
。
[0015]图6示出了本申请另一个实施例中步骤
S250
的具体流程示意图
。
[0016]图7示出了本申请实施例提供的蜜罐引流装置的结构示意图
。
[0017]图8示出了本申请实施例提供的一种网关代理设备的结构框图
。
[0018]图9示出了本申请实施例提供的计算机可读取存储介质的结构框图
。
具体实施方式
[0019]为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚
、
完整地描述
。
[0020]通常情况下，传统的蜜罐技术可以将蜜罐服务器静态部署在真实业务服务的网络空间中，或者为了降低蜜罐的部署成本，提高蜜罐感知范围，通过在真实业务服务
、
各个子网关设备和网络边界上部署欺骗探针，将欺骗探针与后台蜜罐关联的方式部署蜜罐
。
然而无论哪种蜜罐部署方式，都需要在真实业务服务的网络空间中创建新的网络服务，由于是全新的网络地址，蜜罐的
IP、
域名或端口均与真实业务服务不同
。
由此一旦攻击者不再展开网络服务扫描，只对已知的真实业务服务的网络地址展开攻击，那么就会避开已经部署的蜜罐，导致蜜罐无法成功捕获威胁
。
[0021]因此，本申请提供了一种蜜罐引流方法
、
装置
、
计算机设备以及存储介质，通过部署与真实业务服务具有相同网络地址的欺骗诱饵，将蜜罐内嵌在真实业务服务中，使蜜罐具有更强的伪装性，从而更容易捕获威胁；同时将通过蜜罐部署在网关代理设备上，能够减少对真实业务服务对应的内网资源的改动，降低蜜罐部署成本
。
[0022]请参阅图1，图1示出了本申请一个实施例提供的蜜罐引流方法的流程示意图，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问
标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同
。
下面将针对图1所示流程进行详细阐述，所述蜜罐引流方法具体可以包括以下步骤：
[0023]步骤
S110
：获取终端设备发起的网络访问请求
。
[0024]在本申请实施例中，用户可以通过终端设备向网关代理设备发起网络访问请求，用以告知网关代理设备当前发起网络访问请求的用户的相关信息以及该用户想要访本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种蜜罐引流方法，其特征在于，应用于网关代理设备，所述网关代理设备部署有欺骗诱饵，所述欺骗诱饵关联有应用层访问标的，所述应用层访问标的对应的网络地址与真实业务服务对应的网络地址相同，所述方法包括：获取终端设备发起的网络访问请求；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；或者，基于所述网络访问请求对应的相关信息生成安全审计日志
。2.
根据权利要求1所述的方法，其特征在于，所述网关代理设备具体为：基于身份认证的网关代理设备；所述若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；或者，基于所述网络访问请求对应的相关信息生成安全审计日志，包括：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，并且将所述网络访问请求对应的用户身份信息发送至所述目标蜜罐；或者，若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则基于网络访问请求对应的相关信息生成安全审计日志，其中，所述网络访问请求的相关信息中包括：用户身份信息
。3.
根据权利要求1所述的方法，其特征在于，所述若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；或者，基于所述网络访问请求对应的相关信息生成安全审计日志，包括：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐；若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第二类应用层访问标的匹配，则基于所述网络访问请求对应的相关信息生成安全审计日志
。4.
根据权利要求3所述的方法，所述若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，则将所述网络访问请求重定向至目标蜜罐，包括：若所述网络访问请求所访问的应用层访问标的与所述欺骗诱饵关联的第一类应用层访问标的匹配，获取所述网络访问请求对应的资源标识，所述资源标识用于标识所述网络访问请求所请求访问的业务资源；基于所述资源标识，为所述资源标识对应的目标蜜罐设置专有断开时长，所述专有断开时长用于在所述网络访问请求与目标蜜罐之间在专有断开时长内不存在应用层交互的情况下，自动断开网络访问请求与目标蜜罐之间的连接关系；将所述网络访问请求重定向至所述资源标识对应的目标蜜罐
。5.
根据权利要求3所述...

【专利技术属性】
技术研发人员：周尚武，汪建斌，郭炳梁，
申请(专利权)人：深圳市深信服信息安全有限公司，
类型：发明
国别省市：