阅读说明：本技术 基于流量转发的威胁感知方法、设备、装置及存储介质 (Threat perception method, equipment and device based on flow forwarding and storage medium ) 是由 康学斌 杨赛 王小丰 肖新光 于 2018-07-23 设计创作，主要内容包括：本发明提出一种基于流量转发的威胁感知方法、设备、装置及存储介质,所述方法通过将蜜罐部署在公网,并设置公网IP；监听指定端口,当指定端口与蜜罐建立连接时,蜜罐反向连接来源IP对应端口；若所监听端口在预设时间内的连接次数达到预定值,则将所述端口添加到转发列表中；蜜罐将在转发列表中的端口流量全部转发回源IP对应端口；继续监控及转发交互流量,并将对应流量生成Pcap文件,进行深度分析；对Pcap包中的流量信息深度分析,解析出攻击源IP、时间戳、payload数据、URL及被攻击端口,提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险,也弥补了低交互蜜罐的不足,能够有效获取流量信息。(The invention provides a threat sensing method, equipment, a device and a storage medium based on flow forwarding, wherein the method comprises the steps of deploying honeypots in a public network and setting a public network IP; monitoring a designated port, and when the designated port is connected with the honeypot, reversely connecting the port corresponding to the source IP by the honeypot; if the connection times of the monitored port in the preset time reach a preset value, adding the port into a forwarding list; the honeypot forwards all the port flow in the forwarding list back to the corresponding port of the source IP; continuously monitoring and forwarding interactive traffic, generating a Pcap file from the corresponding traffic, and performing deep analysis; and deeply analyzing the flow information in the Pcap packet, analyzing an attack source IP, a timestamp, payload data, a URL (Uniform resource locator) and an attacked port, and providing the analyzed result for subsequent statistical analysis. The method can reduce the risk of breaking the high-interaction honeypot, make up for the deficiency of the low-interaction honeypot, and effectively obtain the flow information.)

基于流量转发的威胁感知方法、设备、装置及存储介质

技术领域

本发明涉及计算机网络安全领域，特别涉及一种基于流量转发的威胁感知方法、设备、装置及存储介质。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。所有流入流出蜜罐的流量，都预示着扫描、攻击和攻陷的可能性。

现有的蜜罐技术，如一些低交互蜜罐，在监控僵尸网络或者C2时，由于其上部署的不是真实服务，只有简单的模拟，存在明显的交互不足问题，导致无法有效的实现自动化监控以及捕获其行为数据、无法实时并有效的感知威胁的爆发。而高交互蜜罐实质上是一个真实的系统，相当于提供了一个完全开放的系统给黑客，黑客完全可能通过这个开放的系统去攻击其他系统，这就导致高交互蜜罐成为“肉鸡”，所以自然的加大了部署和维护的复杂度，及风险的扩大。

发明内容

基于上述问题，本发明提出了一种基于流量转发的威胁感知方法、系统及存储介质，通过将蜜罐设置为代理，将收到的流量转发回相应端口，使得蜜罐能够完整获取并发送交互信息，并生成pcap包，提供后续分析，解决了低交互蜜罐无法有效感知威胁，高交互蜜罐容易被攻陷的问题。

首先本发明提出一种基于流量转发的威胁感知方法，包括：

将蜜罐部署在公网，并设置公网IP；

蜜罐监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；

判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则将所述端口添加到转发列表中；否则继续监听；

蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；

判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；

对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的方法中，所述监听指定端口为监听一个或多个指定端口。

所述的方法中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

本发明还提出一种基于流量转发的威胁感知设备，所述设备包括：存储器和处理器；将设备部署在公网，并设置公网IP；

所述存储器存储可在处理器上运行的计算机程序，以及转发列表、交互流量及流量生成的Pcap文件；

所述处理器运行计算机程序时，实现如下步骤：

监听指定端口，当指定端口与设备建立连接时，所述设备反向连接来源IP对应端口；

判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则将所述端口添加到转发列表中；否则继续监听；

将在转发列表中的端口的流量全部转发回源IP对应端口；

判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；

对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的设备中，所述监听指定端口为监听一个或多个指定端口。

所述的设备中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

本发明另外提出一种基于流量转发的威胁感知装置，包括：蜜罐，将蜜罐部署在公网，并设置公网IP，所述蜜罐包括：

监听模块，蜜罐监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；

连接判断模块，判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则将所述端口添加到转发列表中；否则继续监听；

转发模块，蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；

响应判断模块，判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；

文件生成模块，将对应流量生成Pcap文件；

分析模块，对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的装置中，所述监听指定端口为监听一个或多个指定端口。

所述的装置中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的基于流量转发的威胁感知方法。

本发明技术方案主要使蜜罐以流量转发为主要目的，将蜜罐作为代理进行流量转发，弥补了低交互蜜罐存在的不足，相当于在“肉鸡”感染其他主机时，通过蜜罐的流量转发同时感染其自身。由于蜜罐只是起到流量转发的作用，因此大大降低了高交互蜜罐被黑客攻破的风险，并且又弥补了低交互蜜罐的不足。

本发明提出一种基于流量转发的威胁感知方法及系统，所述方法通过将蜜罐部署在公网，并设置公网IP；监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；若所监听端口在预设时间内的连接次数达到预定值，则将所述端口添加到转发列表中； 蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；若源IP对应端口有响应，则继续监控及转发交互流量，并将对应流量生成Pcap文件，进行深度分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险，也弥补了低交互蜜罐的不足，能够有效获取流量信息。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于流量转发的威胁感知方法实施例流程图；

图2为本发明一种基于流量转发的威胁感知设备结构示意图；

图3为本发明一种基于流量转发的威胁感知装置结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。

本发明提出了一种基于流量转发的威胁感知方法、系统及存储介质，通过将蜜罐设置为代理，将收到的流量转发回相应端口，使得蜜罐能够完整获取并发送交互信息，并生成pcap包，提供后续分析，解决了低交互蜜罐无法有效感知威胁，高交互蜜罐容易被攻陷的问题。

首先本发明提出一种基于流量转发的威胁感知方法，如图1所示，包括：

S101：将蜜罐部署在公网，并设置公网IP；

S102：蜜罐监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；假设可监听1-65535之间任意端口；

S103：判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则执行S104；否则返回S102继续监听；

S104：将所述端口添加到转发列表中，执行S105；

预设时间内如，每隔三小时统计所开启端口的三次握手成功次数是否大于5000，如果大于5000，将此端口添加进转发列表，比如转发列表有80、8080两个端口；

S105：蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；

S106：判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量；否则，源IP对应端口不正确或非被感染主机，关闭连接；

S107：继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；

判断源IP对应端口是否有响应，主要是因为，有响应则可初步认为源IP大概率为被感染主机，因此还需要完整监控交互流量、把对应流量转成pcap文件，以便深度分析；一般情况下，某主机向蜜罐发送漏洞验证poc或漏洞exp可能被认为是存在感染成为“肉鸡”的主机。

S108：对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的方法中，所述监听指定端口为监听一个或多个指定端口。

所述的方法中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

为更充分理解本发明能够获取到恶意主机与蜜罐间交互的流量信息，以被感染主机与蜜罐的交互为例进行举例说明；

假设某被蠕虫感染的主机利用某CVE漏洞向蜜罐81端口发送一个漏洞验证poc时，与蜜罐建立了一个socket A连接，蜜罐作为代理方式工作，同时尝试与僵尸主机的81端口建立一个Socket B连接，判断发现该主机与蜜罐在预设时间内的连接次数超过预定值，则将其添加到转发列表，在此之后，攻击主机通过socket A发送过来的漏洞poc同时转发给SocketB连接，由于这个时候蜜罐是设置成代理模式，流量又转发回给了僵尸主机，如果僵尸主机开启了81端口并且本身受此CVE漏洞感染了蠕虫病毒，僵尸主机会有相关响应，回显相关数据，这样就形成一个闭环，蜜罐能记录其攻击流程及手法。在攻击流程结束后，将全部流量省城Pcap文件，提供后续分析。

本发明还提出一种基于流量转发的威胁感知设备，如图2所示，所述设备包括：存储器201和处理器202；将设备部署在公网，并设置公网IP；

所述存储器存储可在处理器上运行的计算机程序，以及转发列表、交互流量及流量生成的Pcap文件；

所述处理器运行计算机程序时，实现如下步骤：

监听指定端口，当指定端口与设备建立连接时，所述设备反向连接来源IP对应端口；

判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则将所述端口添加到转发列表中；否则继续监听；

将在转发列表中的端口的流量全部转发回源IP对应端口；

判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；

对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的设备中，所述监听指定端口为监听一个或多个指定端口。

所述的设备中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

上述设备可以通过蜜罐或相似设备实现。

一种基于流量转发的威胁感知装置，如图3所示，包括：蜜罐，将蜜罐部署在公网，并设置公网IP，所述蜜罐包括：

监听模块301，蜜罐监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；

连接判断模块302，判断所监听端口在预设时间内的连接次数是否达到预定值，如果是，则将所述端口添加到转发列表中；否则继续监听；

转发模块303，蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；

响应判断模块304，判断源IP对应端口是否有响应，如果是，则继续监控及转发交互流量，并将对应流量生成Pcap文件，用于分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；

文件生成模块305，将对应流量生成Pcap文件；

分析模块306，对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。

所述的系统中，所述监听指定端口为监听一个或多个指定端口。

所述的系统中，所述判断所监听端口在预设时间内的连接次数是否达到预定值，具体为：判断所监听端口在预设时间内三次握手成功的次数是否达到预定值。

一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的基于流量转发的威胁感知方法。

本发明技术方案主要使蜜罐以流量转发为主要目的，将蜜罐作为代理进行流量转发，弥补了低交互蜜罐存在的不足，相当于在“肉鸡”感染其他主机时，通过蜜罐的流量转发同时感染其自身。由于蜜罐只是起到流量转发的作用，因此大大降低了高交互蜜罐被黑客攻破的风险，并且又弥补了低交互蜜罐的不足。

本发明提出一种基于流量转发的威胁感知方法及系统，所述方法通过将蜜罐部署在公网，并设置公网IP；监听指定端口，当指定端口与蜜罐建立连接时，蜜罐反向连接来源IP对应端口；若所监听端口在预设时间内的连接次数达到预定值，则将所述端口添加到转发列表中； 蜜罐将在转发列表中的端口的流量全部转发回源IP对应端口；若源IP对应端口有响应，则继续监控及转发交互流量，并将对应流量生成Pcap文件，进行深度分析；否则，源IP对应端口不正确或非被感染主机，关闭连接；对Pcap包中的流量信息深度分析，解析出攻击源IP、时间戳、payload数据、URL及被攻击端口，提供给后续统计分析。本发明方法能够降低高交互蜜罐被攻破的风险，也弥补了低交互蜜罐的不足，能够有效获取流量信息。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。