一种网络威胁探测方法、装置及存储介质制造方法及图纸

本申请提供一种网络威胁探测方法、装置及存储介质，涉及通信技术领域，用于解决现有技术中网络威胁探测探测范围小的技术问题。该网络威胁探测方法应用于探测服务器，探测服务器部署于待探测内网中，且探测服务器预先配置网卡，探测服务器中的系统中预先创建有多个虚拟网卡；网卡与多个虚拟网卡IP地址不同，不同的虚拟网卡的IP地址不同；网卡和每个虚拟网卡上预先部署有抓包程序；网络威胁探测方法包括：调用多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据；根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。待探测内网的网络威胁探测结果。待探测内网的网络威胁探测结果。

【技术实现步骤摘要】
control protocol，TCP)端口、用户数据包协议(user datagram protocol，UDP)端口和网络控制报文协议(internet control message protocol，ICMP)端口。和/或，响应于对探测服务器执行第三威胁探测数据配置操作，禁止除网卡IP以外的IP监听远程请求与响应协议服务。
[0009]可选的，调用多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据，包括：创建多个虚拟网卡；对网卡和多个虚拟网卡执行IP配置操作，以使得网卡和不同的虚拟网卡的IP地址均不同，并在网卡和每个虚拟网卡上部署抓包程序。
[0010]第二方面，提供一种网络威胁探测装置，应用于探测服务器，探测服务器部署于待探测内网中，且探测服务器与待探测内网中的内网设备之间预先创建有多个虚拟网卡；不同的虚拟网卡的网际互连协议IP不同；每个虚拟网卡上预先部署有抓包程序；该网络威胁探测装置包括：获取单元和确定单元；获取单元，用于调用网卡和多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据；确定单元，用于根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。
[0011]可选的，确定单元还用于响应于基于iptables技术对探测服务器执行的第一安全防护数据配置操作，确定探测服务器禁止除管理设备IP和本机环回IP以外的IP进行业务访问；和/或，确定单元，还用于响应于基于TCP
‑
wrappers技术和NGINX技术对探测服务器执行的第二安全防护数据配置操作，确定探测服务器禁止除管理设备IP以外的IP访问探测服务器的远程请求与响应协议服务；和/或，确定单元，还用于响应于基于RDBMS技术对探测服务器执行的第三安全防护数据配置操作，确定探测服务器禁止除本机环回IP以外的IP访问探测服务器的数据库。
[0012]可选的，确定单元还用于响应于对探测服务器执行第一威胁探测数据配置操作，将探测服务器服务端口配置为除探测服务器的常用端口以外的端口；和/或，确定单元，还用于响应于基于iptables技术对探测服务器执行第二威胁探测数据配置操作，确定允许访问探测服务器的远程请求与响应协议服务和数据库的目标端口，且禁止探测服务器向除管理设备IP和本机环回IP以外的IP发送数据；目标端口包括TCP端口、UDP端口和ICMP端口；和/或，确定单元，还用于响应于对探测服务器执行第三威胁探测数据配置操作，禁止网卡IP以外的IP监听远程请求与响应协议服务。
[0013]可选的，获取单元具体用于：创建多个虚拟网卡；对网卡和多个虚拟网卡执行IP配置操作，以使得网卡和不同的虚拟网卡的IP地址均不同，并在网卡和每个虚拟网卡上部署抓包程序。
[0014]第三方面，提供一种网络威胁探测装置，包括存储器和处理器；存储器用于存储计算机执行指令，处理器与存储器通过总线连接；当网络威胁探测装置运行时，处理器执行存储器存储的计算机执行指令，以使网络威胁探测装置执行第一方面所述的网络威胁探测方法。
[0015]该网络威胁探测装置可以是网络设备，也可以是网络设备中的一部分装置，例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能，例如，获取、确定、发送上述网络威胁探测方法中所涉及的数据或信息。该芯片系统包括芯片，也可以包括其他分立器件或电路结构。
[0016]第四方面，提供一种计算机可读存储介质，计算机可读存储介质包括计算机执行
指令，当计算机执行指令在计算机上运行时，使得该计算机执行第一方面所述的网络威胁探测方法。
[0017]第五方面，还提供一种计算机程序产品，该计算机程序产品包括计算机指令，当计算机指令在网络威胁探测装置上运行时，使得网络威胁探测装置执行如上述第一方面所述的网络威胁探测方法。
[0018]需要说明的是，上述计算机指令可以全部或者部分存储在第一计算机可读存储介质上。其中，第一计算机可读存储介质可以与网络威胁探测装置的处理器封装在一起的，也可以与网络威胁探测装置的处理器单独封装，本申请实施例对此不作限定。
[0019]本申请中第二方面、第三方面、第四方面以及第五方面的描述，可以参考第一方面的详细描述；并且，第二方面、第三方面、第四方面以及第五方面的有益效果，可以参考第一方面的有益效果分析，此处不再赘述。
[0020]在本申请实施例中，上述网络威胁探测装置的名字对设备或功能模块本身不构成限定，在实际实现中，这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本申请类似，属于本申请权利要求及其等同技术的范围之内。
[0021]本申请的这些方面或其他方面在以下的描述中会更加简明易懂。
[0022]本申请提供的技术方案至少带来以下有益效果：
[0023]基于上述任一方面，本申请实施例提供了一种网络威胁探测方法，应用于探测服务器，探测服务器部署于待探测内网中，且所述探测服务器预先配置网卡，所述探测服务器中的系统中预先创建有多个虚拟网卡；所述网卡与所述多个虚拟网卡IP地址不同，不同的虚拟网卡的IP地址不同；网卡和每个虚拟网卡上预先部署有抓包程序。该网络威胁探测方法包括：可以通过调用多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据，然后可以根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。
[0024]由上可知，本申请实施例只需通过抓包软件抓取数据，不需要运行蜜罐系统的虚拟服务和虚拟机，也不需要处理信息交互，因此，本申请实施例具有较大的网络威胁探测范围。并且，虚拟网卡在IP通信方面和网卡具有完全相同的功能，网卡和多个虚拟网卡构成的探测阵列可以提高网络威胁探测的探测范围。因此，本申请实施例所需成本相比常规蜜罐技术成本消耗更低。
附图说明
[0025]图1为常规蜜罐系统的结构示意图；
[0026]图2为本申请实施例提供的网络威胁探测系统的结构示意图；
[0027]图3为本申请实施例提供的网络威胁探测装置的一种硬件结构示意图；
[0028]图4为本申请实施例提供的网络威胁探测装置的又一种硬件结构示意图；
[0029]图5为本申请实施例提供的一种网络威胁探测方法的流程示意图；
[0030]图6为本申请实施例提供的一种网络威胁攻击流程示意图；
[0031]图7为本申请实施例提供的又一种网络威胁攻击流程示意图；
[0032]图8为本申请实施例提供的又一种网络威胁探测方法的流程示意图；
[0033]图9为本申请实施例提供的又一种网络威胁探测方法的流程示意图；
[0034]图10为本申请实施例提供的又一种网络威胁探测方法的流程示意图；
[0035]图11为本申请实施例提供的一种网络威胁探测装置的结构示意图。
具体实施方式
[0036]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络威胁探测方法，其特征在于，应用于探测服务器，所述探测服务器部署于待探测内网中，且所述探测服务器预先配置网卡，所述探测服务器中的系统中预先创建有多个虚拟网卡；所述网卡与所述多个虚拟网卡网际互连协议IP地址不同，不同的虚拟网卡的IP地址不同；所述网卡和每个虚拟网卡上预先部署有抓包程序；所述网络威胁探测方法包括：调用所述网卡和所述多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据；根据所述至少一个安全威胁数据确定所述待探测内网的网络威胁探测结果。2.根据权利要求1所述的网络威胁探测方法，其特征在于，还包括：响应于基于静态防火墙iptables技术对所述探测服务器执行的第一安全防护数据配置操作，确定所述探测服务器禁止除管理设备IP和本机环回IP以外的IP进行业务访问；和/或，响应于基于传输控制协议防护TCP
‑
wrappers技术和配置反向代理网络服务器NGINX技术对所述探测服务器执行的第二安全防护数据配置操作，确定所述探测服务器禁止除所述管理设备IP以外的IP访问所述探测服务器的远程请求与响应协议服务；和/或，响应于基于配置关系型数据库管理系统RDBMS技术对所述探测服务器执行的第三安全防护数据配置操作，确定所述探测服务器禁止除所述本机环回IP以外的IP访问所述探测服务器的数据库。3.根据权利要求1所述的网络威胁探测方法，其特征在于，还包括：响应于对所述探测服务器执行第一威胁探测数据配置操作，将所述探测服务器服务端口配置为除所述探测服务器的常用端口以外的端口；和/或，响应于基于iptables技术对所述探测服务器执行第二威胁探测数据配置操作，确定允许访问所述探测服务器的远程请求与响应协议服务和数据库的目标端口，且禁止所述探测服务器向除管理设备IP和本机环回IP以外的IP发送数据；所述目标端口包括传输控制协议TCP端口、用户数据包协议UDP端口和网络控制报文协议ICMP端口；和/或，响应于对所述探测服务器执行第三威胁探测数据配置操作，禁止除探测网卡设备IP以外的IP监听所述远程请求与响应协议服务。4.根据权利要求1所述的网络威胁探测方法，其特征在于，所述调用所述网卡和所述多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据，包括：创建所述多个虚拟网卡；对所述网卡和所述多个虚拟网卡执行IP配置操作，以使得所述网卡和所述不同的虚拟网卡的IP地址均不同，并在所述网卡和所述每个虚拟网卡上部署所述抓包程序。5.一种网络威胁探测装置，其特征在于，应用于探测服务器，所述探测服务器部署于待探测内网中，且所述探测服务器预先配置网卡，所述探测服务器中的系统中预先创建有多个虚拟网卡；所述网卡与所述多个虚拟网卡IP地址不同，不同的虚拟网卡的IP地址不同；所述网卡和每个虚拟网卡上...

【专利技术属性】
技术研发人员：李峰，吕荣峰，周凯，于城，童贞理，
申请(专利权)人：联通数字科技有限公司，
类型：发明
国别省市：