一种蜜罐识别的方法、装置及电子设备制造方法及图纸

本申请实施例提供一种蜜罐识别的方法、装置及电子设备。在本实施例中，通过网络中部署的至少一个蜜罐探测装置主动向网络中的网络设备发送蜜罐探测报文，以得到蜜罐识别结果，实现了蜜罐识别，便于用户了解网络中的蜜罐资产的分布情况，以使得风险扫描设备在进行扫描时不对蜜罐设备进行扫描，提高扫描效率；通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置对网络中的网络设备进行分布式扫描，即按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文，可以有效的实现对复杂蜜罐进行扫描；若网络设备提供的服务为指定服务时，向该网络设备发送指定服务匹配的仿真探测报文，实现了对仿真蜜罐的探测。现了对仿真蜜罐的探测。现了对仿真蜜罐的探测。

【技术实现步骤摘要】
一种蜜罐识别的方法、装置及电子设备


[0001]本申请涉及网络安全领域，尤其涉及一种蜜罐识别的方法、装置及电子设备。

技术介绍

[0002]为了应对网络安全问题，常在网络中配置风险扫描设备以对网络的各个网络设备进行扫描，得到各个网络设备中存在的安全风险。但是网络中的网络设备包括蜜罐，所谓蜜罐，是一种提供网络主动防御技术的设备，其为安全设备，不需要进行扫描，若风险扫描设备对网络中的所有网络设备进行扫描，会因为扫描蜜罐设备而影响扫描效率。故亟待提出一种蜜罐识别的方法以识别出网络中的蜜罐设备，避免风险扫描设备扫描蜜罐设备而导致的扫描效率低的问题。

技术实现思路

[0003]有鉴于此，本申请实施例提供一种蜜罐识别的方法、装置及电子设备，以实现蜜罐设备识别，避免风险扫描设备扫描蜜罐设备而导致的扫描效率低的问题。
[0004]根据本申请实施例的第一方面，提供一种蜜罐识别的方法，所述方法应用于待进行蜜罐识别的网络；所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置；所述方法包括：通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文；以及，按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文；通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文，若依据所述服务响应报文确定该网络设备提供的服务为指定服务，则向该网络设备发送所述指定服务匹配的仿真探测报文，若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段，则确定该网络设备为仿真蜜罐；通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文，对所述蜜罐响应报文进行蜜罐识别，得到蜜罐识别结果；所述蜜罐识别结果包括：所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
[0005]根据本申请实施例的第二方面，提供一种蜜罐识别的装置，所述装置应用于待进行蜜罐识别的网络；所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置；所述装置包括：探测报文发送模块，用于通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文；以及，按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文；第一蜜罐识别模块，用于通过所述网络中被部署的蜜罐探测装置接收到网络中的
网络设备基于所述端口服务探测报文返回的服务响应报文，若依据所述服务响应报文确定该网络设备提供的服务为指定服务，则向该网络设备发送所述指定服务匹配的仿真探测报文，若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段，则确定该网络设备为仿真蜜罐；第二蜜罐识别模块，用于通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文，对所述蜜罐响应报文进行蜜罐识别，得到蜜罐识别结果；所述蜜罐识别结果包括：所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。
[0006]根据本申请实施例的第三方面，提供一种电子设备，电子设备包括：处理器和存储器；其中，所述存储器，用于存储机器可执行指令；所述处理器，用于读取并执行所述存储器存储的机器可执行指令，以实现如第一方面所述的方法。
[0007]本申请实施例提供的技术方案可以包括以下有益效果：在本实施例中，通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置主动向网络中的网络设备发送蜜罐探测报文，以依据网络设备基于蜜罐探测报文返回的蜜罐响应报文，得到蜜罐识别结果，实现了蜜罐识别，便于用户了解网络中的蜜罐资产的分布情况，以使得风险扫描设备在进行风险扫描时不对蜜罐设备进行扫描，避免风险扫描设备扫描蜜罐而导致的扫描效率低的问题；进一步地，通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置对网络中的网络设备进行分布式扫描，即按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文，可以有效的实现对复杂蜜罐进行扫描；再进一步地，通过网络中被额外部署的用于蜜罐识别的至少一个蜜罐探测装置向网络中的网络设备发送端口服务探测报文，以在确定出该网络设备提供的服务为指定服务时，向该网络设备发送指定服务匹配的仿真探测报文，实现了对仿真蜜罐的探测，避免了仿真蜜罐被认为为真实的设备进行管控而导致的资产管理量大的问题。
附图说明
[0008]图1是本申请实施例示出的一种蜜罐识别的方法的流程图。
[0009]图2是本申请实施例示出的一种蜜罐识别的实例图。
[0010]图3是本申请实施例示出的一种蜜罐识别的装置的框图。
[0011]图4是本申请实施例示出的一种电子设备的框图。
具体实施方式
[0012]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0013]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。
在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0014]应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0015]接下来对本说明书实施例进行详细说明。
[0016]如图1所示，图1是本申请实施例示出的一种蜜罐识别的方法的流程图，该蜜罐识别的方法应用于待进行蜜罐识别的网络，这里，待进行蜜罐识别的网络可以为局域网、也可以为广域网，本申请实施例并不具体限定。
[0017]在本实施例中，为了实现对网络中的蜜罐设备进行识别，该网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置，该蜜罐探测装置以旁路部署的方式部署在网络中，与网络中的交换机连接。
[0018]在本实施例中，蜜罐探测装置可以为专门的探测工具、也可以为其他被用作蜜罐探测的设备，本申请实施例并不具体限定。
[0019]作为一个实施例，当蜜罐探测装置为一个时，该蜜罐探测装置上可部署有至少两个网卡；作为另一个实施例，当蜜罐探测装置为至少2个时，每个蜜罐探测装置上部署的网卡的数量为至少一个。
[0020]如图1所示，包括以下步骤：S110本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种蜜罐识别的方法，其特征在于，所述方法应用于待进行蜜罐识别的网络；所述网络中被额外部署了用于蜜罐识别的至少一个蜜罐探测装置；所述方法包括：通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送端口服务探测报文；以及，按照时间分布式探测方式和/或空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文；通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于所述端口服务探测报文返回的服务响应报文，若依据所述服务响应报文确定该网络设备提供的服务为指定服务，则向该网络设备发送所述指定服务匹配的仿真探测报文，若接收到的该网络设备基于所述仿真探测报文返回的仿真响应报文携带指定字段，则确定该网络设备为仿真蜜罐；通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜罐探测报文返回的蜜罐响应报文，对所述蜜罐响应报文进行蜜罐识别，得到蜜罐识别结果；所述蜜罐识别结果包括：所述网络设备被识别为蜜罐、所述网络设备被识别为疑似蜜罐或者所述网络设备被识别为非蜜罐。2.根据权利要求1所述的方法，其特征在于，按照时间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文，包括：在不同时间点通过所述网络中被部署的蜜罐探测装置向所述网络中的网络设备发送蜜罐探测报文；和/或，按照空间分布式探测方式向所述网络中的网络设备发送蜜罐探测报文，包括：在同一时间点通过所述网络中被部署的各个蜜罐探测装置或者至少一个蜜罐探测装置上的各个网卡，向所述网络中的网络设备发送蜜罐探测报文。3.根据权利要求1所述的方法，其特征在于，所述仿真响应报文携带的指定字段为空或者默认值。4.根据权利要求1所述的方法，其特征在于，所述对所述蜜罐响应报文进行蜜罐识别，得到蜜罐识别结果，包括：基于预设特征提取规则库对接收到的蜜罐响应报文进行解析，得到报文特征；基于预设特征库对所述报文特征进行匹配，若匹配率大于或等于第一指定匹配阈值，确定蜜罐识别结果为：所述网络设备被识别为蜜罐；若匹配率大于或等于第二指定匹配阈值且小于第一指定阈值，则确定蜜罐识别结果为：所述网络设备被识别为疑似蜜罐；若匹配率小于第二指定匹配阈值，则确定蜜罐识别结果为：所述网络设备被识别为非蜜罐；所述第一指定匹配阈值大于所述第二指定匹配阈值。5.根据权利要求4所述的方法，其特征在于，若蜜罐识别结果为所述网络设备被识别为疑似蜜罐，则所述方法还包括：获得所述网络设备的蜜罐标注信息；若依据蜜罐标注信息确定所述网络设备为蜜罐，则将该网络设备返回的蜜罐响应报文被解析得到的报文特征加入到所述预设特征库。6.根据权利要求5所述的方法，其特征在于，在更新预设特征库之后，所述方法还包括：返回执行按照时间分布式探测方式和/或空间分布式探测方式向网络中的网络设备发送蜜罐探测报文，通过所述网络中被部署的蜜罐探测装置接收到网络中的网络设备基于蜜
罐探测报文返回的蜜罐响应报文，对所述蜜罐响应报文进行蜜罐识别，得到蜜罐识别结果的步骤，直到所述蜜罐识别结果中不包括疑似蜜罐。7.根据权利要求1所述的方法，其特征在于，在所述向该网络设备发送所述指定服务匹配的仿真探测报文之前，所述方法还包括：以所述指定服务为关键字，在预设仿真蜜罐交互库中查找与所述指定服务匹配的仿真探测规则；基于查找到的仿真探测规则构建仿真探测报文。8.一种蜜罐识别的装置，其特征在于，所述装置应用于待进行...

【专利技术属性】
技术研发人员：王滨，李畅，万里，何承润，林克章，王星，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：