4.一種基于流量轉發(fā)的威脅感知設備，其特征在于，包括：存儲器和處理器；將設備部署在公網(wǎng)，并設置公網(wǎng)IP；

所述存儲器存儲可在處理器上運行的計算機程序，以及轉發(fā)列表、交互流量及流量生成的Pcap文件；

所述處理器運行計算機程序時，實現(xiàn)如下步驟：

監(jiān)聽指定端口，當指定端口與設備建立連接時，所述設備反向連接來源IP對應端口；

判斷所監(jiān)聽端口在預設時間內的連接次數(shù)是否達到預定值，如果是，則將所述端口添加到轉發(fā)列表中；否則繼續(xù)監(jiān)聽；

將在轉發(fā)列表中的端口的流量全部轉發(fā)回源IP對應端口；

判斷源IP對應端口是否有響應，如果是，則繼續(xù)監(jiān)控及轉發(fā)交互流量，并將對應流量生成Pcap文件，用于分析；否則，源IP對應端口不正確或非被感染主機，關閉連接；

對Pcap包中的流量信息深度分析，解析出攻擊源IP、時間戳、payload數(shù)據(jù)、URL及被攻擊端口，提供給后續(xù)統(tǒng)計分析。