本發明提出一種基于流量轉發的威脅感知方法、設備、裝置及存儲介質，所述方法通過將蜜罐部署在公網，并設置公網IP；監聽指定端口，當指定端口與蜜罐建立連接時，蜜罐反向連接來源IP對應端口；若所監聽端口在預設時間內的連接次數達到預定值，則將所述端口添加到轉發列表中；蜜罐將在轉發列表中的端口流量全部轉發回源IP對應端口；繼續監控及轉發交互流量，并將對應流量生成Pcap文件，進行深度分析；對Pcap包中的流量信息深度分析，解析出攻擊源IP、時間戳、payload數據、URL及被攻擊端口，提供給后續統計分析。本發明方法能夠降低高交互蜜罐被攻破的風險，也彌補了低交互蜜罐的不足，能夠有效獲取流量信息。

技術領域

本發明涉及計算機網絡安全領域，特別涉及一種基于流量轉發的威脅感知方法、設備、裝置及存儲介質。

背景技術

蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。所有流入流出蜜罐的流量，都預示著掃描、攻擊和攻陷的可能性。

現有的蜜罐技術，如一些低交互蜜罐，在監控僵尸網絡或者C2時，由于其上部署的不是真實服務，只有簡單的模擬，存在明顯的交互不足問題，導致無法有效的實現自動化監控以及捕獲其行為數據、無法實時并有效的感知威脅的爆發。而高交互蜜罐實質上是一個真實的系統，相當于提供了一個完全開放的系統給黑客，黑客完全可能通過這個開放的系統去攻擊其他系統，這就導致高交互蜜罐成為“肉雞”，所以自然的加大了部署和維護的復雜度，及風險的擴大。

發明內容

基于上述問題，本發明提出了一種基于流量轉發的威脅感知方法、系統及存儲介質，通過將蜜罐設置為代理，將收到的流量轉發回相應端口，使得蜜罐能夠完整獲取并發送交互信息，并生成pcap包，提供后續分析，解決了低交互蜜罐無法有效感知威脅，高交互蜜罐容易被攻陷的問題。

首先本發明提出一種基于流量轉發的威脅感知方法，包括：

將蜜罐部署在公網，并設置公網IP；

蜜罐監聽指定端口，當指定端口與蜜罐建立連接時，蜜罐反向連接來源IP對應端口；

判斷所監聽端口在預設時間內的連接次數是否達到預定值，如果是，則將所述端口添加到轉發列表中；否則繼續監聽；

蜜罐將在轉發列表中的端口的流量全部轉發回源IP對應端口；

判斷源IP對應端口是否有響應，如果是，則繼續監控及轉發交互流量，并將對應流量生成Pcap文件，用于分析；否則，源IP對應端口不正確或非被感染主機，關閉連接；

對Pcap包中的流量信息深度分析，解析出攻擊源IP、時間戳、payload數據、URL及被攻擊端口，提供給后續統計分析。

所述的方法中，所述監聽指定端口為監聽一個或多個指定端口。

所述的方法中，所述判斷所監聽端口在預設時間內的連接次數是否達到預定值，具體為：判斷所監聽端口在預設時間內三次握手成功的次數是否達到預定值。

本發明還提出一種基于流量轉發的威脅感知設備，所述設備包括：存儲器和處理器；將設備部署在公網，并設置公網IP；

所述存儲器存儲可在處理器上運行的計算機程序，以及轉發列表、交互流量及流量生成的Pcap文件；

所述處理器運行計算機程序時，實現如下步驟：

監聽指定端口，當指定端口與設備建立連接時，所述設備反向連接來源IP對應端口；

判斷所監聽端口在預設時間內的連接次數是否達到預定值，如果是，則將所述端口添加到轉發列表中；否則繼續監聽；