CN110677414A - 网络检测方法、装置、电子设备及计算机可读存储介质 - Google Patents
网络检测方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110677414A CN110677414A CN201910931812.0A CN201910931812A CN110677414A CN 110677414 A CN110677414 A CN 110677414A CN 201910931812 A CN201910931812 A CN 201910931812A CN 110677414 A CN110677414 A CN 110677414A
- Authority
- CN
- China
- Prior art keywords
- target server
- server
- honeypot
- response data
- opened
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种网络检测方法、装置、电子设备及计算机可读存储介质。方法包括:向目标服务器发送探测报文;基于目标服务器根据探测报文返回的应答数据,确定目标服务器是否为蜜罐服务器,并得到检测结果,应答数据包括目标服务器开启的端口数量、目标服务器中的多个端口开启的服务的类型、目标服务器开启的协议的协议类型及通过协议与目标服务器通信的互联网服务提供商中的至少一种,能够改善网络探测容易被封禁而使得探测的效率低的问题。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网络检测方法、装置、电子设备及计算机可读存储介质。
背景技术
在通信网络中,存在网络探测的需求。可理解地,通过对通信网络进行网络探测,可以方便管理人员了解网络中各个通信节点的拓扑结构、通信路径或节点存储的网络资源。在网络探测过程中,用于进行网络探测的设备可能会被当成恶意扫描,而被封禁,从而使得网络探测无法继续,影响网络探测的效率。
发明内容
本申请提供一种网络检测方法、装置、电子设备及计算机可读存储介质,能够改善网络探测容易被封禁而使得探测的效率低的问题。
为了实现上述目的,本申请实施例所提供的技术方案如下所示:
第一方面,本申请实施例提供一种网络检测方法,所述方法包括:
向目标服务器发送探测报文;基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器开启的端口数量、所述目标服务器中的多个端口开启的服务的类型、所述目标服务器开启的协议的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。
在上述实施方式中,通过检测目标服务器是否为蜜罐服务器,有利于避开蜜罐服务器进行网络探测,避免被蜜罐服务器封禁用于网络探测的电子设备,从而改善网络探测容易被封禁而使得探测的效率低的问题。
结合第一方面,在一些可选的实施方式中,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
判断所述应答数据中是否存在指定字符,所述指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符;当所述应答数据中存在所述指定字符时,确定所述目标服务器为蜜罐服务器。
在上述实施方式中,通过检测应答数据中是否存在表征蜜罐服务器的特殊字符,有助于通过特殊字符快速准确地判断目标服务器是否为蜜罐服务器。
结合第一方面,在一些可选的实施方式中,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
根据所述应答数据确定所述目标服务器多个端口所开启的服务的服务类型;判断所述多个端口所开启的服务的服务类型中是否存在相同的服务类型;当所述多个端口所开启的服务的服务类型中存在相同的服务类型,且开启相同服务类型的端口的最大数量大于或等于第一指定数量时,确定所述目标服务器为蜜罐服务器。
蜜罐服务器的多个端口通常会开启相同类型的服务,在上述的实施方式中,通过利用蜜罐服务器本身具有的特性来检测目标服务器是否为蜜罐服务器,有助于提高检测的准确度。
结合第一方面,在一些可选的实施方式中,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
根据所述应答数据确定所述目标服务器开启的协议的协议类型,及通过所述协议与所述目标服务器通信连接的互联网服务提供商的类型;当所述协议类型为指定协议类型,且所述互联网服务提供商的类型为指定提供商类型时,确定所述目标服务器为蜜罐服务器。
蜜罐服务器运行的协议类型及与蜜罐服务器通信的互联网服务提供商的类型包括了指定类型。在上述实施方式中,通过利用蜜罐服务器本身具有的特性来检测目标服务器是否为蜜罐服务器,有助于提高检测的准确度。
结合第一方面,在一些可选的实施方式中,所述探测报文用于查询对所述目标服务器执行指定操作的执行结果,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
当确定所述应答数据中不包括所述执行结果时,确定所述目标服务器为蜜罐服务器。
蜜罐服务器不会针对指定操作指令执行相应的操作,从而使得返回的内容固定。在上述实施方式中,通过利用蜜罐服务器本身具有的特性来检测目标服务器是否为蜜罐服务器,有助于提高检测的准确度。
结合第一方面,在一些可选的实施方式中,在确定所述目标服务器为蜜罐服务器之前,所述方法还包括:
确定所述应答数据中的所述目标服务器开启的端口数量大于或等于第二指定数量,所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。
蜜罐服务器通常开启的端口数量较多。在上述实施方式中,通过利用蜜罐服务器本身具有的这一特性来检测目标服务器是否为蜜罐服务器,有助于提高检测的准确度。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
当确定所述目标服务器为蜜罐服务器时,中断用于网络探测的电子设备与所述目标服务器的通信连接。
在上述实施方式中,当确定目标服务器为蜜罐服务器时,通过中断电子设备与该服务器的通信连接,有助于及时避免电子设备被服务器封禁而无法继续进行网络探测,从而有助于改善网络探测效率低的问题。
第二方面,本申请实施例还提供一种网络检测装置,所述装置包括:
发送单元,用于向目标服务器发送探测报文;
检测单元,用于基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器开启的端口数量、所述目标服务器中的多个端口开启的服务的类型、所述目标服务器开启的协议的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。
第三方面,本申请实施例还提供一种电子设备,所述电子设备包括相互耦合的存储器及处理器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行上述的方法。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备与目标服务器通信连接的示意图。
图2为本申请实施例提供的电子设备的方框示意图。
图3为本申请实施例提供的网络检测方法的流程示意图。
图4为本申请实施例提供的网络检测装置的功能框图。
图标:10-电子设备;11-处理模块;12-存储模块;13-通信模块;20-目标服务器;100-网络检测装置;110-发送单元;120-检测单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,本申请实施例提供的电子设备10可以通过网络与一个或多个服务器建立通信连接,以进行数据交互。其中,接收到电子设备10发送的探测报文的服务器便为目标服务器20。网络可以是,但不限于有线网络或无线网络。
电子设备10可以是,但不限于个人电脑(Personal Computer,PC)、移动上网设备(Mobile Internet Device,MID)、服务器等,可以用于进行网络探测的设备。另外,电子设备10可以用于执行或实现下述的网络检测方法。即,该电子设备10可以用于检测目标服务器20是否为蜜罐服务器,以避免电子设备10在网络探测过程中被蜜罐服务器封禁。蜜罐服务器即为安装有蜜罐程序,可以用于检测恶意扫描、攻击的服务器。
可理解地,蜜罐服务器可以作为故意让人攻击的目标,引诱黑客前来攻击,类似于情报收集***。计算机领域中的蜜罐通过对攻击方进行欺骗,通过布置一些作为诱饵的主机(服务器)、网络服务或者信息,诱使攻击方对蜜罐实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解所面对的安全威胁,以便于根据安全威胁增强实际***的安全防护能力。即,本领域技术人员熟知蜜罐服务器的工作原理。
请参照图2,在本实施例中,电子设备10可以包括处理模块11、存储模块12、通信模块13以及网络检测装置100,处理模块11、存储模块12、通信模块13以及网络检测装置100各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
处理模块11可以为通用处理器。例如,处理器可以是,但不限于中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)等,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
存储模块12可以是,但不限于,随机存取存储器,只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块12可以用于存储用于检测目标服务器20是否为蜜罐服务器的检测规则,比如,可以存储用于表征服务器为蜜罐服务器的指定字符、服务器端口的第一指定数量、第二指定数量等。当然,存储模块12还可以用于存储程序,处理模块11在接收到执行指令后,执行该程序。
通信模块13用于通过网络建立电子设备10与目标服务器20的通信连接,并通过网络收发数据。
网络检测装置100包括至少一个可以软件或固件(firmware)的形式存储于存储模块12中或固化在电子设备10操作***(Operating System,OS)中的软件功能模块。处理模块11用于执行存储模块12中存储的可执行模块,例如网络检测装置100所包括的软件功能模块及计算机程序等。
可以理解的是,图2所示的结构仅为电子设备10的一种结构示意图,电子设备10还可以包括比图2所示更多的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
请参照图3,本申请实施例还提供一种网络检测方法,可以应用于上述的电子设备10中,由电子设备10执行或实现网络检测方法的各步骤。其中,网络检测方法可以包括步骤S210、步骤S220。
步骤S210,向目标服务器20发送探测报文;
步骤S220,基于所述目标服务器20根据所述探测报文返回的应答数据,确定所述目标服务器20是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器20开启的端口数量、所述目标服务器20中的多个端口开启的服务的类型、所述目标服务器20开启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提供商中的至少一种。
在上述实施方式中,通过检测目标服务器20是否为蜜罐服务器,有利于避开蜜罐服务器进行网络探测,避免被蜜罐服务器封禁用于网络探测的电子设备10,从而改善网络探测容易被封禁而使得探测的效率低的问题。
下面将对图3中所示的网络检测方法的各步骤进行详细阐述:
步骤S210,向目标服务器20发送探测报文。
在本实施例中,电子设备10在进行网络探测时,可以向网络中的服务器发送探测报文。接收到探测报文的服务器即为目标服务器20。探测报文可以根据实际情况进行构造,可以用于检测目标服务器20开启的端口数量、目标服务器20中的多个端口开启的服务的类型、标服务器开启的协议的协议类型及通过协议与目标服务器20通信的互联网服务提供商(Internet Service Provider,ISP)中的至少一种。
可理解地,电子设备10每向目标服务器20发送一次探测报文,便可以从目标服务器20获取到目标服务器20的至少一项检测数据。比如,电子设备10每向目标服务器20发送一次探测报文,便可以从目标服务器20获取到目标服务器20的一项检测数据,若当前的探测报文无法确定出目标服务器20是蜜罐服务器,则电子设备10可以继续向目标服务器20发送用于检测目标服务器20其他项的数据的探测报文,直至检测出目标服务器20为蜜罐服务器,或对目标服务器20的所有指定项目均检测完为止。所有的指定项目包括但不限于目标服务器20开启的端口数量、目标服务器20中的多个端口开启的服务的类型、标服务器开启的协议的协议类型及通过协议与目标服务器20通信的互联网服务提供商。
步骤S220,基于所述目标服务器20根据所述探测报文返回的应答数据,确定所述目标服务器20是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器20开启的端口数量、所述目标服务器20中的多个端口开启的服务的类型、所述目标服务器20开启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提供商中的至少一种。
在本实施例中,目标服务器20在接收到探测报文后,通常会做出相应的响应(或应答),同时会将应答数据发送至电子设备10。电子设备10在接收到应答数据后,可以通过对应答数据进行解析,以确定目标服务器20是否为蜜罐服务器。
申请人经过长期研究发现,蜜罐服务器的特性与非蜜罐服务器特性存在区别,基于蜜罐服务器的特性,便可以确定目标服务器20是否为蜜罐服务器。比如,蜜罐服务器的特性包括但不限于蜜罐服务器开启的端口数量多、蜜罐存在多个端口开启的服务的类型相同、与蜜罐服务器交互时,蜜罐服务器返回的内容固定,或返回结果中含有特殊字符。另外,若检测到一个服务器开启了工控协议,且互联网服务提供商为VPS(Virtual PrivateServer虚拟专用服务器)厂商,则可以确定该服务器为蜜罐服务器。因为开启工控协议的设备通常为蜜罐服务器或工控设备,而工控设备不会部署在VPS上,所以当检测到一个服务器开启了工控协议,且互联网服务提供商为VPS厂商时,便可以确定该服务器为蜜罐服务器。
在本实施例中,电子设备10在执行步骤S220时,可以基于蜜罐服务器的特性通过一种或多种检测方式来检测目标服务器20是否为蜜罐服务器,检测方式可以包括下面的一种或多种的组合,例如:
第一种检测方式,步骤S220可以包括:判断所述应答数据中是否存在指定字符,所述指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符;当所述应答数据中存在所述指定字符时,确定所述目标服务器20为蜜罐服务器。
可理解地,蜜罐服务器中的蜜罐程序通常有固定的对话脚本,在对话建立后对话脚本通常不会改变,因此其返回值里面包含有指定的特征。例如通过电子设备10登陆一个FTP服务器(FTP服务器即为支持FTP协议的服务器,FTP协议即为文件传输协议,英文全称为File Transfer Protocol),通过LS命令(LS命令为Linux下常用的指令之一,用于显示指定工作目录下的内容,比如,列出目前工作目录所含之文件及子目录)可以看到如下的文件信息:
"211-drwx------2root root 16384May 282014lost+found\r\n"
如果发现该文件信息长时间(该时间可以根据实际情况进行设置,例如可以为1小时、24小时等时长)没有变化,则可以确定该FTP服务器为蜜罐服务器。其中,上述的LS命令即为探测报文,文件信息即为指定字符。当然,指定字符还可以是其他内容,可以根据实际情况进行设置,这里不作具体限定。
第二种检测方式,步骤S220可以包括:根据所述应答数据确定所述目标服务器20多个端口所开启的服务的服务类型;判断所述多个端口所开启的服务的服务类型中是否存在相同的服务类型;当所述多个端口所开启的服务的服务类型中存在相同的服务类型,且开启相同服务类型的端口的最大数量大于或等于第一指定数量时,确定所述目标服务器20为蜜罐服务器。
可理解地,当探测报文可以用于探测目标服务器20端口所开启的服务的服务类型时,目标服务器20在接收到该探测报文后,便可以将多个端口或所有端口开启的服务类型作为应答数据发送至电子设备10。电子设备10在接收到该应答数据后,便可以从中解析得到目标服务器20多个或所有端口所开启的服务类型,然后统计出开启相同服务类型的端口的数量。
其中,开启相同服务类型的端口表示:多个端口开启的服务类型相同,且多个端口所开启的服务类型的banner相同或重合率大于或等于指定阈值(该指定阈值可以根据实际情况进行设置,表示多个端口的banner大部分相同,例如该指定阈值可以为80%、90%等)。另外,服务类型可以根据实际情况进行设置,例如服务类型包括但不限于HTTP(hypertexttransfer protocol,超文本传输协议)、FTP、Telnet、SSH、POP3(Post Office Protocol-Version 3,邮局协议版本3)等,为服务器可以提供的服务类型。其中,Telnet是传输控制协议/因特网协议(TCP/IP)网络(例如因特网)的登录和仿真程序;SSH为Secure Shell的缩写,SSH为建立在应用层和传输层基础上的安全协议。
蜜罐服务器通常变会使多个端口开启相同类型的服务。当开启相同服务类型的端口的数量大于或等于第一指定阈值时,则表示开启相同服务类型的端口的数量较多,则可以确定该目标服务器20为蜜罐服务器,或者为可疑服务器。其中,第一指定阈值可以根据实际情况进行设置,例如可以根据服务器所开启的端口的总数来确定,若开启相同服务类型的端口数量大于或等于总端口数量的15%(该百分比可以根据实际情况进行设置,例如可以为10%、20%等),则可以确定该服务器为蜜罐服务器。可疑服务器表示该服务器为蜜罐服务器的可能性较大,此时,电子设备10可以继续对该服务器的其他项目进行检测。比如,通过上述的第一种检测方式继续检测,或者通过下述的第三种、第四种方式继续进行检测,以提高检测的准确性。
第三种检测方式,步骤S220可以包括:根据所述应答数据确定所述目标服务器20开启的协议的协议类型,及通过所述协议与所述目标服务器20通信连接的互联网服务提供商的类型;当所述协议类型为指定协议类型,且所述互联网服务提供商的类型为指定提供商类型时,确定所述目标服务器20为蜜罐服务器。
在本实施例中,指定协议及指定提供商类型可以根据实际情况进行设置。例如,指定协议可以为工控协议,指定提供商类型可以为VPS。
可理解地,探测报文可以用于检测目标服务器20运行的协议及与通过该协议与目标服务器20进行通信的ISP的类型。服务器在接收到该探测报文后,可以将目标服务器20运行的协议及与通过该协议与目标服务器20进行通信的ISP的类型作为应答数据,发送至电子设备10,以使电子设备10可以从应答数据中解析到目标服务器20运行的协议及与通过该协议与目标服务器20进行通信的ISP的类型。
由于开启工控协议的设备通常为蜜罐服务器或工控设备,而工控设备不会部署在VPS上。因此,当检测到目标服务器20开启了工控协议,且互联网服务提供商为VPS厂商时,便可以确定该目标服务器20为蜜罐服务器。
第四种检测方式,所述探测报文用于查询对所述目标服务器20执行指定操作的执行结果,步骤S220可以包括:当确定所述应答数据中不包括所述执行结果时,确定所述目标服务器20为蜜罐服务器。
可理解地,电子设备10在与蜜罐服务器交互期间,蜜罐服务器返回的内容较为固定,不会与普通服务器(指非蜜罐服务器)一样灵活。例如,例如通过电子设备10登陆一台为蜜罐服务器的FTP服务器,然后利用探测报文尝试在该FTP服务器创建一个文件目录,该FTP服务器会向电子设备10返回表示创建成功的应答数据。当电子设备10向该FTP服务器发送用于查看当前创建的文件目录的探测报文时,该FTP服务器返回的应答报文会表示该服务器中不存在刚才创建的文件目录,或该文件目录并没有出现过。
当指定操作为向目标服务器20创建文件目录,并在创建完后查询该文件目录时,若目标服务器20返回的应答数据中不包括执行结果,即该目标服务器20返回的应答数据表示刚才创建的文件目录,或该文件目录并没有出现过,此时,便可以确定该目标服务器20为蜜罐服务器。
若目标服务器20范围的应答数据中存在刚才创建的文件目录,则该目标服务器20便不是蜜罐服务器,或为上述的可疑服务器。此时,可以继续对该目标服务器20进行检测。例如,可以继续通过第一种检测方式、第二种检测方式、第三种检测方式中的一种或多种方式进行检测,以提高检测的准确度。
若每种检测方式均检测出目标服务器20不是蜜罐服务器,则可以确定该目标服务器20不是蜜罐服务器的检测结果。若存在一种或多种检测方式检测出目标服务器20为蜜罐服务器,则可以确定目标服务器20是蜜罐服务器的检测结果。
作为一种可选的实施方式,在确定所述目标服务器20为蜜罐服务器之前,方法还可以包括:确定所述应答数据中的所述目标服务器20开启的端口数量大于或等于第二指定数量,所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。其中,第二指定数量大于上述的第一指定数量。
可理解地,普通服务器(指非蜜罐服务器)通常开启的端口的数量较少,比如,开启的端口通常为几个到几十个。而蜜罐服务器开启的端口数量较多,通常开启的端口数量为几十个至上百个。因为蜜罐服务器为了发现更多的恶意扫描或者攻击,需要开启大量的端口进行检测。因此电子设备10可以首先检测目标服务器20的开启的端口数量。若开启的端口数量较少,则可以直接确定该服务器不是蜜罐服务器。若开启的端口数量较多,则可以确定目标服务器20为可疑服务器,然后在通过上述的四种检测方式中的一种或多种组合进行检测。基于此,可以避免对开启端口数量少的服务器进行多项检测,从而有助于提高检测效率。
其中,电子设备10可以通过nmap或者资源搜索引擎,例如zoomeye.org等搜索目标服务器20(或目标服务器20的IP)开启的端口数量。
作为一种可选的实施方式,方法还可以包括:当确定所述目标服务器20为蜜罐服务器时,中断用于网络探测的电子设备10与所述目标服务器20的通信连接。
在本实施例中,当确定出目标服务器20为蜜罐服务器时,电子设备10可以断开与目标服务器20的通信连接,以避免电子设备10被蜜罐服务器封禁。
可理解地,在探测出目标服务器20为蜜罐服务器时,电子设备10可以规避蜜罐服务器,并继续进行网络探测。
作为一种可选的实施方式,在探测出目标服务器20为蜜罐服务器时,电子设备10(可以称为第一电子设备)可以向用于网络探测的其他电子设备(可以称为第二电子设备)发送提示信息,提示信息中包括用于识别蜜罐服务器身份的信息,比如IP地址,以使第二电子设备在网络探测过程中,基于提示信息避开该蜜罐服务器,继续进行网络探测,以避免被该蜜罐服务器封禁。基于此,即使第一电子设备在识别出目标服务器20为蜜罐服务器后,被蜜罐服务器封禁,第一电子设备也可以通知第二电子设备,以使第二电子设备避开第一电子设备所识别出的蜜罐服务器,继续进行网络探测,从而提高探测效率。
其中,第二电子设备的功能作用与第一电子设备的功能作用相同或类似,可以用于执行本实施例中所述的网络检测方法,与第一电子设备通信连接的第二电子设备的数量可以为一个或多个,这里不作具体限定。
电子设备10通过进行网络探测,可以方便管理人员了解网络中各个通信节点(包括服务器)的拓扑结构、通信路径或通信节点存储的网络资源、探测的目标设备的参数。其中,网络资源包括但不限于视频数据、图像数据、文本数据等。探测的目标设备的参数包括但不限于该目标设备安装的***类型、所提供的服务类型等。
作为一种可选的实施方式,第一电子设备可以接收第二电子设备发送的由第二电子设备识别出的蜜罐服务器的身份信息,第一电子设备在收到该身份信息后,可以避开与身份信息对应的蜜罐服务器,继续进行网络探测,以提高网络探测的效率,降低被蜜罐服务器封禁的概率。
基于上述设计,电子设备10通过一种或多种检测方式来检测目标服务器20是否为蜜罐服务器,有助于提高检测蜜罐服务器的准确度,减小电子设备10被蜜罐服务器封禁的概率,从而有助于提高网络探测的效率。
请参照图4,本申请实施例还提供一种网络检测装置100,可以用于执行或实现上述的网络检测方法中的各步骤。该网络检测装置100可以包括发送单元110及检测单元120。
发送单元110,用于向目标服务器20发送探测报文。
检测单元120,用于基于所述目标服务器20根据所述探测报文返回的应答数据,确定所述目标服务器20是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器20开启的端口数量、所述目标服务器20中的多个端口开启的服务的类型、所述目标服务器20开启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提供商中的至少一种。
可选地,检测单元120还可以用于:判断所述应答数据中是否存在指定字符,所述指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符;当所述应答数据中存在所述指定字符时,确定所述目标服务器20为蜜罐服务器。
可选地,检测单元120还可以用于:根据所述应答数据确定所述目标服务器20多个端口所开启的服务的服务类型;判断所述多个端口所开启的服务的服务类型中是否存在相同的服务类型;当所述多个端口所开启的服务的服务类型中存在相同的服务类型,且开启相同服务类型的端口的最大数量大于或等于第一指定数量时,确定所述目标服务器20为蜜罐服务器。
可选地,检测单元120还可以用于:根据所述应答数据确定所述目标服务器20开启的协议的协议类型,及通过所述协议与所述目标服务器20通信连接的互联网服务提供商的类型;当所述协议类型为指定协议类型,且所述互联网服务提供商的类型为指定提供商类型时,确定所述目标服务器20为蜜罐服务器。
可选地,所述探测报文用于查询对所述目标服务器20执行指定操作的执行结果,检测单元120还可以用于:当确定所述应答数据中不包括所述执行结果时,确定所述目标服务器20为蜜罐服务器。
可选地,在检测单元120确定所述目标服务器20为蜜罐服务器之前,检测单元120还可以用于:确定所述应答数据中的所述目标服务器20开启的端口数量大于或等于第二指定数量,所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。
网络检测装置100还可以包括中断控制单元,用于当确定所述目标服务器20为蜜罐服务器时,中断用于网络探测的电子设备10与所述目标服务器20的通信连接。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的网络检测装置100、电子设备10的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本申请实施例还提供一种计算机可读存储介质。可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的网络检测方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
综上所述,本申请提供一种网络检测方法、装置、电子设备及计算机可读存储介质。方法包括:向目标服务器发送探测报文;基于目标服务器根据探测报文返回的应答数据,确定目标服务器是否为蜜罐服务器,并得到检测结果,应答数据包括目标服务器开启的端口数量、目标服务器中的多个端口开启的服务的类型、目标服务器开启的协议的协议类型及通过协议与目标服务器通信的互联网服务提供商中的至少一种。在本方案中,通过检测目标服务器是否为蜜罐服务器,有利于避开蜜罐服务器进行网络探测,避免被蜜罐服务器封禁用于网络探测的电子设备,从而改善网络探测容易被封禁而使得探测的效率低的问题。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络检测方法,其特征在于,所述方法包括:
向目标服务器发送探测报文;
基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器开启的端口数量、所述目标服务器中的多个端口开启的服务的类型、所述目标服务器开启的协议的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。
2.根据权利要求1所述的方法,其特征在于,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
判断所述应答数据中是否存在指定字符,所述指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符;
当所述应答数据中存在所述指定字符时,确定所述目标服务器为蜜罐服务器。
3.根据权利要求1所述的方法,其特征在于,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
根据所述应答数据确定所述目标服务器多个端口所开启的服务的服务类型;
判断所述多个端口所开启的服务的服务类型中是否存在相同的服务类型;
当所述多个端口所开启的服务的服务类型中存在相同的服务类型,且开启相同服务类型的端口的最大数量大于或等于第一指定数量时,确定所述目标服务器为蜜罐服务器。
4.根据权利要求1所述的方法,其特征在于,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
根据所述应答数据确定所述目标服务器开启的协议的协议类型,及通过所述协议与所述目标服务器通信连接的互联网服务提供商的类型;
当所述协议类型为指定协议类型,且所述互联网服务提供商的类型为指定提供商类型时,确定所述目标服务器为蜜罐服务器。
5.根据权利要求1所述的方法,其特征在于,所述探测报文用于查询对所述目标服务器执行指定操作的执行结果,基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,包括:
当确定所述应答数据中不包括所述执行结果时,确定所述目标服务器为蜜罐服务器。
6.根据权利要求2-5中任意一项所述的方法,其特征在于,在确定所述目标服务器为蜜罐服务器之前,所述方法还包括:
确定所述应答数据中的所述目标服务器开启的端口数量大于或等于第二指定数量,所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述目标服务器为蜜罐服务器时,中断用于网络探测的电子设备与所述目标服务器的通信连接。
8.一种网络检测装置,其特征在于,所述装置包括:
发送单元,用于向目标服务器发送探测报文;
检测单元,用于基于所述目标服务器根据所述探测报文返回的应答数据,确定所述目标服务器是否为蜜罐服务器,并得到检测结果,所述应答数据包括所述目标服务器开启的端口数量、所述目标服务器中的多个端口开启的服务的类型、所述目标服务器开启的协议的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。
9.一种电子设备,其特征在于,所述电子设备包括相互耦合的存储器及处理器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-7中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910931812.0A CN110677414A (zh) | 2019-09-27 | 2019-09-27 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910931812.0A CN110677414A (zh) | 2019-09-27 | 2019-09-27 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110677414A true CN110677414A (zh) | 2020-01-10 |
Family
ID=69079941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910931812.0A Pending CN110677414A (zh) | 2019-09-27 | 2019-09-27 | 网络检测方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677414A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、***、装置及介质 |
| CN112532448A (zh) * | 2020-11-27 | 2021-03-19 | 北京知道创宇信息技术股份有限公司 | 网络拓扑处理方法、装置和电子设备 |
| CN112565217A (zh) * | 2020-11-26 | 2021-03-26 | 北京天融信网络安全技术有限公司 | 基于协议的混淆通信方法及客户终端、服务器、存储介质 |
| CN114679292A (zh) * | 2021-06-10 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN116668187A (zh) * | 2023-07-19 | 2023-08-29 | 杭州海康威视数字技术股份有限公司 | 一种蜜罐识别的方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103440454A (zh) * | 2013-08-01 | 2013-12-11 | 上海交通大学 | 一种基于搜索引擎关键词的主动式蜜罐检测方法 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN108429739A (zh) * | 2018-02-12 | 2018-08-21 | 烽台科技(北京)有限公司 | 一种识别蜜罐的方法、***及终端设备 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN110266650A (zh) * | 2019-05-23 | 2019-09-20 | 中国科学院信息工程研究所 | Conpot工控蜜罐的识别方法 |
-
2019
- 2019-09-27 CN CN201910931812.0A patent/CN110677414A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103440454A (zh) * | 2013-08-01 | 2013-12-11 | 上海交通大学 | 一种基于搜索引擎关键词的主动式蜜罐检测方法 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN108429739A (zh) * | 2018-02-12 | 2018-08-21 | 烽台科技(北京)有限公司 | 一种识别蜜罐的方法、***及终端设备 |
| CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
| CN110266650A (zh) * | 2019-05-23 | 2019-09-20 | 中国科学院信息工程研究所 | Conpot工控蜜罐的识别方法 |
Non-Patent Citations (1)
| Title |
|---|
| 游建舟等: "基于数据包分片的工控蜜罐识别方法", 《信息安全学报》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112134837A (zh) * | 2020-08-06 | 2020-12-25 | 瑞数信息技术(上海)有限公司 | Web攻击行为的检测方法和*** |
| CN112217800A (zh) * | 2020-09-14 | 2021-01-12 | 广州大学 | 一种蜜罐识别方法、***、装置及介质 |
| CN112565217A (zh) * | 2020-11-26 | 2021-03-26 | 北京天融信网络安全技术有限公司 | 基于协议的混淆通信方法及客户终端、服务器、存储介质 |
| CN112532448A (zh) * | 2020-11-27 | 2021-03-19 | 北京知道创宇信息技术股份有限公司 | 网络拓扑处理方法、装置和电子设备 |
| CN112532448B (zh) * | 2020-11-27 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 网络拓扑处理方法、装置和电子设备 |
| CN114679292A (zh) * | 2021-06-10 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN114679292B (zh) * | 2021-06-10 | 2023-03-21 | 腾讯云计算(北京)有限责任公司 | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 |
| CN116668187A (zh) * | 2023-07-19 | 2023-08-29 | 杭州海康威视数字技术股份有限公司 | 一种蜜罐识别的方法、装置及电子设备 |
| CN116668187B (zh) * | 2023-07-19 | 2023-11-03 | 杭州海康威视数字技术股份有限公司 | 一种蜜罐识别的方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110677414A (zh) | 网络检测方法、装置、电子设备及计算机可读存储介质 | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| US8321943B1 (en) | Programmatic communication in the event of host malware infection | |
| US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10033745B2 (en) | Method and system for virtual security isolation | |
| US8266703B1 (en) | System, method and computer program product for improving computer network intrusion detection by risk prioritization | |
| US20150033343A1 (en) | Method, Apparatus, and Device for Detecting E-Mail Attack | |
| US20030084322A1 (en) | System and method of an OS-integrated intrusion detection and anti-virus system | |
| JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US20200358738A1 (en) | Systems and Methods For Using DNS Messages To Selectively Collect Computer Forensic Data | |
| US20170070518A1 (en) | Advanced persistent threat identification | |
| CN111756761A (zh) | 基于流量转发的网络防御***、方法和计算机设备 | |
| US10397225B2 (en) | System and method for network access control | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| Nehra et al. | FICUR: Employing SDN programmability to secure ARP | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| US10205738B2 (en) | Advanced persistent threat mitigation | |
| CN114928564A (zh) | 安全组件的功能验证方法及装置 | |
| CN116015876B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| EP4270907A1 (en) | Attack success identification method and protection device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |