CN113285926B - 面向电力监控***的蜜罐诱捕方法、装置、计算机设备 - Google Patents

面向电力监控***的蜜罐诱捕方法、装置、计算机设备 Download PDF

Info

Publication number
CN113285926B
CN113285926B CN202110452562.XA CN202110452562A CN113285926B CN 113285926 B CN113285926 B CN 113285926B CN 202110452562 A CN202110452562 A CN 202110452562A CN 113285926 B CN113285926 B CN 113285926B
Authority
CN
China
Prior art keywords
address
honeypot
unused
container
reverse proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110452562.XA
Other languages
English (en)
Other versions
CN113285926A (zh
Inventor
吴佩泽
胡朝辉
彭伯庄
陈海光
陈善锋
罗强
王金贺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Digital Platform Technology Guangdong Co ltd
Original Assignee
Southern Power Grid Digital Grid Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southern Power Grid Digital Grid Research Institute Co Ltd filed Critical Southern Power Grid Digital Grid Research Institute Co Ltd
Priority to CN202110452562.XA priority Critical patent/CN113285926B/zh
Publication of CN113285926A publication Critical patent/CN113285926A/zh
Application granted granted Critical
Publication of CN113285926B publication Critical patent/CN113285926B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请涉及一种面向电力监控***蜜罐诱捕方法、装置、计算机设备、计算机可读存储介质。所述方法包括:通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,所述目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;所述虚拟蜜罐服务的IP地址为网段内未使用的IP地址;通过反向代理应用将所述目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,以指示所述主站根据所述目标蜜罐容器的IP地址访问对应的蜜罐容器。本申请实施例提供的技术方案不需要对每个变电站部署单独的蜜罐***,能够降低成本。

Description

面向电力监控***的蜜罐诱捕方法、装置、计算机设备
技术领域
本申请涉及电力监控***网络安全技术领域,特别是涉及一种面向电力监控***蜜罐诱捕方法、装置、计算机设备、计算机可读存储介质。
背景技术
随着电力监控***网络安全技术的发展,出现了电力监控***态势感知平台,这个态势感知平台是由平台基础模块、大数据模块、前置机模块、采集装置、第三方应用模块等构成。
在相关技术中,蜜罐***作为第三方应用模块部署在主站侧,为主站提供蜜罐诱捕服务。蜜罐***无法对变电站内提供蜜罐服务,因此,为了提供蜜罐服务,对每个变电站部署单独蜜罐***。
然而,在电力监控***中变电站数量多并且分布广泛,当对每个变电站都部署单独的蜜罐***时,***的成本巨大。
发明内容
基于此,有必要针对上述技术问题,提供一种面向电力监控***蜜罐诱捕方法、装置、计算机设备和计算机可读存储介质。
第一方面,提供了一种面向电力监控***蜜罐诱捕方法,应用于前置机,所述方法包括:
通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,以指示该主站根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在其中一个实施例中,在该通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址之前,还包括:
通过反向代理应用与主站建立反向代理通道;通过该反向代理应用获取采集装置发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站;该网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;该采集装置内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;通过该反向代理应用接收该主站通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在其中一个实施例中,在通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址之前,该方法还包括:
通过反向代理应用获取不同网段内采集装置发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站;通过该反向代理应用接收该主站通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在其中一个实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
第二方面,提供了一种面向电力监控***蜜罐诱捕方法,应用于主站,该方法包括:
接收前置机的反向代理应用通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在其中一个实施例中,该方法还包括:
接收前置机的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;该网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;该采集装置内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***;获取蜜罐***发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***根据该要生成的蜜罐容器的数量生成的;将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机,以指示该前置机将该映射信息及蜜罐容器的IP地址发送给采集装置,该采集装置根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
第三方面,提供了一种面向电力监控***蜜罐诱捕装置,应用于前置机,该装置包括:
获取模块,用于通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
第一发送模块,用于通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,以指示该主站根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在其中一个实施例中,该装置还包括:
通道建立模块,用于通过反向代理应用与主站建立反向代理通道;
获取模块还用于通过该反向代理应用获取采集装置发送的网段内未使用的IP地址;
第一发送模块还用于将该网段内未使用的IP地址通过该反向代理通道上传至主站;该网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;该采集装置内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;
第一接收模块,用于通过该反向代理应用接收该主站通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;
第一发送模块还用于通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在其中一个实施例中,获取模块还用于通过反向代理应用获取不同网段内采集装置发送的未使用的IP地址;
第一发送模块还用于将该不同网段内未使用的IP地址通过该反向代理通道上传至主站;
第一接收模块还用于通过该反向代理应用接收该主站通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;
第一发送模块还用于通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在其中一个实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
第四方面,提供了一种面向电力监控***蜜罐诱捕装置,应用于主站,该装置包括:
第二接收模块,用于接收通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
第二发送模块,用于通过反向代理通道发送映射信息及蜜罐容器的IP地址给该前置机,以指示该前置机将该映射信息及蜜罐容器的IP地址发送给采集装置,该采集装置根据映射信息,将蜜罐容器的IP地址映射到网段内未使用的IP地址上。
在其中一个实施例中,该装置还包括:
第二接收模块还用于接收前置机的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;该网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;该采集装置内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;
确定模块,用于根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量;
第二发送模块还用于将该要生成的蜜罐容器的数量发送给蜜罐***;
第二接收模块还用于获取蜜罐***发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***根据该要生成的蜜罐容器的数量生成的;
生成模块,用于将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;
第二发送模块还用于将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机,以指示该前置机将该映射信息及蜜罐容器的IP地址发送给采集装置,该采集装置根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
第五方面,提供了一种面向电力监控***的蜜罐诱捕***,包括:
采集装置,用于获取访问请求中虚拟蜜罐服务的IP地址,根据该虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到对应的目标蜜罐容器的IP地址,并将该目标蜜罐容器的IP地址发送给前置机;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
该前置机,用于通过反向代理应用获取该采集装置发送的目标蜜罐容器的IP地址,并将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站;
该主站,用于根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在其中一个实施例中,采集装置还用于探测网段内未使用的IP地址,该网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;该采集装置内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;
前置机还用于通过反向代理应用与主站建立反向代理通道,通过该反向代理应用获取采集装置发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站;
主站还用于接收前置机的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***;获取蜜罐***发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***根据该要生成的蜜罐容器的数量生成的;将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机;
前置机还用于将该映射信息及蜜罐容器的IP地址发送给采集装置;
采集装置还用于根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
第六方面,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行时实现如上述第一方面任一该的蜜罐诱捕方法,或者,该计算机程序被处理器执行时实现如上述第二方面任一该的蜜罐诱捕方法。
第七方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述第一方面任一该的蜜罐诱捕方法,或者,该计算机程序被处理器执行时实现如上述第二方面任一该的蜜罐诱捕方法。
上述面向电力监控***蜜罐诱捕方法、装置、计算机设备和存储介质,通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,其中,目标蜜罐容器的IP地址为网段内发起访问请求的虚拟蜜罐服务的IP地址,且根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中可以查找得到,该虚拟蜜罐服务的IP地址为网段内未使用的IP地址,再通过反向代理应用将目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,然后,主站根据目标蜜罐容器的IP地址访问对应的蜜罐容器。这样,在电力监控***中,通过网段内未使用的IP地址与蜜罐容器的IP地址映射,不需要对每个变电站部署单独的蜜罐***,通过建立虚拟蜜罐,使得变电站中的IP地址可以映射到主站的蜜罐容器,从而降低成本。
附图说明
图1为一个实施例中面向电力监控***的蜜罐诱捕***的结构框图;
图2为一个实施例中面向电力监控***的蜜罐诱捕***的蜜罐代理实现流程图;
图3为一个实施例中面向电力监控***蜜罐诱捕方法的流程图;
图4为一个实施例中面向电力监控***蜜罐诱捕方法的前置机准备流程图;
图5为一个实施例中面向电力监控***蜜罐诱捕方法的前置机映射流程图;
图6为一个实施例中面向电力监控***蜜罐诱捕方法的流程图;
图7为一个实施例中面向电力监控***蜜罐诱捕方法的主站应用流程图;
图8为一个实施例中面向电力监控***蜜罐诱捕装置的结构框图;
图9为另一个实施例中面向电力监控***蜜罐诱捕装置的结构框图;
图10为一个实施例中面向电力监控***蜜罐诱捕装置的结构框图;
图11为另一个实施例中面向电力监控***蜜罐诱捕装置的结构框图;
图12为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种面向电力监控***的蜜罐诱捕***,该***包括:采集装置102、前置机104、主站106,此外,该***还可包括蜜罐***108。其中:
采集装置102,用于获取访问请求中虚拟蜜罐服务的IP(Internet ProtocolAddress,互联网协议地址)地址,根据该虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到对应的目标蜜罐容器的IP地址,并将该目标蜜罐容器的IP地址发送给前置机104;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址。
其中,采集装置102部署在电力监控***的变电站中,该采集装置102负责采集厂站电力监控***中各种相关设备的信息,同时对相关信息进行安全事件分析预处理并且汇总上送至主站106。采集装置102可为网络信号采集设备。
访问请求是指外部设备发起的访问蜜罐服务的请求。外部设备通过浏览器或网络端口发起访问请求。虚拟蜜罐服务是指预先在采集装置102所在变电站内部建立的虚拟蜜罐服务,如图1所示,在厂站A(即变电站A)和厂站B中均建立至少一个虚拟蜜罐服务。
网段是指网络中使用同一物理层设备能够直接通讯的那一部分。蜜罐容器是由蜜罐***108生成的。未使用的IP地址与蜜罐容器的IP地址的映射关系可以是一对一的映射关系,也可以是多对一的映射关系。该映射关系可以以表格形式记录,也可以以数组形式记录等,不限于此。
在本申请的一个可选实施例中,该采集装置102,具体用于:当攻击者对网段的虚拟蜜罐服务的IP地址进行访问时,监测虚拟蜜罐服务的IP地址,根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系,查找得到与虚拟蜜罐服务的IP地址对应的目标蜜罐容器的IP地址。
前置机104,用于通过反向代理应用获取该采集装置102发送的目标蜜罐容器的IP地址,并将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106。
前置机104为负责通过各种通讯介质和终端进行通讯,且能在与主站106其他部分脱离联系后,维持***运行的设备。前置机104可为个人计算机、笔记本电脑、平板电脑、个人数字助理等。反向代理应用部署在前置机104上。
主站106,用于根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
主站106可为服务器或服务器集群或云服务器等。
上述面向电力监控***蜜罐诱捕***,通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址,其中,目标蜜罐容器的IP地址为网段内发起访问请求的虚拟蜜罐服务的IP地址,且根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中可以查找得到,该虚拟蜜罐服务的IP地址为网段内未使用的IP地址,再通过反向代理应用将目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106,然后,主站106根据目标蜜罐容器的IP地址访问对应的蜜罐容器。这样,在电力监控***中,通过网段内未使用的IP地址与蜜罐容器的IP地址映射,不需要对每个变电站部署单独的蜜罐***108,通过建立虚拟蜜罐,使得变电站中的IP地址可以映射到主站106的蜜罐容器,从而降低成本,且实现了变电站资产的隐藏,防止攻击者对同网段的资产进行探测访问和攻击。
在本申请的一个可选实施例中,该前置机104还用于通过反向代理应用与主站106建立反向代理通道。
采集装置102还用于探测网段内资产信息得到未使用的IP地址,并存储该未使用的IP地址,将网段内未使用的IP地址发送给前置机104。
前置机104用于接收到采集装置102发送的网段内未使用的IP地址后,通过反向代理应用将网段内未使用的IP地址通过反向代理通道上传至主站106。
主站106用于接收前置机104的反向代理应用通过反向代理通道上传的未使用的IP地址及数量,根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108。
蜜罐***108用于根据该要生成的蜜罐容器的数量生成对应数量的蜜罐容器,并为每个蜜罐容器分配对应的IP地址,将蜜罐容器的IP地址发送给主站106。
主站106用于获取蜜罐***108发送的蜜罐容器的IP地址,将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104。
前置机104用于将该映射信息及蜜罐容器的IP地址发送给采集装置102。
采集装置102用于根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上,即将蜜罐容器的IP地址映射到对应的虚拟蜜罐服务的IP地址。
具体地,IP地址为192.168.1.2的攻击者访问IP地址为192.168.1.4的采集装置102,根据主站106建立的映射关系,即采集装置102的IP地址192.168.1.3和蜜罐容器的IP地址172.168.1.3建立映射。因此,当攻击者访问IP地址192.168.1.3的80端口时,攻击者通过反向代理通道访问IP地址172.168.1.3的80端口。
上述面向电力监控***蜜罐诱捕***,通过采集装置102采集网段内未使用的IP地址,并将未使用的IP地址通过前置机104的反向代理应用发送给主站106,主站106根据未使用的IP地址及数量结合存储的蜜罐生成策略确定生成蜜罐容器的数量,让蜜罐***108生成对应数量的蜜罐容器,并将蜜罐容器的IP地址返回给主站106,主站106将未使用的IP地址和蜜罐容器的IP地址建立映射关系,并将该映射关系通过前置机104发送给采集装置102,让采集装置102根据映射关系,将蜜罐容器的IP地址与虚拟蜜罐服务的IP地址映射,不需要为每个变电站建立蜜罐容器,降低了成本,且通过未使用的IP地址与蜜罐容器的IP地址进行映射,提高了IP资源的利用率,且避免了与已有IP地址的冲突。
在本申请的一个可选实施例中,该前置机104,具体用于:通过反向代理应用获取不同网段内采集装置102发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站106。
主站106用于接收前置机104的反向代理应用通过反向代理通道上传的不同网段内未使用的IP地址及数量,根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108。
其中,蜜罐生成策略是预先设置的生成策略,根据蜜罐生成策略及未使用的IP地址的数量来确定蜜罐容器的数量。该蜜罐生成策略可以是与未使用的IP地址数量相关的函数表达式,将接收到的未使用的IP地址数量输入到该函数表达式中,可以得到对应的蜜罐容器的数量。函数表达式可为一阶函数、多阶函数等,如y=ax,a为常数,假设未使用的IP地址数量为10,a为0.8,则蜜罐容器的数量y=8。
蜜罐***108用于根据该要生成的蜜罐容器的数量生成对应数量的蜜罐容器,并为每个蜜罐容器分配对应的IP地址,将蜜罐容器的IP地址发送给主站106。
主站106用于获取蜜罐***108发送的蜜罐容器的IP地址,将该蜜罐容器的IP地址和不同网段内未使用的IP地址进行映射,生成映射信息;该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104。
前置机104用于将不同网段内的映射信息及蜜罐容器的IP地址发送给对应的采集装置102。
采集装置102用于根据自身网段内的映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上,即将蜜罐容器的IP地址映射到对应的虚拟蜜罐服务的IP地址。
本实施例中,通过前置机104收集不同网段内采集装置102上传的未使用的IP地址,并将不同网段内的IP地址分别与蜜罐容器的IP地址建立映射关系,实现了主站对变电站虚拟蜜罐服务的集中管理,提高了工作效率。
在一个实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。本实施例中,将不同网段内的IP地址映射到同一蜜罐容器,实现了蜜罐容器的复用,提高了蜜罐容器的利用率,降低了成本。
请参考图2,其为一种面向电力监控***的蜜罐诱捕***的蜜罐代理实现流程图,如图2所示,面向电力监控***的蜜罐诱捕***实现蜜罐代理的具体过程包括:
步骤202,前置机104通过反向代理应用主动与主站106建立反向代理通道。
具体地,前置机104的反向代理应用与主站106的反向代理服务建立TCP(Transmission Control Protocol,传输控制协议)连接。
步骤204,主站106通过主站应用建立反向代理通道的接口服务,形成反向代理通道。
其中,前置机104通过访问该接口服务提供的接口与主站106建立反向代理通道。
步骤206,采集装置102通过采集装置拟态应用对同网段资产进行探测。
具体地,采集装置102结合资产发现功能,探测网段内未使用的IP地址,记录未使用的IP地址。其中,资产发现功能是指利用例如arp-ping扫描手段,探测该网段内的IP资产。对于不同厂站分别配有不同的IP地址段,如图1所示,厂站A和厂站B的IP地址段不同。对于未使用的IP地址是指未被设备用到的IP,比如说192.168.1.0/24网段中192.168.1.3的IP地址未被使用。拟态应用是一种模拟应用。
步骤208,采集装置102通过采集装置拟态应用封装未使用的IP地址上送到代理通道。
其中,前置机104中的反向代理应用还向变电站提供外部连接端口,并提供身份认证机制,对变电站装置的连接进行身份认证。前置机104的反向代理应用对采集装置102进行身份认证,当身份认证通过后,采集装置102连接到前置机104的外部连接端口。采集装置102利用采集装置拟态应用的采集功能将未使用的IP地址打包上送到反向代理通道。
步骤210,前置机104的反向代理应用将封装未使用的IP地址通过反向代理通道上传至主站106。
其中,前置机104的反向代理应用通过本地监听端口,等待其他设备接入到该端口,上传数据进行代理。具体地,采集装置102接入到前置机104端口,将封装未使用的IP地址上传至前置机104,前置机104的反向代理应用将封装未使用的IP地址通过反向代理通道上传至主站106。
步骤212,主站106通过主站应用的主站拟态应用接收封装未使用的IP地址,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并通过主站应用将要生成的蜜罐容器的数量发送到蜜罐***108。
具体地,主站106的主站拟态应用通过反向代理通道接收到由采集装置102封装的IP地址及数量,并获取存储的蜜罐生成策略,根据IP地址及数量,结合蜜罐生成策略确定要生成的蜜罐容器的数量,并通过主站应用将要生成的蜜罐容器的数量发送到蜜罐***。
步骤214,蜜罐***108通过访问接口接收主站106发送的要生成的蜜罐容器数量,根据该要生成的蜜罐容器的数量生成蜜罐容器。
具体地,访问接口是蜜罐***108自身定义的,用于与主站106通讯。蜜罐***108通过访问接口中的接口信息,根据主站106上传的要生成的蜜罐容器的数量进行蜜罐生成。其中接口信息包括生成的蜜罐类型,比如web服务的蜜罐、ssh(secure shell,安全外壳协议)蜜罐、数据库的蜜罐。蜜罐容器是指一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机的主机容器。
步骤216,蜜罐***108将生成的蜜罐容器的IP地址和端口返回至主站106。
其中,蜜罐***108为每个蜜罐容器分配对应的IP地址和端口,将蜜罐容器的IP地址和端口发送给主站106。
步骤218,主站106通过主站应用将生成的蜜罐容器的IP地址和端口封装成数据包,下达映射指令,将数据包发送到前置机104反向代理通道。
具体地,主站106将蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息,再将映射信息、蜜罐容器的IP地址和端口封装成数据包,将数据包通过该反向代理通道发送给前置机104。其中,映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系。
步骤220,前置机104通过前置机反向代理应用的反向代理通道将数据包发送至采集装置102。
步骤222,采集装置102通过采集装置拟态应用将数据包中未使用的IP地址映射到蜜罐容器的IP地址,以将采集装置102中的虚拟蜜罐服务的IP地址映射至蜜罐容器的IP地址。
具体地,采集装置102接收相关报文,通过采集装置102的拟态应用对网段的IP进行映射,对应到主站106中的蜜罐容器的IP地址。其中,相关报文包括蜜罐容器的端口号、蜜罐容器的IP地址,比如报文中的IP地址为172.16.1.3:80,采集装置102中的虚拟蜜罐服务的IP地址映射到该IP地址。
在一个实施例中,如图3所示,提供了一种面向电力监控***蜜罐诱捕方法,该方法应用于如图1所示的前置机104中,包括以下步骤:
步骤302,通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址。
其中,反向代理是指接受Internet上用户的连接请求,并且将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给Internet上请求连接的用户。其中,执行反向代理服务的服务器称为反向代理服务器。反向代理可用于负载均衡,即将用户请求分配给多个服务器。例如,Nginx执行反向代理功能时,可用于转发客户机请求到后台服务器,决定哪台目标主机处理当前请求。在本申请中反向代理应用用于向变电站提供外部连接端口和提供身份认证机制,并在身份认证通过后获取采集装置发送的数据。
在本申请的一个可选实施例中,前置机104利用反向代理应用得到采集装置102的数据,例如,变电站的采集装置102通过连接端口和身份认证,然后采集装置102将数据发送给前置机104,其中,采集装置102的数据可以包括目标蜜罐容器的IP地址。
在本申请的一个可选实施例中,目标蜜罐容器的IP地址可以根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中得到,其中目标蜜罐容器的IP地址是网段内发起访问请求的虚拟蜜罐服务的IP地址,该虚拟蜜罐服务的IP地址是网段内未使用的IP地址。
采集装置102监测到攻击者发起的访问请求,并将访问请求中的虚拟蜜罐服务的IP地址,按照网段内未使用的IP地址与蜜罐容器的IP地址的映射关系,转换为对应的目标蜜罐容器的IP地址,将该目标容器的IP地址上传至前置机104;前置机104通过反向代理应用获取到采集装置102发送的目标蜜罐容器的IP地址。
步骤304,通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106。
在本申请的一个可选实施例中,通过预先建立的反向代理通道发送目标蜜罐容器的IP地址,例如,前置机104采用反向代理应用预先建立反向代理通道,前置机104通过反向代理通道将目标蜜罐容器的IP地址发送至主站106,主站106再根据目标蜜罐容器的IP地址访问对应的蜜罐容器。主站106根据目标蜜罐容器的IP地址访问对应的蜜罐容器具体包括:主站106通过蜜罐前置服务,根据目标蜜罐容器的IP地址访问蜜罐***108中对应的真实蜜罐容器。
上述面向电力监控***蜜罐诱捕方法中,前置机104通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址,其中,目标蜜罐容器的IP地址为网段内发起访问请求的虚拟蜜罐服务的IP地址,且根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中可以查找得到,该虚拟蜜罐服务的IP地址为网段内未使用的IP地址,再通过反向代理应用将目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106,然后,主站106根据目标蜜罐容器的IP地址访问对应的蜜罐容器。这样,在电力监控***中,不需要对每个变电站部署单独的蜜罐***108,通过建立虚拟蜜罐,使得变电站中的位置IP可以映射到主站106的蜜罐容器,从而降低成本。
在一个实施例中,如图4所示,在通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址之前,还包括以下步骤:
步骤402,通过反向代理应用与主站106建立反向代理通道。
在本申请的一个可选实施例中,前置机104通过反向代理应用主动与主站106建立反向代理通道,例如,反向代理应用与主站106的反向代理服务建立TCP连接,形成代理通道。
步骤404,通过该反向代理应用获取采集装置102发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站106。
在本申请的一个可选实施例中,通过采集装置拟态应用的探测功能探测网段内的资产信息,从而获得网段内未使用的IP地址,例如,使用arp-ping扫描手段,探测一个网段中未使用IP地址。
其中,采集装置内虚拟蜜罐服务的IP地址为网段内未使用的IP地址。
具体地,前置机104通过反向代理应用获取采集装置102发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站106。
步骤406,通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址。
其中,前置机104的反向代理应用接收主站106返回的映射信息及蜜罐容器IP地址。其中,映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系。
步骤408,通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置102。
其中,采集装置102接收前置机104发送的映射信息和蜜罐容器的IP地址,再将蜜罐容器的IP地址映射到对应的未使用的IP地址上。
上述面向电力监控***蜜罐诱捕方法,前置机104通过反向代理应用获取采集装置102采集网段内未使用的IP地址,并将未使用的IP地址发送给主站106,接收主站106返回的未使用的IP地址和蜜罐容器的IP地址的映射关系,并将该映射关系发送给采集装置102,让采集装置102根据映射关系,将蜜罐容器的IP地址与虚拟蜜罐服务的IP地址映射,不需要为每个变电站建立蜜罐容器,降低了成本,且通过未使用的IP地址与蜜罐容器的IP地址进行映射,提高了IP资源的利用率,且避免了与已有IP地址的冲突。
在一个实施例中,如图5所示,在通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址之前,还包括以下步骤:
步骤502,通过反向代理应用获取不同网段内采集装置发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站106。
如上文所述,利用采集装置的探测功能探测未使用的IP地址,其中,采集装置102能够获取不同网段内未使用的IP地址,然后采集装置102将数据打包,通过反向代理通道将数据上传至主站106。
步骤504,通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址。
在本申请的一个可选实施例中,反向代理通道接收主站的映射信息和蜜罐容器IP地址,映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系,其中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系,因此,将不同厂站中未使用的IP地址可以映射到主站的同一蜜罐容器的IP地址,实现多蜜罐复用。
步骤506,通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置102。
其中,采集装置102根据接收到的映射关系将蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在一个实施例中,如图6所示,提供了一种面向电力监控***蜜罐诱捕方法,该方法应用于如图1所示的主站106中,包括以下步骤:
步骤602,接收前置机104的反向代理应用通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址。
在本申请的一个可选实施例中,主站106首先接收反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为网段内发起访问请求的虚拟蜜罐服务的IP地址,其中,网段内发起请求的虚拟蜜罐服务的IP地址为网段内未使用的IP地址,然后根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系查找得到。
步骤604,根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在本申请的一个可选实施例中,攻击者对同网段的虚拟蜜罐服务的IP地址进行访问,访问流量经过采集装置监测虚拟蜜罐服务的IP地址,根据映射信息转换到对应的目标蜜罐容器的IP地址,然后目标蜜罐容器的IP地址通过反向代理通道访问主站106,最后根据目标蜜罐容器的IP地址访问对应的蜜罐容器。
上述面向电力监控***蜜罐诱捕方法,主站106接收反向代理应用发送的目标蜜罐容器的IP地址,其中,目标蜜罐容器的IP地址为网段内发起访问请求的虚拟蜜罐服务的IP地址,且根据网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中可以查找得到,该虚拟蜜罐服务的IP地址为网段内未使用的IP地址,然后,根据目标蜜罐容器的IP地址访问对应的蜜罐容器。这样,在电力监控***中,通过网段内未使用的IP地址与蜜罐容器的IP地址映射,不需要对每个变电站部署单独的蜜罐***108,通过建立虚拟蜜罐,使得变电站中的IP地址可以映射到主站106的蜜罐容器,从而降低成本,且实现了变电站资产的隐藏,防止攻击者对同网段的资产进行探测访问和攻击。
在一个实施例中,如图7所示,一种面向电力监控***蜜罐诱捕方法,应用于主站106,还包括以下步骤:
步骤702,接收前置机104的反向代理应用通过反向代理通道上传的未使用的IP地址及数量。
在本申请的一个可选实施例中,通过反向代理通道接收的未使用IP地址及数量是采集装置102扫描探测网段内的资产信息得到的,例如,通过arp-ping扫描探测网段内的资产信息,将未使用的IP地址及数量进行数据封装,然后通过反向代理通道将数据上送到主站106。
步骤704,根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108。
步骤706,获取蜜罐***108发送的蜜罐容器的IP地址。
在本申请的一个可选实施例中,主站106通过调用蜜罐***108接口将要生成的蜜罐容器的数量发送给蜜罐***108,蜜罐***108通过访问接口,根据主站106发送的要生成的蜜罐容器的数量,生成相应数量的蜜罐容器,然后获取生成蜜罐容器的IP地址。
步骤708,将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息。
其中,主站106将生成的蜜罐容器的IP地址和未使用的IP地址进行映射生成映射信息,从而得到蜜罐容器的IP地址和未使用的IP地址的映射关系。
步骤710,将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104。
如上所述,主站106生成映射信息,然后通过反向代理通道将映射信息及蜜罐容的IP地址发送给采集装置102,采集装置102再根据映射信息将蜜罐容器的IP地址映射到未使用的IP地址上。
在一个可选实施例中,一种面向电力监控***蜜罐诱捕方法,应用于主站106,还包括以下步骤:接收前置机104的反向代理应用发送的不同网段内未使用的IP地址及数量,并根据不同网段内的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108;获取蜜罐***108发送的蜜罐容器的IP地址;将该蜜罐容器的IP地址和不同网段内未使用的IP地址进行映射,生成映射信息;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104。
在一个可选实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
应该理解的是,虽然图1-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-7中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种面向电力监控***蜜罐诱捕装置,该装置800可以配置于图1所示前置机104中,该装置800包括:获取模块802、第一发送模块804,其中:
获取模块802,用于通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址。
第一发送模块804,用于通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106,以指示该主站106根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在一个实施例中,如图9所示,提供了本申请实施例另外一种面向电力监控***蜜罐诱捕装置,该装置900除了包括装置800包括的各个模块外,可选的,还包括通道建立模块806、第一接收模块808。
通道建立模块806用于通过反向代理应用与主站106建立反向代理通道。
获取模块802还用于通过该反向代理应用获取采集装置102发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站106;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址。
第一接收模块808用于通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系。
该第一发送模块804,具体用于,通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在本申请的一个可选实施例中,该获取模块802,具体用于,通过反向代理应用获取不同网段内采集装置102发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站106。
第一接收模块808还用于通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系。
该第一发送模块804,具体用于,通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在本申请的一个可选实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
本申请实施例提供的面向电力监控***蜜罐诱捕装置,可以实现上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
关于面向电力监控***蜜罐诱捕装置的具体限定可以参见上文中对于面向电力监控***蜜罐诱捕方法的限定,在此不再赘述。上述面向电力监控***蜜罐诱捕装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,如图10所示,提供了一种面向电力监控***蜜罐诱捕装置,该装置1000可以配置于图1所示的主站106中,该装置1000包括:第二接收模块1002、第二发送模块1004,其中:
第二接收模块1002,用于接收通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
第二发送模块1004,用于通过反向代理通道发送映射信息及蜜罐容器的IP地址给该前置机104,以指示该前置机104将该映射信息及蜜罐容器的IP地址发送给采集装置102,该采集装置102根据映射信息,将蜜罐容器的IP地址映射到网段内未使用的IP地址上。
在本申请的一个可选实施例中,如图11所示,提供了本申请实施例另外一种面向电力监控***蜜罐诱捕装置,该装置1100除了包括装置1000包括的各个模块外,还包括确定模块1006、生成模块1008。
该第二接收模块1002,具体用于,接收前置机104的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址。
确定模块1006用于根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108。
第二接收模块1002还用于获取蜜罐***108发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***108根据该要生成的蜜罐容器的数量生成的。
生成模块1008用于将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系。
该第二发送模块1004,具体用于,将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104,以指示该前置机104将该映射信息及蜜罐容器的IP地址发送给采集装置102,该采集装置102根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
在一个实施例中,第二接收模块1002还用于接收前置机104的反向代理应用发送的不同网段内未使用的IP地址及数量。
确定模块1006还用于根据不同网段内的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108。
第二接收模块1002还用于获取蜜罐***108发送的蜜罐容器的IP地址。
生成模块1008还用于将该蜜罐容器的IP地址和不同网段内未使用的IP地址进行映射,生成映射信息。
该第二发送模块1004还用于将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104。
在一个可选实施例中,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
本申请实施例提供的面向电力监控***蜜罐诱捕装置,可以实现上述方法实施例,其实现原理和技术效果类似,在此不再赘述。
关于面向电力监控***蜜罐诱捕装置的具体限定可以参见上文中对于面向电力监控***蜜罐诱捕方法的限定,在此不再赘述。上述面向电力监控***蜜罐诱捕装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在本申请的一个实施例中,提供了一种计算机设备,该计算机设备可以为主站或者前置机,其内部结构图可以如图12所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储面向电力监控***蜜罐诱捕数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种面向电力监控***蜜罐诱捕方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106,以指示该主站106根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过反向代理应用与主站106建立反向代理通道;通过该反向代理应用获取采集装置102发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站106;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过反向代理应用获取不同网段内采集装置102发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站106;通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收前置机104的反向代理应用通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
接收前置机104的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108;获取蜜罐***108发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***108根据该要生成的蜜罐容器的数量生成的;将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104,以指示该前置机104将该映射信息及蜜罐容器的IP地址发送给采集装置102,该采集装置102根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
通过反向代理应用获取采集装置102发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;通过反向代理应用将该目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站106,以指示该主站106根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过反向代理应用与主站106建立反向代理通道;通过该反向代理应用获取采集装置102发送的网段内未使用的IP地址,并将该网段内未使用的IP地址通过该反向代理通道上传至主站106;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至该采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过反向代理应用获取不同网段内采集装置102发送的未使用的IP地址,并将该不同网段内未使用的IP地址通过该反向代理通道上传至主站106;通过该反向代理应用接收该主站106通过该反向代理通道返回的映射信息及蜜罐容器IP地址,该映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;通过该反向代理应用将该映射信息及该蜜罐容器的IP地址发送至对应的采集装置102,以将该蜜罐容器的IP地址映射到对应的未使用的IP地址上。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收前置机104的反向代理应用通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,该目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;该虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
根据该目标蜜罐容器的IP地址访问对应的蜜罐容器。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收前置机104的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;该网段内未使用的IP地址为采集装置102扫描探测网段内的资产信息得到;该采集装置102内虚拟蜜罐服务的IP地址为该网段内未使用的IP地址;根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将该要生成的蜜罐容器的数量发送给蜜罐***108;获取蜜罐***108发送的蜜罐容器的IP地址,该蜜罐容器是蜜罐***108根据该要生成的蜜罐容器的数量生成的;将该蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;该映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;将该映射信息及蜜罐容器的IP地址通过该反向代理通道发送给该前置机104,以指示该前置机104将该映射信息及蜜罐容器的IP地址发送给采集装置102,该采集装置102根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种面向电力监控***的蜜罐诱捕方法,其特征在于,应用于前置机,所述方法包括:
通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,所述目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;所述虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
通过反向代理应用将所述目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,以指示所述主站根据所述目标蜜罐容器的IP地址访问对应的蜜罐容器。
2.根据权利要求1所述的方法,其特征在于,在所述通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址之前,所述方法还包括:
通过反向代理应用与主站建立反向代理通道;
通过所述反向代理应用获取采集装置发送的网段内未使用的IP地址,并将所述网段内未使用的IP地址通过所述反向代理通道上传至主站;所述网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;所述采集装置内虚拟蜜罐服务的IP地址为所述网段内未使用的IP地址;
通过所述反向代理应用接收所述主站通过所述反向代理通道返回的映射信息及蜜罐容器IP地址,所述映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;
通过所述反向代理应用将所述映射信息及所述蜜罐容器的IP地址发送至所述采集装置,以将所述蜜罐容器的IP地址映射到对应的未使用的IP地址上。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
通过反向代理应用获取不同网段内采集装置发送的未使用的IP地址,并将所述不同网段内未使用的IP地址通过所述反向代理通道上传至主站;
通过所述反向代理应用接收所述主站通过所述反向代理通道返回的映射信息及蜜罐容器IP地址,所述映射信息包括不同网段内未使用的IP地址与蜜罐容器的IP地址的映射关系;
通过所述反向代理应用将所述映射信息及所述蜜罐容器的IP地址发送至对应的采集装置,以将所述蜜罐容器的IP地址映射到对应的未使用的IP地址上。
4.根据权利要求3所述的方法,其特征在于,不同网段内未使用的IP地址与同一蜜罐容器的IP地址存在映射关系。
5.一种面向电力监控***的蜜罐诱捕方法,其特征在于,应用于主站,所述方法包括:
接收前置机的反向代理应用通过预先建立的反向代理通道发送的目标蜜罐容器的IP地址,所述目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;所述虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
根据所述目标蜜罐容器的IP地址访问对应的蜜罐容器。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
接收前置机的反向代理应用通过反向代理通道上传的未使用的IP地址及数量;所述网段内未使用的IP地址为采集装置扫描探测网段内的资产信息得到;所述采集装置内虚拟蜜罐服务的IP地址为所述网段内未使用的IP地址;
根据接收的未使用的IP地址及数量,结合存储的蜜罐生成策略,确定要生成的蜜罐容器的数量,并将所述要生成的蜜罐容器的数量发送给蜜罐***;
获取蜜罐***发送的蜜罐容器的IP地址,所述蜜罐容器是蜜罐***根据所述要生成的蜜罐容器的数量生成的;
将所述蜜罐容器的IP地址和未使用的IP地址进行映射,生成映射信息;所述映射信息包括未使用的IP地址与蜜罐容器的IP地址的映射关系;
将所述映射信息及蜜罐容器的IP地址通过所述反向代理通道发送给所述前置机,以指示所述前置机将所述映射信息及蜜罐容器的IP地址发送给采集装置,所述采集装置根据映射信息,将蜜罐容器的IP地址映射到未使用的IP地址上。
7.一种面向电力监控***的蜜罐诱捕装置,其特征在于,包括:
获取模块,用于通过反向代理应用获取采集装置发送的目标蜜罐容器的IP地址,所述目标蜜罐容器的IP地址为根据网段内发起访问请求的虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到;所述虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
第一发送模块,用于通过反向代理应用将所述目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站,以指示所述主站根据所述目标蜜罐容器的IP地址访问对应的蜜罐容器。
8.一种面向电力监控***的蜜罐诱捕***,其特征在于,包括:
采集装置,用于获取访问请求中虚拟蜜罐服务的IP地址,根据所述虚拟蜜罐服务的IP地址,从网段内未使用的IP地址与蜜罐容器的IP地址的映射关系中查找得到对应的目标蜜罐容器的IP地址,并将所述目标蜜罐容器的IP地址发送给前置机;所述虚拟蜜罐服务的IP地址为网段内未使用的IP地址;
所述前置机,用于通过反向代理应用获取所述采集装置发送的目标蜜罐容器的IP地址,并将所述目标蜜罐容器的IP地址通过预先建立的反向代理通道发送至主站;
所述主站,用于根据所述目标蜜罐容器的IP地址访问对应的蜜罐容器。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4,或5至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4,或5至6中任一项所述的方法的步骤。
CN202110452562.XA 2021-04-26 2021-04-26 面向电力监控***的蜜罐诱捕方法、装置、计算机设备 Active CN113285926B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110452562.XA CN113285926B (zh) 2021-04-26 2021-04-26 面向电力监控***的蜜罐诱捕方法、装置、计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110452562.XA CN113285926B (zh) 2021-04-26 2021-04-26 面向电力监控***的蜜罐诱捕方法、装置、计算机设备

Publications (2)

Publication Number Publication Date
CN113285926A CN113285926A (zh) 2021-08-20
CN113285926B true CN113285926B (zh) 2022-11-11

Family

ID=77275822

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110452562.XA Active CN113285926B (zh) 2021-04-26 2021-04-26 面向电力监控***的蜜罐诱捕方法、装置、计算机设备

Country Status (1)

Country Link
CN (1) CN113285926B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114257438B (zh) * 2021-12-16 2024-01-23 南方电网数字平台科技(广东)有限公司 基于蜜罐的电力监控***管理方法、装置和计算机设备
CN114268505B (zh) * 2021-12-27 2022-08-12 北京国腾创新科技有限公司 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质
CN114640537A (zh) * 2022-03-31 2022-06-17 杭州安恒信息技术股份有限公司 一种内网横向移动检测方法、装置、设备及介质
CN115333804A (zh) * 2022-07-27 2022-11-11 阿里云计算有限公司 一种蜜罐导流方法、装置、电子设备及可读存储介质
CN115664750B (zh) * 2022-10-18 2024-05-14 南方电网数字电网研究院有限公司 一种基于区块链的全域电力防护方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140096229A1 (en) * 2012-09-28 2014-04-03 Juniper Networks, Inc. Virtual honeypot
CN104967628B (zh) * 2015-07-16 2017-12-26 浙江大学 一种保护web应用安全的诱骗方法
CN107809425A (zh) * 2017-10-20 2018-03-16 杭州默安科技有限公司 一种蜜罐部署***
CN109768993A (zh) * 2019-03-05 2019-05-17 中国人民解放军32082部队 一种高覆盖内网蜜罐***
CN112422481B (zh) * 2019-08-22 2021-10-26 华为技术有限公司 网络威胁的诱捕方法、***和转发设备
CN110995763B (zh) * 2019-12-26 2022-08-05 深信服科技股份有限公司 一种数据处理方法、装置、电子设备和计算机存储介质
CN111756761A (zh) * 2020-06-29 2020-10-09 杭州安恒信息技术股份有限公司 基于流量转发的网络防御***、方法和计算机设备
CN112134891B (zh) * 2020-09-24 2022-11-04 上海观安信息技术股份有限公司 一种基于linux***的单主机产生多个蜜罐节点的配置方法、***、监测方法

Also Published As

Publication number Publication date
CN113285926A (zh) 2021-08-20

Similar Documents

Publication Publication Date Title
CN113285926B (zh) 面向电力监控***的蜜罐诱捕方法、装置、计算机设备
US8831629B2 (en) System and method for identifying mobile communication devices
CN102843391A (zh) 一种信息发送方法及网关
CN107819891A (zh) 数据处理方法、装置、计算机设备和存储介质
CN108965036B (zh) 配置跨公网设备互访方法、***、服务器及存储介质
CN113132170B (zh) 数据管理方法及***、关联子***和计算机可读介质
CN113810512A (zh) 物联网终端接入***、方法、装置及存储介质
CN112583618A (zh) 为业务提供网络服务的方法、装置和计算设备
CN109644335A (zh) 一种标识信息的处理方法、数据库控制***以及相关设备
US10225358B2 (en) Page push method, device, server and system
CN109617966A (zh) 一种基于Openstack的云管平台部署***及方法
CN116633934A (zh) 负载均衡方法、装置、节点及存储介质
CN110557462B (zh) 一种基于公共代理的分布式接入***
CN114257438B (zh) 基于蜜罐的电力监控***管理方法、装置和计算机设备
CN110430276A (zh) 基于docker的通信控制方法、装置、通信控制设备和存储介质
CN113810349A (zh) 数据传输方法、装置和计算机设备
CN111600929B (zh) 传输线路探测方法、路由策略生成方法及代理服务器
CN108011801B (zh) 数据传输的方法、设备、装置及***
CN111030914B (zh) 一种数据传输方法及数据传输***
CN107809387B (zh) 一种报文传输的方法、设备及网络***
JP2022525205A (ja) 異常ホストのモニタニング
CN114125025B (zh) 一种多目标网络下的数据传输方法及装置
CN103281754B (zh) 基于本地转发模式的无线接入点信息获取方法和装置
CN105939404A (zh) Nat资源的获取方法及装置
CN103685367A (zh) 离线下载***和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230802

Address after: 518000 building 501, 502, 601, 602, building D, wisdom Plaza, Qiaoxiang Road, Gaofa community, Shahe street, Nanshan District, Shenzhen City, Guangdong Province

Patentee after: China Southern Power Grid Digital Platform Technology (Guangdong) Co.,Ltd.

Address before: Room 86, room 406, No.1, Yichuang street, Zhongxin Guangzhou Knowledge City, Huangpu District, Guangzhou City, Guangdong Province

Patentee before: Southern Power Grid Digital Grid Research Institute Co.,Ltd.