基于网络空间测绘的蜜罐识别方法、装置、设备及介质转让专利
申请号 : CN202110650833.2
文献号 : CN114679292B
文献日 : 2023-03-21
发明人 : 邓书凡
申请人 : 腾讯云计算(北京)有限责任公司
摘要 :
本申请实施例提供了一种基于网络空间测绘的蜜罐识别方法、装置、设备及介质,包括:在蜜罐检测页面中获取目标网际协议地址,获取目标网际协议地址对应的一个或多个开放端口;获取一个或多个开放端口的端口指纹信息,从一个或多个开放端口中确定需要登录的目标开放端口,获取目标开放端口的账号登录信息;根据账号登录信息登录目标开放端口的服务,以获取系统环境信息;将目标网际协议地址的地址关键信息、一个或多个开放端口、一个或多个开放端口的端口指纹信息、账号登录信息以及系统环境信息,组合为网络空间测绘数据,基于网络空间测绘数据得到目标网际协议地址的蜜罐识别结果。采用本申请实施例,可以提高蜜罐的识别效率和识别准确性。
权利要求 :
1.一种基于网络空间测绘的蜜罐识别方法,其特征在于,包括:
响应针对蜜罐检测页面中所输入的目标网际协议地址的触发操作,对所述目标网际协议地址对应的端口集合进行端口开放探测,在所述端口集合中获取所述目标网际协议地址对应的一个或多个开放端口;
对所述目标网际协议地址和所述一个或多个开放端口进行指纹探测分析,获取所述一个或多个开放端口分别对应的端口指纹信息,根据所述端口指纹信息中的服务类型,将所述服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取所述目标开放端口对应的账号登录信息;一个开放端口的端口指纹信息包括所述目标网际协议地址、该开放端口以及该开放端口对应的服务类型;所述目标开放端口属于所述一个或多个开放端口;
根据所述账号登录信息登录所述目标开放端口的服务,通过所登录的所述目标开放端口获取目标操作指令所指示的指令执行结果,根据所述指令执行结果确定所述目标开放端口对应的系统环境信息;
将所述目标网际协议地址对应的地址关键信息、所述一个或多个开放端口、所述一个或多个开放端口对应的端口指纹信息、所述账号登录信息以及所述系统环境信息,组合为所述目标网际协议地址对应的网络空间测绘数据;
根据识别策略集合中所包含的K种蜜罐识别策略,对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定所述目标网际协议地址对应的第一蜜罐识别结果,在所述蜜罐检测页面中展示所述第一蜜罐识别结果;所述K种蜜罐识别策略用于识别不同类型的蜜罐,所述K为正整数。
2.根据权利要求1所述的方法,其特征在于,所述在蜜罐检测页面中获取目标网际协议地址,对所述目标网际协议地址对应的端口集合进行端口开放探测,在所述端口集合中获取所述目标网际协议地址对应的一个或多个开放端口,包括:获取所述蜜罐检测页面中所输入的目标网际协议地址,向所述目标网际协议地址对应的端口集合中的端口i发送连接请求;所述i为小于所述端口集合对应的端口数量的非负整数;
若接收到所述端口i返回的连接确认数据,则将所述端口i的开放状态确定为已开放状态;
在所述端口集合中将开放状态为所述已开放状态的端口,确定为所述目标网际协议地址对应的一个或多个开放端口。
3.根据权利要求1所述的方法,其特征在于,所述对所述目标网际协议地址和所述一个或多个开放端口进行指纹探测分析,获取所述一个或多个开放端口分别对应的端口指纹信息,包括:根据所述目标网际协议地址和所述一个或多个开放端口,向目标服务器发送目标数据;
接收所述目标服务器返回的针对所述目标数据的应答数据,对所述应答数据进行特征分析,得到所述一个或多个开放端口分别对应的服务类型;
将所述目标网际协议地址、所述一个或多个开放端口以及所述服务类型,确定为所述端口指纹信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述端口指纹信息中的服务类型,将所述服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取所述目标开放端口对应的账号登录信息,包括:根据所述端口指纹信息中的服务类型,对所述一个或多个开放端口进行分类,得到M个开放端口组;一个开放端口组中所包含的开放端口具有相同的服务类型,所述M为正整数;
在所述M个开放端口组中,将所述服务类型为账号登录服务类型的开放端口组中所包含的开放端口,确定为所述目标开放端口;
将账号密码字典中所包含的账号和密码进行组合,得到N个账号密码组合;所述账号密码字典包括常用的账号和常用的密码,所述N为正整数;
分别采用所述N个账号密码组合登录所述目标开放端口的服务,将登录成功的账号密码组合确定为所述目标开放端口对应的账号登录信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述账号登录信息登录所述目标开放端口的服务,通过所登录的所述目标开放端口获取目标操作指令所指示的指令执行结果,根据所述指令执行结果确定所述目标开放端口对应的系统环境信息,包括:根据所述账号登录信息中的账号和密码,登录所述目标开放端口的服务,根据所述目标网际协议地址和所述目标开放端口,向目标服务器发送目标操作指令,以使所述目标服务器执行所述目标操作指令;
获取所述目标服务器返回的针对所述目标操作指令的指令执行结果,将所述目标网际协议地址、所述目标开放端口、所述目标开放端口对应的服务类型、所述账号登录信息、所述目标操作指令以及所述指令执行结果,确定为所述系统环境信息。
6.根据权利要求1所述的方法,其特征在于,还包括:
通过所述目标网际协议地址关联的信息查询接口,在网络信息机构中对所述目标网际协议地址进行分析;
在所述网络信息机构中获取所述目标网际协议地址对应的地理区域位置信息、持有者信息、安全标签,将所述地理区域位置信息、所述持有者信息以及所述安全标签,确定为所述目标网际协议地址对应的地址关键信息。
7.根据权利要求1所述的方法,其特征在于,所述根据识别策略集合中所包含的K种蜜罐识别策略,对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果,根据K种分析结果确定所述目标网际协议地址对应的第一蜜罐识别结果,包括:获取所述识别策略集合中所包含的K种蜜罐识别策略,采用所述K种蜜罐识别策略分别对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果;
若所述K种蜜罐识别策略中存在蜜罐识别策略的分析结果为蜜罐结果,则将所述蜜罐结果确定为所述目标网际协议地址对应的第一蜜罐识别结果,在所述蜜罐检测页面中显示所述蜜罐结果;
若所述K种蜜罐识别策略所对应的分析结果均为未确定结果,则将所述未确定结果确定为所述目标网际协议地址对应的第一蜜罐识别结果,在所述蜜罐检测页面中显示所述未确定结果。
8.根据权利要求7所述的方法,其特征在于,所述K种蜜罐识别策略包括协议缺陷判断策略;
所述采用所述K种蜜罐识别策略分别对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果,包括:在所述网络空间测绘数据中获取所述目标网际协议地址对应的服务协议,向目标服务器发送所述服务协议对应的目标命令字符;
接收所述目标服务器返回的针对所述目标命令字符的协议应答特征,若检测到所述协议应答特征不满足协议标准中的标准应答特征,则将所述协议应答特征确定为协议缺陷特征;
当所述协议缺陷特征符合所述协议缺陷判断策略中的判别条件时,确定所述协议缺陷判断策略对应的分析结果为蜜罐结果;
当所述协议缺陷特征不符合所述协议缺陷判断策略中的所述判别条件时,确定所述协议缺陷判断策略对应的分析结果为未确定结果。
9.根据权利要求7所述的方法,其特征在于,所述K种蜜罐识别策略包括端口开放数判断策略;
所述采用所述K种蜜罐识别策略分别对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果,包括:在所述网络空间测绘数据中统计所述一个或多个开放端口所对应的端口开放数量,获取所述端口开放数判断策略对应的端口数量阈值;
当所述端口开放数量大于所述端口数量阈值时,确定所述端口开放数判断策略对应的分析结果为蜜罐结果;
当所述端口开放数量小于或等于所述端口数量阈值时,确定所述端口开放数判断策略对应的分析结果为未确定结果。
10.根据权利要求7所述的方法,其特征在于,还包括:
当检测到目标蜜罐识别策略时,将所述目标蜜罐识别策略添加至所述识别策略集合;
若在所述蜜罐检测页面中获取到待识别网际协议地址,则采用所述识别策略集合中的(K+1)种蜜罐识别策略,分别对所述待识别网际协议地址所对应的待识别网络测绘数据进行数据分析,得到所述(K+1)种蜜罐识别策略分别对应的分析结果;所述(K+1)种蜜罐识别策略包括所述目标蜜罐识别策略;
根据所述(K+1)种蜜罐识别策略分别对应的分析结果,得到所述待识别网际协议地址对应的第二蜜罐识别结果。
11.根据权利要求1所述的方法,其特征在于,还包括:
当第一数据库作为提供读写服务的主库时,将所述网络空间测绘数据和所述第一蜜罐识别结果写入第一数据库中,将所述第一数据库中所存储的数据同步备份至第二数据库;
若所述第一数据库出现故障,则关闭所述第一数据库的所述读写服务,将所述第二数据库切换为提供所述读写服务的主库,中断所述第一数据库与所述第二数据库之间的数据同步备份;
当所述第一数据库已被修复正常时,将所述第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
12.根据权利要求1所述的方法,其特征在于,还包括:
获取所述目标网际协议地址所关联的系统行为信息,根据所述系统行为信息生成行为日志;
将所述行为日志上传至区块链系统,以使所述区块链系统中的区块链节点将所述行为日志封装为交易区块,对达成共识的交易区块进行记账处理;
接收所述区块链系统中的区块链节点返回的上链成功信息,根据所述上链成功信息,在本地数据库中存储所述行为日志在所述区块链系统中的文件哈希;所述文件哈希用于指示所述行为日志在所述区块链系统中的存储位置。
13.一种基于网络空间测绘的蜜罐识别装置,其特征在于,包括:
端口开放探测模块,用于响应针对蜜罐检测页面中所输入的目标网际协议地址的触发操作,对所述目标网际协议地址对应的端口集合进行端口开放探测,在所述端口集合中获取所述目标网际协议地址对应的一个或多个开放端口;
指纹探测模块,用于对所述目标网际协议地址和所述一个或多个开放端口进行指纹探测分析,获取所述一个或多个开放端口分别对应的端口指纹信息,根据所述端口指纹信息中的服务类型,将所述服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取所述目标开放端口对应的账号登录信息;一个开放端口的端口指纹信息包括所述目标网际协议地址、该开放端口以及该开放端口对应的服务类型;所述目标开放端口属于所述一个或多个开放端口;
账号登录模块,用于根据所述账号登录信息登录所述目标开放端口的服务,通过所登录的所述目标开放端口获取目标操作指令所指示的指令执行结果,根据所述指令执行结果确定所述目标开放端口对应的系统环境信息;
数据汇总模块,用于将所述目标网际协议地址对应的地址关键信息、所述一个或多个开放端口、所述一个或多个开放端口对应的端口指纹信息、所述账号登录信息以及所述系统环境信息,组合为所述目标网际协议地址对应的网络空间测绘数据;
第一数据分析模块,用于根据识别策略集合中所包含的K种蜜罐识别策略,对所述网络空间测绘数据进行数据分析,得到所述K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定所述目标网际协议地址对应的第一蜜罐识别结果,在所述蜜罐检测页面中展示所述第一蜜罐识别结果;所述K种蜜罐识别策略用于识别不同类型的蜜罐,所述K为正整数。
14.一种计算机设备,其特征在于,包括存储器和处理器;
所述存储器与所述处理器相连,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,以使得所述计算机设备执行权利要求1至12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1至12任一项所述的方法。
说明书 :
基于网络空间测绘的蜜罐识别方法、装置、设备及介质
技术领域
[0001] 本申请涉及互联网技术领域,尤其涉及一种基于网络空间测绘的蜜罐识别方法、装置、设备及介质。
背景技术
[0002] 在网络安全评估过程中,往往会发现一些IP(Internet Protocol)地址存在明显漏洞,然而这些IP地址所在系统可能不是真实的业务系统,而是人为部署的蜜罐,为增强网络安全评估有效性,产生了识别IP地址是否为蜜罐的需求。
[0003] 目前的蜜罐识别技术中,通常需要对待识别的IP地址进行手工检测,由于IP地址的检测过程是一个非常复杂的任务,需要执行非常繁琐且复杂的操作,耗时过长,且对待识别的IP地址的检测效果完全依赖于作业人员的能力,当作业人员的能力有限时,容易造成蜜罐的识别结果出现误判。
发明内容
[0004] 本申请实施例提供一种基于网络空间测绘的蜜罐识别方法、装置、设备及介质,可以提高蜜罐的识别效率,并提高蜜罐的识别准确性。
[0005] 本申请实施例一方面提供了一种基于网络空间测绘的蜜罐识别方法,包括:
[0006] 在蜜罐检测页面中获取目标网际协议地址,对目标网际协议地址对应的端口集合进行端口开放探测,在端口集合中获取目标网际协议地址对应的一个或多个开放端口;
[0007] 对目标网际协议地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,根据端口指纹信息中的服务类型,将服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息;
[0008] 根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定目标开放端口对应的系统环境信息;
[0009] 将目标网际协议地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标网际协议地址对应的网络空间测绘数据;
[0010] 根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标网际协议地址对应的第一蜜罐识别结果;K种蜜罐识别策略用于识别不同类型的蜜罐,K为正整数。
[0011] 本申请实施例一方面提供了一种基于网络空间测绘的蜜罐识别装置,包括:
[0012] 端口开放探测模块,用于在蜜罐检测页面中获取目标网际协议地址,对目标网际协议地址对应的端口集合进行端口开放探测,在端口集合中获取目标网际协议地址对应的一个或多个开放端口;
[0013] 指纹探测模块,用于对目标网际协议地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,根据端口指纹信息中的服务类型,将服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息;
[0014] 账号登录模块,用于根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定目标开放端口对应的系统环境信息;
[0015] 数据汇总模块,用于将目标网际协议地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标网际协议地址对应的网络空间测绘数据;
[0016] 第一数据分析模块,用于根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标网际协议地址对应的第一蜜罐识别结果;K种蜜罐识别策略用于识别不同类型的蜜罐,K为正整数。
[0017] 其中,端口开放探测模块包括:
[0018] 连接请求发起单元,用于获取蜜罐检测页面中所输入的目标网际协议地址,向目标网际协议地址对应的端口集合中的端口i发送连接请求;i为小于端口集合对应的端口数量的非负整数;
[0019] 开放状态确定单元,用于若接收到端口i返回的连接确认数据,则将端口i的开放状态确定为已开放状态;
[0020] 开放端口确定单元,用于在端口集合中将开放状态为已开放状态的端口,确定为目标网际协议地址对应的一个或多个开放端口。
[0021] 其中,指纹探测模块包括:
[0022] 目标数据发送单元,用于根据目标网际协议地址和一个或多个开放端口,向目标服务器发送目标数据;
[0023] 服务类型获取单元,用于接收目标服务器返回的针对目标数据的应答数据,对应答数据进行特征分析,得到一个或多个开放端口分别对应的服务类型;
[0024] 指纹信息确定单元,用于将目标网际协议地址、一个或多个开放端口以及服务类型,确定为端口指纹信息。
[0025] 其中,指纹探测模块包括:
[0026] 端口分类单元,用于根据端口指纹信息中的服务类型,对一个或多个开放端口进行分类,得到M个开放端口组;一个开放端口组中所包含的开放端口具有相同的服务类型,M为正整数;
[0027] 目标开放端口选取单元,用于在M个开放端口组中,将服务类型为账号登录服务类型的开放端口组中所包含的开放端口,确定为目标开放端口;
[0028] 账号密码组合单元,用于将账号密码字典中所包含的账号和密码进行组合,得到N个账号密码组合;账号密码字典包括常用的账号和常用的密码,N为正整数;
[0029] 登录信息破解单元,用于分别采用N个账号密码组合登录目标开放端口的服务,将登录成功的账号密码组合确定为目标开放端口对应的账号登录信息。
[0030] 其中,账号登录模块包括:
[0031] 端口服务登录单元,用于根据账号登录信息中的账号和密码,登录目标开放端口的服务,根据目标网际协议地址和目标开放端口,向目标服务器发送目标操作指令,以使目标服务器执行目标操作指令;
[0032] 系统环境信息确定单元,用于获取目标服务器返回的针对目标操作指令的指令执行结果,将目标网际协议地址、目标开放端口、目标开放端口对应的服务类型、账号登录信息、目标操作指令以及指令执行结果,确定为系统环境信息。
[0033] 其中,该装置还包括:
[0034] 网际协议地址查询模块,用于通过目标网际协议地址关联的信息查询接口,在网络信息机构中对目标网际协议地址进行分析;
[0035] 地址关键信息获取模块,用于在网络信息机构中获取目标网际协议地址对应的地理区域位置信息、持有者信息、安全标签,将地理区域位置信息、持有者信息以及安全标签,确定为目标网际协议地址对应的地址关键信息。
[0036] 其中,第一数据分析模块包括:
[0037] 分析单元,用于获取识别策略集合中所包含的K种蜜罐识别策略,采用K种蜜罐识别策略分别对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果;
[0038] 第一识别结果确定单元,用于若K种蜜罐识别策略中存在蜜罐识别策略的分析结果为蜜罐结果,则将蜜罐结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示蜜罐结果;
[0039] 第二识别结果确定单元,用于若K种蜜罐识别策略所对应的分析结果均为未确定结果,则将未确定结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示未确定结果。
[0040] 其中,K种蜜罐识别策略包括协议缺陷判断策略;
[0041] 分析单元包括:
[0042] 命令发送子单元,用于在网络空间测绘数据中获取目标网际协议地址对应的服务协议,向目标服务器发送服务协议对应的目标命令字符;
[0043] 协议缺陷确定子单元,用于接收目标服务器返回的针对目标命令字符的协议应答特征,若检测到协议应答特征不满足协议标准中的标准应答特征,则将协议应答特征确定为协议缺陷特征;
[0044] 第一分析结果确定子单元,用于当协议缺陷特征符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为蜜罐结果;
[0045] 第二分析结果确定子单元,用于当协议缺陷特征不符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为未确定结果。
[0046] 其中,K种蜜罐识别策略包括端口开放数判断策略;
[0047] 分析单元包括:
[0048] 开放端口数量统计子单元,用于在网络空间测绘数据中统计一个或多个开放端口所对应的端口开放数量,获取端口开放数判断策略对应的端口数量阈值;
[0049] 第三分析结果确定子单元,用于当端口开放数量大于端口数量阈值时,确定端口开放数判断策略对应的分析结果为蜜罐结果;
[0050] 第四分析结果确定子单元,用于当端口开放数量小于或等于端口数量阈值时,确定端口开放数判断策略对应的分析结果为未确定结果。
[0051] 其中,该装置还包括:
[0052] 识别策略增加模块,用于当检测到目标蜜罐识别策略时,将目标蜜罐识别策略添加至识别策略集合;
[0053] 第二数据分析模块,用于若在蜜罐检测页面中获取到待识别网际协议地址,则采用识别策略集合中的(K+1)种蜜罐识别策略,分别对待识别网际协议地址所对应的待识别网络测绘数据进行数据分析,得到(K+1)种蜜罐识别策略分别对应的分析结果;(K+1)种蜜罐识别策略包括目标蜜罐识别策略;
[0054] 识别结果获取模块,用于根据(K+1)种蜜罐识别策略分别对应的分析结果,得到待识别网际协议地址对应的第二蜜罐识别结果。
[0055] 其中,该装置还包括:
[0056] 数据存储模块,用于当第一数据库作为提供读写服务的主库时,将网络空间测绘数据和第一蜜罐识别结果写入第一数据库中,将第一数据库中所存储的数据同步备份至第二数据库;
[0057] 数据库身份切换模块,用于若第一数据库出现故障,则关闭第一数据库的读写服务,将第二数据库切换为提供读写服务的主库,中断第一数据库与第二数据库之间的数据同步备份;
[0058] 数据同步模块,用于当第一数据库已被修复正常时,将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
[0059] 其中,该装置还包括:
[0060] 日志生成模块,用于获取目标网际协议地址所关联的系统行为信息,根据系统行为信息生成行为日志;
[0061] 日志上传模块,用于将行为日志上传至区块链系统,以使区块链系统中的区块链节点将行为日志封装为交易区块,对达成共识的交易区块进行记账处理;
[0062] 日志存储模块,用于接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,在本地数据库中存储行为日志在区块链系统中的文件哈希;文件哈希用于指示行为日志在区块链系统中的存储位置。
[0063] 本申请实施例一方面提供了一种计算机设备,包括存储器和处理器,存储器与处理器相连,存储器用于存储计算机程序,处理器用于调用计算机程序,以使得该计算机设备执行本申请实施例中上述一方面提供的方法。
[0064] 本申请实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序适于由处理器加载并执行,以使得具有处理器的计算机设备执行本申请实施例中上述一方面提供的方法。
[0065] 根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面提供的方法。
[0066] 本申请实施例可以通过在蜜罐检测页面中获取目标网际协议地址(IP地址),对目标IP地址对应的端口集合进行端口开放探测,在该端口集合中获取目标IP地址对应的一个或多个开放端口,进而可以对目标IP地址和一个或者多个开放端口进行指纹探测分析,可以获取一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,将端口指纹信息中的服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息;根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定系统环境信息,进而可以将目标IP地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口的端口指纹信息、账号登录信息以及系统环境信息,组合为目标IP地址的网络空间测绘数据,对网络空间测绘数据进行数据分析,可以得到最终的蜜罐识别结果。可见,在对目标IP地址进行蜜罐识别时,可以通过网络空间测绘对目标IP地址进行分析,同时汇总网络空间测绘过程中的数据(即上述网络空间测绘数据)进行综合分析,以确定目标IP地址的蜜罐识别结果,可以提高蜜罐的识别准确性;同时,用户只需在蜜罐检测页面中输入目标IP地址,就可以得到该目标IP地址的蜜罐识别结果,可以减少用户的繁琐操作,进而可以提高针对目标IP地址的蜜罐识别效率。
附图说明
[0067] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0068] 图1是本申请实施例提供的一种网络架构的结构示意图;
[0069] 图2a和图2b是本申请实施例提供的一种蜜罐识别场景示意图;
[0070] 图3是本申请实施例提供的一种基于网络空间测绘的蜜罐识别方法的流程示意图;
[0071] 图4是本申请实施例提供的一种蜜罐识别界面图;
[0072] 图5是本申请实施例提供的一种基于网络空间测绘的蜜罐识别方法的流程示意图;
[0073] 图6是本申请实施例提供的一种数据存储示意图;
[0074] 图7是本申请实施例提供的一种行为日志存储示意图;
[0075] 图8是本申请实施例提供的一种蜜罐识别技术架构图;
[0076] 图9是本本申请实施例提供的一种基于网络空间测绘的蜜罐识别装置的结构示意图;
[0077] 图10是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
[0078] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0079] 本申请涉及以下几个概念:
[0080] 蜜罐(Honeypot):蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
[0081] 网络空间测绘:网络空间测绘是指以网络空间为对象,以计算机科学、网络科学、测绘科学、信息科学为基础,以网络探测、网络分析、实体定位、地理测绘和地理信息系统为主要技术,通过探测、采集、处理、分析和展示等手段,获得网络空间实体资源和虚拟资源在网络空间的位置、属性和拓扑结构,并据此进行空间分析与应用的理论和技术。
[0082] 互联网协议地址(Internet Protocol Address,IP地址,也可以称为网际协议地址):IP地址是IP协议提供的一种同样的地址格式,可以为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
[0083] 请参见图1,图1是本申请实施例提供的一种网络系统的结构示意图。如图1所示的网络系统可以为蜜罐网络系统,信息时代的到来需要计算机网络安全保护防护由被动防御转换为主动防御,从而使蜜罐技术在网络对抗中日益受到重视。蜜罐是深入了解攻击者的一种有效手段,且可以提高网络安全防护水平。如图1所示的网络系统可以包括终端设备10a、服务器10b以及服务器10c等,该网络系统可以包括一个或多个服务器,本申请对网络系统中服务器的数量不做限定。其中,终端设备10a可以作为一个客户端蜜罐被严密管理,该终端设备10a可以包含虚假的高价值资源和一些漏洞,以此吸引攻击方入侵该客户端蜜罐,且在终端设备10a被入侵的过程中,可以实时记录和审计攻击方的攻击流量、行为以及数据,进而可以了解攻击方的方式、手段以及目的,从而完成对攻击溯源、取证等后续工作。
服务器10b可以为正常工作的服务器(即非攻击方),当终端设备10a将生成的请求发送至服务器10b,正常工作的服务器10b在接收到该请求后,可以向终端设备10a做出响应。服务器
10c可以为恶意服务器(即攻击方),当终端设备10a将生成的请求发送至服务器10c,服务器
10c在接收到该请求后,不会向终端设备10a做出正常的响应,而是向终端设备10c发起攻击,以入侵终端设备10a;当服务器10c(攻击方)入侵终端设备10a(客户端蜜罐)时,可以实时捕获并分析服务器10c的攻击行为。
服务器10b可以为正常工作的服务器(即非攻击方),当终端设备10a将生成的请求发送至服务器10b,正常工作的服务器10b在接收到该请求后,可以向终端设备10a做出响应。服务器
10c可以为恶意服务器(即攻击方),当终端设备10a将生成的请求发送至服务器10c,服务器
10c在接收到该请求后,不会向终端设备10a做出正常的响应,而是向终端设备10c发起攻击,以入侵终端设备10a;当服务器10c(攻击方)入侵终端设备10a(客户端蜜罐)时,可以实时捕获并分析服务器10c的攻击行为。
[0084] 其中,如图1所示的终端设备10a可以包括:智能手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备(例如智能手表、智能手环等)、智能电视、台式电脑以及网络主机等设备。服务器10b和服务器10c均可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
[0085] 请参见图2a和图2b,图2a和图2b是本申请实施例提供的一种蜜罐识别场景示意图。如图2a所示的终端设备20a可以为用户所使用的设备,该终端设备20a可以集成有蜜罐识别功能;图2a所示的当前显示界面为蜜罐检测页面20b,在该蜜罐检测页面20b中可以显示地址输入区域20c、“取消”控件以及“确定”控件,其中地址输入区域20c可以用于输入一个或多个待识别的IP地址,地址输入区域20c中输入多个IP地址时,可以在该地址输入区域
20c中进行换行分隔。当用户对蜜罐检测页面20b中的地址输入区域20c执行触发操作,并在该地址输入区域20c中输入目标IP地址(192.168.1.1)时,终端设备20a可以响应针对地址输入区域20c的触发操作,在该地址输入区域20c中显示用户所输入的目标IP地址:
192.168.1.1。
20c中进行换行分隔。当用户对蜜罐检测页面20b中的地址输入区域20c执行触发操作,并在该地址输入区域20c中输入目标IP地址(192.168.1.1)时,终端设备20a可以响应针对地址输入区域20c的触发操作,在该地址输入区域20c中显示用户所输入的目标IP地址:
192.168.1.1。
[0086] 在用户完成目标IP地址的输入操作后,可以对蜜罐检测页面20b中的“确定”控件执行触发操作(例如,点击操作),此时的终端设备20a可以响应针对“确定”控件的触发操作,可以获取地址输入区域20c中所输入的目标IP地址:192.168.1.1,通过网络空间测绘对目标IP地址(192.168.1.1)进行蜜罐识别,得到目标IP地址(192.168.1.1)对应的蜜罐识别结果为:蜜罐,此时可以在蜜罐检测页面20b中显示该蜜罐识别结果以及对应的端口(端口号为22),即通过终端设备20a检测得到该目标IP地址(192.168.1.1)为蜜罐。在针对目标IP地址(192.168.1.1)的整个蜜罐识别过程中,用户只需在蜜罐检测页面中输入上述目标IP地址(192.168.1.1)就可以自动化获取其蜜罐识别结果,可以减少用户的繁琐操作,进而可以提高针对目标IP地址的蜜罐识别效率。
[0087] 其中,终端设备20a对上述目标IP地址(192.168.1.1)的蜜罐识别过程可以包括:如图2b所示,终端设备20a获取到目标IP地址(192.168.1.1)后,可以对目标IP地址
(192.168.1.1)进行分析,以得到该目标IP地址(192.168.1.1)对应的地址关键信息,其中地址关键信息可以包括目标IP地址(192.168.1.1)的地理区域位置信息(例如,大洲、国家、省、市、区县等信息)、持有者信息(例如,所属运营商、所有者等信息)以及安全标签等。与此同时,终端设备20a可以获取目标IP地址(192.168.1.1)对应的端口集合20d,由于IP地址的端口号可以用两个字节(16位的二进制数)来表示,因此该端口集合20d可以包括65536个端口号,其取值范围是0至65535,即上述目标IP地址(192.168.1.1)可以对应65536个端口。需要说明的是,通过IP地址可以连接到目标计算机,若想要访问目标计算机中的服务(或者为应用程序),还需要指定端口号,不同的服务是通过端口号区分的;IP地址可以用于唯一标识一台计算机,一个IP地址可以对应65536个端口号,其中0至1023之间的端口号可以用于一些常用的网络服务和应用,用户的普通应用可以使用1024以上的端口号,进而可以避免端口号被另一个应用或服务所占用。
(192.168.1.1)进行分析,以得到该目标IP地址(192.168.1.1)对应的地址关键信息,其中地址关键信息可以包括目标IP地址(192.168.1.1)的地理区域位置信息(例如,大洲、国家、省、市、区县等信息)、持有者信息(例如,所属运营商、所有者等信息)以及安全标签等。与此同时,终端设备20a可以获取目标IP地址(192.168.1.1)对应的端口集合20d,由于IP地址的端口号可以用两个字节(16位的二进制数)来表示,因此该端口集合20d可以包括65536个端口号,其取值范围是0至65535,即上述目标IP地址(192.168.1.1)可以对应65536个端口。需要说明的是,通过IP地址可以连接到目标计算机,若想要访问目标计算机中的服务(或者为应用程序),还需要指定端口号,不同的服务是通过端口号区分的;IP地址可以用于唯一标识一台计算机,一个IP地址可以对应65536个端口号,其中0至1023之间的端口号可以用于一些常用的网络服务和应用,用户的普通应用可以使用1024以上的端口号,进而可以避免端口号被另一个应用或服务所占用。
[0088] 进一步地,终端设备20a可以依次对端口集合20d中所包含的0‑65535端口进行端口开放探测,得到65536个端口分别对应的开放状态;例如,端口0的开放状态为:未开放状态,端口1的开放状态为:未开放状态,端口2的开放状态为:未开放状态,端口3的开放状态为:已开放状态,……,端口65535的开放状态为:未开放状态。终端设备20a可以将处于已开放状态的端口确定为开放端口,以获取目标IP地址(192.168.1.1)对应的开放端口列表20e,如该开放端口列表20e可以包括:开放端口3、开放端口22、……、开放端口808。进而可以对目标IP地址(192.168.1.1)和开放端口列表20e中的开放端口进行指纹探测分析,获取开放端口列表20e中的每个开放端口分别对应的端口指纹信息,如端口3对应的端口指纹信息可以包括:目标IP地址(192.168.1.1)、端口3以及服务类型1(即端口3的服务所对应的服务类型),端口22对应的端口指纹信息可以包括:目标IP地址(192.168.1.1)、端口22以及服务类型2,端口808对应的端口指纹信息可以包括:目标IP地址(192.168.1.1)、端口808以及服务类型3。
[0089] 进一步地,当开放端口22所对应的端口指纹信息中的服务类型2属于账号登录服务类型(需要账号密码进行登录的服务)时,可以通过大量的账号密码组合对端口22的服务进行不断地登录尝试,直至获取成功登录端口22的服务的账号密码,使用可登录的账号密码登录端口22的服务,以获取该端口22的系统环境信息。可选的,当开放端口808所对应的端口指纹信息中的服务类型3属于账号登录服务类型时,同样需要通过大量的账号密码组合对端口808的服务进行登录尝试,若最终无法获得成功登录端口808的服务的账号密码,则无法获取已登录的端口808的系统环境信息。当然,当开放端口3所对应的端口指纹信息中的服务类型1为非账号登录服务类型(无需账号密码登录的服务)时,无需进行账号密码组合的登录尝试。
[0090] 终端设备20a可以将地址关键信息、开放端口列表20e、开放端口列表20e中每个开放端口分别对应的端口指纹信息、可登录的账号密码以及系统环境信息进行汇总,获得目标IP地址(192.168.1.1)对应的网络空间测绘数据,通过对网络空间测绘数据进行数据分析,得到目标IP地址(192.168.1.1)对应的蜜罐识别结果为:蜜罐结果,并在蜜罐检测页面20b中显示该蜜罐结果。
[0091] 请参见图3,图3是本申请实施例提供的一种基于网络空间测绘的蜜罐识别方法的流程示意图。可以理解地,该基于网络空间测绘的蜜罐识别方法可以由计算机设备执行,该计算机设备可以为终端设备,或者为服务器,或者为终端设备和服务器所组成的系统,或者为计算机程序产品或计算机程序(包括程序代码)。如图3所示,该基于网络空间测绘的蜜罐识别方法可以包括以下步骤:
[0092] 步骤S101,在蜜罐检测页面中获取目标网际协议地址,对目标网际协议地址对应的端口集合进行端口开放探测,在端口集合中获取目标网际协议地址对应的一个或多个开放端口。
[0093] 具体的,在网络安全评估过程中,若用户想要检测IP地址是否为蜜罐,则该用户可以在计算机设备(例如,上述图2a所对应实施例中的终端设备20a)的蜜罐检测页面(例如,上述图2a所对应实施例中的蜜罐检测页面20b)中输入需要检测的目标IP地址(目标网际协议地址),其中蜜罐检测页面可以为客户端所提供的用于检测蜜罐的页面,也可以为浏览器中用于检测蜜罐的网页,该蜜罐检测页面可以包括地址输入区域,该地址输入区域可以用于显示用户所输入的目标IP地址。其中,用户在地址输入区域中所输入的目标IP地址的数量可以为一个或者多个,当用户在地址输入区域中输入多个目标IP地址时,可以在地址输入区域中以换行的形式对多个目标IP地址进行分隔展示;当然,还可以在地址输入区域中以分号的形式对多个目标IP地址进行分隔展示。
[0094] 当用户在地址输入区域中完成目标IP地址的输入操作,且对蜜罐检测页面中的“确定”控件执行触发操作时,计算机设备可以在蜜罐检测页面的地址输入区域中,获取用户输入的目标IP地址,进而可以获取目标IP地址对应的端口集合(例如,上述图2b所对应实施例中的端口集合20d),该端口集合可以包括65536个端口,端口号的取值范围为0‑65535。
计算机设备可以依次对端口集合中所包含的65536个端口进行端口开放探测,得到每个端口分别对应的开放状态,将开放状态为已开放状态的端口确定为开放端口,进而可以在端口集合中获取目标IP地址对应的一个或多个开放端口(例如,上述图2b所对应实施例的开放端口列表20e中所包含的开放端口)。
计算机设备可以依次对端口集合中所包含的65536个端口进行端口开放探测,得到每个端口分别对应的开放状态,将开放状态为已开放状态的端口确定为开放端口,进而可以在端口集合中获取目标IP地址对应的一个或多个开放端口(例如,上述图2b所对应实施例的开放端口列表20e中所包含的开放端口)。
[0095] 步骤S102,对目标网际协议地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息。
[0096] 具体的,在获取到目标IP地址对应的一个或多个开放端口后,计算机设备可以对目标IP地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,该端口指纹信息的数据结构字段可以包括目标IP地址、开放端口以及该开放端口对应的服务类型。其中,计算机设备可以在网络上通过一个或多个端口向目标IP地址发送特定数据(例如,“\r\n\r\n”字符等),该目标IP地址所对应的目标服务器可以返回针对该特定数据的应答数据(例如,“a001”字段),计算机设备可以通过对应答数据进行特征分析,可以得到一个或多个端口分别对应的服务类型。
[0097] 步骤S103,根据端口指纹信息中的服务类型,将服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息。
[0098] 具体的,在上述一个或多个开放端口中,不同的开放端口可以用于区分不同的服务,也就是说,不同的开放端口可以对应不同的服务类型,该服务类型可以包括账号登录服务类型和非账号登录服务类型;计算机设备可以将服务类型为账号登录服务类型的开放端口确定为目标开放端口,进而可以通过大量的账号密码对目标开放端口的服务进行不断地登录尝试(大量账号密码的登录尝试过程可以称为暴力破解过程),将成功登录的账号密码组合确定为目标开放端口对应的账号登录信息。
[0099] 例如,目标IP地址对应的一个或多个开放端口可以包括:端口2、端口6、端口20,端口2对应的端口指纹信息中的服务类型为账号登录服务类型,端口6对应的端口指纹信息中的服务类型为非账号登录服务类型,端口20对应的端口指纹信息中的服务类型为账号登录服务类型;计算机设备可以将端口2和端口20确定为目标开放端口,使用大量的账号密码对端口2的服务进行不断地登录尝试后,可以确定成功登录的账号密码,并将成功登录的账号密码确定为端口2对应的账号登录信息;同理,计算机设备还可以获取端口20对应的账号登录信息。
[0100] 步骤S104,根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定目标开放端口对应的系统环境信息。
[0101] 具体的,在获取到目标开放端口对应的账号登录信息后,计算机设备可以使用账号登录信息中的账号和密码,登录目标开放端口的服务,根据目标IP地址和目标开放端口,向目标服务器发送目标操作指令,以使目标服务器执行该目标操作指令;获取目标服务器返回的针对目标操作指令的指令执行结果,进而可以将目标IP地址、目标开放端口、该目标开放端口对应的服务类型、账号登录信息、目标操作指令以及指令执行结果,确定系统环境信息。换言之,目标服务器在接收到计算机设备发送的目标操作指令后,可以在该目标服务器中执行目标操作指令,得到该目标操作指令对应的指令执行结果,并将指令执行结果返回至计算机设备,以获取目标开放端口对应的系统环境信息。
[0102] 步骤S105,将目标网际协议地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标网际协议地址对应的网络空间测绘数据,对网络空间测绘数据进行数据分析,得到目标网际协议地址对应的第一蜜罐识别结果。
[0103] 具体的,计算机设备在获取到目标IP地址后,可以对目标IP地址进行分析得到地址关键信息,该地址关键信息可以是指目标IP地址的基础信息,如地理区域位置信息、持有者信息以及安全标签等信息。计算机设备可以将地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标IP地址对应的网络空间测绘数据。
[0104] 步骤S106,根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标网际协议地址对应的第一蜜罐识别结果;K种蜜罐识别策略用于识别不同类型的蜜罐,K为正整数。
[0105] 具体的,计算机设备在获取到网络空间测绘数据后,可以获取识别策略集合中所包含的K种蜜罐识别策略,该K种蜜罐识别策略可以用于识别不同类型的蜜罐,K为正整数,如K可以取值为1,2,……;进而可以依次采用K种蜜罐识别策略对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K种蜜罐识别策略分别对应的分析结果,可以确定目标IP地址对应的第一蜜罐识别结果,并在蜜罐检测页面中对第一蜜罐识别结果进行展示。其中,第一蜜罐识别结果可以包括蜜罐结果和未确定结果,当K种蜜罐识别策略所对应的分析结果中存在蜜罐结果时,可以确定目标IP地址的第一蜜罐识别结果为蜜罐结果,当K种蜜罐识别策略所对应的分析结果中不存在蜜罐结果,即K种蜜罐识别策略所对应的分析结果均为未确定结果时,无法确定目标IP地址是否为蜜罐,因此此时的第一蜜罐识别结果为未确定结果。可选的,每种蜜罐识别策略所对应的分析结果可以为目标IP地址是蜜罐的概率,通过对K个分析结果中的概率进行加权求和,可以确定目标IP地址对应的第一蜜罐识别结果,即最终的第一蜜罐识别结果可以将K种蜜罐识别策略分别对应的分析结果均作为考虑因素。
[0106] 可选的,当目标IP地址的数量为多个时,可以同时对多个目标IP地址进行蜜罐识别,得到多个目标IP地址分别对应的第一蜜罐识别结果,并在蜜罐检测页面中对多个目标IP地址分别对应的第一蜜罐识别结果进行展示,请一并参见图4,图4是本申请实施例提供的一种蜜罐识别界面图。如图4所示的终端设备30a可以为用户所使用的设备(即计算机设备),该终端设备30a可以集成有蜜罐识别功能;图4所示的当前显示界面为蜜罐检测页面30b,在该蜜罐检测页面30b中可以显示地址输入区域30c、“取消”控件以及“确定”控件,当用户对蜜罐检测页面30b中的地址输入区域30c执行触发操作,并在该地址输入区域30c中输入目标IP地址(192.168.1.1以及192.168.1.3)时,终端设备30a可以响应针对地址输入区域30c的触发操作,在该地址输入区域30c中显示用户所输入的目标IP地址:192.168.1.1以及192.168.1.3。
[0107] 在用户完成目标IP地址的输入操作后,可以对蜜罐检测页面30b中的“确定”控件执行触发操作(例如,点击操作),此时的终端设备30a可以响应针对“确定”控件的触发操作,可以获取地址输入区域30c中所输入的目标IP地址:192.168.1.1以及192.168.1.3,通过网络空间测绘对目标IP地址(192.168.1.1)和目标IP地址(192.168.1.3)分别进行蜜罐识别,得到目标IP地址(192.168.1.1)对应的第一蜜罐识别结果为:蜜罐结果,目标IP地址(192.168.1.3)对应的第一蜜罐识别结果同样为:蜜罐结果。此时可以在蜜罐检测页面30b中同时显示目标IP地址(192.168.1.1)对应的第一蜜罐识别结果(蜜罐结果)及其对应的端口(端口号为22),以及目标IP地址(192.168.1.3)对应的第一蜜罐识别结果(蜜罐结果)及其对应的端口(端口号为25)。换言之,通过终端设备30a检测得到该目标IP地址
(192.168.1.1)和目标IP地址(192.168.1.3)均为蜜罐。
(192.168.1.1)和目标IP地址(192.168.1.3)均为蜜罐。
[0108] 本申请实施例中,在对目标IP地址进行蜜罐识别时,可以通过网络空间测绘对目标IP地址进行分析,同时汇总网络空间测绘过程中的数据(即上述网络空间测绘数据)进行综合分析,以确定目标IP地址的蜜罐识别结果,可以提高蜜罐的识别准确性;同时,用户只需在蜜罐检测页面中输入目标IP地址,就可以得到该目标IP地址的蜜罐识别结果,可以减少用户的繁琐操作,进而可以提高针对目标IP地址的蜜罐识别效率。
[0109] 请参见图5,图5是本申请实施例提供的一种基于网络空间测绘的蜜罐识别方法的流程示意图。可以理解地,该基于网络空间测绘的蜜罐识别方法可以由计算机设备执行,该计算机设备可以为终端设备,或者为服务器,或者为终端设备和服务器所组成的系统,或者为计算机程序产品或计算机程序(包括程序代码)。如图5所示,该基于网络空间测绘的蜜罐识别方法可以包括以下步骤:
[0110] 步骤S201,获取蜜罐检测页面中所输入的目标IP地址。
[0111] 具体的,当用户在蜜罐检测页面的地址输入区域中输入需要识别的目标IP地址,并对蜜罐检测页面中的“确定”控件执行触发操作时,计算机设备可以响应针对“确定”控件的触发操作,从蜜罐检测页面的地址输入区域中获取用户所输入的目标IP地址。
[0112] 步骤S202,通过目标IP地址关联的信息查询接口,在网络信息机构中对目标IP地址进行分析。
[0113] 具体的,计算机设备在获取到目标IP地址后,可以获取目标IP地址所对应的信息查询接口,其中,该信息查询接口可以是公开的,通过接入该信息查询接口,可以在网络信息机构中对目标IP地址进行分析,以获取目标IP地址对应的地址关键信息。例如,网络信息机构可以对外部提供查询服务,该网络信息机构可以为中国互联网网络信息中心(China Internet Network Information Center,CNNIC),通过CNNIC为外部提供的查询服务,在该CNNIC中查询得到目标IP地址对应的地址关键信息。
[0114] 步骤S203,在网络信息机构中获取目标IP地址对应的地理区域位置信息、持有者信息、安全标签,将地理区域位置信息、持有者信息以及安全标签,确定为目标IP地址对应的地址关键信息。
[0115] 具体的,计算机设备通过信息查询接口,从网络信息机构中获取目标IP地址对应的地址关键信息;其中,地址关键信息可以包括地理区域位置信息、持有者信息以及安全标签,地理区域位置信息可以包括:大洲、国家、省、市、区县、经度、维度、邮编、AS号码(Autonomous System Number,自治系统号码)等信息,持有者信息可以包括:运营商、所有者等信息。
[0116] 举例来说,目标IP地址对应的地址关键信息可以为:{“大洲”:“亚洲”,“国家”:“中国”,“省”:“北京”,“市”:“北京”,“区县”:“北京”,“经度”:“01.000001”,“纬度”:“01.000001”,“邮编”:“000001”,“AS号码”:“AS0001”,“运营商”:“CTB”,“安全标签”:
“BOT”,“所有者”:“GG”}。
“BOT”,“所有者”:“GG”}。
[0117] 步骤S204,对目标IP地址对应的端口集合进行端口开放探测,在端口集合中获取目标IP地址对应的一个或多个开放端口。
[0118] 具体的,计算机设备可以获取目标网际协议地址(IP地址)对应的0‑65535端口,此时的0‑65535端口可以构成目标IP地址对应的端口集合,通过依次对目标IP地址的0‑65535端口进行端口开放探测,以获取开放端口列表,该端口列表可以包括一个或多个开放端口。计算机设备对端口集合中的任意一个端口i进行端口开放探测时,可以向端口集合中的端口i发送连接请求,其中i为小于端口集合对应的端口数量的非负整数,如i为0‑65535范围内的数值;若计算机设备接收到端口i返回的连接确认数据,则将端口i的开放状态确定为已开放状态;在端口集合中将开放状态为已开放状态的端口,确定为目标IP地址对应的一个或多个开放端口,此处的一个或多个开放端口可以构成开放端口列表。当然,若计算机设备未接收到端口i返回的连接确认数据,则将端口i的开放状态确定为未开放状态,则无需对处于未开放状态的端口执行后续处理,减少计算机设备的数据处理压力,进而可以提高蜜罐识别的处理效率。
[0119] 其中,计算机设备获取一个或多个开放端口的方式可以包括全连接扫描(Transmission Control Protocol Connect,TCP连接)、半连接扫描(TCP SYN)以及无状态端口扫描。其中,全连接扫描可以是指由计算机设备(探测方)发起的、并尝试进行一次完整的TCP连接的探测服务,若计算机设备与端口集合中的任一端口i之间建立了完整的握手过程,则表示该端口i的开放状态为已开放状态,此时的端口i可以确定为开放端口;若计算机设备与端口集合中的端口i之间未能建立完整的握手过程,则表示该端口i的开放状态为未开放状态。需要说明的是,全连接扫描方式可以依靠多线程并发技术即可实现高效率的端口探测,在实现方式上很容易实现;当系统主机的硬件CPU(Central Processing Unit,中央处理单元)、内存以及网络带宽满足质量要求,且需要扫描的端口数量小于数量阈值时,可以使用上述全连接扫描的方式进行端口开放探测,进而可以提高端口的扫描效率。当需要扫描的端口数量大于或等于数量阈值时,由于全连接扫描方式需要使用TCP/IP
(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)协议
栈,同一时刻可以保持连接的端口数量会受到限制。
(Transmission Control Protocol/Internet Protocol,传输控制协议/网际协议)协议
栈,同一时刻可以保持连接的端口数量会受到限制。
[0120] 可选的,半连接扫描是利用三次握手的特点专门设计的。通过向端口集合中的任一端口i发送一个探测数据包请求建立SYN(Synchronize Sequence Numbers,同步序列编号,可以理解为同步标志)连接,若没有收到SYN/ACK(Acknowledgement Number,确认编号,可以理解为确认标志)确认报文,而是收到了RST(Reset,可以理解为重置连接、复位连接)数据报文,则可以确定该端口i并没有打开,即该端口i的开放状态为未开放状态。若收到了SYN/ACK确认报文,则可以确定端口i开放,即该端口i的开放状态为已开放状态,且不再回复SYN数据包完成三次握手,而是发送RST数据包终止此次连接请求。相较于全连接扫描方式,在半连接扫描方式中,未完成的连接不会被目标IP地址所对应的目标服务器所感知,进而不会留下建立连接的记录,从而保证了扫描的隐蔽性;半连接扫描方式可以通过及时终止连接的方式,可以弥补全连接扫描方式中的协议栈连接数的限制问题,进而大大加快了扫描的速度。当然,半连接扫描方式在实现上比全连接扫描方式要复杂,还需要根据连接状态构造新的状态位数据包。
[0121] 可选的,计算机设备还可以使用无状态端口扫描方式对端口集合中的端口进行扫描,该无状态端口扫描方式可以用于解决协议栈连接数的受限问题。无状态端口扫描方式中的无状态可以是指操作系统无需关心TCP连接的状态,当采用无状态端口扫描方式探测所建立的连接时,可以不再占用操作系统的TCP/IP协议栈资源,而是应用程序在底层直接进行管理和维持,不需要操作系统对连接状态进行会话组包,在实现上,可以把关键的状态位及数据信息通过程序直接放在数据包的本身。通过无状态端口扫描方式,可以同时保持的连接数已经不再受限于操作系统。通过自身设计的系统直接从底层进行数据组包,并对连接进行维持和管理,连接数量的限制由应用程序决定。相对于操作系统来说,连接数量上限得到了巨大的提升,从而使扫描速度得到了极大的提高。总而言之,无状态端口扫描方式可以不依赖协议栈,也不需要有握手的独立发包收包逻辑。需要说明的是,在实际应用场景中可以根据实际需求选择合适的扫描方式,本申请对端口扫描方式不做限定。
[0122] 在对端口集合中的端口进行端口开放探测的过程中,可以对端口开放探测过程中的数据进行记录,所记录的数据结构字段可以包括目标IP地址、端口以及端口的开放状态,进而可以从端口集合中获取处于已开放状态的一个或多个开放端口。
[0123] 步骤S205,根据目标IP地址和一个或多个开放端口,向目标服务器发送目标数据。
[0124] 具体的,计算机设备可以根据目标网际协议地址(IP地址)和一个或多个开放端口,向目标服务器发送目标数据(针对端口的特定数据),如可以在网络上分别通过一个或多个开放端口,向目标IP地址所对应的目标服务器发送目标数据;目标服务器在接收到计算机设备发送的目标数据后,可以通过接收到目标数据的开放端口,向计算机设备返回该目标数据对应的应答数据。
[0125] 步骤S206,接收目标服务器返回的针对目标数据的应答数据,对应答数据进行特征分析,得到一个或多个开放端口分别对应的服务类型。
[0126] 具体的,计算机设备可以接收目标服务器返回的应答数据,通过对应答数据进行特征分析,可以得到每个开放端口分别对应的服务类型。其中,对于不同的开放端口,计算机设备可以发送不同的特定数据,相应地,目标服务器也可以返回不同的应答数据,通过对各个开放端口分别对应的应答数据进行特征分析,可以得到每个开放端口分别对应的服务类型。
[0127] 步骤S207,将目标IP地址、一个或多个开放端口以及服务类型,确定为端口指纹信息。
[0128] 具体的,计算机设备可以记录指纹探测分析过程中的端口指纹数据,每个端口所对应的端口指纹数据的数据结构字段可以包括目标IP地址、端口以及该端口对应的服务类型。举例来说,若向目标服务器发送的目标数据为“\r\n\r\n”字符,返回的应答数据为“a001”字段,则可以根据应答数据“a001”字段得到端口的服务类型,以获取端口指纹信息。
[0129] 步骤S208,根据端口指纹信息中的服务类型,对一个或多个开放端口进行分类得到M个开放端口组。
[0130] 具体的,计算机设备可以根据端口指纹信息中的服务类型,对一个或多个开放端口进行分类,得到M个开放端口组,其中一个开放端口组中所包含的开放端口具有相同的服务类型,M为正整数,如M可以取值为1,2,……。例如,当服务类型包括账号登录服务类型和非账号登录服务类型时,可以将一个或多个开放端口进行分类,得到两个开放端口组(此时的M可以取值为2),其中一个开放端口组可以包括服务类型属于账号登录服务类型的所有开放端口,另外一个开放端口组可以包括服务类型属于非账号登录服务类型的所有开放端口。可选的,当服务类型包括服务类型1、服务类型2、服务类型3以及服务类型4时,可以将一个或多个开放端口划分为4个开放端口组(此时的M可以取值为4),同一个开放端口组中所包含的开放端口均属于相同的服务类型。
[0131] 步骤S209,在M个开放端口组中,将服务类型为账号登录服务类型的开放端口组中所包含的开放端口确定为目标开放端口。
[0132] 具体的,计算机设备可以在M个开放端口组中,选择账号登录服务类型所对应的开放端口组中的开放端口,确定为目标开放端口,即可以依次对一个或多个开放端口对应的服务类型进行遍历,可以从一个或多个端口中筛选出需要账号密码进行登录的端口,并将筛选出的开放端口作为目标开放端口,目标开放端口所对应的服务类型均为账号登录服务类型,其中账号登录服务类型可以包括但不限于:ssh(Secure Shell,安全壳协议,是指建立在应用层和传输层基础上的安全协议),mysql(关系型数据库管理系统),ftp(File Transfer Protocol,文件传输协议)。
[0133] 步骤S210,将账号密码字典中所包含的账号和密码进行组合,得到N个账号密码组合,分别采用N个账号密码组合登录目标开放端口的服务,将登录成功的账号密码组合确定为目标开放端口对应的账号登录信息。
[0134] 具体的,计算机设备可以获取账号密码字典,该账号密码字典可以常用的账号和常用的密码,进而可以将账号密码字典中所包含的账号和密码进行组合,得到N个账号密码组合,其中N为正整数,如N可以取值为1,2,……。目标开放端口的数量可以为一个或多个,对于每一个目标开放端口,均可以采用N个账号密码组合尝试登录该目标开放端口的服务,获取可以成功登录该目标开放端口的账号密码组合,此时的账号密码组合即为该目标开放端口对应的账号登录信息。换言之,为了确定可成功登录目标开放端口服务的账号密码,可以使用账号密码字典进行账号密码的暴力破解,该暴力破解的过程可以包括:对账号密码字典中所包含的常用账号和常用密码进行组合,得到N个账号密码组合,使用N个账号密码组合对目标开放端口的服务进行不断地登录尝试,将可以成功登陆的账号密码组合确定为目标开放端口的账号登录信息。
[0135] 举例来说,账号密码字典可以包括账号1、账号2、账号3、密码1、密码2以及密码3,通过对账号密码字典中的账号和密码进行组合所得到的N个账号密码组合可以包括:账号1+密码1、账号1+密码2、账号1+密码3、账号2+密码1、账号2+密码2、账号2+密码3、账号3+密码1、账号3+密码2、账号3+密码3。
[0136] 可选的,为了提高暴力破解的速度,可以使用分布式和多线程的方式进行N个帐号密码组合的登录尝试。其中,分布式指的是将一个复杂任务从单一系统,拆解为多个系统的功能实现方式。本申请实施例中,可以将N个账号密码组合的登录尝试任务拆解成多个分布式子系统来实现,这样保证了单一系统出现故障后并不会导致全局任务的失败,可以提高暴力破解结果的成功率。在进行账号密码组合登录尝试的每个分布式子系统中,仍然可以被分派大量的登录尝试任务,通过多线程并行的方式可以大大加快帐号密码组合登录尝试成功的速度。
[0137] 其中,进行账号密码组合的暴力破解过程中,可以对暴力破解过程中的数据进行记录,所记录的数据结构字段可以包括目标IP地址、目标开放端口、目标开放端口对应的服务类型以及账号登录信息。
[0138] 步骤S211,根据账号登录信息中的账号和密码,登录目标开放端口的服务,根据目标IP地址和目标开放端口,向目标服务器发送目标操作指令,以使目标服务器执行目标操作指令。
[0139] 具体的,计算机设备通过暴力破解得到目标开放端口对应的账号登录信息后,可以使用账号登录信息中的账号和密码,登录对应的目标开放端口,通过目标开放端口,可以向目标IP地址所对应的目标服务器发送目标操作指令;目标服务器接收到计算机设备发送的目标操作指令后,可以在该目标服务器中执行目标操作指令,以得到该目标操作指令对应的指令执行结果。其中,该目标操作指令可以是计算机设备通过目标开放端口向目标服务器发送的指令,目标服务器在执行目标操作指令后可以向计算机设备返回指令执行结果。
[0140] 步骤S212,获取目标服务器返回的针对目标操作指令的指令执行结果,将目标IP地址、目标开放端口、目标开放端口对应的服务类型、账号登录信息、目标操作指令以及指令执行结果,确定为系统环境信息。
[0141] 具体的,计算机设备可以接收目标服务器返回的针对目标操作指令的指令执行结果,根据目标操作指令,以及该目标操作指令对应的指令执行结果,可以确定目标开放端口对应的系统环境信息。其中,系统环境信息的数据结构字段可以包括目标IP地址、目标开放端口、该目标开放端口对应的服务类型、账号登录信息、目标操作指令以及指令执行结果。
[0142] 步骤S213,根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标IP地址对应的第一蜜罐识别结果。
[0143] 具体的,计算机设备可以将上述步骤S202‑步骤S212所获得的所有数据进行汇总,得到目标IP地址对应的网络空间测绘数据,即可以将目标IP地址对应的地址关键信息、一个或多个开放端口、一个或多个端口所对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标IP地址对应的网络空间测绘数据。计算机设备可以获取识别策略集合中所包含的K种蜜罐识别策略,采用K种蜜罐识别策略分别对网络空间测绘数据进行数据分析,可以得到K种蜜罐识别策略分别对应的分析结果,其中K种蜜罐识别策略可以用于识别不同类型的蜜罐,K为正整数,如K可以取值为1,2,……;若K种蜜罐识别策略中存在蜜罐识别策略的分析结果为蜜罐结果,则将蜜罐结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示蜜罐结果;若K种蜜罐识别策略所对应的分析结果均为未确定结果,即K种蜜罐识别策略所对应的分析结果中不存在蜜罐结果,则将未确定结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示未确定结果。其中,K种蜜罐识别策略可以包括但不限于:IP协议指纹识别策略、web(网页)协议指纹识别策略、特殊URL(Uniform Resource Location,统一资源定位符)判断策略、服务类型和IP特征结合判断策略、端口开放数判断策略、服务指纹数判断策略、协议缺陷判断策略、服务环境信息识别策略。
[0144] 其中,IP协议指纹识别策略可以是指:在IP协议层,可以对目标服务器发送特定的字符,通过返回的字段可以判断目标IP地址的蜜罐类型。
[0145] web协议指纹识别策略可以是指:在HTTP(Hypertext Transfer Protocol,超文本传输协议)服务层,访问目标IP地址的端口服务,当返回的HTTP内容中包含有标识自身特征的信息,可以根据返回的HTTP内容用来判断服务是否为蜜罐以及蜜罐的类型。
[0146] 特殊URL判断策略可以是指:除了可以将HTTP站点的内容中的特征字符作为蜜罐判断依据之外,一些特殊的URL链接可以被用来判断是否是蜜罐及蜜罐类型。
[0147] 服务类型和IP特征结合判断策略可以是指:智能设备的服务都是家庭使用,通常存在于运营商网络。若智能设备服务IP地址属于云服务商,则该服务可能为蜜罐。通常地,在云服务商网络中不可能出现的服务可以包括工控业务系统,路由器,交换机,硬件负载均衡设备,虚拟化设备等。
[0148] 端口开放数判断策略可以是指:计算机设备可以在网络空间测绘数据中统计一个或多个开放端口所对应的端口开放数量,获取端口开放数判断策略对应的端口数量阈值;当端口开放数量大于端口数量阈值时,确定端口开放数判断策略对应的分析结果为蜜罐结果;当端口开放数量小于或等于端口数量阈值时,确定端口开放数判断策略对应的分析结果为未确定结果。换言之,在正常服务器上,通常可以在一个服务器中运行一个服务,或者少量服务,因此正常服务器上开放的端口数量不会超过端口数量阈值;当在网络空间测绘数据中统计得到目标IP地址上开放的端口数量超过端口数量阈值时,可以确定该目标IP地址的蜜罐识别结果为蜜罐结果;当目标IP地址上开放的端口数量小于或等于端口数量阈值时,可以确定目标IP地址的蜜罐识别结果为未确定结果。
[0149] 服务指纹数判断策略可以是指:正常服务器上的一个端口通常绑定一个服务,当从一个端口中捕获到大量的服务指纹信息时,可以确定目标IP地址所对应的目标服务器为蜜罐。
[0150] 协议缺陷判断策略可以是指:计算机设备可以在网络空间测绘数据中获取目标网际协议地址对应的服务协议,向目标服务器发送服务协议对应的目标命令字符;接收目标服务器返回的针对目标命令字符的协议应答特征,若检测到协议应答特征不满足协议标准中的标准应答特征,则将协议应答特征确定为协议缺陷特征;当协议缺陷特征符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为蜜罐结果;当协议缺陷特征不符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为未确定结果。由于蜜罐对外展示的服务协议是独立模拟的,并没有按照协议标准方式进行实现,模拟实现过程中存在一些协议缺陷特征,这些协议缺陷特征可以用于蜜罐。其中,具有协议权限检测的协议可以包括但不限于:ssh协议、adb协议(Android Debug Bridge,调试桥)、http协议、snmp协议(Simple Network Management Protocol,简单网络管理协议)、ipmi协议(Intelligent Platform Management Interface,智能平台管理接口)、pop3协议(Post Office Protocol version3,邮局协议第3版)、imap协议(Internet Message Access Protocol,互联网邮件访问协议)。ssh协议可以用于多用户会话协议冲突特征检测,adb协议可以用于特殊指令异常协议特征检测,http协议可以用于异常参数错误处理协议特征检测,snmp协议可以用于身份认证逻辑交互协议缺陷特征检测,ipmi协议可以用于连接重置信令异常协议特征检测,pop3协议可以用于特殊指令异常协议特征检测,imap协议可以用于特殊指令异常协议特征检测。
[0151] 服务环境信息识别策略可以是指:在可以登录的端口服务中,可以通过执行一些特殊命令观察命令执行结果来判断当前所在的目标服务器是否是蜜罐,比如查看系统用户名,查看内存信息,查看数据库中的业务数据等。
[0152] 可选的,当计算机设备检测到目标蜜罐识别策略时,将目标蜜罐识别策略添加至识别策略集合;若在蜜罐检测页面中获取到待识别网际协议地址,则采用识别策略集合中的(K+1)种蜜罐识别策略,分别对待识别网际协议地址所对应的待识别网络测绘数据进行蜜罐识别,得到(K+1)种蜜罐识别策略分别对应的分析结果;(K+1)种蜜罐识别策略包括目标蜜罐识别策略;根据(K+1)种蜜罐识别策略分别对应的分析结果,得到待识别网际协议地址对应的第二蜜罐识别结果。换言之,上述识别策略集合可以实时增加新的蜜罐识别策略,当检测到新的目标蜜罐识别策略时,可以将目标蜜罐识别策略添加至识别策略集合,此时的识别策略集合可以包括(K+1)种蜜罐识别策略;后续在获取到待识别IP地址时,可以依次采用上述(K+1)种蜜罐识别策略对待识别IP地址的待识别网络测绘数据进行分析,以确定待识别IP地址的第二蜜罐识别结果。该待识别IP地址的蜜罐识别过程与上述目标IP地址的蜜罐识别过程相同,只是增加了一种新的目标蜜罐识别策略,这里不再赘述。本申请实施例中,识别策略集合可以进行实时更新,以确保识别策略集合中所包含的蜜罐识别策略更全面,进而提高IP地址的蜜罐识别准确性。
[0153] 步骤S214,当第一数据库作为提供读写服务的主库时,可以将网络空间测绘数据和第一蜜罐识别结果写入第一数据库中,将第一数据库中所存储的数据同步备份至第二数据库。
[0154] 具体的,对于目标IP地址所对应目标服务器中的所有配置信息和数据,可以采用一个主库一个备库的方式进行保存,可以确保数据不会丢失,如可以采用两个数据库用来存储蜜罐识别过程中的所有数据,如目标IP地址、地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息、蜜罐识别结果;其中一个数据库可以作为提供读写服务的主库,另一个数据库可以作为用于备份数据的备库,当第一数据库作为主库时,可以将目标IP地址对应的网络空间测绘数据和第一蜜罐识别结果写入第一数据库中,第一数据库中所存储的数据均可以同步备份至第二数据库。
[0155] 步骤S215,若第一数据库出现故障,则关闭第一数据库的读写服务,将第二数据库切换为提供读写服务的主库,中断第一数据库与第二数据库之间的数据同步备份。
[0156] 具体的,在第一数据库作为主库对外提供读写服务的过程中,若第一数据库出现故障,则该第一数据库无法再对外提供数据读写服务,该数据读写服务可以由第二数据库来承担,此时可以中断第一数据库和第二数据库之间的数据同步备份。换言之,第一数据库出现故障时,该第一数据库可以停止原本的读写服务,而该第一数据库原本的读写服务由第二数据库来承担,当然,在第二数据库承担数据读写服务时可以停止数据备份服务。
[0157] 步骤S216,当第一数据库已被修复正常时,将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
[0158] 具体的,当第一数据库的故障被修复时,可以将第一数据库作为用于备份数据的备库,将第二数据库作为用于提供读写服务的主库,并将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
[0159] 请一并参见图6,图6是本申请实施例提供的一种数据存储示意图。如图6所示,在正常工作时,A库(即上述第一数据库)可以为提供读写服务的主库,B库(即上述第二数据库)可以为进行数据备份的备库,即A库作为主库可以承载所有的数据读写工作,B库作为备库可以从A库进行数据同步,将A库中所存储的数据备份至B库。当A库作为主库发生故障时,该A库无法对外提供数据读写服务,数据读写服务改为B库来承担,同时可以中断A库与B库之间的数据同步备份。当A库的故障修复时,此时A库和B库之间的身份可以发生交换,将B库切换为提供读写服务的主库,将A库切换为进行数据备份的备库,A库可以从A库进行数据同步。
[0160] 步骤S217,获取目标IP地址所关联的系统行为信息,根据系统行为信息生成行为日志,对行为日志进行存储。
[0161] 具体的,计算机设备可以记录目标IP地址在整个蜜罐识别过程中的行为日志,以保证系统运行信息可以被追溯;可以将行为日志存储到日志服务器中,同时在本地还可以采用文本的方式存储一份。请一并参见图7,图7是本申请实施例提供的一种行为日志存储示意图。如图7所示,计算机设备获取到目标IP地址对应的行为日志后,可以将行为日志存储至日志服务器,同时在本地以文本的方式存储一份。
[0162] 其中,上述行为日志可以进行等级划分,如日志等级可以包括:ERROR(错误)、WARN(警告)、INFO(关键信息)、DEBUG(调试)等,上述日志等级详情信息可以如下述表1所示:
[0163] 表1
[0164]
[0165] 可选的,上述行为日志可以用于系统日常的故障排查以及状态记录,根据日志内容可以对行为日志进行分类,如下述表2所示,可以将行为日志划分为配置日志、管理日志、告警日志以及运行日志等。其中,表2可以表示如下:
[0166] 表2
[0167]分类 说明
配置日志 记录用户新增,删除,修改配置的行为。
管理日志 记录管理模块每次探测目标站点证书有效性的操作行为。
告警日志 记录告警模块每次对外告警动作的行为。
运行日志 用于记录整个系统后台运行过程中的行为。
配置日志 记录用户新增,删除,修改配置的行为。
管理日志 记录管理模块每次探测目标站点证书有效性的操作行为。
告警日志 记录告警模块每次对外告警动作的行为。
运行日志 用于记录整个系统后台运行过程中的行为。
[0168] 可选的,日志服务器可以为区块链系统,计算机设备可以获取目标网际协议地址(目标IP地址)所关联的系统行为信息,根据系统行为信息生成行为日志;进而可以将行为日志上传至区块链系统,以使区块链系统中的区块链节点将行为日志封装为交易区块,对达成共识的交易区块进行记账处理;接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,在本地数据库中存储行为日志在区块链系统中的文件哈希;文件哈希用于指示行为日志在区块链系统中的存储位置。换言之,计算机设备将行为日志作为交易数据上传至区块链系统,区块链系统中的区块链节点在接收到行为日志后,可以将行为日志封装为交易区块,并将交易区块发送给区块链系统中的共识节点,共识节点可以对交易区块进行共识处理,当交易区块在区块链系统中达成共识时,可以对达成共识的交易区块进行记账处理,交易区块在区块链系统中上链成功后,可以向计算机设备返回针对行为日志的上链成功信息,该上链成功信息可以用于提示行为日志在区块链系统中上链成功。
该上链成功信息可以包括行为日志对应的文件哈希,计算机设备接收到上链成功信息后,可以在本地存储该文件哈希,后续需要查询行为日志时,可以根据该文件哈希在区块链系统中获取上述行为日志。
该上链成功信息可以包括行为日志对应的文件哈希,计算机设备接收到上链成功信息后,可以在本地存储该文件哈希,后续需要查询行为日志时,可以根据该文件哈希在区块链系统中获取上述行为日志。
[0169] 区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
[0170] 区块链底层平台可以包括用户管理、基础服务、智能合约以及运营管理等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营管理模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、管理网络情况、管理节点设备健康状态等。
[0171] 平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
[0172] 请一并参见图8,图8是本申请实施例提供的一种蜜罐识别技术架构图。如图8所示,该蜜罐识别技术架构图可以包括操作模块、IP地址分析模块、开放端口分析模块、指纹分析模块、暴力破解模块、登录分析模块、综合分析模块、存储模块以及日志模块。
[0173] 其中,操作模块是整个蜜罐识别技术架构图的入口部分,用户需要在操作模块中输入目标IP地址,作为蜜罐识别过程中发包探测的目标IP,该操作模块可以为用户提供用于输入目标IP地址的蜜罐检测页面。当用户在操作模块所提供的蜜罐检测页面中输入需要识别的目标IP地址,点击蜜罐检测页面中的“确定”控件后,该操作模块可以获取用户输入的目标IP地址,并将目标IP地址传输给IP地址分析模块。
[0174] IP地址分析模块可以对操作模块传输的目标IP地址进行分析,以获取该目标IP地址对应的地址关键信息,该地址关键信息可以包括大洲、国家、省、市、区县、经度、纬度、邮编、AS号码、运营商、安全标签以及所有者等信息。其中地址关键信息可以通过公开的接口进行查询(例如,中国互联网网络信息中心(CNNIC)可以提供查询服务)。该IP地址分析模块可以将目标IP地址的地址关键信息发送给综合分析模块,以备综合分析;与此同时,该IP地址分析模块可以将地址关键信息传递给开放端口分析模块。
[0175] 开放端口分析模块可以依次对目标IP地址的0‑65535端口进行端口开放探测,获取与目标IP地址相对应的开放端口列表,该开放端口列表可以包括一个或多个开放端口。进而可以将目标IP地址、一个或多个开放端口以及每个开放端口对应的开放状态发送给综合分析模块,以备综合分析;与此同时,可以将目标IP地址、一个或多个开放端口以及每个开放端口对应的开放状态传递给指纹分析模块。其中,该开放端口分析模块需要获取目标IP上端口的开放状态,计算器上总共可以有65535个端口,开放端口分析模块需要找到这
65536个端口中所有开放的端口。
65536个端口中所有开放的端口。
[0176] 指纹分析模块可以对开放端口分析模块传递的目标IP地址和一个或多个端口进行指纹探测分析,获取一个或多个端口分别对应的端口指纹信息。该指纹分析模块可以从网络上向目标IP地址和一个或多个端口发送特定数据报文,进而可以接收目标服务器返回的应答数据,再根据返回的应答数据进行特征分析,可以得到一个或多个端口分别对应的服务类型。指纹分析模块完成指纹探测分析之后,可以将端口指纹信息发送给综合分析模块,以备综合分析;与此同时,还可以将端口指纹信息数据传递给暴力破解模块,其中端口指纹信息的数据结构字段包括:IP,开放端口以及对应的服务类型。
[0177] 暴力破解模块可以使用账号密码字典尝试登录目标端口的服务,获取到可以成功登录的帐号密码(即账号登录信息)。该暴力破解模块可以将包含账号登录信息在内的暴力破解信息发送给综合分析模块,以备综合分析;与此同时还可以将暴力破解信息数据传递给登录分析模块,其中暴力破解信息数据可以包括针对账号登录服务类型的目标开放端口而获取的账号登录信息,该暴力破解信息数据的数据结构字段可以包括:目标IP地址、目标开放端口、目标开放端口对应的服务类型、账号登录信息。
[0178] 登录分析模块可以使用利用账号登录信息登录目标开放端口的服务,在目标服务器中获取必要的系统环境信息,进而可以将系统环境信息发送给综合分析模块,以备综合分析;其中,系统环境信息的数据结构字段可以包括:目标IP地址、目标开放端口、目标开放端口对应的服务类型、账号登录信息、目标操作指令、指令执行结果。
[0179] 综合分析模块可以汇总该蜜罐识别技术架构中所涉及的所有数据,并将汇总的数据成为网络空间测绘数据,通过对网络空间测绘数据进行综合分析,可以得出目标IP地址的蜜罐识别结果。其中网络空间测绘数据的综合分析过程可以参见上述步骤S207中的描述,这里不再进行赘述。
[0180] 存储模块存储可以用于存储整个蜜罐识别过程中的所有作业数据,具体实现过程可以参见上述步骤S208中的描述。
[0181] 日志模块可以用于记录整个蜜罐识别过程中的所有行为日志,具体实现过程可以参见上述步骤S209中的描述。
[0182] 本申请实施例中,在对目标IP地址进行蜜罐识别时,可以通过网络空间测绘对目标IP地址进行分析,同时汇总网络空间测绘过程中的数据(即上述网络空间测绘数据)进行综合分析,以确定目标IP地址的蜜罐识别结果,可以提高蜜罐的识别准确性;同时,用户只需在蜜罐检测页面中输入目标IP地址,就可以得到该目标IP地址的蜜罐识别结果,将蜜罐识别工作进行平台化,自动化实施,通过一键下发检测指令,可以快速得到目标IP地址的蜜罐识别结果,进而可以减少用户的繁琐操作,从而提高针对目标IP地址的蜜罐识别效率;可以将整个蜜罐识别过程进行管理,并通过将蜜罐识别过程进行标准化和流程化,可以确保目标IP地址在蜜罐识别过程中的一致性,通过行为日志可以追溯蜜罐识别过程的检测细节,可以消除误报;在识别策略集合中可以包含用于检测不同蜜罐类型的多种蜜罐识别策略,扩展了蜜罐识别策略,可以进一步提高蜜罐识别的准确性。
[0183] 请参见图9,图9是本本申请实施例提供的一种基于网络空间测绘的蜜罐识别装置的结构示意图,该基于网络空间测绘的蜜罐识别装置可以用于执行本申请实施例提供的方法中的相应步骤。如图9所示,该基于网络空间测绘的蜜罐识别装置1可以包括:端口开放探测模块10,指纹探测模块11,账号登录模块12,数据汇总模块13,第一数据分析模块14;
[0184] 端口开放探测模块10,用于在蜜罐检测页面中获取目标网际协议地址,对目标网际协议地址对应的端口集合进行端口开放探测,在端口集合中获取目标网际协议地址对应的一个或多个开放端口;
[0185] 指纹探测模块11,用于对目标网际协议地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,根据端口指纹信息中的服务类型,将服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息;
[0186] 账号登录模块12,用于根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定目标开放端口对应的系统环境信息;
[0187] 数据汇总模块13,用于将目标网际协议地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标网际协议地址对应的网络空间测绘数据;
[0188] 第一数据分析模块14,用于根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标网际协议地址对应的第一蜜罐识别结果;K种蜜罐识别策略用于识别不同类型的蜜罐,K为正整数。
[0189] 其中,端口开放探测模块10,指纹探测模块11,账号登录模块12,数据汇总模块13,第一数据分析模块14的具体功能实现方式可以参见上述图3所对应实施例中的步骤S101‑步骤S106,这里不再进行赘述。
[0190] 在一些可行的实施方式中,端口开放探测模块10可以包括:连接请求发起单元101,开放状态确定单元102,开放端口确定单元103;
[0191] 连接请求发起单元101,用于获取蜜罐检测页面中所输入的目标网际协议地址,向目标网际协议地址对应的端口集合中的端口i发送连接请求;i为小于端口集合对应的端口数量的非负整数;
[0192] 开放状态确定单元102,用于若接收到端口i返回的连接确认数据,则将端口i的开放状态确定为已开放状态;
[0193] 开放端口确定单元103,用于在端口集合中将开放状态为已开放状态的端口,确定为目标网际协议地址对应的一个或多个开放端口。
[0194] 其中,连接请求发起单元101,开放状态确定单元102,开放端口确定单元103的具体功能实现方式可以参见上述图5所对应实施例中的步骤S201和步骤S204,这里不再进行赘述。
[0195] 在一些可行的实施方式中,指纹探测模块11可以包括:目标数据发送单元111,服务类型获取单元112,指纹信息确定单元113,端口分类单元114,目标开放端口选取单元115,账号密码组合单元116,登录信息破解单元117;
[0196] 目标数据发送单元111,用于根据目标网际协议地址和一个或多个开放端口,向目标服务器发送目标数据;
[0197] 服务类型获取单元112,用于接收目标服务器返回的针对目标数据的应答数据,对应答数据进行特征分析,得到一个或多个开放端口分别对应的服务类型;
[0198] 指纹信息确定单元113,用于将目标网际协议地址、一个或多个开放端口以及服务类型,确定为端口指纹信息。
[0199] 端口分类单元114,用于根据端口指纹信息中的服务类型,对一个或多个开放端口进行分类,得到M个开放端口组;一个开放端口组中所包含的开放端口具有相同的服务类型,M为正整数;
[0200] 目标开放端口选取单元115,用于在M个开放端口组中,将服务类型为账号登录服务类型的开放端口组中所包含的开放端口,确定为目标开放端口;
[0201] 账号密码组合单元116,用于将账号密码字典中所包含的账号和密码进行组合,得到N个账号密码组合;账号密码字典包括常用的账号和常用的密码,N为正整数;
[0202] 登录信息破解单元117,用于分别采用N个账号密码组合登录目标开放端口的服务,将登录成功的账号密码组合确定为目标开放端口对应的账号登录信息。
[0203] 其中,目标数据发送单元111,服务类型获取单元112,指纹信息确定单元113,端口分类单元114,目标开放端口选取单元115,账号密码组合单元116,登录信息破解单元117的具体功能实现方式可以参见上述图5所对应实施例中的步骤S205‑步骤S210,这里不再进行赘述。
[0204] 在一些可行的实施方式中,账号登录模块12可以包括:端口服务登录单元121,系统环境信息确定单元122;
[0205] 端口服务登录单元121,用于根据账号登录信息中的账号和密码,登录目标开放端口的服务,根据目标网际协议地址和目标开放端口,向目标服务器发送目标操作指令,以使目标服务器执行目标操作指令;
[0206] 系统环境信息确定单元122,用于获取目标服务器返回的针对目标操作指令的指令执行结果,将目标网际协议地址、目标开放端口、目标开放端口对应的服务类型、账号登录信息、目标操作指令以及指令执行结果,确定为系统环境信息。
[0207] 其中,端口服务登录单元121,系统环境信息确定单元122的具体功能实现方式可以参见上述图5所对应实施例中的步骤S211‑步骤S212,这里不再进行赘述。
[0208] 在一些可行的实施方式中,该基于网络空间测绘的蜜罐识别装置1还可以包括:网际协议地址查询模块15,地址关键信息获取模块16;
[0209] 网际协议地址查询模块15,用于通过目标网际协议地址关联的信息查询接口,在网络信息机构中对目标网际协议地址进行分析;
[0210] 地址关键信息获取模块16,用于在网络信息机构中获取目标网际协议地址对应的地理区域位置信息、持有者信息、安全标签,将地理区域位置信息、持有者信息以及安全标签,确定为目标网际协议地址对应的地址关键信息。
[0211] 其中,网际协议地址查询模块15,地址关键信息获取模块16的具体功能实现方式可以参见上述图5所对应实施例中的步骤S202和步骤S203,这里不再进行赘述。
[0212] 在一些可行的实施方式中,第一数据分析模块14可以包括:分析单元141,第一识别结果确定单元142,第二识别结果确定单元143;
[0213] 分析单元141,用于获取识别策略集合中所包含的K种蜜罐识别策略,采用K种蜜罐识别策略分别对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果;
[0214] 第一识别结果确定单元142,用于若K种蜜罐识别策略中存在蜜罐识别策略的分析结果为蜜罐结果,则将蜜罐结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示蜜罐结果;
[0215] 第二识别结果确定单元143,用于若K种蜜罐识别策略所对应的分析结果均为未确定结果,则将未确定结果确定为目标网际协议地址对应的第一蜜罐识别结果,在蜜罐检测页面中显示未确定结果。
[0216] 其中,分析单元141,第一识别结果确定单元142,第二识别结果确定单元143的具体功能实现方式可以参见上述图5所对应实施例中的步骤S213,这里不再进行赘述。
[0217] 在一些可行的实施方式中,K种蜜罐识别策略包括协议缺陷判断策略;
[0218] 分析单元141可以包括:命令发送子单元1411,协议缺陷确定子单元1412,第一分析结果确定子单元1413,第二分析结果确定子单元1414;
[0219] 命令发送子单元1411,用于在网络空间测绘数据中获取目标网际协议地址对应的服务协议,向目标服务器发送服务协议对应的目标命令字符;
[0220] 协议缺陷确定子单元1412,用于接收目标服务器返回的针对目标命令字符的协议应答特征,若检测到协议应答特征不满足协议标准中的标准应答特征,则将协议应答特征确定为协议缺陷特征;
[0221] 第一分析结果确定子单元1413,用于当协议缺陷特征符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为蜜罐结果;
[0222] 第二分析结果确定子单元1414,用于当协议缺陷特征不符合协议缺陷判断策略中的判别条件时,确定协议缺陷判断策略对应的分析结果为未确定结果。
[0223] 可选的,K种蜜罐识别策略包括端口开放数判断策略;
[0224] 分析单元141可以包括:开放端口数量统计子单元1415,第三分析结果确定子单元1416,第四分析结果确定子单元1417;
[0225] 开放端口数量统计子单元1415,用于在网络空间测绘数据中统计一个或多个开放端口所对应的端口开放数量,获取端口开放数判断策略对应的端口数量阈值;
[0226] 第三分析结果确定子单元1416,用于当端口开放数量大于端口数量阈值时,确定端口开放数判断策略对应的分析结果为蜜罐结果;
[0227] 第四分析结果确定子单元1417,用于当端口开放数量小于或等于端口数量阈值时,确定端口开放数判断策略对应的分析结果为未确定结果。
[0228] 其中,命令发送子单元1411,协议缺陷确定子单元1412,第一分析结果确定子单元1413,第二分析结果确定子单元1414,开放端口数量统计子单元1415,第三分析结果确定子单元1416,第四分析结果确定子单元1417的具体功能实现方式可以参见上述图5所对应实施例中的步骤S213,这里不再进行赘述。
[0229] 在一些可行的实施方式中,该基于网络空间测绘的蜜罐识别装置1还可以包括:识别策略增加模块17,第二数据分析模块18,识别结果获取模块19;
[0230] 识别策略增加模块17,用于当检测到目标蜜罐识别策略时,将目标蜜罐识别策略添加至识别策略集合;
[0231] 第二数据分析模块18,用于若在蜜罐检测页面中获取到待识别网际协议地址,则采用识别策略集合中的(K+1)种蜜罐识别策略,分别对待识别网际协议地址所对应的待识别网络测绘数据进行数据分析,得到(K+1)种蜜罐识别策略分别对应的分析结果;(K+1)种蜜罐识别策略包括目标蜜罐识别策略;
[0232] 识别结果获取模块19,用于根据(K+1)种蜜罐识别策略分别对应的分析结果,得到待识别网际协议地址对应的第二蜜罐识别结果。
[0233] 其中,识别策略增加模块17,分析模块18,识别结果获取模块19的具体功能实现方式可以参见上述图5所对应实施例中的步骤S213,这里不再进行赘述。
[0234] 在一些可行的实施方式中,该基于网络空间测绘的蜜罐识别装置1还可以包括:数据存储模块20,数据库身份切换模块21,数据同步模块22;
[0235] 数据存储模块20,用于当第一数据库作为提供读写服务的主库时,将网络空间测绘数据和第一蜜罐识别结果写入第一数据库中,将第一数据库中所存储的数据同步备份至第二数据库;
[0236] 数据库身份切换模块21,用于若第一数据库出现故障,则关闭第一数据库的读写服务,将第二数据库切换为提供读写服务的主库,中断第一数据库与第二数据库之间的数据同步备份;
[0237] 数据同步模块22,用于当第一数据库已被修复正常时,将第二数据库中所存储的数据同步备份至修复正常后的第一数据库。
[0238] 其中,数据存储模块20,数据库身份切换模块21,数据同步模块22的具体功能实现方式可以参见上述图5所对应实施例中的步骤S214‑步骤S216,这里不再进行赘述。
[0239] 在一些可行的实施方式中,该基于网络空间测绘的蜜罐识别装置1还可以包括:日志生成模块23,日志上传模块24,日志存储模块25;
[0240] 日志生成模块23,用于获取目标网际协议地址所关联的系统行为信息,根据系统行为信息生成行为日志;
[0241] 日志上传模块24,用于将行为日志上传至区块链系统,以使区块链系统中的区块链节点将行为日志封装为交易区块,对达成共识的交易区块进行记账处理;
[0242] 日志存储模块25,用于接收区块链系统中的区块链节点返回的上链成功信息,根据上链成功信息,在本地数据库中存储行为日志在区块链系统中的文件哈希;文件哈希用于指示行为日志在区块链系统中的存储位置。
[0243] 其中,日志生成模块23,日志上传模块24,日志存储模块25的具体功能实现方式可以参见上述图5所对应实施例中的步骤S217,这里不再进行赘述。
[0244] 本申请实施例中,在对目标IP地址进行蜜罐识别时,可以通过网络空间测绘对目标IP地址进行分析,同时汇总网络空间测绘过程中的数据(即上述网络空间测绘数据)进行综合分析,以确定目标IP地址的蜜罐识别结果,可以提高蜜罐的识别准确性;同时,用户只需在蜜罐检测页面中输入目标IP地址,就可以得到该目标IP地址的蜜罐识别结果,将蜜罐识别工作进行平台化,自动化实施,通过一键下发检测指令,可以快速得到目标IP地址的蜜罐识别结果,进而可以减少用户的繁琐操作,从而提高针对目标IP地址的蜜罐识别效率;可以将整个蜜罐识别过程进行管理,并通过将蜜罐识别过程进行标准化和流程化,可以确保目标IP地址在蜜罐识别过程中的一致性,通过行为日志可以追溯蜜罐识别过程的检测细节,可以消除误报;在识别策略集合中可以包含用于检测不同蜜罐类型的多种蜜罐识别策略,扩展了蜜罐识别策略,可以进一步提高蜜罐识别的准确性。
[0245] 请参见图10,图10是本申请实施例提供的一种计算机设备的结构示意图。如图10所示,该计算机设备1000可以包括:处理器1001,网络接口1004和存储器1005,此外,上述计算机设备1000还可以包括:用户接口1003,和至少一个通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。其中,用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。可选的,网络接口1004可以包括标准的有线接口、无线接口(如WI‑FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non‑volatile memory),例如至少一个磁盘存储器。可选的,存储器1005还可以是至少一个位于远离前述处理器1001的存储装置。如图10所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及设备控制应用程序。
[0246] 在如图10所示的计算机设备1000中,网络接口1004可提供网络通讯功能;而用户接口1003主要用于为用户提供输入的接口;而处理器1001可以用于调用存储器1005中存储的设备控制应用程序,以实现:
[0247] 在蜜罐检测页面中获取目标网际协议地址,对目标网际协议地址对应的端口集合进行端口开放探测,在端口集合中获取目标网际协议地址对应的一个或多个开放端口;
[0248] 对目标网际协议地址和一个或多个开放端口进行指纹探测分析,获取一个或多个开放端口分别对应的端口指纹信息,根据端口指纹信息中的服务类型,将服务类型为账号登录服务类型的开放端口确定为目标开放端口,获取目标开放端口对应的账号登录信息;
[0249] 根据账号登录信息登录目标开放端口的服务,通过所登录的目标开放端口获取目标操作指令所指示的指令执行结果,根据指令执行结果确定目标开放端口对应的系统环境信息;
[0250] 将目标网际协议地址对应的地址关键信息、一个或多个开放端口、一个或多个开放端口对应的端口指纹信息、账号登录信息以及系统环境信息,组合为目标网际协议地址对应的网络空间测绘数据;
[0251] 根据识别策略集合中所包含的K种蜜罐识别策略,对网络空间测绘数据进行数据分析,得到K种蜜罐识别策略分别对应的分析结果,根据K个分析结果确定目标网际协议地址对应的第一蜜罐识别结果;K种蜜罐识别策略用于识别不同类型的蜜罐,K为正整数。
[0252] 应当理解,本申请实施例中所描述的计算机设备1000可执行前文图3和图5任一个所对应实施例中对基于网络空间测绘的蜜罐识别方法的描述,也可执行前文图9所对应实施例中对基于网络空间测绘的蜜罐识别装置1的描述,在此不再赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。
[0253] 此外,这里需要指出的是:本申请实施例还提供了一种计算机可读存储介质,且计算机可读存储介质中存储有前文提及的基于网络空间测绘的蜜罐识别装置1所执行的计算机程序,且计算机程序包括程序指令,当处理器执行程序指令时,能够执行前文图3和图5任一个所对应实施例中对基于网络空间测绘的蜜罐识别方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。作为示例,程序指令可被部署在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行,分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链系统。
[0254] 此外,需要说明的是:本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或者计算机程序可以包括计算机指令,该计算机指令可以存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器可以执行该计算机指令,使得该计算机设备执行前文图3和图5任一个所对应实施例中对基于网络空间测绘的蜜罐识别方法的描述,因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机程序产品或者计算机程序实施例中未披露的技术细节,请参照本申请方法实施例的描述。
[0255] 需要说明的是,对于前述的各个方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某一些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
[0256] 本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
[0257] 本申请实施例装置中的模块可以根据实际需要进行合并、划分和删减。
[0258] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储器(Read‑Only Memory,ROM)或随机存储器(Random Access Memory,RAM)等。
[0259] 以上所揭露的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属本申请所涵盖的范围。