[发明专利]一种高效蜜罐代理转发的方法与装置

权利要求书

1.一种高效蜜罐代理转发的方法，其特征在于，应用于蜜罐服务端部署的远程过程调用RPC服务节点，所述方法包括：

接收蜜罐代理节点通过RPC调用方式传递的RPC参数，所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递，所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口，以及负载payload；

当所述第一访问请求为新会话对应的访问请求时，依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload，构造第二访问请求，并将所述第二访问请求转发给目的蜜罐服务节点，所述第二源IP地址为所述RPC服务节点的IP地址，所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口；

以及，建立本次会话的映射关系表，所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系；

当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时，依据所述映射关系表中的第一源IP地址以及第一源端口，对所述目标报文进行IP地址以及端口替换，得到替换后的目标报文；

依据所述替换后的目标报文进行攻击分析。

2.根据权利要求1所述的方法，其特征在于，所述目标报文的源IP地址以及源端口为所述第二源IP地址以及所述第二源端口，所述目标报文的目的IP地址以及目的端口为所述第一目的IP地址以及所述第一目的端口；

所述依据所述映射关系表中的第一源IP地址以及第一源端口，对所述目标报文进行IP地址以及端口替换，包括：

依据所述第一源IP地址以及第一源端口替换所述目标报文的源IP地址以及源端口。

3.根据权利要求1所述的方法，其特征在于，所述目标报文的源IP地址以及源端口为所述第一目的IP地址以及所述第一目的端口，所述目标报文的目的IP地址以及目的端口为所述第二源IP地址以及所述第二源端口；

所述依据所述映射关系表中的第一源IP地址以及第一源端口，对所述目标报文进行IP地址以及端口替换，包括：

依据所述第一源IP地址以及第一源端口替换所述目标报文的目的IP地址以及目的端口。

4.根据权利要求1所述的方法，其特征在于，所述依据所述替换后的目标报文进行攻击分析，包括：

将所述替换后的目标报文注入所述蜜罐服务端的虚拟网卡，以使协议分析引擎依据监听到的所述虚拟网卡中的报文进行攻击分析。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述映射关系表为以所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口为键key，以所述第一源IP地址以及第一源端口为值value的会话哈希表；

所述检测到与所述映射关系表匹配的目标报文，包括：

检测到与所述会话哈希表的key匹配的目标报文。