[发明专利]一种高效蜜罐代理转发的方法与装置

说明书

本申请提供一种高效蜜罐代理转发的方法与装置，该方法包括：接收蜜罐代理节点通过RPC调用方式传递的RPC参数，当第一访问请求为新会话对应的访问请求时，依据第二源IP地址、第二源端口、第一目的IP地址、第一目的端口以及所述payload，构造第二访问请求，并将第二访问请求转发给目的蜜罐服务节点；以及，建立本次会话的映射关系表；当检测到与映射关系表中的第二源IP地址、第二源端口、第一目的IP地址以及第一目的端口匹配的目标报文时，依据映射关系表中的第一源IP地址以及第一源端口，对目标报文进行IP地址以及端口替换，得到替换后的目标报文；依据替换后的目标报文进行攻击分析。该方法可以避免攻击源丢失。

技术领域

本申请涉及网络安全检测防护设备领域，尤其涉及一种高效蜜罐代理转发的方法与装置。

背景技术

在高交互蜜罐场景中，一般模式都是采用蜜罐服务集中本地部署，核心服务模块均在蜜罐服务端，蜜罐节点主要追求轻量化部署模式，降低节点端部署成本和复杂度，提高蜜罐节点的稳定性和易用性。

一般代理节点本身并不会部署蜜罐服务，而是采用流量代理转发的模式，通过本地监听端口对访问请求进行代理转发，此时代理节点只需要提供监听端口及转发流量即可，功能比较简单，部署容易。

然而实践发现，由于IP通信的技术原理，在代理转发的模式下，蜜罐服务端接收到的访问请求的源IP是代理节点的本地IP地址，因此，若在蜜罐服务端直接进行抓包，并通过协议分析攻击溯源，则无法还原真实的攻击者IP信息，即丢失攻击源，此时即使分析出存在攻击行为也无法定位攻击者身份，蜜罐的效果大大降低。

发明内容

有鉴于此，本申请提供一种高效蜜罐代理转发方法及装置。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种高效蜜罐代理转发的方法，应用于蜜罐服务端部署的RPC服务节点，所述方法包括：

接收蜜罐代理节点通过RPC调用方式传递的RPC参数，所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递，所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口，以及payload；

当所述第一访问请求为新会话对应的访问请求时，依据第二源IP地址、第二源端口、所述第一目的IP地址、所述第一目的端口以及所述payload，构造第二访问请求，并将所述第二访问请求转发给目的蜜罐服务节点，所述第二源IP地址为所述RPC服务节点的IP地址，所述第二源端口为所述RPC服务节点上与所述目的蜜罐服务节点建立连接的端口；

以及，建立本次会话的映射关系表，所述映射关系表记录有所述第二源IP地址、所述第二源端口、所述第一目的IP地址、所述第一目的端口、所述第一源IP地址以及第一源端口的映射关系；

当检测到与所述映射关系表中的所述第二源IP地址、所述第二源端口、所述第一目的IP地址以及所述第一目的端口匹配的目标报文时，依据所述映射关系表中的第一源IP地址以及第一源端口，对所述目标报文进行IP地址以及端口替换，得到替换后的目标报文；

依据所述替换后的目标报文进行攻击分析。

根据本申请实施例的第二方面，提供一种高效蜜罐代理转发的装置，包括：

接收单元，用于接收蜜罐代理节点通过RPC调用方式传递的RPC参数，所述RPC参数由所述蜜罐代理节点接收到第一访问请求时传递，所述RPC参数包括所述第一访问请求的第一源IP地址、第一源端口、第一目的IP地址、第一目的端口，以及负载payload；