[发明专利]一种蜜罐技术实现方法、装置及电子设备

说明书

本发明的实施例公开一种蜜罐技术实现方法、装置及电子设备，涉及网络安全技术领域，该方案应用于蜜罐主机，该蜜罐主机位于需要保护的局域网内，且该蜜罐主机具有虚拟IP地址，包括：在局域网内发送消息，供局域网内的其他主机发现该蜜罐主机的虚拟IP地址；接收其他主机基于该蜜罐主机的虚拟IP地址发送的网络消息；按照预设响应策略，向发送网络消息的其他主机返回应答消息。采用该方案，相比现有技术，当被攻陷的主机在局域网内发起横向攻击时，可以更及时的感知和发现该网络攻击。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种蜜罐技术实现方法、装置及电子设备。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

目前，在当前环境下针对局域网保护的蜜罐技术中，为了保障需要保护的局域网的安全性，避免蜜罐主机失陷后对外的攻击到达该局域网导致该局域网的安全问题，一般将蜜罐主机部署在与该局域网隔离的网段，即部署在需要保护的局域网之外。

然而，当局域网内的主机被攻陷，作为访问主机对于局域网内的其他主机发起横向攻击时，由于蜜罐主机不在该局域网内，因此无法做到对该网络攻击的及时感知和发现。

发明内容

有鉴于此，本发明实施例提供一种蜜罐技术实现方法、装置及电子设备，用以解决现有技术中存在的当被攻陷的主机在局域网内发起横向攻击时无法及时感知和发现该网络攻击的问题。

第一方面，本发明实施例提供一种蜜罐技术实现方法，应用于蜜罐主机，所述蜜罐主机位于需要保护的局域网内，且所述蜜罐主机具有虚拟IP地址，所述方法，包括：

在所述局域网内发送消息，供所述局域网内的其他主机发现所述蜜罐主机的所述虚拟IP地址；

接收所述其他主机基于所述蜜罐主机的所述虚拟IP地址发送的网络消息；

按照预设响应策略，向发送所述网络消息的其他主机返回应答消息。

根据本发明实施例的一种具体实现方式，还包括：

基于接收的所述网络消息，记录与所述其他主机相关的网络信息，用于确定所述其他主机是否为发起网络攻击的访问主机。

根据本发明实施例的一种具体实现方式，所述在所述局域网内发送消息，包括：

在所述局域网内发送广播消息。

根据本发明实施例的一种具体实现方式，所述在所述局域网内发送广播消息，包括：

在所述局域网内发送ARP广播消息。

根据本发明实施例的一种具体实现方式，在所述在所述局域网内发送消息之前，还包括：

接收所述局域网内的其他主机发送的主机发现消息；

所述在所述局域网内发送消息，包括：

向发送所述主机发现消息的其他主机，返回主机发现响应。

根据本发明实施例的一种具体实现方式，所述接收所述局域网内的其他主机发送的主机发现消息，包括：

接收所述局域网内的其他主机发送的ARP广播消息或ICMP扫描消息。

根据本发明实施例的一种具体实现方式，所述按照预设响应策略，向发送所述网络消息的其他主机返回应答消息，包括：

按照低交互服务响应策略，向发送所述网络消息的其他主机返回应答消息。