[发明专利]一种网络威胁探测方法、装置及存储介质

说明书

本申请提供一种网络威胁探测方法、装置及存储介质，涉及通信技术领域，用于解决现有技术中网络威胁探测探测范围小的技术问题。该网络威胁探测方法应用于探测服务器，探测服务器部署于待探测内网中，且探测服务器预先配置网卡，探测服务器中的系统中预先创建有多个虚拟网卡；网卡与多个虚拟网卡IP地址不同，不同的虚拟网卡的IP地址不同；网卡和每个虚拟网卡上预先部署有抓包程序；网络威胁探测方法包括：调用多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据；根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。

技术领域

本申请涉及通信技术领域，尤其涉及一种网络威胁探测方法、装置及存储介质。

背景技术

随着内网技术的不断发展，保障内网的安全也变得愈发关键。当外来者攻击内网时，需要对内网中的被控设备进行扫描、探测、攻击等操作，因此探测到上述能够威胁内网安全的操作，就成了保证内网安全的关键步骤。

现有的内网威胁探测技术通常是采用蜜罐系统进行威胁探测，通过设置较为薄弱的防火墙，使得攻击者控制的设备优先对蜜罐系统进行攻击。蜜罐系统被攻击之后，就可以获得攻击者控制的设备的具体信息，从而探测到攻击者控制的设备可能威胁内网安全的操作。但是蜜罐系统探测范围小，并且所需硬件性能要求较高。

发明内容

本申请提供一种网络威胁探测方法、装置及存储介质，用于解决现有技术中网络威胁探测探测范围小的技术问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种网络威胁探测方法，应用于探测服务器，探测服务器部署于待探测内网中，且探测服务器预先配置网卡，探测服务器中的系统中预先创建有多个虚拟网卡；网卡与多个虚拟网卡网际互连协议(internet protocol，IP)地址不同，不同的虚拟网卡的IP地址不同；每个虚拟网卡上预先部署有抓包程序；包括：调用网卡和多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据；根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。

可选的，该网络威胁探测方法还包括：响应于基于静态防火墙(iptables)技术对探测服务器执行的第一安全防护数据配置操作，确定探测服务器禁止除管理设备IP和本机环回IP以外的IP进行业务访问。和/或，响应于基于传输控制协议防护(transmissioncontrol protocol wrappers，TCP-wrappers)技术和配置反向代理网络服务器(engine x，NGINX)技术对探测服务器执行的第二安全防护数据配置操作，确定探测服务器禁止除管理设备IP以外的IP访问探测服务器的远程请求与响应协议服务。和/或，响应于基于配置关系型数据库管理系统(relational database management system，RDBMS)技术对探测服务器执行的第三安全防护数据配置操作，确定探测服务器禁止除本机环回IP以外的IP访问探测服务器的数据库。

可选的，该网络威胁探测方法还包括：响应于对探测服务器执行第一威胁探测数据配置操作，将探测服务器服务端口配置为除探测服务器的常用端口以外的端口。和/或，响应于基于iptables技术对探测服务器执行第二威胁探测数据配置操作，确定允许访问探测服务器的远程请求与响应协议服务和数据库的目标端口，且禁止探测服务器向除管理设备IP和本机环回IP以外的IP发送数据；目标端口包括传输控制协议(transmissioncontrol protocol，TCP)端口、用户数据包协议(user datagram protocol，UDP)端口和网络控制报文协议(internet control message protocol，ICMP)端口。和/或，响应于对探测服务器执行第三威胁探测数据配置操作，禁止除网卡IP以外的IP监听远程请求与响应协议服务。

可选的，调用多个虚拟网卡上的抓包程序，获取至少一个安全威胁数据，包括：创建多个虚拟网卡；对网卡和多个虚拟网卡执行IP配置操作，以使得网卡和不同的虚拟网卡的IP地址均不同，并在网卡和每个虚拟网卡上部署抓包程序。