设备探测处理方法、装置、电子设备、存储介质和程序与流程

1.本发明涉及网络安全防御技术领域，尤其是涉及一种设备探测处理方法、装置、电子设备、存储介质和程序。


背景技术：

2.攻击者对某一系统进行网络攻击之前，往往需要先对该系统中的设备种类和设备数量进行探测。在探测到该系统中包含的设备种类和设备数量均满足一定要求后，才会对该系统进行网络攻击。欺骗诱捕系统通常会诱导攻击者对其自身进行攻击，然后收集攻击者攻击的数据，对攻击者进行分析，从而能够基于分析结果更好的对攻击进行防御。然而，欺骗诱捕系统中实际并不存在多种设备，因而攻击者在对设备种类和设备数量进行探测之后，往往会取消攻击行为。
3.为了使得攻击者对欺骗诱捕系统进行攻击，通常会模拟一些设备的虚拟环境，通过模拟的虚拟环境欺骗攻击者对设备种类和设备数量的探测。然而，欺骗诱捕系统能模拟的设备种类和数量极其有限，而实际的网络设备多达几千种，用设备的虚拟环境根本无法解决在一个物理设备上同时仿真如此多设备的问题。
4.可见，现有的欺骗诱捕系统中仿真的设备有限，无法应对攻击者的设备探测行为。


技术实现要素：

5.本发明实施例提供一种设备探测处理方法、装置、电子设备、存储介质和程序，用以解决现有的欺骗诱捕系统中仿真的设备有限，无法应对攻击者的设备探测行为的问题。
6.针对以上技术问题，第一方面，本发明实施例提供一种设备探测处理方法，应用于欺骗诱捕系统，包括：
7.接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；
8.若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
9.其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
10.可选地，所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，包括：
11.获取所述访问流量中的地址信息，作为流量地址信息，并获取预先对所述设备信息库中的至少一个设备配置的查询地址信息；
12.获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地址信息；
13.将所配置的查询地址信息为所述目标查询地址信息的设备作为所述目标设备，从所述设备信息库中获取所述目标设备的设备信息。
14.可选地，所述获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地
址信息，包括：
15.根据所述流量地址信息中的源ip、目的ip和目的端口，从所配置的查询地址信息中获取与所述流量地址信息相匹配的匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息；
16.或者，根据所述流量地址信息中的源ip和目的ip，从查询地址信息中获取与所述流量地址信息相匹配的待选查询地址信息，根据所述流量地址信息中的目的端口，以及配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记录的端口信息，从待选查询地址信息中确定所述匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息。
17.可选地，所述将所述匹配查询地址信息作为所述目标查询地址信息，包括：
18.若存在至少两个匹配查询地址信息，则获取配置了各匹配查询地址信息的设备，作为待选设备；
19.根据所述设备信息库中各待选设备的设备信息，确定与附加匹配条件相匹配的目标设备信息，将所述目标设备信息对应的设备所配置的查询地址信息作为所述目标查询地址信息；
20.其中，所述附加匹配条件包括如下条件中至少一种：设备名称、设备厂商。
21.可选地，所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息之前，还包括：
22.获取根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置的转发地址信息，判断转发地址信息中是否存在与所述访问流量中的流量地址信息相匹配的转发地址信息；
23.若存在与所述流量地址信息相匹配的转发地址信息，则根据与所述流量地址信息相匹配的转发地址信息，将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
24.若不存在与所述流量地址信息相匹配的转发地址信息，则根据所述流量地址信息从设备信息库中获取目标设备的设备信息。
25.可选地，所述若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量，包括：
26.获取所述目标设备的设备信息中记录的所述目标服务的服务信息，根据所述服务信息判断所述访问流量中是否携带了对提供目标服务的设备进行探测的设备探测信息；
27.若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
28.若所述访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息，则丢弃所述访问流量。
29.可选地，还包括：
30.判断接收到所述访问流量的时间点到当前时间点之间的时长是否大于或等于预设时长，若是，则获取从转发地址信息中获取目标转发地址信息，根据所述目标转发地址信息将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
31.其中，所述转发地址信息根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置；所述目标转发地址信息中目的端口所对应的服务为所述目标服务。
32.第二方面，本发明实施例提供一种设备探测处理装置，应用于欺骗诱捕系统，包
括：
33.获取模块，用于接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；
34.响应模块，用于若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
35.其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
36.第三方面，本发明实施例提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以上所述的设备探测处理方法的步骤。
37.第四方面，本发明实施例提供一种非暂态可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以上任一项所述的设备探测处理方法的步骤。
38.第五方面，本发明实施例提供一种计算机程序，该计算机程序被处理器执行时实现以上任一项所述的设备探测处理方法的步骤。
39.本发明的实施例提供了一种设备探测处理方法、装置、电子设备、存储介质和程序，根据访问流量从设备信息库中获取设备信息，生成访问流量的响应流量。对于攻击者发送的设备探测信息，均能通过设备信息库查询到相关的设备信息。根据查询到的设备信息生成响应流量，成功应对攻击者的设备探测行为，使得攻击者对欺骗诱捕系统进行攻击。
附图说明
40.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1是本发明实施例提供的一种设备探测处理方法的流程示意图；
42.图2是本发明另一实施例提供的对访问流量处理过程的流程示意图；
43.图3是本发明另一实施例提供的设备探测处理装置的结构框图；
44.图4是本发明另一实施例提供的电子设备的实体结构示意图。
具体实施方式
45.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.针对现有的欺骗诱捕系统能够模拟的设备有限，无法应对攻击者的设备探测行为的问题，本实施例提供了一种设备探测处理方法，通过设备信息库(banner库)中存储的大量设备的设备信息，实现了对大量设备的轻量级仿真。从而在接收到攻击者的设备探测信息后，能够根据设备信息库反馈正确的设备信息，实现对攻击者的欺骗，成功诱导攻击者对
欺骗诱捕系统进行访问。
47.图1为本实施例提供的一种设备探测处理方法的流程示意图，参见图1，该设备探测处理方法包括：
48.步骤101：接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
49.可以根据从访问流量中提取的地址信息(即流量地址信息，例如，包括源ip、目的ip和目的端口)从设备信息库中获取目标设备的设备信息，也可以根据访问流量中其它特征从设备信息库中获取目标设备的设备信息，本实施例对此不做具体限制。
50.本实施中的访问流量可以是由攻击者发送的，也可以是由测试人员发送，本实施例对此不做具体限制。通常情况下，本实施例中的访问流量是防火墙检测到存在异常的流量。例如，防火墙根据预置的防火墙策略(例如，防火墙策略为筛选出特定目的ip地址的流量)将存在异常的访问流量转发到欺骗诱捕系统。
51.其中，设备信息库中存储了预先对各设备收集的信息。对任一设备，设备信息库中可以存储该任一设备的如下信息中的至少一种：设备所提供服务的服务信息、设备所提供的服务的端口信息、设备的设备名称、设备的设备厂商。由设备所提供服务的服务信息可以确定设备提供的服务。
52.在获取目标设备的设备信息过程中，可以根据流量地址信息中的某一项信息(仅考虑源ip、目的ip或者目的端口)或任两项信息(任两项信息为源ip、目的ip和目的端口中任两项信息的组合)，从设备信息库中获取目标设备的设备信息，也可以根据流量地址信息中包含的各项信息(例如，同时考虑源ip、目的ip和目的端口)，从设备信息库中获取目标设备的设备信息。
53.其中，可以预先对各设备配置查询地址信息，也可以通过默认的各设备对应的地址信息，通过与流量地址信息中的某一项信息、某两项信息或三项信息与流量地址信息进行匹配，从而确定目标设备。
54.步骤102：若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量。
55.设备探测信息可以是目标服务的服务信息，例如，设备探测信息可以是目标服务的服务信息对应的二进制数据、也可以是以其它形式携带的目标服务的服务信息。
56.在根据目标设备的设备信息生成响应流量后，将响应流量发送到所述访问流量的发送方，以使发送者通过访问流量成功实现了对提供目标服务的设备的探测，从而有利于成功诱导攻击者对欺骗诱捕系统进行攻击。
57.本实施例提供了一种设备探测处理方法，根据访问流量从设备信息库中获取设备信息，生成访问流量的响应流量。对于攻击者发送的设备探测信息，均能通过设备信息库查询到相关的设备信息。根据查询到的设备信息生成响应流量，成功应对攻击者的设备探测行为，使得攻击者对欺骗诱捕系统进行攻击。
58.进一步地，在上述实施例的基础上，所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，包括：
59.获取所述访问流量中的地址信息，作为流量地址信息，并获取预先对所述设备信息库中的至少一个设备配置的查询地址信息；
60.获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地址信息；
61.将所配置的查询地址信息为所述目标查询地址信息的设备作为所述目标设备，从所述设备信息库中获取所述目标设备的设备信息。
62.对于不同的用户，可以对设备信息库中的各设备配置不同的查询地址信息，本实施例对此不做限制。然而通常情况下，设备信息库各设备的设备信息是不同用户之间可以通用的信息。用户可以根据其配置的查询地址信息定位到某一设备，然后从设备信息库获取该设备的设备信息。
63.可以预先对设备信息库中的至少一个设备配置查询地址信息，配置的查询地址信息中可以包括源ip、目的ip和目的端口。通常根据各设备所能提供的服务为各设备配置查询地址信息。例如，需构建具有路由器功能的服务，则可以对设备信息库中的路由器或者交换机配置查询地址信息，以使得访问流量携带了对路由器功能进行探测的设备探测信息后，能够通过查询地址信息查询到路由器或者交换机的设备信息，将查询到路由器或者交换机的设备信息作为响应信息发送给攻击者，有利于成功诱导攻击者对欺骗诱捕系统进行攻击。
64.本实施例中，通过预先对设备配置的查询地址信息，实现了根据流量地址信息对设备的查询(即配置了对设备信息进行查询的“banner策略”)，进而通过设备信息库获取设备信息(banner信息)，生成响应流量，实现了根据设备信息库中设备应对设备探测流量，提高诱导攻击欺骗诱捕系统的成功率。
65.进一步地，在上述各实施例的基础上，所述获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地址信息，包括：
66.根据所述流量地址信息中的源ip、目的ip和目的端口，从查询地址信息中获取与所述流量地址信息相匹配的匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息；
67.或者，根据所述流量地址信息中的源ip和目的ip，从所配置的查询地址信息中获取与所述流量地址信息相匹配的待选查询地址信息，根据所述流量地址信息中的目的端口，以及配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记录的端口信息，从待选查询地址信息中确定所述匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息。
68.本实施例提供了两种确定与流量地址信息匹配的目标查询地址信息的方法，具体如何通过匹配得到目标查询地址信息可以根据需要进行设置，其中，本实施例提供的两种方法包括：
69.第一种方法：根据查询地址信息中的源ip、目的ip和目的端口进行一一匹配，得到与流量地址信息中的源ip、目的ip和目的端口均匹配的匹配查询地址信息，作为所述目标查询地址信息。
70.第二种方法：根据查询地址信息中的源ip和目的ip进行一一匹配，得到与流量地址信息中的源ip和目的ip均匹配的待选查询地址信息；
71.然后，获取配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记
录的端口信息，从获取的端口信息中查询与所述流量地址信息中的目的端口相匹配的端口信息，作为目标端口信息；
72.最后，获取对记录有目标端口信息的设备信息的设备所配置的待选查询地址信息，作为匹配查询地址信息，将匹配查询地址信息作为所述目标查询地址信息。
73.本实施例中，通过流量地址信息中的源ip、目的ip和目的端口从设备信息库中获取设备信息，通过获取的设备信息实现了对访问流量的响应，从而有利于诱导攻击者对欺骗诱捕系统进行攻击。
74.进一步地，在上述各实施例的基础上，所述将所述匹配查询地址信息作为所述目标查询地址信息，包括：
75.若存在至少两个匹配查询地址信息，则获取配置了各匹配查询地址信息的设备，作为待选设备；
76.根据所述设备信息库中各待选设备的设备信息，确定与附加匹配条件相匹配的目标设备信息，将所述目标设备信息对应的设备所配置的查询地址信息作为所述目标查询地址信息；
77.其中，所述附加匹配条件包括如下条件中至少一种：设备名称、设备厂商。
78.通过流量地址信息中的源ip、目的ip和目的端口匹配得到的匹配查询地址信息可能存在多个，为了进一步对查询地址信息进行筛选，可以预先配置一些附加匹配条件，例如，附加匹配条件为从各匹配查询地址信息的设备中选取a设备厂商的设备，或者对于均能够提供信息转发服务的路由器和交换机，附加匹配条件为从各匹配查询地址信息的设备中选取路由器。
79.本实施例中，通过配置附加匹配条件实现了根据匹配查询地址信息查询到的设备进行进一步地的筛选，使得根据经过附加匹配条件确定的目标设备信息与客户需求更加吻合，从而有利于提高诱导攻击者对欺骗诱捕系统进行攻击的成功率。
80.进一步地，在上述各实施例的基础上，所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息之前，还包括：
81.获取根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置的转发地址信息，判断转发地址信息中是否存在与所述访问流量中的流量地址信息相匹配的转发地址信息；
82.若存在与所述流量地址信息相匹配的转发地址信息，则根据与所述流量地址信息相匹配的转发地址信息，将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
83.若不存在与所述流量地址信息相匹配的转发地址信息，则根据所述流量地址信息从设备信息库中获取目标设备的设备信息。
84.欺骗诱捕系统中还存在能够对访问流量进行处理的蜜罐子系统，若某一蜜罐子系统能够处理访问流量，则无需通过设备信息库查询设备信息，直接通过该蜜罐子系统处理该访问流量即可。因此，在本实施例中，欺骗诱捕系统中预先配置了对应于各蜜罐子系统的转发地址信息，先将流量地址信息和转发地址信息进行匹配，若匹配成功，则直接将访问流量转发到蜜罐子系统进行处理，而不需进行设备信息库的查询。
85.其中，与所述流量地址信息相匹配的转发地址信息，包括：与所述流量地址信息中的源ip、目的ip和目的端口均匹配的转发地址信息，或者与所述流量地址信息中的任一项信息(任一项信息为源ip、目的ip或目的端口)或任两项信息(任两项信息为源ip、目的ip和
目的端口中任两项信息的组合)相匹配的转发地址信息。
86.本实施例中通过配置的转发地址信息(即配置了“路由策略”)，将能够通过蜜罐子系统处理的访问流量直接转发到蜜罐子系统，通过蜜罐子系统能够更好地对攻击者的攻击行为进行分析。
87.进一步地，在上述各实施例的基础上，所述若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量，包括：
88.获取所述目标设备的设备信息中记录的所述目标服务的服务信息，根据所述服务信息判断所述访问流量中是否携带了对提供目标服务的设备进行探测的设备探测信息；
89.若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
90.若所述访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息，则丢弃所述访问流量。
91.在确定了目标设备的设备信息后，从设备信息中可以确定目标设备所提供的目标服务的服务信息，根据该服务信息可以对访问流量中是否携带了对提供目标服务的设备进行探测的设备探测信息进行判断。例如，检测到访问流量中携带了与目标服务的服务信息匹配的信息(例如，目标服务的服务信息对应的二进制数据)，则判定访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，否则，判定访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息。
92.当访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息时，由于也不存在与访问流量中的流量地址信息匹配的转发地址信息，因此可以丢弃访问流量，避免欺骗诱捕系统在没有将攻击数据引入到蜜罐子系统之前受到攻击。
93.响应流量为对访问流量进行反馈的流量。根据所述目标设备的设备信息生成所述访问流量的响应流量，可以包括：将所述目标设备的设备信息中包含的所有信息或部分信息添加到对访问流量生成的响应流量中，以使得攻击者通过响应流量能够接收到目标设备的设备信息。
94.本实施例中，通过对访问流量中是否携带设备探测信息的判断，实现了在攻击者进行设备探测行为时，根据确定的目标设备的设备进行对访问流量进行正确的响应，有利于提高诱导攻击者对欺骗诱捕系统进行攻击的成功率。
95.进一步地，在上述各实施例的基础上，还包括：
96.判断接收到所述访问流量的时间点到当前时间点之间的时长是否大于或等于预设时长，若是，则获取从转发地址信息中获取目标转发地址信息，根据所述目标转发地址信息将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
97.其中，所述转发地址信息根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置；所述目标转发地址信息中目的端口所对应的服务为所述目标服务。
98.其中，若转发地址信息中目的端口所对应的服务中不存在所述目标服务，则丢弃所述访问流量。预设时长可以根据经验设置，例如，根据通常对提供服务的设备进行探测所需要花费的时长设置，例如，预设时长设置为5分钟。
99.为了对攻击行为进行分析，可以对访问流量确定了目标设备的设备信息后，根据
目标设备的设备信息中的记录的服务信息，将访问流量转发到与该服务信息的服务对应的蜜罐子系统中，以对该访问流量进行分析。
100.本实施例中，通过将访问流量转发到蜜罐子系统，实现了对访问流量的分析，有利于根据分析结果合理对攻击者的攻击行为进行防御。
101.具体地，针对现有技术根本无法完成对几千种设备的模拟，使得攻击者根本无法接触到如此多的设备并欺骗攻击者。本技术通过轻量级的仿真，在极低的实现成本下实现了对攻击者的欺骗，从现有技术仅可欺骗少量设备类攻击探测行为变为可实现对几乎所有的设备类探测行为的欺骗。
102.其中，本技术利用设备banner库(设备信息库)，以代理的形式实现多种服务的随机banner和服务转发功能。首先，利用防火墙策略，实现对任意目的ip、任意端口的访问流量均转发到某个特定进程上，该进程根据请求从banner库中根据策略(配置或随机)返回对应的banner信息。其次，当生效时间达到预设时长后会切换到转发策略，转发到后端高交互蜜罐。高交互蜜罐以服务来区分，涵盖各类网络设备常见服务。例如，banner库可以仿真huawei各型号设备。
103.针对本技术提供的设备探测处理方法，还可以通过如下实验对其功能进行检验，试验方法：模拟攻击者的信息收集阶段，对系统利用端口扫描类工具进行探测；评价标准：探测出的设备类型种类数量。
104.图2为本实施例提供的对访问流量处理过程的流程示意图，参见图2，该过程包括：首先进行流量引流，根据策略配置是否利用banner策略响应，如果否，则直接进行流量转发，如果是，根据随机或配置策略生成banner并返回。再判断是否超时，如果是则直接转发流量到后端高交互蜜罐，如果否，根据配置是否继续响应banner策略，如果是，则继续响应，如果否，则直接进行流量转发。
105.图3为本实施例提供的设备探测处理装置的结构框图，参见图3，该设备探测处理装置应用于欺骗诱捕系统，包括获取模块301和响应模块302，其中，
106.获取模块301，用于接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；
107.响应模块302，用于若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
108.其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
109.本实施例提供的设备探测处理装置适用于上述各实施例提供的设备探测处理方法，在此不再赘述。
110.本实施例提供了一种设备探测处理装置，根据访问流量从设备信息库中获取设备信息，生成访问流量的响应流量。对于攻击者发送的设备探测信息，均能通过设备信息库查询到相关的设备信息。根据查询到的设备信息生成响应流量，成功应对攻击者的设备探测行为，使得攻击者对欺骗诱捕系统进行攻击。
111.可选地，所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，包括：
112.获取所述访问流量中的地址信息，作为流量地址信息，并获取预先对所述设备信息库中的至少一个设备配置的查询地址信息；
113.获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地址信息；
114.将所配置的查询地址信息为所述目标查询地址信息的设备作为所述目标设备，从所述设备信息库中获取所述目标设备的设备信息。
115.可选地，所述获取与所述流量地址信息相匹配的查询地址信息，作为目标查询地址信息，包括：
116.根据所述流量地址信息中的源ip、目的ip和目的端口，从查询地址信息中获取与所述流量地址信息相匹配的匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息；
117.或者，根据所述流量地址信息中的源ip和目的ip，从所配置的查询地址信息中获取与所述流量地址信息相匹配的待选查询地址信息，根据所述流量地址信息中的目的端口，以及配置了待选查询地址信息的设备在所述设备信息库的设备信息中所记录的端口信息，从待选查询地址信息中确定所述匹配查询地址信息，将所述匹配查询地址信息作为所述目标查询地址信息。
118.可选地，所述将所述匹配查询地址信息作为所述目标查询地址信息，包括：
119.若存在至少两个匹配查询地址信息，则获取配置了各匹配查询地址信息的设备，作为待选设备；
120.根据所述设备信息库中各待选设备的设备信息，确定与附加匹配条件相匹配的目标设备信息，将所述目标设备信息对应的设备所配置的查询地址信息作为所述目标查询地址信息；
121.其中，所述附加匹配条件包括如下条件中至少一种：设备名称、设备厂商。
122.可选地，所述根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息之前，还包括：
123.获取根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置的转发地址信息，判断转发地址信息中是否存在与所述访问流量中的流量地址信息相匹配的转发地址信息；
124.若存在与所述流量地址信息相匹配的转发地址信息，则根据与所述流量地址信息相匹配的转发地址信息，将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
125.若不存在与所述流量地址信息相匹配的转发地址信息，则根据所述流量地址信息从设备信息库中获取目标设备的设备信息。
126.可选地，所述若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量，包括：
127.获取所述目标设备的设备信息中记录的所述目标服务的服务信息，根据所述服务信息判断所述访问流量中是否携带了对提供目标服务的设备进行探测的设备探测信息；
128.若所述访问流量中携带了对提供目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；
129.若所述访问流量中没有携带对提供目标服务的设备进行探测的设备探测信息，则丢弃所述访问流量。
130.可选地，还包括：
131.判断接收到所述访问流量的时间点到当前时间点之间的时长是否大于或等于预设时长，若是，则获取从转发地址信息中获取目标转发地址信息，根据所述目标转发地址信息将所述访问流量转发到所述欺骗诱捕系统中的蜜罐子系统中；
132.其中，所述转发地址信息根据所述欺骗诱捕系统中的蜜罐子系统的地址信息配置；所述目标转发地址信息中目的端口所对应的服务为所述目标服务。
133.图4示例了一种电子设备的实体结构示意图，如图4所示，该电子设备可以包括：处理器(processor)401、通信接口(communications interface)402、存储器(memory)403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令，以执行如下方法：接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
134.此外，上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
135.进一步地，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
136.另一方面，本发明实施例还提供一种非暂态可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：接收访问流量，根据所述访问流量从预先构建的设备信息库中获取目标设备的设备信息，并根据所述目标设备的设备信息确定由所述目标设备提供的目标服务；若所述访问流量中携带了对提供所述目标服务的设备进行探测的设备探测信息，则根据所述目标设备的设备信息生成所述访问流量的响应流量；其中，所述设备信息库中包括各设备的设备信息，任一设备的设备信息中包括由所述任一设备提供的服务。
137.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单
元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
138.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
139.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。