云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质与流程

1.本发明涉及计算机网络安全领域，具体而言，涉及一种云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质。


背景技术：

2.随着信息化技术和互联网技术的不断发展，使得网络安全技术从传统的被动防御技术转为主动欺骗防御技术，而蜜罐技术作为主动欺骗防御技术的核心，通过暗设陷阱，主动诱导攻击，动态感知攻击行为并定位攻击源，从而可以对攻击行为进行捕获和分析，推测攻击意图和动机来进行防御，保障网络的安全运行。云蜜罐为利用公有云部署的蜜罐，现有技术中在部署云蜜罐时，由于云蜜罐系统搭建和部署的过程较为复杂，而且技术门槛较高，所以需要一定的技术人员对云蜜罐系统进行手工搭建和部署，同时在部署的过程还需要额外的网络设备来进行网络环境配置，由于这些原因增加了部署云蜜罐的经济成本和人力成本，最终影响了蜜罐技术的发展。
3.因此，如何方便地对云蜜罐进行部署成为技术人员需要考虑的问题。


技术实现要素：

4.本技术提供了一种云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质，其能够简化云蜜罐部署过程，使得蜜罐的部署更加方便，节约部署云蜜罐的经济成本和人力成本。
5.为了实现上述目的，本技术实施例采用的技术方案如下：
6.第一方面，本技术实施例提供了一种云蜜罐部署方法，应用于云蜜罐服务器，所述云蜜罐服务器分别与第一客户端、云dns服务器以及探针服务器通信连接，所述第一客户端与所述探针服务器通信连接，所述云蜜罐服务器包括数据库；
7.所述数据库预先存储有多个蜜罐服务类型和多个端口之间的一一对应关系，所述方法包括：
8.接收所述第一客户端发送的域名及目标蜜罐服务类型；
9.根据所述目标蜜罐服务类型和所述一一对应关系，得到所述目标蜜罐服务类型对应的目标端口；
10.将所述目标端口与所述域名的映射关系存储至所述数据库，所述映射关系用于在云蜜罐部署完成后对所述域名进行访问；
11.将所述域名发送至所述云dns服务器进行dns解析；
12.在接收到所述云dns服务器发送的解析完成信息后，将所述域名发送至所述探针服务器以完成云蜜罐的部署。
13.可选的，所述探针服务器上部署有云蜜罐探针，在将所述域名发送至所述探针服务器以完成云蜜罐的部署的步骤之后，所述方法还包括：
14.接收筛选后的访问流量，所述筛选后的访问流量是所述云蜜罐探针根据所述域名筛选所述第二客户端发送的访问流量；
15.根据所述映射关系将所述筛选后的访问流量转发至所述目标端口。
16.可选的，所述云蜜罐探针根据所述域名筛选所述第二客户端发送的访问流量的步骤，包括：
17.所述云蜜罐探针对所述访问流量进行解析得到多个流量数据包；
18.所述云蜜罐探针根据每个所述流量数据包的host字段和所述域名的关系，对所述多个流量数据包进行筛选，得到所述筛选后的访问流量。
19.可选的，所述云蜜罐探针根据每个所述流量数据包所包含的host字段和所述域名的关系，对所述多个流量数据包进行筛选，得到所述筛选后的访问流量的步骤，包括：
20.所述云蜜罐探针获取每个所述流量数据包的host字段；
21.针对每个所述流量数据包，若所述流量数据包的所述host字段包括所述域名，则保留所述流量数据包；
22.若所述流量数据包的所述host字段不包括所述域名，则将所述流量数据包丢弃，得到所述筛选后的访问流量。
23.第二方面，本技术实施例还提供了一种云蜜罐部署装置，应用于云蜜罐服务器，所述云蜜罐服务器分别与第一客户端、云dns服务器以及探针服务器通信连接，所述第一客户端与所述探针服务器通信连接，所述云蜜罐服务器包括数据库；
24.所述数据库预先存储有多个蜜罐服务类型和多个端口之间的一一对应关系，所述装置包括：
25.接收模块，用于接收所述第一客户端发送的域名及目标蜜罐服务类型；
26.接收模块，还用于根据所述目标蜜罐服务类型和所述一一对应关系，得到所述目标蜜罐服务类型对应的目标端口；
27.存储模块，用于将所述目标端口与所述域名的映射关系存储至所述数据库，所述映射关系用于在云蜜罐部署完成后对所述域名进行访问；
28.解析模块，用于将所述域名发送至所述云dns服务器进行dns解析；
29.发送模块，用于在接收到所述云dns服务器发送的解析完成信息后，将所述域名发送至所述探针服务器以完成云蜜罐的部署。
30.可选的，所述探针服务器上部署有云蜜罐探针，所述装置还包括：
31.接收模块，用于接收筛选后的访问流量，所述筛选后的访问流量是所述云蜜罐探针根据所述域名筛选所述第二客户端发送的访问流量；
32.发送模块，还用于根据所述映射关系将所述筛选后的访问流量转发至所述目标端口。
33.可选的，所述云蜜罐探针用于：
34.对所述访问流量进行解析得到多个流量数据包；
35.根据每个所述流量数据包的host字段和所述域名的关系，对所述多个流量数据包进行筛选，得到所述筛选后的访问流量。
36.可选的，所述云蜜罐探针还用于：
37.获取每个所述流量数据包的host字段；
38.针对每个所述流量数据包，若所述流量数据包的所述host字段包括所述域名，则保留所述流量数据包；
39.若所述流量数据包的所述host字段不包括所述域名，则将所述流量数据包丢弃，得到所述筛选后的访问流量。
40.第三方面，本技术实施例还提供了一种云蜜罐服务器，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的程序指令，当所述云蜜罐服务器运行时，所述处理器与所述存储器之间通过总线通信，所述处理器执行所述程序指令，以执行时执行如第一方面任意一项所述的云蜜罐部署方法。
41.第四方面，本技术实施例还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如第一方面任意一项所述的云蜜罐部署方法。
42.相对现有技术，本技术实施例提出一种云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质，云蜜罐服务器在接收到第一客户端发送的域名和目标蜜罐服务类型之后，会根据目标蜜罐服务类型和对应关系得到目标端口，然后将目标端口与域名的映射关系进行存储，并将域名发送至云dns服务器进行域名解析，最后在接收到云dns服务器发送的解析完成信息后，将域名发送至所述探针服务器以完成云蜜罐的部署。与现有技术相比，本技术实施例通过在探针服务器中部署云蜜罐探针并通过域名和目标蜜罐服务类型来完成对云蜜罐的部署，在简化云蜜罐部署过程的同时也降低了成本，使得云蜜罐的部署更加方便快捷。
附图说明
43.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
44.图1示出了本技术实施例提供的云蜜罐部署方法的应用场景图。
45.图2示出了本技术实施例提供的云蜜罐部署方法的另一种应用场景图。
46.图3示出了本技术实施例提供的云蜜罐部署方法的流程示意图。
47.图4示出了本技术实施例提供的云蜜罐部署方法的另一种流程示意图。
48.图5示出了本技术实施例提供的一种云蜜罐部署装置的结构示意图。
49.图6示出了本技术实施例提供的云蜜罐服务器的结构示意图。
50.图标：10-云蜜罐服务器；20-第一客户端；30-云dns服务器；40-探针服务器；50-第二客户端；100-云蜜罐部署装置；110-接收模块；120-存储模块；130-解析模块；140-发送模块；11-处理器；12-存储器；13-总线。
具体实施方式
51.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
52.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护
的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
53.需要说明的是，在不冲突的情况下，本发明的实施例中的特征可以相互结合。
54.蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析。云蜜罐是蜜罐技术的一种具体实现，与传统蜜罐相比，云蜜罐不需要创建云主机，不需要占用第一客户端额外的资源，即可在云端进行快速部署，进而能够达到大规模快速部署蜜罐的目的。在网络防护方面，云蜜罐能够做到全面精准感知威胁并报警，记录攻击信息供后续分析并且形成针对性强、高价值的威胁情报，与防御类产品结合能够增强网络的防御能力。
55.在部署云蜜罐时，由于云蜜罐系统搭建和部署的过程较为复杂，而且技术门槛较高，所以需要一定的技术人员对云蜜罐系统进行手工搭建和部署，同时在部署的过程还需要额外的网络设备来进行网络环境配置，并且云蜜罐的运行和维护成本极高。由于这些原因增加了部署云蜜罐的经济成本和人力成本，最终影响了蜜罐技术的发展。
56.针对上述技术问题，本技术实施例提供了一种云蜜罐部署方法，通过在探针服务器中部署云蜜罐探针并通过域名和目标蜜罐服务类型来完成对云蜜罐的部署，在简化云蜜罐部署过程的同时也降低了成本，使得云蜜罐的部署更加方便快捷，下面对此进行详细的介绍。
57.请参照图1，图1示出了本技术实施例提供的云蜜罐部署方法的应用场景图，包括云蜜罐服务器10、第一客户端20、云dns服务器30以及探针服务器40。
58.其中，云蜜罐服务器10分别与第一客户端20、云dns服务器30和探针服务器40进行网络连接，以实现云蜜罐服务器10与第一客户端20、云dns服务器30、探针服务器40的通信交互，此外，第一客户端20还与探针服务器40连接实现交互，其中交互的方式例如可以通过有线网络，该有线网络例如可以包括同轴电缆、双绞线和光纤等，还可以通过无线网络，该无线网络可以是2g网络、3g网络、4g网络或者5g网络、wifi网络等，本技术实施例对此不作任何限定。
59.云蜜罐服务器10包括数据库，数据库用于存储目标端口与域名的映射关系，还预先存储多个蜜罐服务类型和多个端口之间的一一对应关系，端口用于提供蜜罐服务，蜜罐服务类型为端口所提供的蜜罐服务的类型，例如web类型，数据库类型，linux虚拟系统型等，可预先展示于第一客户端20上供用户选择。此外，云蜜罐服务器10不仅能存储运行时的各种程序，例如蜜场程序、dns程序、云服务器程序及其他程序，还能够存储程序在运行时必要的中间状态参数。
60.探针服务器40上部署有云蜜罐探针，云蜜罐探针的部署过程为：第一客户端20运行探针脚本代码即可在探针服务器40中部署云蜜罐探针，其中云蜜罐探针用于根据域名来筛选第二客户端50发送的访问流量，此外还能够监听云蜜罐服务器10的状态数据，并将监听到的状态数据实时传输到第一客户端20中显示出来，以便用户能够对云蜜罐服务器10的状态进行调整。
61.云蜜罐服务器10用于接收第一客户端20发送过来的域名和目标蜜罐服务类型，并根据蜜罐服务类型和端口的一一对应关系得到目标端口，同时将域名发送给云dns服务器
30，在接收到云dns服务器30返回的解析完成信息后将域名发送到探针服务器40中。
62.第一客户端20用于将域名和目标蜜罐服务类型发送至云蜜罐服务器10中，其中，域名是由用户根据自身需求在第一客户端20中输入的，用于在数据传输时进行定位标识，而目标蜜罐服务类型为用户从蜜罐服务类型中选择的任意一种服务类型，第一客户端20可以是任何具有网路访问能力的终端设备，例如第一客户端20可以是手机、平板电脑、个人计算机(pc)等等，本技术的实施例此不做限定。
63.云dns服务器30用于向云蜜罐服务器10提供dns解析服务，并将解析成功的信息发送给云蜜罐服务器10，其为云dns厂商向用户提供解析服务时所使用的服务器。其中，dns解析服务为将易于管理识别的域名转换为计算机用于通信的ip地址，能够使得用户通过域名直接对网站进行访问。
64.探针服务器40用于部署云蜜罐探针，云蜜罐探针能够根据域名对接收到的访问流量进行筛选，并将筛选后的访问流量发送至云蜜罐服务器10。
65.本技术实施例所提供的应用于云蜜罐服务器10的云蜜罐部署方法，生成的云蜜罐能够吸引云dns的攻击行为并对攻击行为进行分析，因此本技术实施例所提供的云蜜罐部署方法的应用场景为对网络攻击进行防御。
66.基于图1，请参照图2，图2示出了本技术实施例提供的云蜜罐部署方法的另一种应用场景图，探针服务器40还与第二客户端50连接。
67.第二客户端50用于将访问流量发送至探针服务器，其为具有网络访问能力的平板电脑及个人计算机(pc)。
68.在图1所示的应用场景示意图的基础上，请参照图3，图3示出了本技术实施例提供的云蜜罐部署方法的流程示意图，该云蜜罐部署方法应用于云蜜罐服务器10，包括以下步骤：
69.s110、接收第一客户端发送的域名及目标蜜罐服务类型。
70.用户根据自身需求从第一客户端20展示的多个蜜罐服务类型选择一个作为目标服务类型。在探针服务器40成功部署云蜜罐探针之后，能够在第一客户端20中显示出云蜜罐探针，此时用户根据自身需求在第一客户端20中输入域名和目标蜜罐服务类型，第一客户端20再将域名和目标蜜罐服务类型发送至云蜜罐服务器10。
71.s120、根据目标蜜罐服务类型和一一对应关系，得到目标蜜罐服务类型对应的目标端口。
72.蜜罐服务类型和端口呈一一对应关系存储于数据库中，在云蜜罐服务器10接收到目标蜜罐服务类型之后，会从数据库中调取一一对应关系进而得到目标端口。
73.在一种可能的实现方式当中，若用户所选择的蜜罐服务类型为web类型，数据库中存储的web类型所对应的端口是9900，该端口提供的是web服务，进而返回目标端口9900。
74.s130、将目标端口与域名的映射关系存储至数据库，映射关系用于在蜜罐部署完成后对域名进行访问。
75.在云蜜罐服务器10得到目标端口之后，便将目标端口和域名作为一组映射关系，将该映射关系放入数据库中的云服务器程序中进行存储，以便后续能够对域名进行访问。
76.s140、将域名发送至云dns服务器进行dns解析。
77.主机服务器调用数据库中的dns程序，并将域名发送至云dns服务器30来向云厂商
请求dns解析的服务，将域名解析至云主机服务器的ip地址之中，当域名解析成功之后，云dns服务器30会自动生成一个解析完成信息发送至主机服务器，其中云dns服务器30可以为dns厂商的dns服务器。
78.s150、在接收到云dns服务器发送的解析完成信息后，将域名发送至蜜罐探针以完成蜜罐的部署。
79.云蜜罐服务器10在接收到解析完成信息之后，便将域名发送至探针服务器40中，完成云蜜罐的部署。
80.在云蜜罐服务器10完成对蜜罐的部署之后，请在图3的基础上参照图4，图4示出了本技术实施例提供的云蜜罐部署方法的另一种流程示意图，在步骤s150之后还包括步骤s210～s220：
81.s210、接收筛选后的访问流量，所述筛选后的访问流量是所述云蜜罐探针根据所述域名筛选所述第二客户端发送的访问流量。
82.第二客户端50向部署过云蜜罐探针的探针服务器40发送访问流量，该访问流量用于访问域名，云蜜罐探针在获取到访问流量之后，根据域名筛选访问流量。
83.s220、根据映射关系将筛选后的访问流量转发至目标端口。
84.由于在蜜罐部署的过程中，云蜜罐服务器10将目标端口与域名的映射关系存储于数据库之中，当云蜜罐探针筛选流量访问并转发至云蜜罐服务器10之后，云蜜罐服务器10会将筛选后的访问流量根据数据库中存储的目标端口与域名的映射关系转发至目标端口上。
85.当第二客户端50将访问流量发送至探针服务器40之后，云蜜罐探针根据域名筛选访问流量的步骤如下：
86.s310、云蜜罐探针对访问流量进行解析得到多个流量数据包。
87.s320、云蜜罐探针根据每个流量数据包的host字段和域名的关系，对多个流量数据包进行筛选，得到所述筛选后的访问流量。
88.探针服务器40中部署的云蜜罐探针将得到的域名作为筛选的目标值，通过解析访问流量进而得到多个流量数据包，在获得多个流量数据包之后，由于每个数据流量包内含有host字段，便利用host字段作为筛选条件来筛选目标值，进而得到符合目标值的域名访问流量。
89.在云蜜罐探针对访问流量进行解析得到多个流量数据包之后，步骤s320包括步骤s3201～s3203：
90.s3201、云蜜罐探针获取每个流量数据包的host字段；
91.s3202、针对每个流量数据包，若流量数据包的host字段与域名匹配，则保留所述流量数据包；
92.s3203、若流量数据包的host字段与域名不匹配，则将流量数据包丢弃，得到筛选后的访问流量。
93.在云蜜罐部署完成之后，当黑客在第二客户端50中输入云蜜罐服务器10部署的域名，此时第二客户端50会向探针服务器40发送访问流量，云蜜罐探针对访问流量进行解析，若解析后的数据流量包中host字段能匹配部署的域名，则云蜜罐探针继续转发该流量包至云蜜罐服务器10中，不匹配域名的数据流量包则丢弃。
94.在一种可能的实现方式当中，若用户在第一客户端20中输入的域名为abc.com，在蜜罐部署完成之后，此时第二客户端50发送访问流量至探针服务器40，而云蜜罐探针对访问流量进行解析之后会有多个数据流量包，而其中一个数据流量包中会带有host字段，若该host字段为host:abc.com，此时该host字段就与第一客户端20中输入的域名匹配，那么云蜜罐探针就会将该host字段的流量数据包进行保留，并对其他不匹配输入域名的流量数据包进行丢弃。
95.与现有技术相比，本技术实施例具有以下有益效果：
96.第一、上述云蜜罐部署的流程能够自动化运行，因此用户仅仅需要考虑自己需要部署的蜜罐服务类型和域名，而不必担心云蜜罐具体的部署流程，降低了人工的参与程度，进而显著地降低了人力成本与经济成本，使得云蜜罐的部署更为方便快捷。
97.第二、通过在探针服务器中部署云蜜罐探针，实现了对域名的访问流量筛选过程，同时云蜜罐探针还具有轻量，体积小，资源占用小的特点，对于服务器的要求不高，能够显著降低服务器的成本。
98.第三、云蜜罐探针能够监听云蜜罐服务器的状态数据，并将监听到的状态数据实时传输到第一客户端中显示出来，以便用户能够对云蜜罐服务器的状态进行调整。
99.下面给出一种云蜜罐部署装置可能的实现方式，其用于执行上述实施例及可能的实现方式中示出的云蜜罐部署方法各个步骤和相应的技术效果。请参照图5，图5示出了本技术实施例提供的一种云蜜罐部署装置100的结构示意图，该装置应用于云蜜罐服务器10，云蜜罐部署装置100包括：接收模块110、接受模块、存储模块120、解析模块130及发送模块140；
100.接收模块110，用于接收第一客户端发送的域名及目标蜜罐服务类型。
101.接收模块，还用于根据目标蜜罐服务类型和一一对应关系，得到目标蜜罐服务类型对应的目标端口。
102.存储模块120，用于将目标端口与域名的映射关系存储至数据库，映射关系用于对域名进行访问。
103.解析模块130，用于将域名发送至云dns服务器进行dns解析。
104.发送模块140，用于在接收到云dns服务器发送的解析完成信息后，将域名发送至蜜罐探针以完成蜜罐的部署。
105.可选地，接收模块110，话用于接收筛选后的访问流量，筛选后的访问流量是云蜜罐探针根据域名筛选第二客户端发送的访问流量。
106.发送模块140，还用于根据映射关系将筛选后的访问流量转发至目标端口。
107.可选的，云蜜罐探针用于：
108.对访问流量进行解析得到多个流量数据包。
109.根据每个流量数据包的host字段和域名的关系，对多个流量数据包进行筛选，得到筛选后的访问流量。
110.可选的，云蜜罐探针还用于：
111.获取每个流量数据包的host字段；
112.针对每个流量数据包，若流量数据包的所述host字段与域名匹配，则保留流量数据包；
113.若流量数据包的host字段与域名不匹配，则将流量数据包丢弃，得到筛选后的访问流量。
114.下面对云蜜罐服务器的结构进行介绍，请参照图6，图6示出了本技术实施例提供的云蜜罐服务器的结构示意图。
115.云蜜罐服务器10包括处理器11、存储器12和总线13，处理器11通过总线13与存储器12连接。存储器12用于存储程序，例如图5所示的云蜜罐部署装置100，云蜜罐部署装置100包括至少一个可以软件或固件(firmware)的形式存储于存储器12中或固化在操作系统(operating system，os)中的软件功能模块，处理器11在接收到执行指令后，执行程序以实现上述实施例揭示的云蜜罐部署方法。
116.存储器12可能包括高速随机存取存储器(random access memory，ram)，也可能还包括非易失存储器(non-volatile memory，nvm)。
117.处理器11可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器11中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器11可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、微控制单元(microcontroller unit，mcu)、复杂可编程逻辑器件(complex programmable logic device，cpld)、现场可编程门阵列(field－programmable gate array，fpga)、嵌入式arm等芯片。
118.本技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器11执行时实现上述实施例揭示的云蜜罐部署方法。
119.综上所述，本技术实施例提出一种云蜜罐部署方法、装置、云蜜罐服务器及可读存储介质，云蜜罐服务器在接收到第一客户端发送的域名和目标蜜罐服务类型之后，会根据目标蜜罐服务类型和对应关系得到目标端口，然后将目标端口与域名的映射关系进行存储，并将域名发送至云dns服务器进行域名解析，最后在接收到云dns服务器发送的解析完成信息后，将域名发送至所述探针服务器以完成云蜜罐的部署。与现有技术相比，本技术实施例通过在探针服务器中部署云蜜罐探针并通过域名和目标蜜罐服务类型来完成对云蜜罐的部署，在简化云蜜罐部署过程的同时也降低了成本，使得云蜜罐的部署更加方便快捷。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。