(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210925002.6 (22)申请日 2022.08.03 (71)申请人 山东贝格通软件科技有限公司 地址 266071 山东省青岛市 市南区山 东路6 号甲1号楼1210户 (72)发明人 刘正涛　宰祥顺　 (74)专利代理 机构 北京创智合源知识产权代理 事务所(普通 合伙) 16092 专利代理师 吴彩凤 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种蜜罐流量牵引装置、 方法、 计算机设备 及存储介质 (57)摘要 本发明涉及一种蜜罐流量牵引装置、 方法、 计算机设备及存储介质， 涉及互联网技术领域， 该装置包括蜜罐管理平台、 蜜罐节点、 蜜罐流量 牵引服务端、 蜜罐流量牵引终端； 所述蜜罐流量 牵引服务端与蜜罐管理平台部署在同一个机器 节点上， 所述蜜罐流量牵引终端部署在与蜜罐管 理平台不同的隔离网中； 所述蜜罐流量牵引服务 端部署有一个， 每个隔离网中部署有多个所述蜜 罐流量牵引终端。 在复杂隔离网络中， 本发明的 隔离网之间通过防火墙开放的单一端口， 使蜜罐 流量牵引服务端与蜜罐流量牵引终端建立加密 隧道。 根据蜜罐流量牵引服务端下 发给蜜罐流量 牵引终端的路由表及相关采集策略， 将不同隔离 网段的所需流 量牵引到蜜罐系统中。 权利要求书2页 说明书9页 附图1页 CN 115514514 A 2022.12.23 CN 115514514 A 1.一种蜜罐流量牵引装置， 其特征在于， 用于高效、 安全、 可靠的引流， 包括： 蜜罐管理 平台、 蜜罐节点、 蜜罐流 量牵引服 务端、 蜜罐流 量牵引终端； 所述蜜罐流量牵引服务端与蜜罐管理平台部署在同一个机器节点上， 所述蜜罐流量牵 引终端部署在与蜜罐 管理平台不同的隔离网中； 所述蜜罐流量牵引服务端部署有一个， 每个隔离网中部署有多个所述蜜罐流量牵引终 端。 2.根据权利要求1所述的蜜罐流量牵引装置， 其特征在于， 所述蜜罐流量牵引服务端在 隔离网A， 蜜 罐流量牵引终端在隔离网B， 隔离网A与隔离网B之间部署有防火墙， 防火墙用于 控制隔离网A与隔离网B之间的访问授权 。 3.根据权利要求1所述的蜜罐流量牵引装置， 其特征在于， 所述蜜罐流量牵引终端与蜜 罐流量牵引服务端的牵引流量为双向互通， 所述蜜罐流量牵引服务端用于接收蜜 罐流量牵 引终端发送的流 量， 蜜罐流 量牵引终端用于 接收蜜罐流 量牵引服 务端发送的流 量。 4.根据权利要求3所述的蜜罐流量牵引装置， 其特征在于， 所述蜜罐流量牵引终端与蜜 罐流量牵引服务端之 间设置有一个加密的隧道， 所有协 议类型的流量均通过所述隧道进 行 发送与接收。 5.根据权利要求4所述的蜜罐流量牵引装置， 其特征在于， 当有攻击者的访问流量到达 所述蜜罐流量牵引终端的网卡时， 且攻击者访问的目的地址命中了预先配置的规则， 所述 蜜罐流量牵引装置用于将目的地址进行DNAT转换， 不对源地址重写， 保留报文中原始来源 IP。 6.根据权利要求5所述的蜜罐流量牵引装置， 其特征在于， 所述蜜罐流量牵引装置进行 DNAT转换时， 包括以下步骤： 将目的地址改写为蜜罐流量牵引终端机器上虚拟网卡的虚拟子网IP地址， 此时， 根据 蜜罐流量牵引终端所在机器的系统路由表设置， 通往蜜罐流量牵引服务端的流量经过本机 虚拟网卡， 由蜜罐流 量牵引终端读取后通过建立的隧道， 发送至蜜罐流 量牵引服 务端； 蜜罐流量牵引服务端通过虚拟网卡接收到流量， 此时根据路由表策略， 将流量送达对 应的蜜罐节点， 蜜罐节点 监听的地址即虚拟子网的IP地址； 蜜罐节点接收到攻击流 量获取真实攻击者 IP并做出响应； 蜜罐节点对指定流量的响应， 通过蜜罐流量牵引服务端与蜜罐流量牵引终端之间的隧 道， 回流至蜜 罐流量牵引终端节点， 并由蜜 罐流量牵引终端节点， 将响应流量返回给请求 发 起方。 7.根据权利要求6所述的蜜罐流量牵引装置， 其特征在于， 攻击者攻击的目的地址， 为 流量在蜜罐流 量牵引终端所在机器中网卡的地址 。 8.一种蜜罐流 量牵引方法， 其特 征在于， 包括以下步骤： 蜜罐流量牵引服 务端从蜜罐 管理平台获取蜜罐节点 服务的IP地址， 并记录； 启动蜜罐流量牵引终端， 并创建一张虚拟网卡， 通过与防火墙中配置的隔离网A与隔离 网B互通的端口， 与蜜罐流 量牵引服 务端建立连接； 蜜罐流量牵引服务端接收到蜜罐流量牵引终端的首次请求后， 在本机创建一个虚拟网 卡， 用于与该蜜罐流 量牵引终端 进行隧道通信； 蜜罐流量牵引服 务端下发给蜜罐流 量牵引终端虚拟网卡的IP， 以及路由表策略；权　利　要　求　书 1/2 页 2 CN 115514514 A 2蜜罐流量牵引终端设置虚拟网卡的IP地址为接收到蜜罐流量牵引服务端下发的IP地 址， 并配置对应的路由表策略； 蜜罐流量牵引服务端与蜜罐流量牵引终端建立了一条加密隧道， 并且成功 组成虚拟子 网； 在隔离网A和隔离网B中， 通过 所述加密隧道进行通信； 访问蜜罐流量牵引终端所在的机器网卡的流量,将按照制定的路由表策略， 经过DNAT 转换方法进行目的地址转换， 将指定流 量牵引至蜜罐流 量牵引终端所创建的虚拟网卡； 蜜罐流量牵引终端在读取到虚拟网卡接收的流量后,通过隧道,将流量牵引至蜜罐流 量牵引服 务端所在机器的对等虚拟网卡； 蜜罐流量牵引服务端通过虚拟网卡接收到流量后,将按照配置项,将流量牵引至指定 的目标蜜罐节点； 蜜罐节点接收到流量后,进行响应,将生成的响应流量,发送至蜜罐流量服务端,并通 过隧道,将响应流量发送至蜜 罐流量终端； 蜜罐流量牵引终端接收到流量后， 将响应流量写 回虚拟网卡， 并经 过SNAT转换 方法进行源地址转换后， 发送给流 量发起者； 在服务器ingress时记录五元组和对应虚拟网卡设备； 在服务器egres s时通过查询上述中的映射表写入虚拟网卡设备。 9.一种计算机设备， 其特征在于， 所述计算机设备包括多个计算机设备， 各计算机设备 包括存储器、 处理器以及 存储在存储器上并可在处理器上运行的计算机程序， 其特征在于， 所述多个计算机设备的处理器执行所述计算机程序时共同实现权利要求8所述蜜 罐流量牵 引方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述存储介质存 储的所述计算机程序被处 理器执行时实现权利要求8所述蜜罐流 量牵引方法的步骤。权　利　要　求　书 2/2 页 3 CN 115514514 A 3