一种蜜罐导流方法、装置、电子设备及可读存储介质与流程

1.本技术涉及计算机技术领域，具体而言，涉及一种蜜罐导流方法、装置、电子设备及可读存储介质。


背景技术：

2.专有网络vpc(virtual private cloud)是用户创建的自定义私有网络，不同的专有网络之间二层逻辑隔离，专有网络内部服务器之间交互的流量，称为东西向流量。当前的安全管理对于vpc内部的东西向流量缺少检测和防御能力，一旦攻击者入侵并控制了vpc内一台实例便可以通过内网横向攻击控制更多服务器，造成较大损失。
3.目前可以通过部署蜜罐的方式来进行安全防御，即在vpc内部部署多个与服务器主机区分开的诱饵主机。但是攻击者入侵的探测行为是随机的，因此捕获攻击行为的效果取决于蜜罐的部署密度，成本和维护难度较高，数据收集面窄。


技术实现要素：

4.本技术通过将针对未分配ip地址的数据流量导流至蜜罐主机的方式解决现有蜜罐导流中传统蜜罐部署的成本过高的问题。
5.为解决上述问题，本技术第一方面提供了一种蜜罐导流方法，包括：
6.接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
7.确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
8.本技术第二方面提供了一种蜜罐导流装置，其包括：
9.流量接收模块，其用于接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
10.流量导流模块，其用于确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
11.本技术第三方面提供了一种电子设备，其包括：存储器和处理器；
12.所述存储器，其用于存储程序；
13.所述处理器，耦合至所述存储器，用于执行所述程序，以用于：
14.接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
15.确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
16.本技术中，接收到指向专有网络的数据流量后，通过导流的方式，可以将目的地ip地址为未分配地址的数据流量导流到蜜罐主机内，本技术导流方案无需建立蜜罐主机与所
包含的ip地址的关联关系，可以仅设置少数个甚至一个蜜罐主机，就可以接收整个专有网络的攻击流量，部署成本低，覆盖面广。
17.本技术中，通过将攻击流量引入处于隔离网络的蜜罐主机，基于导流方案，隔离用户服务器主机与蜜罐主机，避免蜜罐将风险带入真实网络环境，避免了传统蜜罐一旦被攻陷，可能成为攻击、危害其他服务器主机的跳板的风险。
附图说明
18.图1为根据本技术一个实施例的蜜罐导流方法的流程图；
19.图2为根据本技术蜜罐导流方案的场景示意图；
20.图3为根据本技术一个蜜罐交互实施例的蜜罐导流方法的流程图；
21.图4为根据本技术一个设置诱饵主机实施例的蜜罐导流方法的流程图；
22.图5为根据本技术一个实施例的蜜罐导流装置的结构框图；
23.图6为根据本技术实施例的电子设备的结构框图。
具体实施方式
24.为使本技术的上述目的、特征和优点能够更为明显易懂，下面结合附图对本技术的具体实施例做详细的说明。虽然附图中显示了本技术的示例性实施方式，然而应当理解，可以以各种形式实现本技术而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本技术，并且能够将本技术的范围完整的传达给本领域的技术人员。
25.需要注意的是，除非另有说明，本技术使用的技术术语或者科学术语应当为本技术所属领域技术人员所理解的通常意义。
26.专有网络vpc(virtual private cloud)是用户创建的自定义私有网络，不同的专有网络之间二层逻辑隔离，用户可以在自己创建的专有网络内创建和管理云产品实例，比如ecs(elastic compute service，云服务器)、slb(server load balancer，负载均衡)、rds(relational database service，关系型数据库)等。
27.通常在数据中心中，网络流量分为两种类型，一种是数据中心外部用户和内部服务器之间交互的流量，这样的流量称作南北向流量；另外一种就是数据中心内部服务器之间交互的流量，也叫东西向流量。云计算场景中，东西向流量占据的比例远远高于南北向流量占据的比例。
28.当前云上网络安全管理对vpc内部，东西向流量缺少检测和防御能力，一旦攻击者入侵并控制了vpc内一台实例便可以通过内网横向攻击控制更多服务器，造成较大损失。基于此，可以通过部署蜜罐的方式来进行检测或防御。
29.目前蜜罐解决方案多为传统方案，即在网络内部部署多个与服务器主机区分开的诱饵主机，而攻击者入侵的探测行为是随机的，因此捕获攻击行为的效果取决于蜜罐/诱饵主机的部署密度，成本和维护难度较高，数据收集面窄，无法提供广泛作用域。
30.针对上述问题，本技术提供一种新的蜜罐导流方案，能够通过导流方法，将攻击流量引导至蜜罐进行处理，成本低，维护简单。
31.为了便于理解，在此对下述可能使用的术语进行解释：
32.蜜罐：蜜罐是一种用来侦测或抵御未经授权操作或者是攻击者攻击的陷阱，因原理类似诱捕昆虫的蜜罐而得名。蜜罐看起来是一个真实的计算机系统，其上运行不同种类的作业程序，例如，邮件系统。运行的作业程序不同，蜜罐的类型不同。蜜罐一般都会刻意构造安全漏洞来吸引攻击者，例如，弱密码或者端口开放。在攻击者进入后，蜜罐可以追踪攻击者的攻击行为，详细记录攻击过程中的痕迹，从而获取到攻击者操作，使用的工具、病毒等等有价值的信息，利用这些情报，可以帮助分析系统现有的安全能力薄弱点，以及后续安全工作的重点。另外一方面，蜜罐也能吸引攻击者的注意力，通过诱饵假数据消耗攻击者时间，从而避免真实系统被攻击。
33.vpc控制器：vpc网络的控制引擎，控制xgw(extendable gateway，虚拟网关组件)，vs(virtual switch，虚拟交换机)等转发设备和服务。
34.弹性网卡：(elastic network interface，eni)是绑定私有网络内云服务器的一种弹性网络接口，可在多个云服务器间自由迁移。可以在云服务器上绑定多个弹性网卡，实现高可用网络方案；也可以在弹性网卡上绑定多个内网ip，实现单主机多ip部署。
35.ecs：(elastic compute service，云服务器)是云服务商提供的的iaas(infrastructure as a service，基础设施即服务)级别云计算服务，其包括实例、镜像、块存储、安全组、网络等功能组件。
36.本技术实施例提供了一种蜜罐导流方法，该方法可以由蜜罐导流装置来执行，该蜜罐导流装置可以集成在pad、电脑、服务器、计算机、服务器集群等电子设备中或者部署在公有云、私有云、混合云、虚拟私有云/专有网络(vpc)、专有云等云环境中。如图1所示，其为根据本技术一个实施例的蜜罐导流方法的流程图；其中，所述蜜罐导流方法，包括：
37.s100，接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
38.s200，确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
39.本技术中，一个专有网络可以关联一个或多个蜜罐主机，例如在一个蜜罐主机难以部署该专有网络的全部的蜜罐的情况下，将专有网络关联两个蜜罐主机，在每个蜜罐主机内分别部署不同的蜜罐；专有网络关联的蜜罐主机的数量，可以根据实际需要进行调整，本技术对此不做限制。
40.本技术中，一个蜜罐主机内可以部署一个或多个蜜罐，蜜罐主机内部署的蜜罐数量，可以根据蜜罐所占据的计算资源以及蜜罐主机的总资源来确定，也可以根据该专有网络的使用者的设置在确定，还可以根据其他方式确定。
41.本技术中，专有网络具有自身的私网网段，该私网网段内的ip地址用于分配给专有网络中的服务器、计算机或者云服务器、实例等。具体分配规则本技术中不做限制。
42.本技术中，专有网络上设置有vpc控制器，通过vpc控制器内预设的导流策略来完成数据流量到蜜罐的导流。在攻击者入侵公有云的一台主机后，通过私网ip扫描的行为来发现主机时，vpc虚拟网关会将内网流量中记录的ip地址是未分配ip地址的内网流量转发给蜜罐实例，来应对这类攻击行为。
43.若专有网络内的一个ip地址被分配给某个服务器或实例，则该ip地址被分配；若
一个ip地址未被分配给专有网络内的某个设备或云服务器等(例如在记录ip地址分配的数据表内未查询到该ip，或者在记录未分配ip地址的数据表内查询到该ip)，则该ip地址是未被分配的状态。对于一个专有网络而言，其私网网段内一般包含很多具体的ip地址，其中仅有小部分被分配到具体的实例或虚拟机等，其余大部分均属于未被分配的状态。若要通过蜜罐主机的传统部署方式来部署蜜罐，则该蜜罐方案仅能覆盖蜜罐主机所包含的ip地址(这些部署在蜜罐主机的ip地址也属于被分配的ip地址，而一个蜜罐主机内可分配的ip地址数量很少)，管理范围非常小。
44.对于数据流量而言，其正常的交互时，内部记录的目的地ip地址应当为已分配的ip地址，若一个数据流量内记录的目的地ip地址为未分配的ip地址，意味着该数据流量为攻击流量。
45.本技术中，接收到指向专有网络的数据流量后，若确认该数据流量为攻击流量，直接将该攻击流量导流到预设的蜜罐主机内。通过导流的方式，可以将目的地ip地址为未分配地址的数据流量导流到所述蜜罐主机内。传统的蜜罐主机，仅接收该蜜罐主机所包含的ip地址的攻击流量，与之不同的是，本技术导流方案无需建立蜜罐主机与所包含的ip地址的关联关系，每个蜜罐主机可以接收的攻击流量不受该蜜罐主机所包含的ip地址的影响；这使得本技术导流方案可以仅设置少数个甚至一个蜜罐主机，就可以接收整个专有网络的攻击流量，部署成本低，且部署蜜罐主机的覆盖面广。
46.需要说明的是，传统蜜罐主机部署在局域网的方式，局域网由于硬件方面的特性，无法进行攻击流量的导流。基于此，通过传统蜜罐的部署方式将多个蜜罐部署在蜜罐主机内，通过云服务设置导流策略将指向专有网络的攻击流量导流至所述蜜罐主机，将云服务优势和传统蜜罐优势进行结合，实现本技术部署成本低、覆盖面广的导流方案，提高攻击者进入蜜罐的概率。
47.如图2所示，其为本技术蜜罐导流方案的示例。图中专有网络1(vpc1)中包含服务器主机ecs1(172.168.1.1)、ecs2(172.168.1.2)、
…
、ecs10(172.168.1.10)；若该vpc1的私网网段为(172.168.1.1-172.168.1.256)(需要说明的是，本示例中不考虑私网网段中的特殊ip地址需要作为其他方式进行使用的情形)，则其中ip地址172.168.1.1-172.168.1.10为已分配，ip地址172.168.1.11-172.168.1.256为未分配。vpc1的vpc控制器接收到向vpc1发送的数据流量后，若数据流量内的目的地ip地址并非172.168.1.1-172.168.1.10中的任一ip，则该数据流量为攻击流量，将该数据流量导流到部署的蜜罐主机内。
48.其中，蜜罐主机的部署可以是将ecs1、ecs2、
…
、ecs10中的一个或多个部署为蜜罐主机，也可以是将vpc2或vpc3或其他位置处的ecs部署为蜜罐主机。
49.需要说明的是，蜜罐作为诱饵技术，存在被攻破的可能性，部署在蜜罐主机上的蜜罐，一旦被攻破，就可能被攻击者作为跳板，攻击该蜜罐主机以及与该蜜罐主机处于同一专有网络内的其他ecs，专有网络由于对该网络的内部通信的安全级别较低，在其中一个ecs被攻破后，很容易被攻击者以被攻破的ecs作为跳板，完成对其余ecs的横向攻击。
50.在一种实施方式中，所述蜜罐主机与专有网络内的服务器主机互相隔离，通过网络上的相互隔离，避免在蜜罐或蜜罐主机被攻破后横向攻击其余服务器主机，从而保护服务器主机的安全性。
51.基于目前主流的隧道技术，vpc与外网隔离，每个vpc具有独立的隧道号。相同vpc
内的ecs之间的传输数据包均设置隧道封装，带有对应的隧道号标识，并通过物理网络上进行传输；不同vpc内的ecs由于所在的隧道号不同，无法进行通信，天然地进行了隔离。
52.在一种实施方式中，可以通过将蜜罐主机设置在外网，将蜜罐主机与专有网络的服务器主机进行隔离。
53.在一种实施方式中，也可以通过将蜜罐主机和服务器主机设置与不同的专有网络内进行网络隔离。本技术中，前述的蜜罐导流方案，针对的是专有网络的miss流量(指向专有网络的数据流量内记录的ip地址是未分配ip地址的该数据流量)，对于数据流量内记录的ip地址是已分配ip地址的该数据流量，并未进行限制。由于专有网络内部对于攻击者而言是未知的，攻击者针对专有网络内的攻击具有随机性，该随机性使得攻击者可能对已分配ip地址的服务器主机进行攻击。
54.在一种实施方式中，指向专有网络的数据流量还记录有端口标识；建立端口与蜜罐主机内的蜜罐的关联关系，在接收到该端口对应的数据流量后，根据预设策略将数据流量转发至该端口关联的所述蜜罐。
55.本技术中，该实施方式是在前述蜜罐导流方法的基础上实施的，其中，指向专有网络的数据流量记录有ip地址和端口标识。在具体进行转发时，可以先将记录有未分配ip地址的数据流量导流到蜜罐主机内，再将其余的数据流量内记录有对应的端口标识(该端口标识与蜜罐建立了关联关系)的数据流量转发至该端口关联的蜜罐内；也可以先将记录有对应的端口标识(该端口标识与蜜罐建立了关联关系)的数据流量转发至该端口关联的蜜罐内，再将其与的数据流量内记录有未分配ip地址的数据流量导流到蜜罐主机内；也可以同时执行上述两个转发步骤。
56.结合图2中的示例，在vpc1内的ecs1、ecs2、
…
、ecs10均不是数据库类型的情况下，可以建立数据库的访问端口与蜜罐的对应关系，将进行数据库访问的数据流量(记录有数据库的访问端口的端口标识的数据流量，也可以认为是攻击流量)均转发至蜜罐。
57.在一种实施方式中，端口关联多个蜜罐的情况下，将数据流量平均转发给多个所述蜜罐。从而达到更好的伪装效果。
58.本技术中，所述端口可以为80端口、8080端口或者3306端口；或者其他端口。
59.本技术中，80端口是为http(hyper text transport protocol)即超文本传输协议开放的端口。其在输入网站的时候其实浏览器已经输入协议，所以输入http://alibaba.com，即是访问http://alibaba.com:80。
60.本技术中，8080端口是被用于www代理服务的端口，可以实现网页浏览。
61.本技术中，3306端口为数据库的访问端口。数据库mysql默认的端口是3306，远程通过3306端口连接到mysql。
62.在一种实施方式中，一个端口可以关联多个蜜罐；一个蜜罐也可以关联多个端口(例如仅设置一个用于关联端口的蜜罐，多个端口均关联该蜜罐)。
63.在一种实施方式中，如图3所示，所述方法还包括：
64.s300，接收所述蜜罐主机内的蜜罐针对所述数据流量的返回流量并向所述数据流量的发送方进行传输。
65.在一种实施方式中，所述蜜罐内预设有响应策略，基于该响应策略生成针对所述蜜罐主机分配至该蜜罐的所述数据流量的所述返回流量。
66.具体地，蜜罐主机接收导流后的数据流量后，根据预设的分配策略，将数据流量分配到具体的蜜罐，蜜罐针对该数据流量生成返回流量，作为与攻击者的交互数据。
67.具体地，蜜罐内可以设置有仿真器的镜像文件，以模拟不同的嵌入式设备的环境；其中，选取一个仿真器的镜像文件(例如sis服务的仿真器的镜像文件)，根据该镜像文件启动一个容器，该容器即为sis服务的蜜罐。
68.其中，以数据库仿真器的镜像文件进行说明，通过该镜像文件启动容器，获取的容器即为数据库仿真器(伪装成数据库的蜜罐)。
69.这样，建立蜜罐与发送方的交互动作，增强蜜罐的迷惑性和真实性避免让攻击者识别出蜜罐，从而逃逸，增加捕获入侵行为的概率。
70.在一种实施方式中，所述蜜罐为高交互蜜罐(具有与攻击者进行交互策略的蜜罐)，可以自定义蜜罐中的用户名及密码，数据库数据等信息作为模版，也可以将企业数据嵌入相应蜜罐中，从而达到更好的迷惑效果。
71.在一种实施方式中，通过以下步骤确认所述ip地址未分配：
72.获取记录有已分配的私网网段的ip地址的查询表，在所述查询表内查询所述ip地址，未查到的所述ip地址确认为未分配。
73.本技术中，专有网络通过高性能网关xgw(extendable gateway网关组件，是igw(internet gateway，互联网网关)/lsw(linux virtual server linuxswitch，虚拟服务器交换机)/hgw(home gateway，家庭网关)的统称)来完成与外界网络的通信；向其他网络发送数据时，先将该数据上传到高性能网关xgw，再由该高性能网关xgw转发给目标网络；接收其他网络的发送数据时，由xgw转发该数据。xgw内存储有该专有网络的查询表，查询表上记录有已分配的私网网段的ip地址，且随着专有网络的ip地址使用进行同步更新。
74.本技术中，只需要查询该查询表，未查询到即可确认对应的ip地址未被分配。
75.在一种实施方式中，所述专有网络内设置有弹性网卡，所述将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内，包括：将所述数据流量转发至所述弹性网卡，所述弹性网卡基于预设的分配策略将所述数据流量发送至对应的蜜罐主机内。
76.通过设置弹性网卡，将数据流量转发至对应的蜜罐主机内。
77.本技术中，蜜罐主机可以设置在另外的专有网络内，通过该弹性网卡进行转发时，该弹性网卡绑定有用于流量转发的服务器主机(命名为转发主机)，转发主机内预设对应的分配策略，并与对应的蜜罐主机建立关联关系，进行转发时，将所述数据流量转发至所述弹性网卡，基于弹性网卡与转发主机的绑定关系，转发主机直接获取该数据流量，并基于分配策略将该数据流量分配给对应的蜜罐主机。
78.本技术中，所述蜜罐具有多个类型，也可以对蜜罐进行类型的自定义，从而达到更好的伪装效果。
79.需要说明的是，蜜罐作为诱饵，其能成功吸引到攻击者进行攻击的概率，与该蜜罐所模拟的实际服务的相似度关联很大。蜜罐与实际服务(如网页、数据库等)的相似度越高，越能诱使攻击者相信其为真实的服务。示例说明，蜜罐模拟数据库时，如果可以基于攻击者不同的访问语句，返回不同的数据库数据，则可以增加攻击者对其数据库的信任；在此基础上，若可以在返回流量的ip地址方面采用真实ip地址，也可以间接增加攻击者的信任程度。
80.在一种实施方式中，如图4所示，所述专有网络内设置有诱饵主机，所述诱饵主机
内部署有多个已分配的私网网段的ip地址，所述接收指向专有网络的数据流量之后，所述方法还包括：
81.s400，确认所述数据流量内记录的ip地址在所述诱饵主机内部署的情况下，将所述数据流量导流至所述诱饵主机。
82.本技术中，诱饵主机与蜜罐主机相似，不同之处在于，诱饵主机内分配有该专有网络的ip地址，用于作为传统的蜜罐诱饵，诱使攻击者进行攻击。但诱饵主机内不部署蜜罐，以减少诱饵主机被攻破的可能。
83.这样，通过将蜜罐主机与导流方案相结合，达到更好的伪装和保护效果。
84.需要说明的是，诱饵主机作为诱饵，具有被攻破的可能；在诱饵主机设置在专有网络内的情况下，一旦诱饵主机被攻破，则会影响到该专有网络内的其他设备。基于此，在专有网络内设置诱饵主机的情况下，需要针对该诱饵主机设置安全级别更高的安全策略，减少该诱饵主机被攻破的可能性。
85.在一种实施方式中，如图4所示，所述诱饵主机与至少一个所述蜜罐主机具有关联关系，所述方法还包括：
86.s500，将导流至所述诱饵主机的所述数据流量转发到关联的所述蜜罐主机内。
87.本步骤中，诱饵主机仅作为转发的窗口，不作为蜜罐的部署设备，则针对该诱饵主机的攻击流量均会被转发的预设的蜜罐主机的蜜罐内，从而不会对该诱饵主机产生影响，也不会被攻破。另外，仅作为转发的窗口，意味着部署的每个窗口(分配一个ip地址)仅需要部署转发策略，无需部署蜜罐镜像等文件，大大减少了占用的内存，这样可以在一个诱饵主机上部署多个ip地址的转发窗口，大大提高蜜罐的保护效果。
88.本技术中，可以在诱饵主机上设置主机探针，通过该主机探针转发访问该诱饵主机的端口的数据流量/攻击流量。
89.本技术中，主机探针为设置在ecs或服务器主机上，占用对应端口，对该异常端口的流量进行转发且仅用于流量转发的探针。
90.主机探针仅具有转发异常端口的流量的功能，基于该特性，在该主机探针被攻破的情况下，攻击者无法找到通过该主机探针控制对应诱饵主机的渠道。
91.本技术中，主机探针将数据流量/攻击流量转发至弹性网卡，由弹性网卡完成后续转发至对应的诱饵主机内。
92.需要说明的是，诱饵主机转发的蜜罐主机与导流后的蜜罐主机(步骤s200中记载的蜜罐主机)可以是相同的蜜罐主机，也可以是不同的蜜罐主机，具体可以根据需求进行设置，本技术对此不做限制。
93.本技术中，设置蜜罐主机的集群，用于预设蜜罐，容纳导流的数据流量/攻击流量和/或专有网络内的诱饵主机转发的数据流量/攻击流量。
94.本技术中，蜜罐导流方法覆盖vpc流量，在攻击者攻击行为具有概率性的前提下，安全域更广。
95.本技术中，通过将攻击流量引入处于隔离网络的蜜罐主机，基于导流方案，隔离用户服务器主机与蜜罐主机，避免蜜罐主机将风险带入真实网络环境，避免了传统蜜罐主机一旦被攻陷，可能成为攻击、危害其他服务器主机的跳板的风险。
96.本技术中，可以将蜜罐替换为多种类型的高交互蜜罐，增加支持的蜜罐类型以及
蜜罐的交互能力；针对网络环境进行部署后，能有效误导入侵者，保护内网环境。可以支持自定义蜜罐中的用户名及密码，数据库数据等信息作为模版。将企业数据嵌入相应蜜罐中，增强蜜罐的迷惑性和真实性，增加捕获入侵行为的概率。
97.本技术中，通过蜜罐主机和攻击者攻击行为的交互，可以结合云安全策略入侵检测等其他安全能力，能有效提高系统安全性。
98.本技术实施例提供了一种蜜罐导流装置，用于执行本技术上述内容所述的蜜罐导流方法，以下对所述蜜罐导流装置进行详细描述。
99.如图5所示，所述蜜罐导流装置，包括：
100.流量接收模块101，其用于接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
101.流量导流模块102，其用于确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
102.在一种实施方式中，流量导流模块102还用于：
103.接收所述蜜罐主机内的蜜罐针对所述数据流量的返回流量并向所述数据流量的发送方进行传输。
104.在一种实施方式中，流量导流模块102还用于：
105.所述蜜罐内预设有响应策略，基于该响应策略生成针对所述蜜罐主机分配至该蜜罐的所述数据流量的所述返回流量。
106.在一种实施方式中，流量导流模块102还用于：
107.获取记录有已分配的私网网段的ip地址的查询表，在所述查询表内查询所述ip地址，未查到的所述ip地址确认为未分配。
108.在一种实施方式中，所述专有网络内设置有弹性网卡，流量导流模块102还用于：
109.将所述数据流量转发至所述弹性网卡，所述弹性网卡基于预设的分配策略将所述数据流量发送至对应的蜜罐主机内。
110.在一种实施方式中，所述专有网络内设置有诱饵主机，所述诱饵主机内部署有多个已分配的私网网段的ip地址，流量导流模块102还用于：
111.确认所述数据流量内记录的ip地址在所述诱饵主机内部署的情况下，将所述数据流量导流至所述诱饵主机。
112.在一种实施方式中，所述诱饵主机与至少一个所述蜜罐主机具有关联关系，流量导流模块102还用于：
113.将导流至所述诱饵主机的所述数据流量转发到关联的所述蜜罐主机内。
114.本技术的上述实施例提供的蜜罐导流装置与本技术实施例提供的蜜罐导流方法出于相同的发明构思，具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
115.以上描述了蜜罐导流装置的内部功能和结构，如图6所示，实际中，该蜜罐导流装置可实现为电子设备，包括：存储器301及处理器303。
116.存储器301，可被配置为存储程序。
117.另外，存储器301，还可被配置为存储其它各种数据以支持在电子设备上的操作。
这些数据的示例包括用于在电子设备上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。
118.存储器301可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
119.处理器303，耦合至存储器301，用于执行存储器301中的程序，以用于：
120.接收指向专有网络的数据流量，所述数据流量内记录有目的地的ip地址，该ip地址为所述专有网络的私网网段的ip地址，所述专有网络关联有用于部署蜜罐的蜜罐主机；
121.确认所述ip地址未分配的情况下，将记录有所述ip地址的所述数据流量导流到所述蜜罐主机内。
122.在一种实施方式中，处理器303具体用于：
123.接收所述蜜罐主机内的蜜罐针对所述数据流量的返回流量并向所述数据流量的发送方进行传输。
124.在一种实施方式中，处理器303具体用于：
125.所述蜜罐内预设有响应策略，基于该响应策略生成针对所述蜜罐主机分配至该蜜罐的所述数据流量的所述返回流量。
126.在一种实施方式中，处理器303具体用于：
127.获取记录有已分配的私网网段的ip地址的查询表，在所述查询表内查询所述ip地址，未查到的所述ip地址确认为未分配。
128.在一种实施方式中，所述专有网络内设置有弹性网卡，处理器303具体用于：
129.将所述数据流量转发至所述弹性网卡，所述弹性网卡基于预设的分配策略将所述数据流量发送至对应的蜜罐主机内。
130.在一种实施方式中，所述专有网络内设置有诱饵主机，所述诱饵主机内部署有多个已分配的私网网段的ip地址，处理器303具体用于：
131.确认所述数据流量内记录的ip地址在所述诱饵主机内部署的情况下，将所述数据流量导流至所述诱饵主机。
132.在一种实施方式中，所述诱饵主机与至少一个所述蜜罐主机具有关联关系，处理器303具体用于：
133.将导流至所述诱饵主机的所述数据流量转发到关联的所述蜜罐主机内。
134.本技术中，图6中仅示意性给出部分组件，并不意味着电子设备只包括图6所示组件。
135.本实施例提供的电子设备，与本技术实施例提供的蜜罐导流方法出于相同的发明构思，具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
136.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可读存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
137.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
138.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
139.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
140.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
141.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
142.本技术还提供一种与前述实施方式所提供的蜜罐导流方法对应的计算机可读存储介质，其上存储有计算机程序(即程序产品)，所述计算机程序在被处理器运行时，会执行前述任意实施方式所提供的蜜罐导流方法。
143.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
144.本技术的上述实施例提供的计算机可读存储介质与本技术实施例提供的蜜罐导流方法出于相同的发明构思，具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
145.需要说明的是，在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本技术的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的结构和技术，以便不模糊对本说明书的理解。
146.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要
素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
147.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。