防御方法、装置、电子设备及可读存储介质与流程

1.本技术涉及计算机技术领域，具体而言，涉及一种防御方法、装置、电子设备及可读存储介质。


背景技术：

2.随着网络安全技术的发展，防御技术由传统被动防御技术转为主动欺骗防御技术。蜜罐技术作为主动欺骗防御技术，力求在攻击行为之前，部署蜜罐，诱导欺骗攻击者攻击，从而有效防护真实资产、捕获攻击者行为。
3.在蜜罐系统中，通过客户端将攻击流量引入蜜罐服务。为了有效防护真实资产，往往需要在真实资产所在网段部署客户端设备，以诱捕攻击流量。如此导致客户端部署不方便，并且成本高、维护不方便等。


技术实现要素：

4.本技术实施例提供了一种防御方法、装置、电子设备及可读存储介质，其通过在蜜罐服务器内置客户端模块，取消独立客户端设备，可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。
5.本技术的实施例可以这样实现：
6.第一方面，本技术实施例提供一种防御方法，应用于蜜罐服务器，所述蜜罐服务器中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号，所述方法包括：
7.所述客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；
8.所述目标蜜罐接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。
9.第二方面，本技术提供一种防御装置，应用于蜜罐服务器，所述防御装置中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号，
10.所述客户端模块，用于接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；
11.所述目标蜜罐，用于接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。
12.第三方面，本技术实施例提供一种电子设备，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令以实现前述实施方式所述的防御方法。
13.第四方面，本技术实施例提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如前述实施方式所述的防御方法。
14.本技术实施例提供的防御方法、装置、电子设备及可读存储介质，该方法应用于的蜜罐服务器中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号；客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；所述目标蜜罐接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。如此，通过在蜜罐服务器内置客户端模块，取消独立客户端设备，可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。
附图说明
15.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
16.图1为本技术实施例提供的电子设备的方框示意图；
17.图2为本技术实施例提供的防御方法的流程示意图之一；
18.图3为本技术实施例提供的防御方法的流程示意图之二；
19.图4为目前的客户端设备部署示意图；
20.图5为本技术实施例提供的防御方法的流程示意图之三。
21.图标：100-电子设备；110-存储器；120-处理器；130-通信单元；200-防御装置。
具体实施方式
22.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
23.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
24.需要说明的是，术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
25.下面首先对后文涉及到的部分名词进行解释说明。
26.蜜罐技术：主要是通过在网络中部署一个或多个具有弱点的容器或虚拟机服务，
吸引攻击者的注意力，并捕获攻击者的攻击行为，从而针对这些攻击行为进行相应的防御部署，达到保护网络安全的目的。
27.蜜罐客户端：蜜罐客户端通过部署在需要防护的网段，将攻击者流量引流到蜜场。
28.蜜场：蜜场是指蜜罐所运行的“场所”，为一台或多台服务器。
29.蜜罐：蜜罐是指一个对真实业务系统的仿真，向攻击者提供一个有缺陷或者漏洞的服务。通过暴露漏洞，使攻击者误认为找到了有漏洞可利用的真实业务系统。蜜罐通过捕获攻击者的攻击行为，发出告警，甚至反制。
30.下面首先对现有的蜜罐部署方式进行说明。
31.1、部署蜜罐服务器以及客户端的硬件，然后进入管理界面部署蜜罐。
32.2、选择蜜罐类型，比如“oa系统”。
33.3、从部署的客户端硬件中选出一个客户端。
34.4、选择部署的网段，如“10.8.1.0/24”。
35.5、填写oa蜜罐使用的ip地址以及端口，如“10.8.1.123:80”。
36.6、点击部署。
37.完成上述部署后，密场(即蜜罐服务器)将启动一个“oa系统”蜜罐实例，同时部署选择的客户端将在“10.8.1.123:80”地址监听并转发流量到“oa系统”蜜罐中。如此完成对攻击流量到蜜罐服务的反向代理。
38.比如，在10.8.1.0/24网段部署了一个oa蜜罐。假设客户端接入交换机的ip为10.8.1.2。那么，请求设备访问http://10.8.1.2:80，实际访问到蜜罐服务器中运行的oa蜜罐。客户端并不实际运行oa蜜罐服务。客户端仅仅作为反向代理，实际提供服务的oa蜜罐运行于蜜罐服务器中。
39.蜜罐的呈现的效果为：在真实资产附近，部署虚拟资产(蜜罐)。蜜罐暴露给攻击者的服务端口，由蜜罐客户端呈现。例如在10.8.2.0/24网段有10.8.2.100:5432真实数据库服务，再部署两个蜜罐：10.8.2.101:5432、10.8.2.102:5432；攻击者通过扫描，可以发现包含真实数据库服务，以及蜜罐的三个数据库服务。而部署的两个蜜罐服务均暴露某个版本的数据库漏洞。攻击者发现该漏洞可以被利用，转而攻击蜜罐服务。如此达到主动防御的目的。
40.在上述方式中，部署了真实的客户端设备，并且该客户端设备位于真实资产所在网段。也即，目前的蜜罐部署中，将客户端部署在真实资产附近。如此，导致客户端部署比较麻烦，并且成本比较高、维护不方便等。
41.针对上述情况，本技术实施例提供一种防御方法、装置、电子设备及可读存储介质，通过在蜜罐服务器内置客户端模块，取消独立客户端设备，可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。
42.下面结合附图，对本技术的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。
43.请参照图1，图1为本技术实施例提供的电子设备100的方框示意图。所述电子设备100可以是，但不限于，服务器等。该电子设备100可以作为蜜罐服务器。所述电子设备100可以包括存储器110、处理器120及通信单元130。所述存储器110、处理器120以及通信单元130各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之
间可通过一条或多条通讯总线或信号线实现电性连接。
44.其中，存储器110用于存储程序或者数据。所述存储器110可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
45.处理器120用于读/写存储器110中存储的数据或程序，并执行相应地功能。比如，存储器110中存储有防御装置200，所述防御装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器110中的软件功能模块。所述处理器120通过运行存储在存储器110内的软件程序以及模块，如本技术实施例中的防御装置200，从而执行各种功能应用以及数据处理，即实现本技术实施例中的防御方法。
46.通信单元130用于通过网络建立所述电子设备100与其它通信终端之间的通信连接，并用于通过所述网络收发数据。
47.应当理解的是，图1所示的结构仅为电子设备100的结构示意图，所述电子设备100还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
48.请参照图2，图2为本技术实施例提供的防御方法的流程示意图之一。所述方法应用于蜜罐服务器，所述蜜罐服务器中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号。下面对防御方法的具体流程进行详细阐述。在本实施例中，所述防御方法可以包括步骤s130～步骤s140。
49.步骤s130，所述客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐。
50.步骤s140，所述目标蜜罐接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。
51.在本实施例中，所述客户端模块设置在蜜罐服务器中，且数量仅1个；也即，客户端程序位于所述蜜罐服务器中，不位于真实资产附近专门设置的硬件设备上，如此无需专门设置用于执行客户端程序的硬件设备、且将该硬件设备设置在真实资产附近。
52.所述客户端模块接收请求设备发送的请求流量。然后，从该请求流程中确定出该请求流量对应的目标ip地址及目标端口号，根据保存的蜜罐与ip地址、端口号的对应关系，确定出该目标ip地址及目标端口号所对应的蜜罐标识，并将确定出的蜜罐标识作为目标蜜罐标识。之后，则将该请求流量发送给所述目标蜜罐标识对应的目标蜜罐。所述目标蜜罐在接收到所述请求流量后，可以根据该请求流量，通过所述客户端模块向所述请求设备返回响应信息。如此，所述蜜罐服务器的目标蜜罐可以通过蜜罐服务器中的客户端模块与请求设备进行数据通信，从而采集到请求设备的攻击行为。
53.在本实施例中，蜜罐服务器内部内置客户端程序，将客户端与服务端合二为一，取消独立客户端，如此可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。
54.请参照图3，图3为本技术实施例提供的防御方法的流程示意图之二。在本实施例
中，在步骤s130之前，所述方法还可以包括步骤s110。
55.步骤s110，所述客户端模块在被部署至所述蜜罐服务器后，创建网络命名空间，并将配置的目标网卡设置到所述网络命名空间。
56.在本实施例中，可对常规的部署于位于真实资产附近的硬件设备上的客户端程序进行修改，使得修改后的客户端程序兼容服务端内置部署方式，然后将该修改后的客户端程序(即客户端模块)部署运行于蜜罐服务器中。
57.在客户端模块被部署至所述蜜罐服务器之后，该客户端模块可自动创建网络命名空间，比如，ip netns add agent_ns，其中agent_ns为创建的网络命名空间的名称；以及，自动将配置的目标网卡设置到所述网络命名空间，比如，ip link set eth2 netns agent_ns，其中eth2为指定给内置客户端使用的网卡。所述目标网卡为所述蜜罐服务器的其中一个网卡。不同命名空间内的资源不能互通。由于客户端程序直接接触攻击流量，通过将客户端程序限制在隔离的网络空间内，可避免客户端安全缺陷扩大化到蜜罐服务器，从而增强安全性。
58.在本实施例中，还可以预先对蜜罐服务器连接的交换机进行配置，以使得交换机根据配置的网络配置信息进行流量转发。其中，所述网络配置信息用于指示允许通过的流量，所述网络配置信息根据客户端模块被配置的ip地址确定，客户端模块被配置的ip地址基于要防护的真实资产的ip地址确定。在本实施例中，所述交换机收到流量后，根据所述网络配置信息判断是否对流量进行转发。如此，所述蜜罐服务器中的客户端模块可接收交换机模块根据所述网络配置信息转发的由所述请求设备转发的所述请求流量。
59.可选地，作为一种可能的实现方式，所述客户端模块可以接入所述交换机的access口。在此情况下，可以配置交换机access口允许通过的流量对应的目标ip地址。该目标ip地址为所述客户端模块被配置的ip地址。可以根据要根据指定资产的ip地址确定出部署指令，该部署指令中可以包括客户端模块要配置的ip及待监听端口号，在客户端模块根据部署指令配置完成后，客户端模块可通过对配置的ip地址的待监听端口号对应的端口进行监听，从而获得所述请求流量。如此，通过接入交换机的access口，额可以使得内置客户端模块支持所接入的access口所对应的1个vlan(或者说1个网段)。
60.本技术发明人经研究发现，如图4所示，目前会将客户端设备对应的蜜罐服务映射到客户端设备所在的网段，如此则需要在不同网段部署不同的客户端设备，让蜜罐覆盖到不同的网段中，诱捕攻击流量，保护真实资产；进而导致覆盖网段越多，需要的客户端设备就越多，并且客户端设备分散到内网各个网段，使得蜜罐系统的部署、实施、维护成本都会相应提高。
61.可选地，作为另一种可能的实现方式，为了覆盖更多网段，所述客户端模块可以接入所述交换机的trunk口。交换机的trunk口可以在多个vlan中收发数据，也即通过该trunk口可以覆盖多个网段。在此情况下，可以根据要防护的网段设置所述网络配置信息，所述网络配置信息中可以包括允许通过该trunk口被发送的流量对应的vlan标识。比如，若需要防护的网段为：10.8.1.0/24和10.8.2.0/24，对应的vlan为101和102，则交换机配置trunk口并允许vlan 101和102，配置命令形如：port link-type trunk，port trunk permit vlan 101 102。所述客户端模块可接收到所述交换机通过trunk口发送的请求流量。如此，通过使蜜罐服务器中的客户端模块接入一个trunk口，使得可以覆盖多个网段。
62.请参照图5，图5为本技术实施例提供的防御方法的流程示意图之三。在上述接入交换机的trunk口方式中，在步骤s130之前，所述方法还可以包括步骤s120。
63.步骤s120，所述客户端模块根据接收到的部署指令，在与部署指令中的vlan标识对应的虚拟设备下创建子接口，并根据所述部署指令中的ip地址对该子接口进行配置。
64.其中，所述部署指令可以是所述蜜罐服务器根据要保护的真实资产情况自动生成的，也可以人为手动向所述蜜罐服务器输入的，也可以是通过其他方式确定的。所述部署指令中可以包括根据要保护的真实资产的ip地址及端口号设置的用于客户端配置的ip地址及待监听的端口号。所述客户端模块在收到该部署指令后，可以先根据部署指令中的ip地址判断是否已经创建与该ip地址对应的vlan标识对应的虚拟设备；若未创建，则创建与该ip地址对应的vlan标识对应的虚拟设备。在存在与部署指令中的ip地址对应的vlan标识所对应的虚拟设备的情况下，可以在该虚拟设备下创建子接口，并根据部署指令中的ip地址对该子接口进行配置，也即配置该接口的ip地址为部署指令中的ip地址。如此，在部署蜜罐时，内置的客户端模块自动创建虚拟网卡设备，将蜜罐服务映射到指定ip端口上。之后，所述客户端模块通过对虚拟设备的子接口的待监听端口进行监听，以获得所述请求流量。
65.比如，需要部署oa蜜罐到10.8.1.2:80。内置客户端模块自动创建vlan101虚拟设备，并在vlan101设备下创建子接口配置ip为10.8.1.2；然后监听tcp 80端口listen 10.8.1.2 80。所有到达10.8.1.2:80端口的流量，都会被代理到蜜罐服务器中运行的oa蜜罐中去。
66.trunk口可以绑定多个vlanid，交换机在收发数据时会保留vlan tag，vlan tag中包括vlanid。解析vlan tag的工作需要交给内置客户端模块。在该方式中，通过trunk口，内置客户端模块可以收发不同网段的数据包；数据包中包含vlan tag，需要在接收时解析vlan tag，在发送时编码vlan tag。
67.假设要部署两个网段，对应两个vlan：
68.192.168.2.22:80vlan id 2(oa蜜罐服务)
69.192.168.3.22:5432vlan id 3(mysql数据库蜜罐服务)
70.这时，内置客户端模块创建虚拟网络设备vlan2、vlan3分别对应id为2和3的vlan，之后通过vlan2、vlan3虚拟网络设备来解码/编码对应的vlan tag。如此，实现一个内置客户端模块替代多个不同网段的独立客户端。
71.请参照图5，图5为目前的客户端设备部署示意图。
72.本技术实施例提供的防御方法，将蜜罐与客户端合二为一，可以降本增效，并且将内置客户端模块通过网络命名空间隔离，增强系统安全性；还通过使内置客户端模块接入交换机的trunk口，从而使内置客户端模块通过一个网络接口覆盖多个网段。
73.为了执行上述实施例及各个可能的方式中的相应步骤，下面给出一种防御装置200的实现方式，可选地，该防御装置可以采用上述图1所示的电子设备100的器件结构。需要说明的是，本实施例所提供的防御装置200，其基本原理及产生的技术效果和上述实施例相同，为简要描述，本实施例部分未提及之处，可参考上述的实施例中相应内容。在本实施例中，所述防御装置200可以包括1个客户端模块及至少一个蜜罐。
74.所述客户端模块，用于接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应
的目标蜜罐。
75.所述目标蜜罐，用于接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。
76.可选地，在本实施例中，在所述客户端模块接收请求设备发送的请求流量之前，所述客户端模块，还用于在被部署至所述蜜罐服务器后，创建网络命名空间，并将配置的目标网卡设置到所述网络命名空间，其中，所述目标网卡为所述蜜罐服务器中的网卡。
77.可选地，在本实施例中，所述客户端模块具体用于：接收交换机根据网络配置信息转发的由所述请求设备发送的所述请求流量，其中，所述网络配置信息用于指示允许通过的流量，所述网络配置信息根据客户端模块被配置的ip地址确定。
78.可选地，在本实施例中，所述客户端模块具体用于：接收所述交换机通过trunk口发送的所述请求流量，其中，所述网络配置信息中包括允许通过该trunk口被发送的流量对应的vlan标识。
79.可选地，在本实施例中，所述客户端模块还用于：根据接收到的部署指令，在与部署指令中的vlan标识对应的虚拟设备下创建子接口，并根据所述部署指令中的ip地址对该子接口进行配置，其中，所述部署指令中还包括待监听的端口号。所述客户端模块通过对虚拟设备的子接口的待监听端口进行监听，以获得所述请求流量，其中，待监听端口基于所述客户端模块接收到的部署指令确定。
80.可选地，上述模块可以软件或固件(firmware)的形式存储于图1所示的存储器110中或固化于电子设备100的操作系统(operating system，os)中，并可由图1中的处理器120执行。同时，执行上述模块所需的数据、程序的代码等可以存储在存储器110中。
81.本技术实施例还提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述的防御方法。
82.综上所述，本技术实施例提供一种防御方法、装置、电子设备及可读存储介质，该方法应用于的蜜罐服务器中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号；客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；所述目标蜜罐接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。如此，通过在蜜罐服务器内置客户端模块，取消独立客户端设备，可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。
83.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基
于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
84.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
85.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
86.以上所述仅为本技术的可选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种防御方法，其特征在于，应用于蜜罐服务器，所述蜜罐服务器中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号，所述方法包括：所述客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；所述目标蜜罐接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。2.根据权利要求1所述的方法，其特征在于，在所述客户端模块接收请求设备发送的请求流量之前，所述方法还包括：所述客户端模块在被部署至所述蜜罐服务器后，创建网络命名空间，并将配置的目标网卡设置到所述网络命名空间，其中，所述目标网卡为所述蜜罐服务器中的网卡。3.根据权利要求1或2所述的方法，其特征在于，所述客户端模块接收请求设备发送的请求流量，包括：所述客户端模块接收交换机根据网络配置信息转发的由所述请求设备发送的所述请求流量，其中，所述网络配置信息用于指示允许通过的流量，所述网络配置信息根据客户端模块被配置的ip地址确定。4.根据权利要求3所述的方法，其特征在于，所述客户端模块接收交换机根据网段配置信息发送的由所述请求设备发送的所述请求流量，包括：所述客户端模块接收所述交换机通过trunk口发送的所述请求流量，其中，所述网络配置信息中包括允许通过该trunk口被发送的流量对应的vlan标识。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：所述客户端模块根据接收到的部署指令，在与部署指令中的vlan标识对应的虚拟设备下创建子接口，并根据所述部署指令中的ip地址对该子接口进行配置，其中，所述部署指令中还包括待监听的端口号；所述客户端模块接收所述交换机通过trunk口发送的所述请求流量，包括：所述客户端模块通过对虚拟设备的子接口的待监听端口进行监听，以获得所述请求流量，其中，待监听端口基于所述客户端模块接收到的部署指令确定。6.一种防御装置，其特征在于，应用于蜜罐服务器，所述防御装置中包括1个客户端模块及至少一个蜜罐，所述客户端模块中保存有不同蜜罐对应的ip地址及端口号，所述客户端模块，用于接收请求设备发送的请求流量，并根据不同蜜罐对应的ip地址及端口号、所述请求流量中的目标ip地址及目标端口号，将所述请求流量发送给对应的目标蜜罐；所述目标蜜罐，用于接收所述请求流量，并对所述请求流量进行处理，以采集所述请求设备的攻击行为。7.根据权利要求6所述的装置，其特征在于，在所述客户端模块接收请求设备发送的请求流量之前，所述客户端模块，还用于在被部署至所述蜜罐服务器后，创建网络命名空间，并将配置的目标网卡设置到所述网络命名空间，其中，所述目标网卡为所述蜜罐服务器中的网卡。8.根据权利要求6或7所述的装置，其特征在于，所述客户端模块具体用于：
接收交换机根据网络配置信息转发的由所述请求设备发送的所述请求流量，其中，所述网络配置信息用于指示允许通过的流量，所述网络配置信息根据客户端模块被配置的ip地址确定。9.一种电子设备，其特征在于，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器可执行所述机器可执行指令以实现权利要求1-5中任意一项所述的防御方法。10.一种可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-5中任意一项所述的防御方法。

技术总结
本申请的实施例提供了一种防御方法、装置、电子设备及可读存储介质，涉及计算机技术领域。该方法应用于蜜罐服务器，蜜罐服务器中包括1个客户端模块及至少一个蜜罐，客户端模块中保存有不同蜜罐对应的IP地址及端口号，该方法包括：客户端模块接收请求设备发送的请求流量，并根据不同蜜罐对应的IP地址及端口号、请求流量中的目标IP地址及目标端口号，将请求流量发送给对应的目标蜜罐；目标蜜罐接收请求流量，并对请求流量进行处理，以采集请求设备的攻击行为。如此，通过在蜜罐服务器内置客户端模块，取消独立客户端设备，可大大降低蜜罐系统的成本，并且还可提高部署效率，以及可以降低蜜罐系统的维护成本。降低蜜罐系统的维护成本。降低蜜罐系统的维护成本。


技术研发人员：卢伟
受保护的技术使用者：北京知道创宇信息技术股份有限公司
技术研发日：2023.07.21
技术公布日：2023/9/26