本技术涉及通信,尤其涉及一种网络威胁探测方法、装置及存储介质。
背景技术:
::1、随着内网技术的不断发展,保障内网的安全也变得愈发关键。当外来者攻击内网时,需要对内网中的被控设备进行扫描、探测、攻击等操作,因此探测到上述能够威胁内网安全的操作,就成了保证内网安全的关键步骤。2、现有的内网威胁探测技术通常是采用蜜罐系统进行威胁探测,通过设置较为薄弱的防火墙,使得攻击者控制的设备优先对蜜罐系统进行攻击。蜜罐系统被攻击之后,就可以获得攻击者控制的设备的具体信息,从而探测到攻击者控制的设备可能威胁内网安全的操作。但是蜜罐系统探测范围小,并且所需硬件性能要求较高。技术实现思路1、本技术提供一种网络威胁探测方法、装置及存储介质,用于解决现有技术中网络威胁探测探测范围小的技术问题。2、为达到上述目的,本技术采用如下技术方案:3、第一方面,提供一种网络威胁探测方法,应用于探测服务器,探测服务器部署于待探测内网中,且探测服务器预先配置网卡,探测服务器中的系统中预先创建有多个虚拟网卡;网卡与多个虚拟网卡网际互连协议(internet protocol,ip)地址不同,不同的虚拟网卡的ip地址不同;每个虚拟网卡上预先部署有抓包程序;包括:调用网卡和多个虚拟网卡上的抓包程序,获取至少一个安全威胁数据;根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。4、可选的,该网络威胁探测方法还包括:响应于基于静态防火墙(iptables)技术对探测服务器执行的第一安全防护数据配置操作,确定探测服务器禁止除管理设备ip和本机环回ip以外的ip进行业务访问。和/或,响应于基于传输控制协议防护(transmissioncontrol protocol wrappers,tcp-wrappers)技术和配置反向代理网络服务器(engine x,nginx)技术对探测服务器执行的第二安全防护数据配置操作,确定探测服务器禁止除管理设备ip以外的ip访问探测服务器的远程请求与响应协议服务。和/或,响应于基于配置关系型数据库管理系统(relational database management system,rdbms)技术对探测服务器执行的第三安全防护数据配置操作,确定探测服务器禁止除本机环回ip以外的ip访问探测服务器的数据库。5、可选的,该网络威胁探测方法还包括:响应于对探测服务器执行第一威胁探测数据配置操作,将探测服务器服务端口配置为除探测服务器的常用端口以外的端口。和/或,响应于基于iptables技术对探测服务器执行第二威胁探测数据配置操作,确定允许访问探测服务器的远程请求与响应协议服务和数据库的目标端口,且禁止探测服务器向除管理设备ip和本机环回ip以外的ip发送数据;目标端口包括传输控制协议(transmissioncontrol protocol,tcp)端口、用户数据包协议(user datagram protocol,udp)端口和网络控制报文协议(internet control message protocol,icmp)端口。和/或,响应于对探测服务器执行第三威胁探测数据配置操作,禁止除网卡ip以外的ip监听远程请求与响应协议服务。6、可选的,调用多个虚拟网卡上的抓包程序,获取至少一个安全威胁数据,包括:创建多个虚拟网卡;对网卡和多个虚拟网卡执行ip配置操作,以使得网卡和不同的虚拟网卡的ip地址均不同,并在网卡和每个虚拟网卡上部署抓包程序。7、第二方面,提供一种网络威胁探测装置,应用于探测服务器,探测服务器部署于待探测内网中,且探测服务器与待探测内网中的内网设备之间预先创建有多个虚拟网卡;不同的虚拟网卡的网际互连协议ip不同;每个虚拟网卡上预先部署有抓包程序;该网络威胁探测装置包括:获取单元和确定单元;获取单元,用于调用网卡和多个虚拟网卡上的抓包程序,获取至少一个安全威胁数据;确定单元,用于根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。8、可选的,确定单元还用于响应于基于iptables技术对探测服务器执行的第一安全防护数据配置操作,确定探测服务器禁止除管理设备ip和本机环回ip以外的ip进行业务访问;和/或,确定单元,还用于响应于基于tcp-wrappers技术和nginx技术对探测服务器执行的第二安全防护数据配置操作,确定探测服务器禁止除管理设备ip以外的ip访问探测服务器的远程请求与响应协议服务;和/或,确定单元,还用于响应于基于rdbms技术对探测服务器执行的第三安全防护数据配置操作,确定探测服务器禁止除本机环回ip以外的ip访问探测服务器的数据库。9、可选的,确定单元还用于响应于对探测服务器执行第一威胁探测数据配置操作,将探测服务器服务端口配置为除探测服务器的常用端口以外的端口;和/或,确定单元,还用于响应于基于iptables技术对探测服务器执行第二威胁探测数据配置操作,确定允许访问探测服务器的远程请求与响应协议服务和数据库的目标端口,且禁止探测服务器向除管理设备ip和本机环回ip以外的ip发送数据;目标端口包括tcp端口、udp端口和icmp端口;和/或,确定单元,还用于响应于对探测服务器执行第三威胁探测数据配置操作,禁止网卡ip以外的ip监听远程请求与响应协议服务。10、可选的,获取单元具体用于:创建多个虚拟网卡;对网卡和多个虚拟网卡执行ip配置操作,以使得网卡和不同的虚拟网卡的ip地址均不同,并在网卡和每个虚拟网卡上部署抓包程序。11、第三方面,提供一种网络威胁探测装置,包括存储器和处理器;存储器用于存储计算机执行指令,处理器与存储器通过总线连接;当网络威胁探测装置运行时,处理器执行存储器存储的计算机执行指令,以使网络威胁探测装置执行第一方面所述的网络威胁探测方法。12、该网络威胁探测装置可以是网络设备,也可以是网络设备中的一部分装置,例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能,例如,获取、确定、发送上述网络威胁探测方法中所涉及的数据或信息。该芯片系统包括芯片,也可以包括其他分立器件或电路结构。13、第四方面,提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得该计算机执行第一方面所述的网络威胁探测方法。14、第五方面,还提供一种计算机程序产品,该计算机程序产品包括计算机指令,当计算机指令在网络威胁探测装置上运行时,使得网络威胁探测装置执行如上述第一方面所述的网络威胁探测方法。15、需要说明的是,上述计算机指令可以全部或者部分存储在第一计算机可读存储介质上。其中,第一计算机可读存储介质可以与网络威胁探测装置的处理器封装在一起的,也可以与网络威胁探测装置的处理器单独封装,本技术实施例对此不作限定。16、本技术中第二方面、第三方面、第四方面以及第五方面的描述,可以参考第一方面的详细描述;并且,第二方面、第三方面、第四方面以及第五方面的有益效果,可以参考第一方面的有益效果分析,此处不再赘述。17、在本技术实施例中,上述网络威胁探测装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本技术类似,属于本技术权利要求及其等同技术的范围之内。18、本技术的这些方面或其他方面在以下的描述中会更加简明易懂。19、本技术提供的技术方案至少带来以下有益效果:20、基于上述任一方面,本技术实施例提供了一种网络威胁探测方法,应用于探测服务器,探测服务器部署于待探测内网中,且所述探测服务器预先配置网卡,所述探测服务器中的系统中预先创建有多个虚拟网卡;所述网卡与所述多个虚拟网卡ip地址不同,不同的虚拟网卡的ip地址不同;网卡和每个虚拟网卡上预先部署有抓包程序。该网络威胁探测方法包括:可以通过调用多个虚拟网卡上的抓包程序,获取至少一个安全威胁数据,然后可以根据至少一个安全威胁数据确定待探测内网的网络威胁探测结果。21、由上可知,本技术实施例只需通过抓包软件抓取数据,不需要运行蜜罐系统的虚拟服务和虚拟机,也不需要处理信息交互,因此,本技术实施例具有较大的网络威胁探测范围。并且,虚拟网卡在ip通信方面和网卡具有完全相同的功能,网卡和多个虚拟网卡构成的探测阵列可以提高网络威胁探测的探测范围。因此,本技术实施例所需成本相比常规蜜罐技术成本消耗更低。当前第1页12当前第1页12