网络检测方法、装置、电子设备及计算机可读存储介质.pdf

《网络检测方法、装置、电子设备及计算机可读存储介质.pdf》由会员分享，可在线阅读，更多相关《网络检测方法、装置、电子设备及计算机可读存储介质.pdf（14页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910931812.0 (22)申请日 2019.09.27 (71)申请人 北京知道创宇信息技术股份有限公 司 地址 100000 北京市朝阳区阜通东大街1号 院5号楼1单元311501室 (72)发明人 陆林 (74)专利代理机构 北京超凡宏宇专利代理事务 所(特殊普通合伙) 11463 代理人 张萌 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 网络检测方法、 装置、 电子设备及计算机可 读存储介质 (57)摘要 本申请提供一种网络。

2、检测方法、 装置、 电子 设备及计算机可读存储介质。 方法包括： 向目标 服务器发送探测报文； 基于目标服务器根据探测 报文返回的应答数据， 确定目标服务器是否为蜜 罐服务器， 并得到检测结果， 应答数据包括目标 服务器开启的端口数量、 目标服务器中的多个端 口开启的服务的类型、 目标服务器开启的协议的 协议类型及通过协议与目标服务器通信的互联 网服务提供商中的至少一种， 能够改善网络探测 容易被封禁而使得探测的效率低的问题。 权利要求书2页 说明书9页 附图2页 CN 110677414 A 2020.01.10 CN 110677414 A 1.一种网络检测方法， 其特征在于， 所述方法包。

3、括： 向目标服务器发送探测报文； 基于所述目标服务器根据所述探测报文返回的应答数据， 确定所述目标服务器是否为 蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目标服务器开启的端口数量、 所述目 标服务器中的多个端口开启的服务的类型、 所述目标服务器开启的协议的协议类型及通过 所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。 2.根据权利要求1所述的方法， 其特征在于， 基于所述目标服务器根据所述探测报文返 回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 判断所述应答数据中是否存在指定字符， 所述指定字符为用于表征发送所述应答数据 的服务器为蜜罐服务器的字符； 当。

4、所述应答数据中存在所述指定字符时， 确定所述目标服务器为蜜罐服务器。 3.根据权利要求1所述的方法， 其特征在于， 基于所述目标服务器根据所述探测报文返 回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 根据所述应答数据确定所述目标服务器多个端口所开启的服务的服务类型； 判断所述多个端口所开启的服务的服务类型中是否存在相同的服务类型； 当所述多个端口所开启的服务的服务类型中存在相同的服务类型， 且开启相同服务类 型的端口的最大数量大于或等于第一指定数量时， 确定所述目标服务器为蜜罐服务器。 4.根据权利要求1所述的方法， 其特征在于， 基于所述目标服务器根据所述探测报文返 回的应答。

5、数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 根据所述应答数据确定所述目标服务器开启的协议的协议类型， 及通过所述协议与所 述目标服务器通信连接的互联网服务提供商的类型； 当所述协议类型为指定协议类型， 且所述互联网服务提供商的类型为指定提供商类型 时， 确定所述目标服务器为蜜罐服务器。 5.根据权利要求1所述的方法， 其特征在于， 所述探测报文用于查询对所述目标服务器 执行指定操作的执行结果， 基于所述目标服务器根据所述探测报文返回的应答数据， 确定 所述目标服务器是否为蜜罐服务器， 包括： 当确定所述应答数据中不包括所述执行结果时， 确定所述目标服务器为蜜罐服务器。 6.根据权利要。

6、求2-5中任意一项所述的方法， 其特征在于， 在确定所述目标服务器为蜜 罐服务器之前， 所述方法还包括： 确定所述应答数据中的所述目标服务器开启的端口数量大于或等于第二指定数量， 所 述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。 7.根据权利要求1所述的方法， 其特征在于， 所述方法还包括： 当确定所述目标服务器为蜜罐服务器时， 中断用于网络探测的电子设备与所述目标服 务器的通信连接。 8.一种网络检测装置， 其特征在于， 所述装置包括： 发送单元， 用于向目标服务器发送探测报文； 检测单元， 用于基于所述目标服务器根据所述探测报文返回的应答数据， 确定所述目 标服务器是否为蜜罐服。

7、务器， 并得到检测结果， 所述应答数据包括所述目标服务器开启的 端口数量、 所述目标服务器中的多个端口开启的服务的类型、 所述目标服务器开启的协议 权利要求书 1/2 页 2 CN 110677414 A 2 的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一种。 9.一种电子设备， 其特征在于， 所述电子设备包括相互耦合的存储器及处理器， 所述存 储器内存储计算机程序， 当所述计算机程序被所述处理器执行时， 使得所述电子设备执行 如权利要求1-7中任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序， 当所述计算机程序在计。

8、算机上运行时， 使得所述计算机执行如权利要求1-7中任意一项所 述的方法。 权利要求书 2/2 页 3 CN 110677414 A 3 网络检测方法、 装置、 电子设备及计算机可读存储介质 技术领域 0001 本发明涉及网络安全技术领域， 具体而言， 涉及一种网络检测方法、 装置、 电子设 备及计算机可读存储介质。 背景技术 0002 在通信网络中， 存在网络探测的需求。 可理解地， 通过对通信网络进行网络探测， 可以方便管理人员了解网络中各个通信节点的拓扑结构、 通信路径或节点存储的网络资 源。 在网络探测过程中， 用于进行网络探测的设备可能会被当成恶意扫描， 而被封禁， 从而 使得网络探。

9、测无法继续， 影响网络探测的效率。 发明内容 0003 本申请提供一种网络检测方法、 装置、 电子设备及计算机可读存储介质， 能够改善 网络探测容易被封禁而使得探测的效率低的问题。 0004 为了实现上述目的， 本申请实施例所提供的技术方案如下所示： 0005 第一方面， 本申请实施例提供一种网络检测方法， 所述方法包括： 0006 向目标服务器发送探测报文； 基于所述目标服务器根据所述探测报文返回的应答 数据， 确定所述目标服务器是否为蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目 标服务器开启的端口数量、 所述目标服务器中的多个端口开启的服务的类型、 所述目标服 务器开启的协议的协。

10、议类型及通过所述协议与所述目标服务器通信的互联网服务提供商 中的至少一种。 0007 在上述实施方式中， 通过检测目标服务器是否为蜜罐服务器， 有利于避开蜜罐服 务器进行网络探测， 避免被蜜罐服务器封禁用于网络探测的电子设备， 从而改善网络探测 容易被封禁而使得探测的效率低的问题。 0008 结合第一方面， 在一些可选的实施方式中， 基于所述目标服务器根据所述探测报 文返回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 0009 判断所述应答数据中是否存在指定字符， 所述指定字符为用于表征发送所述应答 数据的服务器为蜜罐服务器的字符； 当所述应答数据中存在所述指定字符时， 确定所述。

11、目 标服务器为蜜罐服务器。 0010 在上述实施方式中， 通过检测应答数据中是否存在表征蜜罐服务器的特殊字符， 有助于通过特殊字符快速准确地判断目标服务器是否为蜜罐服务器。 0011 结合第一方面， 在一些可选的实施方式中， 基于所述目标服务器根据所述探测报 文返回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 0012 根据所述应答数据确定所述目标服务器多个端口所开启的服务的服务类型； 判断 所述多个端口所开启的服务的服务类型中是否存在相同的服务类型； 当所述多个端口所开 启的服务的服务类型中存在相同的服务类型， 且开启相同服务类型的端口的最大数量大于 或等于第一指定数量时， 确。

12、定所述目标服务器为蜜罐服务器。 说明书 1/9 页 4 CN 110677414 A 4 0013 蜜罐服务器的多个端口通常会开启相同类型的服务， 在上述的实施方式中， 通过 利用蜜罐服务器本身具有的特性来检测目标服务器是否为蜜罐服务器， 有助于提高检测的 准确度。 0014 结合第一方面， 在一些可选的实施方式中， 基于所述目标服务器根据所述探测报 文返回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 0015 根据所述应答数据确定所述目标服务器开启的协议的协议类型， 及通过所述协议 与所述目标服务器通信连接的互联网服务提供商的类型； 当所述协议类型为指定协议类 型， 且所述互联。

13、网服务提供商的类型为指定提供商类型时， 确定所述目标服务器为蜜罐服 务器。 0016 蜜罐服务器运行的协议类型及与蜜罐服务器通信的互联网服务提供商的类型包 括了指定类型。 在上述实施方式中， 通过利用蜜罐服务器本身具有的特性来检测目标服务 器是否为蜜罐服务器， 有助于提高检测的准确度。 0017 结合第一方面， 在一些可选的实施方式中， 所述探测报文用于查询对所述目标服 务器执行指定操作的执行结果， 基于所述目标服务器根据所述探测报文返回的应答数据， 确定所述目标服务器是否为蜜罐服务器， 包括： 0018 当确定所述应答数据中不包括所述执行结果时， 确定所述目标服务器为蜜罐服务 器。 0019。

14、 蜜罐服务器不会针对指定操作指令执行相应的操作， 从而使得返回的内容固定。 在上述实施方式中， 通过利用蜜罐服务器本身具有的特性来检测目标服务器是否为蜜罐服 务器， 有助于提高检测的准确度。 0020 结合第一方面， 在一些可选的实施方式中， 在确定所述目标服务器为蜜罐服务器 之前， 所述方法还包括： 0021 确定所述应答数据中的所述目标服务器开启的端口数量大于或等于第二指定数 量， 所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。 0022 蜜罐服务器通常开启的端口数量较多。 在上述实施方式中， 通过利用蜜罐服务器 本身具有的这一特性来检测目标服务器是否为蜜罐服务器， 有助于提高。

15、检测的准确度。 0023 结合第一方面， 在一些可选的实施方式中， 所述方法还包括： 0024 当确定所述目标服务器为蜜罐服务器时， 中断用于网络探测的电子设备与所述目 标服务器的通信连接。 0025 在上述实施方式中， 当确定目标服务器为蜜罐服务器时， 通过中断电子设备与该 服务器的通信连接， 有助于及时避免电子设备被服务器封禁而无法继续进行网络探测， 从 而有助于改善网络探测效率低的问题。 0026 第二方面， 本申请实施例还提供一种网络检测装置， 所述装置包括： 0027 发送单元， 用于向目标服务器发送探测报文； 0028 检测单元， 用于基于所述目标服务器根据所述探测报文返回的应答数。

16、据， 确定所 述目标服务器是否为蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目标服务器开 启的端口数量、 所述目标服务器中的多个端口开启的服务的类型、 所述目标服务器开启的 协议的协议类型及通过所述协议与所述目标服务器通信的互联网服务提供商中的至少一 种。 说明书 2/9 页 5 CN 110677414 A 5 0029 第三方面， 本申请实施例还提供一种电子设备， 所述电子设备包括相互耦合的存 储器及处理器， 所述存储器内存储计算机程序， 当所述计算机程序被所述处理器执行时， 使 得所述电子设备执行上述的方法。 0030 第四方面， 本申请实施例还提供一种计算机可读存储介质， 所述。

17、可读存储介质中 存储有计算机程序， 当所述计算机程序在计算机上运行时， 使得所述计算机执行上述的方 法。 附图说明 0031 为了更清楚地说明本申请实施例的技术方案， 下面将对实施例中所需要使用的附 图作简单地介绍。 应当理解， 以下附图仅示出了本申请的某些实施例， 因此不应被看作是对 范围的限定， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这 些附图获得其他相关的附图。 0032 图1为本申请实施例提供的电子设备与目标服务器通信连接的示意图。 0033 图2为本申请实施例提供的电子设备的方框示意图。 0034 图3为本申请实施例提供的网络检测方法的流程示意图。 0。

18、035 图4为本申请实施例提供的网络检测装置的功能框图。 0036 图标： 10-电子设备； 11-处理模块； 12-存储模块； 13-通信模块； 20-目标服务器； 100-网络检测装置； 110-发送单元； 120-检测单元。 具体实施方式 0037 下面将结合本申请实施例中的附图， 对本申请实施例中的技术方案进行描述。 需 要说明的是， 术语 “第一” 、“第二” 等仅用于区分描述， 而不能理解为指示或暗示相对重要 性。 0038 请参照图1， 本申请实施例提供的电子设备10可以通过网络与一个或多个服务器 建立通信连接， 以进行数据交互。 其中， 接收到电子设备10发送的探测报文的服务器。

19、便为目 标服务器20。 网络可以是， 但不限于有线网络或无线网络。 0039 电子设备10可以是， 但不限于个人电脑(Personal Computer， PC)、 移动上网设备 (Mobile Internet Device， MID)、 服务器等， 可以用于进行网络探测的设备。 另外， 电子设 备10可以用于执行或实现下述的网络检测方法。 即， 该电子设备10可以用于检测目标服务 器20是否为蜜罐服务器， 以避免电子设备10在网络探测过程中被蜜罐服务器封禁。 蜜罐服 务器即为安装有蜜罐程序， 可以用于检测恶意扫描、 攻击的服务器。 0040 可理解地， 蜜罐服务器可以作为故意让人攻击的目标。

20、， 引诱黑客前来攻击， 类似于 情报收集系统。 计算机领域中的蜜罐通过对攻击方进行欺骗， 通过布置一些作为诱饵的主 机(服务器)、 网络服务或者信息， 诱使攻击方对蜜罐实施攻击， 从而可以对攻击行为进行捕 获和分析， 了解攻击方所使用的工具与方法， 推测攻击意图和动机， 能够让防御方清晰地了 解所面对的安全威胁， 以便于根据安全威胁增强实际系统的安全防护能力。 即， 本领域技术 人员熟知蜜罐服务器的工作原理。 0041 请参照图2， 在本实施例中， 电子设备10可以包括处理模块11、 存储模块12、 通信模 块13以及网络检测装置100， 处理模块11、 存储模块12、 通信模块13以及网络检。

21、测装置100各 说明书 3/9 页 6 CN 110677414 A 6 个元件之间直接或间接地电性连接， 以实现数据的传输或交互。 例如， 这些元件相互之间可 通过一条或多条通讯总线或信号线实现电性连接。 0042 处理模块11可以为通用处理器。 例如， 处理器可以是， 但不限于中央处理器 (Central Processing Unit， CPU)、 网络处理器(Network Processor， NP)等、 数字信号处理 器(Digital Signal Processing， DSP)、 专用集成电路(Application Specific Integrated Circuit， 。

22、ASIC)、 现场可编程门阵列(FieldProgrammable Gate Array， FPGA)等， 可以实现或者执行本申请实施例中的公开的各方法、 步骤及逻辑框图。 0043 存储模块12可以是， 但不限于， 随机存取存储器， 只读存储器， 可擦除可编程只读 存储器， 电可擦除可编程只读存储器等。 在本实施例中， 存储模块12可以用于存储用于检测 目标服务器20是否为蜜罐服务器的检测规则， 比如， 可以存储用于表征服务器为蜜罐服务 器的指定字符、 服务器端口的第一指定数量、 第二指定数量等。 当然， 存储模块12还可以用 于存储程序， 处理模块11在接收到执行指令后， 执行该程序。 0。

23、044 通信模块13用于通过网络建立电子设备10与目标服务器20的通信连接， 并通过网 络收发数据。 0045 网络检测装置100包括至少一个可以软件或固件(firmware)的形式存储于存储模 块12中或固化在电子设备10操作系统(Operating System， OS)中的软件功能模块。 处理模 块11用于执行存储模块12中存储的可执行模块， 例如网络检测装置100所包括的软件功能 模块及计算机程序等。 0046 可以理解的是， 图2所示的结构仅为电子设备10的一种结构示意图， 电子设备10还 可以包括比图2所示更多的组件。 图2中所示的各组件可以采用硬件、 软件或其组合实现。 0047。

24、 请参照图3， 本申请实施例还提供一种网络检测方法， 可以应用于上述的电子设备 10中， 由电子设备10执行或实现网络检测方法的各步骤。 其中， 网络检测方法可以包括步骤 S210、 步骤S220。 0048 步骤S210， 向目标服务器20发送探测报文； 0049 步骤S220， 基于所述目标服务器20根据所述探测报文返回的应答数据， 确定所述 目标服务器20是否为蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目标服务器20 开启的端口数量、 所述目标服务器20中的多个端口开启的服务的类型、 所述目标服务器20 开启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提供。

25、商中 的至少一种。 0050 在上述实施方式中， 通过检测目标服务器20是否为蜜罐服务器， 有利于避开蜜罐 服务器进行网络探测， 避免被蜜罐服务器封禁用于网络探测的电子设备10， 从而改善网络 探测容易被封禁而使得探测的效率低的问题。 0051 下面将对图3中所示的网络检测方法的各步骤进行详细阐述： 0052 步骤S210， 向目标服务器20发送探测报文。 0053 在本实施例中， 电子设备10在进行网络探测时， 可以向网络中的服务器发送探测 报文。 接收到探测报文的服务器即为目标服务器20。 探测报文可以根据实际情况进行构造， 可以用于检测目标服务器20开启的端口数量、 目标服务器20中的多。

26、个端口开启的服务的类 型、 标服务器开启的协议的协议类型及通过协议与目标服务器20通信的互联网服务提供商 (Internet Service Provider， ISP)中的至少一种。 说明书 4/9 页 7 CN 110677414 A 7 0054 可理解地， 电子设备10每向目标服务器20发送一次探测报文， 便可以从目标服务 器20获取到目标服务器20的至少一项检测数据。 比如， 电子设备10每向目标服务器20发送 一次探测报文， 便可以从目标服务器20获取到目标服务器20的一项检测数据， 若当前的探 测报文无法确定出目标服务器20是蜜罐服务器， 则电子设备10可以继续向目标服务器20发。

27、 送用于检测目标服务器20其他项的数据的探测报文， 直至检测出目标服务器20为蜜罐服务 器， 或对目标服务器20的所有指定项目均检测完为止。 所有的指定项目包括但不限于目标 服务器20开启的端口数量、 目标服务器20中的多个端口开启的服务的类型、 标服务器开启 的协议的协议类型及通过协议与目标服务器20通信的互联网服务提供商。 0055 步骤S220， 基于所述目标服务器20根据所述探测报文返回的应答数据， 确定所述 目标服务器20是否为蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目标服务器20 开启的端口数量、 所述目标服务器20中的多个端口开启的服务的类型、 所述目标服务器20 开。

28、启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提供商中 的至少一种。 0056 在本实施例中， 目标服务器20在接收到探测报文后， 通常会做出相应的响应(或应 答)， 同时会将应答数据发送至电子设备10。 电子设备10在接收到应答数据后， 可以通过对 应答数据进行解析， 以确定目标服务器20是否为蜜罐服务器。 0057 申请人经过长期研究发现， 蜜罐服务器的特性与非蜜罐服务器特性存在区别， 基 于蜜罐服务器的特性， 便可以确定目标服务器20是否为蜜罐服务器。 比如， 蜜罐服务器的特 性包括但不限于蜜罐服务器开启的端口数量多、 蜜罐存在多个端口开启的服务的类型相 同、 与蜜。

29、罐服务器交互时， 蜜罐服务器返回的内容固定， 或返回结果中含有特殊字符。 另外， 若检测到一个服务器开启了工控协议， 且互联网服务提供商为VPS(Virtual Private Server虚拟专用服务器)厂商， 则可以确定该服务器为蜜罐服务器。 因为开启工控协议的设 备通常为蜜罐服务器或工控设备， 而工控设备不会部署在VPS上， 所以当检测到一个服务器 开启了工控协议， 且互联网服务提供商为VPS厂商时， 便可以确定该服务器为蜜罐服务器。 0058 在本实施例中， 电子设备10在执行步骤S220时， 可以基于蜜罐服务器的特性通过 一种或多种检测方式来检测目标服务器20是否为蜜罐服务器， 检测。

30、方式可以包括下面的一 种或多种的组合， 例如： 0059 第一种检测方式， 步骤S220可以包括： 判断所述应答数据中是否存在指定字符， 所 述指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符； 当所述应答数据 中存在所述指定字符时， 确定所述目标服务器20为蜜罐服务器。 0060 可理解地， 蜜罐服务器中的蜜罐程序通常有固定的对话脚本， 在对话建立后对话 脚本通常不会改变， 因此其返回值里面包含有指定的特征。 例如通过电子设备10登陆一个 FTP服务器(FTP服务器即为支持FTP协议的服务器， FTP协议即为文件传输协议， 英文全称为 File Transfer Protocol。

31、)， 通过LS命令(LS命令为Linux下常用的指令之一， 用于显示指定 工作目录下的内容， 比如， 列出目前工作目录所含之文件及子目录)可以看到如下的文件信 息： 0061 211-drwx-2root root 16384May 282014lost+foundrn 0062 如果发现该文件信息长时间(该时间可以根据实际情况进行设置， 例如可以为1小 时、 24小时等时长)没有变化， 则可以确定该FTP服务器为蜜罐服务器。 其中， 上述的LS命令 说明书 5/9 页 8 CN 110677414 A 8 即为探测报文， 文件信息即为指定字符。 当然， 指定字符还可以是其他内容， 可以根据实。

32、际 情况进行设置， 这里不作具体限定。 0063 第二种检测方式， 步骤S220可以包括： 根据所述应答数据确定所述目标服务器20 多个端口所开启的服务的服务类型； 判断所述多个端口所开启的服务的服务类型中是否存 在相同的服务类型； 当所述多个端口所开启的服务的服务类型中存在相同的服务类型， 且 开启相同服务类型的端口的最大数量大于或等于第一指定数量时， 确定所述目标服务器20 为蜜罐服务器。 0064 可理解地， 当探测报文可以用于探测目标服务器20端口所开启的服务的服务类型 时， 目标服务器20在接收到该探测报文后， 便可以将多个端口或所有端口开启的服务类型 作为应答数据发送至电子设备10。

33、。 电子设备10在接收到该应答数据后， 便可以从中解析得 到目标服务器20多个或所有端口所开启的服务类型， 然后统计出开启相同服务类型的端口 的数量。 0065 其中， 开启相同服务类型的端口表示： 多个端口开启的服务类型相同， 且多个端口 所开启的服务类型的banner相同或重合率大于或等于指定阈值(该指定阈值可以根据实际 情况进行设置， 表示多个端口的banner大部分相同， 例如该指定阈值可以为80、 90等)。 另外， 服务类型可以根据实际情况进行设置， 例如服务类型包括但不限于HTTP(hypertext transfer protocol， 超文本传输协议)、 FTP、 Telne。

34、t、 SSH、 POP3(Post Office Protocol- Version 3， 邮局协议版本3)等， 为服务器可以提供的服务类型。 其中， Telnet是传输控制协 议/因特网协议(TCP/IP)网络(例如因特网)的登录和仿真程序； SSH为Secure Shell的缩 写， SSH为建立在应用层和传输层基础上的安全协议。 0066 蜜罐服务器通常变会使多个端口开启相同类型的服务。 当开启相同服务类型的端 口的数量大于或等于第一指定阈值时， 则表示开启相同服务类型的端口的数量较多， 则可 以确定该目标服务器20为蜜罐服务器， 或者为可疑服务器。 其中， 第一指定阈值可以根据实 际情。

35、况进行设置， 例如可以根据服务器所开启的端口的总数来确定， 若开启相同服务类型 的端口数量大于或等于总端口数量的15(该百分比可以根据实际情况进行设置， 例如可 以为10、 20等)， 则可以确定该服务器为蜜罐服务器。 可疑服务器表示该服务器为蜜罐 服务器的可能性较大， 此时， 电子设备10可以继续对该服务器的其他项目进行检测。 比如， 通过上述的第一种检测方式继续检测， 或者通过下述的第三种、 第四种方式继续进行检测， 以提高检测的准确性。 0067 第三种检测方式， 步骤S220可以包括： 根据所述应答数据确定所述目标服务器20 开启的协议的协议类型， 及通过所述协议与所述目标服务器20通。

36、信连接的互联网服务提供 商的类型； 当所述协议类型为指定协议类型， 且所述互联网服务提供商的类型为指定提供 商类型时， 确定所述目标服务器20为蜜罐服务器。 0068 在本实施例中， 指定协议及指定提供商类型可以根据实际情况进行设置。 例如， 指 定协议可以为工控协议， 指定提供商类型可以为VPS。 0069 可理解地， 探测报文可以用于检测目标服务器20运行的协议及与通过该协议与目 标服务器20进行通信的ISP的类型。 服务器在接收到该探测报文后， 可以将目标服务器20运 行的协议及与通过该协议与目标服务器20进行通信的ISP的类型作为应答数据， 发送至电 子设备10， 以使电子设备10可以。

37、从应答数据中解析到目标服务器20运行的协议及与通过该 说明书 6/9 页 9 CN 110677414 A 9 协议与目标服务器20进行通信的ISP的类型。 0070 由于开启工控协议的设备通常为蜜罐服务器或工控设备， 而工控设备不会部署在 VPS上。 因此， 当检测到目标服务器20开启了工控协议， 且互联网服务提供商为VPS厂商时， 便可以确定该目标服务器20为蜜罐服务器。 0071 第四种检测方式， 所述探测报文用于查询对所述目标服务器20执行指定操作的执 行结果， 步骤S220可以包括： 当确定所述应答数据中不包括所述执行结果时， 确定所述目标 服务器20为蜜罐服务器。 0072 可理解。

38、地， 电子设备10在与蜜罐服务器交互期间， 蜜罐服务器返回的内容较为固 定， 不会与普通服务器(指非蜜罐服务器)一样灵活。 例如， 例如通过电子设备10登陆一台为 蜜罐服务器的FTP服务器， 然后利用探测报文尝试在该FTP服务器创建一个文件目录， 该FTP 服务器会向电子设备10返回表示创建成功的应答数据。 当电子设备10向该FTP服务器发送 用于查看当前创建的文件目录的探测报文时， 该FTP服务器返回的应答报文会表示该服务 器中不存在刚才创建的文件目录， 或该文件目录并没有出现过。 0073 当指定操作为向目标服务器20创建文件目录， 并在创建完后查询该文件目录时， 若目标服务器20返回的应。

39、答数据中不包括执行结果， 即该目标服务器20返回的应答数据表 示刚才创建的文件目录， 或该文件目录并没有出现过， 此时， 便可以确定该目标服务器20为 蜜罐服务器。 0074 若目标服务器20范围的应答数据中存在刚才创建的文件目录， 则该目标服务器20 便不是蜜罐服务器， 或为上述的可疑服务器。 此时， 可以继续对该目标服务器20进行检测。 例如， 可以继续通过第一种检测方式、 第二种检测方式、 第三种检测方式中的一种或多种方 式进行检测， 以提高检测的准确度。 0075 若每种检测方式均检测出目标服务器20不是蜜罐服务器， 则可以确定该目标服务 器20不是蜜罐服务器的检测结果。 若存在一种或。

40、多种检测方式检测出目标服务器20为蜜罐 服务器， 则可以确定目标服务器20是蜜罐服务器的检测结果。 0076 作为一种可选的实施方式， 在确定所述目标服务器20为蜜罐服务器之前， 方法还 可以包括： 确定所述应答数据中的所述目标服务器20开启的端口数量大于或等于第二指定 数量， 所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。 其中， 第二指定数 量大于上述的第一指定数量。 0077 可理解地， 普通服务器(指非蜜罐服务器)通常开启的端口的数量较少， 比如， 开启 的端口通常为几个到几十个。 而蜜罐服务器开启的端口数量较多， 通常开启的端口数量为 几十个至上百个。 因为蜜罐服务器为了。

41、发现更多的恶意扫描或者攻击， 需要开启大量的端 口进行检测。 因此电子设备10可以首先检测目标服务器20的开启的端口数量。 若开启的端 口数量较少， 则可以直接确定该服务器不是蜜罐服务器。 若开启的端口数量较多， 则可以确 定目标服务器20为可疑服务器， 然后在通过上述的四种检测方式中的一种或多种组合进行 检测。 基于此， 可以避免对开启端口数量少的服务器进行多项检测， 从而有助于提高检测效 率。 0078 其中， 电子设备10可以通过nmap或者资源搜索引擎， 例如zoomeye.org等搜索目标 服务器20(或目标服务器20的IP)开启的端口数量。 0079 作为一种可选的实施方式， 方法。

42、还可以包括： 当确定所述目标服务器20为蜜罐服 说明书 7/9 页 10 CN 110677414 A 10 务器时， 中断用于网络探测的电子设备10与所述目标服务器20的通信连接。 0080 在本实施例中， 当确定出目标服务器20为蜜罐服务器时， 电子设备10可以断开与 目标服务器20的通信连接， 以避免电子设备10被蜜罐服务器封禁。 0081 可理解地， 在探测出目标服务器20为蜜罐服务器时， 电子设备10可以规避蜜罐服 务器， 并继续进行网络探测。 0082 作为一种可选的实施方式， 在探测出目标服务器20为蜜罐服务器时， 电子设备10 (可以称为第一电子设备)可以向用于网络探测的其他电。

43、子设备(可以称为第二电子设备) 发送提示信息， 提示信息中包括用于识别蜜罐服务器身份的信息， 比如IP地址， 以使第二电 子设备在网络探测过程中， 基于提示信息避开该蜜罐服务器， 继续进行网络探测， 以避免被 该蜜罐服务器封禁。 基于此， 即使第一电子设备在识别出目标服务器20为蜜罐服务器后， 被 蜜罐服务器封禁， 第一电子设备也可以通知第二电子设备， 以使第二电子设备避开第一电 子设备所识别出的蜜罐服务器， 继续进行网络探测， 从而提高探测效率。 0083 其中， 第二电子设备的功能作用与第一电子设备的功能作用相同或类似， 可以用 于执行本实施例中所述的网络检测方法， 与第一电子设备通信连接。

44、的第二电子设备的数量 可以为一个或多个， 这里不作具体限定。 0084 电子设备10通过进行网络探测， 可以方便管理人员了解网络中各个通信节点(包 括服务器)的拓扑结构、 通信路径或通信节点存储的网络资源、 探测的目标设备的参数。 其 中， 网络资源包括但不限于视频数据、 图像数据、 文本数据等。 探测的目标设备的参数包括 但不限于该目标设备安装的系统类型、 所提供的服务类型等。 0085 作为一种可选的实施方式， 第一电子设备可以接收第二电子设备发送的由第二电 子设备识别出的蜜罐服务器的身份信息， 第一电子设备在收到该身份信息后， 可以避开与 身份信息对应的蜜罐服务器， 继续进行网络探测， 。

45、以提高网络探测的效率， 降低被蜜罐服务 器封禁的概率。 0086 基于上述设计， 电子设备10通过一种或多种检测方式来检测目标服务器20是否为 蜜罐服务器， 有助于提高检测蜜罐服务器的准确度， 减小电子设备10被蜜罐服务器封禁的 概率， 从而有助于提高网络探测的效率。 0087 请参照图4， 本申请实施例还提供一种网络检测装置100， 可以用于执行或实现上 述的网络检测方法中的各步骤。 该网络检测装置100可以包括发送单元110及检测单元120。 0088 发送单元110， 用于向目标服务器20发送探测报文。 0089 检测单元120， 用于基于所述目标服务器20根据所述探测报文返回的应答数据。

46、， 确 定所述目标服务器20是否为蜜罐服务器， 并得到检测结果， 所述应答数据包括所述目标服 务器20开启的端口数量、 所述目标服务器20中的多个端口开启的服务的类型、 所述目标服 务器20开启的协议的协议类型及通过所述协议与所述目标服务器20通信的互联网服务提 供商中的至少一种。 0090 可选地， 检测单元120还可以用于： 判断所述应答数据中是否存在指定字符， 所述 指定字符为用于表征发送所述应答数据的服务器为蜜罐服务器的字符； 当所述应答数据中 存在所述指定字符时， 确定所述目标服务器20为蜜罐服务器。 0091 可选地， 检测单元120还可以用于： 根据所述应答数据确定所述目标服务器。

47、20多个 端口所开启的服务的服务类型； 判断所述多个端口所开启的服务的服务类型中是否存在相 说明书 8/9 页 11 CN 110677414 A 11 同的服务类型； 当所述多个端口所开启的服务的服务类型中存在相同的服务类型， 且开启 相同服务类型的端口的最大数量大于或等于第一指定数量时， 确定所述目标服务器20为蜜 罐服务器。 0092 可选地， 检测单元120还可以用于： 根据所述应答数据确定所述目标服务器20开启 的协议的协议类型， 及通过所述协议与所述目标服务器20通信连接的互联网服务提供商的 类型； 当所述协议类型为指定协议类型， 且所述互联网服务提供商的类型为指定提供商类 型时，。

48、 确定所述目标服务器20为蜜罐服务器。 0093 可选地， 所述探测报文用于查询对所述目标服务器20执行指定操作的执行结果， 检测单元120还可以用于： 当确定所述应答数据中不包括所述执行结果时， 确定所述目标服 务器20为蜜罐服务器。 0094 可选地， 在检测单元120确定所述目标服务器20为蜜罐服务器之前， 检测单元120 还可以用于： 确定所述应答数据中的所述目标服务器20开启的端口数量大于或等于第二指 定数量， 所述第二指定数量大于或等于蜜罐服务器开启的端口的最小数量。 0095 网络检测装置100还可以包括中断控制单元， 用于当确定所述目标服务器20为蜜 罐服务器时， 中断用于网络。

49、探测的电子设备10与所述目标服务器20的通信连接。 0096 需要说明的是， 所属领域的技术人员可以清楚地了解到， 为描述的方便和简洁， 上 述描述的网络检测装置100、 电子设备10的具体工作过程， 可以参考前述方法中的各步骤对 应过程， 在此不再过多赘述。 0097 本申请实施例还提供一种计算机可读存储介质。 可读存储介质中存储有计算机程 序， 当计算机程序在计算机上运行时， 使得计算机执行如上述实施例中所述的网络检测方 法。 0098 通过以上的实施方式的描述， 本领域的技术人员可以清楚地了解到本申请可以通 过硬件实现， 也可以借助软件加必要的通用硬件平台的方式来实现， 基于这样的理解，。

50、 本申 请的技术方案可以以软件产品的形式体现出来， 该软件产品可以存储在一个非易失性存储 介质(可以是CD-ROM， U盘， 移动硬盘等)中， 包括若干指令用以使得一台计算机设备(可以是 个人计算机， 服务器， 或者网络设备等)执行本申请各个实施场景所述的方法。 0099 综上所述， 本申请提供一种网络检测方法、 装置、 电子设备及计算机可读存储介 质。 方法包括： 向目标服务器发送探测报文； 基于目标服务器根据探测报文返回的应答数 据， 确定目标服务器是否为蜜罐服务器， 并得到检测结果， 应答数据包括目标服务器开启的 端口数量、 目标服务器中的多个端口开启的服务的类型、 目标服务器开启的协议。