本申请涉及一种蜜罐系统的攻击数据获取方法、装置。所述方法包括:运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。采用本方法能够提高蜜罐系统的仿真程度,避免被攻击者识破。
【技术实现步骤摘要】
一种蜜罐系统的攻击数据获取方法、装置
本申请涉及计算机
,特别是涉及一种蜜罐系统的攻击数据获取方法、装置。
技术介绍
工业控制系统由DCS/PLC等控制设备、温度/压力等传感器以及上位主机构成,对工业生产过程进行监视控制,是工业生产的核心中枢。随着工业互联网的发展,工业控制系统的封闭性被逐渐打破,由于工业控制系统中存在大量未被修复的漏洞,工业控制系统存在极大的风险隐患,若遭受网络攻击,将会导致难以预估的严重后果。现有的工业控制系统防护手段主要包括部署防火墙、入侵检测等安全防护设备,从攻防角度来看属于被动防御技术,难以实现主动防御攻击的目标。蜜罐系统是近年来逐渐兴起的一种主动防御技术,通过布置作为诱饵的设备,对攻击方进行欺骗,诱使攻击方对其实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法来推测攻击意图和动机,能够让防御方清晰地了解所面对的安全威胁。蜜罐系统根据交互深度可分为低交互蜜罐系统和高交互蜜罐系统。低交互蜜罐系统通过代码对设备服务进行模拟,仅能模拟有限的服务,只能与攻击者进行极为有限的交互,很容易被攻击者识别;高交互蜜罐系统能够对设备行为进行模拟,引诱攻击者展开更深入的交互。然而,现有的蜜罐系统,只能对工控设备部分常见功能进行模拟,且运行机制较为固定,在有经验的攻击者面前依旧容易暴露。
技术实现思路
基于此,有必要针对上述技术问题,提供一种能够蜜罐系统仿真程度的蜜罐系统的攻击数据获取方法、装置。一种蜜罐系统的攻击数据获取方法,所述方法包括:r>运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。在其中一个实施例中,所述蜜罐系统的攻击数据获取方法,还包括:所述上位机向所述真实工控设备发送所述控制指令;所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。。在其中一个实施例中,所述一种蜜罐系统的攻击数据获取方法还包括;所述上位机向所述虚拟工控设备发送所述控制指令;所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至上位机。在其中一个实施例中,所述流量监听设备监听所述蜜罐系统的内部通讯流量,分析并记录所述通讯流量信息中的攻击行为数据,包括:所述流量监听设备监听所述蜜罐系统的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。在其中一个实施例中,在所述流量监听设备监听所述蜜罐系统的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后,包括:在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时,将所述通讯流量信息中的IP地址添加至所述攻击者列表,并将所述通讯流量信息记录为攻击行为数据。在其中一个实施例中,在所述流量监听设备监听所述蜜罐系统的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对之前,包括:断开所述蜜罐系统的外部网络连接,并运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;所述流量监听设备监听预设时间内的所述蜜罐系统的内部通讯流量信息;所述流量监听设备根据所述内部通讯流量信息去除重复流量,生成白名单规则。一种蜜罐系统的攻击数据获取装置,所述装置包括:运行模块,用于运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;监听模块,用于流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。在其中一个实施例中,所述蜜罐系统的攻击数据获取装置,还包括:控制指令发送模块,用于所述上位机向所述真实工控设备发送所述控制指令;状态数据生成模块,用于所述真实工控设备根据所述控制指令运行,并生成所述真实工控设备的状态数据。一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:运行蜜罐系统中对真实工控设备进行模拟的虚拟工控设备和上位机;其中,所述上位机用于向所述虚拟工控设备发送控制指令和读取状态数据;流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:运行蜜罐系统中对真实工控设备进行模拟的虚拟工控设备和上位机;其中,所述上位机用于向所述虚拟工控设备发送控制指令和读取状态数据;流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。上述蜜罐系统的攻击数据获取方法、装置、计算机设备和存储介质,通过在蜜罐系统中设置真实工控设备、虚拟工控设备和上位机,与上位机产生数据交互,通过这种虚实结合的蜜罐系统,给攻击者造成以假乱真的效果,引诱攻击者与蜜罐系统展开更为深入的交互行为,进而获取攻击方更为全面的特征信息,以提升对攻击方的识别能力,达到有效的主动防御效果。附图说明图1为一个实施例中蜜罐系统的攻击数据获取方法的应用环境图;图2为一个实施例中蜜罐系统的攻击数据获取方法的流程示意图;图3为一个实施例中分析并记录所述通讯流量信息中的攻击行为数据步骤的流程示意图;图4为一个实施例中蜜罐系统的攻击数据获取装置的结构框图;图5为一个实施例中计算机设备的内部结构图。具体实施方式为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。本申请提供的一种蜜罐系统的攻击数据获取方法,可以应用于如图1所示的应用环境中。其中,上位机101、真实工控设备107、蜜罐主机102和流量监听设备104通过交换机105与外部网络106连接,所述流量监听设备104内部设置白名单规则库、攻击行为数据库,并存储了攻击者列表,蜜罐主机102内部运行多个虚拟工控设备103。运行蜜罐系统中真实工控设备107、虚拟工控设备103和上位机101;其中,所述上位机101用于向所述真实工控设备107和所述虚拟工控设备103发送控制指令和读取状态数据;流量监听设备104监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。其中,上位机101可以但不限于是各种个人计算机、笔记本电脑等,蜜罐主机1本文档来自技高网...
【技术保护点】
1.一种蜜罐系统的攻击数据获取方法,其特征在于,所述方法包括:/n运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;/n流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。/n
【技术特征摘要】
1.一种蜜罐系统的攻击数据获取方法,其特征在于,所述方法包括:
运行蜜罐系统中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述上位机向所述真实工控设备发送所述控制指令;
所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。
3.根据权利要求1所述的方法,其特征在于,还包括;
所述上位机向所述虚拟工控设备发送所述控制指令;
所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。
4.根据权利要求1所述的方法,其特征在于,所述流量监听设备监听所述蜜罐系统的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据,包括:
所述流量监听设备监听所述蜜罐系统的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;
在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。
5.根据权利要求4所述的方法,其特征在于,在所述流量监听设备监听所述蜜罐系统的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后,包括:
在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;
...
【专利技术属性】
技术研发人员:陈昕伟,郭宾,雷濛,马远洋,赵宇,章渠丰,罗怡靓,杨杰,朱奕辉,向昶宇,
申请(专利权)人:杭州木链物联网科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。