安全诱捕方法、装置和计算机设备制造方法及图纸

本申请适用于网络安全技术领域，提供了一种安全诱捕方法，包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数和实体设备的应用场景，通过仿真器生成的；生成实体设备的影子设备，每个影子设备对应多个虚拟通信地址；当所述虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。该方法中，通过与实体设备对应的仿真器来生成模拟设备，进而实现工业互联网欺骗诱捕系统的部署。由于无需生成多个容器，所以可以节省大量的服务器资源，从而减少部署工业互联网欺骗诱捕系统的成本。捕系统的成本。捕系统的成本。

【技术实现步骤摘要】
安全诱捕方法、装置和计算机设备


[0001]本申请属于网络安全
，尤其涉及一种安全诱捕方法及装置。

技术介绍

[0002]随着工业转型升级，工业互联网被广泛应用。但是，工业互联网在应用时存在网络信息安全方面的问题，如信息泄露、遭受网络攻击、存在可被利用的安全漏洞等问题。目前可以通过工业互联网欺骗诱捕系统进行主动防御，获取威胁情报。
[0003]但是，现有的工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源，部署成本较高。

技术实现思路

[0004]本申请实施例提供了安全诱捕方法及装置，可以解决工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源，部署成本较高的问题。
[0005]第一方面，本申请实施例提供了一种安全诱捕方法，包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景，通过与实体设备对应的仿真器生成的；生成至少一个实体设备的影子设备，影子设备是实体设备的映射，每个影子设备对应多个虚拟通信地址；当虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
[0006]在第一方面的一种可能的实现方式中，生成至少一个实体设备的影子设备，包括：在空闲的IP地址空间中，批量生成多个不同物理地址的虚拟IP地址；根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系；根据对应关系，将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务。
[0007]在第一方面的一种可能的实现方式中，流量数据包中包含应用层报文，方法还包括：当虚拟通信地址接收到来自攻击设备的攻击应用层报文，与虚拟通信地址相对应的影子设备将攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务；当第一模拟设备以及第一虚拟服务接收到攻击设备发送的第一报文后响应相对应的第二报文；将第一报文与第二报文的内容一一对应地存储在数据表中；当第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时，将目标报文的内容与数据表中的第一报文的内容相匹配，若匹配成功，则将匹配成功的第一报文相对应的第二报文发送至攻击设备。
[0008]在第一方面的一种可能的实现方式中，该方法还包括：根据历史攻击流量数据日志生成目标攻击设备的攻击画像；收集目标攻击设备的攻击画像的攻击行为，生成与目标攻击设备对应的告警行为日志。
[0009]在第一方面的一种可能的实现方式中，该方法还包括：根据历史攻击流量数据日志生成目标攻击设备的攻击画像，包括：获取各个攻击设备产生的历史流量数据记录；从攻击流量数据记录中获取关键字段，其中关键字段包括攻击设备地通信地址、攻击设备指纹
以及攻击设备上登录的特定软件的用户名；若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同，则认定攻击设备与目标攻击设备为同一攻击设备。
[0010]在第一方面的一种可能的实现方式中，该方法还包括：将与攻击设备对应的告警行为日志发送目标服务器，以使目标服务器将告警行为日志发送至客户端。
[0011]在第一方面的一种可能的实现方式中，该方法还包括：依次统计每一预设时间段内的攻击流量数据中的攻击行为总数以及告警攻击行为总数；根据每一预设时间段内的攻击行为总数以及告警攻击行为总数生成告警攻击行为趋势图，并将告警攻击行为趋势图显示在监视大屏中。
[0012]第二方面，本申请实施例提供了一种安全诱捕装置，包括：服务模拟模块，用于生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景，通过与实体设备对应的仿真器生成的；设备生成模块，生成至少一个实体设备的影子设备，影子设备是实体设备的映射，每个影子设备对应多个虚拟通信地址；流量转发模块，用于当虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
[0013]第三方面，本申请实施例提供了一种终端设备，终端设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现以下步骤：包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景，通过与实体设备对应的仿真器生成的；生成至少一个实体设备的影子设备，影子设备是实体设备的映射，每个影子设备对应多个虚拟通信地址；当虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
[0014]第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景，通过与实体设备对应的仿真器生成的；生成至少一个实体设备的影子设备，影子设备是实体设备的映射，每个影子设备对应多个虚拟通信地址；当虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的流量数据包转发至相对应的第一模拟设备。
[0015]第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在终端设备上运行时，使得终端设备执行上述第一方面中任一项安全诱捕方法。
[0016]可以理解的是，上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。
[0017]本申请实施例与现有技术相比存在的有益效果是：上述安全诱捕方法、装置、计算机设备、存储介质和计算机程序产品，在服务器中通过与实体设备对应的仿真器生成第一模拟设备以及第一虚拟服务，并为各个第一模拟设备配置虚拟通信地址，当该虚拟通信地址接收到来自攻击设备的流量数据包时，并将其转发至发生对应的第一模拟设备和/或第一虚拟服务。在本方法中，通过与实体设备对应的仿真器来生成模拟设备，进而实现工业互联网欺骗诱捕系统的部署。由于无需生成多个容器，所以可以节省大量的服务器资源，从而
减少部署工业互联网欺骗诱捕系统的成本。
附图说明
[0018]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0019]图1是本申请一实施例提供的安全诱捕方法的应用环境图；
[0020]图2是本申请一实施例提供的设备生成步骤的流程示意图；
[0021]图3是本申请一实施例提供的安全诱捕方法的流程示意图；
[0022]图4是本申请另一实施例提供的安全诱捕方法的流程示本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全诱捕方法，其特征在于，所述安全诱捕方法，包括：生成多个类别的第一模拟设备和第一虚拟服务，所述第一模拟设备和所述第一虚拟服务是根据实体设备的设备参数以及所述实体设备的应用场景，通过与所述实体设备对应的仿真器生成的；生成至少一个所述实体设备的影子设备，所述影子设备是所述实体设备的映射，每个所述影子设备对应多个虚拟通信地址；当所述虚拟通信地址接收到来自攻击设备的流量数据包时，若所述虚拟通信地址对应的影子设备为高交互，则通过所述影子设备将所述流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。2.如权利要求1所述的安全诱捕方法，其特征在于，所述生成至少一个所述实体设备的影子设备，包括：在空闲的IP地址空间中，批量生成多个不同物理地址的虚拟IP地址；根据影子设备与所述实体设备之间的映射关系生成影子设备与所述第一模拟设备以及第一模拟服务之间的对应关系；根据所述对应关系，将多个所述虚拟IP地址关联上各个所述第一模拟设备以及第一模拟服务。3.如权利要求1所述的安全诱捕方法，其特征在于，所述流量数据包中包含应用层报文，所述方法还包括：当所述虚拟通信地址接收到来自攻击设备的攻击应用层报文，与所述虚拟通信地址相对应的影子设备将所述攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务；当所述第一模拟设备以及第一虚拟服务接收到所述攻击设备发送的第一报文后响应相对应的第二报文；将所述第一报文与所述第二报文的内容一一对应地存储在数据表中；当所述第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时，将所述目标报文的内容与所述数据表中的第一报文的内容相匹配，若匹配成功，则将匹配成功的第一报文相对应的第二报文发送至所述攻击设备。4.如权利要求1所述的安全诱捕方法，其特征在于，所述方法还包括：根据所述历史攻击流量数据日志生成目标攻击设备的攻击画像；收集所述目标攻击设备的攻击画像的攻击行为，生成与所述目标攻击设备对应的告警行为日志。5.如权利要求4所述的安全诱捕方法，其...

【专利技术属性】
技术研发人员：方永成，赵重浩，刘茂林，龚亮华，
申请(专利权)人：烽台科技北京有限公司，
类型：发明
国别省市：