CN112688932A - 蜜罐生成方法、装置、设备及计算机可读存储介质 - Google Patents
蜜罐生成方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112688932A CN112688932A CN202011521860.1A CN202011521860A CN112688932A CN 112688932 A CN112688932 A CN 112688932A CN 202011521860 A CN202011521860 A CN 202011521860A CN 112688932 A CN112688932 A CN 112688932A
- Authority
- CN
- China
- Prior art keywords
- honeypot
- data
- information
- target
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000003860 storage Methods 0.000 title claims description 10
- 238000012545 processing Methods 0.000 claims description 15
- 238000005516 engineering process Methods 0.000 claims description 13
- 230000015654 memory Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 9
- 235000012907 honey Nutrition 0.000 claims description 8
- 230000010354 integration Effects 0.000 claims description 8
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 2
- 230000002265 prevention Effects 0.000 abstract description 10
- 230000004044 response Effects 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004088 simulation Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 101001033293 Homo sapiens Interleukin enhancer-binding factor 3 Proteins 0.000 description 2
- 102100039062 Interleukin enhancer-binding factor 3 Human genes 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000036961 partial effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 101100206192 Arabidopsis thaliana TCP22 gene Proteins 0.000 description 1
- 101100206193 Arabidopsis thaliana TCP23 gene Proteins 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- -1 https/TCP443 Proteins 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种蜜罐生成方法,该方法包括:从目标网络中收集真实报文流量,从真实报文流量中提取关键字段信息,将关键字段信息中的部分信息进行篡改,得到伪关键数据,根据伪关键数据生成至少一个目标蜜罐。可见,本申请是利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,在不失真的前提下,保护了内部设备的实际信息,并且,当利用篡改后的伪关键数据生成蜜罐时,由于伪关键数据是对现网数据的高度模拟数据,这使得利用该伪关键数据生成的蜜罐不易被嗅探者进行区分和识别,从而提高了蜜罐的防识别及诱捕能力。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种蜜罐生成方法、装置、设备及计算机可读存储介质。
背景技术
随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工业控制系统面临的安全形势越来越严重。为了增强工业控制系统的网络安全,很多研究人员都会采用蜜罐技术对工业控制系统进行安全防护。蜜罐技术作为一种主动防御技术可以吸引攻击、分析攻击、推测攻击意图,并将结果补充到防火墙、入侵检测系统(intrusion detection system,IDS)以及入侵防御系统(Intrusion Prevention System,IPS)等威胁阻断技术中。
近年来,随着工控安全形势的严峻,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。在开源工控蜜罐中,主要针对modbus、s7、IEC-104、DNP3等工控协议进行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、超文本传输协议(Hyper TextTransfer Protocol,HTTP)等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,并且设备信息是以可扩展标记语言(Extensible Markup Language,XML)形式进行配置,便于修改和维护;snap7是专门针对西门子可编程逻辑控制器(Programmable LogicController,PLC)的蜜罐,基本实现了s7comm协议栈,它可以模拟实际设备的信息与状态,而且实现常用PLC操作的交互。
在现有的一种蜜罐方案中,其工作流程主要包括:启动相关蜜罐,监听对应服务端口;诱捕相关嗅探连接;根据不同端口,使用与之对应的蜜罐提供服务;与嗅探连接进行报文交互,记录交互相关内容;诱骗结束。
但是,现有蜜罐方案大多数是将不同服务同时进行监听,然后捕获对应服务连接,因实际业务网络中,同一个设备上不会同时开启多个主流工控服务,且使用一些资产指纹获取工具能够检测到操作系统或MAC地址(Media Access Control Address)等指纹信息为服务器或电脑主机的,这使得嗅探者能对蜜罐进行区分和识别。可见,现有蜜罐方案易被当下蜜罐识别技术所识破,导致其降低了诱捕能力。
发明内容
有鉴于此,本申请提供了一种蜜罐生成方法、装置、设备及计算机可读存储介质,能够提高蜜罐的防识别能力以及诱捕能力。
具体地,本申请是通过如下技术方案实现的:
一种蜜罐生成方法,包括:
从目标网络中收集真实报文流量,所述目标网络是提供真实服务的网络;
从所述真实报文流量中提取关键字段信息;
将所述关键字段信息中的部分信息进行篡改,得到伪关键数据;
根据所述伪关键数据生成至少一个目标蜜罐。
一种蜜罐生成装置,包括:
流量收集单元,用于从目标网络中收集真实报文流量,所述目标网络是提供真实服务的网络;
字段提取单元,用于从所述真实报文流量中提取关键字段信息;
信息篡改单元,用于将所述关键字段信息中的部分信息进行篡改,得到伪关键数据;
蜜罐生成单元,用于根据所述伪关键数据生成至少一个目标蜜罐。
一种电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述蜜罐生成方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述蜜罐生成方法。
在以上本申请提供的技术方案中,首先,从目标网络中收集真实报文流量,然后,从真实报文流量中提取关键字段信息,将关键字段信息中的部分信息进行篡改,得到伪关键数据,最后,根据伪关键数据生成至少一个目标蜜罐。可见,本申请实施例是利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,在不失真的前提下,保护了内部设备的实际信息,并且,当利用篡改后的伪关键数据生成蜜罐时,由于伪关键数据是对现网数据的高度模拟数据,这使得利用该伪关键数据生成的蜜罐不易被嗅探者进行区分和识别,从而提高了蜜罐的防识别及诱捕能力。
附图说明
图1为本申请示出的一种蜜罐生成原理示意图;
图2为本申请示出的一种蜜罐生成方法的流程示意图;
图3为本申请示出的一种蜜罐生成装置的组成示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请实施例之前,首先对本申请实施例涉及的技术术语进行介绍。
工业控制系统(Industrial Control System,ICS):它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(Supervisory Control And Data Acquisition,SCADA)、分布式控制系统(Distributed Control System,DCS)、和其它较小的控制系统等,其中,其它较小的控制系统包括可编程逻辑控制器(Programmable Logic Controller,PLC)等,这些控制系统现已广泛应用在工业部门和关键基础设施中。
工控资产:应用在工业控制系统中的相关设备,包含SCADA、PLC、DCS、远程终端单元(Remote Terminal Unit,RTU)、人机接口(Human Machine Interface,HMI)、工业交换机、工业操作员站/工程师站等。
工控协议:在工业控制系统中,上位机与控制设备之间、以及控制设备与控制设备之间的通信报文规约,通常包括模拟量和数字量的读写控制。常见的工控协议有Modbus、S7、DNP3、EtherNet/IP、BACnet、FINS等。
IP地址(Internet Protocol Address):是指互联网协议地址,即每个连接在Internet上的主机所分配到的一个地址,拥有这个地址的主机就能互相进行通信。
传输控制协议(Transmission Control Protocol,TCP):是一种面向连接的、可靠的、基于字节流的传输层通信协议。
局域网(Local Area Network,LAN):是指在某一区域内由多台计算机互联成的计算机组,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。
可编程逻辑控制器(Programmable Logic Controller,PLC):是一种专门为在工业环境下应用而设计的数字运算操作电子系统。它采用一种可编程的存储器,在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,通过数字式或模拟式的输入输出来控制各种类型的机械设备或生产过程。
本申请实施例提供了一种蜜罐生成方法,该方法利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,并构造了相关回应,在不失真的前提下,保护了内部设备的实际信息,提高工控蜜罐的防识别及诱捕能力。下面将结合图1所示的蜜罐生成原理示意图,对本申请实施例提供的蜜罐生成方法进行具体介绍。
参见图2,为本申请实施例提供的一种蜜罐生成方法的流程示意图,该方法包括以下步骤S201-S204:
S201:从目标网络中收集真实报文流量。
其中,目标网络是提供真实服务的网络,需要说明的是,本申请实施例不对目标网络的网络部署进行限定,比如,目标网络可以局域网,其可以是工业控制系统所属的网络。
在本申请实施例中,可以采用一种或多种方式从目标网络中收集不同的报文,也即收集真实的现网流量,具体地,可以通过镜像流量接入、透明模式接入以及报文包导入中的一种或多种方式对现网流量进行收集和获取。
其中,“镜像流量接入”是一种对现网流量进行复制的方式,该方式是将目标网络中的报文通过备份的方式进行收集和获取,例如,关于某台交换机的端口A和端口B的流量,使其通过该交换机的端口C流出,从而达到流量复制的目的;“透明模式接入”是指在报文传输路径上接入一台流量收集设备,以便获取该路径上的报文,例如,在设备A和设备B之间接入设备C,那么设备A和设备B之间的报文便可以被设备C获取到,从而达到报文收集的目的;“报文包导入”是一种通过抓包的方式获取报文的方式,例如,在交换机上进行抓包。
参见图1所示的现网流量分析及处理模块,该模块主要用于获取现网流量并利用现网流量实现对外服务的高度模拟化。
S202:从收集的真实报文流量中提取关键字段信息。
对于从目标网络中收集的真实报文流量,可以确定目标网络所提供的一种或多种服务类型,按照每一服务类型对应的多个预设字段类型,从该真实报文流量中提取关键字段信息,该关键字段信息中可以包括一条或多条关键字段。
在本申请实施例的一种实现方式中,S202中的“从真实报文流量中提取关键字段信息”,具体可以包括步骤A1-A3:
步骤A1:确定真实报文流量中的每一目标报文所属的端口。
为便于描述,这里将真实报文流量中的每条报文定义为目标报文。
可以将真实报文流量进行解析,从中过滤筛选出哪些目标报文来自于工业相关端口、哪些目标报文来自于非工业相关端口,其中,关于工业相关端口,其包括但不限于Modbus/TCP502、S7comm/TCP102、IEC104/TCP2404、FINS/UDP9600等;关于非工业相关端口,可以从中筛选出一些主流的服务端口,其包括但不限于http/TCP80、https/TCP443、ssh/TCP22、telnet/TCP23、snmp/UDP161等。
然后,基于每一目标报文所属的工业相关端口或非工业相关端口,执行后续步骤A2或步骤A3。
步骤A2:当目标报文所属的端口为工业相关端口时,从目标报文中提取工业服务中涉及的关键字段。
当目标报文所属的端口为工业相关端口时,可以将该目标报文进行解析,以提取出该目标报文中的与工业服务相关的关键字段内容,该关键字段内容包括但不限于系统信息、Mac地址、操作点位及值、CPU型号、产品型号、设备状态等指纹信息。
步骤A3:当目标报文所属的端口为非工业相关端口时,从目标报文中提取通用服务中涉及的关键字段。
对于非工业服务,可以预先确定出目标网络中开放的一些主流的通用服务有哪些。基于此,当目标报文所属的端口为非工业相关端口时,可以将该目标报文进行解析,以提取出该目标报文中的与通用服务相关的关键字段内容,该关键字段内容包括但不限于http字段的响应头、响应包体及ssh(安全外壳协议Secure Shell)中的登录关键字段等信息。
参见图1所示的现网流量分析及处理模块,上述步骤A1-A3可以由该模块实现,具体对应于流量分析及归纳、工业以及非工业部分。
S203:将提取的关键字段信息中的部分信息进行篡改,得到伪关键数据。
为方便处理,可以先将提取的工业服务及非工业服务的关键字段信息进行格式化,然后,对格式化后的关键字段信息进行部分信息的篡改,这里将篡改后的关键字段信息定义为伪关键数据。
在本申请实施例的一种实现方式中,S203中的“将关键字段信息中的部分信息进行篡改”,具体可以包括:将关键字段信息中的至少一个待替换的信息单元,按照该信息单元所属的信息类型进行同类型替换。
在本实现方式中,可以按照预设的信息定位规则,从关键字段信息中定位出一些敏感信息,每一个敏感信息即为一个信息单元,比如,该信息单元可以是由数据和/或字母组成的一个字符串等。
为了对关键字段信息进行篡改、且篡改后的关键字段信息能够用于实现对外服务的高度模拟化,可以预先关联一个或多个行业库,每一行业库记载了某个行业内的相关资产信息、技术术语等,基于此,在从关键字段信息中定位到一个或多个信息单元后,对于每一信息单元,可以根据该信息单元对应的信息类型查询这些行业库,以使用行业库中的同类型信息替换该信息单元。
步骤S203及其具体实现方式可以由图1所示的现网流量分析及处理模块实现,即,该模块可以将格式化后的关键字段信息输入至关键字段随机化模块,该关键字段随机化模块的主要功能是,按照一定的行业库及规则,对真实的关键字段信息进行随机化篡改,以防止真实信息的泄露。
例如,假设从现网流量中获取到IP为192.168.1.1的资产为西门子S7-412型PLC,则在对其进行随机化处理时,将其按照西门子PLC型号库(某个行业库),将192.168.1.1的资产型号S7-412替换为S7-315型,此外,还可以将其Mac地址也替换为西门子系列的Mac前缀。
S204:根据伪关键数据生成至少一个目标蜜罐。
在本申请实施例中,当对关键字段信息进行篡改得到伪关键数据后,对于伪关键数据中的每一条数据,可以将该数据与对应的服务进行关联,并按照蜜罐初始化所需的关键字段数据格式,对该数据进行格式化存储。该功能可以由图1所示的现网流量分析及处理模块实现,即,按照服务对相关内容进行格式化存储。
可见,图1所示的现网流量分析及处理模块,它的功能主要是通过对现网流量的分析及处理,为之后的蜜罐生成提供生成数据。
在本申请实施例中,将每一需要生成的蜜罐定义为目标蜜罐。本申请实施例需要根据伪关键数据生成一个或多个目标蜜罐,该蜜罐生成功能可以由图1所示的蜜罐生成及日志产生模块实现。
在本申请实施例的一种实现方式中,S204中的“根据伪关键数据生成至少一个目标蜜罐”,具体可以包括以下步骤B1-B2:
步骤B1:按照预先划分的服务类型,确定伪关键数据中的各条关键数据分别所属的服务类型。
其中,预先划分的服务类型可以包括工业服务和通用服务。
在伪关键数据中,需要确定其中的哪些数据属于工业服务、哪些数据属于通用服务,即,按照数据所属的端口,确定数据所属的服务。
步骤B2:利用每一服务类型对应的各条关键数据,生成每一服务类型对应的至少一个配置文件,并利用生成的各个配置文件,生成至少一个目标蜜罐。
在本步骤中,先将目标网络内存在的服务进行初始化,如果按服务类型分为工业服务和通用服务,则将工业服务初始化以及将通用服务初始化。
然后,将格式化存储的伪关键数据与对应的服务类型进行匹配并填充。例如,对于伪关键数据中与PLC相关的数据,其对应的服务类型为工业服务,可以将PLC相关数据(比如伪关键数据中该PLC的某个操作点位的值)填充到工业服务的相关数据文件中;又例如,对于伪关键数据中与TCP相关的数据,其对应的服务类型为通用服务,可以将TCP相关数据填充到通用服务的相关数据文件中。
最后,将经填充处理后得到的数据进行业务及数据整合,可以得到与工业服务对应的一个或多个配置文件、以及与通用服务对应的一个或多个配置文件,再将这些配置文件整合至一个配置文件中,整合而成的一个配置文件即为一个蜜罐数据包。按此方式,可以整合出n(n≥1)个蜜罐数据包,利用每一蜜罐数据包可以对应生成一个目标蜜罐,即n个目标蜜罐,不同目标蜜罐可以提供不同的业务,这些目标蜜罐可以高度模拟目标网络的业务。
在本申请实施例中,步骤B2“利用生成的各个配置文件,生成至少一个目标蜜罐”,具体可以包括:对生成的各个配置文件进行数据整合,得到至少一个蜜罐数据包;对于每一蜜罐数据包,利用该蜜罐数据包在系统和物理层面上进行初始化,并将该蜜罐数据包涉及的服务进行初始化,以对应生成一个目标蜜罐。
具体来讲,当通过上述方式整合出n个蜜罐数据包后,对于每单个蜜罐数据包,可以利用蜜罐生成器对该单个蜜罐数据包内的服务以及关键字段进行批量提取,所提取的数据包括但不限于系统指纹信息、Mac地址、各服务对应的关键字段信息等。例如,系统指纹信息可以包括系统信息、CPU型号、产品型号、设备状态等信息;各服务对应的关键字段信息可以包括工业服务中的操作点位及值(比如PLC的操作点位100及其值)、通用服务中的TCP协议的相关网段(比如TCP80)等。
然后,可以利用从单个蜜罐数据包中提取的数据,初始化系统及物理层面,即,将系统信息及Mac地址等模拟为每一个网络数据包中随机生成的伪‘真实’信息;还要利用从单个蜜罐数据包中提取的数据,对相关服务进行初始化,即,将对应的通用服务及工业服务端口打开,并置入上述填充的伪关键数据(比如PLC的CPU型号、通用服务的响应头或ssh中的登录关键字段等),最终完成单个目标蜜罐的分发及部署。
按照上述方式,可以对n个目标蜜罐进行上述的批量分发及部署,从而形成一个蜜罐集群。
在本申请实施例中,上述生成目标蜜罐的功能,可以由图1所示的蜜罐生成及日志产生模块实现,从上内容可知,该模块的主要功能是:基于从现网流量分析及处理模块中生成的格式化数据,对不同服务进行初始化以及对关键字段进行填充,并将其进行整合,最终将整合完的n个蜜罐数据包导入到蜜罐生成器中,利用蜜罐生成器对n个目标蜜罐进行数据(具有不同的关键假数据)分发和自动部署。
在上述本申请实施例提供的蜜罐生成方法中,首先,从目标网络中收集真实报文流量,然后,从真实报文流量中提取关键字段信息,将关键字段信息中的部分信息进行篡改,得到伪关键数据,最后,根据伪关键数据生成至少一个目标蜜罐。可见,本申请实施例是利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,在不失真的前提下,保护了内部设备的实际信息,并且,当利用篡改后的伪关键数据生成蜜罐时,由于伪关键数据是对现网数据的高度模拟数据,这使得利用该伪关键数据生成的蜜罐不易被嗅探者进行区分和识别,从而提高了蜜罐的防识别及诱捕能力。
此外,本申请实施例在保持与现网实际环境高度相似性的同时,对其中的敏感数据按照行业库及规范对其进行随机化,并对目前识别效率及准确性较好的多种蜜罐识别技术进行分析及研究,提取出其中关键的识别原理,通过指纹信息及服务间相辅相成的高伪装性,进一步提高了蜜罐防识别和诱捕能力。
需要说明的是,在现有的工控蜜罐方案中,工控蜜罐中仅对一些主流请求设置固定的回应,且每一个蜜罐回复内容都一样,而目前有很多基于机器学习的蜜罐识别技术,对于固定或相同回应,很容易就能识别出所连接的设备是工控蜜罐。但在本申请实施例中,是利用现网内部真实服务以及对关键业务信息进行篡改后构造为相关回应,而非固定回应,进一步提高了蜜罐防识别和诱捕能力。
此外,在现有的工控蜜罐方案中,一些主流工控蜜罐仅支持记录连接的IP地址及使用的服务等比较简单的信息,不方便攻击溯源及拓展操作。
为此,本申请实施例还可以包括:收集不同目标蜜罐产生的日志以及记录的交互报文;基于大数据处理技术,将收集到的数据进行解析和分类。即,本申请实施例结合对数据的分类处理,大幅提高了溯源以及相关拓展能力,为之后的防御及策略信息提供了强有力的数据支持。
具体来讲,如图1所示,由蜜罐生成及日志产生模块记录每一个目标蜜罐产生的日志及交互报文,对于每一个目标蜜罐产生的日志及记录的交互报文,均上送至数据整合及分析模块,该数据整合及分析模块通过将来自不同目标蜜罐的日志信息及报文信息按照包括但不限于IP地址、所连接的服务、交互时间、通讯状态等维度对报文内容进行解析及分类。例如,从源IP为10.10.10.10访问某目标蜜罐的目的IP的服务S7comm/TCP102,在5秒内读取了CPU型号,目前仍然处于连接状态等。
进一步地,可以将这些信息进行格式化存储。一方面,可将从不同目标蜜罐反馈上来的日志信息进行整合及处理,利用大数据的思维,能够更清晰直观的观察到整个蜜罐集群环境内的实际状态,以及能更方便的对攻击方进行溯源。另一方面,对于整合后的数据,可以为防护类设备的放置及防护策略的配置提供强有力的数据支撑。
可见,本申请实施例将部署后的每一个目标蜜罐被连接的日志及访问的具体数据报文信息均发送至日志分析及拓展模块中的数据整合及分析模块,统一进行数据整合和分析,并将其根据攻击源、服务等依据对报文内容进行解析和分类,最终将分类相关的信息进行格式化存储。格式化存储后的数据一方面用于对整个蜜罐集群的结果展示,另一方面可用于对防护类设备(比如工控防火墙等设备)的策略设置,提供强有力的数据源及数据支撑。
参见图3,为本申请实施例提供的一种蜜罐生成装置的组成示意图,该装置包括:
流量收集单元310,用于从目标网络中收集真实报文流量,所述目标网络是提供真实服务的网络;
字段提取单元320,用于从所述真实报文流量中提取关键字段信息;
信息篡改单元330,用于将所述关键字段信息中的部分信息进行篡改,得到伪关键数据;
蜜罐生成单元340,用于根据所述伪关键数据生成至少一个目标蜜罐。
在本申请实施例的一种实现方式中,字段提取单元320,具体用于:
确定所述真实报文流量中的每一目标报文所属的端口;
当所述目标报文所属的端口为工业相关端口时,从所述目标报文中提取工业服务中涉及的关键字段;
当所述目标报文所属的端口为非工业相关端口时,从所述目标报文中提取通用服务中涉及的关键字段。
在本申请实施例的一种实现方式中,信息篡改单元330,具体用于:
将所述关键字段信息中的至少一个待替换的信息单元,按照该信息单元所属的信息类型进行同类型替换。
在本申请实施例的一种实现方式中,蜜罐生成单元340,具体用于:
按照预先划分的服务类型,确定所述伪关键数据中的各条关键数据分别所属的服务类型;
利用每一服务类型对应的各条关键数据,生成每一服务类型对应的至少一个配置文件,并利用生成的各个配置文件,生成至少一个目标蜜罐。
在本申请实施例的一种实现方式中,所述预先划分的服务类型包括:工业服务和通用服务。
在本申请实施例的一种实现方式中,蜜罐生成单元340,具体用于:
对生成的各个配置文件进行数据整合,得到至少一个蜜罐数据包;
对于每一蜜罐数据包,利用该蜜罐数据包在系统和物理层面上进行初始化,并将该蜜罐数据包涉及的服务进行初始化,以对应生成一个目标蜜罐。
在本申请实施例的一种实现方式中,所述装置还包括数据处理单元,用于:
收集不同目标蜜罐产生的日志以及记录的交互报文;
基于大数据处理技术,将收集到的数据进行解析和分类。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备4000包括至少一个处理器4001、存储器4002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器4001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种蜜罐生成方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,在不失真的前提下,保护了内部设备的实际信息,并且,当利用篡改后的伪关键数据生成蜜罐时,由于伪关键数据是对现网数据的高度模拟数据,这使得利用该伪关键数据生成的蜜罐不易被嗅探者进行区分和识别,从而提高了蜜罐的防识别及诱捕能力。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种蜜罐生成方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,利用现网内部真实服务以及对真实服务的关键业务信息进行篡改,在不失真的前提下,保护了内部设备的实际信息,并且,当利用篡改后的伪关键数据生成蜜罐时,由于伪关键数据是对现网数据的高度模拟数据,这使得利用该伪关键数据生成的蜜罐不易被嗅探者进行区分和识别,从而提高了蜜罐的防识别及诱捕能力。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种蜜罐生成方法,其特征在于,包括:
从目标网络中收集真实报文流量,所述目标网络是提供真实服务的网络;
从所述真实报文流量中提取关键字段信息;
将所述关键字段信息中的部分信息进行篡改,得到伪关键数据;
根据所述伪关键数据生成至少一个目标蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述从所述真实报文流量中提取关键字段信息,包括:
确定所述真实报文流量中的每一目标报文所属的端口;
当所述目标报文所属的端口为工业相关端口时,从所述目标报文中提取工业服务中涉及的关键字段;
当所述目标报文所属的端口为非工业相关端口时,从所述目标报文中提取通用服务中涉及的关键字段。
3.根据权利要求1所述的方法,其特征在于,所述将所述关键字段信息中的部分信息进行篡改,包括:
将所述关键字段信息中的至少一个待替换的信息单元,按照该信息单元所属的信息类型进行同类型替换。
4.根据权利要求1所述的方法,其特征在于,所述根据所述伪关键数据生成至少一个目标蜜罐,包括:
按照预先划分的服务类型,确定所述伪关键数据中的各条关键数据分别所属的服务类型;
利用每一服务类型对应的各条关键数据,生成每一服务类型对应的至少一个配置文件,并利用生成的各个配置文件,生成至少一个目标蜜罐。
5.根据权利要求4所述的方法,其特征在于,所述预先划分的服务类型包括:工业服务和通用服务。
6.根据权利要求5所述的方法,其特征在于,所述利用生成的各个配置文件,生成至少一个目标蜜罐,包括:
对生成的各个配置文件进行数据整合,得到至少一个蜜罐数据包;
对于每一蜜罐数据包,利用该蜜罐数据包在系统和物理层面上进行初始化,并将该蜜罐数据包涉及的服务进行初始化,以对应生成一个目标蜜罐。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
收集不同目标蜜罐产生的日志以及记录的交互报文;
基于大数据处理技术,将收集到的数据进行解析和分类。
8.一种蜜罐生成装置,其特征在于,包括:
流量收集单元,用于从目标网络中收集真实报文流量,所述目标网络是提供真实服务的网络;
字段提取单元,用于从所述真实报文流量中提取关键字段信息;
信息篡改单元,用于将所述关键字段信息中的部分信息进行篡改,得到伪关键数据;
蜜罐生成单元,用于根据所述伪关键数据生成至少一个目标蜜罐。
9.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-7中任一项所述的蜜罐生成方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述的蜜罐生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011521860.1A CN112688932A (zh) | 2020-12-21 | 2020-12-21 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011521860.1A CN112688932A (zh) | 2020-12-21 | 2020-12-21 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112688932A true CN112688932A (zh) | 2021-04-20 |
Family
ID=75450052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011521860.1A Pending CN112688932A (zh) | 2020-12-21 | 2020-12-21 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688932A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113965412A (zh) * | 2021-11-22 | 2022-01-21 | 国家电网公司华中分部 | 一种蜜罐攻击阶段分析与聚合系统的方法 |
| CN114390118A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种工控资产识别方法、装置、电子设备及存储介质 |
| CN115632893A (zh) * | 2022-12-26 | 2023-01-20 | 北京长亭未来科技有限公司 | 一种蜜罐生成方法和装置 |
| CN115632885A (zh) * | 2022-12-21 | 2023-01-20 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978520A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种基于实际业务系统的蜜罐数据构造方法及系统 |
| US20160294867A1 (en) * | 2014-02-14 | 2016-10-06 | Tencent Technology (Shenzhen) Company Limited | Method and system for security protection of account information |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN110198300A (zh) * | 2019-03-13 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种蜜罐操作系统指纹隐蔽方法及装置 |
| CN111401067A (zh) * | 2020-03-18 | 2020-07-10 | 上海观安信息技术股份有限公司 | 一种蜜罐仿真数据的生成方法及装置 |
| CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
-
2020
- 2020-12-21 CN CN202011521860.1A patent/CN112688932A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160294867A1 (en) * | 2014-02-14 | 2016-10-06 | Tencent Technology (Shenzhen) Company Limited | Method and system for security protection of account information |
| CN104978520A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种基于实际业务系统的蜜罐数据构造方法及系统 |
| CN106961442A (zh) * | 2017-04-20 | 2017-07-18 | 中国电子技术标准化研究院 | 一种基于蜜罐的网络诱捕方法 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN110198300A (zh) * | 2019-03-13 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 一种蜜罐操作系统指纹隐蔽方法及装置 |
| CN110011982A (zh) * | 2019-03-19 | 2019-07-12 | 西安交通大学 | 一种基于虚拟化的攻击智能诱骗系统与方法 |
| CN111401067A (zh) * | 2020-03-18 | 2020-07-10 | 上海观安信息技术股份有限公司 | 一种蜜罐仿真数据的生成方法及装置 |
| CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
Non-Patent Citations (2)
| Title |
|---|
| 杨天识等: "基于OpenFlow的蜜罐主动取证技术", 《北京理工大学学报》 * |
| 陈辉煌等: "蜜罐技术在移动网入侵检测中的应用", 《电讯技术》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113965412A (zh) * | 2021-11-22 | 2022-01-21 | 国家电网公司华中分部 | 一种蜜罐攻击阶段分析与聚合系统的方法 |
| CN114390118A (zh) * | 2021-12-28 | 2022-04-22 | 绿盟科技集团股份有限公司 | 一种工控资产识别方法、装置、电子设备及存储介质 |
| CN114390118B (zh) * | 2021-12-28 | 2023-11-07 | 绿盟科技集团股份有限公司 | 一种工控资产识别方法、装置、电子设备及存储介质 |
| CN115632885A (zh) * | 2022-12-21 | 2023-01-20 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
| CN115632885B (zh) * | 2022-12-21 | 2023-04-21 | 北京微步在线科技有限公司 | 蜜罐制作方法、装置、电子设备及可读存储介质 |
| CN115632893A (zh) * | 2022-12-26 | 2023-01-20 | 北京长亭未来科技有限公司 | 一种蜜罐生成方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Parra et al. | Implementation of deep packet inspection in smart grids and industrial Internet of Things: Challenges and opportunities | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| CN112054996B (zh) | 一种蜜罐系统的攻击数据获取方法、装置 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
| US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
| CN111177779B (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| Kaushik et al. | Network forensic system for port scanning attack | |
| CN109922026A (zh) | 一个ot系统的监测方法、装置、系统和存储介质 | |
| CN110958231A (zh) | 基于互联网的工控安全事件监测平台及其方法 | |
| CN107483386A (zh) | 分析网络数据的方法及装置 | |
| CN114567463A (zh) | 一种工业网络信息安全监测与防护系统 | |
| US11757915B2 (en) | Exercising security control point (SCP) capabilities on live systems based on internal validation processing | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| Lucchese et al. | HoneyICS: A high-interaction physics-aware honeynet for industrial control systems | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| Izzuddin et al. | Mapping threats in smart grid system using the mitre att&ck ics framework | |
| Nicholson et al. | An initial investigation into attribution in SCADA systems | |
| Khan et al. | Lightweight testbed for cybersecurity experiments in scada-based systems | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| Bistarelli et al. | A medium-interaction emulation and monitoring system for operational technology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210420 |