CN114584359B - 安全诱捕方法、装置和计算机设备 - Google Patents
安全诱捕方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN114584359B CN114584359B CN202210178181.1A CN202210178181A CN114584359B CN 114584359 B CN114584359 B CN 114584359B CN 202210178181 A CN202210178181 A CN 202210178181A CN 114584359 B CN114584359 B CN 114584359B
- Authority
- CN
- China
- Prior art keywords
- attack
- equipment
- simulation
- virtual
- shadow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用于网络安全技术领域,提供了一种安全诱捕方法,包括:生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数和实体设备的应用场景,通过仿真器生成的;生成实体设备的影子设备,每个影子设备对应多个虚拟通信地址;当所述虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。该方法中,通过与实体设备对应的仿真器来生成模拟设备,进而实现工业互联网欺骗诱捕系统的部署。由于无需生成多个容器,所以可以节省大量的服务器资源,从而减少部署工业互联网欺骗诱捕系统的成本。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种安全诱捕方法及装置。
背景技术
随着工业转型升级,工业互联网被广泛应用。但是,工业互联网在应用时存在网络信息安全方面的问题,如信息泄露、遭受网络攻击、存在可被利用的安全漏洞等问题。目前可以通过工业互联网欺骗诱捕系统进行主动防御,获取威胁情报。
但是,现有的工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源,部署成本较高。
发明内容
本申请实施例提供了安全诱捕方法及装置,可以解决工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源,部署成本较高的问题。
第一方面,本申请实施例提供了一种安全诱捕方法,包括:生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的;生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址;当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
在第一方面的一种可能的实现方式中,生成至少一个实体设备的影子设备,包括:在空闲的IP地址空间中,批量生成多个不同物理地址的虚拟IP地址;根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系;根据对应关系,将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务。
在第一方面的一种可能的实现方式中,流量数据包中包含应用层报文,方法还包括:当虚拟通信地址接收到来自攻击设备的攻击应用层报文,与虚拟通信地址相对应的影子设备将攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务;当第一模拟设备以及第一虚拟服务接收到攻击设备发送的第一报文后响应相对应的第二报文;将第一报文与第二报文的内容一一对应地存储在数据表中;当第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时,将目标报文的内容与数据表中的第一报文的内容相匹配,若匹配成功,则将匹配成功的第一报文相对应的第二报文发送至攻击设备。
在第一方面的一种可能的实现方式中,该方法还包括:根据历史攻击流量数据日志生成目标攻击设备的攻击画像;收集目标攻击设备的攻击画像的攻击行为,生成与目标攻击设备对应的告警行为日志。
在第一方面的一种可能的实现方式中,该方法还包括:根据历史攻击流量数据日志生成目标攻击设备的攻击画像,包括:获取各个攻击设备产生的历史流量数据记录;从攻击流量数据记录中获取关键字段,其中关键字段包括攻击设备地通信地址、攻击设备指纹以及攻击设备上登录的特定软件的用户名;若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同,则认定攻击设备与目标攻击设备为同一攻击设备。
在第一方面的一种可能的实现方式中,该方法还包括:将与攻击设备对应的告警行为日志发送目标服务器,以使目标服务器将告警行为日志发送至客户端。
在第一方面的一种可能的实现方式中,该方法还包括:依次统计每一预设时间段内的攻击流量数据中的攻击行为总数以及告警攻击行为总数;根据每一预设时间段内的攻击行为总数以及告警攻击行为总数生成告警攻击行为趋势图,并将告警攻击行为趋势图显示在监视大屏中。
第二方面,本申请实施例提供了一种安全诱捕装置,包括:服务模拟模块,用于生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的;设备生成模块,生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址;流量转发模块,用于当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
第三方面,本申请实施例提供了一种终端设备,终端设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:包括:生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的;生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址;当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:包括:生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的;生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址;当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的流量数据包转发至相对应的第一模拟设备。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项安全诱捕方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
本申请实施例与现有技术相比存在的有益效果是:上述安全诱捕方法、装置、计算机设备、存储介质和计算机程序产品,在服务器中通过与实体设备对应的仿真器生成第一模拟设备以及第一虚拟服务,并为各个第一模拟设备配置虚拟通信地址,当该虚拟通信地址接收到来自攻击设备的流量数据包时,并将其转发至发生对应的第一模拟设备和/或第一虚拟服务。在本方法中,通过与实体设备对应的仿真器来生成模拟设备,进而实现工业互联网欺骗诱捕系统的部署。由于无需生成多个容器,所以可以节省大量的服务器资源,从而减少部署工业互联网欺骗诱捕系统的成本。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的安全诱捕方法的应用环境图;
图2是本申请一实施例提供的设备生成步骤的流程示意图;
图3是本申请一实施例提供的安全诱捕方法的流程示意图;
图4是本申请另一实施例提供的安全诱捕方法的流程示意图;
图5是本申请一实施例提供的应用场景示意图;
图6是本申请实施例提供的安全诱捕装置的结构示意图;
图7是本申请实施例提供的终端设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1是本申请一实施例提供的安全诱捕方法的应用环境图。
本申请实施例提供的安全诱捕方法,可以应用于如图1所示的应用环境中。其中,攻击设备终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。服务器104生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的;生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址;当虚拟通信地址接收到来自攻击设备102发送的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。其中,攻击设备终端可以但不限于手机、平板电脑还可以是物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
图2是本申请一实施例提供的设备生成步骤的流程示意图。
在一个实施例中,如图2所示,提供了一种安全诱捕方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
S202,生成多个类别的第一模拟设备和第一虚拟服务,其中,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的。
具体地,服务器可以通过实体工控设备厂家发布的与实体工控设备相对应的仿真器来实现对实体工控设备的仿真,再将对应的固件加载进入工控设备仿真模型中,从而实现对实体工控设备的仿真得到第一模拟设备。例如,当服务器需要模拟的工控设备为西门子河图工控设备时,将西门子厂家发布的西门子仿真软件与固件一起进行仿真,从而得到与西门子河图工控设备相对应的第一模拟设备。
第一虚拟服务则可以是根据协议的定义,通过代码层级的协议仿真,进而实现对网络服务仿真得到的。例如,当仿真ssh(Secure Shell,安全外壳协议)时,服务端接收到来自客户端发送过来的请求后,先进行三次握手,建立tcp(Transmission ControlProtocol,传输控制协议)连接。然后双方发送自己所支持的版本号以及算法,协商确定版本及算法。接着客户端根据服务端发送过来的数据生成一对密钥,将公钥发送给服务器。当客户端接收到后会通过先验证服务器的身份,然后将其保存到本地文件夹中,再使用服务器发送过来的临时公钥生成共享密钥,再加密签名,将其结果与自己所计算的哈希值进行比较,验证数据时没有问题的,从而完成对ssh协议的仿真。
当完成对实体工控设备的仿真模拟以及网络协议的仿真模拟后,根据各个行业的生产工艺、办公网、生产网等的场景以及各个实体设备的仿真参数来将各个模拟设备以及虚拟服务组合配置成各种不同类型的工业互联网欺骗诱捕系统。需要说明的是,工业互联网欺骗诱捕系统也可以叫蜜网系统,而蜜网系统又是由蜜场与蜜网组成,其中蜜场由多个模拟设备以及多种虚拟服务组成,蜜网是指覆盖在蜜场上的网络。
S204,生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址。
其中,影子设备是可以现有操作系统上的虚拟影像,它具有真实系统完全一样的功能。进入影子系统后,所有操作都是虚拟的,不会对真正的系统产生任何影响。当在现有的操作系统上运行出第一模拟设备时,影子设备是在虚拟操作系统上第一模拟设备的映射。由于流量引入蜜场,实际上攻击者攻击的是蜜场里面的虚拟设备、服务,但是对于攻击者而言,他攻击的是影子设备通过ip虚拟技术虚拟出的通信地址、服务、设备。
在其他实施例中,一个影子设备可以对应一个实体设备,也可以对应多个实体设备。当一个影子设备对应多个实体设备时,影子设备获取多个虚拟通信地址,并将多个虚拟通信地址依次分配给各个实体设备。
S206,当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
具体地,当虚拟操作系统中影子设备设置的虚拟通信地址接收到来自攻击设备的数据流量包时,若此时虚拟通信地址对应的影子设备为高交互时,影子设备将接收到的流量数据包通过net地址转换的方式把攻击流量数据包引入与该虚拟通信地址对应的第一模拟设备或第一模拟服务。其中,影子设备可以配置成高交互的,也可以配置成低交互的。低交互的影子设备只能模仿少量的互联网协议和网络服务,而高交互的影子设备既可以模仿工控设备、也可以模拟大多数的互联网协议以及网络服务。
需要说明的是,当该影子设备为低交互时,则只需通过影子设备上特定的端口将攻击设备发来的数据流量转发至第一模拟设备或者第一模拟服务。
上述安全诱捕方法,在服务器中通过与实体设备对应的仿真器生成第一模拟设备以及第一虚拟服务,并为各个第一模拟设备配置虚拟地址,当该虚拟通信地址接收到来自攻击设备的流量数据包时,并将其转发至发生对应的第一模拟设备和/或第一虚拟服务,该方法中通过与实体设备对应的仿真器来生成模拟设备,可以节省大量的服务器资源,从而减少部署蜜网的成本。
在一个实施例中,服务器生成至少一个实体设备的影子设备,包括:在空闲的IP地址空间中,批量生成多个不同物理地址的虚拟IP地址;根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系;根据对应关系,将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务。
具体地,从虚拟操作系统中的空闲虚拟通信地址批量选择出不同物理地址的虚拟通信地址,由于影子设备是实体设备的映射,影子设备与实体设备的映射关系可以是一对一的映射关系,也可以是多对一的映射关系。第一模拟设备是由与实体设备对应的仿真器生成的,因此第一模拟设备与实体设备之间是一对一的对应关系,根据第一模拟设备与实体设备之间的对应关系以及影子设备与实体设备的映射关系得出影子设备与第一模拟设备之间的对应关系,然后将多个虚拟地址根据该对应关联上各个第一模拟设备。
本实施例中,通过为第一模拟设备以及第一模拟服务配置虚拟通信地址,从而引诱攻击者向虚拟通信地址发送攻击流量包,并通过影子设备将攻击流量包转发至第一模拟设备以及第一模拟服务,从而可以收集攻击信息、被动发现攻击行为、抵御外部网络攻击。
图3是本申请一实施例提供的安全诱捕方法的流程示意图。
在一实施例中,流量数据包中包含应用层报文,参考图3,该安全诱捕方法还包括:
S302,当虚拟通信地址接收到来自攻击设备的第一报文,与虚拟通信地址相对应的影子设备将第一报文转发至对应的第一模拟设备以及第一虚拟服务。
其中,第一报文是指攻击设备发送给虚拟通信地址的流量数据包中的应用层报文。具体地,当虚拟操作系统中的虚拟通信地址接收到来自攻击设备的第一报文,影子设备可以通过网络地址转换技术将第一报文的公网地址转换成局域网地址,然后根据该局域网地址将第一报文转发至第一模拟设备或者第一模拟服务。
S304,当第一模拟设备以及第一虚拟服务接收到攻击设备发送的第一报文后响应相对应的第二报文。
由于第一虚拟服务中包含有仿真网络协议,第一模拟设备和/或第一虚拟服务接收到攻击设备发送的第一报文后,会根据仿真网络协议响应第一报文,将响应得到报文发送给攻击设备。
S306,将第一报文与第二报文的内容一一对应地存储在数据表中。
具体地,针对部分使用未加密协议的工控设备,抓取客户端和服务端的流量,提取出交互的应用层报文,以“键名:键值”的形式存在数据库中数据表中。
示例性地,攻击设备发送的应用层报文为AAAA,服务端回复的应用层报文为BBBB,数据库中保存为AAAA:BBBB;当使用流量学习的结果后,如果服务器检测到攻击设备发送的应用层报文为AAAA,服务端就返回AAAA对应的应用层报文BBBB。
S308,当第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时,将目标报文的内容与数据表中的第一报文的内容相匹配,若匹配成功,则将匹配成功的第一报文相对应的第二报文发送至攻击设备。
示例性地,当第一模拟设备以及第一虚拟服务当使用流量学习功能后,如果服务器检测到攻击设备发送的应用层报文为AAAA,从服务器中的存储的数据表中查找与AAAA相同内容的报文,若在数据表中存在内容为AAAA的第一报文,则获取与该第一报文相对应的第二报文,并将第二报文通过与该虚拟通信地址相对应的影子设备转发至攻击设备。
本实施例中,根据攻击设备与服务器之间的流量数据包,提取出交互数据包中的应用层报文,当检测到与数据库中存储的第一报文相同的应用层报文后,服务器可以直接返回数据库中与该第一报文对应的第二报文,提高了对对攻击设备发送的流量数据包的响应效率。
图4是本申请另一实施例提供的安全诱捕方法的流程示意图。
在一个实施例中,该安全诱捕方法还包括:
S402,根据历史攻击流量数据日志生成目标攻击设备的攻击画像。
其中,攻击画像是指对入侵攻击设备进行身份认证。
具体地,首先服务器获取各个攻击设备产生的历史流量数据记录;然后从历史攻击流量数据记录中获取关键字段,其中关键字段包括攻击设备地通信地址、攻击设备指纹以及攻击设备上登录的特定软件的用户名等。示例性的,特定软件包括爱奇艺、QQ音乐、中国专业IT社区等。若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同,则认定该攻击设备与目标攻击设备为同一攻击设备。
S404,收集目标攻击设备的攻击画像的攻击行为,生成与目标攻击设备对应的告警行为日志。
具体地,服务器从历史流量数据包中解析出属于同一设备的攻击行为,对所有攻击行为进行解析,并从中提取出告警行为,结合告警行为的实行时间、执行者等生成与该攻击设备对应的告警行为日志。
本实施例中,服务器以攻击设备的通信地址、设备指纹、社交账号三个纬度对外网攻击者进行关联画像,并记录下攻击设备的通信地址的变化情况,解决针对手动修改通信地址、动态主机配置协议租约到期等通信地址变化的情况导致后续攻击设备追溯困难的问题。
在一个实施例中,该方法还包括:将与攻击设备对应的告警行为日志发送目标服务器,以使目标服务器将告警行为日志发送至客户端。
其中,目标服务器是用于存储以及解析服务器与攻击设备交互过程中产生的各种告警行为日志、交互流量日志等数据。
蜜罐生成服务器将与攻击设备交互产生的告警行为日志发送个目标服务器,目标服务器将该告警行为日志发送给至客户端,以警示管理者能够及时对攻击设备进行人为干预。
在一个实施例中,该方法还包括:依次统计每一预设时间段内的攻击流量数据中的攻击行为总数以及告警攻击行为总数;根据每一预设时间段内的攻击行为总数以及告警攻击行为总数生成告警攻击行为趋势图,并将告警攻击行为趋势图显示在监视大屏中。
具体地,服务器将每一预设时间段内的攻击行为总数以及告警攻击行为总数,并统计出每一预设时间段的告警攻击行为数量与攻击行为数量之比,并将每一预设时间段的告警攻击行为数量以及数量比生成趋势图,并将该趋势图显示在监视大屏中;另外,大屏上还可以展示预警等级,资产总数(内网攻击者总数),资产高危数(内网攻击者高危数),影子设备数,攻击网络拓扑、高危行为滚动播放、被攻击影子设备类型统计、攻击行为类型统计、高危告警趋势/总体告警趋势等统计数据。
本实施例中,将高危行为滚动播放、被攻击影子设备类型统计、攻击行为类型统计、高危告警趋势/总体告警趋势等实时显示在监控大屏上,可以使管理者及时地监察到攻击设备地高危行为和告警行为。
图5是本申请一实施例提供的应用场景示意图。
在一实施例中,如图5所示,提出了一种应用于工业互联网平台的工业互联网欺骗诱捕系统。
该系统中包括数据展示层、数据存储层、数据处理层和数据采集层。其中,数据采集层包括模拟服务模块和影子设备模块,模拟服务中包含工控服务、传统IT服务、网络设备以及各工控设备;影子设备中包括虚拟通信地址响应模块以及端口响应模块。数据处理层包括对原始流量日志、原始攻击行为日志、原始攻击者信息日志进行数据归并、数据分析、收集外网威胁情报等多项反向溯源方法。数据存储层用于对告警行为日志、告警事件日志、请求流量日志、交互流量日志等数据进行存储。数据展示层包括实时监控模块和平台展示模块。
在该安全诱捕方法中首先在数据采集层中通过工控设备仿真器仿真出对应的第一模拟设备,然后对代码层级的协议进行仿真得到第一虚拟服务,服务器通过诱捕管理模块将第一模拟设备和第一虚拟服务根据现场部署情况生成蜜场。例如:若该安全诱捕方法是部署在办公工况下,则通过服务器生成主机、打印机以及交换机等模拟网络设备,再通过服务器生成办公网所需的各种仿真网络协议。
服务器再将影子设备管理策略下发到影子设备模块,影子设备模块在虚拟系统中空闲的IP地址空间中,批量生成多个不同物理地址的虚拟IP地址;根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系;然后根据该对应关系,将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务,使得第一模拟设备以及第一模拟服务被网络所覆盖。对于没有配置高交互的影子设备根据策略响应特定的端口与服务开放状态形成低交互服务模拟,对于配置高交互的影子设备通过网络地址转换的方式把攻击流量引入模拟服务模块,形成高交互服务模拟。当攻击设备攻击目标网络的过程中触碰到虚拟的影子设备时,该影子设备将攻击流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
同时,数据采集分析模块会全程采集记录攻击设备与影子设备交互的攻击流量数据包,并对流量进行解析和分析,生成原始流量日志发送给数据处理模块。当攻击设备发动网络扫描和网络攻击时,数据采集分析模块的数据分析模块会通过检测到对应的攻击,比如扫描、密码爆破、漏洞利用、工控攻击、等网络攻击行为,并生成原始告警行为日志发送给数据处理模块。当攻击者在攻击完成并取得模拟服务权限后,数据采集分析模块会采集攻击者对模拟服务做的主机行为,包括传输到模拟服务中样本,生成原始告警行为日志发送给数据处理模块。
数据处理模块接收到原始流量日志后,会根据历史攻击流量数据日志生成目标攻击设备的攻击画像。具体地,数据处理模块以物理通信地址为根基,外网以通信地址、设备指纹、社交账号三个纬度提取出攻击者信息,并且通过域名查询、域名反向解析、域名定位、外网威胁情报、端口扫描等多种反向溯源途径对攻击者进行溯源追踪,补全攻击者信息。然后数据处理模块根据影子设备的类型将攻击流量分为交互流量和请求流量,然后根据攻击流量的类型补全影子设备、源通信地址地理位置以及会话地址等信息,并将所有信息存入数据库。另外数据处理模块还用于收集目标攻击设备的攻击画像的攻击行为,生成与目标攻击设备对应的告警行为日志。再以攻击者和被攻击影子设备为条件,对告警行为日志进行归并,提取出标签,攻击次数等信息生成告警事件日志。数据处理模块对原始告警行为日志中提取出的样本放入沙箱进行分析,并调用威胁情报查询相关信息,最后样本数据。
最后在数据展示层中对工业互联网欺骗诱捕系统收集、分析的数据进行可视化展示。实时监控模块主要展示工业互联网欺骗诱捕系统部署区域的实时态势,包括预警等级、近1月攻击行为总数,近1月高危行为数,资产总数(内网攻击者总数),资产高危数(内网攻击者高危数),影子设备数,攻击网络拓扑、高危行为滚动播放、被攻击影子设备类型统计、攻击行为类型统计、高危告警趋势/总体告警趋势等统计数据。并且数据展示层还可以将告警行为日志定时发送给目标服务器,以提示管理人员及时关注攻击设备的高危行为。
本系统是一款适用于工业互联网的安全诱捕产品。不同于传统的蜜网系统仅用于收集攻击信息、被动发现攻击行为、抵御外部网络攻击,工业互联网欺骗诱捕系统具备主动防御能力,可以通过模拟多种工控设备来构建虚拟影子设备、搭建虚拟蜜网,诱捕对工控网络的攻击行为,并实现对各种攻击行为的检测、识别和预警能力。同时,通过逆向工程和大数据分析技术解构,针对工控网络的攻击,做到迅速定位可疑行为,精确识别网络攻击,及时实施安全防护,全方位的完成威胁预警。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
图6是本申请实施例提供的安全诱捕装置的结构示意图。
在一个实施例中,如图6所示,提供了一种安全诱捕装置600,包括:服务模拟模块602、设备生成模块604和流量转发模块606,其中:
服务模拟模块602,用于生成多个类别的第一模拟设备和第一虚拟服务,第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景,通过与实体设备对应的仿真器生成的。
设备生成模块604,生成至少一个实体设备的影子设备,影子设备是实体设备的映射,每个影子设备对应多个虚拟通信地址。
流量转发模块606,用于当虚拟通信地址接收到来自攻击设备的流量数据包时,若虚拟通信地址对应的影子设备为高交互,则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。
在一个实施例中,设备生成模块604包括:地址生成子模块,用于在空闲的IP地址空间中,批量生成多个不同物理地址的虚拟IP地址;对应关系子模块,用于根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系;关联子模块,用于根据对应关系,将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务。
在一个实施例中,该装置还包括:转发子模块,用于当虚拟通信地址接收到来自攻击设备的攻击应用层报文,与虚拟通信地址相对应的影子设备将攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务;第二报文生成子模块,用于当第一模拟设备以及第一虚拟服务接收到攻击设备发送的第一报文后响应相对应的第二报文;存储子模块,用于将第一报文与第二报文的内容一一对应地存储在数据表中;流量学习子模块,用于当第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时,将目标报文的内容与数据表中的第一报文的内容相匹配,若匹配成功,则将匹配成功的第一报文相对应的第二报文发送至攻击设备。
在一个实施例中,该装置还包括:攻击画像子模块,用于根据历史攻击流量数据日志生成目标攻击设备的攻击画像;行为日志子模块,用于收集目标攻击设备的攻击画像的攻击行为,生成与目标攻击设备对应的告警行为日志。
在一个实施例中,攻击画像子模块还用于获取各个攻击设备产生的历史流量数据记录;从攻击流量数据记录中获取关键字段,其中关键字段包括攻击设备地通信地址、攻击设备指纹以及攻击设备上登录的特定软件的用户名;若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同,则认定攻击设备与目标攻击设备为同一攻击设备。
在一个实施例中,装置还用于将与攻击设备对应的告警行为日志发送目标服务器,以使目标服务器将告警行为日志发送至客户端。
在一个实施例中,装置还用于依次统计每一预设时间段内的攻击流量数据中的攻击行为总数以及告警攻击行为总数;根据每一预设时间段内的攻击行为总数以及告警攻击行为总数生成告警攻击行为趋势图,并将告警攻击行为趋势图显示在监视大屏中。
上述机器人示教装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图7是本申请实施例提供的终端设备的结构示意图。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储路径轨迹数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种机器人示教方法。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述任一实施例中提供的安全诱捕方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一实施例中提供的安全诱捕方法。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任一实施例中提供的安全诱捕方法。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (10)
1.一种安全诱捕方法,其特征在于,所述安全诱捕方法,包括:
生成多个类别的第一模拟设备和第一虚拟服务,所述第一模拟设备和所述第一虚拟服务是根据实体设备的设备参数以及所述实体设备的应用场景,通过与所述实体设备对应的仿真器生成的;
生成至少一个所述实体设备的影子设备,所述影子设备是所述实体设备的映射,每个所述影子设备对应多个虚拟通信地址;
当所述虚拟通信地址接收到来自攻击设备的流量数据包时,若所述虚拟通信地址对应的影子设备为高交互,则通过所述影子设备将所述流量数据包转发至对应的第一模拟设备和/或第一虚拟服务;
其中,根据所述攻击设备与服务器之间的流量数据包,提取出交互数据包中的应用层报文,当检测到与数据库中存储的第一报文相同的应用层报文后,服务器直接返回数据库中与所述第一报文对应的第二报文。
2.如权利要求1所述的安全诱捕方法,其特征在于,所述生成至少一个所述实体设备的影子设备,包括:
在空闲的IP地址空间中,批量生成多个不同物理地址的虚拟IP地址;
根据影子设备与所述实体设备之间的映射关系生成影子设备与所述第一模拟设备以及第一模拟服务之间的对应关系;
根据所述对应关系,将多个所述虚拟IP地址关联上各个所述第一模拟设备以及第一模拟服务。
3.如权利要求1所述的安全诱捕方法,其特征在于,所述流量数据包中包含应用层报文,所述方法还包括:
当所述虚拟通信地址接收到来自攻击设备的攻击应用层报文,与所述虚拟通信地址相对应的影子设备将所述攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务;
当所述第一模拟设备以及第一虚拟服务接收到所述攻击设备发送的第一报文后响应相对应的第二报文;
将所述第一报文与所述第二报文的内容一一对应地存储在数据表中;
当所述第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时,将所述目标应用层报文的内容与所述数据表中的第一报文的内容相匹配,若匹配成功,则将匹配成功的第一报文相对应的第二报文发送至所述攻击设备。
4.如权利要求1所述的安全诱捕方法,其特征在于,所述方法还包括:
根据历史攻击流量数据日志生成目标攻击设备的攻击画像;
收集所述目标攻击设备的攻击画像的攻击行为,生成与所述目标攻击设备对应的告警行为日志。
5.如权利要求4所述的安全诱捕方法,其特征在于,所述根据历史攻击流量数据日志生成目标攻击设备的攻击画像,包括:
获取各个所述攻击设备产生的历史流量数据记录;
从所述攻击流量数据记录中获取关键字段,其中所述关键字段包括攻击设备地通信地址、攻击设备指纹以及攻击设备上登录的特定软件的用户名;
若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同,则认定所述攻击设备与所述目标攻击设备为同一攻击设备。
6.如权利要求1所述的安全诱捕方法,其特征在于,所述方法还包括:
将与所述攻击设备对应的告警行为日志发送目标服务器,以使目标服务器将所述告警行为日志发送至客户端。
7.如权利要求1所述的安全诱捕方法,其特征在于,所述方法还包括:
依次统计每一预设时间段内的攻击流量数据中的攻击行为总数以及告警攻击行为总数;
根据每一预设时间段内的攻击行为总数以及告警攻击行为总数生成告警攻击行为趋势图,并将所述告警攻击行为趋势图显示在监视大屏中。
8.一种安全诱捕装置,其特征在于,所述装置包括:
服务模拟模块,用于生成多个类别的第一模拟设备和第一虚拟服务,所述第一模拟设备和所述第一虚拟服务是根据实体设备的设备参数以及所述实体设备的应用场景,通过与所述实体设备对应的仿真器生成的;
设备生成模块,生成至少一个所述实体设备的影子设备,所述影子设备是所述实体设备的映射,每个所述影子设备对应多个虚拟通信地址;
流量转发模块,用于当所述虚拟通信地址接收到来自攻击设备的流量数据包时,若所述虚拟通信地址对应的影子设备为高交互,则通过所述影子设备将所述流量数据包转发至对应的第一模拟设备和/或第一虚拟服务;
其中,根据所述攻击设备与服务器之间的流量数据包,提取出交互数据包中的应用层报文,当检测到与数据库中存储的第一报文相同的应用层报文后,服务器直接返回数据库中与所述第一报文对应的第二报文。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210178181.1A CN114584359B (zh) | 2022-02-24 | 2022-02-24 | 安全诱捕方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210178181.1A CN114584359B (zh) | 2022-02-24 | 2022-02-24 | 安全诱捕方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584359A CN114584359A (zh) | 2022-06-03 |
| CN114584359B true CN114584359B (zh) | 2023-06-09 |
Family
ID=81770185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210178181.1A Active CN114584359B (zh) | 2022-02-24 | 2022-02-24 | 安全诱捕方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584359B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11627154B2 (en) | 2021-04-26 | 2023-04-11 | Orca Security LTD. | Forward and rearward facing attack vector visualization |
| CN116192495B (zh) * | 2023-02-15 | 2023-11-10 | 国核自仪系统工程有限公司 | 电力监控系统蜜场的设计方法、系统、设备和介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070577A (zh) * | 2020-08-04 | 2022-02-18 | 帕洛阿尔托网络公司 | 基于云的安全服务的大规模本地化 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170093910A1 (en) * | 2015-09-25 | 2017-03-30 | Acalvio Technologies, Inc. | Dynamic security mechanisms |
| CN112738002A (zh) * | 2019-10-14 | 2021-04-30 | 博智安全科技股份有限公司 | 一种基于虚实结合的搭建工控蜜网的技术 |
| CN110784361A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 虚拟化云蜜网部署方法、装置、系统及计算机可读存储介质 |
| CN112578761B (zh) * | 2021-02-03 | 2023-05-26 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
-
2022
- 2022-02-24 CN CN202210178181.1A patent/CN114584359B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114070577A (zh) * | 2020-08-04 | 2022-02-18 | 帕洛阿尔托网络公司 | 基于云的安全服务的大规模本地化 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584359A (zh) | 2022-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Koroniotis et al. | Towards the development of realistic botnet dataset in the internet of things for network forensic analytics: Bot-iot dataset | |
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN101567887B (zh) | 一种漏洞拟真超载蜜罐方法 | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN113676449B (zh) | 网络攻击处理方法及装置 | |
| KR101534194B1 (ko) | 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 | |
| WO2018216000A1 (en) | A system and method for on-premise cyber training | |
| CN113141335B (zh) | 网络攻击检测方法及装置 | |
| WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| Mohammed et al. | Detection and mitigation of field flooding attacks on oil and gas critical infrastructure communication | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| Majumdar et al. | ARP poisoning detection and prevention using Scapy | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| CN113518042A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| Liu et al. | Real-time diagnosis of network anomaly based on statistical traffic analysis | |
| CN114268505B (zh) | 一种蜜网欺骗策略调整方法、装置、电子设备及存储介质 | |
| Banik et al. | Implementing man-in-the-middle attack to investigate network vulnerabilities in smart grid test-bed | |
| Wijayanto et al. | TAARA Method for Processing on the Network Forensics in the Event of an ARP Spoofing Attack | |
| Yu et al. | A visualization analysis tool for DNS amplification attack | |
| CN110266727A (zh) | 模拟浏览器行为的识别方法、服务器及客户端 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |