[发明专利]安全诱捕方法、装置和计算机设备

说明书

本申请适用于网络安全技术领域，提供了一种安全诱捕方法，包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数和实体设备的应用场景，通过仿真器生成的；生成实体设备的影子设备，每个影子设备对应多个虚拟通信地址；当所述虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。该方法中，通过与实体设备对应的仿真器来生成模拟设备，进而实现工业互联网欺骗诱捕系统的部署。由于无需生成多个容器，所以可以节省大量的服务器资源，从而减少部署工业互联网欺骗诱捕系统的成本。

技术领域

本申请属于网络安全技术领域，尤其涉及一种安全诱捕方法及装置。

背景技术

随着工业转型升级，工业互联网被广泛应用。但是，工业互联网在应用时存在网络信息安全方面的问题，如信息泄露、遭受网络攻击、存在可被利用的安全漏洞等问题。目前可以通过工业互联网欺骗诱捕系统进行主动防御，获取威胁情报。

但是，现有的工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源，部署成本较高。

发明内容

本申请实施例提供了安全诱捕方法及装置，可以解决工业互联网欺骗诱捕系统在部署时需要占用大量的服务器资源，部署成本较高的问题。

第一方面，本申请实施例提供了一种安全诱捕方法，包括：生成多个类别的第一模拟设备和第一虚拟服务，第一模拟设备和第一虚拟服务是根据实体设备的设备参数以及实体设备的应用场景，通过与实体设备对应的仿真器生成的；生成至少一个实体设备的影子设备，影子设备是实体设备的映射，每个影子设备对应多个虚拟通信地址；当虚拟通信地址接收到来自攻击设备的流量数据包时，若虚拟通信地址对应的影子设备为高交互，则通过影子设备将流量数据包转发至对应的第一模拟设备和/或第一虚拟服务。

在第一方面的一种可能的实现方式中，生成至少一个实体设备的影子设备，包括：在空闲的IP地址空间中，批量生成多个不同物理地址的虚拟IP地址；根据影子设备与实体设备之间的映射关系生成影子设备与第一模拟设备以及第一模拟服务之间的对应关系；根据对应关系，将多个虚拟IP地址关联上各个第一模拟设备以及第一模拟服务。

在第一方面的一种可能的实现方式中，流量数据包中包含应用层报文，方法还包括：当虚拟通信地址接收到来自攻击设备的攻击应用层报文，与虚拟通信地址相对应的影子设备将攻击应用层报文转发至对应的第一模拟设备以及第一虚拟服务；当第一模拟设备以及第一虚拟服务接收到攻击设备发送的第一报文后响应相对应的第二报文；将第一报文与第二报文的内容一一对应地存储在数据表中；当第一模拟设备以及第一虚拟服务接收到目标攻击设备的目标应用层报文时，将目标报文的内容与数据表中的第一报文的内容相匹配，若匹配成功，则将匹配成功的第一报文相对应的第二报文发送至攻击设备。

在第一方面的一种可能的实现方式中，该方法还包括：根据历史攻击流量数据日志生成目标攻击设备的攻击画像；收集目标攻击设备的攻击画像的攻击行为，生成与目标攻击设备对应的告警行为日志。

在第一方面的一种可能的实现方式中，该方法还包括：根据历史攻击流量数据日志生成目标攻击设备的攻击画像，包括：获取各个攻击设备产生的历史流量数据记录；从攻击流量数据记录中获取关键字段，其中关键字段包括攻击设备地通信地址、攻击设备指纹以及攻击设备上登录的特定软件的用户名；若任一攻击设备与目标攻击设备发送的流量数据中的关键字段中至少一项相同，则认定攻击设备与目标攻击设备为同一攻击设备。

在第一方面的一种可能的实现方式中，该方法还包括：将与攻击设备对应的告警行为日志发送目标服务器，以使目标服务器将告警行为日志发送至客户端。