本發(fā)明提供了一種基于虛實(shí)結(jié)合的搭建工控蜜網(wǎng)的技術(shù)，由虛擬蜜罐以及真實(shí)設(shè)備蜜罐結(jié)合部署，當(dāng)收到網(wǎng)絡(luò)訪問(wèn)請(qǐng)求報(bào)文后，利用網(wǎng)絡(luò)轉(zhuǎn)發(fā)原理將報(bào)文轉(zhuǎn)發(fā)給虛擬機(jī)或者真實(shí)設(shè)備，并記錄相應(yīng)的訪問(wèn)報(bào)文內(nèi)容，極大的減少了蜜罐被識(shí)別概率以及蜜罐部署成本，提高了獲取攻擊行為能力，加強(qiáng)網(wǎng)絡(luò)真實(shí)設(shè)備的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于虛實(shí)結(jié)合的搭建工控蜜網(wǎng)的技術(shù)。

背景技術(shù)

蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

傳統(tǒng)蜜罐是在一臺(tái)設(shè)備上部署一個(gè)協(xié)議服務(wù)端，模擬真實(shí)設(shè)備所具有的應(yīng)用功能，應(yīng)答攻擊的所發(fā)起的求情，并以日志方式記錄攻擊者的攻擊行為。現(xiàn)在有很多識(shí)別蜜罐的方式和手段，導(dǎo)致蜜罐非常容易被人識(shí)別，從而不能達(dá)到原本引誘攻擊者發(fā)起攻擊并獲取攻擊者攻擊方式的目的，且一臺(tái)設(shè)備只能部署一個(gè)協(xié)議服務(wù)端，導(dǎo)致維護(hù)成本較高。

發(fā)明內(nèi)容

本發(fā)明的目的在于，針對(duì)現(xiàn)有技術(shù)的不足，提供一種基于虛實(shí)結(jié)合的搭建工控蜜網(wǎng)的技術(shù)，由虛擬機(jī)以及真實(shí)設(shè)備組成，其特征在于虛擬蜜罐以及實(shí)設(shè)備蜜罐結(jié)合部署，當(dāng)收到網(wǎng)絡(luò)訪問(wèn)請(qǐng)求報(bào)文后，利用網(wǎng)絡(luò)轉(zhuǎn)發(fā)原理將報(bào)文轉(zhuǎn)發(fā)給虛擬機(jī)或者真實(shí)設(shè)備，并記錄相應(yīng)的訪問(wèn)報(bào)文內(nèi)容，主要包括Docker環(huán)境搭建、報(bào)文轉(zhuǎn)發(fā)、行為記錄。

所述Docker環(huán)境搭建，其特征在于，使用虛擬技術(shù)在一臺(tái)設(shè)備上部署多個(gè)Docker容器，一個(gè)容器對(duì)應(yīng)一個(gè)協(xié)議服務(wù)器，在真實(shí)設(shè)備上配置多個(gè)IP，將不同IP和端口映射到不通的容器里，這樣實(shí)現(xiàn)多個(gè)協(xié)議服務(wù)器部署在一個(gè)物理設(shè)備上，且不易被識(shí)別為蜜罐。

所述報(bào)文轉(zhuǎn)發(fā)，其特征在于，從網(wǎng)絡(luò)中獲取到報(bào)文后，如果網(wǎng)絡(luò)訪問(wèn)的為Docker容器IP，則把報(bào)文轉(zhuǎn)發(fā)給對(duì)應(yīng)容器處理，容器將報(bào)文內(nèi)容進(jìn)行解析，然后保存訪問(wèn)路徑，容器再根據(jù)請(qǐng)求內(nèi)容應(yīng)答攻擊者； 如果網(wǎng)絡(luò)訪問(wèn)的為其他IP，則將報(bào)文發(fā)送給suricata進(jìn)行深度解析，然后保存訪問(wèn)路徑，再將報(bào)文轉(zhuǎn)發(fā)給真實(shí)設(shè)備，由真實(shí)設(shè)備應(yīng)答攻擊者，保障攻擊者不能識(shí)別到這是一個(gè)蜜罐設(shè)備。

所述行為記錄，其特征在于，所有對(duì)蜜罐系統(tǒng)的訪問(wèn)，都認(rèn)為是一個(gè)攻擊，所以會(huì)對(duì)訪問(wèn)系統(tǒng)的所有報(bào)文進(jìn)行解析，然后對(duì)報(bào)文進(jìn)行保存，以便分析。

附圖說(shuō)明

圖1為一種基于虛實(shí)結(jié)合的搭建工控蜜網(wǎng)的技術(shù)的流程圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及示例性實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的示例性實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明的適用范圍。

步驟1、設(shè)備網(wǎng)口上配置多個(gè)公網(wǎng)IP地址，這些IP地址映射到不同的Docker容器里面（每個(gè)Docker容器為一個(gè)協(xié)議服務(wù)器）；或?qū)P映射到真實(shí)的物理設(shè)備上。

步驟2、系統(tǒng)從這些IP地址中獲取訪問(wèn)報(bào)文，然后由Docker程序轉(zhuǎn)發(fā)到容器中處理或者轉(zhuǎn)發(fā)到真正的物理設(shè)備上。

步驟3、容器獲取到報(bào)文，然后對(duì)報(bào)文進(jìn)行解析，如果容器為一個(gè)協(xié)議服務(wù)則做出對(duì)應(yīng)的回應(yīng)；如果報(bào)文不是訪問(wèn)容器IP，則將報(bào)文轉(zhuǎn)發(fā)給真正的設(shè)備，由設(shè)備做出應(yīng)答，然后保存整個(gè)訪問(wèn)行為，將請(qǐng)求以及應(yīng)答報(bào)文保存，以便用于后期分析，分析攻擊者的攻擊路徑，然后在做出對(duì)應(yīng)的安全措施。