本發(fā)明提供一種智能學(xué)習(xí)式自應(yīng)答工業(yè)互聯(lián)網(wǎng)蜜罐誘導(dǎo)方法及系統(tǒng)，包括樣本數(shù)據(jù)處理，定期獲取設(shè)定時(shí)間段內(nèi)正常情況下工業(yè)環(huán)境的業(yè)務(wù)請求命令及響應(yīng)所述請求命令的設(shè)備及響應(yīng)內(nèi)容，并處理生成請求響應(yīng)序列，作為模型訓(xùn)練樣本數(shù)據(jù)集；響應(yīng)預(yù)測模型訓(xùn)練；威脅誘捕，獲取當(dāng)前攻擊者的請求數(shù)據(jù)，根據(jù)當(dāng)前響應(yīng)預(yù)測模型查找該請求子序列在概率后綴樹上所在的節(jié)點(diǎn)，給予該請求數(shù)據(jù)的反饋并記錄數(shù)據(jù)，直至攻擊結(jié)束，然后將獲取到的請求響應(yīng)序列加入到樣本數(shù)據(jù)集中；重復(fù)上述過程。本方法通過對各類工控系統(tǒng)數(shù)據(jù)交互的深度學(xué)習(xí)，真實(shí)模擬出各類工控系統(tǒng)及業(yè)務(wù)，能夠欺騙攻擊者且不會(huì)暴露，為工業(yè)互聯(lián)網(wǎng)安全提供有力保障。

技術(shù)領(lǐng)域

本發(fā)明涉及工業(yè)互聯(lián)網(wǎng)安全業(yè)務(wù)技術(shù)領(lǐng)域，具體來說是一種智能學(xué)習(xí)式自應(yīng)答工業(yè)互聯(lián)網(wǎng)蜜罐誘導(dǎo)方法及系統(tǒng)。

背景技術(shù)

蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

蜜罐技術(shù)一般根據(jù)欺騙環(huán)境提供的交互程度分為低交互蜜罐與高交互蜜罐，低交互蜜罐一般通過模擬軟件部分特征，而高交互蜜罐則是在真實(shí)系統(tǒng)中存在交互。目前欺騙防御技術(shù)多被應(yīng)用在0-day漏洞、威脅誘捕、內(nèi)網(wǎng)安全防御上。但由于大多欺騙防御技術(shù)是采用的低交互仿真模塊與固定回復(fù)邏輯和有限的交互水平。因此有限的交互水平不足以通過檢查，無法捕獲真正的攻擊，且容易被攻擊者發(fā)現(xiàn)，形成反欺騙。雖然工業(yè)互聯(lián)網(wǎng)中的設(shè)備的惡意軟件相對簡單，但如果沒有正確處理響應(yīng)，工業(yè)互聯(lián)網(wǎng)欺騙防御的效果將受到影響。

申請?zhí)枮?01711290075.8公開了“一種面向工業(yè)互聯(lián)網(wǎng)的帶有自學(xué)習(xí)功能的工控協(xié)議蜜罐及應(yīng)用”，其利用面向工業(yè)互聯(lián)網(wǎng)的帶有自學(xué)習(xí)功能的蜜罐，不但能夠及時(shí)快速地發(fā)現(xiàn)工控網(wǎng)絡(luò)中存在的威脅，還能通過自學(xué)習(xí)不斷深入逼真地模仿工控設(shè)備以提高欺騙性，增強(qiáng)收集預(yù)警工控威脅的能力。但是，該技術(shù)中，沒有明確公開自學(xué)習(xí)的方法，且自學(xué)習(xí)過程僅僅針對當(dāng)前訪問請求，對于之前的訪問請求和響應(yīng)結(jié)果并未進(jìn)行關(guān)聯(lián)，另外，該技術(shù)中僅僅針對攻擊者的IP、IP對應(yīng)的地理位置等，這些都為攻擊者的基本屬性，并不能實(shí)現(xiàn)捕獲攻擊者完整的行為，作為后期誘捕的誘餌。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題在于現(xiàn)有技術(shù)缺乏威脅誘捕執(zhí)行真正攻擊行為的方法，提供一種智能學(xué)習(xí)式自應(yīng)答工業(yè)互聯(lián)網(wǎng)蜜罐誘導(dǎo)方法，與之相對應(yīng)的，還提供一種種智能學(xué)習(xí)式自應(yīng)答工業(yè)互聯(lián)網(wǎng)蜜罐誘導(dǎo)系統(tǒng)。

本發(fā)明通過以下技術(shù)手段實(shí)現(xiàn)解決上述技術(shù)問題的：

一種智能學(xué)習(xí)式自應(yīng)答工業(yè)互聯(lián)網(wǎng)蜜罐誘導(dǎo)方法，

S01.樣本數(shù)據(jù)處理

定期獲取設(shè)定時(shí)間段內(nèi)正常情況下工業(yè)環(huán)境的業(yè)務(wù)請求命令，并對不同的請求命令進(jìn)行編碼，從而生成請求序列對應(yīng)的請求編碼序列；獲取響應(yīng)所述請求序列的設(shè)備及響應(yīng)內(nèi)容，并進(jìn)行編碼，形成響應(yīng)編碼序列，然后將響應(yīng)編碼序列拼接到請求編碼序列中，從而生成請求響應(yīng)序列，作為模型訓(xùn)練樣本數(shù)據(jù)集；

S02.響應(yīng)預(yù)測模型訓(xùn)練

將步驟S01中的請求響應(yīng)序列作為概率后綴樹算法的輸入進(jìn)行訓(xùn)練，得到響應(yīng)預(yù)測模型；

S03.威脅誘捕

獲取當(dāng)前攻擊者的請求數(shù)據(jù)，根據(jù)當(dāng)前響應(yīng)預(yù)測模型查找該請求數(shù)據(jù)的請求子序列在概率后綴樹上所在的節(jié)點(diǎn)，給予該請求數(shù)據(jù)的反饋，同時(shí)記錄請求響應(yīng)序列，當(dāng)接收到當(dāng)前攻擊者的下一條請求數(shù)據(jù)時(shí)，拼接歷史請求響應(yīng)序列，再重復(fù)執(zhí)行根據(jù)當(dāng)前響應(yīng)預(yù)測模型查找該請求數(shù)據(jù)的請求子序列在概率后綴樹上所在的節(jié)點(diǎn)，給予該請求數(shù)據(jù)的反饋步驟，直至攻擊結(jié)束。