本申請提供了一種蜜罐生成方法，該方法包括：從目標網絡中收集真實報文流量，從真實報文流量中提取關鍵字段信息，將關鍵字段信息中的部分信息進行篡改，得到偽關鍵數據，根據偽關鍵數據生成至少一個目標蜜罐。可見，本申請是利用現網內部真實服務以及對真實服務的關鍵業務信息進行篡改，在不失真的前提下，保護了內部設備的實際信息，并且，當利用篡改后的偽關鍵數據生成蜜罐時，由于偽關鍵數據是對現網數據的高度模擬數據，這使得利用該偽關鍵數據生成的蜜罐不易被嗅探者進行區分和識別，從而提高了蜜罐的防識別及誘捕能力。

技術領域

本申請涉及通信技術領域，特別涉及一種蜜罐生成方法、裝置、設備及計算機可讀存儲介質。

背景技術

隨著科技的發展，工業控制系統逐漸的接入互聯網，而當前互聯網上存在著大量的攻擊，直接影響著工業控制系統的安全，工業控制系統面臨的安全形勢越來越嚴重。為了增強工業控制系統的網絡安全，很多研究人員都會采用蜜罐技術對工業控制系統進行安全防護。蜜罐技術作為一種主動防御技術可以吸引攻擊、分析攻擊、推測攻擊意圖，并將結果補充到防火墻、入侵檢測系統(intrusion detection system，IDS)以及入侵防御系統(Intrusion Prevention System，IPS)等威脅阻斷技術中。

近年來，隨著工控安全形勢的嚴峻，蜜罐技術被越來越多的應用在工控領域，從協議的仿真做起到工控環境的模擬，交互能力越來越高，結構也日趨復雜。在開源工控蜜罐中，主要針對modbus、s7、IEC-104、DNP3等工控協議進行模擬。其中，conpot和snap7是相對成熟的蜜罐代表，conpot實現了對s7comm、modbus、bacnet、超文本傳輸協議(Hyper TextTransfer Protocol，HTTP)等協議的模擬，屬于低交互蜜罐，conpot部署簡單，協議內容擴展方便，并且設備信息是以可擴展標記語言(Extensible Markup Language，XML)形式進行配置，便于修改和維護；snap7是專門針對西門子可編程邏輯控制器(Programmable LogicController，PLC)的蜜罐，基本實現了s7comm協議棧，它可以模擬實際設備的信息與狀態，而且實現常用PLC操作的交互。

在現有的一種蜜罐方案中，其工作流程主要包括：啟動相關蜜罐，監聽對應服務端口；誘捕相關嗅探連接；根據不同端口，使用與之對應的蜜罐提供服務；與嗅探連接進行報文交互，記錄交互相關內容；誘騙結束。

但是，現有蜜罐方案大多數是將不同服務同時進行監聽，然后捕獲對應服務連接，因實際業務網絡中，同一個設備上不會同時開啟多個主流工控服務，且使用一些資產指紋獲取工具能夠檢測到操作系統或MAC地址(Media Access Control Address)等指紋信息為服務器或電腦主機的，這使得嗅探者能對蜜罐進行區分和識別。可見，現有蜜罐方案易被當下蜜罐識別技術所識破，導致其降低了誘捕能力。

發明內容

有鑒于此，本申請提供了一種蜜罐生成方法、裝置、設備及計算機可讀存儲介質，能夠提高蜜罐的防識別能力以及誘捕能力。

具體地，本申請是通過如下技術方案實現的：

一種蜜罐生成方法，包括：

從目標網絡中收集真實報文流量，所述目標網絡是提供真實服務的網絡；

從所述真實報文流量中提取關鍵字段信息；

將所述關鍵字段信息中的部分信息進行篡改，得到偽關鍵數據；

根據所述偽關鍵數據生成至少一個目標蜜罐。

一種蜜罐生成裝置，包括：

流量收集單元，用于從目標網絡中收集真實報文流量，所述目標網絡是提供真實服務的網絡；

字段提取單元，用于從所述真實報文流量中提取關鍵字段信息；