本發(fā)明提供了一種生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)、方法、計(jì)算機(jī)設(shè)備和介質(zhì)。該系統(tǒng)包括：網(wǎng)絡(luò)設(shè)備，設(shè)置于生產(chǎn)網(wǎng)絡(luò)中，其中，生產(chǎn)網(wǎng)絡(luò)包括若干生產(chǎn)廣播域；蜜罐傳感器，通過物理接口與網(wǎng)絡(luò)設(shè)備相連接；以及蜜罐控制器，與網(wǎng)絡(luò)設(shè)備和蜜罐傳感器通信連接，用于獲取網(wǎng)絡(luò)設(shè)備內(nèi)生產(chǎn)廣播域的地址和vlan信息，在蜜罐傳感器上啟用與vlan信息對(duì)應(yīng)的邏輯子接口，并根據(jù)生產(chǎn)廣播域的地址配置邏輯子接口。通過本發(fā)明，能夠降低大型生產(chǎn)網(wǎng)絡(luò)中蜜罐傳感器的覆蓋成本。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)、方法、計(jì)算機(jī)設(shè)備和介質(zhì)。

背景技術(shù)

蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

在現(xiàn)有的生產(chǎn)網(wǎng)絡(luò)中，蜜罐傳感器部署方式只能實(shí)現(xiàn)單臺(tái)蜜罐傳感器覆蓋單個(gè)網(wǎng)絡(luò)廣播域，也即蜜罐傳感器與網(wǎng)絡(luò)廣播域是一一對(duì)應(yīng)的，一個(gè)蜜罐傳感器只能屬于一個(gè)IP地址，因此，在大型生產(chǎn)網(wǎng)絡(luò)中需要大量的蜜罐傳感器，覆蓋成本過高，導(dǎo)致業(yè)務(wù)網(wǎng)絡(luò)難以實(shí)現(xiàn)完全覆蓋。

因此，如何降低大型生產(chǎn)網(wǎng)絡(luò)中蜜罐傳感器的覆蓋成本，成為本領(lǐng)域亟需解決的技術(shù)問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)、方法、計(jì)算機(jī)設(shè)備和介質(zhì)，用于解決現(xiàn)有技術(shù)中的技術(shù)問題。

一方面，為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。

該生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)包括：網(wǎng)絡(luò)設(shè)備，設(shè)置于生產(chǎn)網(wǎng)絡(luò)中，其中，所述生產(chǎn)網(wǎng)絡(luò)包括若干生產(chǎn)廣播域；蜜罐傳感器，通過物理接口與所述網(wǎng)絡(luò)設(shè)備相連接；以及蜜罐控制器，與所述網(wǎng)絡(luò)設(shè)備和所述蜜罐傳感器通信連接，用于獲取所述網(wǎng)絡(luò)設(shè)備內(nèi)所述生產(chǎn)廣播域的地址和vlan信息，在所述蜜罐傳感器上啟用與所述vlan信息對(duì)應(yīng)的邏輯子接口，并根據(jù)所述生產(chǎn)廣播域的地址配置所述邏輯子接口。

進(jìn)一步地，所述蜜罐控制器還用于獲取非生產(chǎn)廣播域的地址，并將所述非生產(chǎn)廣播域的地址推送至所述蜜罐傳感器；所述蜜罐傳感器還用于向所述生產(chǎn)網(wǎng)絡(luò)中動(dòng)態(tài)發(fā)布所述非生產(chǎn)廣播域的地址。

進(jìn)一步地，所述生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)還包括IP資產(chǎn)數(shù)據(jù)庫，用于存儲(chǔ)所述生產(chǎn)網(wǎng)絡(luò)的IP地址范圍；所述蜜罐控制器通過以下步驟獲取所述非生產(chǎn)廣播域的地址：讀取所述IP資產(chǎn)數(shù)據(jù)庫中的所述IP地址范圍，根據(jù)所述IP地址范圍和所述生產(chǎn)廣播域的地址，計(jì)算所述非生產(chǎn)廣播域的地址。

進(jìn)一步地，所述IP資產(chǎn)數(shù)據(jù)庫還用于響應(yīng)于對(duì)地址修改操作，修改所述IP地址范圍；所述蜜罐控制器還用于在監(jiān)測(cè)到所述IP地址范圍發(fā)生修改時(shí)，重新讀取所述IP地址范圍和計(jì)算所述非生產(chǎn)廣播域的地址。

進(jìn)一步地，所述蜜罐控制器通過以下步驟計(jì)算所述非生產(chǎn)廣播域的地址：在所述IP地址范圍中去除所述生產(chǎn)廣播域的地址，得到所述非生產(chǎn)廣播域的地址。

進(jìn)一步地，所述生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)還包括安全事件監(jiān)控模塊；所述蜜罐控制器還用于在啟動(dòng)蜜罐傳感器的誘騙服務(wù)后，當(dāng)所述生產(chǎn)網(wǎng)絡(luò)中出現(xiàn)攻擊者訪問行為時(shí)，向所述安全事件監(jiān)控模塊發(fā)送告警信息。

另一方面，為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)方法。

該生產(chǎn)網(wǎng)絡(luò)安全監(jiān)測(cè)方法包括：獲取網(wǎng)絡(luò)設(shè)備內(nèi)生產(chǎn)廣播域的地址和vlan信息，其中，所述網(wǎng)絡(luò)設(shè)備設(shè)置于生產(chǎn)網(wǎng)絡(luò)中，其中，所述生產(chǎn)網(wǎng)絡(luò)包括若干所述生產(chǎn)廣播域；在蜜罐傳感器上啟用與所述vlan信息對(duì)應(yīng)的邏輯子接口，其中，所述蜜罐傳感器通過物理接口與所述網(wǎng)絡(luò)設(shè)備相連接；根據(jù)所述生產(chǎn)廣播域的地址配置所述邏輯子接口；啟動(dòng)所述蜜罐傳感器的誘騙服務(wù)；以及當(dāng)所述生產(chǎn)網(wǎng)絡(luò)中出現(xiàn)攻擊者訪問行為時(shí)，發(fā)送告警信息。