[发明专利]一种蜜罐系统的攻击数据获取方法、装置

权利要求书

1.一种蜜罐系统的攻击数据获取方法，其特征在于，所述方法包括：

运行蜜罐系统中真实工控设备、虚拟工控设备和上位机；其中，所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据；

连接在交换机镜像口的流量监听设备监听所述蜜罐系统的通讯流量信息，分析并记录所述通讯流量信息中的攻击行为数据；

在运行蜜罐系统中真实工控设备、虚拟工控设备和上位机之后，包括：所述上位机实时读取所述真实工控设备的运行参数，并发送至所述虚拟工控设备；其中，所述运行参数在所述蜜罐系统中，用于模拟所述上位机与所述真实工控设备之间的数据通信行为；虚拟工控设备在获取真实工控设备的运行参数后，能够在接收到上位机的控制指令后，向上位机发送状态数据。

2.根据权利要求1所述的方法，其特征在于，还包括：

所述上位机向所述真实工控设备发送所述控制指令；

所述真实工控设备根据所述控制指令运行，生成所述真实工控设备的状态数据，并将所述状态数据发送至所述上位机。

3.根据权利要求1所述的方法，其特征在于，还包括；

所述上位机向所述虚拟工控设备发送所述控制指令；

所述虚拟工控设备根据所述控制指令，通过预设的数据生成规则生成所述虚拟工控设备的状态数据，并将所述状态数据发送至所述上位机。

4.根据权利要求1所述的方法，其特征在于，所述流量监听设备监听所述蜜罐系统的通讯流量信息，分析并记录所述通讯流量信息中的攻击行为数据，包括：

所述流量监听设备监听所述蜜罐系统的通讯流量信息，并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对；

在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时，将所述通讯流量信息记录为攻击行为数据。

5.根据权利要求4所述的方法，其特征在于，在所述流量监听设备监听所述蜜罐系统的通讯流量信息，并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后，包括：

在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时，将所述通讯流量信息与符合正常通信的白名单规则进行比对；

在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时，将所述通讯流量信息中的IP地址添加至所述攻击者列表，并将所述通讯流量信息记录为攻击行为数据。

6.根据权利要求4所述的方法，其特征在于，在所述流量监听设备监听所述蜜罐系统的通讯流量信息，并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对之前，包括：

断开所述蜜罐系统的外部网络连接，并运行蜜罐系统中真实工控设备、虚拟工控设备和上位机；

所述流量监听设备监听预设时间内的所述蜜罐系统的内部通讯流量信息；

所述流量监听设备根据所述内部通讯流量信息去除重复流量，生成白名单规则。

7.一种蜜罐系统的攻击数据获取装置，其特征在于，所述装置包括：

运行模块，用于运行蜜罐系统中真实工控设备、虚拟工控设备和上位机；其中，所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据；

监听模块，与交换机镜像口连接，用于流量监听设备监听所述蜜罐系统的通讯流量信息，分析并记录所述通讯流量信息中的攻击行为数据。

8.根据权利要求7所述的装置，其特征在于，还包括：

控制指令发送模块，用于所述上位机向所述真实工控设备发送所述控制指令；

状态数据生成模块，用于所述真实工控设备根据所述控制指令运行，并生成所述真实工控设备的状态数据。

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。