具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤还可以分解，而有的步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

随着工业互联网对于信息安全的需求日益提升，蜜罐技术在工业互联网中的应用越来越多。然而，相比于传统互联网，工业互联网所涉及的工控协议种类更多，在一个大型的工控系统中，可能涉及到传统互联网的通信协议以及多种工控协议，目前的蜜罐系统无法完全覆盖到这些协议，因而无法对攻击信息进行充分地捕获。

鉴于上述问题，本公开的示例性实施方式提供一种蜜罐系统。参考图1所示，该蜜罐系统100可以包括：SoC(System-on-Chip，片上系统，又称系统级芯片)110，其上集成有多个处理器(111、112、113)；多个外设IP核(Intellectual Property，知识产权核)(121、122、123)，嵌入于SoC110；多个IO(Input/Output，输入/输出)模块(131、132、133)；存储器140。

应当理解，图1中各组件的数目仅是示例性的，根据实际需要，可以设置任意数目的处理器、外设IP核、IO模块等。此外，蜜罐系统100还可以包括图1未示出的其他组件，如显示模块、传感器模块等。

SoC 110可以是基于HDL(Hardware Description Language，硬件描述语言)的SoC芯片，HDL包括但不限于VHDL(Very-High-Speed Integrated Circuit HDL，超高速集成电路硬件描述语言)、Verilog HDL等。SoC 110例如可以是EPLD(Erasable ProgrammableLogic Device，可擦除可编辑逻辑器件)、CPLD(Complex Programming logic device，复杂可编程逻辑器件)、FPGA(Field Programmable Gate Array，现场可编程逻辑门阵列)、混合FPGA等集成电路。

在一种实施方式中，SoC 110可以采用混合CPU-FPGA架构，上述多个处理器(111、112、113)可以包括FPGA内置的CPU，也可以包括基于IP核(Intellectual Property，知识产权核)形成的MCU(Microcontroller Unit，微控制单元)。

在一种实施方式中，上述多个处理器(111、112、113)中至少两个处理器所采用的处理器架构不同，即蜜罐系统100中各处理器所采用的处理器架构不完全相同，可以包括以下处理器架构中的任意多种：X86架构，ARM(Advanced RISC Machine，进阶精简指令集机器)架构，MIPS(Microprocessor without Interlocked Piped Stages，无内部互锁流水级)架构，C51架构(一种51内核级别的单片机架构)等等。示例性的，处理器111可以是混合CPU-FPGA架构的SoC 110内置的CPU，采用X86架构；处理器112可以采用ARM架构；处理器113可以采用C51架构。

上述多个外设IP核(121、122、123)是基于IP核的外设模块，可以是实现各种功能的软核，其中至少两个外设IP核所采用的协议不同，即蜜罐系统100中各外设IP核所采用的协议不完全相同，可以包括以下协议中的任意多种：TCP/IP协议(Transmission ControlProtocol/Internet Protocol，传输控制协议/网际协议)，BACnet协议(BuildingAutomation and Control networks，楼宇自动化与控制网络协议)，Modbus协议(Modicon公司发布的一种串行通信协议)，MQTT协议(Message Queuing Telemetry Transport，消息队列遥测传输协议)，AMQP协议(Advanced Message Queuing Protocol，先进消息队列协议)，CoAP协议(Constrained Application Protocol，受限应用协议)，WiFi协议(WirelessFidelity，无线协议)，蓝牙协议，Zigbee协议(紫蜂协议)，NFC协议(Near FieldCommunication，近场通信协议)，GPS协议(Global Positioning System，全球定位系统协议)，LoRa协议(Long Range Radio，远距离无线电协议)，2G/3G/4G/5G无线通信协议等等。示例性的，外设IP核121可以采用TCP/IP协议；外设IP核122可以采用Modbus协议；外设IP核123可以采用2G/3G/4G/5G无线通信协议。

SoC 110中不同处理器(111、112、113)、不同外设IP核(121、122、123)之间可以通过内部总线进行连接，内部总线可以是AHB(Advanced High Performance Bus，高级高性能总线)等。

上述多个IO模块(131、132、133)可以是与上述多个外设IP核(121、122、123)一一对应的外围电路模块，如可以是模拟及射频电路，以实现相应的功能。示例性的，IO模块131可以是以太网的PHY(物理层)电路模块；IO模块132可以是RS422、RS485(RS422与RS485都是串行数据接口标准)、CANBus(ControLLer Area Network Bus，控制器局域网总线)等外围驱动电路模块；IO模块133可以是LTE(Long Term Evolution，长期演进)外围驱动电路。

存储器140用于存储处理器的可执行指令，如可以包括蜜罐程序。在一种实施方式中，存储器140可以包括非易失性存储器141与易失性存储器142。非易失性存储器141可以是PROM(Programmable Read-Only Memory可编程只读存储器)、EPROM(Erasable PROM，可擦除可编程只读存储器)、EEPROM(Electrically EPROM，带电可擦除可编程只读存储器)、NOR Flash(或非型闪存)、NAND Flash(与非型闪存)等存储器件；易失性存储器可以是DDR(Double Data Rate，双倍速率同步动态随机存储器)、DDR2(第2代DDR)、DDR3(第3代DDR)等存储器件。一般的，蜜罐程序可以存储在非易失性存储器141中，在运行时被加载至易失性存储器142中，由处理器从易失性存储器142中读取并执行程序指令。

在蜜罐系统100中，一个处理器、一个外设IP核、一个IO模块可形成能够与外部进行数据交互并进行数据处理的系统，本示例性实施方式称其为蜜罐系统100的子系统。需要说明的是，子系统通常还需要一定的存储空间，以存储子系统所运行的程序与相关数据等，即子系统还可以包括存储器。一般来说，无需为每个子系统单独设置存储器，各子系统共用存储器140即可，故本文在对子系统的组成进行说明时省略存储器的部分。子系统可以运行蜜罐程序，以作为一个相对独立的蜜罐装置，捕获攻击信息。本示例性实施方式通过对上述多个处理器(111、112、113)、多个外设IP核(121、122、123)、多个IO模块(131、132、133)进行不同组合，可以形成多种子系统，每种子系统可以基于其中的外设IP核，在外核IP核所采用的协议下捕获攻击信息。即蜜罐系统100可以实现在不同协议下捕获攻击信息。

下面对三种子系统进行举例说明：

(1)SoC 110采用混合CPU-FPGA架构，处理器111是SoC 110内置的CPU，采用X86架构，外核IP核121是以太网IP核，采用TCP/IP协议，IO模块131是以太网的PHY电路模块，处理器111、外设IP核121、IO模块131形成子系统1。子系统1可以基于TCP/IP协议与外部进行数据交互，通过在子系统1上运行蜜罐程序，可以在TCP/IP协议下捕获攻击信息，实现蜜罐技术在传统互联网场景中的应用。

(2)处理器112采用C51架构，外设IP核122采用Modbus协议，IO模块132是RS422外围驱动电路模块，处理器112、外设IP核122、IO模块132形成子系统2。子系统2可以基于Modbus协议与外部进行数据交互，通过在子系统2上运行蜜罐程序，可以在Modbus协议下捕获攻击信息，实现蜜罐技术在工业互联网场景中的应用。

(3)处理器113采用ARM架构，外设IP核123采用4G通信协议，IO模块133是LTE外围驱动电路模块，处理器113、外设IP核123、IO模块133形成子系统3。子系统3可以基于4G无线通信协议与外部进行数据交互，通过在子系统3上运行蜜罐程序，可以在4G无线通信协议下捕获攻击信息，实现蜜罐技术在电话、短信等移动通信场景中的应用。

由上可知，本示例性实施方式的蜜罐系统通过SoC的方式集成不同IP核。一方面，能够支持在不同协议下捕获攻击信息，突破了相关技术中蜜罐系统仅支持单一协议的限制，拓宽了应用范围，特别有利于应用在涉及多种工控协议的工业互联网中，并且该蜜罐系统具备良好的剪裁特性，可以针对目标场景进行灵活调整。另一方面，本方案在功能上等效于设置多台蜜罐物理机，相比之下，将多个IP核集成于SoC的方式节约了设备总的PCB(Printed Circuit Board，印刷电路板)面积以及所占的空间，并降低了功耗与维度难度。

本公开的示例性实施方式还提供一种攻击信息捕获方法。图2示出了该方法运行环境的系统架构，可以包括蜜罐系统100与主控设备200。主控设备200可以是用于控制蜜罐系统100的服务器或PC(Personal Computer，个人电脑)。蜜罐系统100与主控设备200之间可以通过有线或无线的链路形成连接，以进行数据交互，例如两者可以基于以太网与TCP/IP协议进行连接。

本示例性实施方式中的攻击信息捕获方法可以应用于上述蜜罐系统100。图3示出了该攻击信息捕获方法的示例性流程，可以包括以下步骤S310与S320：

步骤S310，根据蜜罐配置信息配置蜜罐系统的至少一个处理器、至少一个外设IP核、至少一个IO模块，以形成蜜罐配置信息对应的子系统。

其中，蜜罐配置信息是用于配置蜜罐系统的架构与协议的信息，如可以是蜜罐程序中配置的信息。一般来说，根据蜜罐配置信息中所需的架构与协议，可以将对应的处理器、外设IP核、IO模块配置到工作状态，从而形成特定的子系统。

在一种实施方式中，蜜罐系统可以包括第一处理器、第一外设IP核、第一IO模块。第一处理器可以是SoC上的主处理器，例如负责运行操作系统的处理器。第一外设IP核与第一IO模块相对应，例如第一外设IP核可以是以太网IP核，第一IO模块可以是以太网的PHY电路模块。在上述根据蜜罐配置信息配置蜜罐系统的至少一个处理器、至少一个外设IP核、至少一个IO模块之前，参考图4所示，可以执行以下步骤S410至S430：

步骤S410，当启动蜜罐系统时，利用第一处理器加载引导程序，以将第一外设IP核与第一IO模块配置到工作状态；

步骤S420，通过第一外设IP核与第一IO模块向主控设备进行注册；

步骤S430，向主控设备注册完成后，对第一处理器以外的其他处理器、第一外设IP核以外的其他外设IP核、第一IO模块以外的其他IO模块进行初始化。

其中，启动蜜罐系统是指对系统通电开机，引导程序可以是开机后的初始化程序，包括将第一外设IP核与第一IO模块配置到工作状态。第一外设IP核与第一IO模块是关于以太网的IP核与IO模块，在第一处理器加载引导程序完成后，蜜罐系统可以通过以太网与外部连接，进而向主控设备进行注册。

由上可知，第一处理器、第一外设IP核与第一IO模块可以形成运行蜜罐系统的最小化子系统，包括基本的处理器单元与通信单元。当然，本公开对于第一处理器、第一外设IP核、第一IO模块不做限定，例如，可以由功耗最低的处理器加载引导程序，则第一处理器可以是51内核级别的8位单片机芯片，蜜罐系统与主控设备之间也可以通过RS422端口与Modbus协议进行连接，则第一外设IP核可以是采用Modbus协议的IP核，第一IO模块可以是RS422外围驱动电路模块。

注册主要为认证的过程，例如，蜜罐系统与主控设备建立连接，如可以是长连接，然后将认证信息等发送至主控设备，主控设备对其认证通过后，可以进入后续的蜜罐部署；当然，蜜罐系统也可以对主控设备进行认证，即双方进行双向认证。注册也可以包括信息同步的过程，例如蜜罐系统将系统信息与当前的状态信息等发送至主控设备，以便于主控设备进行相应的控制决策。

在注册完成后，蜜罐系统进一步初始化其他处理器、其他外设IP核、其他IO模块。应当理解，蜜罐系统可以仅对需要的处理器、外设IP核、IO模块进行初始化。

在一种实施方式中，可以由主控设备部署蜜罐配置信息，例如可以由工作人员在主控设备上编辑相关的特征数据，包括系统架构、实现任务、任务计时、是否上传工作负荷信息等，以形成蜜罐配置信息。蜜罐系统在向主控设备注册完成后，可以接收主控设备发送的蜜罐配置信息，即每次蜜罐系统启动后，由主控设备向其发送蜜罐配置信息，以进行系统配置。

在一种实施方式中，蜜罐配置信息可以直接部署在蜜罐系统上，如可以在蜜罐系统的存储器中存储一组或多组预设的蜜罐配置信息，则蜜罐系统在完成上述初始化后，可以从存储器中读取蜜罐配置信息，以进行系统配置。

在一种实施方式中，可以配置采用不同处理器架构的多个处理器，形成异构的子系统，例如将51单片机处理器和STM32(一种嵌入式单片机)处理器配置到一个子系统中，则该子系统包括C51架构与ARM架构，从而增加了子系统的多样性与灵活性。

步骤S320，利用上述子系统在上述外设IP核所采用的协议下捕获攻击信息。

在完成对相关的处理器、外设IP核、IO模块的配置，以形成子系统后，可以执行蜜罐程序的相关指令，在所配置的外设IP核所采用的协议下捕获攻击信息。例如，在图1的蜜罐系统100中，通过配置处理器111、外设IP核121、IO模块131，形成子系统1，在TCP/IP协议下捕获攻击信息；或者通过配置处理器112、外设IP核122、IO模块132，形成子系统2，在Modbus协议下捕获攻击信息；通过配置处理器113、外设IP核123、IO模块133，形成子系统3，在4G无线通信协议下捕获攻击信息。

基于图3所示的方法，能够根据实际需求对蜜罐系统的处理器、外设IP核、IO模块进行配置，以形成相应的子系统，在目标协议下捕获攻击信息，并且，能够对多个处理器、多个外设IP核、多个IO模块进行配置，以同时在多种协议下捕获攻击信息。

在一种实施方式中，攻击信息捕获方法还可以包括以下步骤：

在捕获攻击信息时，向主控设备发送工作负荷信息，使主控设备根据工作负荷信息更新蜜罐配置信息。

其中，工作负荷信息是指蜜罐系统上各组件的负荷情况，包括处理器的使用率，存储器的使用率，IO模块的使用率，总功耗等。主控设备可以根据工作负荷信息对蜜罐系统的配置做出相应调整，以更新蜜罐配置信息。例如，当工作负荷较高时，可以减少一部分处于工作状态的处理器、外设IP核、IO模块，或者使用功耗较低的处理器、外设IP核、IO模块；当工作负荷较低时，可以将一部分未处于工作状态的处理器、外设IP核、IO模块配置到工作状态，或者使用功耗较高的处理器、外设IP核、IO模块。蜜罐系统根据更新后的蜜罐配置信息对各处理器、外设IP核、IO模块的配置进行调整，以改变子系统的架构。由此能够实现攻击信息捕获过程中对系统架构的动态调整，进一步提高蜜罐系统的灵活性。

示例性的，蜜罐系统可以包括STM32 Cortex M3、M4、M7、M33等多种性能不同的内核，其性能逐渐增强，功耗也逐渐升高。主控设备可以在蜜罐系统工作负荷显著变化时，改变所使用的上述内核，得到蜜罐配置信息，蜜罐系统根据该蜜罐配置信息对上述内核进行调整，例如在工作负荷升高时，由使用M7内核改变为使用M4内核。

在一种实施方式中，攻击信息捕获方法还可以包括以下步骤：

在捕获攻击信息后，当将攻击信息与预设规则匹配成功时，将攻击信息发送至主控设备。

其中，预设规则是指根据各种类型的攻击信息的特征所确定的判断规则，如可以是正则表达式等。将攻击信息与预设规则匹配成功时，说明该攻击信息确实属于相关的攻击、渗透行为，将其信息数据发送至主控设备加以存储，后续可以进行分析，以确定相应的主动防御策略。此外，本蜜罐系统可以捕获不同协议的攻击信息，由此可以对这些攻击信息进行关联分析，以得到更加深入的分析结果。

图5示出了攻击信息捕获方法的示意性流程，包括：

步骤S510，蜜罐系统通电启动，第一处理器加载引导程序，启动第一外设IP核、第一IO模块；

步骤S520，蜜罐系统通过第一外设IP核、第一IO模块与主控设备进行数据交互，如可以向主控设备进行注册；

步骤S530，接收主控设备发送的蜜罐配置信息，并载入该蜜罐配置信息；

步骤S540，判断是否需要调整架构，若是，则执行步骤S550，若否，则执行步骤S560；

步骤S550，接收主控设备发送的经过更新的蜜罐配置信息，并继续执行步骤S560；

步骤S560，根据蜜罐配置信息配置处理器、外设IP核、IO模块，形成特定架构的子系统；

步骤S570，通过子系统运行蜜罐程序，捕获相关协议下的攻击信息；

步骤S580，向主控设备发送攻击信息与工作负荷信息，攻击信息用于分析攻击方的攻击行为模式，工作负荷信息用于更新蜜罐配置信息。

本公开的示例性实施方式还提供了一种计算机可读存储介质，可以实现为一种程序产品的形式，其包括程序代码，当程序产品在电子设备上运行时，程序代码用于使电子设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。在一种实施方式中，该程序产品可以实现为便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在电子设备，例如个人电脑上运行。然而，本公开的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

所属技术领域的技术人员能够理解，本公开的各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施方式。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限定。