阅读说明：本技术 一种基于虚实结合的搭建工控蜜网的技术 (Technology for building industrial control honey net based on virtuality and reality combination ) 是由 傅涛 胡燕 郑轶 王力 王路路 郑建平 于 2019-10-14 设计创作，主要内容包括：本发明提供了一种基于虚实结合的搭建工控蜜网的技术,由虚拟蜜罐以及真实设备蜜罐结合部署,当收到网络访问请求报文后,利用网络转发原理将报文转发给虚拟机或者真实设备,并记录相应的访问报文内容,极大的减少了蜜罐被识别概率以及蜜罐部署成本,提高了获取攻击行为能力,加强网络真实设备的安全性。(The invention provides a technology for building an industrial control honey net based on virtual-real combination, which is deployed by combining a virtual honey pot and a real device honey pot, after a network access request message is received, the message is forwarded to a virtual machine or a real device by using a network forwarding principle, and the content of the corresponding access message is recorded, so that the recognition probability of the honey pot and the deployment cost of the honey pot are greatly reduced, the capability of acquiring attack behaviors is improved, and the safety of the real device of the network is enhanced.)

一种基于虚实结合的搭建工控蜜网的技术

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于虚实结合的搭建工控蜜网的技术。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

传统蜜罐是在一台设备上部署一个协议服务端，模拟真实设备所具有的应用功能，应答攻击的所发起的求情，并以日志方式记录攻击者的攻击行为。现在有很多识别蜜罐的方式和手段，导致蜜罐非常容易被人识别，从而不能达到原本引诱攻击者发起攻击并获取攻击者攻击方式的目的，且一台设备只能部署一个协议服务端，导致维护成本较高。

发明内容

本发明的目的在于，针对现有技术的不足，提供一种基于虚实结合的搭建工控蜜网的技术，由虚拟机以及真实设备组成，其特征在于虚拟蜜罐以及实设备蜜罐结合部署，当收到网络访问请求报文后，利用网络转发原理将报文转发给虚拟机或者真实设备，并记录相应的访问报文内容，主要包括Docker环境搭建、报文转发、行为记录。

所述Docker环境搭建，其特征在于，使用虚拟技术在一台设备上部署多个Docker容器，一个容器对应一个协议服务器，在真实设备上配置多个IP，将不同IP和端口映射到不通的容器里，这样实现多个协议服务器部署在一个物理设备上，且不易被识别为蜜罐。

所述报文转发，其特征在于，从网络中获取到报文后，如果网络访问的为Docker容器IP，则把报文转发给对应容器处理，容器将报文内容进行解析，然后保存访问路径，容器再根据请求内容应答攻击者； 如果网络访问的为其他IP，则将报文发送给suricata进行深度解析，然后保存访问路径，再将报文转发给真实设备，由真实设备应答攻击者，保障攻击者不能识别到这是一个蜜罐设备。

所述行为记录，其特征在于，所有对蜜罐系统的访问，都认为是一个攻击，所以会对访问系统的所有报文进行解析，然后对报文进行保存，以便分析。

附图说明

图1为一种基于虚实结合的搭建工控蜜网的技术的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及示例性实施例，对本发明进行进一步详细说明。应当理解，此处所描述的示例性实施例仅用以解释本发明，并不用于限定本发明的适用范围。

步骤1、设备网口上配置多个公网IP地址，这些IP地址映射到不同的Docker容器里面（每个Docker容器为一个协议服务器）；或将IP映射到真实的物理设备上。

步骤2、系统从这些IP地址中获取访问报文，然后由Docker程序转发到容器中处理或者转发到真正的物理设备上。

步骤3、容器获取到报文，然后对报文进行解析，如果容器为一个协议服务则做出对应的回应；如果报文不是访问容器IP，则将报文转发给真正的设备，由设备做出应答，然后保存整个访问行为，将请求以及应答报文保存，以便用于后期分析，分析攻击者的攻击路径，然后在做出对应的安全措施。