专利 一种基于蜜罐的网络攻击响应方法、装置及存储介质

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210929013.1 (22)申请日 2022.08.03 (71)申请人西安热工研究院有限公司地址 710048 陕西省西安市碑林区兴庆路 136号申请人华能集团技术创新中心有限公司 (72)发明人杨东　崔逸群　朱博迪　毕玉冰　刘超飞　吕珍珍　刘迪　刘骁　肖力炀　王文庆　邓楠轶　董夏昕　介银娟　崔鑫　王艺杰　朱召鹏　 (74)专利代理机构西安通大专利代理有限责任公司 6120 0 专利代理师闵岳峰 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称一种基于蜜罐的网络攻击响应方法、装置及存储介质 (57)摘要本发明涉及一种基于蜜罐的网络攻击响应方法、装置及存储介质，属于工控系统领域，所述方法包括：对工控网络中的流量进行检测；响应于检测到的异常流量，确定所述异常流量对应的攻击阶段；执行对应所述攻击阶段的响应策略，将所述异常流量导入目标蜜罐。根据异常流量对应的攻击阶段，采取不同的响应策略，以使得能够更细粒度地针对不同攻击利用不同类型的蜜罐进行响应，有效地延长了攻击时间，延缓了攻击进度，有效地保证了工控网络的网络安全性能。权利要求书2页说明书12页附图4页 CN 115242541 A 2022.10.25 CN 115242541 A 1.一种基于蜜罐的网络攻击响应方法，其特征在于，所述方法包括：对工控网络中的流量进行检测；响应于检测到异常流量，确定所述异常流量对应的攻击阶段；执行对应所述攻击阶段的响应策略，以将所述异常流量导入目标蜜罐。 2.根据权利要求1所述的方法，其特征在于，所述方法包括：获取所述工控网络中各个工控设备存在的漏洞信息；根据所述漏洞信息，建立攻击图；所述确定所述异常流量对应的攻击阶段包括：根据所述攻击图，确定所述异常流量对应的攻击阶段。 3.根据权利要求1所述的方法，其特征在于，所述执行对应所述攻击阶段的响应策略包括：在确定所述异常流量对应的攻击阶段为网络探测阶段的情况下，确定所述异常流量是否对应所述网络探测阶段下的端口扫描子阶段；在确定所述异常流量对应所述网络探测阶段下的端口扫描子阶段的情况下，将所述异常流量导入低交互蜜罐，以使得所述低交互蜜罐随机生成端口信息返回。 4.根据权利要求3所述的方法，其特征在于，所述执行对应所述攻击阶段的响应策略还包括：在确定所述异常流量不对应所述网络探测阶段下的端口扫描子阶段的情况下，确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段；在确定所述异常流量对应所述网络探测阶段下的拓扑扫描子阶段的情况下，生成虚假网络拓扑。 5.根据权利要求1所述的方法，其特征在于，所述执行对应所述攻击阶段的响应策略包括：在确定所述异常流量对应的攻击阶段为漏洞利用阶段的情况下，确定所述异常流量对应的协议类型；根据所述协议类型，将所述异常流量导入对应所述协议类型的中交互蜜罐。 6.根据权利要求1所述的方法，其特征在于，所述执行对应所述攻击阶段的响应策略包括：在确定所述异常流量对应的攻击阶段为网络攻击阶段的情况下，将所述异常流量导入对应高交互蜜罐，以使得所述高交互蜜罐捕获攻击数据。 7.根据权利要求1 ‑6任一项所述的方法，其特征在于，所述将所述异常流量导入目标蜜罐之前，所述方法还包括：确定所述目标蜜罐是否存在；在确定所述目标蜜罐不存在的情况下，确定目标蜜罐为低交互蜜罐、中交互蜜罐或高交互蜜罐；在确定所述目标蜜罐为低交互蜜罐的情况下，创建目标低交互蜜罐并根据所述异常流量配置所述目标低交互蜜罐的端口信息；在确定所述目标蜜罐为中交互蜜罐的情况下，根据所述异常流量对应的协议类型创建目标中交互蜜罐。权　利　要　求　书 1/2 页 2 CN 115242541 A 28.一种基于蜜罐的网络攻击响应装置，其特征在于，所述装置包括：检测模块，用于对工控网络中的流量进行检测；确定模块，用于响应于检测到异常流量，确定所述异常流量对应的攻击阶段；响应模块，用于执行对应所述攻击阶段的响应策略，以将所述异常流量导入目标蜜罐。 9.一种计算机可读介质，其上存储有计算机程序，其特征在于，该程序被处理装置执行时实现权利要求1 ‑7中任一项所述方法的步骤。 10.一种电子设备，其特征在于，包括：存储装置，其上存储有计算机程序；处理装置，用于执行所述存储装置中的所述计算机程序，以实现权利要求1 ‑7中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115242541 A 3

专利 一种基于蜜罐的网络攻击响应方法、装置及存储介质

专利一种基于蜜罐的网络攻击响应方法、装置及存储介质