(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114157450A(43)申请公布日2022.03.08(21)申请号202111297456.5(22)申请日2021.11.04(71)申请人南方电网深圳数字电网研究院有限公司地址518053广东省深圳市南山区沙河街道高发社区侨香路智慧广场D栋501、502、601、602(72)发明人吴冬冬温国林隋沐衡(74)专利代理机构广州三环专利商标代理有限公司44202代理人肖宇扬(51)Int.Cl.H04L9/40(2022.01)G16Y30/10(2020.01)权利要求书2页说明书13页附图5页(54)发明名称基于物联网蜜罐的网络攻击诱导方法及装置(57)摘要本发明公开了一种基于物联网蜜罐的网络攻击诱导方法及装置，该方法包括：构建物联网蜜罐的虚拟环境，检测针对虚拟环境的攻击行为，根据攻击行为，确定攻击信息，攻击信息包括攻击行为对应的目标攻击类型，分析目标攻击类型，确定模拟反应信息，将模拟反应信息发送至出发攻击行为的攻击者终端。可见，实施本发明能够确定攻击信息并分析攻击目标攻击类型，有利于提高捕获网络攻击的准确性及有效性，并且能够将确定出的模拟反映信息反馈至攻击者终端，有利于增强物联网设备对于网络攻击的安全防护能力。CN114157450ACN114157450A权利要求书1/2页1.基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述方法包括：构建物联网蜜罐的虚拟环境；检测针对所述虚拟环境的攻击行为；根据所述攻击行为，确定攻击信息，所述攻击信息包括所述攻击行为对应的目标攻击类型；分析所述目标攻击类型，确定模拟反映信息；将所述模拟反映信息发送至触发所述攻击行为的攻击者终端。2.根据权利要求1所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述方法还包括：提取所述攻击信息中的恶意代码，根据所述恶意代码，预测所述攻击行为的攻击趋势；制定与所述攻击趋势对应的防护方案，所述防护方案用于当检测出与所述攻击趋势匹配的攻击行为时，将所述防护方案发送至所述攻击者终端。3.根据权利要求2所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述方法还包括：分析所述攻击信息，得到攻击分析结果；根据所述攻击分析结果，判断所述攻击行为能否入侵与所述虚拟环境对应的真实环境；当判断出所述攻击行为能够入侵与所述虚拟环境对应的真实环境时，修复所述攻击行为所能够入侵的漏洞；或者向与所述虚拟环境对应的终端发送第一提醒信息，所述第一提醒信息用于提醒所述虚拟环境对应的终端的工作人员对所述攻击行为所能够入侵的漏洞进行修复。4.根据权利要求3所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述目标攻击类型的数量大于等于1，所述分析所述目标攻击类型，确定模拟反映信息，包括：检测所有所述目标攻击类型的入侵程度，判断所有所述目标攻击类型中是否存在小于预设入侵程度阈值的目标攻击类型；当判断出所有所述目标攻击类型中存在小于所述预设入侵程度阈值的目标攻击类型时，删除所有小于预设入侵程度阈值的目标攻击类型；确定余下的每一所述目标攻击类型对应的模拟反映信息。5.根据权利要求3所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，在所述分析所述目标攻击类型，确定模拟反映信息之前，所述方法还包括：判断所述攻击信息中是否存在预设关键信息；当判断出所述攻击信息中存在所述预设关键信息时，从所述攻击信息中删除所述预设关键信息；当判断出所述攻击信息中不存在所述预设关键信息时，触发执行所述的分析所述目标攻击类型，确定模拟反映信息的操作。6.根据权利要求3所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述根据所述攻击行为，确定攻击信息，所述攻击信息包括所述攻击行为对应的目标攻击类型，包括：根据所述攻击行为，确定所有能够响应所述攻击行为的目标部件，对所有所述目标部2CN114157450A权利要求书2/2页件进行分析，确定攻击信息，其中，所述攻击信息包括所述攻击行为对应的目标攻击类型以及终端信息。7.根据权利要求6所述的基于物联网蜜罐的网络攻击诱导方法，其特征在于，所述终端信息包括所有所述目标部件对应的信息和/或触发所述攻击行为的攻击者终端对应的信息；所有所述目标部件对应的信息包括所有所述目标部件的ip信息、所有所述目标部件的端口信息、所有所述目标部件的种子请求信息、所有所述目标部件的流量信息中的一种或多种；所述触发所述攻击行为的攻击者终端对应的信息包括所述攻击者终端的来源信息、所述攻击者终端的地理位置信息、所述攻击者终端的攻击工具信息、所述攻击者终端的攻击次序信息中的一种或多种，其中，所述攻击者终端的来源信息包括所述攻击者终端的ip地址信息、所述攻击者终端的mac地址信息中的一种或多种。8.基于物联网蜜罐的网络攻