(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111418897.6 (22)申请日 2021.11.25 (71)申请人 山东科技大 学 地址 271019 山 东省泰安市泰山区岱宗大 街223号 (72)发明人 赵慧奇　刘高源　刘刚　杜春玲　 陈新立　程丽萍　张清菊　马耀文　 (74)专利代理 机构 北京八月瓜知识产权代理有 限公司 1 1543 代理人 窦军雷 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/028(2022.01) H04L 43/0876(2022.01) H04L 43/106(2022.01)G06F 21/55(2013.01) G06F 21/56(2013.01) (54)发明名称 分布式可切换工控 蜜网诱捕方法 (57)摘要 本发明涉及一种工控蜜网诱捕方法， 更具体 的说， 尤其涉及一种基于蜜罐技术和计算机动态 取证技术的分布式可切换工控蜜网诱捕方法， 捕 获入侵者对工业系统的攻击行为， 并通过行为特 征库比对和定制木马技术溯源入侵者的身份。 包 括以下步骤： (1)第三代网络数据采集引擎 (Colasoft  Packet Capture  Engine， 简称 CSPCE)和底层驱动(支持Windows与Linux双平 台)对数据进行采 集； (2)将PCAP 文件中的数据包 以及数据包的时间戳读取出来并导入； (3)使用 存储引擎(Colasoft  Storage， 简称CSStorage) 技术对数据进行储存； (4)特征识别技术以及行 为模式识别技 术对数据进行回溯分析。 权利要求书1页 说明书5页 附图3页 CN 114157467 A 2022.03.08 CN 114157467 A 1.网络分布式可切换工控蜜网诱捕方法， 其特 征在于， 依次包括以下步骤： (1)数据全流 量采集； (2)数据包离线导入； (3)数据存 储； (4)数据分析与输出。 2.根据权利要求1所述的分布式可切换工控蜜网诱捕方法其特征在于： 所述步骤(1)中 第三代网络 数据采集引擎(Colasoft  Packet Capture Engine， 简称CSPCE)和底层驱动(支 持Windows与Linux双平台)对数据进行采集。 3.根据权利要求1或2所述的的分布式可切换工控蜜网诱捕方法， 其特征在于： 所述步 骤(2)中可以将PCAP文件中的数据包以及数据包的时间戳读取出来， 并将数据按照内部统 一标准格式进行封装后利用无锁队列批量发送到上层模块。 4.根据权利要求1或2所述的分布式可切换工控蜜网诱捕方法， 其特征在于： 所述步骤 (3)中， 使用存 储引擎(Co lasoft Storage， 简称CS Storage)技术对数据进行储 存。 5.根据权利要求1或2所述的分布式可切换工控蜜网诱捕方法， 其特征在于： 所述步骤 (4)中， 包括特 征识别技 术以及行为模式识别技 术。 6.根据权利要求1或5， 所述特征识别技术其特征在于， 利用的是基于特征字的识别技 术。 7.据权利要求1或5， 所述模式识别技术其特征在于， 利用对源地址、 目的地址、 源端口、 目地端口、 发送 时间、 接收时间、 发送 时间频率(时间差)等信息进行综合分析， 建立综合的 识别模型， 以作为对异常网络通讯的判断依据。权　利　要　求　书 1/1 页 2 CN 114157467 A 2分布式可切换 工控蜜网诱捕方 法 技术领域 [0001]本发明涉及一种工控蜜网诱捕方法， 更具体的说， 尤其涉及一种  基于蜜罐技术和 计算机动态取证技 术的分布式可切换工控蜜网诱捕  方法。 背景技术 [0002]在复杂的网络安全形势下， 建立完全自主可控的分布式可切换工  控蜜网诱捕系 统将势在必行， 不仅能够 摆脱对海外产品的依赖， 而且  能够建立国内自主知识产权的工控 蜜网诱捕核心技术创新与产品研  发。 同时， 通过对分布式可切换工控蜜网诱捕系统的分 析， 能够对恶  意监听、 入侵、 后门进行反监测， 能够及时发现异常的通讯并可进行  追溯与 取证， 提高我国在网络安全技 术领域的发言权 。 发明内容 [0003]本发明为了克服上述技术问题的短板， 提供了一种分布式可切换工控  蜜网诱捕 方法并可满足诱捕网络攻击行为的需求。 [0004]本发明的可切换工控蜜网诱捕方法， 其特别之处在于， 本方法包  括了以下步骤： (1)数据全流 量采集； (2)数据包离线导入； (3)数据存  储； (4)数据分析与输出； [0005]在步骤(1)中， 利用自主研发的采集引擎支持从百兆到上千兆网  络环境下的流量 线速采集， 能够为系统上层的数据分析提供真实可靠  的数据源。 在采集过程中， 引擎会根 据流量大小自动调整抓包策略，  当出现突发性流量峰值时， 自动提高引擎缓存数量与大 小， 确保峰值  数据不丢失， 采集到的数据进 行协议数据预 处理， 通过配合数据包协  议识别 引擎(Colasoft  Protocol  Recogniz e Engine， 简称CSPRE)  协议识别引擎进行数据包协议 树路径描绘， 并在原有 数据包中附上识  别信息供后续分析引擎的高效利用。 同时采集引擎 支持数据包过滤采  集， 利用TRE协议识别过滤模块或按需实时过滤流量中的P2P， 根据上   层规则配置进行针对性的采集， 包括特定协议(如： HTTP、 DNS、 FTP、  ICMP等)， 特定地址、 网 络层端口及特定包长进行 快速过滤。 [0006]在步骤(2)中， 数据包读包回放通过解析PCAP文件格式， 将PCAP  文件中的数据包 以及数据包的时间戳读取出来， 并将数据进 行封装后  利用为了保证数据的一致性， 利用无 锁队列批量发送到上层模块。 [0007]在步骤(3)中， 使用数据存储引擎充分利用CPU多核化带来 的并 行运算效率的提 升， 采用了多 线程并行IO处 理技术， 减少无谓的IO  读写， 提高IO读写效率。 [0008]在步骤(4)中， 通过接收存储的数据， 并利用步骤(1)的数据 包协 议识别引擎分析 对数据进 行关键特征以及行为特征的提取， 后利用复  合威胁检测引擎， 利用DFI、 DPI、 行为 建模等多种检测技 术， 及时 发现并解决安全威胁， 并将结果 导出为csv格式。 [0009]本发明的可切换工控蜜网诱捕 方法， 所述步骤(1)中采用自主研  发的第三代网络 数据采集引擎(Colasoft  Packet Capture Engine， 简称CSPCE)和底层驱动(支持Window s 与Linux双平台)。 采集引擎支  持从百兆到上千兆网络环 境下的流量线速采集， 能够为系统说　明　书 1/5 页 3 CN 114157467 A 3