[发明专利]攻击信息处理方法、装置和物联网蜜罐系统

权利要求书

1.一种攻击信息处理方法，包括：

接收接入服务器基于隔离原则调度的攻击流量，使攻击发起者所在网络与蜜罐终端网络隔离；

获取所述攻击流量中含有的恶意代码；获取模拟物联网终端的特征信息的模拟程序和所述模拟程序的服务配置信息；所述物联网终端的特征信息利用爬虫工具采集得到；所述服务配置信息是触发特征信息的模拟程序的关键信息；所述关键信息是何时触发特征信息模拟程序；

在所述恶意代码的执行逻辑与所述服务配置信息相关时，执行所述特征信息的模拟程序；

在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；获取执行所述恶意代码产生的行为数据，得到监控信息。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述监控信息上报至管理服务器。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取管理服务器部署的物联网设备的固件配置信息；

根据所述固件配置信息下载固件，创建蜜罐。

4.根据权利要求3所述的方法，其特征在于，所述根据所述固件配置信息下载固件，创建蜜罐，包括：

根据固件配置信息，从所述管理服务器下载对应的固件；

从所述管理服务器中添加补丁和监控工具，创建蜜罐。

5.根据权利要求1所述的方法，其特征在于，所述获取执行所述恶意代码产生的行为数据，得到监控信息，包括：

使用Linux系统的审计工具，提取执行所述恶意代码所产生的审计记录；和/或

使用环形缓冲区显示命令，获取Linux内核的环形缓冲区信息；和/或

使用容器监控工具，监控服务器系统调用和命令，和/或

使用网络监控工具记录网络流量数据。

6.一种攻击信息处理装置，包括：

攻击流量接收模块，用于接收接入服务器基于隔离原则调度的攻击流量，使攻击发起者所在网络与蜜罐终端网络隔离；

代码获取模块，用于获取所述攻击流量中含有的恶意代码；

模拟信息获取模块，用于获取模拟物联网终端的特征信息的模拟程序和所述模拟程序的服务配置信息；所述物联网终端的特征信息利用爬虫工具采集得到；所述服务配置信息是触发特征信息的模拟程序的关键信息；所述关键信息是何时触发特征信息模拟程序；

执行模块，用于在所述恶意代码的执行逻辑与所述服务配置信息相关时，执行所述特征信息的模拟程序；以及在基于面向物联网设备的Linux系统创建的蜜罐监控环境中，执行所述恶意代码；

监控获取模块，用于获取执行所述恶意代码产生的行为数据，得到监控信息。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

上报模块，用于将所述监控信息上报至管理服务器。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

固件信息获取模块，用于获取管理服务器部署的物联网设备的固件配置信息；

创建模块，用于根据所述固件配置信息下载固件，创建蜜罐。

9.根据权利要求8所述的装置，其特征在于，所述创建模块，用于根据固件配置信息，从所述管理服务器下载对应的固件；从所述管理服务器中添加补丁和监控工具，创建蜜罐。

10.根据权利要求6所述的装置，其特征在于，所述监控获取模块，用于使用Linux系统的审计工具，提取执行所述恶意代码所产生的审计记录；和/或使用环形缓冲区显示命令，获取Linux内核的环形缓冲区信息；和/或使用容器监控工具，监控服务器系统调用和命令，和/或使用网络监控工具记录网络流量数据。

11.一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行如权利要求1至5中任一项所述方法的步骤。