攻击诱捕方法、装置、设备及计算机可读存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种攻击诱捕方法、装置、设备及计算机可读存储介质。

背景技术：

云平台也称为云计算平台，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力。云计算平台可以划分为3类：以数据存储为主的存储型云平台，以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台，但由于云平台的设备存在海量的重要性程度高的数据，因此云平台设备更容易遭受网络攻击，被攻击的形势严峻，云平台设备的安全现状令人担忧，因而云平台需要重视安全建设。

现有的云平台网络安全解决方案，同传统的企业级网络安全设备类似，在目标保护系统的网关位置，串入网络安全检测和过滤设备，来保障云平台内部设备的安全，主要是针对外部网络的ddos防御，入侵防御(ips)、网络防病毒(av)、网页过滤、攻击防护等，但是这种架构难以发现和阻止从其他渠道或者云平台内部设备发起的网络攻击。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现要素：

本发明的主要目的在于提供一种攻击诱捕方法、装置、设备及计算机可读存储介质，旨在解决现有的云平台网络安全解决方案难以发现从云平台内部设备发起的网络攻击的技术问题。

为实现上述目的，本发明提供一种攻击诱捕方法，所述攻击诱捕方法应用于诱捕网络系统，所述诱捕网络系统通过汇聚交换机接入云平台设备，所述攻击诱捕方法包括以下步骤：

确定所述汇聚交换机中的地址信息；

基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；

当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。

可选地，所述当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者的步骤之后，还包括：

确定所述攻击者在所述云平台设备中的位置，以确定在所述云平台设备中所述攻击者对应的目标设备；

隔离所述目标设备。

可选地，所述当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统的步骤包括：

当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统中的应用仿真系统，以使所述攻击者攻击所述应用仿真系统，所述应用仿真系统收集所述攻击者攻击所述应用仿真系统所产生的攻击数据。

可选地，所述诱捕网络系统的持续威胁分析系统接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生所述攻击数据对应的数据报表，以记录所述攻击者的相关攻击信息。

可选地，所述诱捕网络系统的持续威胁分析系统接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生告警信息，输出所述告警信息。

可选地，所述持续威胁分析系统对所述攻击数据进行分析，若检测到所述攻击数据中存在可疑数据，则将所述可疑数据发送至所述诱捕网络系统的沙箱，以供所述沙箱对所述可疑数据进行分析。

可选地，所述可疑数据包括可疑代码，所述沙箱接收所述持续威胁分析系统发送的可疑代码，并执行所述可疑代码，以确定所述可疑代码的危害程度。

此外，为实现上述目的，本发明还提供一种攻击诱捕装置，所述攻击诱捕装置包括：

确定模块，用于确定所述汇聚交换机中的地址信息；

配置模块，用于基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；

诱捕模块，用于当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。

此外，为实现上述目的，本发明还提供一种攻击诱捕设备，所述攻击诱捕设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的攻击诱捕程序，所述攻击诱捕程序被所述处理器执行时实现如上述的攻击诱捕方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有攻击诱捕程序，所述攻击诱捕程序被处理器执行时实现如上述的攻击诱捕方法的步骤。

本发明通过确定所述汇聚交换机中的地址信息；基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。在本实施例中，将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息，可以充分利用汇聚交换机中的地址信息，使诱捕网络系统更大概率且更快地诱捕到攻击者，从而更有效地保护云平台设备；当攻击者所攻击的主机属于虚构主机时，诱捕网络系统将攻击者定向至诱捕网络系统，以引诱攻击者攻击诱捕网络系统，从而可以使诱捕网络系统捕获到藏匿于云平台设备中的攻击者，从而可以发现来源于云平台内部设备的攻击者或者在云平台内部发起的网络攻击，解决了现有的云平台网络安全解决方案难以发现从云平台内部设备发起的网络攻击的技术问题。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的攻击诱捕设备结构示意图；

图2为本发明攻击诱捕方法第一实施例的流程示意图；

图3为本发明攻击诱捕方法所应用的诱捕网络系统的示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的攻击诱捕设备结构示意图。

本发明实施例终端可以是pc，也可以是智能手机、平板电脑、电子书阅读器、便携计算机等具有显示功能的可移动式终端设备。

如图1所示，该攻击诱捕设备可以包括：处理器1001，例如cpu，网络接口1004，用户接口1003，存储器1005，通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

可选地，攻击诱捕设备还可以包括摄像头、rf(radiofrequency，射频)电路，传感器、音频电路、wifi模块等等。

本领域技术人员可以理解，图1中示出的攻击诱捕设备结构并不构成对攻击诱捕设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及攻击诱捕程序。

在图1所示的攻击诱捕设备中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的攻击诱捕程序。

在本实施例中，攻击诱捕设备包括：存储器1005、处理器1001及存储在所述存储器1005上并可在所述处理器1001上运行的攻击诱捕程序，其中，处理器1001调用存储器1005中存储的攻击诱捕程序时，并执行以下操作：

确定所述汇聚交换机中的地址信息；

基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；

当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

确定所述攻击者在所述云平台设备中的位置，以确定在所述云平台设备中所述攻击者对应的目标设备；

隔离所述目标设备。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统中的应用仿真系统，以使所述攻击者攻击所述应用仿真系统，所述应用仿真系统收集所述攻击者攻击所述应用仿真系统所产生的攻击数据。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

对所述攻击数据进行分析，并产生所述攻击数据对应的数据报表，以记录所述攻击者的相关攻击信息。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

对所述攻击数据进行分析，并产生告警信息，输出所述告警信息。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

对所述攻击数据进行分析，若检测到所述攻击数据中存在可疑数据，则将所述可疑数据发送至所述诱捕网络系统的沙箱，以供所述沙箱对所述可疑数据进行分析。

进一步地，处理器1001可以调用存储器1005中存储的攻击诱捕程序，还执行以下操作：

执行所述可疑代码，以确定所述可疑代码的危害程度。

本发明还提供一种攻击诱捕方法，参照图2，图2为本发明攻击诱捕方法第一实施例的流程示意图。

本发明所提出的攻击诱捕方法应用于诱捕网络系统，诱捕网络系统也可称为诱捕网络主动防护检测系统，用于对来源于云平台内部设备或者其他渠道的攻击者进行主动的检测、诱捕以及防护，诱捕网络系统通过汇聚交换机接入云平台设备，如图3所示的一种诱捕网络系统示意图，该诱捕网络系统包括主动网络诱捕器、持续威胁分析系统、应用仿真系统和沙箱。

主动网络诱捕器是一个以fpga为核心的，fpga外接cpu控制的系统。主动网络诱捕器通过arp欺骗技术在网络的各个子网网段中灵活地释放大量的虚构主机，这些虚构主机都有自己的地址信息，并且被设置开放多种不同的端口以响应多种网络扫描、嗅探的请求，其中，地址信息包括mac地址和ip地址。

当入侵的攻击者访问到虚构主机的地址信息时，网络诱捕器通过地址转换技术将攻击者定向至诱捕网络系统的应用仿真系统，从而可以将攻击者对虚构主机的访问流量重定向到诱捕网络系统中的应用仿真系统，同时产生攻击数据发送给持续威胁分析系统，以供持续威胁分析系统对攻击数据进行分析，其中，攻击者可以是病毒或木马等网络攻击对象，攻击数据包括网络会话日志和镜像数据。

应用仿真系统为安装了真实的操作系统和应用的主机，可以是一台真实的云主机或者完全模拟该云平台其他服务的系统主机或虚拟云主机，为攻击者提供真实的环境，以供攻击者可以顺利对应用仿真系统进行攻击，并且在应用仿真系统中，在攻击者对应用仿真系统进行攻击时，攻击者的全部攻击行为会被应用仿真系统记录下来并单向发送给持续威胁分析系统，以供持续分析系统对攻击者的攻击行为进行分析。其中，应用仿真系统可以是一个或多个pc，也可以是工控机；在云平台，可以为一个或多个虚拟云主机。

持续威胁分析系统用于分析网络诱捕器和应用仿真系统发送的攻击数据，产生数据报表和告警信息，并且将在攻击数据中捕捉到的可疑信息发送至沙箱，以供沙箱对可疑信息进行分析。其中，持续威胁分析系统可以是pc、工控机；在云平台，持续威胁分析系统可以是虚拟云主机。

在沙箱中对可疑信息进行分析，如当可疑信息为可疑代码时执行可疑代码，观察执行可疑代码后的在沙箱中的响应，得到分析结果，可以判定攻击者是否属于危害程度高的攻击者比如木马病毒，以及可以得到攻击者产生的攻击行为的危害程度，并将分析结果发送回持续威胁分析系统，以便产生日志或告警。

在本实施例中，该攻击诱捕方法包括以下步骤：

步骤s10，确定所述汇聚交换机中的地址信息；

一实施例中，诱捕网络系统通过网络接口接入被保护的网络，与真实网络设备进行数据通信，如诱捕网络系统通过网络接口接入汇聚交换机，从而通过汇聚交换机接入被保护的网络。诱捕网络系统通过汇聚交换机接入云平台设备，汇聚交换机包含网络中所有可用的地址信息，该地址信息包括所有网段或者子网段的相关地址信息，包括但不限于mac地址和ip地址等。因此，在汇聚交换机中记录有所有可用的地址信息，包括云平台设备已占用的所有地址信息以及未被占用的地址信息，未被占用的地址信息也即汇聚交换机中所有可用的地址信息中空闲的地址信息。具体地，诱捕网络系统通过诱捕网络系统与汇聚交换机之间建立的数据传输通道，访问汇聚交换机，确定汇聚交换机中所有的地址信息。进一步地，诱捕网络系统包含主动网络诱捕器，诱捕网络系统通过主动网络诱捕器与汇聚交换机之间建立的数据传输通道，访问汇聚交换机，确定汇聚交换机中所有的地址信息。

进一步地，可以通过获取配置在诱捕网络系统中的地址信息，确定汇聚交换机中的地址信息，还可以通过诱捕网络系统自学习汇聚交换机中的地址信息，获取汇聚交换机中的地址信息。

步骤s20，基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；

一实施例中，汇聚交换机中的地址信息包括云平台设备已占用的所有地址信息以及未被占用的空闲的地址信息，诱捕网络系统从汇聚交换机包含所有的地址信息中实时获取空闲的地址信息，将空闲的地址信息作为目标地址信息，并将目标地址信息配置成诱捕网络系统中虚构主机的地址信息，以实时将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息。将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息的目的在于，充分利用汇聚交换机中的地址信息，使诱捕网络系统更大概率地诱捕到攻击者，从而更有效地保护云平台设备。

进一步地，诱捕网络系统通过主动网络诱捕器，从汇聚交换机包含所有的地址信息中实时获取空闲的地址信息，将空闲的地址信息作为目标地址信息，并将目标地址信息配置成诱捕网络系统中虚构主机的地址信息，以实时将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息。主动网络诱捕器通过arp欺骗技术将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息，从而在网络的各个子网网段中灵活地释放大量的虚构主机，这些虚构主机都有自己的地址信息，并且被设置开放多种不同的端口以响应多种网络扫描、嗅探的请求。

步骤s30，当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。

一实施例中，当云平台设备中的攻击者发起对虚构主机进行攻击时，攻击者通过在网络中获取目标地址信息中的任意一个目标地址信息，并对该目标地址信息所指向的虚构主机发起攻击。当攻击者所攻击的主机属于虚构主机时，诱捕网络系统中的网络诱捕器通过地址转换技术将攻击者定向至诱捕网络系统中的应用仿真系统，以引诱攻击者攻击诱捕网络系统中的应用仿真系统，从而可以令诱捕网络系统捕获到藏匿于云平台设备中的攻击者。

进一步地，诱捕网络系统中的网络诱捕器将攻击者定向至诱捕网络系统中的应用仿真系统时，可以将攻击者对虚构主机的访问流量重定向到诱捕网络系统中的应用仿真系统，使诱捕网络系统中的应用仿真系统捕获攻击者的攻击行为，同时产生攻击数据发送给持续威胁分析系统，以供持续威胁分析系统对攻击数据进行分析，其中，攻击者可以是病毒或木马等网络攻击对象，攻击数据包括网络会话日志和镜像数据。

本实施例提出的攻击诱捕方法，通过确定所述汇聚交换机中的地址信息；然后，基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；最后，当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。在本实施例中，将汇聚交换机中空闲的地址信息配置成虚构主机的地址信息，可以充分利用汇聚交换机中的地址信息，使诱捕网络系统更大概率且更快地诱捕到攻击者，从而更有效地保护云平台设备；当攻击者所攻击的主机属于虚构主机时，诱捕网络系统将攻击者定向至诱捕网络系统，以引诱攻击者攻击诱捕网络系统，从而可以使诱捕网络系统捕获到藏匿于云平台设备中的攻击者，从而可以发现来源于云平台内部设备的攻击者或者在云平台内部发起的网络攻击，解决了现有的云平台网络安全解决方案难以发现从云平台内部设备发起的网络攻击的技术问题。

基于第一实施例，提出本发明方法的第二实施例，在本实施例中，步骤s30之后，还包括：

步骤a，确定所述攻击者在所述云平台设备中的位置，以确定在所述云平台设备中所述攻击者对应的目标设备；

步骤b，隔离所述目标设备。

一实施例中，当攻击者所攻击的主机属于虚构主机时，诱捕网络系统将攻击者定向至诱捕网络系统，以引诱攻击者对诱捕网络系统进行攻击。在攻击者对诱捕网络系统进行攻击时，攻击者向诱捕网络系统发送攻击包以基于攻击包对诱捕网络系统进行攻击，诱捕网络系统接收攻击者发送的攻击包，并对攻击包进行分析获取攻击包中的地址信息，得到攻击者的地址信息，从而得到在云平台设备中的位置，确定攻击者隐藏在云平台设备中的目标设备，其中，攻击包中包含攻击者的地址信息。确定攻击者所在的位置后，将攻击者的位置信息发送至云平台设备的管理系统，以通知云平台设备的管理系统基于攻击者的位置信息确定目标设备，并对该目标设备与其他云平台设备进行隔离，如断开目标设备的网络连接，防止隐匿于目标设备的攻击者对其他的设备实施网络攻击。

进一步地，一实施例中，所述当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统的步骤包括：

步骤c，当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统中的应用仿真系统，以使所述攻击者攻击所述应用仿真系统，所述应用仿真系统收集所述攻击者攻击所述应用仿真系统所产生的攻击数据。

一实施例中，当云平台设备中的攻击者发起对虚构主机进行攻击时，攻击者通过在网络中获取目标地址信息中的任意一个目标地址信息，并对该目标地址信息所指向的虚构主机发起攻击。当攻击者所攻击的主机属于虚构主机时，诱捕网络系统中的网络诱捕器通过地址转换技术将攻击者定向至诱捕网络系统中的应用仿真系统，以引诱攻击者攻击诱捕网络系统中的应用仿真系统，从而可以令诱捕网络系统捕获到藏匿于云平台设备中的攻击者。

诱捕网络系统中的网络诱捕器将攻击者定向至诱捕网络系统中的应用仿真系统，使攻击者对应用仿真系统进行攻击。应用仿真系统实时监控自身的内核进程，在攻击者对应用仿真系统进行攻击时，应用仿真系统收集攻击者攻击该应用仿真系统时产生的攻击数据。同时，应用仿真系统将攻击数据发送给持续威胁分析系统，以供持续威胁分析系统对攻击数据进行分析，其中，攻击者可以是病毒或木马等网络攻击对象，攻击数据包括网络会话日志和可疑文件等。

进一步地，一实施例中，所述诱捕网络系统的持续威胁分析系统接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生所述攻击数据对应的数据报表，以记录所述攻击者的相关攻击信息。

一实施例中，应用仿真系统将攻击数据发送给诱捕网络系统中的持续威胁分析系统，持续威胁分析系统接收应用仿真系统发送的攻击数据，并对攻击数据进行分析，得到分析结果，并将分析结果存储于数据报表中，以记录攻击者攻击应用仿真系统的相关攻击信息。其中，相关攻击信息包括但不限于攻击者的位置信息、攻击类型、攻击过程、攻击阶段、攻击目的以及危险程度等，相关攻击信息在本实施例中不做限定。

进一步地，一实施例中，所述诱捕网络系统的持续威胁分析系统接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生告警信息，输出所述告警信息。

一实施例中，应用仿真系统将攻击数据发送给诱捕网络系统中的持续威胁分析系统，持续威胁分析系统接收应用仿真系统发送的攻击数据，并对攻击数据进行分析，得到分析结果，以将分析结果存储于数据报表中，以记录攻击者攻击应用仿真系统的相关攻击信息。同时，持续威胁分析系统产生告警信息，向云平台设备发送告警信息，以通知云平台进行防御或者对各个云平台设备进行检测，如检测各个云平台设备的状态，以确定云平台设备是否被攻陷。

进一步地，一实施例中，所述持续威胁分析系统对所述攻击数据进行分析，若检测到所述攻击数据中存在可疑数据，则将所述可疑数据发送至所述诱捕网络系统的沙箱，以供所述沙箱对所述可疑数据进行分析。

一实施例中，持续威胁分析系统接收应用仿真系统发送的攻击数据，并对攻击数据进行分析，并且将在攻击数据中捕捉到的可疑信息发送至沙箱，以供沙箱对可疑信息进行分析。

进一步地，在主动网络诱捕器向持续威胁分析系统发送攻击数据时，持续威胁分析系统还可以接收来源于主动网络诱捕器的攻击数据，对来源于主动网络诱捕器的攻击数据进行分析，以供持续威胁分析系统将在攻击数据中捕捉到的可疑信息发送至沙箱，以供沙箱对可疑信息进行分析。

因此，持续威胁分析系统可以分析网络诱捕器和应用仿真系统发送的攻击数据，并将在攻击数据中捕捉到的可疑信息发送至沙箱，以供沙箱对可疑信息进行分析。

进一步地，一实施例中，所述可疑数据包括可疑代码，所述沙箱接收所述持续威胁分析系统发送的可疑代码，并执行所述可疑代码，以确定所述可疑代码的危害程度。

一实施例中，在沙箱中对可疑信息进行分析，如当可疑信息为可疑代码时执行可疑代码，观察执行可疑代码后的在沙箱中的响应，得到分析结果，可以判定攻击者是否属于危害程度高的攻击者比如木马病毒，以及可以得到攻击者产生的攻击行为的危害程度，并将分析结果发送回持续威胁分析系统，以便产生日志或告警。

本实施例提出的攻击诱捕方法，通过确定所述攻击者在所述云平台设备中的位置，以确定在所述云平台设备中所述攻击者对应的目标设备；然后，隔离所述目标设备。在本实施例中，当攻击者所攻击的主机属于虚构主机时，诱捕网络系统将攻击者定向至诱捕网络系统，引诱攻击者攻击诱捕网络系统，并得到攻击者的地址信息，从而得到在云平台设备中的位置，使诱捕网络系统捕获到藏匿于云平台设备中的攻击者，并对攻击者所在的目标设备与其他云平台设备进行隔离，从而可以阻止来源于云平台内部设备的攻击者或者在云平台内部发起的网络攻击，解决了现有的云平台网络安全解决方案难以发现和阻止从云平台内部设备发起的网络攻击的技术问题。

此外，本发明实施例还提出一种攻击诱捕装置，所述攻击诱捕装置包括：

确定模块，用于确定所述汇聚交换机中的地址信息；

配置模块，用于基于所述汇聚交换机中的地址信息，确定所述地址信息中空闲的目标地址信息，并将所述目标地址信息配置成虚构主机的地址信息，其中，所述虚构主机属于所述诱捕网络系统；

诱捕模块，用于当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统，诱捕所述攻击者。

确定所述攻击者在所述云平台设备中的位置，以确定在所述云平台设备中所述攻击者对应的目标设备；

隔离所述目标设备。

进一步地，所述诱捕模块还用于：

当所述云平台设备中的攻击者基于所述目标地址信息攻击所述虚构主机时，将所述攻击者产生的攻击行为定向至所述诱捕网络系统中的应用仿真系统，以使所述攻击者攻击所述应用仿真系统，所述应用仿真系统收集所述攻击者攻击所述应用仿真系统所产生的攻击数据。

进一步地，所述诱捕模块还用于：

接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生所述攻击数据对应的数据报表，以记录所述攻击者的相关攻击信息。

进一步地，所述诱捕模块还用于：

接收所述应用仿真系统发送的攻击数据，对所述攻击数据进行分析，并产生告警信息，输出所述告警信息。

进一步地，所述诱捕模块还用于：

对所述攻击数据进行分析，若检测到所述攻击数据中存在可疑数据，则将所述可疑数据发送至所述诱捕网络系统的沙箱，以供所述沙箱对所述可疑数据进行分析。

进一步地，所述诱捕模块还用于：

接收所述持续威胁分析系统发送的可疑代码，并执行所述可疑代码，以确定所述可疑代码的危害程度。

此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有攻击诱捕程序，所述攻击诱捕程序被处理器执行时实现如上述中任一项所述的攻击诱捕方法的步骤。

本发明计算机可读存储介质具体实施例与上述攻击诱捕方法的各实施例基本相同，在此不再详细赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。