CN112054996B - 一种蜜罐***的攻击数据获取方法、装置 - Google Patents
一种蜜罐***的攻击数据获取方法、装置 Download PDFInfo
- Publication number
- CN112054996B CN112054996B CN202010778124.8A CN202010778124A CN112054996B CN 112054996 B CN112054996 B CN 112054996B CN 202010778124 A CN202010778124 A CN 202010778124A CN 112054996 B CN112054996 B CN 112054996B
- Authority
- CN
- China
- Prior art keywords
- industrial control
- control equipment
- honeypot system
- upper computer
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000004891 communication Methods 0.000 claims abstract description 133
- 238000012544 monitoring process Methods 0.000 claims abstract description 43
- 230000006399 behavior Effects 0.000 claims description 45
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012806 monitoring device Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 8
- 238000004088 simulation Methods 0.000 abstract description 4
- 230000003993 interaction Effects 0.000 description 10
- 230000007123 defense Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000009776 industrial production Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008450 motivation Effects 0.000 description 2
- 102100039207 Exportin-T Human genes 0.000 description 1
- 101000745703 Homo sapiens Exportin-T Proteins 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000007788 liquid Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013486 operation strategy Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种蜜罐***的攻击数据获取方法、装置。所述方法包括:运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。采用本方法能够提高蜜罐***的仿真程度,避免被攻击者识破。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种蜜罐***的攻击数据获取方法、装置。
背景技术
工业控制***由DCS/PLC等控制设备、温度/压力等传感器以及上位主机构成,对工业生产过程进行监视控制,是工业生产的核心中枢。随着工业互联网的发展,工业控制***的封闭性被逐渐打破,由于工业控制***中存在大量未被修复的漏洞,工业控制***存在极大的风险隐患,若遭受网络攻击,将会导致难以预估的严重后果。现有的工业控制***防护手段主要包括部署防火墙、入侵检测等安全防护设备,从攻防角度来看属于被动防御技术,难以实现主动防御攻击的目标。蜜罐***是近年来逐渐兴起的一种主动防御技术,通过布置作为诱饵的设备,对攻击方进行欺骗,诱使攻击方对其实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法来推测攻击意图和动机,能够让防御方清晰地了解所面对的安全威胁。
蜜罐***根据交互深度可分为低交互蜜罐***和高交互蜜罐***。低交互蜜罐***通过代码对设备服务进行模拟,仅能模拟有限的服务,只能与攻击者进行极为有限的交互,很容易被攻击者识别;高交互蜜罐***能够对设备行为进行模拟,引诱攻击者展开更深入的交互。
然而,现有的蜜罐***,只能对工控设备部分常见功能进行模拟,且运行机制较为固定,在有经验的攻击者面前依旧容易暴露。
发明内容
基于此,有必要针对上述技术问题,提供一种能够蜜罐***仿真程度的蜜罐***的攻击数据获取方法、装置。
一种蜜罐***的攻击数据获取方法,所述方法包括:
运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
在其中一个实施例中,所述蜜罐***的攻击数据获取方法,还包括:所述上位机向所述真实工控设备发送所述控制指令;所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。。
在其中一个实施例中,所述一种蜜罐***的攻击数据获取方法还包括;所述上位机向所述虚拟工控设备发送所述控制指令;所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至上位机。
在其中一个实施例中,所述流量监听设备监听所述蜜罐***的内部通讯流量,分析并记录所述通讯流量信息中的攻击行为数据,包括:所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。
在其中一个实施例中,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后,包括:在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时,将所述通讯流量信息中的IP地址添加至所述攻击者列表,并将所述通讯流量信息记录为攻击行为数据。
在其中一个实施例中,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对之前,包括:断开所述蜜罐***的外部网络连接,并运行蜜罐***中真实工控设备、虚拟工控设备和上位机;所述流量监听设备监听预设时间内的所述蜜罐***的内部通讯流量信息;所述流量监听设备根据所述内部通讯流量信息去除重复流量,生成白名单规则。
一种蜜罐***的攻击数据获取装置,所述装置包括:
运行模块,用于运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
监听模块,用于流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
在其中一个实施例中,所述蜜罐***的攻击数据获取装置,还包括:控制指令发送模块,用于所述上位机向所述真实工控设备发送所述控制指令;状态数据生成模块,用于所述真实工控设备根据所述控制指令运行,并生成所述真实工控设备的状态数据。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
运行蜜罐***中对真实工控设备进行模拟的虚拟工控设备和上位机;其中,所述上位机用于向所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
运行蜜罐***中对真实工控设备进行模拟的虚拟工控设备和上位机;其中,所述上位机用于向所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
上述蜜罐***的攻击数据获取方法、装置、计算机设备和存储介质,通过在蜜罐***中设置真实工控设备、虚拟工控设备和上位机,与上位机产生数据交互,通过这种虚实结合的蜜罐***,给攻击者造成以假乱真的效果,引诱攻击者与蜜罐***展开更为深入的交互行为,进而获取攻击方更为全面的特征信息,以提升对攻击方的识别能力,达到有效的主动防御效果。
附图说明
图1为一个实施例中蜜罐***的攻击数据获取方法的应用环境图;
图2为一个实施例中蜜罐***的攻击数据获取方法的流程示意图;
图3为一个实施例中分析并记录所述通讯流量信息中的攻击行为数据步骤的流程示意图;
图4为一个实施例中蜜罐***的攻击数据获取装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的一种蜜罐***的攻击数据获取方法,可以应用于如图1所示的应用环境中。其中,上位机101、真实工控设备107、蜜罐主机102和流量监听设备104通过交换机105与外部网络106连接,所述流量监听设备104内部设置白名单规则库、攻击行为数据库,并存储了攻击者列表,蜜罐主机102内部运行多个虚拟工控设备103。运行蜜罐***中真实工控设备107、虚拟工控设备103和上位机101;其中,所述上位机101用于向所述真实工控设备107和所述虚拟工控设备103发送控制指令和读取状态数据;流量监听设备104监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。其中,上位机101可以但不限于是各种个人计算机、笔记本电脑等,蜜罐主机102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
上述实施例中,蜜罐***中的蜜罐主机基于Docker技术,为运行虚拟工控设备软件分配***资源和操作***环境,选择Conpot程序作为虚拟工控设备,对PLC进行仿真,Conpot程序为一款部署在服务器端的工控蜜罐,能够快速地部署、修改和拓展,当然Conpot程序也可替换为Snap7、CryPLH、XPOT程序。蜜罐主机及其虚拟工控设备数量可根据模拟的真实工控设备的复杂程度进行调整,且数量至少各有一个。蜜罐***中的上位机运行真实工控设备所需的监控软件和组态软件,实时读取真实工控设备运行参数,模拟工业控制***中操作员站/工程师站与控制设备之间的交互行为。
在一个实施例中,如图2所示,提供了一种蜜罐***的攻击数据获取方法,包括以下步骤:
S110,运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据。
其中,蜜罐***是安装在蜜罐主机的***,用于诱捕攻击方对其实施攻击,蜜罐***包括真实工控设备、虚拟工控设备和上位机。所述真实工控设备可提高蜜罐***对真实工控环境模拟的真实性。多台虚拟工控设备可布置在不同的蜜罐主机,用于模拟各个虚拟工控设备之间以及虚拟工控设备之间的数据交互。
其中,控制指令与用于调整真实工控设备的运行和调整真实工控设备的控制参数的控制指令相同,状态数据可从真实工控设备获取或者通过蜜罐***运行的机制产生,例如,状态数据是温度曲线数据,蜜罐***可以模拟温度曲线数据的生成。
其中,真实工控设备可根据模拟的工业控制***,选择不同品牌型号的DCS、PLC、RTU,例如选择西门子的S7-300 PLC作为真实工控设备。真实工控设备的数量可根据模拟的工业控制***的复杂程度进行调整,但数量至少有一个。
S120,流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
其中,流量监听设备连接在交换机镜像口,因此流量监听设备对外部攻击者而言是不可见的,通过在交换机上配置端口镜像功能,能够对蜜罐***内部通讯流量进行监听,识别并记录攻击者与蜜罐***的交互行为;交换机与互联网进行连接,使得攻击者能够通过互联网对蜜罐***进行访问。
其中,流量监听设备设置于所述蜜罐主机,可通过在上位机或蜜罐主机上运行例如WireShark的抓包软件获取通讯流量信息,可以获取到蜜罐***内部流量。可选的,流量监听设备单独与交换机的一个端口连接(连接到交换机的镜像口),仅被动获取通讯流量信息,不对外发送信息,对于攻击者而言是难以察觉且无法访问的。
具体的,流量监听设备在获取通讯流量信息后,通过对流量数据的数量进行分析,比如一个小时内获取的流量数据包的数量是否符合正常的数值范围,如果不在正常范围内,说明存在攻击行为数据;或者通过对通讯流量信息的IP地址进行判断是否属于攻击者列表中的IP地址,通讯流量信息的IP地址如果属于攻击者列表中的IP地址,说明存在攻击行为数据;或者通过对通讯流量信息是否符合正常的通讯流量的白名单规则,如果不符合,说明存在攻击行为数据。
上述蜜罐***的攻击数据获取方法中,通过在蜜罐***中设置真实工控设备、虚拟工控设备和上位机,,与上位机产生数据交互,通过这种虚实结合的蜜罐***,给攻击者造成以假乱真的效果,引诱攻击者与蜜罐***展开更为深入的交互行为,进而获取攻击方更为全面的特征信息,以提升对攻击方的识别能力,达到有效的主动防御效果。
在其中一个实施例中,所述蜜罐***的攻击数据获取方法,还包括:所述上位机向所述真实工控设备发送所述控制指令;所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。其中,在工业控制***中,上位机(即操作员站/工程师站)和真实工控设备之间通过数据通信进行交互,交互的过程包括:设备控制,上位机向真实工控设备发送控制指令,用于调整***运行和调整控制参数,对真实工控设备进行开关机操作,对真实工控设备的控制策略进行编程,对真实工控设备的***配置进行修改;状态获取,上位机读取真实工控设备的设备信息以及寄存器内的数值。
其中,上位机对虚拟工控设备进行配置,设置真实工控设备运行策略,例如,对水箱液位场景进行模拟,上位机定期会从真实工控设备的PLC获取数据并存入数据库,产生网络通讯行为,可对攻击者造成迷惑,在蜜罐主机上创建Docker,运行Conpot镜像,对蜜罐主机的44818、80、502等端口进行监听,可根据实际使用需要,对虚拟工控设备进行更为全面的配置。蜜罐***中的上位机可与工业控制***中的上位机进行共用,或者蜜罐***中的上位机为工业控制***中的上位机的模拟。
在其中一个实施例中,在运行蜜罐***中真实工控设备、虚拟工控设备和上位机之后,包括:所述上位机实时读取所述真实工控设备的运行参数,并发送至所述虚拟工控设备;其中,所述运行参数在所述蜜罐***中,用于模拟所述上位机与所述真实工控设备之间的数据通信行为。
其中,虚拟工控设备在获取真实工控设备的运行参数后,能够在接收到上位机的控制指令后,向上位机发送状态数据。本实施例中,虚拟工控设备通过真实工控设备的运行数据模拟所述上位机与所述真实工控设备之间的数据通信行为,增加了蜜罐***的仿真程度。
在其中一个实施例中,一种蜜罐***的攻击数据获取方法还包括;所述上位机向所述虚拟工控设备发送所述控制指令;所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。其中,所述虚拟工控设备中预设了数据生成规则,例如,所述状态数据是温度曲线数据,虚拟工控设备根据预设的数据生成规则可以模拟温度曲线数据的生成。
在其中一个实施例中,所述流量监听设备监听所述蜜罐***的内部通讯流量,分析并记录所述通讯流量信息中的攻击行为数据,包括:所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。其中,通讯流量信息包括上位机与所述虚拟工控设备、外部网络与所述上位机和外部网络与所述虚拟工控设备的通信数据。预先收集的攻击者列表中存储了历史收集的攻击者的IP地址。所述IP地址与所述预先收集的攻击者列表的IP地址对比成功,即所述IP地址在所述攻击者列表的IP地址中已经存在。本实施例中,通过攻击者列表中的IP地址来与通讯流量信息中的IP地址进行比对,保证了攻击者行为的判断效率。
在其中一个实施例中,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后,包括:在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时,将所述通讯流量信息中的IP地址添加至所述攻击者列表,并将所述通讯流量信息记录为攻击行为数据。
其中,白名单规则根据正常的通信数据来进行判断,正常的通信数据为未发生外部攻击行为的内部通信数据,不同的通信数据包括不同的源IP地址、目的IP地址、源端口、目的端口和协议类型,例如,白名单规则包括正常的通信数据A和通信数据B,通信数据A中源IP地址为M1、目的IP地址M3、源端口V1、目的端口V2和协议类型H1,通信数据B中IP地址为M2、目的IP地址M3、源端口V1、目的端口V2和协议类型H2,采集到通讯流量信息中通信数据C中IP地址为M2、目的IP地址M3、源端口V1、目的端口V2和协议类型H2,通信数据C与通信数据B相同,符合白名单规则;如果采集到通讯流量信息中通信数据D中IP地址为M4、目的IP地址M3、源端口V1、目的端口V2和协议类型H3,通信数据D与通信数据A和通信数据B均不相同,则通信数据D不符合白名单规则。
本实施例中,通过将通讯流量信息与白名单规则比对,能够避免正常的蜜罐***内部的通信被误判为攻击行为数据,保证了蜜罐***对攻击行为判断的准确性,并且在通讯流量信息不符合白名单规则时,将通讯流量信息中的IP地址添加至所述攻击者列表,能够不断丰富攻击者列表。
在其中一个实施例中,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对之前,包括:断开所述蜜罐***的外部网络连接,并运行蜜罐***中真实工控设备、虚拟工控设备和上位机;所述流量监听设备监听预设时间内的所述蜜罐***的内部通讯流量信息;所述流量监听设备根据所述内部通讯流量信息去除重复流量,生成白名单规则。
具体的,蜜罐***断开与外部网络连接后,运行指定时间T,记录内部通讯流量信息,根据<源IP地址、目的IP地址、源端口、目的端口、协议类型>去除重复流量,生成白名单规则,保存至白名单规则库中。
本实施例中,通过对内部通讯流量信息去除重复的流量,生成白名单规则,能够减少白名单规则库中的数据量,为后续白名单规则比对提高了效率。
在一个实施例中,如图3所示,所述步骤120包括:S121,流量监听设备监听所述蜜罐***的通讯流量信息;S122,判断所述通讯流量信息中的IP地址是否存在于预先收集的攻击者列表的IP地址中,如果存在进入步骤S123,如果不存在进入步骤S124;S123,将所述通讯流量信息记录为攻击者行为数据;S124,判断所述通讯流量信息是否符合白名单规则,如果符合进入步骤S121,如果不符合进入步骤S123。
上述实施例中,工业控制***由DCS、PLC等控制设备和温度、压力等传感器以及上位主机构成,对工业生产过程进行监视控制。蜜罐***通过布置作为诱饵的设备,对攻击方进行欺骗,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁。Docker是一款开源的应用容器引擎,开发者可以打包自己的应用到容器里面,然后迁移到其他机器的Docker应用中,可以实现快速部署。
应该理解的是,虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-3中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图4所示,提供了一种蜜罐***的攻击数据获取装置,包括:运行模块210和监听模块220,其中:
运行模块210,用于运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据。
监听模块220,用于流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
在其中一个实施例中,所述蜜罐***的攻击数据获取装置,还包括:控制指令发送模块,用于所述上位机向所述真实工控设备发送所述控制指令;控制结果获取模块,用于所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。
在其中一个实施例中,所述蜜罐***的攻击数据获取装置,还包括:控制指令发送模块,用于所述上位机向所述虚拟工控设备发送所述控制指令;状态数据生成模块,用于所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。
在其中一个实施例中,所述监听模块220包括:IP地址比对单元,用于所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;攻击行为数据记录单元,用于在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。
在其中一个实施例中,所述监听模块220还包括:规则比对单元,用于在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;所述攻击行为数据记录单元,还用于在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时,将所述通讯流量信息中的IP地址添加至所述攻击者列表,并将所述通讯流量信息记录为攻击行为数据。
在其中一个实施例中,所述监听模块220还包括:运行单元,用于断开所述蜜罐***的外部网络连接,并运行蜜罐***中真实工控设备、虚拟工控设备和上位机;监听单元,用于所述流量监听设备监听预设时间内的所述蜜罐***的内部通讯流量信息;白名单规则生成单元,用于所述流量监听设备根据所述内部通讯流量信息去除重复流量,生成白名单规则。
关于蜜罐***的攻击数据获取装置的具体限定可以参见上文中对于蜜罐***的攻击数据获取方法的限定,在此不再赘述。上述蜜罐***的攻击数据获取装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于攻击者列表和白名单规则数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种蜜罐***的攻击数据获取方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述上位机向所述真实工控设备发送所述控制指令;所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:所述上位机向所述虚拟工控设备发送所述控制指令;所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:所述上位机向所述真实工控设备发送所述控制指令;所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:所述上位机向所述虚拟工控设备发送所述控制指令;所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种蜜罐***的攻击数据获取方法,其特征在于,所述方法包括:
运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
连接在交换机镜像口的流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据;
在运行蜜罐***中真实工控设备、虚拟工控设备和上位机之后,包括:所述上位机实时读取所述真实工控设备的运行参数,并发送至所述虚拟工控设备;其中,所述运行参数在所述蜜罐***中,用于模拟所述上位机与所述真实工控设备之间的数据通信行为;虚拟工控设备在获取真实工控设备的运行参数后,能够在接收到上位机的控制指令后,向上位机发送状态数据。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述上位机向所述真实工控设备发送所述控制指令;
所述真实工控设备根据所述控制指令运行,生成所述真实工控设备的状态数据,并将所述状态数据发送至所述上位机。
3.根据权利要求1所述的方法,其特征在于,还包括;
所述上位机向所述虚拟工控设备发送所述控制指令;
所述虚拟工控设备根据所述控制指令,通过预设的数据生成规则生成所述虚拟工控设备的状态数据,并将所述状态数据发送至所述上位机。
4.根据权利要求1所述的方法,其特征在于,所述流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据,包括:
所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对;
在所述IP地址与所述预先收集的攻击者列表的IP地址对比成功时,将所述通讯流量信息记录为攻击行为数据。
5.根据权利要求4所述的方法,其特征在于,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表的IP地址进行比对之后,包括:
在所述IP地址与所述预先收集的攻击者列表的IP地址对比失败时,将所述通讯流量信息与符合正常通信的白名单规则进行比对;
在所述通讯流量信息与所述符合正常通信的白名单规则比对失败时,将所述通讯流量信息中的IP地址添加至所述攻击者列表,并将所述通讯流量信息记录为攻击行为数据。
6.根据权利要求4所述的方法,其特征在于,在所述流量监听设备监听所述蜜罐***的通讯流量信息,并将所述通讯流量信息中的IP地址与预先收集的攻击者列表中的IP地址进行比对之前,包括:
断开所述蜜罐***的外部网络连接,并运行蜜罐***中真实工控设备、虚拟工控设备和上位机;
所述流量监听设备监听预设时间内的所述蜜罐***的内部通讯流量信息;
所述流量监听设备根据所述内部通讯流量信息去除重复流量,生成白名单规则。
7.一种蜜罐***的攻击数据获取装置,其特征在于,所述装置包括:
运行模块,用于运行蜜罐***中真实工控设备、虚拟工控设备和上位机;其中,所述上位机用于向所述真实工控设备和所述虚拟工控设备发送控制指令和读取状态数据;
监听模块,与交换机镜像口连接,用于流量监听设备监听所述蜜罐***的通讯流量信息,分析并记录所述通讯流量信息中的攻击行为数据。
8.根据权利要求7所述的装置,其特征在于,还包括:
控制指令发送模块,用于所述上位机向所述真实工控设备发送所述控制指令;
状态数据生成模块,用于所述真实工控设备根据所述控制指令运行,并生成所述真实工控设备的状态数据。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010778124.8A CN112054996B (zh) | 2020-08-05 | 2020-08-05 | 一种蜜罐***的攻击数据获取方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010778124.8A CN112054996B (zh) | 2020-08-05 | 2020-08-05 | 一种蜜罐***的攻击数据获取方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112054996A CN112054996A (zh) | 2020-12-08 |
| CN112054996B true CN112054996B (zh) | 2023-04-07 |
Family
ID=73602434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010778124.8A Active CN112054996B (zh) | 2020-08-05 | 2020-08-05 | 一种蜜罐***的攻击数据获取方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112054996B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112688932A (zh) * | 2020-12-21 | 2021-04-20 | 杭州迪普科技股份有限公司 | 蜜罐生成方法、装置、设备及计算机可读存储介质 |
| CN112738077A (zh) * | 2020-12-26 | 2021-04-30 | 北京珞安科技有限责任公司 | 一种工控网络安全检测*** |
| CN112866259A (zh) * | 2021-01-22 | 2021-05-28 | 杭州木链物联网科技有限公司 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
| CN112822291A (zh) * | 2021-02-07 | 2021-05-18 | 国网福建省电力有限公司电力科学研究院 | 一种工控设备的监测方法与装置 |
| CN113098905B (zh) * | 2021-05-08 | 2022-04-19 | 广州锦行网络科技有限公司 | 基于蜜罐的窄带物联网终端设备的防攻击方法及*** |
| CN113162948B (zh) * | 2021-05-12 | 2022-07-26 | 上海交通大学宁波人工智能研究院 | 一种模块化工控蜜罐*** |
| CN113904819A (zh) * | 2021-09-27 | 2022-01-07 | 广西师范大学 | 一种应用于工控网络的安全*** |
| CN114285599B (zh) * | 2021-11-23 | 2023-08-01 | 中国人民解放军战略支援部队信息工程大学 | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 |
| CN114978731B (zh) * | 2022-05-30 | 2023-06-30 | 北京计算机技术及应用研究所 | 一种基于多样性扩展的诱捕蜜罐实现***及方法 |
| CN115549950A (zh) * | 2022-08-12 | 2022-12-30 | 广州大学 | 一种基于虚拟化的工业控制设备的安全防护*** |
| CN115695029B (zh) * | 2022-11-07 | 2023-08-18 | 杭州融至兴科技有限公司 | 一种企业内网攻击防御*** |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721417A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种挂载于工控***中的蜜罐装置及工控*** |
| CN107294966A (zh) * | 2017-06-21 | 2017-10-24 | 四川大学 | 一种基于内网流量的ip白名单构建方法 |
| US11258812B2 (en) * | 2018-06-25 | 2022-02-22 | AVAST Software s.r.o. | Automatic characterization of malicious data flows |
| US10897483B2 (en) * | 2018-08-10 | 2021-01-19 | International Business Machines Corporation | Intrusion detection system for automated determination of IP addresses |
| CN109302426B (zh) * | 2018-11-30 | 2021-04-13 | 东软集团股份有限公司 | 未知漏洞攻击检测方法、装置、设备及存储介质 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式*** |
| CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护*** |
-
2020
- 2020-08-05 CN CN202010778124.8A patent/CN112054996B/zh active Active
Non-Patent Citations (1)
| Title |
|---|
| 张剑等.《工业控制***网络安全》.《工业控制***网络安全》.电子科技大学出版社,2017,第184-185页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112054996A (zh) | 2020-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112054996B (zh) | 一种蜜罐***的攻击数据获取方法、装置 | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| US11483318B2 (en) | Providing network security through autonomous simulated environments | |
| CN103905451B (zh) | 一种智能电网嵌入式设备网络攻击诱捕***和诱捕方法 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US11032311B2 (en) | Methods for detecting and mitigating malicious network activity based on dynamic application context and devices thereof | |
| CN109842632B (zh) | 一种网络***的脆弱点确定方法、***及相关组件 | |
| US9817970B2 (en) | Method for detecting attacks on virtual machines | |
| CN111756759A (zh) | 一种网络攻击溯源方法、装置及设备 | |
| CN110493238A (zh) | 基于蜜罐的防御方法、装置、蜜罐***和蜜罐管理服务器 | |
| US20230007032A1 (en) | Blockchain-based host security monitoring method and apparatus, medium and electronic device | |
| CN106650425B (zh) | 一种安全沙箱的控制方法及装置 | |
| CN116527332B (zh) | 网络攻击演练方法、装置、设备及存储介质 | |
| CN113746781A (zh) | 一种网络安全检测方法、装置、设备及可读存储介质 | |
| CN112688932A (zh) | 蜜罐生成方法、装置、设备及计算机可读存储介质 | |
| CN110351237A (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN110839025A (zh) | 中心化web渗透检测蜜罐方法、装置、***及电子设备 | |
| Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
| CN114531258B (zh) | 网络攻击行为的处理方法和装置、存储介质及电子设备 | |
| CN114389863B (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| CN115913608A (zh) | 一种组网方法、装置、计算机设备及存储介质 | |
| CN111683063B (zh) | 消息处理方法、***、装置、存储介质及处理器 | |
| CN114117408A (zh) | 一种监听攻击端命令的方法、装置及可读存储介质 | |
| Anastasiadis et al. | A novel high-interaction honeypot network for internet of vehicles | |
| CN111680294A (zh) | 一种基于高交互蜜罐技术的数据库监控方法、装置、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Applicant after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Applicant before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A Method and Device for Obtaining Attack Data of Honeypot System Effective date of registration: 20231108 Granted publication date: 20230407 Pledgee: Guotou Taikang Trust Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2023980064454 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |