CN112565278A - 一种捕获攻击的方法及蜜罐*** - Google Patents
一种捕获攻击的方法及蜜罐*** Download PDFInfo
- Publication number
- CN112565278A CN112565278A CN202011442783.0A CN202011442783A CN112565278A CN 112565278 A CN112565278 A CN 112565278A CN 202011442783 A CN202011442783 A CN 202011442783A CN 112565278 A CN112565278 A CN 112565278A
- Authority
- CN
- China
- Prior art keywords
- instance
- attack
- industrial control
- scada
- upper computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000004088 simulation Methods 0.000 claims abstract description 23
- 238000012544 monitoring process Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 abstract description 6
- 230000007547 defect Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000005422 blasting Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006854 communication Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZRHANBBTXQZFSP-UHFFFAOYSA-M potassium;4-amino-3,5,6-trichloropyridine-2-carboxylate Chemical compound [K+].NC1=C(Cl)C(Cl)=NC(C([O-])=O)=C1Cl ZRHANBBTXQZFSP-UHFFFAOYSA-M 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本实施例公开了一种捕获攻击的方法,该方法应用于一种蜜罐***中对攻击进行捕捉,该蜜罐***包括上位机实例、SCADA数据采集与监视控制***实例和工控设备实例,该蜜罐***实现了对完整工控环境的模拟,更接近真实的工控生产环境,弥补了现有技术中仅包含工控设备模拟的缺点,更容易迷惑攻击者进行攻击。由此,通过该蜜罐***吸引攻击者进行攻击,从而可以捕获到更加完整的攻击信息。
Description
技术领域
本发明涉及工控安全领域,尤其涉及一种捕获攻击的方法及蜜罐***。
背景技术
工业化和信息化是现代社会发展的主流,目前在工业领域已经超过80%的领域实现了自动化控制,工业控制***已经成为国家关键基础设施的重要组成部分,工控领域的安全关系到国家的战略安全。近年来,工控安全越来越受到管理部门及各厂商的警惕和关注。
现有技术中,通常通过模拟工控设备的运行以及工控设备的通信过程,吸引攻击者进行攻击,通过对的攻击者的攻击行为、攻击方式的分析,从而加强工控安全。但是当前对于工控设备的模拟一般是低交互操作的模拟,很容易被攻击者识别,从而使得攻击者避开对模拟的工控设备的攻击,这样的话也就无法捕捉到较为全面的攻击信息。
发明内容
有鉴于此,本发明实施例公开了一种捕获攻击的方法、装置及蜜罐***,通过模拟完整的工控生产环境,吸引攻击者对蜜罐***进行攻击,进而捕捉到较为全面的攻击信息。
本发明实施例公开了一种捕获攻击的方法,所述方法应用于蜜罐***,所述蜜罐***包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述蜜罐***通过上位机实例、SCADA实例和工控设备实例之间的交互进行工控环境模拟;
检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志。
可选的,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口;
若在上位机实例的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口监测到连接请求,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击;
若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击。
可选的,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时,确定所述上位机实例或者SCADA实例受到了攻击。
可选的,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
当检测到修改工控设备实例运行状态的指令或者数据包时,确定所述工控设备实例受到了攻击。
可选的,还包括:
确定第一攻击日志的类型;所述第一攻击日志为上位机实例、SCADA实例受到攻击时收集的攻击日志;
当所述攻击日志为远程攻击日志,则将远程攻击日志按照IP地址进行分类;
若攻击日志的类型为文件变化攻击或者CMD命令,则将攻击日志按照日期进行分类。
可选的,还包括:
将第二攻击日志按照攻击目标和攻击行为进行分类;所述第二攻击日志为工控设备实例受到攻击时收集到的攻击日志。
可选的,还包括:
确定预设的展示指标;
读取与所述展示指标相关的攻击日志;
分析与所述展示指标相关的攻击日志,并将所述与所述展示指标相关的攻击日志转换成预设的图表形式。
本发明实施例公开了一种捕获攻击的装置,所述装置应用于蜜罐***,所述蜜罐***包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述蜜罐***通过上位机实例、SCADA实例和工控设备实例之间的交互进行工控环境模拟;
所述装置包括:
检测单元,用于检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
第一攻击处理单元,用于当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
第二攻击处理单元,用于当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
第三攻击处理单元,用于当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志。
可选的,还包括:
威胁分析***,用于对攻击日志进行分析。
本发明实施例还公开了一种蜜罐***,包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述工控环境模拟***通过上位机实例、SCADA实例分别与工控设备实例进行交互进行工控环境模拟,并在受到攻击时,对攻击指令做出相应的响应,并收集对SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志。
可选的,所述上位机实例包括至少一种上位机软件,所述SCADA实例包括至少一种监控软件,所述工控设备实例包括至少一种工控设备软件。
本实施例公开了一种捕获攻击的方法,该方法应用于一种蜜罐***中对攻击进行捕捉,该蜜罐***包括上位机实例、SCADA数据采集与监视控制***实例和工控设备实例,该蜜罐***实现了对完整工控环境的模拟,更接近真实的工控生产环境,弥补了现有技术中仅包含工控设备模拟的缺点,更容易迷惑攻击者进行攻击。由此,通过该蜜罐***吸引攻击者进行攻击,从而可以捕获到更加完整的攻击信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了一种蜜罐***的结构示意图;
图2示出了本发明实施例公开的一种捕获攻击的方法的流程示意图;
图3示出了本发明实施例提供的一种对捕获的攻击进行分析的方法的又一流程示意图;
图4示出了本发明实施例提供的一种捕获攻击的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,示出了一种蜜罐***的结构示意图,在本实施例中,该蜜罐***包括:
上位机实例101、SCADA(英文全称:Supervisory Control And DataAcquisition,中文全称:数据采集与监视控制***)实例102和工控设备实例103;
所述蜜罐***通过上位机实例101、SCADA实例102和工控设备实例103之间的交互进行工控环境模拟;
所述蜜罐***在上位机实例101、SCADA实例102和工控设备实例103受到攻击时,对攻击指令做出相应的响应,收集攻击数据,并将所述攻击数据保存为攻击日志。
其中,所述上位机实例101包括至少一中上位机软件;包含的上位机软件例如可以包括:组态王、step7、studio5000等上位机软件。
上位机实例101用于向所述工控设备发送控制指令。
其中,SCADA实例102包括至少一种监控软件;包含的监控软件例如可以包括:Intouch、Wincc等监控软件。
SCADA实例102用于获取工控设备实例103的运行信息;
其中,工控设备实例103包括至少一种工控设备模拟软件,其中,工控设备模拟软件可以是基于Ubuntu***和conpot对原有的工控设备软件改造后生成的。
其中,在攻击捕捉时,若上位机实例101受到攻击,则上位机实例对攻击指令做出相应的响应,收集攻击数据,并将所述攻击数据保存为攻击日志;
若SCADA实例102受到攻击,则SCADA实例102对攻击指令做出相应的响应,收集攻击数据,并将所述攻击数据保存为攻击日志;
若工控设备实例103受到攻击,则所述工控设备实例103对攻击指令做出相应的响应,收集攻击数据,并将所述攻击数据保存为攻击日志。
本实施例中,通过上述的蜜罐***包括上位机实例、SCADA实例和工控设备实例,上位机实例、SCADA实例和工控设备实例之间进行数据交互,该蜜罐***实现了对完整工控环境的模拟,更接近真实的工控生产环境,弥补了现有技术中仅包含工控设备模拟的缺点,更容易迷惑攻击者进行攻击,从而可以收集较为完整的攻击信息。
参考图2,示出了本发明实施例公开的一种捕获攻击的方法的流程示意图,在本实施例中,该方法应用于蜜罐***,该蜜罐***包括:
上位机实例101、SCADA(英文全称:Supervisory Control And DataAcquisition,中文全称:数据采集与监视控制***)实例102和工控设备实例103;
所述蜜罐***通过上位机实例101、SCADA实例102和工控设备实例103之间的交互进行工控环境模拟。
该方法包括:
S201:检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
本实施例中,上位机实例、SCADA实例以及工控设备实例会以多种方式受到攻击,需要对攻击进行识别,进而对攻击的数据进行收集。
举例说明:攻击者可能会进行远程登录的攻击,或者发送数据改变文件信息或者通过漏洞、***等形式对蜜罐***进行攻击。
针对攻击的识别,可以包括如下的几种方法:
其中,S201对上位机实例、SCADA实例或者工控设备实例是否受到攻击的检测,包括:
实施方式一:
分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口;
若在上位机实例的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口监测到连接请求,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击;
本实施例中,攻击者可能会向上位机实例、SCADA实例或者工控设备实例发起远程登录或者远程访问请求,该种攻击下,可能会向上位机的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口发送连接请求,在监测到连接请求的情况下,可以确认受到了攻击。
需要说明的是,这里所说的由于远程登录或者远程访问的攻击仅仅是对端口攻击的一种方式,本实施例中不限定其它的攻击情况也会造成对端口发送连接请求的结果。
实施方式二:
分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口;
若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击。
举例说明:本实施例中,一些特定的端口具有特定的功能,当特定的端口受到攻击时,可以认为蜜罐***受到了攻击。
实施方式三:
当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时,确定所述上位机实例或者SCADA实例受到了攻击。
本实施中,预设的攻击方式可以包括多种,本实施例中不进行限定,例如可以包括:通过漏洞的方式进入上位机实例或者SCADA实例,或者通过口令***的方式进行上位机实例或者SCADA实例。
实施方式四:
当检测到修改工控设备实例运行状态的指令或者数据包时,确定所述工控设备实例受到了攻击。
本实施例中,攻击者可能会通过上位机实例或者SCADA实例修改工控设备的数据,该种情况下回向工控设备实例发送对应的指令或者数据包,发送的指令例如包括启动或者停止指令。也就是说,当监测到对修改工控设备实例运行状态的指令时,可以确定工控设备实例受到了攻击。
本实施例中,工控设备实例可以基于配置的工控协议模板,识别接收到的攻击数据包,并根据功能码字段,识别不同的攻击行为。
S202:当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
S203:当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
本实施例中,针对上述提到的检测到的三种攻击方式,可以对应于不同的执行方式,例如:
针对实施方式一:
若在上位机实例的开放端口、SCADA实例的开放端口监测到连接请求,则执行该连接请求,并记录与连接请求相关的攻击数据。
举例说明:记录的数据例如可以包括攻击方的源IP地址、攻击端口、攻击目标、发生时间等。
针对实施例方式二:
若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包,则执行数据包的指令数据,并记录与该攻击行为相关的数据。
举例说明:在实施方式二的情况下,可以记录攻击方的源IP地址、攻击端口、攻击目标、发生时间等。
针对实施例方式三:
当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时,启动文件监控程序和/或CMD监控程序,对攻击者上传的文件或CMD命令进行监控并记录。
S204:当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志。
本实施例中,针对上述提到的与工控设备有关的攻击,可以执行相应的请求,并收集与攻击有关的数据。
举例说明:
针对上述的实施方式一:
若在工控设备实例的开放端口监测到连接请求,则执行该连接请求,并记录与连接请求相关的攻击数据。
举例说明:记录的数据例如可以包括攻击方的源IP地址、攻击端口、攻击目标、发生时间等。
针对实施例方式二:
若工控设备实例的特定的开放端口检测到数据包,则执行数据包的指令数据,并记录与该攻击行为相关的数据。
举例说明:在实施方式二的情况下,可以记录攻击方的源IP地址、攻击端口、攻击目标、发生时间等。
针对实施方式四:
当检测到修改工控设备实例运行状态的指令或者数据包时,工控设备实例收到修改请求后便会将相应的值修改并保存对应的攻击日志。
若攻击者通过上位机实例/SCADA实例修改工控设备运行状态,则会向工控设备实例发送相应的启动/停止控制指令,工控设备实例收到指令后便会切换当前运行状态并保存对应的攻击日志。
本实施例中,在蜜罐***中对攻击进行捕捉,该蜜罐***包括上位机实例、SCADA数据采集与监视控制***实例和工控设备实例,该蜜罐***实现了对完整工控环境的模拟,更接近真实的工控生产环境,弥补了现有技术中仅包含工控设备模拟的缺点,更容易迷惑攻击者进行攻击。由此,通过该蜜罐***吸引攻击者进行攻击,从而可以捕获到更加完整的攻击信息。
进一步的,为了让用户更加直观、清楚的了解收集到的攻击情况,参考图3,示出了本发明实施例提供的一种本实例中,还包括如下的过程:
S201:检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
S202:当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
S203:当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
S204:当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志;
S205:对攻击日志进行分析。
本实施例中,可以通过预设的分析规则对攻击日志进行分析,分析规则可以基于用户的实际需要设置。
举例说明,可以通过如下的方式对攻击日志进行分析:
确定预设的展示指标;
读取与所述展示指标相关的攻击日志;
分析与所述展示指标相关的攻击日志,并将所述与所述展示指标相关的攻击日志转换成预设的图表形式。
本实施例中,通过对攻击日志的分析,可以将日志转换成用户易于观看的图或者表。
进一步的,为了方便后续对攻击日志进行调取和分析,可以将攻击日志保存到数据库中。
进一步的,为了便于后续对攻击日志的保存和分析,可以预先对收到的攻击日志进行分类,例如,还包括:
确定第一攻击日志的类型;所述第一攻击日志为上位机实例、SCADA实例受到攻击时收集的攻击日志;
当所述攻击日志为远程攻击日志,则将远程攻击日志按照IP地址进行分类;
若攻击日志的类型为文件变化攻击或者CMD命令,则将攻击日志按照日期进行分类。
或者,还包括:
将第二攻击日志按照攻击目标和攻击行为进行分类;所述第二攻击日志为工控设备实例受到攻击时收集到的攻击日志。
参考图4,示出了本发明实施例提供的一种捕获攻击的装置的结构示意图,其特征在于,所述装置应用于蜜罐***,所述蜜罐***包括:
上位机实例101、SCADA(英文全称:Supervisory Control And DataAcquisition,中文全称:数据采集与监视控制***)实例102和工控设备实例103;
所述蜜罐***通过上位机实例101、SCADA实例102和工控设备实例103之间的交互进行工控环境模拟。
所述捕获装置包括:
检测单元401,用于检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
第一攻击处理单元402,用于当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
第二攻击处理单元403,用于当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
第三攻击处理单元404,用于当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志
可选的,所述检测单元,包括:
端口监控子单元,用于分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口;
第一检测子单元,用于若在上位机实例的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口监测到连接请求,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击;
第二检测子单元,用于若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击。
可选的,所述检测单元,包括:
第三检测子单元,用于当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时,确定所述上位机实例或者SCADA实例受到了攻击。
可选的,所述检测单元,包括:
第四检测子单元,用于当检测到修改工控设备实例运行状态的指令或者数据包时,确定所述工控设备实例受到了攻击。
可选的,还包括:
第一攻击日志分类单元,用于:
确定第一攻击日志的类型;所述第一攻击日志为上位机实例、SCADA实例受到攻击时收集的攻击日志;
当所述攻击日志为远程攻击日志,则将远程攻击日志按照IP地址进行分类;
若攻击日志的类型为文件变化攻击或者CMD命令,则将攻击日志按照日期进行分类。
可选的,还包括:
第二攻击日志分类单元,用于
将第二攻击日志按照攻击目标和攻击行为进行分类;所述第二攻击日志为工控设备实例受到攻击时收集到的攻击日志。
可选的,还包括:
攻击日志分析单元,用于:
对攻击日志进行分析。
可选的,所述攻击日志分析单元,具体用于:
确定预设的展示指标;
读取与所述展示指标相关的攻击日志;
分析与所述展示指标相关的攻击日志,并将所述与所述展示指标相关的攻击日志转换成预设的图表形式。
本实施例的装置,在蜜罐***中对攻击进行捕捉,该蜜罐***包括上位机实例、SCADA数据采集与监视控制***实例和工控设备实例,该蜜罐***实现了对完整工控环境的模拟,更接近真实的工控生产环境,弥补了现有技术中仅包含工控设备模拟的缺点,更容易迷惑攻击者进行攻击。由此,通过该蜜罐***吸引攻击者进行攻击,从而可以捕获到更加完整的攻击信息。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种捕获攻击的方法,其特征在于,所述方法应用于蜜罐***,所述蜜罐***包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述蜜罐***通过上位机实例、SCADA实例和工控设备实例之间的交互进行工控环境模拟;
所述方法包括:
检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志。
2.根据权利要求1所述的方法,其特征在于,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口;
若在上位机实例的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口监测到连接请求,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击;
若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包,确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击。
3.根据权利要求1所述的方法,其特征在于,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时,确定所述上位机实例或者SCADA实例受到了攻击。
4.根据权利要求1所述的方法,其特征在于,所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击,包括:
当检测到修改工控设备实例运行状态的指令或者数据包时,确定所述工控设备实例受到了攻击。
5.根据权利要求1-3中任一项所述的方法,其特征在于,还包括:
确定第一攻击日志的类型;所述第一攻击日志为上位机实例、SCADA实例受到攻击时收集的攻击日志;
当所述攻击日志为远程攻击日志,则将远程攻击日志按照IP地址进行分类;
若攻击日志的类型为文件变化攻击或者CMD命令,则将攻击日志按照日期进行分类。
6.根据权利要求1或2或4所述的方法,其特征在于,还包括:
将第二攻击日志按照攻击目标和攻击行为进行分类;所述第二攻击日志为工控设备实例受到攻击时收集到的攻击日志。
7.根据权利要求1所述的方法,其特征在于,还包括:
确定预设的展示指标;
读取与所述展示指标相关的攻击日志;
分析与所述展示指标相关的攻击日志,并将所述与所述展示指标相关的攻击日志转换成预设的图表形式。
8.一种捕获攻击的装置,其特征在于,所述装置应用于蜜罐***,所述蜜罐***包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述蜜罐***通过上位机实例、SCADA实例和工控设备实例之间的交互进行工控环境模拟;
所述装置包括:
检测单元,用于检测上位机实例、SCADA实例或者工控设备实例是否受到攻击;
第一攻击处理单元,用于当检测到上位机实例受到攻击时,对攻击指令做出相应的响应,收集上位机实例的攻击数据,并将所述攻击数据保存为攻击日志;
第二攻击处理单元,用于当检测到SCADA实例受到攻击时,对攻击指令做出相应的响应,收集SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志;
第三攻击处理单元,用于当检测到工控设备实例受到攻击时,对攻击指令做出相应的响应,收集工控设备的攻击数据,并将所述攻击数据保存为攻击日志。
9.根据权利要求8所述的装置,其特征在于,还包括:
威胁分析***,用于对攻击日志进行分析。
10.一种蜜罐***,其特征在于,包括:
上位机实例、SCADA数据采集与监视控制***实例和工控设备实例;
所述工控环境模拟***通过上位机实例、SCADA实例分别与工控设备实例进行交互进行工控环境模拟,并在受到攻击时,对攻击指令做出相应的响应,并收集对SCADA实例的攻击数据,并将所述攻击数据保存为攻击日志。
11.根据权利要求10所述的方法,其特征在于,
所述上位机实例包括至少一种上位机软件,所述SCADA实例包括至少一种监控软件,所述工控设备实例包括至少一种工控设备软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011442783.0A CN112565278A (zh) | 2020-12-08 | 2020-12-08 | 一种捕获攻击的方法及蜜罐*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011442783.0A CN112565278A (zh) | 2020-12-08 | 2020-12-08 | 一种捕获攻击的方法及蜜罐*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112565278A true CN112565278A (zh) | 2021-03-26 |
Family
ID=75061064
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011442783.0A Pending CN112565278A (zh) | 2020-12-08 | 2020-12-08 | 一种捕获攻击的方法及蜜罐*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112565278A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113923025A (zh) * | 2021-10-09 | 2022-01-11 | 北京天地和兴科技有限公司 | 一种工控网络中的威胁检测方法 |
CN114448738A (zh) * | 2022-04-11 | 2022-05-06 | 北京网藤科技有限公司 | 一种用于工控网络的攻击向量生成方法及*** |
CN116074080A (zh) * | 2023-01-28 | 2023-05-05 | 北京航天驭星科技有限公司 | 卫星地面站管理***的数据处理方法、平台 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护*** |
CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、***和工控蜜罐 |
-
2020
- 2020-12-08 CN CN202011442783.0A patent/CN112565278A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
CN107360145A (zh) * | 2017-06-30 | 2017-11-17 | 北京航空航天大学 | 一种多节点蜜罐***及其数据分析方法 |
CN109889488A (zh) * | 2018-12-29 | 2019-06-14 | 江苏博智软件科技股份有限公司 | 一种基于云部署的工控网络蜜网安全防护*** |
CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、***和工控蜜罐 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113923025A (zh) * | 2021-10-09 | 2022-01-11 | 北京天地和兴科技有限公司 | 一种工控网络中的威胁检测方法 |
CN114448738A (zh) * | 2022-04-11 | 2022-05-06 | 北京网藤科技有限公司 | 一种用于工控网络的攻击向量生成方法及*** |
CN116074080A (zh) * | 2023-01-28 | 2023-05-05 | 北京航天驭星科技有限公司 | 卫星地面站管理***的数据处理方法、平台 |
CN116074080B (zh) * | 2023-01-28 | 2023-06-16 | 北京航天驭星科技有限公司 | 卫星地面站管理***的数据处理方法、平台 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112738126B (zh) | 基于威胁情报和att&ck的攻击溯源方法 | |
CN112637220B (zh) | 一种工控***安全防护方法及装置 | |
CN108683687B (zh) | 一种网络攻击识别方法及*** | |
CN112565278A (zh) | 一种捕获攻击的方法及蜜罐*** | |
CN108881263B (zh) | 一种网络攻击结果检测方法及*** | |
CN110602041A (zh) | 基于白名单的物联网设备识别方法、装置及网络架构 | |
KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
CN107247902B (zh) | 恶意软件分类***及方法 | |
CN108833185B (zh) | 一种网络攻击路线还原方法及*** | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
CN109684833B (zh) | 使程序危险行为模式适应用户计算机***的***和方法 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
CN113595975B (zh) | 一种Java内存Webshell的检测方法及装置 | |
CN110138780B (zh) | 一种基于探针技术实现物联网终端威胁检测的方法 | |
CN113987508A (zh) | 一种漏洞处理方法、装置、设备及介质 | |
CN111651760B (zh) | 一种设备安全状态综合分析的方法及计算机可读存储介质 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
CN117220957A (zh) | 一种基于威胁情报的攻击行为响应方法及*** | |
CN114629711B (zh) | 一种针对Windows平台特种木马检测的方法及*** | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN116155548A (zh) | 一种威胁识别方法及*** | |
CN115086081A (zh) | 一种蜜罐防逃逸方法及*** | |
CN115913634A (zh) | 一种基于深度学习的网络安全异常的检测方法及*** | |
CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210326 |