CN112637244A - 一种针对常见与工控协议及端口的威胁检测方法 - Google Patents

一种针对常见与工控协议及端口的威胁检测方法 Download PDF

Info

Publication number
CN112637244A
CN112637244A CN202110024949.5A CN202110024949A CN112637244A CN 112637244 A CN112637244 A CN 112637244A CN 202110024949 A CN202110024949 A CN 202110024949A CN 112637244 A CN112637244 A CN 112637244A
Authority
CN
China
Prior art keywords
host
protocol
client
ports
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110024949.5A
Other languages
English (en)
Other versions
CN112637244B (zh
Inventor
宋彦春
郑昭翼
胡惠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Tianyi Safety Technology Co Ltd
Original Assignee
Jiangsu Tianyi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Tianyi Safety Technology Co Ltd filed Critical Jiangsu Tianyi Safety Technology Co Ltd
Priority to CN202110024949.5A priority Critical patent/CN112637244B/zh
Publication of CN112637244A publication Critical patent/CN112637244A/zh
Application granted granted Critical
Publication of CN112637244B publication Critical patent/CN112637244B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种针对常见与工控协议及端口的威胁检测方法,包括:搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;服务端主机对客户端主机访问记录和数据包进行威胁检测。本发明采用插件化的方式,较为便捷地虚拟端口和协议服务,使得服务端主机与客户端主机通过一种可信的通道进行通信,攻击者在访问主机时,可以让攻击者难以辨别真假。

Description

一种针对常见与工控协议及端口的威胁检测方法
技术领域
本发明涉及计算机网络安全检测领域技术领域,具体涉及一种针对常见与工控协议及端口的威胁检测方法。
背景技术
常见的网络攻击包括了入侵者利用协议漏洞和和端口扫描进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。所谓端口扫描,就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
蜜罐是一个安全资源,它的价值在于被探测、攻击和损害,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际***的安全防护能力。而现有技术中,难以针对一些常见与工控协议进行相对真实相对完善的虚拟,难以达到引诱攻击者的目的。有一些相对真实完善的虚拟技术进行攻击检测,会消耗大量计算机资源,而且难以进行几个端口的组合虚拟,比较笨重,成本太高。
发明内容
本发明的目的在于:为解决现有技术的不足,提供一种针对常见与工控协议及端口的威胁检测方法。
本发明公开了一种针对常见与工控协议及端口的威胁检测方法,包括:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测。
本发明公开的一种针对常见与工控协议及端口的威胁检测方法,所述服务端主机配置参数包括:启动状态、身份和虚拟端口;所述客户端主机配置参数包括:启动状态、身份、admin后台地址和虚拟端口,所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。所述每个客户端主机身份配置不同,所述客户端主机admin后台地址为服务端主机后台地址。
所述对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟。
其中,所述对服务端主机和客户端主机常见协议的端口模拟的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容,所述插件内容用于处理协议连接。所述客户端主机绑定ip是服务端主机,所述服务端主机不绑定ip。常见协议包括:mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web 、elasticsearch。
所述对服务端主机和客户端主机工控协议的端口模拟的配置信息包括:协议名称、协议状态和插件内容,所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。工控协议的端口模拟支持包括bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp。
本发明公开了一种针对常见与工控协议及端口的威胁检测方法,所述对服务端主机和客户端主机对常见协议的端口模拟和对工控协议的端口模拟的配置文件为xml文件,所述对常见协议的端口模拟一个常见协议对应一个xml文件,所述对工控协议的端口模拟一个xml文件包含一个或多个工控协议。
本发明的有益效果:
本发明通过在服务端主机与客户端主机上进行配置,可以模拟服务端主机与客户端主机的端口和协议,使得服务端主机与客户端主机通过一种可信的通道进行通信,因为并没有对应的真实服务,实际上这些端口一旦访问,全都失效。攻击者在访问主机时,对虚拟出的端口的访问会被记录下来,同时因为访问该端口,网络流量的数据包都被记录下来。对服务端主机的虚拟与对客户端主机的虚拟都会被记录到服务端主机上。
本发明创造主要通过插件化方式,控制成本,需要进行某个端口或协议的虚拟时,就配置相应的服务和内容。当不需要这些端口或协议时,就删除相关配置。这样就达到控制成本的目的。同时本发明创造的插件配置方式贴近真实,以让攻击者难以辨别真假。
附图说明
图1是本发明公开的针对常见与工控协议及端口的威胁检测方法的端口示意图。
图2是本发明公开的针对常见与工控协议及端口的威胁检测方法访问示意图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本发明公开的一种针对常见与工控协议及端口的威胁检测方法,是使用一种主动诱导型的蜜罐平台,通过在主机上进行配置,可以模拟出端口和协议。该蜜罐平台使用集群化部署,在此体系内,主机分为服务端主机和客户端主机,只要修改相应的配置就可以使得服务端主机与客户端主机通过一种可信的通道进行通信。具体包括如下步骤:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测。
如图2所示,本发明公开的针对常见与工控协议及端口的威胁检测方法,当攻击者访问服务端主机和客户端主机时,对服务端主机和客户端主机的虚拟端口的访问,以及访问该端口网络流量的数据包都会记录下来。主要是对客户端进行协议模拟,通过将其收集到的信息发送给服务端主机,服务端主机整合这些信息,形成威胁检测信息。
所述服务端主机识别每个客户端主机的数据请求,响应返回客户端主机所需数据,处理多个客户端主机连接时的线程调度。处理每个客户端主机连接,需要记录每个客户端主机的操作日志,每个客户端主机的访问连接日志,以及具体协议内容等。
所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。
在本实施例中,包括配置以下参数:
status:启动状态,1就是启动。
name:身份,server或者其他,server指的是服务端主机,其他内容为客户端主机,客户端主机之间的命名不能重复。
以及admin后台地址,admin是一种身份,后台地址就是服务端主机的后台地址,服务端主机就是admin,admin用于负责处理整合的信息。客户端需要配置一个admin后台地址来把自己收集的信息送至服务端主机,服务端主机不需要配置admin后台地址,服务端主机接收客户端主机发送过来的攻击数据。
具体的,所述对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟。
所述对服务端主机和客户端主机常见协议的端口模拟采用xml插件格式的配置文件形式,一个常见协议对应一个xml配置文件,所述配置文件的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容。
具体的,所述客户端主机配置文件的信息包括:协议及协议状态、绑定ip和端口,以及插件内容。客户端主机需要指定一个admin地址,绑定ip也就是绑定一个服务端主机。所述插件内容用于处理协议连接,包括:收集攻击者访问常见协议端口发过来的tcp包;分析攻击数据,如攻击者ip,地理位置,登录信息;将攻击数据存入数据库中;发送攻击数据至服务端主机。
具体的,服务端主机配置文件的信息包括:协议及协议状态、端口,以及插件内容。服务端主机不需要绑定ip。所述插件内容用于处理每个客户端主机连接,包括:接收每个客户攻击数据,收集攻击者访问常见协议端口发过来的tcp包;分析攻击数据,如攻击者ip,地理位置,登录信息;将攻击数据存入数据库中。
客户端主机在配置文件中绑定一个服务端主机,客户端主机在启动常见协议后,将会对服务端主机的指定端口(也就是绑定ip和端口)发送请求。服务端主机在启动常见协议后,服务端主机对应的端口(绑定ip和端口)也是启动的,接收到请求后,就与客户端建立起可信通道。
在本实施例中,所述常见协议包括:mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web 、elasticsearch。
常见端口与协议:
3306端口,是mysql服务的默认端口,mysql是最流行的关系型数据库管理***。
20、21端口,是FTP协议常用端口,ftp是一种文件传输协议,其中20用于传输数据,21用于传输控制信息。
23端口,是TELNET的默认端口。
5901端口,是VNCserver的默认端口,vncserver主要用于主机的图形化连接。
80端口,是HTTP服务的默认端口,http是最广泛的网络传输协议之一。
69端口,是TFTP协议使用的默认端口,也是一种文件传输协议。
11211端口,是MEN_CACHE的默认端口,也是一种常用的数据库。
22端口,是SSH服务的默认端口,是一种比较可靠的远程登录会话安全协议。
6379端口,是REDIS服务的默认端口,这是一个高性能的主从同步数据库。
WEB服务对应多个端口,一般有67,68,80,25,53,443等端口。
9200、9300端口,是ELASTICSEARCH服务的常用端口,这个服务主要用于执行搜索与数据分析。
在本实施例中,对redis协议的端口模拟。利用go语言自带net包可迅速建立TCP并在此之上搭建redis服务端主机,go语言具有天生自带异步处理,将每个客户端主机连接异步处理互不影响的特点。服务端主机处理客户端主机连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志,以及具体redis协议内容等。
在客户端主机上配置xml文件,文件名与协议名称对应,xml配置内容首先定义redis协议,定义其status,也就是该协议的状态,0为关闭,1为启动。其次定义绑定ip和端口。最后定义插件内容,用来处理 Redis 连接。具体配置内容如下:
[redis]
# Redis 0 关闭 1 启动
status = 0
addr = 0.0.0.0:6379
插件内容如下:
//处理 Redis 连接
func redisConnection(conn net.Conn, id string) {
for {
value := parseRESP(conn).([]string)
if value[0] == "SET" || value[0] == "set" {
// redis set
try.Try(func() {
key := value[1]
val := value[2]
kvData[key] = val
go report.ReportUpdateRedis(id, "&&"+value[0]+" "+ value[1]+" "+value[2])
}).Catch(func() {
fmt.Println("error")
})
conn.Write([]byte("+OK\r\n"))
} else if value[0] == "GET" || value[0] == "get" {
try.Try(func() {
// redis get
key := value[1]
val := kvData[key]
valLen := strconv.Itoa(len(val))
str := "$" + valLen + "\r\n" + val + "\r\n"
go report.ReportUpdateRedis(id, "&&"+value[0]+" "+ value[1])
conn.Write([]byte(str))
}).Catch(func() {
conn.Write([]byte("+OK\r\n"))
})
} else {
conn.Write([]byte("+OK\r\n"))
}
}
}
插件内容用于处理客户端主机协议连接,记录客户端主机的操作日志,客户端主机的访问连接日志,以及具体redis协议内容等,用于操作日志通过解析请求数据包获取,并通过封装Report方法解析入库;访问连接日志通过客户端监主机听用户第一次连接时的信息手动记录到客户端数据库中,同时发送一份信息给服务端主机。通过代码处理redis协议内容涉及io数据读取和用户shell命令解析。
在服务端主机上配置xml文件,服务端主机xml文件与客户端主机xml文件的区别在于:服务端主机的配置文件中没有绑定admin的ip。
采用插件化的形式完成对常见协议的模拟,只需要通过修改配置文件中的状态即可开启或关闭redis协议的模拟。对其他常见协议的端口模拟,采用相同的方式,通过配置文件来定义协议修改其状态和虚拟端口,增加了其扩展性,也更容易控制。
所述对服务端主机和客户端主机工控协议的端口模拟采用xml插件格式的配置文件形式,一个xml配置文件可配置一个或多个工控协议,所述配置文件的配置信息包括:协议名称、协议状态和插件内容。所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。协议服务的重点是指其在实际生产环境中的配置等参数。
所述工控协议的端口模拟支持包括bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp。
工控***(industry control system)主要的端口有:
s7comm协议对应的102端口。
http服务对应的80端口。
modbus协议对应的502端口。
bacnet协议对应的478端口。
ipmi协议对应的623端口。
tftp协议对应的69端口。
ftp协议对应的20,21端口。
snmp协议对应的161端口。
在本实施例中,对bacnet协议的端口模拟。在客户端主机上配置xml文件,配置文件的内容以协议的名称作为起止,<bacnet>协议状态、插件内容 </bacnet>首先在插件内容中定义bacnet协议可访问该协议服务的地址,以及该协议服务的端口,enabled="True"host="0.0.0.0" port="47808"。其次定义设备信息 <device_info>,用来模拟工控环境。然后定义协议服务的重点<object_list>,对这个协议服务进行模拟。具体内容如下:
<bacnet enabled="True" host="0.0.0.0" port="47808">
<device_info>
<device_name>SystemName</device_name>
<device_identifier>36113</device_identifier>
<vendor_name>Alerton Technologies, Inc.</vendor_name>
<vendor_identifier>15</vendor_identifier>
<max_apdu_length_accepted>1024</max_apdu_length_accepted>
<segmentation_supported>segmentedBoth</segmentation_supported >
<model_name>VAV-DD Controller</model_name>
<protocol_version>1</protocol_version>
</device_info>
<object_list>
<object name="objectBinary">
<properties>
<object_identifier>12</object_identifier>
<object_name>BI 01</object_name>
<object_type>Binary Input</object_type>
</properties>
</object>
<object name="objectAnalog">
<properties>
<object_identifier>14</object_identifier>
<object_name>AI 01</object_name>
<object_type>Analog Input</object_type>
<present_value>68.0</present_value>
</properties>
</object>
<object name="objectDoor">
<properties>
<object_identifier>16</object_identifier>
<object_name>Door 01</object_name>
<object_type>Access Door</object_type>
<present_value>0</present_value>
<out_of_service>True</out_of_service>
<maintenance_required>2</maintenance_required>
</properties>
</object>
</object_list>
</bacnet>
每增加一个工控协议,就在xml配置文件中写入协议名称、协议状态和插件内容,以协议的名称作为起止,<协议名称>协议状态、插件内容 </协议名称>,进行模拟。
服务端主机的xml配置文件与客户端主机的xml配置文件是相同的,用于模拟一种工控端口协议。
客户端主机在配置文件中绑定一个可访问该协议服务的地址,客户端在启动工控协议后,将会对服务端主机的指定端口(也就是可访问的协议服务地址以及该协议服务的端口)发送请求。服务端主机在启动工控协议后,服务端的对应端口(可访问的协议服务地址以及该协议服务的端口)也是启动的,接收到请求后,就与客户端建立起可信通道。
当攻击者在访问客户端主机时,对客户端主机常见协议或工控协议虚拟端口的访问记录为JSON格式的原始数据,这个格式也是可以在更改的,本方法支持 json 、 sqlite、 mysql 、 syslog 、 hpfriends 和 taxii 等几种方式输出访问日志,可以通过cfg 文件中配置了默认日志输出形式与路径。客户端主机具体通过网络层针对每个协议的这些日志收集,信息包括攻击者ip,地理位置,登录信息等。收集为json格式,收集到的json格式的日志,根据字段名对应,一一存入到数据库中。同时这个数据库中的信息发送一份到服务端主机,服务端主机将这个数据库中的信息进行详细展示,以此实现威胁检测。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种针对常见与工控协议及端口的威胁检测方法,其特征在于:包括:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测。
2.根据权利要求1所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述服务端主机配置参数包括:启动状态、身份和虚拟端口;所述客户端主机配置参数包括:启动状态、身份、admin后台地址和虚拟端口,所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。
3.根据权利要求2所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述每个客户端主机身份配置不同,所述客户端主机admin后台地址为服务端主机后台地址。
4.根据权利要求1所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟。
5.根据权利要求4所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机常见协议的端口模拟的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容,所述插件内容用于处理协议连接。
6.根据权利要求5所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述客户端主机绑定ip是服务端主机,所述服务端主机不绑定ip。
7.根据权利要求4所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机工控协议的端口模拟的配置信息包括:协议名称、协议状态和插件内容,所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。
8.根据权利要求5或7所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机对常见协议的端口模拟和对工控协议的端口模拟的配置文件为xml文件,所述对常见协议的端口模拟一个常见协议对应一个xml文件,所述对工控协议的端口模拟一个xml文件包含一个或多个工控协议。
CN202110024949.5A 2021-01-08 2021-01-08 一种针对常见与工控协议及端口的威胁检测方法 Active CN112637244B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110024949.5A CN112637244B (zh) 2021-01-08 2021-01-08 一种针对常见与工控协议及端口的威胁检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110024949.5A CN112637244B (zh) 2021-01-08 2021-01-08 一种针对常见与工控协议及端口的威胁检测方法

Publications (2)

Publication Number Publication Date
CN112637244A true CN112637244A (zh) 2021-04-09
CN112637244B CN112637244B (zh) 2023-07-07

Family

ID=75293832

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110024949.5A Active CN112637244B (zh) 2021-01-08 2021-01-08 一种针对常见与工控协议及端口的威胁检测方法

Country Status (1)

Country Link
CN (1) CN112637244B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113419812A (zh) * 2021-05-20 2021-09-21 济南浪潮数据技术有限公司 一种虚拟化环境下端口转发测试方法、装置、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682342A (zh) * 2017-10-17 2018-02-09 盛科网络(苏州)有限公司 一种基于openflow的DDoS流量牵引的方法和***
CN108337222A (zh) * 2017-11-28 2018-07-27 中国电子科技集团公司电子科学研究院 区分访问终端身份的端口开放方法、设备及可读存储介质
CN109284296A (zh) * 2018-10-24 2019-01-29 北京云睿科技有限公司 一种大数据pb级分布式信息存储与检索平台
CN110855659A (zh) * 2019-11-07 2020-02-28 四川长虹电器股份有限公司 redis蜜罐部署***
CN111262813A (zh) * 2018-11-30 2020-06-09 ***通信集团安徽有限公司 应用服务的提供方法、装置、设备及介质
CN111314308A (zh) * 2020-01-16 2020-06-19 国网浙江省电力有限公司温州供电公司 基于端口分析的***安全检查方法及装置
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107682342A (zh) * 2017-10-17 2018-02-09 盛科网络(苏州)有限公司 一种基于openflow的DDoS流量牵引的方法和***
CN108337222A (zh) * 2017-11-28 2018-07-27 中国电子科技集团公司电子科学研究院 区分访问终端身份的端口开放方法、设备及可读存储介质
CN109284296A (zh) * 2018-10-24 2019-01-29 北京云睿科技有限公司 一种大数据pb级分布式信息存储与检索平台
CN111262813A (zh) * 2018-11-30 2020-06-09 ***通信集团安徽有限公司 应用服务的提供方法、装置、设备及介质
CN110855659A (zh) * 2019-11-07 2020-02-28 四川长虹电器股份有限公司 redis蜜罐部署***
CN111314308A (zh) * 2020-01-16 2020-06-19 国网浙江省电力有限公司温州供电公司 基于端口分析的***安全检查方法及装置
CN111651757A (zh) * 2020-06-05 2020-09-11 深圳前海微众银行股份有限公司 攻击行为的监测方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113419812A (zh) * 2021-05-20 2021-09-21 济南浪潮数据技术有限公司 一种虚拟化环境下端口转发测试方法、装置、设备及介质
CN113419812B (zh) * 2021-05-20 2022-03-11 济南浪潮数据技术有限公司 一种虚拟化环境下端口转发测试方法、装置、设备及介质

Also Published As

Publication number Publication date
CN112637244B (zh) 2023-07-07

Similar Documents

Publication Publication Date Title
Vetterl et al. Honware: A virtual honeypot framework for capturing CPE and IoT zero days
Ritchey et al. Representing TCP/IP connectivity for topological analysis of network security
Hakim et al. U-pot: A honeypot framework for upnp-based iot devices
US12039048B2 (en) System and method for automatic generation of malware detection traps
WO2017139489A1 (en) Automated honeypot provisioning system
US20140101724A1 (en) Network attack detection and prevention based on emulation of server response and virtual server cloning
US11061792B2 (en) Test system for testing a computer of a computer system in a test network
CN110768951B (zh) 验证***漏洞的方法及装置、存储介质、电子装置
US10630708B2 (en) Embedded device and method of processing network communication data
JP2019517704A (ja) コンピュータネットワークにおけるトラフィックのロギング
CN110768948A (zh) 漏洞检测的方法及装置、存储介质、电子装置
Karthikeyan et al. Honeypots for network security
US9916225B1 (en) Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information
CN110198300B (zh) 一种蜜罐操作***指纹隐蔽方法及装置
CN108809950B (zh) 一种基于云端影子***的无线路由器保护方法和***
CN112637244B (zh) 一种针对常见与工控协议及端口的威胁检测方法
Holczer et al. The design and implementation of a PLC honeypot for detecting cyber attacks against industrial control systems
Gallenstein Integration of the network and application layers of automatically-configured programmable logic controller honeypots
Fan et al. Dynamic hybrid honeypot system based transparent traffic redirection mechanism
Afek et al. Eradicating attacks on the internal network with internal network policy
Kalil Policy Creation and Bootstrapping System for Customer Edge Switching
Göbel Amun: automatic capturing of malicious software
Spiekermann et al. Encapcap: Transforming Network Traces to Virtual Networks
Foster " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures
Lazar et al. SECURITY ISSUES IN INTERNET OF THINGS BOTNETS: A HIGH INTERACTION HONEYPOT APPROACH

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant