CN112866259A - 工控蜜罐节点管理方法、装置、计算机设备和存储介质 - Google Patents
工控蜜罐节点管理方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112866259A CN112866259A CN202110088459.1A CN202110088459A CN112866259A CN 112866259 A CN112866259 A CN 112866259A CN 202110088459 A CN202110088459 A CN 202110088459A CN 112866259 A CN112866259 A CN 112866259A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- attack
- honeypot
- behavior data
- attack behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 58
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 235000012907 honey Nutrition 0.000 title claims description 16
- 230000006399 behavior Effects 0.000 claims abstract description 146
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000006870 function Effects 0.000 claims description 36
- 238000004891 communication Methods 0.000 claims description 15
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000012800 visualization Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000009826 distribution Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000009776 industrial production Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008450 motivation Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种工控蜜罐节点管理方法、***、计算机设备和存储介质。所述方法包括:获取多个地理位置的工控蜜罐节点的攻击行为数据包;按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;将所述工控网络安全攻击行为的统计数据进行可视化呈现。采用本方法能够对多个地理位置的工控蜜罐节点进行监视,提高工控蜜罐节点的安全性。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种工控蜜罐节点管理方法、装置、计算机设备和存储介质。
背景技术
工业控制***由DCS/PLC等控制设备、温度/压力等传感器以及上位主机构成,对工业生产过程进行监视控制,是工业生产的核心中枢。随着工业互联网的发展,工业控制***的封闭性被逐渐打破,由于工业控制***中存在大量未被修复的漏洞,工业控制***存在极大的风险隐患,若遭受网络攻击,将会导致难以预估的严重后果。现有的工业控制***防护手段主要包括部署防火墙、入侵检测等安全防护设备,从攻防角度来看属于被动防御技术,难以实现主动防御攻击的目标。
蜜罐***是近年来逐渐兴起的一种主动防御技术,通过布置作为诱饵的设备,对攻击方进行欺骗,诱使攻击方对其实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法来推测攻击意图和动机,能够让防御方清晰地了解所面对的安全威胁。
然而,现有的蜜罐***只能针对本地的攻击者行为数据进行统计,即只能根据本地的攻击者进行识别,无法对多个地方的攻击者进行统计和分析,无法预测潜在的攻击行为并提前制定防护策略。
发明内容
基于此,有必要针对上述技术问题,提供一种能够支持分布式工控蜜罐***数据汇总分析和***集中管控的工控蜜罐节点管理方法、装置、计算机设备和存储介质。
一种工控蜜罐节点管理方法,所述方法包括:
获取多个地理位置的工控蜜罐节点的攻击行为数据包;
按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;
将所述工控网络安全攻击行为的统计数据进行可视化呈现。
在其中一个实施例中,所述按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息,包括:根据工控协议格式对所述攻击行为数据包的内容进行解析,得到功能码和指令参数。
在其中一个实施例中,在获取多个地理位置的工控蜜罐节点的攻击行为数据包之后,包括:根据所述攻击行为数据包,统计每个时间段的攻击行为次数;和/或,根据所述攻击行为数据包,统计攻击次数排在前N位的攻击者,所述N为正整数;和/或,根据所述攻击行为数据包,统计受攻击次数最多的工控协议;和/或,根据所述攻击行为数据包,统计每种所述工控协议在攻击行为总次数中的占比;和/或,根据所述攻击行为数据包,统计受攻击次数最多的所述工控蜜罐节点;和/或,根据所述攻击行为数据包,统计每个地理位置的攻击行为次数、总攻击次数、攻击次数排在前N位的协议类型、攻击次数排在前N位功能请求,所述N为正整数。。
在其中一个实施例中,所述工控蜜罐节点管理方法还包括:对每个时间段的攻击行为次数、攻击次数排在前N位的攻击者标识、受攻击次数最多的工控协议、每种所述工控协议在攻击行为总次数中的占比、受攻击次数最多的所述工控蜜罐节点和/或每个地理位置的攻击者标识、总攻击次数、协议类型、功能请求进行可视化呈现。
在其中一个实施例中,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:选择进行数据分析的地理位置和所述地理位置的工控蜜罐节点;根据所述工控蜜罐节点,获取所述工控蜜罐节点的攻击行为数据包。
在其中一个实施例中,在将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点之后,包括:根据所述攻击者列表中所述攻击者标识所在的地理位置,在地图的对应位置通过图标显示所述攻击者标识。
在其中一个实施例中,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:通过hpfeeds通信协议从多个地理位置的工控蜜罐节点获取攻击行为数据包。
在其中一个实施例中,在所述获取多个地理位置的工控蜜罐节点的攻击行为数据包之前,包括:在多个地理位置的VPS服务器安装所述工控蜜罐节点,并通过hpfeeds通信协议与所述工控蜜罐节点建立连接。
一种工控蜜罐节点管理***,所述***包括:
攻击行为数据获取模块,用于获取多个地理位置的工控蜜罐节点的攻击行为数据包;
解析模块,用于按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
统计模块,用于根据所述关键字段信息,获取所述多个地理位置工控网络安全攻击行为的统计数据;
可视化模块,用于将所述工控网络安全攻击行为的统计数据进行可视化呈现。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取多个地理位置的工控蜜罐节点的攻击行为数据包;
按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;
将所述工控网络安全攻击行为的统计数据进行可视化呈现。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取多个地理位置的工控蜜罐节点的攻击行为数据包;
按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;
将所述工控网络安全攻击行为的统计数据进行可视化呈现。
上述工控蜜罐节点管理方法、***、计算机设备和存储介质,通过蜜罐管理平台将多个地理位置的工控蜜罐节点的攻击行为数据包进行分析统计并进行可视化呈现,能够实时了解分布于世界各地的攻击者的情况,便于用户观察和跟踪各个地区的攻击者的动态,制定安全防护策略。
附图说明
图1为一个实施例中工控蜜罐节点管理方法的应用环境图;
图2为一个实施例中工控蜜罐节点管理方法的流程示意图;
图3为一个实施例中工控蜜罐节点管理***的结构框图;
图4为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的工控蜜罐节点管理方法,可以应用于如图1所示的应用环境中。其中,工控蜜罐节点102通过网络与蜜罐管理平台104进行通信,工控蜜罐节点102可通过hpfeeds通信协议与蜜罐管理平台104进行数据交互,蜜罐管理平台104与用户界面106连接。蜜罐管理平台104获取多个地理位置的工控蜜罐节点的攻击行为数据包;按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;将所述工控网络安全攻击行为的统计数据进行可视化呈现;其中,可视化呈现的所述工控网络安全攻击行为的统计数据在用户界面106显示。其中,工控蜜罐节点102和蜜罐管理平台104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种工控蜜罐节点管理方法,包括以下步骤:
S110,获取多个地理位置的工控蜜罐节点的攻击行为数据包。
其中,蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁。工控蜜罐节点是采用蜜罐技术布置在工业控制***的蜜罐***,每个工控蜜罐节点布置在一个工业控制***。攻击行为数据包是指攻击者向工业控制***发送的攻击数据,比如,非法读取工业控制数据,非法向工业控制***发送控制指令。在攻击行为数据包中包括攻击者的IP地址。
其中,工控蜜罐节点通过监听工控协议常用端口,实时监测和记录来自外部的访问请求,并根据请求内容给攻击者进行数据响应,常用端口包括502(Modbus)、102(S7)、44818(EtherNet/IP)和2404(IEC-104),工控蜜罐节点监听的端口可以通过蜜罐管理平台进行管理。
S120,按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据。
其中,深度解析主要指在应用层(最顶层)根据对应的工控协议格式,对攻击行为数据包进行解析,得到关键字段信息;例如,根据工控协议格式Modbus,的格式对数据内容进行解析,获得攻击源、操作功能码、操作数据;攻击源为所述攻击行为数据包的攻击者源IP地址;操作功能码可为向寄存器中写入数值的指令,所述数值用于控制工控设备开关关闭,或者,所述数值为控制电机转速的数值,PLC从寄存器读取所述数值后控制电机的转速,所述操作功能码还可为对PLC设备进行编程的指令;操作数据为操作功能码需要使用的数据,在操作功能码为向寄存器中写入数值的指令时,所述数值即为操作数据。
S130,根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据。
其中,通过对各个地理位置的攻击行为数据汇总,来统计每个攻击者的攻击特征,统计数据包括对攻击者的所属国家、所属组织、总攻击次数、协议类型、功能请求等内容进行统计分析。
具体为,通过攻击源来识别攻击者,通过操作功能码和操作数据来实现协议类型、功能请求等内容的统计分析,总攻击次数根据同一攻击者的攻击行为数据包的数量计算。
S140,将所述工控网络安全攻击行为的统计数据进行可视化呈现。
其中,对统计数据进行可视化呈现为对统计数据通过图表的方式在屏幕进行显示。例如,统计数据可以结合世界地图来进行显示,将攻击者按照其国际和所述组织在地图上标识,总攻击次数、协议类型也可以通过表格的方式进行呈现,攻击者擅长或习惯攻击的工控***的寄存器也可以通过表格的方式呈现。
上述工控蜜罐节点管理方法中,通过蜜罐管理平台将多个地理位置的工控蜜罐节点的攻击行为数据包进行分析统计并进行可视化呈现,能够实时了解分布于世界各地的攻击者的情况,便于用户观察和跟踪各个地区的攻击者的动态,制定安全防护策略。
在其中一个实施例中,在按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息之后,包括:根据所述攻击源,对所述多个地理位置的新增攻击者标识进行统计将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点。
其中,蜜罐管理平台设置了数据库模块,数据库模块用于存储攻击者列表,所述攻击者列表包括所述历史攻击者标识,蜜罐管理平台实时根据所述攻击行为数据包进行分析处理,对新增的攻击者标识进行统计。攻击者标识可为所述攻击者的IP地址。
本实施例中,通过蜜罐管理平台将多个地理位置的工控蜜罐节点的攻击行为数据包进行分析统计,实时更新所述攻击者列表,并发送到每个工控蜜罐节点,能够避免工控蜜罐节点的攻击者列表数据更新不及时导致的安全问题。
在其中一个实施例中,在获取多个地理位置的工控蜜罐节点的攻击行为数据包之后,包括:根据所述攻击行为数据包,统计每个时间段的攻击行为次数;和/或,根据所述攻击行为数据包,统计攻击次数排在前N位的攻击者,所述N为正整数;和/或,根据所述攻击行为数据包,统计受攻击次数最多的工控协议;和/或,根据所述攻击行为数据包,统计每种所述工控协议在攻击行为总次数中的占比;和/或,根据所述攻击行为数据包,统计受攻击次数最多的所述工控蜜罐节点;和/或,根据所述攻击行为数据包,统计每个地理位置的攻击行为次数、总攻击次数、攻击次数排在前N位的协议类型、攻击次数排在前N位功能请求,所述N为正整数。
其中,每个时间段可以是每个小时、每天或者每周。本实施例中,通过对攻击次数排前的攻击者进行统计,后期能够对其进行重点防御;统计受攻击次数最多的工控协议,能够针对具体的工控协议进行改善防止遭受攻击;统计受攻击次数最多的所述工控蜜罐节点,可以对该工控蜜罐节点进行重点防护;统计每种所述工控协议在攻击行为总次数中的占比,能够针对不同的工控协议制定不同的安全防护级别;统计每个地理位置的攻击者标识、总攻击次数、协议类型、功能请求,能够对不同的地理位置设置不同的防护策略。
在其中一个实施例中,所述工控蜜罐节点管理方法,还包括:对每个时间段的攻击行为次数、攻击次数排在前N位的攻击者标识、受攻击次数最多的工控协议、每种所述工控协议在攻击行为总次数中的占比、受攻击次数最多的所述工控蜜罐节点和/或每个地理位置的攻击者标识、总攻击次数、协议类型、功能请求进行可视化呈现。
具体的,对每个时间段的攻击行为次数可按照时间的先后顺序通过曲线的方式显示,横轴表示时间段纵轴表示攻击行为次数;攻击次数排在前N位的攻击者标识根据地理位置进行标红显示,或者通过柱状图显示每个攻击者标识的攻击行为次数,或者将攻击次数排在前N位的攻击者标识通过列表的方式展示;所述受攻击次数最多的工控协议、每种所述工控协议在攻击行为总次数中的占比、受攻击次数最多的所述工控蜜罐节点均可以通过与所述攻击次数排在前N位的攻击者标识相同的可视化方法展示;每个地理位置的攻击者标识、总攻击次数、协议类型、协议占比、功能请求,可以通过曲线图、柱状图、饼状图进行呈现。
在其中一个实施例中,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:选择进行数据分析的地理位置和所述地理位置的工控蜜罐节点;根据所述工控蜜罐节点,获取所述工控蜜罐节点的攻击行为数据包。
具体的,在蜜罐管理平台根据地理位置接入、删除工控蜜罐节点实现。本实施例中,通过对具体的地理位置和具体的工控蜜罐节点进行数据统计分析,能够将新增的工控蜜罐节点加入蜜罐管理平台,对已经撤销的工控蜜罐节点从蜜罐管理平台删除。
在其中一个实施例中,在将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点之后,包括:根据所述攻击者列表中所述攻击者标识所在的地理位置,在地图的对应位置通过图标显示所述攻击者标识。
具体的,蜜罐管理平台通过将攻击者IP转换为地理经纬度数据,在世界地图上对攻击者的分布进行呈现。当然,蜜罐管理平台还可将攻击行为次数在地图呈现,让用户对攻击者全球分布及其活跃情况有直观的认识。
例如,通过红色定位图标显示所述攻击者标识的位置,攻击者越多的地方,在地图上显示的攻击者标识的红色定位图标越密集。
在其中一个实施例中,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:通过hpfeeds通信协议从多个地理位置的工控蜜罐节点获取攻击行为数据包。本实施例中,通过hpfeeds通信协议连接蜜罐管理平台和工控蜜罐节点,能够实现一个蜜罐管理平台与多个工控蜜罐节点通信,且hpfeeds通信协议带有身份认证机制,能够保障传输数据的真实性,保证蜜罐管理平台和工控蜜罐节点的通信安全。
在其中一个实施例中,在所述获取多个地理位置的工控蜜罐节点的攻击行为数据包之前,包括:在多个地理位置的VPS服务器安装所述工控蜜罐节点,并通过hpfeeds通信协议与所述工控蜜罐节点建立连接。
具体的,VPS服务器包括Vultr、Linode、SugarHosts和Aliyun等多个来自不同国家服务商所提供的VPS服务器,适用于全球范围内部署工控蜜罐节点。在VPS服务器上安装Docker运行环境,并为其分配运行工控蜜罐节点所需的资源;导入工控蜜罐镜像,安装工控蜜罐程序软件运行所需的依赖库;修改工控蜜罐节点配置文件中与hpfeeds通信协议相关的功能,指定连接到蜜罐管理平台;修改VPS的iptables,将运行SSH服务的22号端口重定向至10000以上的端口,免攻击者识别SSH并暴力破解工控蜜罐节点;以前台方式运行工控蜜罐程序软件,检查是否能够正常运行,确认无误后,再以后台方式重新运行工控蜜罐程序软件;在本地服务器上安装蜜罐管理平台所需的运行环境和依赖库,安装数据库并根据需要设置表结构,安装hpfeeds服务,并对服务器的wsgi和反向代理等功能进行配置。
在其中一个实施例中,蜜罐管理平台用于对部署在各个VPS服务器上的工控蜜罐节点进行管理,蜜罐管理平台通过hpfeeds通信协议与工控蜜罐节点进行数据信息交互。蜜罐管理平台包含蜜罐管理、用户管理、工控协议解析、数据统计、可视化和数据库等功能模块。
其中,蜜罐管理模块用于对接入的工控蜜罐节点进行集中管理,用户无需单独登录各个工控蜜罐节点所在VPS服务器进行查看,能够提高运维效率。蜜罐管理模块的主要功能包括工控蜜罐节点的接入、删除、攻击者行为数据活动状态监测和工控蜜罐节点的设备信息查看。
用户管理模块用于对用户账号及其权限进行管理,确保***使用过程的安全性。用户管理模块包括用户账号的创建、删除、修改和及相应用户权限的配置。
工控协议解析模块用于对攻击者发起的功能请求报文进行解析,得到攻击者具体的攻击行为内容。工控协议解析模块支持Modbus、S7、CIP、IEC-104等主流工控协议。工控协议解析模块支持用户导入工控协议格式,进而实现对新增工控协议的扩展。
数据统计模块用于对网络中收集的攻击行为数据包进行全面的分析。数据统计模块包括攻击数据统计和攻击者行为统计功能。攻击数据统计对总攻击次数、前N个活跃攻击者IP、受攻击次数最多的工控协议、受攻击次数最多的工控蜜罐节点、新增攻击者IP等内容进行统计分析。攻击者行为统计根据攻击者IP进行区分,对攻击者的所属国家、所属组织、总攻击次数、协议类型、功能请求等内容进行统计分析。
可视化模块用于对攻击行为数据包进行可视化呈现,帮助用户发现数据中隐藏的信息。可视化模块包括网络攻击态势感知、数据多维可视化等功能。网络攻击态势感知通过将攻击者IP转换为地理经纬度数据,在世界地图上对攻击次数进行呈现,让用户对攻击者全球分布及其活跃情况有直观的认识。数据多维可视化从时间、空间、协议类型、功能请求和攻击次数等多个维度对攻击数据的统计结果进行可视化呈现,帮助用户从多个不同维度了解网络攻击情况。可视化模块支持对可视化工具的扩展,用户可根据需要引入新的可视化工具,以实现更为多样的可视化呈现效果。
数据库模块用于存储用户身份信息和工控蜜罐节点所捕获的网络中攻击行为数据包,根据其他模块的请求向其提供所需的数据。
用户界面根据用户操作,向蜜罐管理平台请求响应数据,并将内容呈现给用户。用户界面可以采用浏览器或客户端的方式进行实现。
应该理解的是,虽然图2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图3所示,提供了一种工控蜜罐节点管理***,包括:攻击行为数据获取模块210、解析模块220、统计模块230和可视化模块240,其中:
攻击行为数据获取模块210,用于获取多个地理位置的工控蜜罐节点的攻击行为数据包;
解析模块220,用于按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
统计模块230,用于根据所述关键字段信息,获取所述多个地理位置工控网络安全攻击行为的统计数据;
可视化模块240,用于将所述工控网络安全攻击行为的统计数据进行可视化呈现。
在其中一个实施例中,所述工控蜜罐节点管理***还包括:新增攻击者标识统计模块,用于根据所述攻击源,对所述多个地理位置的新增攻击者标识进行统计;攻击者列表更新模块,用于将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点。
在其中一个实施例中,所述工控蜜罐节点管理***还包括:攻击行为次数统计模块,用于根据所述攻击行为数据包,统计每个时间段的攻击行为次数;和/或,攻击者标识统计模块,用于根据所述攻击行为数据包,统计攻击次数排在前N位的攻击者标识,所述N为正整数;和/或,工控协议统计模块,用于根据所述攻击行为数据包,统计受攻击次数最多的工控协议;工控协议占比计算模块,用于根据所述攻击行为数据包,统计每种所述工控协议在攻击行为总次数中的占比;和/或,和/或,工控蜜罐节点统计模块,用于根据所述攻击行为数据包,统计受攻击次数最多的所述工控蜜罐节点;和/或,地理位置攻击数统计模块,用于根据所述攻击行为数据包,统计每个地理位置的攻击行为次数、总攻击次数、攻击次数排在前N位的协议类型、攻击次数排在前N位功能请求,所述N为正整数。
在其中一个实施例中,所述工控蜜罐节点管理***还包括:所述可视化模块240,还用于对每个时间段的攻击行为次数、攻击次数排在前N位的攻击者标识、受攻击次数最多的工控协议、每种所述工控协议在攻击行为总次数中的占比、受攻击次数最多的所述工控蜜罐节点和/或每个地理位置的攻击者标识、总攻击次数、协议类型、功能请求进行可视化呈现。
在其中一个实施例中,攻击行为数据获取模块210包括:工控蜜罐节点选择单元,用于选择进行数据分析的地理位置和所述地理位置的工控蜜罐节点;数据获取单元,用于根据所述工控蜜罐节点,获取所述工控蜜罐节点的攻击行为数据包。
在其中一个实施例中,所述工控蜜罐节点管理***还包括:地图显示模块,用于根据所述攻击者列表中所述攻击者标识所在的地理位置,在地图的对应位置通过图标显示所述攻击者标识。
在其中一个实施例中,所述攻击行为数据获取模块210,还用于通过hpfeeds通信协议从多个地理位置的工控蜜罐节点获取攻击行为数据包。
在其中一个实施例中,所述工控蜜罐节点管理***还包括:工控蜜罐节点安装模块,用于在多个地理位置的VPS服务器安装所述工控蜜罐节点,并通过hpfeeds通信协议与所述工控蜜罐节点建立连接。
关于工控蜜罐节点管理***的具体限定可以参见上文中对于工控蜜罐节点管理方法的限定,在此不再赘述。上述工控蜜罐节点管理***中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过***总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***、计算机程序和数据库。该内存储器为非易失性存储介质中的操作***和计算机程序的运行提供环境。该计算机设备的数据库用于存储攻击行为数据包。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种工控蜜罐节点管理方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种工控蜜罐节点管理方法,其特征在于,所述方法包括:
获取多个地理位置的工控蜜罐节点的攻击行为数据包;
按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
根据所述关键字段信息,获取所述多个地理位置的工控网络安全攻击行为的统计数据;
将所述工控网络安全攻击行为的统计数据进行可视化呈现。
2.根据权利要求1所述的方法,其特征在于,在按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息之后,包括:
根据所述攻击源,对所述多个地理位置的新增攻击者标识进行统计;
将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点。
3.根据权利要求1所述的方法,其特征在于,在获取多个地理位置的工控蜜罐节点的攻击行为数据包之后,包括:
根据所述攻击行为数据包,统计每个时间段的攻击行为次数;和/或,
根据所述攻击行为数据包,统计攻击次数排在前N位的攻击者,所述N为正整数;和/或,
根据所述攻击行为数据包,统计受攻击次数最多的工控协议;和/或,
根据所述攻击行为数据包,统计每种所述工控协议在攻击行为总次数中的占比;和/或,
根据所述攻击行为数据包,统计受攻击次数最多的所述工控蜜罐节点;和/或,
根据所述攻击行为数据包,统计每个地理位置的攻击行为次数、总攻击次数、攻击次数排在前N位的协议类型、攻击次数排在前N位功能请求,所述N为正整数。
4.根据权利要求3所述的方法,其特征在于,还包括:
对每个时间段的攻击行为次数、攻击次数排在前N位的攻击者标识、受攻击次数最多的工控协议、每种所述工控协议在攻击行为总次数中的占比、受攻击次数最多的所述工控蜜罐节点和/或每个地理位置的攻击者标识、总攻击次数、协议类型、功能请求进行可视化呈现。
5.根据权利要求1所述的方法,其特征在于,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:
选择进行数据分析的地理位置和所述地理位置的工控蜜罐节点;
根据所述工控蜜罐节点,获取所述工控蜜罐节点的攻击行为数据包。
6.根据权利要求1所述的方法,其特征在于,在将所述新增攻击者标识添加至攻击者列表中,并将所述攻击者列表发送到所述多个地理位置的工控蜜罐节点之后,包括:
根据所述攻击者列表中所述攻击者标识所在的地理位置,在地图的对应位置通过图标显示所述攻击者标识。
7.根据权利要求1所述的方法,其特征在于,所述获取多个地理位置的工控蜜罐节点的攻击行为数据包括:
通过hpfeeds通信协议从多个地理位置的工控蜜罐节点获取攻击行为数据包。
8.根据权利要求1所述的方法,其特征在于,在所述获取多个地理位置的工控蜜罐节点的攻击行为数据包之前,包括:
在多个地理位置的VPS服务器安装所述工控蜜罐节点,并通过hpfeeds通信协议与所述工控蜜罐节点建立连接。
9.一种工控蜜罐节点管理***,其特征在于,所述***包括:
攻击行为数据获取模块,用于获取多个地理位置的工控蜜罐节点的攻击行为数据包;
解析模块,用于按照工控协议类型对所述攻击行为数据包进行深度解析,得到关键字段信息;所述关键字段信息包括攻击源、操作功能码、操作数据;
统计模块,用于根据所述关键字段信息,获取所述多个地理位置工控网络安全攻击行为的统计数据;
可视化模块,用于将所述工控网络安全攻击行为的统计数据进行可视化呈现。
10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088459.1A CN112866259A (zh) | 2021-01-22 | 2021-01-22 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110088459.1A CN112866259A (zh) | 2021-01-22 | 2021-01-22 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112866259A true CN112866259A (zh) | 2021-05-28 |
Family
ID=76007987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110088459.1A Pending CN112866259A (zh) | 2021-01-22 | 2021-01-22 | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866259A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、***及计算机可读存储介质 |
| CN116132197A (zh) * | 2023-04-13 | 2023-05-16 | 中国华能集团清洁能源技术研究院有限公司 | 一种基于功能码的网络同源攻击分析方法及*** |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| AU2015203088A1 (en) * | 2014-06-11 | 2016-01-07 | Accenture Global Services Limited | Method and system for automated incident response |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐***的攻击数据获取方法、装置 |
| CN112182564A (zh) * | 2020-08-20 | 2021-01-05 | 东北大学 | 一种基于时间序列预测的工控蜜罐交互*** |
-
2021
- 2021-01-22 CN CN202110088459.1A patent/CN112866259A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561004A (zh) * | 2013-10-22 | 2014-02-05 | 西安交通大学 | 基于蜜网的协同式主动防御*** |
| AU2015203088A1 (en) * | 2014-06-11 | 2016-01-07 | Accenture Global Services Limited | Method and system for automated incident response |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐*** |
| CN110875904A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 实现攻击处理的方法、蜜罐部署方法及介质和设备 |
| CN109462599A (zh) * | 2018-12-13 | 2019-03-12 | 烽台科技(北京)有限公司 | 一种蜜罐管理*** |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐***的攻击数据获取方法、装置 |
| CN112182564A (zh) * | 2020-08-20 | 2021-01-05 | 东北大学 | 一种基于时间序列预测的工控蜜罐交互*** |
Non-Patent Citations (1)
| Title |
|---|
| 李京京: ""基于蜜罐技术的ICS威胁感知平台设计与实现"" * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114285628A (zh) * | 2021-12-22 | 2022-04-05 | 北京知道创宇信息技术股份有限公司 | 一种蜜罐部署方法、装置、***及计算机可读存储介质 |
| CN116132197A (zh) * | 2023-04-13 | 2023-05-16 | 中国华能集团清洁能源技术研究院有限公司 | 一种基于功能码的网络同源攻击分析方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112187825B (zh) | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 | |
| CN108449345B (zh) | 一种网络资产持续安全监控方法、***、设备及存储介质 | |
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| US10412112B2 (en) | Time-tagged pre-defined scenarios for penetration testing | |
| EP2715975B1 (en) | Network asset information management | |
| US9591004B2 (en) | Geographical intrusion response prioritization mapping through authentication and flight data correlation | |
| US7472421B2 (en) | Computer model of security risks | |
| US9008617B2 (en) | Layered graphical event mapping | |
| CN109462599B (zh) | 一种蜜罐管理*** | |
| US20110093786A1 (en) | Geographical vulnerability mitgation response mapping system | |
| EP3085023B1 (en) | Communications security | |
| US20110010633A1 (en) | Systems and methods for monitoring and management of network security systems | |
| CN112866259A (zh) | 工控蜜罐节点管理方法、装置、计算机设备和存储介质 | |
| CN111835788B (zh) | 一种情报数据分发方法和装置 | |
| CN111262881A (zh) | 一种隐藏手机app访问的服务器dns域名的方法 | |
| CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| US20120159626A1 (en) | Geographical intrusion response prioritization mapping system | |
| CN114553471A (zh) | 一种租户安全管理*** | |
| CN114124414B (zh) | 蜜罐服务的生成方法和装置,攻击行为数据的捕获方法,计算机设备,存储介质 | |
| CN112448963A (zh) | 分析自动攻击工业资产的方法、装置、设备及存储介质 | |
| CN114205169B (zh) | 网络安全防御方法、装置及*** | |
| EP3635935B1 (en) | Managing alerts regarding additions to user groups | |
| CN116055185A (zh) | 分布式网络信息发布***的主动网络安全防御方法和*** | |
| CN109729089A (zh) | 一种基于容器的智能网络安全功能管理方法及*** | |
| Cisco | Real-Time Monitoring Using Event Viewer |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Applicant after: Zhejiang Mulian Internet of things Technology Co.,Ltd. Address before: 10 / F, building 4, 188 Lianchuang street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province 310000 Applicant before: Hangzhou wooden chain Internet of things Technology Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210528 |