The invention belongs to the field of network security technology, and puts forward a kind of industrial control protocol honeypot and its application with self learning function for industrial Internet. The honeypot includes the interface module, the access request processing module, the self learning module and the data storage module. The interface module is used to implement the standard interface for the current honeypot Industry Internet. When malicious attacks are invaded, honeypots receive malicious programs according to different communication protocols, tricking malicious programs to consider honeypot as a real industrial control device. Request receiving and analysis access request processing module through the visit, whether to accept the current honeypot identification access request response, if not responding, the access request submitted to the self-learning module, the corresponding response obtained by the method of self-learning and storage, industrial equipment, the real depth of imitation has been scanned. Finally, the data storage module is responsible for the analysis and processing of the spatial address and network data flow, and analyzes the malicious behavior.
【技术实现步骤摘要】
一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
本专利技术属于网络安全
,具体涉及面向工业互联网的带有自学习功能的工控协议蜜罐及应用。
技术介绍
最近几年,网络空间安全领域发生了巨大的变化,工业控制系统成为了新的网络空间安全主战场之一。两化融合后,IT系统的信息安全也被融入了工控系统安全中。当前,我国关键信息基础设施面临的网络安全形势严峻且复杂。全球存在大量暴露在Internet上的工业控制系统,其中占比较多的包括电力行业、石油石化行业及先进制造业,这些都与国家的发展密切相关。由于工业控制网络的开放性,攻击者可采取多种手段攻击该网络,比如利用工控设备漏洞、TCP/IP协议缺陷及专用通讯协议漏洞等。蜜网技术的部署和实施已经引起了广泛的关注。虽然国内外学者都用不同的蜜网解决网络安全问题,但是当前的蜜网主要用于网络入侵与恶意代码检测、恶意代码样本捕获和僵尸网络追踪等用途,而针对工业控制系统的攻击比较复杂,很少有专门针对工业控制网络的蜜网。且针对入侵手法与攻击工具更新快、数量多能过进行自学习的蜜罐更是少之又少。因此,建立能够快速有效并及时更新地发现工控网络中的威胁攻击的蜜罐迫在眉睫。
技术实现思路
本专利技术的目的在于:提供一种面向工业互联网的带有自学习功能的工控协议蜜罐。模拟工控设备的相关特征,吸引针对工控设备的恶意攻击和威胁,并通过自学习不断深入模拟工控设备,当所部署蜜罐设备遭受到恶意攻击后,记录攻击模型和特点发出警告进行记录。不仅能够及时快速地发现工控网络中存在的威胁等,还能对攻击类型、攻击方式进行记录,获取攻击地址、地理位置等做出相应预警,为工控 ...
【技术保护点】
一种面向工业互联网的带有自学习功能的工控协议蜜罐,其特征在于,包括:a.接口模块,用于实现当前蜜罐所处工业互联网所需的标准接口;当恶意攻击入侵时,蜜罐根据不同的通信协议接收恶意程序,诱骗恶意程序认为蜜罐为真正的工控设备;b.访问请求处理模块,用于接收并且分析访问请求,判别蜜罐当前能否对接受到的访问请求进行应答,若可以应答,则将对应的应答报文返回访问者,否则将访问请求提交至后续处理模块;c.自学习模块,用于处理当前蜜罐暂时无法处理的访问请求,通过自学习的方法获取相应的应答并储存,以应对未来的访问,深度模仿已被扫描的真实的工控设备;d.数据存储模块,用于记录蜜罐的访问记录,采集的数据将用于后续的数据分析与预警,进而评估、预测工控密网中捕获的攻击事件;采集的数据包括:空间地址和网络数据流;所述的数据分析包括:IP地址对应的地理信息位置的分析、IP地址对应的域名的分析、扫描方式的分析和系统行为分析。
【技术特征摘要】
1.一种面向工业互联网的带有自学习功能的工控协议蜜罐,其特征在于,包括:a.接口模块,用于实现当前蜜罐所处工业互联网所需的标准接口;当恶意攻击入侵时,蜜罐根据不同的通信协议接收恶意程序,诱骗恶意程序认为蜜罐为真正的工控设备;b.访问请求处理模块,用于接收并且分析访问请求,判别蜜罐当前能否对接受到的访问请求进行应答,若可以应答,则将对应的应答报文返回访问者,否则将访问请求提交至后续处理模块;c.自学习模块,用于处理当前蜜罐暂时无法处理的访问请求,通过自学习的方法获取相应的应答并储存,以应对未来的访问,深度模仿已被扫描的真实的工控设备;d.数据存储模块,用于记录蜜罐的访问记录,采集的数据将用于后续的数据分析与预警,进而评估、预测工控密网中捕获的攻击事件;采集的数据包括:空间地址和网络数据流;所述的数据分析包括:IP地址对应的地理信息位置的分析、IP地址对应的域名的分析、扫描方式的分析和系统行为分析。2.权利要求1所述工控协议蜜罐的应...
【专利技术属性】
技术研发人员:姚羽,钟旭翔,盛川,叶书凯,杨巍,刘思宇,张恩蒙,
申请(专利权)人:东北大学,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。