一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用制造技术

本发明专利技术属于网络安全技术领域，提出了一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用。该蜜罐包括：接口模块、访问请求处理模块、自学习模块、数据存储模块。通过接口模块实现当前蜜罐所处工业互联网所需的标准接口。当恶意攻击入侵时，蜜罐根据不同的通信协议接收恶意程序，诱骗恶意程序认为蜜罐为真正的工控设备。通过访问请求处理模块接收并且分析访问请求，判别蜜罐当前能否对接受到的访问请求进行应答，若不能应答，将访问请求提交至自学习模块，通过自学习的方法获取相应的应答并储存，深度模仿已被扫描的真实的工控设备。最后，数据存储模块负责对空间地址、网络数据流进行分析处理，分析其中的恶意行为。

An industrial Internet based industrial control protocol honeypot with self learning function and its application

The invention belongs to the field of network security technology, and puts forward a kind of industrial control protocol honeypot and its application with self learning function for industrial Internet. The honeypot includes the interface module, the access request processing module, the self learning module and the data storage module. The interface module is used to implement the standard interface for the current honeypot Industry Internet. When malicious attacks are invaded, honeypots receive malicious programs according to different communication protocols, tricking malicious programs to consider honeypot as a real industrial control device. Request receiving and analysis access request processing module through the visit, whether to accept the current honeypot identification access request response, if not responding, the access request submitted to the self-learning module, the corresponding response obtained by the method of self-learning and storage, industrial equipment, the real depth of imitation has been scanned. Finally, the data storage module is responsible for the analysis and processing of the spatial address and network data flow, and analyzes the malicious behavior.

【技术实现步骤摘要】
一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用
本专利技术属于网络安全
，具体涉及面向工业互联网的带有自学习功能的工控协议蜜罐及应用。
技术介绍
最近几年，网络空间安全领域发生了巨大的变化，工业控制系统成为了新的网络空间安全主战场之一。两化融合后，IT系统的信息安全也被融入了工控系统安全中。当前，我国关键信息基础设施面临的网络安全形势严峻且复杂。全球存在大量暴露在Internet上的工业控制系统，其中占比较多的包括电力行业、石油石化行业及先进制造业，这些都与国家的发展密切相关。由于工业控制网络的开放性，攻击者可采取多种手段攻击该网络，比如利用工控设备漏洞、TCP/IP协议缺陷及专用通讯协议漏洞等。蜜网技术的部署和实施已经引起了广泛的关注。虽然国内外学者都用不同的蜜网解决网络安全问题，但是当前的蜜网主要用于网络入侵与恶意代码检测、恶意代码样本捕获和僵尸网络追踪等用途，而针对工业控制系统的攻击比较复杂，很少有专门针对工业控制网络的蜜网。且针对入侵手法与攻击工具更新快、数量多能过进行自学习的蜜罐更是少之又少。因此，建立能够快速有效并及时更新地发现工控网络中的威胁攻击的蜜罐迫在眉睫。
技术实现思路
本专利技术的目的在于：提供一种面向工业互联网的带有自学习功能的工控协议蜜罐。模拟工控设备的相关特征，吸引针对工控设备的恶意攻击和威胁，并通过自学习不断深入模拟工控设备，当所部署蜜罐设备遭受到恶意攻击后，记录攻击模型和特点发出警告进行记录。不仅能够及时快速地发现工控网络中存在的威胁等，还能对攻击类型、攻击方式进行记录，获取攻击地址、地理位置等做出相应预警，为工控系统的安全提供了一层有力保护。本专利技术实现方案如下：本专利技术公开了一种面向工业互联网的带有自学习功能的工控协议蜜罐，包括：a.接口模块，用于实现当前蜜罐所处工业互联网所需的标准接口；当恶意攻击入侵时，蜜罐根据不同的通信协议接收恶意程序，诱骗恶意程序认为蜜罐为真正的工控设备；b.访问请求处理模块，用于接收并且分析访问请求，判别蜜罐当前能否对接受到的访问请求进行应答，若可以应答，则将对应的应答报文返回访问者，否则将访问请求提交至后续处理模块；c.自学习模块，用于处理当前蜜罐暂时无法处理的访问请求，通过自学习的方法获取相应的应答并储存，以应对未来的访问，深度模仿已被扫描的真实的工控设备；d.数据存储模块，用于记录蜜罐的访问记录，采集的数据将用于后续的数据分析与预警，进而评估、预测工控密网中捕获的攻击事件；采集的数据包括：空间地址和网络数据流；所述的数据分析包括：IP地址对应的地理信息位置的分析、IP地址对应的域名的分析、扫描方式的分析和系统行为分析。根据IP地址和网络数据，定位扫描者的位置、扫描机构、扫描工具等，还可定位工控设备位置、所属机构和厂家信息等，还负责对系统行为的鉴别。上述一种面向工业互联网的带有自学习功能的工控协议蜜罐的应用，包括如下步骤：步骤1，选择部署方式，通过模拟工控网络的通信协议，实现蜜网主机与互联网的数据交换；部署方式包括：a.本地部署；将蜜罐部署在本地计算机上，便于蜜网程序的测试与改进；b.云服务器环境的部署；将蜜罐主机部署在互联网中，伪造成一个普通的工控设备或者管理工控设备的计算机；不怀好意的攻击者才会扫描攻击蜜罐主机。只有伪造的蜜网环境越逼真，黑客才会更加感兴趣，也会收集到更加深层次的攻击信息；体现蜜罐的欺骗性。步骤2，通过蜜网程序收集互联网对欺骗性工控环境的扫描与探测，入侵者扫描攻击蜜网时，蜜网资源是安全可控的；对流入/流出蜜网的网络连接进行限制，同时不能被入侵者发现，以免入侵者攻陷一个蜜网内的蜜罐主机后，利用获得的系统权限对蜜网之外的第三方主机进行攻击；体现蜜罐的可控性。步骤3，监听蜜网开放的服务端口，捕获相应端口的网络数据包；因此为了保护蜜网不被攻击者察觉，隐藏蜜网内的欺骗程序是设计蜜网时候需要考虑的一方面。当蜜网捕获程序收集到网络数据时，需要将数据记录并发送给蜜网的管理端，在网络数据传输时需要修改内核，令所有用户无法看到正在传输的数据包或者数据文件，保证数据传输的通道是隐蔽的；体现蜜罐的隐蔽性。步骤4，通过蜜网收集到的扫描蜜罐主机的网络数据和系统行为，经过进一步分析后，形成分析攻击者的数据放于数据存储模块中，为了让用户真正了解到蜜网里面究竟发生了的扫描攻击事件或者攻击者在蜜网主机的行为，对这些数据进行可视化展示，了解攻击者所属的组织、攻击目的和扫描工具；体现蜜罐的可见性。本专利技术的有益效果为：利用面向工业互联网的带有自学习功能的蜜罐，不但能够及时快速地发现工控网络中存在的威胁，还能通过自学习不断深入逼真地模仿工控设备以提高欺骗性，增强收集预警工控威胁的能力。附图说明图1是本专利技术的结构示意图。具体实施方式本专利技术提供了一种利用面向工业互联网的带有自学习功能的蜜罐，为了是使相关
的人员更好的理解本专利技术的技术方案，使本专利技术的发目的、特征更加易懂，对本专利技术做如下说明。本专利技术有两种部署方案。一种方案是本地部署，将蜜网资源部署在本地计算机上，方便蜜网程序的测试与改进，另一种是云服务器环境的部署，将蜜网程序部署在互联网上，收集互联网对欺骗性工控环境的扫描与探测，用于后续数据的分析。部署环境后模拟工控协议的通信，构建出欺骗性的工控网络环境，放于蜜网主机中吸引入侵，收集收据。如图1所示，包括：接口模块101，负责实现当前蜜罐所处工业互联网所需的标准接口。当恶意攻击入侵时，蜜罐可以根据不同的通信协议接收恶意程序，诱骗恶意程序认为蜜罐为真正的工控设备；访问请求处理模块102，用于接收并且分析访问请求，判别蜜罐当前能否对接受到的访问请求进行应答，若可以应答，则将对应的应答报文返回访问者，否则将访问请求提交至后续处理模块；自学习模块103，用于处理当前蜜罐暂时无法处理的访问请求，通过自学习的方法获取相应的应答并储存，以应对未来的访问，深度模仿已被扫描的真实的工控设备；数据存储模块104，用于记录蜜罐的访问记录，采集的数据将用于后续的数据分析与预警。根据IP地址和网络数据，定位扫描者的位置、扫描机构、扫描工具等，还可定位工控设备位置、所属机构和厂家信息等，还负责对系统行为的鉴别，分析其中的恶意行为。因此，本专利技术设计构建工控欺骗环境，通过模拟工控网络的通信协议，实现蜜网主机与互联网的数据交换。真实的工控系统的数据传输是各个设备利用工控的协议约定，发送并接受指定的命令，从而使上位机实时接收到下位机的数据，同时下位机接收上位机的指令进行数据操作的过程。模仿这个过程，本专利技术采取的思路就是将真实计算机伪装成工控网络的工控设备，作为正在实时工作的下位机或其他用于数据传输的工业设备，互联网中的扫描请求就是上位机对下位机下达数据接收指令。响应互联网中的扫描请求相当于下位机向上位机的工业数据传输，在这个过程中抓取数据不仅仅能收集到互联网对工控欺骗环境的扫描请求，还能进一步追溯扫描者的攻击手段、攻击目的甚至影响范围。不同的通信协议下的通信过程进行模拟仿真，以便构建不同的工控欺骗环境，收集更多扫描探测数据。本专利技术分别对MODBUS协议、西门子S7协议、OMRONFINS协议、IEC104协议、Ethernet/IP工业以太网协议的近20种通信过程进行模拟。为多种工控本文档来自技高网...

【技术保护点】
一种面向工业互联网的带有自学习功能的工控协议蜜罐，其特征在于，包括：a.接口模块，用于实现当前蜜罐所处工业互联网所需的标准接口；当恶意攻击入侵时，蜜罐根据不同的通信协议接收恶意程序，诱骗恶意程序认为蜜罐为真正的工控设备；b.访问请求处理模块，用于接收并且分析访问请求，判别蜜罐当前能否对接受到的访问请求进行应答，若可以应答，则将对应的应答报文返回访问者，否则将访问请求提交至后续处理模块；c.自学习模块，用于处理当前蜜罐暂时无法处理的访问请求，通过自学习的方法获取相应的应答并储存，以应对未来的访问，深度模仿已被扫描的真实的工控设备；d.数据存储模块，用于记录蜜罐的访问记录，采集的数据将用于后续的数据分析与预警，进而评估、预测工控密网中捕获的攻击事件；采集的数据包括：空间地址和网络数据流；所述的数据分析包括：IP地址对应的地理信息位置的分析、IP地址对应的域名的分析、扫描方式的分析和系统行为分析。

【技术特征摘要】
1.一种面向工业互联网的带有自学习功能的工控协议蜜罐，其特征在于，包括：a.接口模块，用于实现当前蜜罐所处工业互联网所需的标准接口；当恶意攻击入侵时，蜜罐根据不同的通信协议接收恶意程序，诱骗恶意程序认为蜜罐为真正的工控设备；b.访问请求处理模块，用于接收并且分析访问请求，判别蜜罐当前能否对接受到的访问请求进行应答，若可以应答，则将对应的应答报文返回访问者，否则将访问请求提交至后续处理模块；c.自学习模块，用于处理当前蜜罐暂时无法处理的访问请求，通过自学习的方法获取相应的应答并储存，以应对未来的访问，深度模仿已被扫描的真实的工控设备；d.数据存储模块，用于记录蜜罐的访问记录，采集的数据将用于后续的数据分析与预警，进而评估、预测工控密网中捕获的攻击事件；采集的数据包括：空间地址和网络数据流；所述的数据分析包括：IP地址对应的地理信息位置的分析、IP地址对应的域名的分析、扫描方式的分析和系统行为分析。2.权利要求1所述工控协议蜜罐的应...

【专利技术属性】
技术研发人员：姚羽，钟旭翔，盛川，叶书凯，杨巍，刘思宇，张恩蒙，
申请(专利权)人：东北大学，
类型：发明
国别省市：辽宁,21