【技术实现步骤摘要】
一种基于工控仿真设备的威胁情报分析检测方法及系统
本专利技术涉及网络安全防护
,特别涉及一种基于工控仿真设备的威胁情报分析检测方法及系统。
技术介绍
恶意软件是尝试破坏计算机、工业控制系统,搜集敏感信息的计算机软件,它对传统计算机网络尤其是工业网络造成了很大威胁。2010年发现的Stuxnet病毒式首个针对工业控制系统的蠕虫病毒,该病毒针对下位机的SiemensS7200-300PLC执行恶意代码注入,对于上位机Wincc监控系统通过Hook技术执行了自我隐藏;2012年和2013年被检测发现的Flame病毒和Duqu病毒则是为Stuxnet进行前期数据搜集,包括网络环境拓扑、目标PLC详细信息等情况。近些年,又陆续爆发了针对能源网络的Havex、BlackEnergy病毒。通过对这些事件的分析我们可以发现,由于攻击价值很大,针对工业控制网络的恶意攻击行为往往会结合使用公开漏洞和0day漏洞,这就给恶意行为的及时发现造成了很大的困难。然而,由于工业控制网络对于安全要求的等级极高,必须要及时发现各种网络威胁(包括未知威胁...
【技术保护点】
1.一种基于工控仿真设备的威胁情报分析检测方法,其特征在于,包括:/n通过模拟技术在工控网络中仿真出工控仿真设备;/n为所述工控仿真设备构建独立的网络交互模型;/n利用所述工控仿真设备占用工控网络内空闲ip;/n利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;/n根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。/n
【技术特征摘要】
1.一种基于工控仿真设备的威胁情报分析检测方法,其特征在于,包括:
通过模拟技术在工控网络中仿真出工控仿真设备;
为所述工控仿真设备构建独立的网络交互模型;
利用所述工控仿真设备占用工控网络内空闲ip;
利用所述工控仿真设备实时采集来访数据并与来访数据进行交互;
根据工控仿真设备与来访数据交互产生的回应结果,判断其是否为APT攻击,若是则丢弃该数据。
2.如权利要求1所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,所述在工控网络中仿真出工控仿真设备,具体包括:
在工控网络中仿真出多个包含不同工业协议的工控仿真设备。
3.如权利要求2所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,多个所述工控仿真设备之间依次串联设置,所述来访数据依次经过每个所述工控仿真设备,并依次与每个工控仿真设备进行交互。
4.如权利要求2所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,所述工业协议包括s7comm、modbus、ftp、bacnet、kamstrup、opc、enip。
5.如权利要求1所述的基于工控仿真设备的威胁情报分析检测方法,其特征在于,还包括:
将生产网络内的流量数据进行镜像,从中分析并构建生产网络白名单模型。
6.如权利要...
【专利技术属性】
技术研发人员:吴志华,陈夏裕,郭立龙,章明飞,李斌,
申请(专利权)人:江苏亨通工控安全研究院有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。