【技术实现步骤摘要】
基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质
[0001]本专利技术涉及工控安全
,尤其涉及一种基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质。
技术介绍
[0002]蜜罐作为一个主动安全防御技术,被定义为安全资源,通常放置在公网中用来吸引攻击者对其进行扫描及攻击,从而捕获攻击者的行为。而工控蜜罐则是通过虚拟出虚假的工业资产,通过模拟具有漏洞的工业控制系统的服务来诱骗攻击者进行扫描攻击,从而捕获扫描和攻击数据,通过对这些数据的安全分析,捕获扫描和攻击行为。
[0003]现有技术中的基于工控蜜罐的流量分析方法,通常是对工控蜜罐的原始流量数据直接进行指纹匹配或直接基于流量偏移取关键值,来判定安全事件类型和内容,而这些原始流量数据的格式遵循工控协议的规范,由于工控协议种类繁多,流量较为复杂,通过指纹匹配或直接基于流量偏移取关键值的方式进行判定容易导致对安全行为的分析存在遗漏或者不全面。
[0004]为了解决上述问题,相关技术中提出基于不同的协议连接类型设置不同的处理模块,进而采用对应...
【技术保护点】
【技术特征摘要】
1.一种基于工控蜜罐的流量分析方法,其特征在于,包括:获取工控蜜罐的原始流量数据;根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据;根据所述待分析的协议数据和预设的协议数据与安全内容的映射关系,确定所述待分析的协议数据对应的安全内容;根据所述安全内容分析所述原始流量数据。2.根据权利要求1所述的基于工控蜜罐的流量分析方法,其特征在于,所述协议数据包括协议参数名称和协议参数值,根据所述待分析的协议数据和预设的协议数据与安全内容的映射关系,确定所述待分析的协议数据对应的安全内容的步骤包括:在预设的指纹表中,查找与所述协议参数名称相匹配的指纹标识,其中,所述指纹表包括多个所述指纹记录,所述指纹记录包括指纹标识、指纹规则和所述安全内容,与所述协议参数名称相匹配的指纹标识所属的指纹记录为目标指纹记录;判断所述协议参数值是否满足所述目标指纹记录中的指纹规则;以及当所述协议参数值满足所述目标指纹记录中的指纹规则时,确定所述目标指纹记录中的安全内容为所述待分析的协议数据对应的安全内容。3.根据权利要求2所述的基于工控蜜罐的流量分析方法,其特征在于,当所述协议参数值满足所述目标指纹记录中的指纹规则时,所述基于工控蜜罐的流量分析方法还包括:获取所述原始流量数据的流量特征;将所述流量特征和所述目标指纹记录作为一条指纹数据,存储在历史指纹库中;基于所述历史指纹库中的多条所述指纹数据进行安全分析。4.根据权利要求3所述的基于工控蜜罐的流量分析方法,其特征在于,所述流量特征包括若干维特征向量,所述特征向量包括时间、攻击者标识、被攻击者标识、蜜罐标识、协议标识和/或服务标识,根据所述历史指纹库中的多条所述指纹数据进行安全...
【专利技术属性】
技术研发人员:王建贵,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。