【技术实现步骤摘要】
基于蜜罐系统的工控网络攻击报文响应方法及响应系统
[0001]本专利技术涉及网络安全
,特别提供了一种基于蜜罐系统的工控网络攻击报文响应方法及响应系统。
技术介绍
[0002]工业控制系统(简称工控系统)由各种自动化控制组件和一系列负责实时数据采集、监测的过程控制组件组成。其组件一般包括数据采集和监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)以及负责各组件之间通信的接口。目前,工控系统已经被广泛应用于电力系统中,各个等级的变电站中重要的继电保护装备已经接入电力工控网络中。如果电力工控系统遭到入侵,其后果是无法估计的,因此工控系统的安全需要网络安全领域人士给予足够的重视与关注。
[0003]绝大多数工控协议都是基于通用的计算机和操作系统,并运行于TCP/IP协议之上。这使得TCP/IP协议自身存在的安全问题不可避免地对运行在其应用层的工控协议产生影响。此外,由于工控系统的特殊性,当系统暴露漏洞之后,出于影响生产的顾虑,往往不会立即添加安全补...
【技术保护点】
【技术特征摘要】
1.基于蜜罐系统的工控网络攻击报文响应方法,其特征在于,包括如下步骤:S1:接收攻击报文并筛选出所述攻击报文中的有效工控协议报文;S2:从所述有效工控协议报文中提取相应工控应用数据单元功能码字段Func_code和工控应用数据单元请求数据域字段Request_data,并与蜜罐系统中的请求响应表中的数据的相应字段进行匹配,若匹配到完全相同数据,则执行S3,若提取到的工控应用数据单元功能码字段Func_code与请求响应表中多条数据的工控应用数据单元功能码字段Func_code相同时,则执行S4,否则,不予响应;S3:将从所述请求响应表中匹配到的数据的工控应用数据单元响应数据域字段Reply_data拼接至响应数据部分,组合成欺骗攻击者的响应报文进行回复;S4:计算所述有效工控协议报文中的工控应用数据单元请求数据域字段Request_data与从所述请求响应表中匹配到的多条数据的工控应用数据单元请求数据域字段Request_data的相似度,并选择相似度最大数据中的工控应用数据单元响应数据域字段Reply_data拼接至响应数据部分,组合成欺骗攻击者的响应报文进行回复。2.按照权利要求1所述基于蜜罐系统的工控网络攻击报文响应方法,其特征在于:S1中,有效工控协议报文通过匹配工控协议传输层中端口号字段Port及网络层工控应用数据单元功能码字段Func_code筛选出来。3.按照权利要求1所述基于蜜罐系统的工控网络攻击报文响应方法,其特征在于:S4中,所述有效工控协议报文中的工控应用数据单元请求数据域字段Request_data与从所述请求响应表中匹配到的多条数据的工控应用数据单元请求数据域字段Request_data的相似度利用Smith
‑
Waterman算法计算。4.按照权利要求1所述基于蜜罐系统的工控网络攻击报文响应方法,其特征在于:还包括记录与攻击者交互行为的日志的步骤。5.按照权利要求1所述基于蜜罐系统的工控网络攻击报文响应方法,其特征在于:还包括构建蜜罐系统中的请求响应表的步骤,其中,所述蜜罐系统中的请求响应表的构建方法如下:S001:获取所模仿场景下的电力工控网络流量数据并存储;S002:筛选所述电力工控网络流量数据中的有效工控协议报文并存储所述有效工控协议报文中的交互特征字段;S003:利用所述有效工控协议报文的交互特征字段匹配对应的请求响应数据域对,进而构建蜜罐系统的请求响应表。6.按照权利要求5所述基于蜜罐系统的工控网络攻击报文响应方法,其特征在于:S002具体包括如下步骤:S0021:提取最近一个时间周期所存储的电力工控网络流量数据中每条报文的交互特征字段,所述交互特征字段包括捕获时间字段Cap_time、源IP字段Src_ip、目的IP字段Dst_ip、传输层中端口号字段Port和应用层中工控应用数据单元字段PDU,其中,所述工控应用数据单元字段PDU包括工控应用数据单元功能码字段Fun...
【专利技术属性】
技术研发人员:张恩蒙,杨沈,孙守道,李小兰,刘东延,卢毅,于淼,冯天民,
申请(专利权)人:国网辽宁省电力有限公司沈阳供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。