【技术实现步骤摘要】
本申请涉及一种网络威胁诱捕系统,属于网络安全领域,尤其涉及一种针对电力工业场景的工业网络威胁诱捕系统。
技术介绍
1、近年来,工控领域安全事件频发,电力、能源、交通等涉及国家安全、国计民生的关基行业成为首要攻击目标,攻击产生的后果极其严重,工控领域安全形势严峻。
2、随着安全业态的发展以及对安全风险本质认识的深入,网络安全工作重点正在从过去的以“防御”为核心逐步转向构建全面“威胁感知”能力。威胁感知是从两个方向提升安全防护水平的,一个方向是防御工作的前倾和加强,强调在攻击事件发生之前,能够感知到内在隐患和外在威胁的存在,有效进行威胁预警。另一个方向是强调在安全防御体系被攻破后,能够第一时间感知到威胁事件的发生,并能迅速进行应急响应和溯源反制。
3、国家层面也高度重视关键行业领域、重点机构组织的威胁感知能力建设,明确提出维护网络安全工作首先要知道“风险在哪里,是什么样的风险,什么时候发生风险”。为此,需要快速构建起具备全面威胁感知能力的响应体系,尤其是增强内网的威胁感知能力。
4、随着工业化与信息化的融合发展,原本封闭的电力系统逐渐趋向于开放化和智能化,电力网络在提高生产效率的同时也引入了新的网络安全威胁。目前国内外市场上已出现了蜜罐系统,如:web蜜罐、数据库蜜罐、移动应用蜜罐、网络协议栈蜜罐、工控蜜罐等。现有的工控蜜罐系统对主流工控协议的仿真能力不够,只能支持少量工控协议的仿真,且交互能力也以低交互为主,同时针对典型行业的工控蜜罐缺少。
5、针对电力工业场景的工业网络威胁诱捕系统
技术实现思路
1、本申请提供了一种针对电力工业场景的工业网络威胁诱捕系统,通过电力行业相关协议和资产的模拟,模拟电力业务端到端流程,以形成与电力行业业务结合紧密的工业威胁诱捕系统。该系统主要包括:
2、威胁诱捕模块,用于伪造任意ip的tcp/udp端口开放响应,对电力业务端到端完整场景进行仿真;对电力场景下的工控设备进行仿真模拟;对电力行业相关工控协议进行深度仿真模拟;基于工控设备与网络协议的交互行为,构建完整电力工业场景的诱饵环境,形成诱捕网络,当攻击者发起请求时,对攻击者的请求进行回应,欺骗诱导攻击者继续攻击,以此收集来自网络层面及系统层面的威胁数据;
3、威胁检测模块,用于对所述威胁数据进行分析,识别黑客攻击路径并重构攻击过程场景。
4、可选地,所述威胁诱捕模块对电力业务端到端完整场景的仿真包括:发电、输电、变电、配电和用电五个环节。威胁诱捕模块中电力业务场景的模拟,通过模拟发电、输电、变电、配电环节中的电力装置和电力通信协议,实现了电力行业业务场景的模拟,模拟的场景目的是增强行业属性的拟真度,使得诱捕入侵方认为这是真实的行业场景,从而提升诱捕对方的能力。例如针对高压直流输电,模拟控制保护装置(即二次设备)以仿真状态接入,以及包括发电机、变压器、线路、开关、风机、光伏等一次设备的完全仿真;例如针对变电场景,支持端到端完整变电场景的仿真,如变电监控业务场景仿真,其过程包括变电站状态监视、变电站状态控制、保护定值召取、保护定值下载、保护压板投退、保护设备对时、保护信号复归、变电站故障等变电站主要业务流程。
5、可选地,所述工控设备至少包括以下一种:前置服务器、历史服务器、rtu、plc、hmi、保护装置、测控装置、备自投装置、低周减载装置、通信网关装置。
6、可选地,所述网络协议包括通用it/ot协议、电力行业相关工控私有协议。
7、可选地,所述通用it/ot协议包括以下一种或多种:http、ftp、telnet、mysql、snmp、smtp、tftp、mqtt、coap、pop3、ethernet/ip、s7、dnp3、fins、modbus tcp。
8、可选地,所述电力行业相关工控私有协议包括以下一种或多种:iec 103、iec104、iec61850、iccp、mms、goose、sv。
9、可选地,所述威胁检测模块对威胁数据的分析包括:从攻击、攻击者、组织、协议四个维度对攻击态势进行多角度分析。
10、可选地,所述威胁检测模块对威胁数据的分析还包括:对监控数据进行多维度分析,所述监控数据包括以下至少一种:威胁诱捕的连接频次、互联关系、威胁诱捕状态。
11、可选地,所述识别黑客攻击路径并重构攻击过程场景包括:通过黑客攻击流量包分析黑客攻击方法和手段,绘制黑客画像,溯源黑客信息。例如,对攻击流量包进行检测,深度解析流量包,从报文中提取相关字段信息和进行关联分析,包括源宿ip地址信息、端口和协议扫描、漏洞查找和利用方式、恶意软件行为等,从而分析攻击方的信息。
12、可选地,所述威胁检测模块还用于对攻击代码进行特征提取、分析,并将其加入到边界防护检测设备的威胁样本库中,当同样的攻击再次出现时,即可直接阻断。
13、可选地,该系统还包括可视化展示模块:用于对所述威胁检测模块分析得到安全态势、实时监控信息及攻击情况进行展示。
14、优选地,所述实时监控信息至少包括以下一种:展示威胁诱捕攻击地图、最近告警信息、入侵事件时间分布、受到入侵的探针top5、发起入侵的源ip top5、cpu使用率、内存使用率。
15、优选地,所述攻击情况至少包括以下一种:攻击源分析、攻击操作回放、攻击者画像。
16、可选地,该系统还包括威胁诱捕管理模块,用于对以下一种或多种数据进行管理:所述威胁诱捕模块的威胁诱捕配置、威胁诱捕监控情况等。
17、可选地,该系统还包括系统管理模块,用于进行日志管理、权限管理、备份管理。所述权限管理包括设置用户对不同模块的操作和使用权限;所述备份管理包括对以下至少一种数据进行管理:备份的信息和数据内容、备份位置。
18、优选地,所述针对电力工业场景的工业网络威胁诱捕系统采用虚拟化技术,将各模块集中部署在一台主机上。所述虚拟化技术可选用docker技术,更加轻量级,启动快速,资源利用高效,可以减少对硬件资源配置的要求,从而能够使用较少的硬件资源来运行更多的系统和模块。
19、本申请能产生的有益效果包括:
20、1)电力工控设备生产厂家众多,且一般使用私有协议进行通信,而通信协议格式又不对外公布,因此对所有工控协议进行深度仿真模拟是不太实际的。本申请所提供的针对电力工业场景的工业网络威胁诱捕系统,不仅能够模拟仿真http、ftp、telnet、mysql、snmp、smtp、tftp、mqtt、coap、pop3、e本文档来自技高网...
【技术保护点】
1.一种针对电力工业场景的工业网络威胁诱捕系统,其特征在于,该系统包括:
2.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述威胁诱捕模块对电力业务端到端完整场景进行仿真包括:对发电、输电、变电、配电、用电环节中电力装置和电力通信协议进行仿真模拟;
3.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述网络协议包括通用IT/OT协议、电力行业相关工控私有协议。
4.根据权利要求3所述的针对电力工业场景的工业网络威胁诱捕系统,所述通用IT/OT协议至少包括以下一种:HTTP、FTP、Telnet、MySQL、SNMP、SMTP、TFTP、MQTT、COAP、POP3、EtherNet/IP、S7、DNP3、FINS、Modbus TCP;
5.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述威胁检测模块对威胁数据的分析包括:从攻击、攻击者、组织、协议四个维度对攻击态势进行多角度分析;
6.根据权利要求5所述的针对电力工业场景的工业网络威胁诱捕
7.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,该系统还包括可视化展示模块:用于对所述威胁检测模块分析得到安全态势、实时监控信息及攻击情况进行展示;
8.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,该系统还包括威胁诱捕管理模块,用于对以下至少一种进行管理:所述威胁诱捕模块的威胁诱捕配置、威胁诱捕监控情况、接口设置。
9.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,该系统还包括系统管理模块,用于进行日志管理、权限管理、备份管理。
...【技术特征摘要】
1.一种针对电力工业场景的工业网络威胁诱捕系统,其特征在于,该系统包括:
2.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述威胁诱捕模块对电力业务端到端完整场景进行仿真包括:对发电、输电、变电、配电、用电环节中电力装置和电力通信协议进行仿真模拟;
3.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述网络协议包括通用it/ot协议、电力行业相关工控私有协议。
4.根据权利要求3所述的针对电力工业场景的工业网络威胁诱捕系统,所述通用it/ot协议至少包括以下一种:http、ftp、telnet、mysql、snmp、smtp、tftp、mqtt、coap、pop3、ethernet/ip、s7、dnp3、fins、modbus tcp;
5.根据权利要求1所述的针对电力工业场景的工业网络威胁诱捕系统,其特征在于,所述威胁检测模块对威胁数据...
【专利技术属性】
技术研发人员:潘李华,傅涛,王力,陈芳,郭禹含,
申请(专利权)人:博智安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。