[发明专利]一种工控网络蜜罐系统

说明书

技术领域

本发明涉及一种蜜罐系统，具体为一种工控网络蜜罐系统，属于网络安全技术领域。

背景技术

蜜罐是一种安全资源，其价值在于被探测、攻击或攻陷，蜜罐(honeypot)技术是一种通过虚假的资源诱骗入侵者，从而采集黑客攻击数据和分析黑客攻击行为，以达到保护真实主机目标的诱骗技术。这就意味着蜜罐是一种预先精心配置的系统，系统可能含有一定的漏洞，或者含有各种伪造的文件和信息，用于欺骗黑客对蜜罐进行攻击和入侵，蜜罐系统存在的意义就在于被检测和被攻击，任何与蜜罐的交互行为都可以认为是攻击，因此通过对蜜罐的监视，可以发现、分析和研究攻击者的行为。

而目前所使用的蜜罐系统一旦被攻破，就可能将风险带入蜜罐所在的系统中，蜜罐可能被作为跳板，攻击其他的系统，造成严重的后果，同时对数据收集具有很大的局限性，只有在攻击者向其发起攻击的时候蜜罐才能发挥作用，而如果攻击者是对蜜罐所在的网络的其他系统发起了攻击，蜜罐就不会意识到攻击活动的存在，对于现有蜜罐技术的指纹识别，当攻击者发现某个蜜罐被用来对攻击进行检测，攻击者就会避免在该系统中再进行任何活动，攻击者可能还会将这一发现通知其他的攻击者，这样所有的攻击者都会避开该蜜罐，或者故意对其发起攻击。

发明内容

本发明的目的就在于为了解决上述问题而提供一种工控网络蜜罐系统。

本发明通过以下技术方案来实现上述目的：一种工控网络蜜罐系统，包括

外网蜜罐节点，含有一定的漏洞，或者含有各种伪造的文件和信息，模拟真实的网络资源以吸引攻击者对蜜罐进行攻击和入侵；

内网蜜罐节点，允许所有进入的访问，同时对外出的访问也会进行严格控制，进而用于控制攻击者的行为；

蜜罐管理系统，捕获攻击者的连接情况、远程命令、系统日志和系统调用序列等数据，以及对蜜网中机器的系统日志进行实时备份，并提取攻击者的入侵规则，对入侵检测系统中的入侵规则库进行更新；

Internt，搭建一个用于特征码提取的简易模型，模型基于蜜罐网络来捕获可疑攻击数据；

PC，将捕获的各种数据分析成为有意义、易于理解的信息；

其中，所述外网蜜罐节点分别与Internt进行连接，所述内网蜜罐节点通常有连接控制和路由控制，所述蜜罐管理系统与外网蜜罐节点内和网蜜罐节点共同构成蜜网系统，所述PC主要通过Swatch工具和Walleye工具进行分析。

进一步，所述蜜罐管理系统包括工控协议仿真模块、工控业务仿真模块和攻击者行为记录和指令分析，所述工控协议仿真模块支持对Modbus、西门子S7和IEC104协议的仿真，所述工控业务仿真模块和与暴露的工控协议实现联动，所述攻击者行为记录和指令分析支持对攻击者操作行为的记录和关键指令分析(DPI)对指令记录的分类并分级。

优选的，为了保护真实的业务系统，所述外网蜜罐节点可以帮助用户在核心服务器IP地址周围架设伪装的“业务系统”。

优选的，为了使攻击者无从分辨真实的攻击目标，所述蜜罐管理系统可以模拟SCADA以及PLC系统服务。

优选的，为了将攻击者的任何操作和扫描的攻击行为进行记录，所述工控协议仿真模块为攻击者创造一个真实的工控系统的服务的运行环境。

一种工控网络蜜罐系统的操作方法，所述蜜罐系统包括以下步骤：

步骤A、利用蜜罐的诱捕特性，蜜罐管理系统与外网蜜罐节点内和网蜜罐节点共同构造一个包含多台蜜罐主机的蜜网系统；

步骤B、通过外网蜜罐节点模拟真实的网络资源以吸引攻击者，从而拖延了攻击者对真实主机实施攻击的时间；

步骤C、攻击者将被蜜罐管理系统监视并被控制，并联合监控管理网络中的日志服务器和入侵检测系统，对蜜网中机器的系统日志进行实时备份，并提取攻击者的入侵规则；

步骤D、PC端发现并报警，将捕获的各种数据分析成为有意义、易于理解的信息，以便于对入侵检测系统中的入侵规则库进行更新。

本发明的有益效果是：该工控网络蜜罐系统设计合理，外网蜜罐节点可以帮助用户在核心服务器IP地址周围架设伪装的“业务系统”，通过构建真实的行业业务SCADA模版诱导攻击者，从而保护真实的业务系统，蜜罐管理系统可以模拟SCADA以及PLC系统服务，根据系统预置的多业务模板可以切换为不同的业务类型，使攻击者无从分辨真实的攻击目标，工控协议仿真模块为攻击者创造一个真实的工控系统的服务的运行环境，将攻击者的任何操作和扫描的攻击行为都会被蜜罐系统的数据分析功能所记录。

附图说明

图1为本发明结构蜜罐系统部署示意图；