[发明专利]一种捕获攻击的方法及蜜罐系统

说明书

本实施例公开了一种捕获攻击的方法，该方法应用于一种蜜罐系统中对攻击进行捕捉，该蜜罐系统包括上位机实例、SCADA数据采集与监视控制系统实例和工控设备实例，该蜜罐系统实现了对完整工控环境的模拟，更接近真实的工控生产环境，弥补了现有技术中仅包含工控设备模拟的缺点，更容易迷惑攻击者进行攻击。由此，通过该蜜罐系统吸引攻击者进行攻击，从而可以捕获到更加完整的攻击信息。

技术领域

本发明涉及工控安全领域，尤其涉及一种捕获攻击的方法及蜜罐系统。

背景技术

工业化和信息化是现代社会发展的主流，目前在工业领域已经超过80％的领域实现了自动化控制，工业控制系统已经成为国家关键基础设施的重要组成部分，工控领域的安全关系到国家的战略安全。近年来，工控安全越来越受到管理部门及各厂商的警惕和关注。

现有技术中，通常通过模拟工控设备的运行以及工控设备的通信过程，吸引攻击者进行攻击，通过对的攻击者的攻击行为、攻击方式的分析，从而加强工控安全。但是当前对于工控设备的模拟一般是低交互操作的模拟，很容易被攻击者识别，从而使得攻击者避开对模拟的工控设备的攻击，这样的话也就无法捕捉到较为全面的攻击信息。

发明内容

有鉴于此，本发明实施例公开了一种捕获攻击的方法、装置及蜜罐系统，通过模拟完整的工控生产环境，吸引攻击者对蜜罐系统进行攻击，进而捕捉到较为全面的攻击信息。

本发明实施例公开了一种捕获攻击的方法，所述方法应用于蜜罐系统，所述蜜罐系统包括：

上位机实例、SCADA数据采集与监视控制系统实例和工控设备实例；

所述蜜罐系统通过上位机实例、SCADA实例和工控设备实例之间的交互进行工控环境模拟；

检测上位机实例、SCADA实例或者工控设备实例是否受到攻击；

当检测到上位机实例受到攻击时，对攻击指令做出相应的响应，收集上位机实例的攻击数据，并将所述攻击数据保存为攻击日志；

当检测到SCADA实例受到攻击时，对攻击指令做出相应的响应，收集SCADA实例的攻击数据，并将所述攻击数据保存为攻击日志；

当检测到工控设备实例受到攻击时，对攻击指令做出相应的响应，收集工控设备的攻击数据，并将所述攻击数据保存为攻击日志。

可选的，所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击，包括：

分别监控上位机实例的开放端口、SCADA实例的开放端口以及工控设备实例的开放端口；

若在上位机实例的开放端口、SCADA实例的开放端口或者工控设备实例的开放端口监测到连接请求，确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击；

若上位机实例、SCADA实例或者工控设备实例的特定的开放端口检测到数据包，确定所述上位机实例、SCADA实例或者工控设备实例受到了攻击。

可选的，所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击，包括：

当检测到上位机实例或者SCADA实例通过预设的攻击方式被访问时，确定所述上位机实例或者SCADA实例受到了攻击。

可选的，所述检测上位机实例、SCADA实例或者工控设备实例是否受到攻击，包括：

当检测到修改工控设备实例运行状态的指令或者数据包时，确定所述工控设备实例受到了攻击。

可选的，还包括：

确定第一攻击日志的类型；所述第一攻击日志为上位机实例、SCADA实例受到攻击时收集的攻击日志；