[发明专利]一种基于hpfeeds协议的工控蜜罐的系统及其工作方法

权利要求书

1.一种基于hpfeeds协议的工控蜜罐的系统，其特征在于：包括数据捕获模块和数据远程传送模块，所述数据远程传送模块接受所述数据捕获模块发送的响应，所述数据捕获模块包括会话管理、协议交互、模板配置和日志记录，所述协议交互用于Modbus和S7comm协议从攻击IP、协议报文两个方面对攻击数据进行捕获，所述会话管理为每个攻击事件创建一个会话实例，用于区分每个攻击事件，并使用事件队列存储攻击事件，所述日志记录用于记录攻击IP、请求报文以及根据请求生成的响应信息，所述模板配置用于配置模拟设备信息及不同协议返回信息；所述数据远程传送模块包括远程客户端、远程服务端和远程数据库，所述远程数据库用于储存身份信息，所述远程服务端调用远程数据库信息对所述远程客户端进行验证，所述远程客户端发送和接受所述远程服务端的信息。

2.一种基于hpfeeds协议的工控蜜罐的工作方法，其特征在于：包括以下步骤：

S1：协议交互采用Modbus和S7comm协议开启对102端口、502端口的监听；

S2：当攻击者利用扫描工具对端口进行连接、探测时，相应端口将监听到连接请求，并捕获攻击IP，若此次攻击为攻击者初次攻击，会话管理将创建一个会话，用于标记整个会话过程，若不是，直接进入S3；

S3：协议交互将捕获攻击者对工控设备的探测请求，协议服务器会对报文内容进行解析，并根据解析内容生成相应的响应，其中，若解析请求与设备信息相关，则模板配置将调度模板，并生成设备信息响应；

S4：日志记录，将捕获的请求和生成的响应加入事件队列；

S5：在远程数据库中存储身份信息，包括用户名、密码以及订阅、发布通道；

S6：远程服务端调用远程数据库信息对远程客户端进行身份验证；

S7：远程客户端发布方发送信息给远程服务端，远程客户端订阅方接受远程服务端的信息。

3.根据权利要求2所述的一种基于hpfeeds协议的工控蜜罐的工作方法，其特征在于：S1中Modbus协议具体包括以下步骤：

S11：Modbus服务器获得请求ADU，提取请求ADU的MBAP报文头；

S12：判断MBAP报文头是否符合要求，即协议类型是否等于0、长度字段是否等于其后数据字节数，若不符合MBAP报文要求，则直接丢弃数据，重新等待接收；

S13：若符合MBAP报文要求，则提取请求PDU中功能码和数据字段；

S14：依据功能码和数据字段对异常进行判断；

S15：若并无异常，则Modbus服务器生成正常响应报文，并将响应发送给客户端。

4.根据权利要求3所述的一种基于hpfeeds协议的工控蜜罐的工作方法，其特征在于：S14具体包括以下步骤：

S141：判断请求功能码是否有效，包括功能码是否在正常功能码范围、Modbus服务器是否具有该功能码；

S142：判断请求数量是否有效；

S143：判断起始地址和最终地址是否有效；

S144：判断请求是否有效完成，只要其中的一步无效，就直接返回对应的异常码，随后根据异常码和功能码生成异常响应。