[发明专利]一种基于hpfeeds协议的工控蜜罐的系统及其工作方法

说明书

本发明公开了一种基于hpfeeds协议的工控蜜罐的系统，包括数据捕获模块和数据远程传送模块，数据远程传送模块接受数据捕获模块发送的响应，数据捕获模块包括会话管理、协议交互、模板配置和日志记录；数据远程传送模块包括远程客户端、远程服务端和远程数据库，远程数据库用于储存身份信息，远程服务端调用远程数据库信息对远程客户端进行验证，远程客户端发送和接受远程服务端的信息。本发明还公开一种基于hpfeeds协议的工控蜜罐的工作方法。本发明的一种基于hpfeeds协议的工控蜜罐的系统及其工作方法，能够将攻击信息进行记录和保存，对攻击方的攻击活动约束，实现主动防御。

技术领域

本发明具体涉及一种基于hpfeeds协议的工控蜜罐的系统及其工作方法，属于工控安全技术领域。

背景技术

随着信息化与工业化不断融合，越来越多的工控系统接入互联网。此外，网络化浪潮还将嵌入式技术、无线技术等新兴技术融入工控系统，从而拓展了工控系统的发展空间，带来了新的发展机遇。与此同时，这也给工控系统带来了前所未有的安全问题。

传统安全防护技术有防火墙、入侵检测等，它们属于被动防御技术。在网络中，攻防双方博弈存在严重的不对称，被动防御不能有效应对攻击。首先，攻防双方所处位置不同。防御系统一般公开暴露在网络中，而攻击方在暗处伺机而动。其次，攻防双方工作量不同。攻击方只需找到系统的一个漏洞，即可对系统实施攻击，而防御方需要全面保护系统。最后，即使系统阻止了攻击，攻击方的攻击活动也不会受到约束，他还可以继续攻击其他系统。

如今工控蜜罐方案大体可分为模拟PLC、使用包含典型漏洞的真实PLC设备。模拟PLC也分为业务模拟和协议模拟两种。思科、数字债券、趋势科技等公司的蜜罐项目主要是针对工控业务进行模拟，实现模拟PLC的服务。Hidemasa Naruoka、Charles Scott、CharlesScott等人对工控业务进行模拟实现模拟PLC。特别地，Chunhui Zhao从人机接口和协议仿真两方面模拟PLC，而Robert Jaromin基于VMware，Robert M.Jaromin基于Gumstix单片机实现模拟PLC。协议模拟方面主要有Feng Xiao基于S7comm协议的高交互蜜罐，Stephan Lau通过修改TCP/IP堆栈模拟S7-300PLC的高交互蜜罐。

总的来说，现有技术中工控蜜罐方案使用真实PLC蜜罐方案很少，而模拟PLC是蜜罐实现的主流方案，但主要集中在业务模拟方面，协议模拟仿真较少，且大多不能保证数据安全。

发明内容

本发明要解决的技术问题是，克服现有技术中攻防博弈存在的不对称性及弥补传统安全防护技术的缺陷，提供一种能够将攻击信息进行记录和保存，对攻击方的攻击活动约束，实现主动防御的基于hpfeeds协议的工控蜜罐的系统及其工作方法。

为解决上述技术问题，本发明采用的技术方案为：

一种基于hpfeeds协议的工控蜜罐的系统，包括数据捕获模块和数据远程传送模块，所述数据远程传送模块接受所述数据捕获模块发送的响应，所述数据捕获模块包括会话管理、协议交互、模板配置和日志记录，所述协议交互用于Modbus和S7comm协议从攻击IP、协议报文两个方面对攻击数据进行捕获，所述会话管理为每个攻击事件创建一个会话实例，用于区分每个攻击事件，并使用事件队列存储攻击事件，所述日志记录用于记录攻击IP、请求报文以及根据请求生成的响应信息，所述模板配置用于配置模拟设备信息及不同协议返回信息；所述数据远程传送模块包括远程客户端、远程服务端和远程数据库，所述远程数据库用于储存身份信息，所述远程服务端调用远程数据库信息对所述远程客户端进行验证，所述远程客户端发送和接受所述远程服务端的信息。

一种基于hpfeeds协议的工控蜜罐的工作方法，包括以下步骤：

S1：协议交互采用Modbus和S7comm协议开启对102端口、502端口的监听；