[发明专利]一种基于深度学习的一体化工控蜜罐识别系统及方法

说明书

本发明公开了一种基于深度学习的一体化工控蜜罐识别系统，包括特征数据获取模块、模型训练模块和在线特征识别模块。特征数据获取模块根据蜜罐识别需求获取不同类型工控设备的原始数据，并从原始数据中提取出强特征数据和通用特征数据。模型训练模块基于强特征识别出蜜罐和工控设备，将其对应的通用特征和识别结果作为训练数据输入至深度学习模型进行训练以构建蜜罐识别模型。在线特征识别模块在线对不同类型工控设备的第一特征数据进行识别并输出第一识别结果。蜜罐识别模型还将在线识别错误后修正的识别结果作为训练数据进行增量式训练。通过增量式训练和多种类型特征的融合，支持多种工控蜜罐的识别，有效提高了工控蜜罐识别的准确率。

技术领域

本发明涉及图像识别及工控安全技术领域，尤其涉及一种基于深度学习的一体化工控蜜罐识别系统及方法。

背景技术

随着工控防御技术和攻击技术交替提升，工控安全防护由最初的被动防御逐渐过渡到主动防御。工控蜜罐作为一种主动防御技术，近年来逐步受到关注，并被大量部署。工控蜜罐本质上是一种欺骗方法，通过模拟存在漏洞和弱点的工控设备和场景来诱使攻击方对其进行攻击，进而对攻击者的攻击行为和工具进行监视、分析。尤其随着工控系统的开放性不断增强，大量工控设备开始与外部网络互联互通，导致针对工控网络的攻击事件层出不穷，如2010年的震网病毒。为应对来自外部的安全威胁，工控蜜罐变得尤为重要。

工控蜜罐根据其交互特性共分为三类。低交互工控蜜罐：仅开放一些服务和端口，可以被攻击者探测到，但是与攻击者交互程度低，此类蜜罐很容易被识别。中交互工控蜜罐：介于低交互式和高交互式之间，比低交互蜜罐更像真实的工控设备，能够模拟操作系统等更多的服务。高交互工控蜜罐：部署真实的操作系统和业务环境，可像真实的工控系统一样与攻击者进行交互。

虽然工控蜜罐具有伪装性，但蜜罐仍可能被攻击者识别出来，导致蜜罐失效。同时，蜜罐具有跳板性，攻击者识别出蜜罐后可能把蜜罐当作跳板，对真实系统进行攻击，造成不必要的损失。为提高工控蜜罐的真实性，增强蜜罐抗识别能力，工控蜜罐识别研究非常必要。同时，由于工控蜜罐的存在，面向工控设备的网络探测系统的准确性会受到一定影响，需要从真实设备中准确甄别出工控蜜罐。因此，无论从抗攻击角度还是提高探测准确性角度，工控蜜罐识别都是工控系统安全研究的重点。

现有的机器学习的基于深度学习的一体化工控蜜罐识别系统和基于数据包分片的蜜罐识别方法主要存在三方面缺点：

(1)特征类型少，过于简单

现有工控识别方法一般选取四类特征：IP地址基础位置信息、TCP/IP操作系统指纹、工控协议深度交互特征、组态程序调试运行特征。由于工控蜜罐技术不断发展，蜜罐越来越接近真实设备或系统，只选取四种特征值对于识别复杂的蜜罐系统来说，特征类型不足，同时，由于特征自身较简单，很容易被工控蜜罐模拟。因此，很难区分蜜罐和真实设备。

(2)识别目标单一

许多蜜罐识别技术没有将低交互、中交互、高交互蜜罐识别方法融合到一起，也没有将基于Windows的工控蜜罐和基于Linux的基于深度学习的一体化工控蜜罐识别系统融合到一起，更多的识别方法只是针对某一类蜜罐进行识别。

(3)缺乏训练数据

现有基于机器学习的基于深度学习的一体化工控蜜罐识别系统并未提出训练数据如何获取，目前也缺少公开的工控蜜罐数据集。同时，由于不同识别方法对识别特征需求不同，工控蜜罐数据集也很难适用于不同的识别方法。

(4)缺乏扩展能力和适应能力