[发明专利]一种带有签名功能的工业控制领域的蜜罐系统

说明书

本发明涉及一种带有签名功能的工业控制领域的蜜罐系统，属于工业控制安全技术领域。包括工控蜜罐系统单元，蜜罐管理单元，签名生成单元。所述工控蜜罐单元、蜜罐管理单元、签名生成单元相互独立。所述工控蜜罐单元与蜜罐管理单元连接。所述蜜罐管理单元与签名生成单元连接。本发明能收集到针对工控系统的各类攻击信息，从而可以针对性的对工控系统进行升级，节省了额外的资源消耗。还可以较好地防御对工控系统有着极高威胁性的高级可持续威胁攻击。并且应用了可视化界面，使得操作人员可以直观清晰的了解到蜜罐中的具体举动。此外本发明中的各个单元相互独立，又进一步的提升了系统的安全性。

技术领域

本发明涉及一种带有签名功能的工业控制领域的蜜罐系统，属于工业控制安全技术领域。

背景技术

工业控制系统负责监督并控制着企业甚至国家的各类大型设施的运作，在电力、水利和冶金等行业中起着至关重要的作用。随着互联网技术与工业控制系统的结合日益紧密，工业控制系统逐步由过去的隔离化运行模式向着网络化的运行模式转变。但由于工业控制系统的安全体系自身尚不完善，工业控制系统在向网络化发展的同时极易遭受各类恶意攻击，这成为制约我国工业4.0发展的重要因素。

目前应用在各个工控系统领域的蜜罐虽然可以对攻击者的各类信息记录并进行防御，但面对高级持续威胁比较乏力，且缺少对不同种类攻击的分级预警机制，导致有限的网络资源被极大地浪费。因此，对现有的蜜罐进行技术升级十分重要。

发明内容

本发明的目的在于提供一种带有签名功能的工控领域的蜜罐系统。该系统能够识别多类威胁，同时根据既定的规则对攻击进行分类，并能将各类攻击信息进行分阶段显示，同时为其生成签名。以此，可大幅提高蜜罐系统对高级持续性威胁的识别能力，提高蜜罐系统对各类攻击的防护能力。

该系统包括蜜罐单元，蜜罐管理单元，签名生成单元以及隔离与数据交换单元。所述蜜罐单元、蜜罐管理单元、签名生成单元、隔离与数据交换单元相互独立。所述蜜罐单元与隔离与数据交换单元连接，所述蜜罐管理单元与隔离与数据交换单元连接，所述签名生成单元与蜜罐管理单元连接。所述蜜罐单元、蜜罐管理单元、隔离与数据交换单元、签名生成单元各自运行独立的操作系统。

所述蜜罐单元包括攻击监控与记录模块，信息整理与备份模块，本地存储模块；所述攻击监控与记录模块与信息整理与备份模块相连，负责对攻击者的入侵进行及时的响应，并生成有关攻击者的各类信息；所述信息整理与备份模块与本地存储模块相连，负责将攻击者的信息进行整理与备份，并在存储到本地的同时上传到蜜罐管理单元；所述本地存储模块负责接收信息整理与备份模块发送的消息并将其进行备份。

所述攻击监控与记录模块包括端口监听模块，攻击者信息捕获模块以及日志记录模块；所述端口监听模块负责对常用的工控协议(如Modbus、S7等)所使用的端口进行监听，以便发现攻击者对蜜罐所进行的扫描；所述攻击者信息捕获模块负责记录攻击者的各类信息，所述攻击者的各类信息包括攻击者扫描的端口，使用的攻击方式，攻击者的IP地址；所述日志记录模块负责对攻击者的信息进行记录并将其在本地进行备份，避免因为信息的丢失造成的额外损失。

所述信息整理与备份模块包括蜜罐对外IP地址获取模块，数据分类模块，数据加密与推送模块。蜜罐对外IP地址获取模块负责获取蜜罐与服务器通讯的IP地址，以便进行信息传输；数据分类模块负责依照规则对获取的信息进行分类，使获取的信息具有可读性；数据加密与推送模块负责将分类好的信息进行加密，然后将其推送到隔离与数据交换单元，由该单元的控制模块负责将信息传输到蜜罐管理单元的数据缓冲区。

所述隔离与数据交换单元包括数据交换区与控制模块。所述控制模块控制蜜罐单元与蜜罐管理单元之间的数据交换。从信息整理与备份模块接收到信息后，控制模块会断开与蜜罐单元的连接，并同时建立与蜜罐管理单元的连接。此时数据交换区会将数据传送到蜜罐管理单元中的数据缓冲区。蜜罐管理单元中的数据处理单元便会将数据进行解封，还原成原始数据。