[发明专利]高甜度高交互工控蜜罐装置及方法

说明书

一种高甜度高交互工控蜜罐装置及方法，能够对外提供动态的HMI展示，具有丰富的Web交互响应行为，精确地模拟真实设备的HMI界面。对于来自外界的协议消息交互，能够按照协议标准精准解析，并能对多种协议消息进行回复响应。能为上面两点提供动态数据，需要能够模拟设备的各种动态行为，提供符合设备状态变化规律的数据。

技术领域

本发明涉及工业信息安全技术领域，具体涉及一种高甜度高交互工控蜜罐装置及方法，尤其涉及一种主要从协议模拟、人机交互界面和设备模拟三个方面阐述如何提高蜜罐的交互性而提高工业控制系统蜜罐交互性的装置及方法。

背景技术

工控指的是工业自动化控制，主要利用电子电气、机械、软件组合实现。即是工业控制，或者是工厂自动化控制。主要是指使用计算机技术，微电子技术，电气手段，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性。目前关于针对工控的高交互蜜罐的研究不多，主要是安全企业在做关于工控蜜罐的研究，其目的是为了在手机威胁情报数据的条件下用于威胁预警，大部分都是利用开源的低交互蜜罐进行二次开发，交互性低，收集的数据可信度低。其中Conpot就是一个模拟工控设备的开源蜜罐，它是一个低交互的工控蜜罐，侧重于信息的收集。

而Conpot这样的低交互的工控蜜罐存在的问题如下所示：

1)Conpot作为一个低交互蜜罐，提供的协议功能有限，收集的数据也不能很好的表达攻击者的行为，其主要问题在于Conpot仅仅为模拟工控设备提供了框架，具有静态页面展示功能和协议服务端简单实现，而且Conpot之所以容易识别，主要是HMI(人机接口，也叫人机界面或者用户界面)只能提供静态界面，并且协议服务端只是实现了消息的接收以及对消息是否合法的简单识别，并没有实现协议的实际功能。从攻击者角度，Conpot能为攻击者提供的交互非常有限。

2)模拟的协议简单，Conpot默认模拟具有Modbus和S7comm链接的西门子SIMATICS7-200 PLC.它的默认配置能够延伸到模拟其他使用专有S7comm协议的西门子PLC。但是S7Comn协议的实现是相当不完整的，目前只能读取系统状态列表的条目。

发明内容

为解决上述问题，本发明提供了一种高甜度高交互工控蜜罐装置及方法，其主要基于开源工控蜜罐Conpot进行改进，使得开源工控蜜罐Conpot具有模拟复杂工控设备的能力。

为了克服现有技术中的不足，本发明提供了一种高甜度高交互工控蜜罐装置及方法的解决方案，具体如下：

一种高甜度高交互工控蜜罐装置，包括：

具有改进的工控蜜罐Conpot的处理终端；

所述处理终端与Web服务器通信连接。

所述改进的工控蜜罐Conpot包括设计模块、协议改进模块和模拟改进模块；

所述设计模块用于HMI动态交互设计；

所述协议改进模块用于ICS协议的改进；

所述模拟改进模块用于设备模拟改进。

一种高甜度高交互工控蜜罐装置的方法，包括：

步骤1：HMI动态交互设计；

步骤2：ICS协议的改进；

步骤3：设备模拟改进。

所述步骤1的HMI动态交互设计包括：从Web服务器和数据动态展示方面来对静态HMI进行改进，该改进包括界面标题、登录或注销、图标刷新和图表打印的改进。

所述界面标题的改进包括：动态展示部分为界面标题名字和日期时间的动态展示；

所述登录或注销的改进包括：动态展示部分为用户登录和权限验证界面的动态展示；