[发明专利]一种基于SDN技术的工控混合蜜罐系统

权利要求书

1.一种基于SDN技术的工控混合蜜罐系统，包括：

过滤模块：过滤不相关不安全的流量，通过修改防火墙策略，过滤掉不相关或者无用的流量，得到过滤后的流量数据；

判别模块：用于判别攻击的交互程度，以低交互蜜罐作为判断标准，若低交互蜜罐被攻击者识破或无法满足攻击的交互，则判定攻击的交互需求为高，以此实现判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据；

重定向模块：用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐，通过判别模块判别后，重定向模块将攻击重定向到相应的低、高交互蜜罐；

SDN工控模块：用于将工控系统的控制面和转发面分离开来，方便控制面管理转发流表，通过应用层的反馈修改下发的流表，达到只反馈一定范围内的真实工控数据引诱攻击者的目的；

收集模块：用于收集攻击在蜜罐内的操作，发现系统漏洞和收集攻击者的攻击手段。

2.如权利要求1所述的基于SDN技术的工控混合蜜罐系统，其中，所述过滤模块用于过滤掉不相关或不安全的流量，过滤模块的过滤过程为：

以linux系统防火墙iptables为基础，通过分析常见流量特征，使用iptables命令制定防火墙过滤策略，丢弃无效的流量。

3.如权利要求2所述的基于SDN技术的工控混合蜜罐系统，其中，所述使用iptables命令制定防火墙过滤策略，丢弃无效的流量包括：

步骤11：在linux系统的etc/iptables目录下编辑rules文件，创建一个可扩展的框架，添加或删除规则；

步骤12：在iptables中的filter表下forward链中，通过在forward链中添加过滤规则，根据正在使用的协议匹配流量，并将流量混洗到协议特定的规则链，这些协议特定的规则链旨在保存匹配并允许特定服务的流量的规则；

步骤13：对过滤掉的流量使用iptables中的REJECT拒绝目标流量，该目标向客户端发送响应消息，允许指定出站消息传递，以便模拟在客户端尝试将数据包发送到常规关闭端口时给出的响应。

4.如权利要求1所述的基于SDN技术的工控混合蜜罐系统，其中，所述判别模块中用于判别攻击的交互程度的过程包括：

将过滤后的流量直接定向到低交互蜜罐，以低交互蜜罐作为判断标准，通过判断低交互蜜罐被攻击者识破或无法满足攻击的交互，实现判别出低交互攻击的流量或高交互攻击的流量。

5.如权利要求1所述的基于SDN技术的工控混合蜜罐系统，其中，所述重定向模块用于定向流经系统的流量数据，将攻击定向到相应的低、高交互蜜罐中的过程包括：

通过修改iptables中的NAT表来达到转发、重定向，实现流量定向转发的功能。

6.如权利要求4所述的基于SDN技术的工控混合蜜罐系统，其中，所述通过修改iptables中的NAT表来达到转发、重定向，实现流量定向转发的功能的过程包括：

步骤21：编辑linux系统中的/etc/sysctl.conf文件，设置net.ipv4.ip_forward＝1，然后用sysctl-p命令使配置文件生效，来启用网卡的IP转发功能；

步骤22：设置脚本来加载内核模块，设置filter表基础策略：允许入包/出包/转发，用iptables命令设置基础会话规则，修改NAT表设置端口转发流量，保存转发规则；

步骤23：运行脚本，修改nat表中的转发规则，将判别后的流量根据相应规则定向转发到相应的蜜罐中去。

7.如权利要求1所述的基于SDN技术的工控混合蜜罐系统，其中，所述SDN工控模块的具体工作过程包括：

将工控系统的应用层和数据层分离开来，流量被转发定向到SDN模块后，首先通过应用层将需求转发到控制层，控制层调用南向数据层的api，得到被允许返回的真实工控设备数据，再返回给应用层，以此来满足高交互攻击的交互需求。

8.如权利要求1所述的基于SDN技术的工控混合蜜罐系统，其中，所述收集模块的收集过程包括：

步骤41：蜜罐自动识别流量发出方所使用的系统和设备并实时反馈；

步骤42：通过防火墙日志收集数据流量信息；

步骤43：通过系统日志收集流量进行的攻击操作。