[发明专利]一种基于SDN技术的工控混合蜜罐系统

说明书

一种基于SDN技术的工控混合蜜罐系统，该系统包括：过滤模块用于过滤不相关不安全的流量；判别模块，用于判别攻击的交互程度，通过判断低交互蜜罐被识别出或无法满足攻击的交互，来判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据；重定向模块，用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐；SDN工控模块，用于将工控系统的控制面和转发面分离开来，方便控制面去管理转发流表，通过应用层的反馈去修改下发的流表来达到只反馈一定范围内的真实工控数据去引诱攻击者；收集模块，用于收集攻击在蜜罐内的操作。该系统能够通过控制层分离工控系统的应用层和数据层，满足高交互需求，返回真实工控信息。

技术领域

本发明属于网络安全领域，通过对流量的过滤、蜜罐系统的切换以及SDN架构的使用，设计并提出了一种基于SDN技术的工控混合蜜罐系统。

背景技术

随着工业系统不断发展，工业控制系统的功能也越来越多，控制的范围也越来越广，工业控制系统的结构从最开始的计算机集中控制系统开始慢慢发展，发展到之前常用的第二代的分散控制系统，再发展到如今流行的现场总线类型的工业控制系统。越来越多的工业控制系统采用标准的通用通信协议以及软件和硬件系统，通过各种各样的方式与互联网进行连接，打破了工业控制系统的原始封闭性和特殊性，也导致了病毒、木马和其他安全性问题在工业控制领域的传播。因此越来越多的安全问题在工控系统上不断出现。

发明内容

本发明克服了现有蜜罐系统中系统纯软件低交互蜜罐无法实现对攻击者的深层次诱捕以及高交互蜜罐在攻击数据捕获方面存在不足的问题，提供了一种基于SDN技术的工控混合蜜罐系统。

本发明的所述系统包括以下模块：

过滤模块：过滤不相关不安全的流量，通过修改防火墙策略，过滤掉不相关或者无用的流量，得到过滤后的流量数据；

判别模块：用于判别攻击的交互程度，以低交互蜜罐作为判断标准，若低交互蜜罐被攻击者识破或无法满足攻击的交互，则判定此攻击的交互需求为高，以此实现判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据；

重定向模块：用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐，通过判别模块判别后，重定向模块将攻击重定向到相应的低、高交互蜜罐；

SDN工控模块：用于将工控系统的控制面和转发面分离开来，方便控制面去管理转发流表，通过应用层的反馈去修改下发的流表，达到只反馈一定范围内的真实工控数据去引诱攻击者的目的；

收集模块：用于收集攻击在蜜罐内的操作，发现系统漏洞和收集攻击者的攻击手段。

例如，本发明的实施例提供的基于SDN技术的工控混合蜜罐系统中，其中，所述过滤模块用于过滤掉不相关或不安全的流量，过滤模块的过滤过程为：

以linux系统防火墙iptables为基础，通过分析常见流量特征，使用iptables命令制定防火墙过滤策略，丢弃无效的流量。

例如，本发明的实施例所述的基于SDN技术的工控混合蜜罐系统，其中，所述使用iptables命令制定防火墙过滤策略，丢弃无效的流量包括：

步骤11：在linux系统的etc/iptables目录下编辑rules文件，创建一个可扩展的框架，添加或删除规则；

步骤12：在iptables中的filter表下有forward链中，通过在forward链中添加过滤规则，根据正在使用的协议匹配流量，并将流量混洗到协议特定的规则链，这些协议特定的规则链旨在保存匹配并允许特定服务的流量的规则；

步骤13：对过滤掉的流量使用iptables中的REJECT拒绝目标流量，该目标向客户端发送响应消息，允许指定出站消息传递，以便模拟在客户端尝试将数据包发送到常规关闭端口时将给出的响应。