[发明专利]基于缓冲池的分布式工业控制蜜网流量采集系统及方法

说明书

本发明属于网络安全技术领域，基于缓冲池的分布式工业控制蜜网流量采集系统及方法。在所述的系统中包含：输入缓冲池、转换缓冲池、输出缓冲池、输入组件、解析组件、转换组件和输出组件。该系统为不同的应用场景和目的提供不同的运行模式，不仅可以收集和保存网络流量，还可以将其解析为可读数据，并将其转换为所需的格式。不仅可以以不同的输入输出模式组合运行，还可以将捕获的网络流量解析和转换为各种格式，满足网络管理员和安全防御方法的要求。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于缓冲池技术的分布式工业控制蜜网流量采集系统及其方法。

背景技术

随着工业互联网高速发展，工业控制系统与包括互联网在内的外部网络的连接越来越多，工业控制系统面临着前所未有的网络安全威胁，这些威胁能够绕过传统的网络防御和入侵检测方法，并对工业控制设备造成严重的破坏。

蜜网作为一种重要的安全资源，越来越多地应用于工业领域，用于检测、分析和防止针对工业控制系统的网络攻击。与被动防御不同，蜜罐和蜜网更倾向于吸引攻击者访问、利用甚至破坏它们，以便收集和分析攻击者的攻击方式和工具。为了应对针对工业控制系统的攻击，一些集成电路甚至大规模或分布式蜜网被提出，可以有效地模拟工业控制设备和网络。工业控制蜜网越来越受到关注，因为它们的部署和操作独立于工业场景，对工业过程的影响很小。

除了现有的蜜网提出的自定义数据收集方法，一些知名的网络流量捕获和分析工具也被广泛使用，如Tcpdump、WinDump、Wireshark等。虽然上述方法和工具提供了丰富的数据捕获和分析能力，但它们很难直接用于其他分布式蜜网。目前还没有可以应用于各种分布式工业控制蜜网中且独立于它们的网络流量采集框架。

发明内容

本发明的目的在于提供一种基于缓冲池的分布式工业控制蜜网流量采集系统及方法，为不同的应用场景和目的提供不同的运行模式，不仅可以收集和保存网络流量，还可以将其解析为可读数据，并将其转换为所需的格式。

本发明的技术方案如下：

一种基于缓冲池的分布式工业控制蜜网流量采集系统，在所述的系统中包含三个数据缓存池和四个组件：输入缓冲池、转换缓冲池、输出缓冲池、输入组件、解析组件、转换组件和输出组件(如图1所示)。

三个数据缓存池中使用了三种数据类型，即包、Packet Meeting和JSON。

包是根据协议规范用于存储与捕获的原始二进制数据相对应的协议信息。它有两种状态，“完整”和“不完整”。“完整”意味着数据已经被完全解析。“不完整”是指部分数据没有被解析，具体指应用层协议的数据。

Packet Meeting是一组数据包，由一个超时阈值T_meeting分隔，当超过这个阈值，没有接收到数据时，Packet Meeting就被认为是不活跃的并被切断。显然Packet Meeting仅由T_meeting决定。

JSON是一种轻量级的数据交换格式，不仅易于人们读写，而且易于机器生成和解析数据，这使得存储和传输数据的效率更高。

输入缓存池用于临时保存TCP/IP解析器解析的完整和不完整的数据包。

所述输入组件提供了加载和捕获两种输入模式。

加载模式以PCAP文件作为输入。PCAP文件是使用Libpcap或基于winpcap的程序(如Tcpdump、WinDump和Wireshark)创建的数据文件。目前PCAP文件已经成为存储和分析网络流量最流行的文件类型，所以本发明的输入组件包括加载模式来提供脱机数据收集功能。

捕获模式负责根据一些过滤条件实时捕获目标主机接收到的网络流量。筛选条件包括源主机、目标主机、源端口、目标端口、特定协议等。