[发明专利]一种混合式高交互工业蜜罐系统及方法

说明书

一种混合式高交互工业蜜罐系统及方法，包括用于场景模拟的内网蜜罐和外网蜜罐，所述外网蜜罐和内网蜜罐用于完成数据处理；所述外网蜜罐通过网关连接内网蜜罐，网关上分别连接防火墙和蜜罐管理平台，蜜罐管理平台与数据库相连，数据库用于对蜜罐管理平台数据相进行存储，数据库通过数据分析平台与展示终端相连。本发明具有多场景、高交互性的特点。

技术领域

本发明涉及工业控制安全技术领域，特别涉及一种混合式高交互工业蜜罐系统及方法。

背景技术

工业系统及设施是国家关键基础设施的重要组成部分，近年来阵对工业场景的网络攻击行为越来越频繁，由于自身的特殊性，对于外界攻击，应对手段只能采取被动防御。随着蜜罐技术的发展，提供了新的防御策略，能够主动进行攻击诱捕和网络防御，以一种虚拟场景阻隔攻击，不影响实际的系统及设备的运行。目前针对于工业场景的蜜罐存在模拟场景单一、交互性低、易被识别等问题。

发明内容

为了解决上述存在的不利影响，同时满足节能降耗的要求，本发明提出一种混合式高交互工业蜜罐系统及方法，具有多场景、高交互性的特点。

一种混合式高交互工业蜜罐系统，包括用于场景模拟的内网蜜罐和外网蜜罐，所述外网蜜罐和内网蜜罐用于完成数据处理；

所述外网蜜罐通过网关连接内网蜜罐，网关上分别连接防火墙和蜜罐管理平台，蜜罐管理平台与数据库相连，数据库用于对蜜罐管理平台数据相进行存储，数据库通过数据分析平台与展示终端相连。

所述外网蜜罐通过eth0网口连接网关，网关通过eth1网口连接内网蜜罐，网关通过eth2网口连接的防火墙，网关通过eth3网口连接蜜罐管理平台；

所述eth0网口和eth1网口相通，实现外网蜜罐和内网蜜罐数据互相转发，二者分别通过eth3网口将外网蜜罐数据和内网蜜罐数据提交给蜜罐管理平台。

所述eth3网口和eth0、eth2、eth3网口为单向隔离状态，蜜罐管理平台、数据库及数据分析平台的数据无法被重定向到外网蜜罐、内网蜜罐及互联网中。

所述外网蜜罐用于模拟工业信息大区及互联网大区，包括所有暴漏在互联网上的设备和服务，结合工业场景，外网蜜罐包含连接到互联网上的Windows主机及服务器、Linux主机及服务器以及门户网站系统和OA系统；

所述内网蜜罐用于模拟工业生产控制网络场景，是与互联网相隔离的网络环境，内网蜜罐包含操作员站、用于模拟工控协议的Docker、用于模拟工业设备的硬件虚拟化服务、虚拟PLC以及为提高系统真实性而采用的真实PLC；

所述网关用于实现内网蜜罐和外网蜜罐之间的网络隔离，并完成内网蜜罐与外网蜜罐、互联网流量和处于后端的管理平台之间的数据转发逻辑；

所述管理平台用于实施监管外网蜜罐和内网蜜罐的状态，防止攻击不可控，同时实时调整蜜罐设备，以提高设备性能，所述管理平台还集成数据处理方法，对原始数据进行基本的处理；

所述数据库用于存储从蜜罐设备获取到的流量数据、日志数据和探针数据；

所述数据分析平台用于对数据库数据进行分析，得出攻击画像、检测模型、威胁评分等信息。

所述展示终端用于实时展示蜜罐捕获到的攻击行为。

一种混合式高交互工业蜜罐系统的处理方法，包括以下步骤；

步骤一：进行数据采集；

外网蜜罐和内网蜜罐形成数据采集层101，数据采集层101通过外网蜜罐和内网蜜罐进行原始数据抓取，利用网关将数据进行转发，并通过管理平台对数据进行处理，管理平台包括流量采集模块、日志提取模块及探针监测模块；