摘要
工业控制蜜罐区别于普通蜜罐的主要标志是使用蜜罐的场景不同,在工业控制蜜罐中,使用场景为工业控制系统,工业控制设备进行通讯时所采用的工控协议不同于普通的互联网协议.工业控制蜜罐诱捕能力主要依靠其仿真交互水平,模仿协议通讯交互情况决定了诱捕环境的真实性.通过对真实发电厂控制系统的考察,提出结合沙盒技术,将发电厂控制系统置于沙盒中以还原蜜罐高仿真度.采用协议逆向分析技术,深度解析EGD工控协议掌握协议特征,及时感知异常工控流量数据和异常协议数据包.使用开源cuckoo沙盒框架,在部署蜜罐的同时采用主客机部署机制,防止因攻击者识别蜜罐借此为跳板而逃逸或其他破坏行为.然后将蜜罐捕获的所有疑似攻击数据进行分析并提交至cuckoo主机端进行二次分析,最后对认为是攻击的数据采取相应处理措施.为网络安全管理员提供可靠数据,为发电厂提供更安全的主动防御网络环境.
维普
万方数据