信息安全学报2019,Vol.4Issue(3) :83-92.

基于数据包分片的工控蜜罐识别方法

Method of ICS Honeypot Identification Based on Packet-Sharding

游建舟 张悦阳 吕世超 陈新 尹丽波 孙利民
信息安全学报2019,Vol.4Issue(3) :83-92.
  • NETL
  • NSTL
  • 维普
  • 万方数据

基于数据包分片的工控蜜罐识别方法

Method of ICS Honeypot Identification Based on Packet-Sharding

游建舟 1张悦阳 1吕世超 1陈新 1尹丽波 2孙利民1
扫码查看

作者信息

  • 1. 中国科学院信息工程研究所 物联网信息安全技术北京市重点实验室,北京 中国 100093;中国科学院大学 网络空间安全学院,北京 中国 100049
  • 2. 国家工业信息安全发展中心,北京 中国 100040
  • 折叠

摘要

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本.蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐.因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现.本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性.结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法.通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点.

关键词

蜜罐识别/数据包分片/蜜罐

引用本文复制引用

基金项目

本课题得到国家重点研发计划(2016YFB0800202)

国家自然科学基金重点项目(U1766215)

中国科学院战略性先导科技专项课题(XDC02020500)

中国科学院信息工程研究所国际合作项目(Y7Z0461104资助)

出版年

2019
信息安全学报

信息安全学报

CSTPCDCSCD
ISSN:
被引量4
参考文献量38
段落导航相关论文