本发明专利技术公开了一种挂载于工控系统中的蜜罐装置,所述蜜罐装置根据需要挂载于各工控网络节点上,包括:接口模块,具备当前蜜罐装置所处工控网络级别互连所需的标准接口;指令接收模块,用于接收上一级别工控设备的指令,并利用信号提交模块模拟提交反馈数据;信号提交模块,用于模拟各种工控设备的信号特征,向上一级别工控设备发送与其他设备相似但可区分的数据;行为记录模块,用于当所述蜜罐装置受到攻击威胁时,记录攻击行为数据并及时报警。本发明专利技术所述蜜罐装置通过模拟挂载在工控网络中的工控设备,从而吸引各种恶意攻击,记录恶意攻击行为数据并发布预警。从而能够及时发现威胁,避免恶意攻击对工控系统造成更大的损害。
【技术实现步骤摘要】
本专利技术涉及工控安全
,尤其涉及一种挂载于工控系统中的蜜罐装置及工控系统。
技术介绍
工业化和信息化是现代社会发展的主流,目前在工业领域已经超过80%的领域实现了自动化控制,工业控制系统已经成为国家关键基础设施的重要组成部分,工控领域的安全关系到国家的战略安全。近年来,工控安全越来越受到管理部门及各厂商的警惕和关注。工控安全呈现出的特点包括:系统要求高可用性、高实时性、高可控性;与传统信息安全相比,工控安全并没有得到足够的关注;相对于传统互联网安全,工控领域受到的威胁将会产生更加实质性的严重后果。因此,能够及时发现工控系统内的威胁和入侵破坏变得越来越重要,越来越急迫。
技术实现思路
本专利技术提供了一种挂载于工控系统中的蜜罐装置,通过模拟各种工控设备的特征,从而引起恶意攻击者的注意,当所述蜜罐装置遭受恶意攻击后,则记录其攻击模式和攻击特点,并及时发出报警。不仅可以及时快速的发现工控网络中存在的安全威胁,并可以针对其记录的攻击特点做好后期的防御工作,能够更好地保证工控系统的安全性。本专利技术首先提供了一种挂载于工控系统中的蜜罐装置,所述蜜罐装置根据需要挂载于各工控网络节点上,包括:接口模块,具备当前蜜罐装置所处工控网络级别互连所需的标准接口;指令接收模块,用于接收上一级别工控设备的指令,并利用信号提交模块模拟提交反馈数据;信号提交模块,用于模拟各种工控设备的信号特征,向上一级别工控设备发送与其他设备相似但可区分的数据;行为记录模块,用于当所述蜜罐装置受到攻击威胁时,记录攻击行为数据并及时报警。进一步地,当前蜜罐装置所处工控网络级别为上级网络时,则还包括:指令下达模块,用于模拟蜜罐装置所处工控网络级别设备的指令形式,向下一级别工控设备发送控制指令。进一步地,当前蜜罐装置所处工控网络级别为上级网络时,则所述互连所需的标准接口包括:485、CAN、MODBUS或者以太网。进一步地,当前蜜罐装置所处工控网络级别为下级网络时,所述信号提交模块,用于模拟各种工控设备的信号特征,包括:温控器信号特征、变频器信号特征或者PLC设备信号特征。本专利技术其次提供了一种工控系统,包括:各工控设备和如上所述的任一所述蜜罐装置。综上所述,本专利技术提供了一种挂载于工控系统中的蜜罐装置,所述蜜罐装置可以根据需要挂载于各工控网络节点上,可以是上级网络或者是下级网络,包括:接口模块、指令接收模块、信号提交模块和行为记录模块。通过接口模块完成工控网络中与其他工控设备的互连;通过指令接收模块接收上一级别工控设备的指令;通过信号提交模块模拟完成向上一级别工控设备发送数据;通过行为记录模块来记录攻击行为数据,以便后期分析使用。本专利技术所述的蜜罐装置在工控网络中模拟成一个工控设备,从而起到恶意威胁监测和预警的效果。本专利技术同时给出了一种工控系统,与传统工控系统的区别在于,在其中多处节点处设置了所述蜜罐装置,可能位于上级网络中,可能位于下级网络中,针对不同网络级别中工控设备的特点区别设置蜜罐装置,从而更加全面的形成了工控系统安全防护网,不仅能够吸引恶意攻击,从而避免其他真实的工控设备被攻击,同时能够对恶意攻击的特点和行为的数据进行记录,以便后续分析处理。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种挂载于工控系统中的蜜罐装置实施例结构示意图;图2为本专利技术提供的一种工控系统实施例结构示意图。具体实施方式本专利技术给出了一种挂载于工控系统中的蜜罐装置及工控系统实施例,为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术作进一步详细的说明:本专利技术首先公开了一种挂载于工控系统中的蜜罐装置实施例,所述蜜罐装置根据需要挂载于各工控网络节点上,如图1所示,包括:接口模块101,具备当前蜜罐装置所处工控网络级别互连所需的标准接口;从而当恶意程序入侵时,可以依照通信协议接收相同的恶意程序,诱使恶意程序认为所述蜜罐装置为真实的工控设备;指令接收模块102,用于接收上一级别工控设备的指令,并利用信号提交模块103模拟提交反馈数据;信号提交模块103,用于模拟各种工控设备的信号特征,向上一级别工控设备发送与其他设备相似但可区分的数据;其中,可以通过在数据中加入可用于区分的ID回应码;行为记录模块104,用于当所述蜜罐装置受到攻击威胁时,记录攻击行为数据并及时报警。例如:基于CAN总线方式连接的多个工控设备在正常工作时,温度采集设备持续采集某种加热装置的温度值,并发送给温度控制装置,让温度控制装置实时了解整个加热设备的温度情况,及时做出控制处理。假设此时恶意攻击的攻击方式是通过侦测温度采集器,并篡改温度采集器发出的温度信息,导致温度控制器不能正确的控制加热情况。此时所述蜜罐装置自身通过CAN总线连接接入工控网络中,利用所述信号提交模块模拟出温度采集器的信号特征,向上一级别的控制装置发送温度相关数据,当然该温度相关数据会稍作处理,使得蜜罐装置发送的温度相关数据不会被控制装置接收处理,该信息的发出会引起恶意攻击程序侦测,并向蜜罐装置发出攻击,此时该过程将被蜜罐装置捕获,同时发出预警。优选地,当前蜜罐装置所处工控网络级别为上级网络时,则还包括:指令下达模块,用于模拟蜜罐装置所处工控网络级别设备的指令形式,向下一级别工控设备发送控制指令。优选地,当前蜜罐装置所处工控网络级别为上级网络时,则所述互连所需的标准接口包括:485、CAN、MODBUS或者以太网。优选地,当前蜜罐装置所处工控网络级别为下级网络时,所述信号提交模块,用于模拟各种工控设备的信号特征,包括:温控器信号特征、变频器信号特征或者PLC设备信号特征。其中,由于下级网络中的多数工控设备为采集装置,种类较为复杂多样,因此处于下级网络中的蜜罐装置需要模拟多种采集装置的信号特征;同时由于下级网络的工控设备处于信息收集和汇总上报的位置,因此不仅要求处于下级网络中的蜜罐装置能够模拟多种工控设备的信号特征,并接受多种控制命令。本专利技术其次提供了一种工控系统实施例,如图2所示,包括:各工控设备和如上所述的任一所述蜜罐装置。其中,各工控设备类型根据需要设置,上级网络的工控设备为各种控制设备,下级网络的工控设备可以为各种采集装置,包括:温控器、PCL、变频器等。如上所述,本专利技术所述实施例与网络安全领域不同,传统互联网的联网机制多采用以太网形式,而工控网络形式多样,包括:485、CAN、MODBUS或者以太网的形式。本专利技术实施例中所述蜜罐装置可以支持多种工控协议互连,能够根据需要的形式连入工控网络中。所述蜜罐装置在工控网络中模拟成为一个常规的工控设备,可能是控制装置也可能是采集装置本文档来自技高网...
【技术保护点】
一种挂载于工控系统中的蜜罐装置,其特征在于,所述蜜罐装置根据需要挂载于各工控网络节点上,包括:接口模块,具备当前蜜罐装置所处工控网络级别互连所需的标准接口;指令接收模块,用于接收上一级别工控设备的指令,并利用信号提交模块模拟提交反馈数据;信号提交模块,用于模拟各种工控设备的信号特征,向上一级别工控设备发送与其他设备相似但可区分的数据;行为记录模块,用于当所述蜜罐装置受到攻击威胁时,记录攻击行为数据并及时报警。
【技术特征摘要】
1.一种挂载于工控系统中的蜜罐装置,其特征在于,所述蜜罐装置根据需要挂载于各工控网络节点上,包括:
接口模块,具备当前蜜罐装置所处工控网络级别互连所需的标准接口;
指令接收模块,用于接收上一级别工控设备的指令,并利用信号提交模块模拟提交反馈数据;
信号提交模块,用于模拟各种工控设备的信号特征,向上一级别工控设备发送与其他设备相似但可区分的数据;
行为记录模块,用于当所述蜜罐装置受到攻击威胁时,记录攻击行为数据并及时报警。
2.如权利要求1所述装置,其特征在于,当前蜜罐装置所处工控网络级别为上级网络时,则还包括:指令...
【专利技术属性】
技术研发人员:黄显澍,郑立强,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。