本发明专利技术公开了一种适于工控环境的蜜网部署方法及装置、计算设备及计算机存储介质,将主动防御技术和被动防御技术有效结合。其中,在主动防御技术上,在网络请求为虚假子域名访问请求情况下,将网络请求转发至工控蜜罐网络,通过虚假子域名与蜜网技术相结合的方式实现对威胁请求的主动防御;在被动防御技术上,在网络请求不是虚假子域名访问请求情况下,进一步判断网络请求是否存在威胁信息,若是,则将其转发至所述工控蜜罐网络,实现了对工控环境进行被动防护;工控蜜罐网络响应网络请求,记录网络请求的攻击者指纹信息和攻击行为。本发明专利技术通过上述方式形成主备结合的全方位工控环境安全防御。环境安全防御。环境安全防御。
【技术实现步骤摘要】
适于工控环境的蜜网部署方法及装置
[0001]本专利技术涉及网络安全
,具体涉及一种适于工控环境的蜜网部署方法及装置、计算设备及计算机存储介质。
技术介绍
[0002]近年来,随着工业互联网的迅速发展,传统的工控环境与新兴互联网之间的关系越来越紧密,来自互联网的恶意攻击行为正在冲击着工业控制系统的安全防线。针对上述问题,现有的被动防御技术主要是通过防火墙和入侵检测系统识别并阻断威胁流量,但攻击者极易通过伪造合法的请求内容欺骗入侵检测系统。为防御攻击者欺骗入侵检测系统,一般采用欺骗防御技术,也称为主动防御技术,目前业内主流的欺骗防御技术是通过蜜罐实现的。
[0003]现有工业控制系统所采用的主流防御技术存在以下问题:一是被动防御技术主要通过防火墙和入侵检测系统进行安全防护,其中,防火墙通常采用规则匹配的方式对访问请求或响应进行监测,入侵检测系统通常采用规则匹配、流量监控以及状态监测等方式。上述被动防御技术虽然在一定程度上能够防止黑客的恶意攻击,但是无法快速应对日益变化的攻击手段,同时无法长期捕获攻击行为和攻击偏好,不利于对安全防护措施的改善;二是主动防御技术在目前工控系统中还未真正普及,主流的主动防御技术通常是通过蜜罐实现的,由于现有工控类蜜罐只是对工控协议进行模拟仿真,且工业协议种类较为单一,难以囊括多种工控设备的仿真需求,极易被网络空间搜索引擎或黑客识别,对工控蜜罐的应用带来一定阻力。并且,现有的工控系统通常只是在下位机部署工控协议蜜罐,难以收集有效的攻击数据,而部署高交互的工控蜜罐则将耗费大量资源,维护成本较高。
技术实现思路
[0004]鉴于上述问题,提出了本专利技术以便提供一种克服上述工控系统防御和诱捕攻击行为存在的防御措施不完善和诱捕效果较差问题的适于工控环境的蜜网部署方法及装置、计算设备及计算机存储介质。
[0005]根据本专利技术的一个方面,提供了一种适于工控环境的蜜网部署方法,包括:
[0006]接收网络请求;
[0007]若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络;若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络;
[0008]所述工控蜜罐网络响应所述网络请求,记录所述网络请求的攻击者指纹信息和攻击行为。
[0009]在一种可选的方式中,所述若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络进一步包括:
[0010]若所述网络请求为虚假子域名访问请求,通过虚假子域名托管设备将所述网络请
求转发至镜像服务器,所述镜像服务器存储并将网络请求转发至工控蜜罐网络;
[0011]所述若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络进一步包括:
[0012]若所述网络请求不为虚假子域名访问请求,通过入侵检测系统根据防御规则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至镜像服务器,所述镜像服务器存储并将网络请求转发至工控蜜罐网络。
[0013]在一种可选的方式中,所述工控蜜罐网络包括:上位机蜜罐网络和下位机蜜罐网络;所述上位机蜜罐网络用于应答所述网络请求,所述上位机蜜罐网络和下位机蜜罐网络之间采用松耦合的方式进行通信。
[0014]在一种可选的方式中,所述将所述网络请求转发至工控蜜罐网络进一步包括:
[0015]根据所述网络请求所访问的虚假子域名,确定所转发的工控蜜罐组合,将所述网络请求转发至所述工控蜜罐组合。
[0016]在一种可选的方式中,所述将所述网络请求转发至镜像服务器之后或同时,所述方法还包括:
[0017]将所述威胁信息发送至关联分析模型进行攻击行为分析;
[0018]将所述关联分析模型的分析结果发送至所述入侵检测系统,对所述入侵检测系统的防御规则进行动态调整。
[0019]在一种可选的方式中,在所述将所述网络请求转发至工控蜜罐网络之后或同时,所述方法还包括:
[0020]对所述攻击者指纹信息和攻击行为进行数据挖掘,建立攻击者的用户画像,得到攻击者的攻击偏好信息;和/或,通过所述关联分析模型获取攻击者的攻击行为和攻击者指纹信息的关联性信息;
[0021]根据所述攻击偏好信息和/或关联性信息,对所述工控蜜罐网络进行攻击溯源能力与应对攻击能力分析。
[0022]在一种可选的方式中,所述方法还包括:
[0023]若所述网络请求不存在所述威胁信息,则判断所述网络请求的源地址是否存在于虚假子域名历史访问记录中,若存在,则将所述网络请求转发至镜像服务器;若不存在,则将所述网络请求转发至真实业务服务器。
[0024]根据本专利技术的另一方面,提供了一种适于工控环境的蜜网部署装置,包括:
[0025]被动防御模块,用于接收网络请求,若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络;若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络;
[0026]主动防御模块,用于利用所述工控蜜罐网络响应所述网络请求,记录所述网络请求的攻击者指纹信息和攻击行为。
[0027]根据本专利技术的又一方面,提供了一种计算设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
[0028]所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述适于工控环境的蜜网部署方法对应的操作。
[0029]根据本专利技术的再一方面,提供了一种计算机存储介质,所述存储介质中存储有至
少一可执行指令,所述可执行指令使处理器执行如上述适于工控环境的蜜网部署方法对应的操作。
[0030]根据本专利技术提供的方案,接收网络请求;若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络;若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络;所述工控蜜罐网络响应所述网络请求,记录所述网络请求的攻击者指纹信息和攻击行为。本专利技术将主动防御技术和被动防御技术有效结合,在主动防御技术上,在网络请求为虚假子域名访问请求情况下,将网络请求转发至工控蜜罐网络,通过虚假子域名与蜜网技术相结合的方式实现对威胁请求的主动防御;在被动防御技术上,在网络请求不是虚假子域名访问请求情况下,进一步判断网络请求是否存在威胁信息,若是,则将其转发至所述工控蜜罐网络,实现了对工控环境进行被动防护;工控蜜罐网络响应网络请求,记录网络请求的攻击者指纹信息和攻击行为。本专利技术通过上述方式形成主备结合的全方位工控环境安全防御。
[0031]上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种适于工控环境的蜜网部署方法,其特征在于,所述方法包括:接收网络请求;若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络;若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络;所述工控蜜罐网络响应所述网络请求,记录所述网络请求的攻击者指纹信息和攻击行为。2.根据权利要求1所述的方法,其特征在于,所述若所述网络请求为虚假子域名访问请求,则将所述网络请求转发至工控蜜罐网络进一步包括:若所述网络请求为虚假子域名访问请求,通过虚假子域名托管设备将所述网络请求转发至镜像服务器,所述镜像服务器存储并将网络请求转发至工控蜜罐网络;所述若所述网络请求不为虚假子域名访问请求,则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至所述工控蜜罐网络进一步包括:若所述网络请求不为虚假子域名访问请求,通过入侵检测系统根据防御规则判断所述网络请求是否存在威胁信息,若是,则将所述网络请求转发至镜像服务器,所述镜像服务器存储并将网络请求转发至工控蜜罐网络。3.根据权利要求1所述的方法,其特征在于,所述工控蜜罐网络包括:上位机蜜罐网络和下位机蜜罐网络;所述上位机蜜罐网络用于应答所述网络请求,所述上位机蜜罐网络和下位机蜜罐网络之间采用松耦合的方式进行通信。4.根据权利要求1
‑
3中任一项所述的方法,其特征在于,所述将所述网络请求转发至工控蜜罐网络进一步包括:根据所述网络请求所访问的虚假子域名,确定所转发的工控蜜罐组合,将所述网络请求转发至所述工控蜜罐组合。5.根据权利要求2所述的方法,其特征在于,所述将所述网络请求转发至镜像服务器之后或同时,所述方法还包括:将所述威胁信息发送至关联分析模型进行攻击行为分析;将所述关联分析模型的分析结果发送至所...
【专利技术属性】
技术研发人员:杜雪涛,张晨,赵蓓,于少中,于雷,常玲,刘胜兰,王红雨,王奕夫,薛姗,谈博语,倪宁宁,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。