CN109889488A - 一种基于云部署的工控网络蜜网安全防护系统 - Google Patents
一种基于云部署的工控网络蜜网安全防护系统 Download PDFInfo
- Publication number
- CN109889488A CN109889488A CN201811637532.0A CN201811637532A CN109889488A CN 109889488 A CN109889488 A CN 109889488A CN 201811637532 A CN201811637532 A CN 201811637532A CN 109889488 A CN109889488 A CN 109889488A
- Authority
- CN
- China
- Prior art keywords
- honey
- industry control
- cloud
- honey jar
- control network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于云部署的工控网络蜜网安全防护系统,该系统由云平台子系统和蜜罐子系统组成。云平台子系统作为基础运行平台,进行资源调度与管理;蜜罐子系统承载于云平台之上,由蜜罐探针系统和蜜罐管理系统两部分组成。本发明依托云部署和蜜网技术,可有效的捕获攻击者的信息,提高工控网络的防御功能。可广泛应用于军工、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。
Description
技术领域
本发明涉及工控安全领域,具体涉及一种基于云部署的工控网络蜜网安全防护系统。
背景技术
随着工业化和信息化的不断融合,工控,网络安全问题也日益突出,工控网络入侵的方法和手段日益丰富,赖以生存的信息平台也变得越来越脆弱,原有的传统静态防御、被动防御已经很难满足当前网络安全的需求。基于蜜网技术的主动防御的安全体系逐渐成为工控网络安全技术研究关注的焦点,蜜网是从蜜罐发展而来的研究入侵者目的、策略、工具和方法的一门网络安全技术,蜜网的任务就是在不被攻击者发现的前提下,尽可能多地捕获攻击者在蜜网中的所作所为,同时要保证蜜网内的蜜罐系统不被作为跳板来攻击非蜜网系统,最后分析捕获的数据,发现新的攻击方法和对未来的攻击作出预测。利用蜜网技术的特有功能,使用蜜网可以发现系统潜在的威胁,工控网络自身的各种不安全因素为蜜罐和蜜网技术提供了巨大的发展前景。蜜网技术的方案可被政府、军队、企业、院校、组织和个人所采用,达到研究工控网络入侵行为,提高抵御入侵的能力,保护自身网络资源,甚至可以作出相应反制的目的。
发明内容
本发明的目的在于提供一种基于云部署的工控网络蜜网安全防护系统,该系统由云平台子系统和蜜罐子系统组成。云平台子系统作为基础运行平台,进行资源调度与管理;蜜罐子系统承载于云平台之上,由蜜罐探针系统和蜜罐管理系统两部分组成。依托云部署和蜜网技术,可有效的捕获攻击者的信息,提高工控网络的防御功能。
本申请公开了以下技术方案:
云平台子系统采用linux container作为底层虚拟化承载平台,采用docker作为基础运维工具,对离散的linux主机进行集中资源管理和调度,以此来构建动态,灵活的蜜罐云。
蜜罐探针系统包括网络蜜罐和主机蜜罐。网络蜜罐由协议模拟引擎模块、分布式任务调度引擎、知识库引擎以及前端可视化交互UI引擎组成;主机蜜罐利用虚拟化平台运行真实OS作为高仿真探针,并且能够详细记录攻击者在OS内部的活动细节。
蜜罐管理系统内部包含日志存储系统和日志分析展示模块(后台分析和前台UI展示),收集,汇总和展示探针系统中每个探针的运行状态、事件记录和分析结果。
系统业务结构分为基础层、数据源层、存储分析层以及展示层,其中,基础层包括:网络协议模拟引擎;数据源层包括:数据规范化引擎、数据加密引擎、探针守护引擎等模块;存储分析层包括:数据存储引擎、数据分析引擎等模块;展示层包括:态势展示、数据展示、探针管理、报告管理、系统配置等模块。
附图说明
图1是本发明一种基于云部署的工控网络蜜网安全防护系统的系统架构图;
图2是本发明一种基于云部署的工控网络蜜网安全防护系统的网络协议模拟引擎结构;
图3是本发明一种基于云部署的工控网络蜜网安全防护系统的蜜罐管理模型;
图4是本发明一种基于云部署的工控网络蜜网安全防护系统的功能框架和业务流程图;
图5是本发明一种基于云部署的工控网络蜜网安全防护系统的数据采集、存储及容和分析过程。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明结合云部署技术,提出了一种基于云部署的工控网络蜜网安全防护系统,一方面将采用模拟软件,模拟真实工控设备,如PLC、DCS、SCADA的通信行为,搜集互联网上的探测和攻击报文;另一方面,采用真实的工控设备,搭建物理蜜罐系统,搜集分析工控系统面临的互联网攻击和探测行为,从而实现灵活快速根据不同攻击类型提供蜜网及将蜜网保护触发前攻击行为引至蜜网的目的,防止工作中的系统受到威胁和攻击。
一种基于云部署的工控网络蜜网安全防护系统具体由云平台子系统、蜜罐子系统组成,具体如图1所示。
云平台子系统采用linux container作为底层虚拟化承载平台,采用docker作为基础运维工具,对离散的linux主机进行集中资源管理和调度,以此来构建动态,灵活的蜜罐云。
蜜罐子系统承载于云平台之上,由蜜罐探针系统和蜜罐管理系统两部分组成。
蜜罐探针系统包括网络蜜罐和主机蜜罐。网络蜜罐由协议模拟引擎模块、分布式任务调度引擎、知识库引擎以及前端可视化交互UI引擎组成。网络协议模拟引擎是网络蜜罐子系统的核心组件,负责对各种应用协议栈的自定义开发、TCP/IP数据报文的组报及收发。为了保证网络蜜罐子系统具备弹性的协议模拟能力,特别将“应用协议栈自定义开发功能”、“TCP/IP数据报文的组报及收发”功能解耦开,可以通过XML形式随时自定义添加、修改应用协议栈,而无需对系统进行任何修改,保证了系统弹性,网络协议模拟引擎结构如图2所示。主机蜜罐利用虚拟化平台运行真实OS作为高仿真探针,并且能够详细记录攻击者在OS内部的活动细节。采用虚拟化技术为基础,构建主机级蜜罐系统。主机级蜜罐用真实的OS作为蜜罐应用的运行平台,具有高仿真的特点,攻击者很难辨别其与普通攻击目标之间的差异,以此来达到提高诱捕效率和诱捕深度的目的,是整个蜜罐系统的重要组成部分。
由于不同类型蜜罐(比如SNMP蜜罐、工控协议蜜罐等)所产生的数据格式以及相应的分析模式各不相同,所以,本系统会根据不同的蜜罐类型设计独立的蜜罐管理系统。蜜罐管理模型具体如图3所示。
一种基于云部署的工控网络蜜网安全防护系统的业务结构分为基础层、数据源层、存储分析层以及展示层,其中,基础层包括:网络协议模拟引擎;数据源层包括:数据规范化引擎、数据加密引擎、探针守护引擎等模块;存储分析层包括:数据存储引擎、数据分析引擎等模块;展示层包括:态势展示、数据展示、探针管理、报告管理、系统配置等模块。具体功能框架和业务流程图如图4所示。
数据采集、存储及容和分析过程如图5所示。
以上对本发明实施例所提供的一种基于云部署的工控网络蜜网安全防护系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (6)
1.一种基于云部署的工控网络蜜网安全防护系统,其特征在于:该系统由云平台子系统和蜜罐子系统组成,其中,
云平台子系统作为基础运行平台,进行资源调度与管理;
蜜罐子系统承载于云平台之上,由蜜罐探针系统和蜜罐管理系统两部分组成。
2.根据权利要求1所述的一种基于云部署的工控网络蜜网安全防护系统,其特征在于:云平台子系统采用linux container作为底层虚拟化承载平台,采用docker作为基础运维工具,对离散的linux主机进行集中资源管理和调度,以此来构建动态、灵活的蜜罐云。
3.根据权利要求1所述的一种基于云部署的工控网络蜜网安全防护系统,其特征在于:蜜罐探针系统包括网络蜜罐和主机蜜罐。
4.根据权利要求1所述的一种基于云部署的工控网络蜜网安全防护系统,其特征在于:网络蜜罐由协议模拟引擎模块、分布式任务调度引擎、知识库引擎以及前端可视化交互UI引擎组成;主机蜜罐利用虚拟化平台运行真实OS作为高仿真探针,并且能够详细记录攻击者在OS内部的活动细节。
5.根据权利要求1所述的一种基于云部署的工控网络蜜网安全防护系统,其特征在于:蜜罐管理系统内部包含日志存储系统和日志分析展示模块(后台分析和前台UI展示),收集,汇总和展示探针系统中每个探针的运行状态、事件记录和分析结果。
6.根据权利要求1所述的一种基于云部署的工控网络蜜网安全防护系统,其特征在于:一方面将采用模拟软件,模拟真实工控设备,如PLC、DCS、SCADA的通信行为,搜集互联网上的探测和攻击报文;另一方面,采用真实的工控设备,搭建物理蜜罐系统,搜集分析工控系统面临的互联网攻击和探测行为,防止工作中的系统受到威胁和攻击。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811637532.0A CN109889488A (zh) | 2018-12-29 | 2018-12-29 | 一种基于云部署的工控网络蜜网安全防护系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811637532.0A CN109889488A (zh) | 2018-12-29 | 2018-12-29 | 一种基于云部署的工控网络蜜网安全防护系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109889488A true CN109889488A (zh) | 2019-06-14 |
Family
ID=66925501
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811637532.0A Withdrawn CN109889488A (zh) | 2018-12-29 | 2018-12-29 | 一种基于云部署的工控网络蜜网安全防护系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109889488A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
| CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
| CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
| CN112565278A (zh) * | 2020-12-08 | 2021-03-26 | 浙江国利网安科技有限公司 | 一种捕获攻击的方法及蜜罐系统 |
| CN112578761A (zh) * | 2021-02-03 | 2021-03-30 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
-
2018
- 2018-12-29 CN CN201811637532.0A patent/CN109889488A/zh not_active Withdrawn
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110391937B (zh) * | 2019-07-25 | 2022-03-04 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
| CN110391937A (zh) * | 2019-07-25 | 2019-10-29 | 哈尔滨工业大学 | 一种基于soap服务模拟的物联网蜜网系统 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN111308958B (zh) * | 2019-11-14 | 2021-04-20 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN111308958A (zh) * | 2019-11-14 | 2020-06-19 | 广州安加互联科技有限公司 | 一种基于蜜罐技术的cnc设备仿真方法、系统和工控蜜罐 |
| CN112039717A (zh) * | 2020-06-29 | 2020-12-04 | 微梦创科网络科技(中国)有限公司 | 一种基于蜜罐的实时监控方法及系统 |
| CN111901325A (zh) * | 2020-07-20 | 2020-11-06 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
| CN111901325B (zh) * | 2020-07-20 | 2022-11-15 | 杭州安恒信息技术股份有限公司 | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 |
| CN112054996A (zh) * | 2020-08-05 | 2020-12-08 | 杭州木链物联网科技有限公司 | 一种蜜罐系统的攻击数据获取方法、装置 |
| CN112134854A (zh) * | 2020-09-02 | 2020-12-25 | 北京华赛在线科技有限公司 | 防御攻击的方法、装置、设备、存储介质及系统 |
| CN112565278A (zh) * | 2020-12-08 | 2021-03-26 | 浙江国利网安科技有限公司 | 一种捕获攻击的方法及蜜罐系统 |
| CN112578761A (zh) * | 2021-02-03 | 2021-03-30 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
| CN112578761B (zh) * | 2021-02-03 | 2023-05-26 | 山东云天安全技术有限公司 | 一种工业控制蜜罐安全防护装置及方法 |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113328992B (zh) * | 2021-04-23 | 2023-03-24 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113676472A (zh) * | 2021-08-18 | 2021-11-19 | 国网湖南省电力有限公司 | 电力行业可扩展式蜜罐溯源反制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889488A (zh) | 一种基于云部署的工控网络蜜网安全防护系统 | |
| Liang et al. | Intrusion detection system for the internet of things based on blockchain and multi-agent systems | |
| Keerthi et al. | Cyber physical systems (CPS): Security issues, challenges and solutions | |
| CN107070929A (zh) | 一种工控网络蜜罐系统 | |
| CN110401661A (zh) | 一种电力监控系统的网络安全靶场系统 | |
| Xie et al. | Security analysis on cyber-physical system using attack tree | |
| CN109802841A (zh) | 一种基于云平台的网络攻防靶场系统 | |
| Tao et al. | A survey of network security situation awareness in power monitoring system | |
| Siemers et al. | Modern trends and skill gaps of cyber security in smart grid | |
| Mashima | Mitre att&ck based evaluation on in-network deception technology for modernized electrical substation systems | |
| Abdelrahman et al. | A Hybrid Physical Co-Simulation Smart Grid Testbed for Testing and Impact Analysis of Cyber-Attacks on Power Systems: Framework and Attack Scenarios | |
| Chen et al. | Cyber security for multi-station integrated smart energy stations: Architecture and solutions | |
| Bieker et al. | Deploying an ICS honeypot in a cloud computing environment and comparatively analyzing results against physical network deployment | |
| Song | Preschool cyber security management system based on intelligent agents | |
| McDonald et al. | Modeling and simulation for cyber-physical system security research, development and applications | |
| Stites et al. | Smart grid security educational training with thundercloud: a virtual security test bed | |
| Larrucea et al. | An ICS based scenario generator for cyber ranges | |
| Bernatik et al. | Risk Analysis and Management-Trends, Challenges and Emerging Issues: Proceedings of the 6th International Conference on Risk Analysis and Crisis Response (RACR 2017), June 5-9, 2017, Ostrava, Czech Republic | |
| CN105138543A (zh) | 一种数据的存储方法及系统 | |
| Wei | Research on the construction of network security attack and defense range system in power monitoring system | |
| CN203086498U (zh) | 一种可扩展集成智能办公系统 | |
| Min | Application of network and information security risk monitoring and early warning platform in electric power enterprises | |
| Itzhak Weinberg | The Role and Applications of Airport Digital Twin in Cyberattack Protection during the Generative AI Era | |
| KR102428689B1 (ko) | 사이버보안 교육/훈련을 위한 가상 산업 제어 시스템 제공 장치 및 방법 | |
| Hernandez | Sandia Cyber and Emulytics Overview. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 210012 Jiangsu Province Yuhuatai District Software Avenue 168, 3 buildings, 5 floors Applicant after: Bozhi Safety Technology Co.,Ltd. Address before: 210012 Jiangsu Province Yuhuatai District Software Avenue 168, 3 buildings, 5 floors Applicant before: JIANGSU BOZHI SOFTWARE TECHNOLOGY Co.,Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190614 |