CN111818077A - 一种基于sdn技术的工控混合蜜罐系统 - Google Patents
一种基于sdn技术的工控混合蜜罐系统 Download PDFInfo
- Publication number
- CN111818077A CN111818077A CN202010702692.XA CN202010702692A CN111818077A CN 111818077 A CN111818077 A CN 111818077A CN 202010702692 A CN202010702692 A CN 202010702692A CN 111818077 A CN111818077 A CN 111818077A
- Authority
- CN
- China
- Prior art keywords
- interaction
- attack
- flow
- honeypot
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005516 engineering process Methods 0.000 title claims abstract description 30
- 230000003993 interaction Effects 0.000 claims abstract description 49
- 238000001914 filtration Methods 0.000 claims abstract description 38
- 238000000034 method Methods 0.000 claims description 35
- 230000008569 process Effects 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 15
- 230000006399 behavior Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 102100026205 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Human genes 0.000 description 4
- 101000691599 Homo sapiens 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Proteins 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 101100190617 Arabidopsis thaliana PLC2 gene Proteins 0.000 description 3
- 101100408456 Arabidopsis thaliana PLC8 gene Proteins 0.000 description 3
- 101100464304 Caenorhabditis elegans plk-3 gene Proteins 0.000 description 3
- 101100093534 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RPS1B gene Proteins 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 3
- 101100190618 Arabidopsis thaliana PLC3 gene Proteins 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 101100520231 Caenorhabditis elegans plc-3 gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013481 data capture Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于SDN技术的工控混合蜜罐系统,该系统包括:过滤模块用于过滤不相关不安全的流量;判别模块,用于判别攻击的交互程度,通过判断低交互蜜罐被识别出或无法满足攻击的交互,来判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据;重定向模块,用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐;SDN工控模块,用于将工控系统的控制面和转发面分离开来,方便控制面去管理转发流表,通过应用层的反馈去修改下发的流表来达到只反馈一定范围内的真实工控数据去引诱攻击者;收集模块,用于收集攻击在蜜罐内的操作。该系统能够通过控制层分离工控系统的应用层和数据层,满足高交互需求,返回真实工控信息。
Description
技术领域
本发明属于网络安全领域,通过对流量的过滤、蜜罐系统的切换以及SDN架构的使用,设计并提出了一种基于SDN技术的工控混合蜜罐系统。
背景技术
随着工业系统不断发展,工业控制系统的功能也越来越多,控制的范围也越来越广,工业控制系统的结构从最开始的计算机集中控制系统开始慢慢发展,发展到之前常用的第二代的分散控制系统,再发展到如今流行的现场总线类型的工业控制系统。越来越多的工业控制系统采用标准的通用通信协议以及软件和硬件系统,通过各种各样的方式与互联网进行连接,打破了工业控制系统的原始封闭性和特殊性,也导致了病毒、木马和其他安全性问题在工业控制领域的传播。因此越来越多的安全问题在工控系统上不断出现。
发明内容
本发明克服了现有蜜罐系统中系统纯软件低交互蜜罐无法实现对攻击者的深层次诱捕以及高交互蜜罐在攻击数据捕获方面存在不足的问题,提供了一种基于SDN技术的工控混合蜜罐系统。
本发明的所述系统包括以下模块:
过滤模块:过滤不相关不安全的流量,通过修改防火墙策略,过滤掉不相关或者无用的流量,得到过滤后的流量数据;
判别模块:用于判别攻击的交互程度,以低交互蜜罐作为判断标准,若低交互蜜罐被攻击者识破或无法满足攻击的交互,则判定此攻击的交互需求为高,以此实现判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据;
重定向模块:用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐,通过判别模块判别后,重定向模块将攻击重定向到相应的低、高交互蜜罐;
SDN工控模块:用于将工控系统的控制面和转发面分离开来,方便控制面去管理转发流表,通过应用层的反馈去修改下发的流表,达到只反馈一定范围内的真实工控数据去引诱攻击者的目的;
收集模块:用于收集攻击在蜜罐内的操作,发现系统漏洞和收集攻击者的攻击手段。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统中,其中,所述过滤模块用于过滤掉不相关或不安全的流量,过滤模块的过滤过程为:
以linux系统防火墙iptables为基础,通过分析常见流量特征,使用iptables命令制定防火墙过滤策略,丢弃无效的流量。
例如,本发明的实施例所述的基于SDN技术的工控混合蜜罐系统,其中,所述使用iptables命令制定防火墙过滤策略,丢弃无效的流量包括:
步骤11:在linux系统的etc/iptables目录下编辑rules文件,创建一个可扩展的框架,添加或删除规则;
步骤12:在iptables中的filter表下有forward链中,通过在forward链中添加过滤规则,根据正在使用的协议匹配流量,并将流量混洗到协议特定的规则链,这些协议特定的规则链旨在保存匹配并允许特定服务的流量的规则;
步骤13:对过滤掉的流量使用iptables中的REJECT拒绝目标流量,该目标向客户端发送响应消息,允许指定出站消息传递,以便模拟在客户端尝试将数据包发送到常规关闭端口时将给出的响应。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,其中,所述判别模块中用于判别攻击的交互程度的过程包括:
将过滤后的流量直接定向到低交互蜜罐,以低交互蜜罐作为判断标准,通过判断低交互蜜罐被攻击者识破识别出或无法满足攻击的交互,实现判别出低交互攻击的流量或高交互攻击的流量。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,其中,所述重定向模块用于定向流经系统的流量数据,将攻击定向到相应的低、高交互蜜罐中的过程包括:
通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,其中,所述通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能的过程包括:
步骤21:编辑linux系统中的/etc/sysctl.conf文件,设置net.ipv4.ip_forward=1,然后用sysctl-p命令使配置文件生效,来启用网卡的IP转发功能;
步骤22:设置脚本来加载内核模块,设置filter表基础策略:允许入包/出包/转发,用iptables命令设置基础会话规则,修改NAT表设置端口转发流量,保存转发规则;
步骤23:运行脚本,修改nat表中的转发规则,将判别后的流量根据相应规则定向转发到相应的蜜罐中去。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,其中,所述SDN工控模块的具体工作过程包括:
将工控系统的应用层和数据层分离开来,流量被转发定向到SDN模块后,首先通过应用层将需求转发到控制层,控制层调用南向数据层的api,得到被允许返回的真实工控设备数据,再返回给应用层,以此来满足高交互攻击的交互需求。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,其中,所述收集模块的收集过程包括:
步骤41:蜜罐自动识别流量发出方所使用的系统和设备并实时反馈;
步骤42:通过防火墙日志收集数据流量信息;
步骤43:通过系统日志收集流量进行的攻击操作。
与现有技术相比,本发明提供的基于SDN技术的工控混合蜜罐系统具有以下优点:1.具有交互性,面对不同交互需求的攻击使用不同交互能力的蜜罐应对;2.采用SDN技术通过控制层对工控系统的应用层和数据层进行分离,可以形成能满足高交互需求、返回真实工控信息的蜜罐;3.通过实施混合蜜罐,节省配置资源;4.使用SDN架构,方便控制蜜罐。
基于SDN技术的工控混合蜜罐系统主要解决了两个问题:1.通过实施混合蜜罐能够实现交互,面对不同交互需求的攻击使用不同交互能力的蜜罐应对;2.采用SDN技术通过控制层分离工控系统的应用层和数据层,形成满足高交互需求、返回真实工控信息的蜜罐。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例的附图作简单地介绍,显而易见地,下面描述中的附图仅仅涉及本发明的一些实施例,而非对本发明的限制。
图1为本发明实施例提供的基于SDN技术的工控混合蜜罐系统的系统结构图;
图2为本发明实施例提供的过滤模块流程图;
图3为本发明实施例提供的不同场景下报文流向图;
图4为本发明实施例提供的Iptables表、链关系图;
图5为本发明实施例提供的swat安全水处理过程图;
图6为本发明实施例提供的SDN工控系统模块结构图;
图7为本发明实施例提供的数据重定向模块测试图;其中,图(a)表示本发明实施例提供的从外访问网关时,工控系统的plc收到的流量,图(b)表示本发明实施例提供的从外访问网关时,低交互蜜罐pentbox收到的流量;
图8为本发明实施例提供的SDN工控系统模块测试效果图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例,基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
传统蜜罐系统通过预先埋下相关的漏洞及对黑客行为进行监控的程序,诱导有不良意图的攻击者对其进行攻击,并对攻击行为进行跟踪、监控并进行记录,安全人员在记录黑客的攻击行为后,通过记录还原攻击,从而对真实的生产环境给予更加安全的保护。但这种方式不够变通且存在部分安全问题,且传统蜜罐系统对攻击者的全部攻击产生整体化响应,未对攻击行为的种类加以区分,使得蜜罐系统大量记录攻击者的攻击行为,导致数据过于混乱进而难以辨别攻击以及分析攻击产生的影响,不利于安全人员进行深入分析。
本发明的实施例提供的基于SDN技术的工控混合蜜罐系统,通过过滤模块和判别模块对进入系统内的流量进行过滤、判别;使用数据重定向模块将不同类型的流量根据蜜罐特性,转发至对应蜜罐,改进流量的转发并实现蜜罐切换功能;新型的网络架构-SDN技术应用于传统工控系统,采用SDN技术通过控制层将工控系统应用层和数据层分离开来,构成高交互式蜜罐,能够捕获恶意代码和相应操作。
如附图1所示,本发明实施例提供的基于SDN技术的工控混合蜜罐系统包括:
过滤模块1:过滤不相关不安全的流量,通过修改防火墙策略,过滤掉不相关或者无用的流量,得到过滤后的流量数据;
判别模块2:用于判别攻击的交互程度,以低交互蜜罐作为判断标准,若低交互蜜罐被攻击者识破或无法满足攻击的交互,则判定攻击的交互需求高,以此实现判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据;
重定向模块3:用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐,通过判别模块判别后,重定向模块将攻击重定向到相应的低、高交互蜜罐;
SDN工控模块4:用于将工控系统的控制面和转发面分离开来,方便控制面去管理转发流表,通过应用层的反馈去修改下发的流表,达到只反馈一定范围内的真实工控数据去引诱攻击者的目的;
收集模块5:用于收集攻击在蜜罐内的操作,发现系统漏洞和收集攻击者的攻击手段。
过滤模块1、判别模块2、数据重定向模块3、SDN工控模块4实现攻击者探测到系统、蜜罐吸引攻击者进行攻击、蜜罐为攻击者提供伪装的数据、采集攻击信息完整的网络欺骗防御。
例如,本发明的实施例提供的基于SDN技术的工控混合蜜罐系统中,其中,所述过滤模块1用于过滤掉不相关或不安全的流量,过滤模块1的过滤过程为:
以linux系统防火墙iptables为基础,通过分析常见流量特征,使用iptables命令制定防火墙过滤策略,丢弃无效的流量。
如附图2所示,本发明实施例提供的过滤模块1的过滤过程:Linux内核集成的netfilter框架下的iptables对IP信息包进行过滤的系统服务,流量进入到网关后,由iptables中的filter表进行相应的匹配过滤;iptables配置的防火墙遵循或组成一套存储、集成在Linux系统内核中特殊的数据包过滤表并处于iptables表中的chain上的规则做出对数据包过滤的决策,通过分析常见流量特征,丢弃无效的流量。
例如,本发明的实施例所述的基于SDN技术的工控混合蜜罐系统,其中,所述使用iptables命令制定防火墙过滤策略,丢弃无效的流量包括:
步骤11:在linux系统的etc/iptables目录下编辑rules文件,创建一个可扩展的框架,添加或删除规则;
步骤12:在iptables中的filter表下forward链中,通过在forward链中添加过滤规则,根据正在使用的协议匹配流量,并将流量混洗到协议特定的规则链,这些协议特定的规则链旨在保存匹配并允许特定服务的流量的规则;
步骤13:对过滤掉的流量使用iptables中的REJECT拒绝目标流量,该目标向客户端发送响应消息,允许指定出站消息传递,以便模拟在客户端尝试将数据包发送到常规关闭端口时给出的响应。
如附图3所示,在不同的场景中,报文的流向如下:
目标为本机中某各进程的报文:PREROUTING链-->INPUT链;
由本机进行转发的报文:PREROUTING链-->FORWARD链-->POSTROUTING链;
由本机的某进程所发出的报文:OUTPUT链-->POSTROUTING链;
例如,通过filter表的string匹配域名实现网站过滤:
iptables-I FORWARD-p tcp-m string--string"qq.com"--algo bm-j DROP;
iptables-I FORWARD-p udp-m string--string"qq.com"--algo kmp-j DROP;
限制ssh连接:
iptables-A FORWARD-s 192.168.0.3-p tcp--dport 22-j ACCEPT;
处理IP产生碎片的数量,例如改为允许每秒10个:
iptables-A FORWARD-f-m limit--limit 10/s--limit-burst 100-j ACCEPT;
设置ICMP包过滤的限制条件,当触发10个ICMP包的阈值时,改为每秒只允许1个包的进入:
iptables-A FORWARD-p icmp-m limit--limit 1/s--limit-burst 10-jACCEPT;
关闭不安全的端口连接:
iptables-A OUTPUT-p tcp--sport 3389-j DROP;
例如,经过过滤的流量直接发送到低交互蜜罐pentbox,低交互蜜罐pentbox能够监听所在网络,收集流量发出方的信息并拒绝相应的端口访问;选择需要开放的端口,输入需要显示的错误信息后,再次访问端口会显示所输入的信息。
本发明实施例提供的判别模块2中用于判别攻击的交互程度的过程包括:将过滤后的流量直接定向到低交互蜜罐,以低交互蜜罐作为判断标准,若攻击者一直选择与低交互蜜罐进行交互,则判定此攻击的交互需求为低;当低交互蜜罐被攻击者识破,或低交互蜜罐不能满足攻击的交互需求,则判定此攻击的交互需求为高,将流量通过Nat功能进行重定向,转发给高交互蜜罐;由此可判别低交互攻击流量或高交互攻击流量。
例如,本发明实施例提供的数据重定向模块3使用Linux中netfilter框架,netfilter框架下的iptables是一种包过滤的防火墙服务,它能合理创建规则链,概念也更清晰;netfilter框架免费开源性质且能够实现网络地址转换、包过滤功能和数据重定向等功能。
例如,本发明实施例使用netfilter框架的hook函数处理捕获到的数据,当hook函数捕获到数据时,将捕获到的数据与规则链中存在的规则进行比较,通过比较的结果生成相应数据响应处理:向上层协议栈提交经过比较后认为有用的数据,或将比较后认为无用的数据直接丢弃。
例如,本发明实施例使用iptables服务在netfilter框架下的规则链进行相应的插入/删除/修改规则动作,这些规则存储在内核空间的数据包筛选器表中,数据包筛选器表为系统指定了源地址,端口地址,传输协议和服务类型等传输、匹配规则。
例如,本发明实施例在iptables对数据包进行规则匹配后,iptables根据相应结果并按照规则定义的方法处理数据,例如,接受、拒绝、丢弃等。
例如,本发明实施例提供的重定向模块3用于定向流经系统的流量数据,将攻击定向到相应的低、高交互蜜罐中的过程包括:通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能。
例如,所述通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能的过程包括:
步骤21:编辑linux系统中的/etc/sysctl.conf文件,设置net.ipv4.ip_forward=1,然后用sysctl-p命令使配置文件生效,来启用网卡的IP转发功能;
步骤22:设置脚本来加载内核模块,设置filter表基础策略:允许入包/出包/转发,用iptables命令设置基础会话规则,修改NAT表设置端口转发流量,保存转发规则;
步骤23:运行脚本,修改nat表中的转发规则,将判别后的流量根据相应规则定向转发到相应的蜜罐中去。
如附图4所示,iptables表、链关系图:其中,raw、mangle、nat、filter四张表,raw表用于实现数据跟踪处理;mangle表用于数据包修改;nat表用于网络地址转换;filter表用于数据包过滤。filter表对相应的数据包进行规则匹配过滤处理。Nat表通过监听:NF_IP_PRE_ROUTING,F_IP_POST_ROUTING及NF_IP_LOCAL_OUT三个hook函数实现网络地址的转发。NF_IP_PRE_ROUTING转换需要对源地址进行转换的数据包;NF_IP_POST_ROUTING对目的地址进行转换处理;NF_IP_LOCAL_OUT对本地的数据包的目的地址进行转换处理。
例如,本发明实施例中数据的重定向功能通过在iptables中的nat表上进行修改、增加规则进行实现,以现有流量进入的目标地址为192.168.23.1为例:如需将此目标地址重新定向为192.168.23.2,则需要在nat表中添加规则:
iptables-t nat-A PREROUTING-p udp-d 192.168.23.1-j DNAT-to192.168.23.2,
其中,-t nat表示将要修改nat表中规则;-p udp表示此规则适用基于udp协议的流量;-A PREROUTING表示将这条规则添加到PREROUTING;-j表示源地址192.168.23.1被重定向到192.168.23.2。
例如,本发明实施例提供的SDN工控模块4的具体工作过程包括:将工控系统的应用层和数据层分离开来,流量被转发定向到SDN模块后,首先通过应用层,应用层将需求转发到控制层,控制层调用南向数据层的api,得到被允许返回的真实工控设备数据,再返回给应用层以此来满足高交互攻击的交互需求。
例如,本发明实施例提供的SDN工控模块4负责形成高交互蜜罐与流量进行交互,所述高交互的蜜罐使用的工控系统为基于Minicps的Swat水处理系统,可提供精确的网络流量,并提供对物理层交互的基本支持。
例如,所述基于Minicps的Swat水处理系统整个子过程由三个PLC控制,如附图5所示,PLC1首先读取水位指示器LIT101,将水位指示器LIT101与定义明确的阈值进行比较做出决定后更新状态,PLC1与PLC2和PLC3通信;PLC1将读取PLC2的流量传感器FIT201的值,将流量传感器FIT201与定义明确的阈值进行比较做出决定并更新状态,再询问PLC3水位指示器LIT301的值,将LIT301与定义明确的阈值进行比较并做出决定最后更新其状态。
如附图6所示,为SDN工控系统模块4结构图,其中,POX控制器与OpenVSwitch交换机通过OpenFlow协议进行通信,控制器给OVS交换机下发相应的流表,OVS通过网桥S1上的虚拟网卡ens33与真实网络相连;网桥上的虚拟网卡s1-eth1、s1-eth2、s1-eth3分别对应PLC1、PLC2、PLC3,当流量通过ens33到达网桥后,OVS交换机根据POX控制器下发的流表与相应的PLC进行通信,OVS交换机在系统中实现了网桥的功能,通过连接多个局域网的设备来实现不同网段设备之间的通信,通过在OVS交换机下建立网桥,使用虚拟的网卡加入网桥,网卡对应网桥打开的端口,实现与真实网络的连接。
例如,本发明实施例提供的收集模块5的过程:
步骤41:蜜罐自动识别流量发出方所使用的系统和设备并实时反馈;
步骤42:通过防火墙日志收集数据流量信息;
步骤43:通过系统日志收集流量进行的攻击操作。
如附图7(a)和图7(b)所示,本发明实施例提供的数据重定向模块3测试图,其中图7(a)为从外访问网关时,工控系统的plc收到转发的流量效果图,系统默认将流量转发到低交互蜜罐pentbox中,运行swat-nat.sh后,nat表规则被修定向到192.168.23.20,从外面访问网关ip:192.168.23.129,工控系统的plc收到了转发而来的流量;图7(b)为从外访问网关时,低交互蜜罐pentbox收到转发的经重定向后的流量,通过运行pentbox-nat.sh,nat表则被修改为原本转发到低交互蜜罐pentbox的状态,定向到192.168.23.131,此时从外面访问网关ip:192.168.23.129,低交互蜜罐pentbox收到了转发而来的流量。
如附图8所示,本发明实施例提供的SDN工控模块4测试效果图,外部流量通过网桥上的ens33端口进入到SDN内,OVS交换机根据POX控制器下发的流表与相应的PLC进行通信,通过Wireshark可以查看到相应的PLC收到了外部流量。
Claims (8)
1.一种基于SDN技术的工控混合蜜罐系统,包括:
过滤模块:过滤不相关不安全的流量,通过修改防火墙策略,过滤掉不相关或者无用的流量,得到过滤后的流量数据;
判别模块:用于判别攻击的交互程度,以低交互蜜罐作为判断标准,若低交互蜜罐被攻击者识破或无法满足攻击的交互,则判定攻击的交互需求为高,以此实现判别过滤后的流量数据为低交互攻击的流量数据或高交互攻击的流量数据;
重定向模块:用于将不同交互程度的攻击流量重定向到相应交互程度的蜜罐,通过判别模块判别后,重定向模块将攻击重定向到相应的低、高交互蜜罐;
SDN工控模块:用于将工控系统的控制面和转发面分离开来,方便控制面管理转发流表,通过应用层的反馈修改下发的流表,达到只反馈一定范围内的真实工控数据引诱攻击者的目的;
收集模块:用于收集攻击在蜜罐内的操作,发现系统漏洞和收集攻击者的攻击手段。
2.如权利要求1所述的基于SDN技术的工控混合蜜罐系统,其中,所述过滤模块用于过滤掉不相关或不安全的流量,过滤模块的过滤过程为:
以linux系统防火墙iptables为基础,通过分析常见流量特征,使用iptables命令制定防火墙过滤策略,丢弃无效的流量。
3.如权利要求2所述的基于SDN技术的工控混合蜜罐系统,其中,所述使用iptables命令制定防火墙过滤策略,丢弃无效的流量包括:
步骤11:在linux系统的etc/iptables目录下编辑rules文件,创建一个可扩展的框架,添加或删除规则;
步骤12:在iptables中的filter表下forward链中,通过在forward链中添加过滤规则,根据正在使用的协议匹配流量,并将流量混洗到协议特定的规则链,这些协议特定的规则链旨在保存匹配并允许特定服务的流量的规则;
步骤13:对过滤掉的流量使用iptables中的REJECT拒绝目标流量,该目标向客户端发送响应消息,允许指定出站消息传递,以便模拟在客户端尝试将数据包发送到常规关闭端口时给出的响应。
4.如权利要求1所述的基于SDN技术的工控混合蜜罐系统,其中,所述判别模块中用于判别攻击的交互程度的过程包括:
将过滤后的流量直接定向到低交互蜜罐,以低交互蜜罐作为判断标准,通过判断低交互蜜罐被攻击者识破或无法满足攻击的交互,实现判别出低交互攻击的流量或高交互攻击的流量。
5.如权利要求1所述的基于SDN技术的工控混合蜜罐系统,其中,所述重定向模块用于定向流经系统的流量数据,将攻击定向到相应的低、高交互蜜罐中的过程包括:
通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能。
6.如权利要求4所述的基于SDN技术的工控混合蜜罐系统,其中,所述通过修改iptables中的NAT表来达到转发、重定向,实现流量定向转发的功能的过程包括:
步骤21:编辑linux系统中的/etc/sysctl.conf文件,设置net.ipv4.ip_forward=1,然后用sysctl-p命令使配置文件生效,来启用网卡的IP转发功能;
步骤22:设置脚本来加载内核模块,设置filter表基础策略:允许入包/出包/转发,用iptables命令设置基础会话规则,修改NAT表设置端口转发流量,保存转发规则;
步骤23:运行脚本,修改nat表中的转发规则,将判别后的流量根据相应规则定向转发到相应的蜜罐中去。
7.如权利要求1所述的基于SDN技术的工控混合蜜罐系统,其中,所述SDN工控模块的具体工作过程包括:
将工控系统的应用层和数据层分离开来,流量被转发定向到SDN模块后,首先通过应用层将需求转发到控制层,控制层调用南向数据层的api,得到被允许返回的真实工控设备数据,再返回给应用层,以此来满足高交互攻击的交互需求。
8.如权利要求1所述的基于SDN技术的工控混合蜜罐系统,其中,所述收集模块的收集过程包括:
步骤41:蜜罐自动识别流量发出方所使用的系统和设备并实时反馈;
步骤42:通过防火墙日志收集数据流量信息;
步骤43:通过系统日志收集流量进行的攻击操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010702692.XA CN111818077A (zh) | 2020-07-21 | 2020-07-21 | 一种基于sdn技术的工控混合蜜罐系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010702692.XA CN111818077A (zh) | 2020-07-21 | 2020-07-21 | 一种基于sdn技术的工控混合蜜罐系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111818077A true CN111818077A (zh) | 2020-10-23 |
Family
ID=72865792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010702692.XA Pending CN111818077A (zh) | 2020-07-21 | 2020-07-21 | 一种基于sdn技术的工控混合蜜罐系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111818077A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112637250A (zh) * | 2021-03-10 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种动态智能自适应蜜网的实现方法 |
CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
CN115242541A (zh) * | 2022-08-03 | 2022-10-25 | 西安热工研究院有限公司 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
-
2020
- 2020-07-21 CN CN202010702692.XA patent/CN111818077A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
KR20190029486A (ko) * | 2017-09-11 | 2019-03-20 | 숭실대학교산학협력단 | 탄력적 허니넷 시스템 및 그 동작 방법 |
Non-Patent Citations (3)
Title |
---|
YEAHBC: "Linux 开启IP转发功能", 《HTTPS://BLOG.CSDN.NET/U012024577/ARTICLE/DETAILS/50716509》 * |
一眼隔世: "iptables详解", 《HTTPS://BLOG.CSDN.NET/FUZHONGFAYA/ARTICLE/DETAILS/82022181》 * |
王贺: "基于SDN的混合蜜网系统设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113037731A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于sdn架构和蜜网的网络流量控制方法及系统 |
CN112637250A (zh) * | 2021-03-10 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种动态智能自适应蜜网的实现方法 |
CN114785564A (zh) * | 2022-04-01 | 2022-07-22 | 江苏天翼安全技术有限公司 | 一种基于以太网桥规则的防跳板机的通用方法 |
CN115242541A (zh) * | 2022-08-03 | 2022-10-25 | 西安热工研究院有限公司 | 一种基于蜜罐的网络攻击响应方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111818077A (zh) | 一种基于sdn技术的工控混合蜜罐系统 | |
US20090077663A1 (en) | Score-based intrusion prevention system | |
US20060095968A1 (en) | Intrusion detection in a data center environment | |
CN111526121B (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
CN113328992A (zh) | 一种基于流量分析的动态蜜网系统 | |
CN113422774B (zh) | 一种基于网络协议的自动化渗透测试方法、装置及存储介质 | |
CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
Lagrasse et al. | Digital forensic readiness framework for software-defined networks using a trigger-based collection mechanism | |
CN111083109A (zh) | 交换机联动防火墙防护提升方法 | |
CN110912887B (zh) | 一种基于Bro的APT监测系统和方法 | |
u Nisa et al. | Detection of slow port scanning attacks | |
CN110881023A (zh) | 一种基于sdn/nfv提供网络区分安全服务的方法 | |
KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
CN115174242B (zh) | 一种内网与外网间的数据安全传输控制方法及系统 | |
CN114629714B (zh) | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 | |
CN116318779A (zh) | 一种基于热迁移和深度学习的动态安全防御方法及系统 | |
CN105827630B (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
CN109450918B (zh) | 基于软件定义网络的IoT设备安全防护系统 | |
KR100350451B1 (ko) | 네트워크상의 장치에서의 패킷 필터링방법 | |
CN110896403A (zh) | 一种应用防火墙架构 | |
Chaithanya et al. | Intelligent IDS: Venus Fly-trap Optimization with Honeypot Approach for Intrusion Detection and Prevention | |
CN113315652B (zh) | 一种优化交换机访问控制的方法、系统、设备及介质 | |
Veena et al. | Detection and mitigation of security attacks using real time SDN analytics | |
Movva et al. | Intelligent IDS: Venus Fly-Trap Optimization with Honeypot Approach for Intrusion Detection and Prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201023 |
|
RJ01 | Rejection of invention patent application after publication |