CN112637244B - 一种针对常见与工控协议及端口的威胁检测方法 - Google Patents
一种针对常见与工控协议及端口的威胁检测方法 Download PDFInfo
- Publication number
- CN112637244B CN112637244B CN202110024949.5A CN202110024949A CN112637244B CN 112637244 B CN112637244 B CN 112637244B CN 202110024949 A CN202110024949 A CN 202110024949A CN 112637244 B CN112637244 B CN 112637244B
- Authority
- CN
- China
- Prior art keywords
- host
- protocol
- client
- port
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种针对常见与工控协议及端口的威胁检测方法,包括:搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;服务端主机对客户端主机访问记录和数据包进行威胁检测。本发明采用插件化的方式,较为便捷地虚拟端口和协议服务,使得服务端主机与客户端主机通过一种可信的通道进行通信,攻击者在访问主机时,可以让攻击者难以辨别真假。
Description
技术领域
本发明涉及计算机网络安全检测领域技术领域,具体涉及一种针对常见与工控协议及端口的威胁检测方法。
背景技术
常见的网络攻击包括了入侵者利用协议漏洞和和端口扫描进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得终极用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。所谓端口扫描,就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。
蜜罐是一个安全资源,它的价值在于被探测、攻击和损害,蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。而现有技术中,难以针对一些常见与工控协议进行相对真实相对完善的虚拟,难以达到引诱攻击者的目的。有一些相对真实完善的虚拟技术进行攻击检测,会消耗大量计算机资源,而且难以进行几个端口的组合虚拟,比较笨重,成本太高。
发明内容
本发明的目的在于:为解决现有技术的不足,提供一种针对常见与工控协议及端口的威胁检测方法。
本发明公开了一种针对常见与工控协议及端口的威胁检测方法,包括:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测。
本发明公开的一种针对常见与工控协议及端口的威胁检测方法,所述服务端主机配置参数包括:启动状态、身份和虚拟端口;所述客户端主机配置参数包括:启动状态、身份、admin后台地址和虚拟端口,所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。所述每个客户端主机身份配置不同,所述客户端主机admin后台地址为服务端主机后台地址。
所述对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟。
其中,所述对服务端主机和客户端主机常见协议的端口模拟的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容,所述插件内容用于处理协议连接。所述客户端主机绑定ip是服务端主机,所述服务端主机不绑定ip。常见协议包括:mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web 、elasticsearch。
所述对服务端主机和客户端主机工控协议的端口模拟的配置信息包括:协议名称、协议状态和插件内容,所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。工控协议的端口模拟支持包括bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp。
本发明公开了一种针对常见与工控协议及端口的威胁检测方法,所述对服务端主机和客户端主机对常见协议的端口模拟和对工控协议的端口模拟的配置文件为xml文件,所述对常见协议的端口模拟一个常见协议对应一个xml文件,所述对工控协议的端口模拟一个xml文件包含一个或多个工控协议。
本发明的有益效果:
本发明通过在服务端主机与客户端主机上进行配置,可以模拟服务端主机与客户端主机的端口和协议,使得服务端主机与客户端主机通过一种可信的通道进行通信,因为并没有对应的真实服务,实际上这些端口一旦访问,全都失效。攻击者在访问主机时,对虚拟出的端口的访问会被记录下来,同时因为访问该端口,网络流量的数据包都被记录下来。对服务端主机的虚拟与对客户端主机的虚拟都会被记录到服务端主机上。
本发明创造主要通过插件化方式,控制成本,需要进行某个端口或协议的虚拟时,就配置相应的服务和内容。当不需要这些端口或协议时,就删除相关配置。这样就达到控制成本的目的。同时本发明创造的插件配置方式贴近真实,以让攻击者难以辨别真假。
附图说明
图1是本发明公开的针对常见与工控协议及端口的威胁检测方法的端口示意图。
图2是本发明公开的针对常见与工控协议及端口的威胁检测方法访问示意图。
具体实施方式
下面对本发明的实施例作详细说明,本实施例在以本发明技术方案为前提下进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本发明公开的一种针对常见与工控协议及端口的威胁检测方法,是使用一种主动诱导型的蜜罐平台,通过在主机上进行配置,可以模拟出端口和协议。该蜜罐平台使用集群化部署,在此体系内,主机分为服务端主机和客户端主机,只要修改相应的配置就可以使得服务端主机与客户端主机通过一种可信的通道进行通信。具体包括如下步骤:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测。
如图2所示,本发明公开的针对常见与工控协议及端口的威胁检测方法,当攻击者访问服务端主机和客户端主机时,对服务端主机和客户端主机的虚拟端口的访问,以及访问该端口网络流量的数据包都会记录下来。主要是对客户端进行协议模拟,通过将其收集到的信息发送给服务端主机,服务端主机整合这些信息,形成威胁检测信息。
所述服务端主机识别每个客户端主机的数据请求,响应返回客户端主机所需数据,处理多个客户端主机连接时的线程调度。处理每个客户端主机连接,需要记录每个客户端主机的操作日志,每个客户端主机的访问连接日志,以及具体协议内容等。
所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。
在本实施例中,包括配置以下参数:
status:启动状态,1就是启动。
name:身份,server或者其他,server指的是服务端主机,其他内容为客户端主机,客户端主机之间的命名不能重复。
以及admin后台地址,admin是一种身份,后台地址就是服务端主机的后台地址,服务端主机就是admin,admin用于负责处理整合的信息。客户端需要配置一个admin后台地址来把自己收集的信息送至服务端主机,服务端主机不需要配置admin后台地址,服务端主机接收客户端主机发送过来的攻击数据。
具体的,所述对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟。
所述对服务端主机和客户端主机常见协议的端口模拟采用xml插件格式的配置文件形式,一个常见协议对应一个xml配置文件,所述配置文件的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容。
具体的,所述客户端主机配置文件的信息包括:协议及协议状态、绑定ip和端口,以及插件内容。客户端主机需要指定一个admin地址,绑定ip也就是绑定一个服务端主机。所述插件内容用于处理协议连接,包括:收集攻击者访问常见协议端口发过来的tcp包;分析攻击数据,如攻击者ip,地理位置,登录信息;将攻击数据存入数据库中;发送攻击数据至服务端主机。
具体的,服务端主机配置文件的信息包括:协议及协议状态、端口,以及插件内容。服务端主机不需要绑定ip。所述插件内容用于处理每个客户端主机连接,包括:接收每个客户攻击数据,收集攻击者访问常见协议端口发过来的tcp包;分析攻击数据,如攻击者ip,地理位置,登录信息;将攻击数据存入数据库中。
客户端主机在配置文件中绑定一个服务端主机,客户端主机在启动常见协议后,将会对服务端主机的指定端口(也就是绑定ip和端口)发送请求。服务端主机在启动常见协议后,服务端主机对应的端口(绑定ip和端口)也是启动的,接收到请求后,就与客户端建立起可信通道。
在本实施例中,所述常见协议包括:mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web 、elasticsearch。
常见端口与协议:
3306端口,是mysql服务的默认端口,mysql是最流行的关系型数据库管理系统。
20、21端口,是FTP协议常用端口,ftp是一种文件传输协议,其中20用于传输数据,21用于传输控制信息。
23端口,是TELNET的默认端口。
5901端口,是VNCserver的默认端口,vncserver主要用于主机的图形化连接。
80端口,是HTTP服务的默认端口,http是最广泛的网络传输协议之一。
69端口,是TFTP协议使用的默认端口,也是一种文件传输协议。
11211端口,是MEN_CACHE的默认端口,也是一种常用的数据库。
22端口,是SSH服务的默认端口,是一种比较可靠的远程登录会话安全协议。
6379端口,是REDIS服务的默认端口,这是一个高性能的主从同步数据库。
WEB服务对应多个端口,一般有67,68,80,25,53,443等端口。
9200、9300端口,是ELASTICSEARCH服务的常用端口,这个服务主要用于执行搜索与数据分析。
在本实施例中,对redis协议的端口模拟。利用go语言自带net包可迅速建立TCP并在此之上搭建redis服务端主机,go语言具有天生自带异步处理,将每个客户端主机连接异步处理互不影响的特点。服务端主机处理客户端主机连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志,以及具体redis协议内容等。
在客户端主机上配置xml文件,文件名与协议名称对应,xml配置内容首先定义redis协议,定义其status,也就是该协议的状态,0为关闭,1为启动。其次定义绑定ip和端口。最后定义插件内容,用来处理 Redis 连接。具体配置内容如下:
[redis]
# Redis 0 关闭 1 启动
status = 0
addr = 0.0.0.0:6379
…
插件内容如下:
//处理 Redis 连接
func redisConnection(conn net.Conn, id string) {
for {
value := parseRESP(conn).([]string)
if value[0] == "SET" || value[0] == "set" {
// redis set
try.Try(func() {
key := value[1]
val := value[2]
kvData[key] = val
go report.ReportUpdateRedis(id, "&&"+value[0]+" "+
value[1]+" "+value[2])
}).Catch(func() {
fmt.Println("error")
})
conn.Write([]byte("+OK\r\n"))
} else if value[0] == "GET" || value[0] == "get" {
try.Try(func() {
// redis get
key := value[1]
val := kvData[key]
valLen := strconv.Itoa(len(val))
str := "$" + valLen + "\r\n" + val + "\r\n"
go report.ReportUpdateRedis(id, "&&"+value[0]+" "+
value[1])
conn.Write([]byte(str))
}).Catch(func() {
conn.Write([]byte("+OK\r\n"))
})
} else {
conn.Write([]byte("+OK\r\n"))
}
}
}
插件内容用于处理客户端主机协议连接,记录客户端主机的操作日志,客户端主机的访问连接日志,以及具体redis协议内容等,用于操作日志通过解析请求数据包获取,并通过封装Report方法解析入库;访问连接日志通过客户端监主机听用户第一次连接时的信息手动记录到客户端数据库中,同时发送一份信息给服务端主机。通过代码处理redis协议内容涉及io数据读取和用户shell命令解析。
在服务端主机上配置xml文件,服务端主机xml文件与客户端主机xml文件的区别在于:服务端主机的配置文件中没有绑定admin的ip。
采用插件化的形式完成对常见协议的模拟,只需要通过修改配置文件中的状态即可开启或关闭redis协议的模拟。对其他常见协议的端口模拟,采用相同的方式,通过配置文件来定义协议修改其状态和虚拟端口,增加了其扩展性,也更容易控制。
所述对服务端主机和客户端主机工控协议的端口模拟采用xml插件格式的配置文件形式,一个xml配置文件可配置一个或多个工控协议,所述配置文件的配置信息包括:协议名称、协议状态和插件内容。所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。协议服务的重点是指其在实际生产环境中的配置等参数。
所述工控协议的端口模拟支持包括bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp。
工控系统(industry control system)主要的端口有:
s7comm协议对应的102端口。
http服务对应的80端口。
modbus协议对应的502端口。
bacnet协议对应的478端口。
ipmi协议对应的623端口。
tftp协议对应的69端口。
ftp协议对应的20,21端口。
snmp协议对应的161端口。
在本实施例中,对bacnet协议的端口模拟。在客户端主机上配置xml文件,配置文件的内容以协议的名称作为起止,<bacnet>协议状态、插件内容 </bacnet>首先在插件内容中定义bacnet协议可访问该协议服务的地址,以及该协议服务的端口,enabled="True"host="0.0.0.0" port="47808"。其次定义设备信息 <device_info>,用来模拟工控环境。然后定义协议服务的重点<object_list>,对这个协议服务进行模拟。具体内容如下:
<bacnet enabled="True" host="0.0.0.0" port="47808">
<device_info>
<device_name>SystemName</device_name>
<device_identifier>36113</device_identifier>
<vendor_name>Alerton Technologies, Inc.</vendor_name>
<vendor_identifier>15</vendor_identifier>
<max_apdu_length_accepted>1024</max_apdu_length_accepted>
<segmentation_supported>segmentedBoth</segmentation_supported
>
<model_name>VAV-DD Controller</model_name>
<protocol_version>1</protocol_version>
</device_info>
<object_list>
<object name="objectBinary">
<properties>
<object_identifier>12</object_identifier>
<object_name>BI 01</object_name>
<object_type>Binary Input</object_type>
</properties>
</object>
<object name="objectAnalog">
<properties>
<object_identifier>14</object_identifier>
<object_name>AI 01</object_name>
<object_type>Analog Input</object_type>
<present_value>68.0</present_value>
</properties>
</object>
<object name="objectDoor">
<properties>
<object_identifier>16</object_identifier>
<object_name>Door 01</object_name>
<object_type>Access Door</object_type>
<present_value>0</present_value>
<out_of_service>True</out_of_service>
<maintenance_required>2</maintenance_required>
</properties>
</object>
</object_list>
</bacnet>
每增加一个工控协议,就在xml配置文件中写入协议名称、协议状态和插件内容,以协议的名称作为起止,<协议名称>协议状态、插件内容 </协议名称>,进行模拟。
服务端主机的xml配置文件与客户端主机的xml配置文件是相同的,用于模拟一种工控端口协议。
客户端主机在配置文件中绑定一个可访问该协议服务的地址,客户端在启动工控协议后,将会对服务端主机的指定端口(也就是可访问的协议服务地址以及该协议服务的端口)发送请求。服务端主机在启动工控协议后,服务端的对应端口(可访问的协议服务地址以及该协议服务的端口)也是启动的,接收到请求后,就与客户端建立起可信通道。
当攻击者在访问客户端主机时,对客户端主机常见协议或工控协议虚拟端口的访问记录为JSON格式的原始数据,这个格式也是可以在更改的,本方法支持 json 、 sqlite、 mysql 、 syslog 、 hpfriends 和 taxii 等几种方式输出访问日志,可以通过cfg 文件中配置了默认日志输出形式与路径。客户端主机具体通过网络层针对每个协议的这些日志收集,信息包括攻击者ip,地理位置,登录信息等。收集为json格式,收集到的json格式的日志,根据字段名对应,一一存入到数据库中。同时这个数据库中的信息发送一份到服务端主机,服务端主机将这个数据库中的信息进行详细展示,以此实现威胁检测。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (6)
1.一种针对常见与工控协议及端口的威胁检测方法,其特征在于:包括:
搭建服务端主机,用于处理每个客户端主机的连接,记录每个客户端主机的操作日志,每个客户端主机的访问连接日志以及具体协议内容;
配置服务端主机和客户端主机参数,对服务端主机和客户端主机端口模拟,使得服务端主机与客户端主机的相应端口虚拟出协议;对服务端主机和客户端主机端口模拟包括对常见协议的端口模拟和对工控协议的端口模拟;客户端主机配置一个admin后台地址来把自己收集的信息送至服务端主机,服务端主机不配置admin后台地址,服务端主机接收客户端主机发送过来的攻击数据;客户端主机在启动常见协议后,将会对服务端主机的指定端口发送请求,服务端主机在启动常见协议后,服务端主机对应的端口也是启动的,接收到请求后,与客户端建立起可信通道;客户端主机在启动工控协议后,将会对服务端主机的指定端口发送请求,服务端主机在启动工控协议后,服务端主机的对应端口也是启动的,接收到请求后,与客户端建立起可信通道;
当攻击者在访问客户端主机时,记录客户端主机对虚拟端口的访问,以及访问该端口网络流量的数据包;
服务端主机对客户端主机访问记录和数据包进行威胁检测;
所述常见协议包括:mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web 、elasticsearch;所述工控协议的端口模拟支持包括bacnet、enip、guardian_ast、http、ipmi、kamstrup、misc、modbus、s7comm和snmp。
2.根据权利要求1所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述服务端主机配置参数包括:启动状态、身份和虚拟端口;所述客户端主机配置参数包括:启动状态、身份、admin后台地址和虚拟端口,所述服务端主机在身份的配置上区别于客户端主机,所述服务端主机虚拟端口的配置与客户端主机相同。
3.根据权利要求2所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述每个客户端主机身份配置不同,所述客户端主机admin后台地址为服务端主机后台地址。
4.根据权利要求1所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机常见协议的端口模拟的配置信息包括:协议及协议状态、绑定ip和端口,以及插件内容,所述插件内容用于处理协议连接。
5.根据权利要求1所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机工控协议的端口模拟的配置信息包括:协议名称、协议状态和插件内容,所述每个工控协议以协议的名称作为起止,所述插件内容包括:该协议可访问的协议服务地址以及该协议服务的端口,用于模拟工控环境的设备信息,用于对该协议进行模拟的协议服务的重点。
6.根据权利要求4或5所述的一种针对常见与工控协议及端口的威胁检测方法,其特征在于:所述对服务端主机和客户端主机对常见协议的端口模拟和对工控协议的端口模拟的配置文件为xml文件,所述对常见协议的端口模拟一个常见协议对应一个xml文件,所述对工控协议的端口模拟一个xml文件包含一个或多个工控协议。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110024949.5A CN112637244B (zh) | 2021-01-08 | 2021-01-08 | 一种针对常见与工控协议及端口的威胁检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110024949.5A CN112637244B (zh) | 2021-01-08 | 2021-01-08 | 一种针对常见与工控协议及端口的威胁检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112637244A CN112637244A (zh) | 2021-04-09 |
CN112637244B true CN112637244B (zh) | 2023-07-07 |
Family
ID=75293832
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110024949.5A Active CN112637244B (zh) | 2021-01-08 | 2021-01-08 | 一种针对常见与工控协议及端口的威胁检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112637244B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113419812B (zh) * | 2021-05-20 | 2022-03-11 | 济南浪潮数据技术有限公司 | 一种虚拟化环境下端口转发测试方法、装置、设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107682342B (zh) * | 2017-10-17 | 2020-03-10 | 盛科网络(苏州)有限公司 | 一种基于openflow的DDoS流量牵引的方法和系统 |
CN108337222B (zh) * | 2017-11-28 | 2022-02-25 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
CN109284296A (zh) * | 2018-10-24 | 2019-01-29 | 北京云睿科技有限公司 | 一种大数据pb级分布式信息存储与检索平台 |
CN111262813A (zh) * | 2018-11-30 | 2020-06-09 | 中国移动通信集团安徽有限公司 | 应用服务的提供方法、装置、设备及介质 |
CN111314308A (zh) * | 2020-01-16 | 2020-06-19 | 国网浙江省电力有限公司温州供电公司 | 基于端口分析的系统安全检查方法及装置 |
CN111651757B (zh) * | 2020-06-05 | 2024-04-09 | 深圳前海微众银行股份有限公司 | 攻击行为的监测方法、装置、设备及存储介质 |
-
2021
- 2021-01-08 CN CN202110024949.5A patent/CN112637244B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110855659A (zh) * | 2019-11-07 | 2020-02-28 | 四川长虹电器股份有限公司 | redis蜜罐部署系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112637244A (zh) | 2021-04-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9329973B2 (en) | Method and apparatus for automated testing software | |
Vetterl et al. | Honware: A virtual honeypot framework for capturing CPE and IoT zero days | |
Provos et al. | Virtual honeypots: from botnet tracking to intrusion detection | |
CN107222515B (zh) | 蜜罐部署方法、装置及云端服务器 | |
EP3471375A1 (en) | Method and apparatus for managing field device based on cloud server | |
US11681804B2 (en) | System and method for automatic generation of malware detection traps | |
US7689675B2 (en) | System and method for communicating with console ports | |
CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
Dalamagkas et al. | A survey on honeypots, honeynets and their applications on smart grid | |
KR102108376B1 (ko) | 검사 네트워크에서 컴퓨터 시스템의 컴퓨터를 검사하기 위한 검사 시스템 | |
US10630708B2 (en) | Embedded device and method of processing network communication data | |
CN111431891A (zh) | 一种蜜罐部署方法 | |
EP3230886B1 (en) | Operating system fingerprint detection | |
CN110768948A (zh) | 漏洞检测的方法及装置、存储介质、电子装置 | |
CN112637244B (zh) | 一种针对常见与工控协议及端口的威胁检测方法 | |
US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
CN110198300B (zh) | 一种蜜罐操作系统指纹隐蔽方法及装置 | |
Gallenstein | Integration of the network and application layers of automatically-configured programmable logic controller honeypots | |
Cifranic et al. | Decepti-SCADA: A Framework for Actively Defending Networked Critical Infrastructures. | |
Vigna | Network intrusion detection: dead or alive? | |
Parcharidis | Simulation of cyber attacks against SCADA systems | |
CN111901325A (zh) | 蜜罐节点的服务扩展方法、装置、电子装置和存储介质 | |
Rodrigues et al. | Design and implementation of a low-cost low interaction IDS/IPS system using virtual honeypot approach | |
Göbel | Amun: automatic capturing of malicious software | |
Foster | " Why does MPTCP have to make things so complicated?": cross-path NIDS evasion and countermeasures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |