CN113746810A - 一种网络攻击诱导方法、装置、设备及存储介质 - Google Patents
一种网络攻击诱导方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113746810A CN113746810A CN202110928627.3A CN202110928627A CN113746810A CN 113746810 A CN113746810 A CN 113746810A CN 202110928627 A CN202110928627 A CN 202110928627A CN 113746810 A CN113746810 A CN 113746810A
- Authority
- CN
- China
- Prior art keywords
- data packet
- attack
- equipment
- control system
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请适用网络安全技术领域,提供了一种网络攻击诱导方法、装置、设备及存储介质。其中,所述方法通过接收发送至工业控制系统的数据包;检测数据包是否用于对工业控制系统进行网络扫描;当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;根据调用指令确定目标攻击设备所属的设备类型;执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备,可以提高网络攻击检测的准确性,降低误检测和漏检测概率,并在提高攻击者的网络攻击成本的同时,保护真实设备避免受到数据包的攻击,提升工业控制系统的网络攻击防护能力。
Description
技术领域
本申请属于网络安全技术领域,尤其涉及一种网络攻击诱导方法、装置、设备及存储介质。
背景技术
工业控制系统(Industrial Control Systems,ICS)可以对设备的实时数据进行采集和监测,并在计算机调配下实现设备自动化运行,传统的工业控制系统由于技术和架构限制使用环境封闭,无法实现和业务系统、信息系统等前端系统的协同工作。随着计算机技术、通信技术以及控制技术的不断发展,传统工业控制系统封闭的使用环境逐渐开放,互联性得以提高,建立与多种前端系统实现协作的工业控制系统成为当前的主流发展趋势。
与多种前端系统实现协作的工业控制系统存储有大量重要数据,使提高了互联性的工业控制系统容易成为网络攻击的对象,且一体化的工业控制系统与大量设备连接,网络结构复杂并使用多种工业型通讯协议,而传统的网络攻击检测方法检测规则单一,用于工业控制系统时容易发生误检测和漏检测,导致工业控制系统存在数据安全隐患,如何提升工业控制系统的网络攻击防护能力成为当前亟需解决的问题。
发明内容
有鉴于此,本申请实施例提供了一种网络攻击诱导方法、装置、设备及存储介质,以解决现有的业控制系统的网络攻击防护能力差的问题。
本申请实施例的第一方面提供了一种网络攻击诱导方法,包括:
接收发送至所述工业控制系统的数据包;
检测所述数据包是否用于对所述工业控制系统进行网络扫描;
当检测到所述数据包用于网络扫描时,获取所述数据包的调用指令,所述调用指令用于调用目标攻击设备;
根据所述调用指令确定所述目标攻击设备所属的设备类型;
执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,所述预设策略用于生成属于所述设备类型的虚拟仿真设备。
本申请实施例的第二方面提供了一种网络攻击诱导装置,包括:
接收模块,用于接收发送至所述工业控制系统的数据包;
检测模块,用于检测所述数据包是否用于对所述工业控制系统进行网络扫描;
获取模块,用于当检测到所述数据包用于网络扫描时,获取所述数据包的调用指令,所述调用指令用于调用目标攻击设备;
判断模块,用于根据所述调用指令确定所述目标攻击设备所属的设备类型;
诱导模块,用于执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,所述预设策略用于生成属于所述设备类型的虚拟仿真设备。
本申请实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请实施例的第一方面提供的网络攻击诱导方法的步骤。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例第一方面提供的网络攻击诱导方法的步骤。
本申请实施例的第一方面提供一种网络攻击诱导方法,通过接收发送至工业控制系统的数据包;检测数据包是否用于对工业控制系统进行网络扫描;当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;根据调用指令确定目标攻击设备所属的设备类型;执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备,可以提高网络攻击检测的准确性,降低误检测和漏检测概率,并在提高攻击者的网络攻击成本的同时,保护真实设备避免受到数据包的攻击,提升工业控制系统的网络攻击防护能力。
可以理解的是,上述第二方面至第四方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的网络攻击诱导方法的第一种流程示意图;
图2是本申请实施例提供的网络攻击诱导方法的第二种流程示意图;
图3是本申请实施例提供的网络攻击诱导方法的第三种流程示意图;
图4是本申请实施例提供的网络攻击诱导方法的第四种流程示意图;
图5是本申请实施例提供的网络攻击诱导装置的结构示意图;
图6是本申请实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
在应用中,现有的工业控制系统由于系统差异无法适用传统操作系统的网络攻击防护软件,且目前市面上的网络攻击防护软件通常基于特征匹配(Feature Matching)的检测方法和基于白名单规则(White List Rule)的检测方法,而特征匹配和白名单规则的检测规则单一,用于工业控制系统的网络攻击防护时容易发送误检测和漏检测。
针对上述技术问题,本申请实施例提供一种网络攻击诱导方法,应用于能够对工业控制系统进行驱动控制的任意终端设备,通过接收并检测数据包是否对工业控制系统进行网络扫描,当上述检测结果为是判断数据包用于网络攻击,并根据数据包的调用指令确定目标攻击设备所属的设备类型,从而对应生成属于上述设备类型的虚拟仿真设备,并诱导数据包对上述虚拟仿真设备进行攻击,可以提高网络攻击检测的准确性,以及提高网络攻击探测到真实设备的难度,还可以提高攻击者的网络攻击成本,从而提高工业控制系统的网络攻击防护能力。
在应用中,终端设备可以是手机、可穿戴设备、平板电脑、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personaldigital assistant,PDA)等,本申请实施例对终端设备的具体类型不作任何限制。
如图1所示,本申请实施例提供的网络攻击诱导方法,包括如下步骤S101至步骤S105:
步骤S101、接收发送至工业控制系统的数据包。
在应用中,工业控制系统的通讯方式包括内部通讯(Internal Communication)和外部通讯(External Communication),内部通讯用于工业控制系统内部设备之间的数据交换和指令传输,外部通讯用于工业控制系统外的服务器或终端与工业控制系统内部设备的数据交换和指令传输。通过外部通讯可以接收发送至工业控制系统的数据包(DataPacket),数据包可以包括互联网协议地址(Internet Protocol Address,IP地址)、目标互联网协议地址地址(目标IP地址)和净载数据三部分内容,具体的,数据包的IP地址为数据包发送者所在网络环境的IP地址;数据包的目标IP地址用于确定数据包的发送目标,发送目标可以是工业控制系统中的任意设备,也可以是工业控制系统中的一种设备类型下的全部设备,还可以是工业控制系统中指定的一个设备;数据包的净载数据包括发送者传输给发送目标的数据和指令。
步骤S102、检测数据包是否用于对工业控制系统进行网络扫描。
在应用中,网络扫描可以包括多种实现方式,具体的,可以通过对一个系统进行整体的TCP(Transmission Control Protocol,传输控制协议)端口扫描,并在TCP端口扫描过程中配合SYN(Synchronize Sequence Numbers,同步序列编号)探测、FIN Flag(TCP报头的码位字段)探测或TCP Connect函数探测等探测方式实现;还可以通过对一个系统进行整体的UDP(User Datagram Protocol,用户数据报协议)端口扫描,并在UDP端口扫描过程中配合流量型DoS(Denial of Service,拒绝服务)攻击等攻击方式实现,具体可以是UDP FLOOD(用户数据报协议洪水攻击);网络扫描通常作为进行网络攻击的第一个步骤,用于确定系统搭载的内部设备的设备类型和每种设备类型对应的内部设备数量,还用于确定工业控制系统的版本。本申请实施例对网络扫描的具体实现方式不作任何限制。
在应用中,工业控制系统具有用于监控外部通讯的传感器,可以实时检测发送至工业控制系统的数据包并对数据包的净载数据进行分析,以检测数据包的净载数据是否包括任意一种实现方式的网络扫描程序,以及数据包的净载数据是否正在运行上述任意一种实现方式的网络扫描程序,若是,则确定数据包用于网络扫描,若否,则确定数据包未用于网络扫描,实现快速判断数据包是否用于网络攻击。
步骤S103、当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备。
在应用中,目标攻击设备可以是数据包指定的一种设备类型下的全部设备,还可以是数据包指定的一个设备,一个调用指令用于调用一个目标攻击设备执行预设功能或者获取目标攻击设备存储的预设信息,并使目标攻击设备生成对应的响应信息,数据包通过对响应信息进行分析,可以判断目标攻击设备是否为工业制系统中的真实设备,其中,预设功能可以根据目标攻击设备支持的功能和发送数据包的攻击者的实际需要进行设置,预设信息可以是攻击者指定的目标攻击设备存储的部分信息,也可以是目标攻击设备存储的全部信息。
在应用中,数据包可以用于发送至少一条调用指令以调用目标攻击设备,发送调用指令通常作为网络攻击的第二个步骤;传感器可以对确定用于网络扫描的数据包进行跟踪,当进行过网络扫描的数据包发送调用指令时,捕获数据包发送的所有调用指令,避免调用指令直接作用于目标攻击设备。
步骤S104、根据调用指令确定目标攻击设备所属的设备类型。
在应用中,传感器可以对捕获后的调用指令进行分析,确定调用指令所作用的至少一个目标攻击设备,并通过查表的方式确定目标攻击设备所属的设备类型。其中,可以根据工业控制系统预设的目标攻击设备与设备类型的对应表进行查表,也可以根据用户建立的目标攻击设备与设备类型的对应表进行查表。
例如,假设一个工业控制系统包括财务管理设备、销售管理设备、生产线管理设备、调度管理设备、PLC(Programmable Logic Controller)设备及DCS(DistributedControl System)设备;则财务管理设备、销售管理设备可以属于企业管理设备类型,生产线管理设备、调度管理设备可以属于生产管理设备类型,PLC设备和DCS设备可以属于现场控制设备类型;或者,可以将每一种设备设置为一种设备类型。本申请实施例对目标攻击设备与设备类型的对应关系不作任何限制。
步骤S105、执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备。
在应用中,工业控制系统可以设置有多种预设策略,多种预设策略与多种设备类型一一对应,每种预设策略执行时用于生成对应设备类型的虚拟仿真设备。
在应用中,在传感器通过调用指令确定目标攻击设备所属的设备类型后,传感器可以根据上述所属的设备类型对应的预设策略,生成属于上述设备类型对应的虚拟仿真设备,并诱导数据包对属于上述设备类型的虚拟仿真设备进行攻击。
在一个实施例中,步骤S105,还包括:
控制属于设备类型的虚拟仿真设备在互联网地址池获取互联网协议地址;
当工业控制系统中任意一个真实设备上线时,检测任意一个真实设备的互联网协议地址是否与虚拟仿真设备的互联网协议地址相同;
若是,将互联网协议地址与任意一个真实设备的互联网协议地址相同的模拟仿真设备下线。
在应用中,互联网协议地址池(Internet Protocol Address Pool,IP地址池)包括第二预设数量的IP地址,在工业控制系统中,一个IP地址对应一个设备,IP地址用于作为对应设备在网络中的标识。当多个真实设备上线时,每个真实设备需要在IP地址池获取对应的IP地址。其中,第二预设数量可以大于真实设备的数量。
在应用中,通常来说,网络攻击防护用于在工业控制系统的真实设备上线时对真实设备进行保护。本发明可以设置在真实设备下线和上线时,保持多种设备类型的虚拟仿真设备在线,且控制虚拟仿真设备的IP地址在真实设备的IP地址池进行获取,使虚拟仿真设备的IP地址与真实设备的IP地址相同或IP地址段相似,从而提高虚拟仿真设备的仿真性,以及实现在真实设备下线时对工业控制系统潜在的网络攻击风险进行检测和防范。
在应用中,为了在网络中对真实设备进行区分,每个真实设备的IP地址通常固定,可以当工业控制系统中任意一个真实设备上线时,检测任意一个真实设备的IP地址是否与虚拟仿真设备的IP地址相同,若是,将IP地址与任意一个真实设备的IP地址相同的模拟仿真设备下线,避免虚拟仿真设备占用真实设备的IP地址,以保证真实设备的正常运行。
在一个实施例中,步骤S105包括:
根据设备类型对应的虚拟仿真设备模板,生成第一预设数量的属于设备类型的虚拟仿真设备;
诱导数据包的攻击脚本对属于设备类型的虚拟仿真设备进行攻击。
在应用中,设备类型对应的预设策略包括,与上述设备类型对应的虚拟仿真设备模板以及与上述设备类型对应的第一预设数量配置。虚拟仿真设备模板具有与对应设备类型的真实设备相同的网络架构,通过虚拟仿真设备模板生成的虚拟仿真设备在网络上运行,虚拟仿真设备采用与对应设备类型的真实设备相同的通讯协议(CommunicationsProtocol),可以执行用于控制真实设备的功能代码(Functional Code),还可以模拟真实设备的响应并生成模拟响应信息,从而在网络上代替真实设备执行调用指令指定的预设功能并可以向数据包返回模拟响应信息,提高了虚拟仿真设备的仿真性和交互性,从而在数据包通过调用指令对虚拟仿真设备进行判断设备真实性时,大幅提高数据包将虚拟仿真设备误识别为真实设备的概率。
在应用中,当一种设备类型包括多种设备时,虚拟仿真设备模板可以生成一种设备类型包括的多种设备的虚拟仿真设备,虚拟仿真设备模板的具体类型和数量根据工业控制系统实际的真实设备的类型和真实设备类型的数量确定。一种设备类型对应的预设策略包括的第一预设数量配置,可以确定对应设备类型的虚拟仿真设备的生成数量,第一预设数量可以根据对应设备类型的真实设备数量设置,例如,第一预设数量可以等于对应设备类型的真实设备数量的100%、200%或300%等比例;第一预设数量也可以根据用户实际需要进行设置,本申请实施例对第一预设数量的具体数值不作任何限定。
在应用中,数据包的净载数据可以包括攻击脚本,使用攻击脚本进行攻击通常作为进行网络攻击的第三个步骤,攻击脚本用于根据网络扫描确定的工业控制系统的版本确定当前版本的漏洞,并根据漏洞对工业控制系统进行破解,破解完成后攻击脚本可以获取并发送目标攻击设备存储的信息至数据包的IP地址,以完成对目标攻击设备的信息窃取。通过诱导数据包的攻击脚本对属于设备类型的虚拟仿真设备进行攻击,虚拟仿真设备可以通过增加数量的方式防御并消耗网络攻击,可以提高攻击者的网络攻击成本,并可以保护真实设备避免受到攻击脚本的攻击。
在应用中,通过检测接收到的数据包进行是否网络扫描,当检测到数据包用于网络扫描时,获取数据包的调用指令,并根据调用指令确定目标攻击设备所属的设备类型,执行设备类型对应的预设策略诱导数据包对虚拟仿真设备进行攻击,可以提高网络攻击检测的准确性,降低误检测和漏检测概率,并在提高攻击者的网络攻击成本的同时,保护真实设备避免受到数据包的攻击,提升工业控制系统的网络攻击防护能力。
如图2所示,在一个实施例中,基于图1所对应的实施例,包括如下步骤S201至步骤S207,
步骤S201、接收发送至工业控制系统的数据包;
步骤S202、检测数据包是否用于对工业控制系统进行网络扫描;
步骤S203、当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;
步骤S204、根据调用指令确定目标攻击设备所属的设备类型;
步骤S205、执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备;
步骤S206、当检测到数据包用于网络扫描时,获取数据包的互联网协议地址;
步骤S207、将数据包的互联网协议地址添加至黑名单。
其中,步骤S201至步骤S205与上述步骤S101至步骤S105提供的网络攻击诱导方法一致,在此不再赘述,和图1所对应的实施例的区别在于,步骤S202之后还包括步骤S206和步骤S207。
在应用中,当检测到数据包用于网络扫描时,可以确定数据包用于网络攻击,获取数据包的IP地址并添加至黑名单,避免同一个IP地址再次对工业控制系统进行网络攻击,同时由于工业控制系统已经加载数据包的净载数据,真实设备存在被攻击的风险,可以继续执行步骤S203至步骤S205,以保护真实设备避免受到数据包的攻击脚本的攻击。
在一个实施例中,步骤S205之后还包括:
当任意一个设备类型的虚拟仿真设备被攻击后,查找对任意一个设备类型的虚拟仿真设备进行攻击的数据包,并获取数据包的互联网协议地址;
将数据包的互联网协议地址添加至黑名单。
在应用中,传感器可以检测任意一个设备类型的虚拟仿真设备是否被数据包的攻击脚本攻击;当检测结果为是时,传感器可以根据调用虚拟仿真设备的调用指令确定发送调用指令的数据包,并获取数据包的IP地址并添加至黑名单,可以在数据包绕过网络扫描检测时,或者在数据包使用网络扫描以外的方法作为网络攻击的第一个步骤时,避免同一个IP地址再次对工业控制系统进行网络攻击,以提高工业控制系统的网络攻击防护能力。
在应用中,通过在检测到数据包用于网络扫描时或者在任意一个设备类型的虚拟仿真设备被攻击后,获取用于网络攻击的数据包的IP地址并添加至黑名单,避免同一个IP地址再次对工业控制系统进行网络攻击,以提升工业控制系统的网络攻击防护能力和对网络攻击的学习能力。
如图3所示,在一个实施例中,基于图2所对应的实施例,包括如下步骤S301至步骤S310:
步骤S301、提取发送至工业控制系统的数据包的互联网协议地址;
步骤S302、检测数据包的互联网协议地址是否与黑名单包括的任意一个互联网协议地址相同;若是,进入步骤S303,若否,进入步骤S304;
步骤S303、不加载发送至工业控制系统的数据包,并将数据包的互联网协议地址的屏蔽次数加1;
步骤S304、接收发送至工业控制系统的数据包;
步骤S305、检测数据包是否用于对工业控制系统进行网络扫描;
步骤S306、当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;
步骤S307、根据调用指令确定目标攻击设备所属的设备类型;
步骤S308、执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备;
步骤S309、当检测到数据包用于网络扫描时,获取数据包的互联网协议地址;
步骤S310、将数据包的互联网协议地址添加至黑名单。
其中,步骤S304至步骤S310与上述步骤S201至步骤S207提供的网络攻击诱导方法一致,在此不再赘述,和图2所对应的实施例的区别在于,步骤S304之前还包括步骤S301至步骤S303。
在应用中,工业控制系统获取到数据包时,首先提取数据包的IP地址和目标IP地址,再加载数据包的净载数据,在加载数据包的净载数据前,传感器可以检测提取的数据包的IP地址是否与黑名单包括的任意一个互联网协议地址相同,以判断数据包的IP地址是否对工业控制系统进行过网络攻击。
在应用中,如果检测结果为是,工业控制系统不加载数据包的净载数据,可以删除数据包并将数据包的IP地址的屏蔽次数加1,以记录不同IP地址对工业控制系统的攻击情况;如果检测结果为否,工业控制系统加载数据包的净载数据。
在应用中,通过检测提取的数据包的IP地址是否与黑名单包括的任意一个IP地址是否相同,如果相同则不加载数据包,可以在每次获取到数据包时根据黑名单快速进行遍历检测并快速作出响应,以降低工业控制系统受到网络攻击的风险。
如图4所示,在一个实施例中,基于图3所对应的实施例,包括如下步骤S401至步骤S413:
步骤S401、提取发送至工业控制系统的数据包的互联网协议地址;
步骤S402、检测数据包的互联网协议地址是否与黑名单包括的任意一个互联网协议地址相同;若是,进入步骤S403,若否,进入步骤S404;
步骤S403、不加载发送至工业控制系统的数据包,并将数据包的互联网协议地址的屏蔽次数加1;
步骤S404、接收发送至工业控制系统的数据包;
步骤S405、检测数据包是否用于对工业控制系统进行网络扫描;
步骤S406、当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;
步骤S407、根据调用指令确定目标攻击设备所属的设备类型;
步骤S408、执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备;
步骤S409、当检测到数据包用于网络扫描时,获取数据包的互联网协议地址;
步骤S410、将数据包的互联网协议地址添加至黑名单;
步骤S411、确定调用指令对应的通讯协议,将通讯协议的被攻击次数加1;
步骤S412、将属于设备类型的虚拟仿真设备的被攻击次数加1,并发送告警信号以对用户进行告警;
步骤S413、根据数据包的互联网协议地址获取地域信息,并将地域信息、数据包的互联网协议地址的屏蔽次数、通讯协议的被攻击次数及属于设备类型的虚拟仿真设备的被攻击次数发送至显示模块。
其中,步骤S401至步骤S410与上述步骤S301至步骤S310提供的网络攻击诱导方法一致,在此不再赘述,和图3所对应的实施例的区别在于,步骤S406之后还包括步骤S411,步骤S408之后还包括步骤S412,步骤S403和步骤S409之后还包括步骤S413。
在应用中,调用指令需要基于对应的目标攻击设备的通讯协议进行编码得到,因此传感器可以获取调用指令对应的目标攻击设备采用的通讯协议,并将上述通讯协议的被攻击次数加1,以记录不同通讯协议的被攻击情况。其中,通讯协议可以包括S7Coom(S7Communication,S7通讯协议)、ModBus(一种串行通讯协议)、EtherCAT(EtherControlAutomation Technology,以太网控制自动化技术)、EthernetPowerlink(高速工业以太网)或Profinet(自动化总线标准)等不同种类的工业型通讯协议,本申请实施例对通讯协议的具体种类不作任何限制。
在应用中,在诱导数据包对属于设备类型的虚拟仿真设备进行攻击后,可以将对应设备类型的虚拟仿真设备的被攻击次数加1,以记录不同设备类型的虚拟仿真设备的被攻击情况;还可以生成告警日志,告警日志可以包括数据包的接收时间、数据包每次攻击的攻击时间、调用指令指定的功能或获取的信息等攻击内容,并发送告警信号以对用户进行告警,使工业控制系统具备风险反馈能力。
在应用中,传感器可以根据数据包的IP地址获取对应的地域信息,地域信息可以是数据包的IP地址所在省、所在市、所在区或所在县,还可以是数据包的IP地址所在经纬度;将告警日志、地域信息、IP地址的屏蔽次数、通讯协议的被攻击次数及属于设备类型的虚拟仿真设备的被攻击次数发送至显示模块,可以清晰的对工业控制系统的被攻击情况和攻击者的攻击趋势进行量化和展示,有利于用户根据被攻击情况和攻击趋势调整黑名单设置和预设策略,以提升工业控制系统的网络防护灵活性。
例如,当来自一个地域的网络攻击次数超出第一预设阈值时,可以增加对上述地域的数据包的网络扫描次数,网络扫描次数具体可以是2次、3次或4次等;当一个通讯协议的被攻击次数超出第二预设阈值时,可以获取采用上述通讯协议的虚拟仿真设备对应的多种设备类型,并上调属于上述多种设备类型对应的预设策略的第一预设数量配置;当属于设备类型的虚拟仿真设备的被攻击次数超出第三预设阈值时,可以上调属于上属于上述设备类型对应的预设策略的第一预设数量配置。其中,第一预设阈值、第二预设阈值和第三预设阈值的具体数值可以根据实际需要进行设置。
本申请实施例的提供的网络攻击诱导方法,通过接收发送至工业控制系统的数据包;检测数据包是否用于对工业控制系统进行网络扫描;当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;根据调用指令确定目标攻击设备所属的设备类型;执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,设备类型对应的预设策略用于生成属于上述设备类型的虚拟仿真设备,可以提高网络攻击检测的准确性,降低误检测和漏检测概率,并在提高攻击者的网络攻击成本的同时,保护真实设备避免受到数据包的攻击,提升工业控制系统的网络攻击防护能力。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
如图5所示,本申请实施例还提供一种网络攻击诱导装置,用于执行上述网络攻击诱导方法实施例中的步骤。网络攻击诱导装置可以是终端设备中的虚拟装置(virtualappliance),由终端设备的处理器运行,也可以是终端设备本身。
如图5所示,本申请实施例提供的网络攻击诱导装置5,包括:
接收模块501,用于接收发送至工业控制系统的数据包;
检测模块502,用于检测数据包是否用于对工业控制系统进行网络扫描;
获取模块503,用于当检测到数据包用于网络扫描时,获取数据包的调用指令,调用指令用于调用目标攻击设备;
判断模块504,用于根据调用指令确定目标攻击设备所属的设备类型;
诱导模块505,用于执行设备类型对应的预设策略,诱导数据包对属于设备类型的虚拟仿真设备进行攻击,预设策略用于生成属于设备类型的虚拟仿真设备。
在一个实施例中,上述接收模块501,还包括:
地址获取模块,用于当检测到数据包用于网络扫描时,获取数据包的互联网协议地址;
黑名单添加模块,用于将数据包的互联网协议地址添加至黑名单。
在一个实施例中,上述网络攻击诱导装置5,还包括:
地址提取模块,用于提取发送至工业控制系统的数据包的互联网协议地址;
黑名单检测模块,用于检测数据包的互联网协议地址是否与黑名单包括的任意一个互联网协议地址相同;
屏蔽计数模块,用于检测到数据包的互联网协议地址与黑名单包括的任意一个互联网协议地址相同时,不加载发送至工业控制系统的数据包,并将数据包的互联网协议地址的屏蔽次数加1。
在一个实施例中,上述获取模块503,还包括:
通讯协议计数模块,用于确定调用指令对应的通讯协议,将通讯协议的被攻击次数加1。
在一个实施例中,上述诱导模块505,包括:
生成模块,用于根据设备类型对应的虚拟仿真设备模板,生成第一预设数量的属于设备类型的虚拟仿真设备;
子诱导模块,用于诱导数据包的攻击脚本对属于设备类型的虚拟仿真设备进行攻击。
在一个实施例中,上述诱导模块505,还包括:
告警模块,用于将属于设备类型的虚拟仿真设备的被攻击次数加1,并发送告警信号以对用户进行告警。
在应用中,网络攻击诱导装置中的各模块可以为软件程序模块,也可以通过处理器中集成的不同逻辑电路实现,还可以通过多个分布式处理器实现。
如图6所示,本申请实施例还提供一种终端设备6包括存储器61、处理器62以及存储在所述存储器61中并可在所述处理器62上运行的计算机程序63,处理器62执行计算机程序63时实现上述各个网络攻击诱导方法实施例中的步骤。
在应用中,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在应用中,存储器在一些实施例中可以是终端设备的内部存储单元,例如终端设备的硬盘或内存。存储器在另一些实施例中也可以是终端设备的外部存储设备,例如终端设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器还可以既包括终端设备的内部存储单元也包括外部存储设备。存储器用于存储操作系统、应用程序、引导装载程序(BootLoader)、数据以及其他程序等,例如计算机程序的程序代码等。存储器还可以用于暂时地存储已经输出或者将要输出的数据。
需要说明的是,上述装置/模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中,上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。另外,各功能模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的终端设备和方法,可以通过其它的方式实现。例如,以上所描述的终端设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或模块的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种网络攻击诱导方法,应用于工业控制系统,其特征在于,所述方法包括:
接收发送至所述工业控制系统的数据包;
检测所述数据包是否用于对所述工业控制系统进行网络扫描;
当检测到所述数据包用于网络扫描时,获取所述数据包的调用指令,所述调用指令用于调用目标攻击设备;
根据所述调用指令确定所述目标攻击设备所属的设备类型;
执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,所述预设策略用于生成属于所述设备类型的虚拟仿真设备。
2.如权利要求1所述的网络攻击诱导方法,其特征在于,所述检测所述数据包是否用于对所述工业控制系统进行网络扫描,还包括:
当检测到所述数据包用于网络扫描时,获取所述数据包的互联网协议地址;
将所述数据包的互联网协议地址添加至黑名单。
3.如权利要求1或2所述的网络攻击诱导方法,其特征在于,所述方法还包括:
提取发送至所述工业控制系统的数据包的互联网协议地址;
检测所述数据包的互联网协议地址是否与黑名单包括的任意一个互联网协议地址相同;
若是,不加载所述发送至所述工业控制系统的数据包,并将所述数据包的互联网协议地址的屏蔽次数加1。
4.如权利要求1所述的网络攻击诱导方法,其特征在于,所述当检测到所述数据包用于网络扫描时,获取所述数据包的调用指令,所述调用指令用于调用目标攻击设备,还包括:
确定所述调用指令对应的通讯协议,将所述通讯协议的被攻击次数加1。
5.如权利要求1所述的网络攻击诱导方法,其特征在于,所述预设策略包括所述设备类型对应的虚拟仿真设备模板和所述设备类型对应的第一预设数量配置,所述数据包包括攻击脚本;
所述执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,包括:
根据所述设备类型对应的虚拟仿真设备模板,生成第一预设数量的属于所述设备类型的虚拟仿真设备;
诱导所述数据包的攻击脚本对属于所述设备类型的虚拟仿真设备进行攻击。
6.如权利要求5所述的网络攻击诱导方法,其特征在于,所述工业控制系统包括多个真实设备,每个真实设备在互联网协议地址池获取对应的互联网协议地址,所述互联网协议地址池包括第二预设数量的互联网协议地址;
所述方法还包括:
控制属于所述设备类型的虚拟仿真设备在互联网地址池获取互联网协议地址;
当所述工业控制系统中任意一个真实设备上线时,检测所述任意一个真实设备的互联网协议地址是否与所述虚拟仿真设备的互联网协议地址相同;
若是,将互联网协议地址与所述任意一个真实设备的互联网协议地址相同的模拟仿真设备下线。
7.如权利要求1至6任一项所述的网络攻击诱导方法,其特征在于,所述执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,还包括:
将属于所述设备类型的虚拟仿真设备的被攻击次数加1,并发送告警信号以对用户进行告警。
8.一种网络攻击诱导装置,其特征在于,包括:
接收模块,用于接收发送至所述工业控制系统的数据包;
检测模块,用于检测所述数据包是否用于对所述工业控制系统进行网络扫描;
获取模块,用于当检测到所述数据包用于网络扫描时,获取所述数据包的调用指令,所述调用指令用于调用目标攻击设备;
判断模块,用于根据所述调用指令确定所述目标攻击设备所属的设备类型;
诱导模块,用于执行所述设备类型对应的预设策略,诱导所述数据包对属于所述设备类型的虚拟仿真设备进行攻击,所述预设策略用于生成属于所述设备类型的虚拟仿真设备。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述网络攻击诱导方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络攻击诱导方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110928627.3A CN113746810B (zh) | 2021-08-13 | 2021-08-13 | 一种网络攻击诱导方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110928627.3A CN113746810B (zh) | 2021-08-13 | 2021-08-13 | 一种网络攻击诱导方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113746810A true CN113746810A (zh) | 2021-12-03 |
| CN113746810B CN113746810B (zh) | 2023-04-18 |
Family
ID=78731007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110928627.3A Active CN113746810B (zh) | 2021-08-13 | 2021-08-13 | 一种网络攻击诱导方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113746810B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257522A (zh) * | 2021-12-21 | 2022-03-29 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
| WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109218327A (zh) * | 2018-10-15 | 2019-01-15 | 西安电子科技大学 | 基于云容器的主动防御技术 |
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN111224973A (zh) * | 2019-12-31 | 2020-06-02 | 南京联成科技发展股份有限公司 | 一种基于工业云的网络攻击快速检测系统 |
| CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署系统 |
| US20210037054A1 (en) * | 2019-07-30 | 2021-02-04 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN112615836A (zh) * | 2020-12-11 | 2021-04-06 | 杭州安恒信息技术股份有限公司 | 一种工控网络安全防护仿真系统 |
| CN112788008A (zh) * | 2020-12-30 | 2021-05-11 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
| CN112788034A (zh) * | 2021-01-13 | 2021-05-11 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
-
2021
- 2021-08-13 CN CN202110928627.3A patent/CN113746810B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413046A (zh) * | 2018-09-29 | 2019-03-01 | 深圳开源互联网安全技术有限公司 | 一种网络防护方法、系统及终端设备 |
| CN109218327A (zh) * | 2018-10-15 | 2019-01-15 | 西安电子科技大学 | 基于云容器的主动防御技术 |
| US20210037054A1 (en) * | 2019-07-30 | 2021-02-04 | International Business Machines Corporation | Augmented data collection from suspected attackers of a computer network |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
| CN110768987A (zh) * | 2019-10-28 | 2020-02-07 | 电子科技大学 | 一种基于sdn的虚拟蜜网动态部署方法及系统 |
| CN111224973A (zh) * | 2019-12-31 | 2020-06-02 | 南京联成科技发展股份有限公司 | 一种基于工业云的网络攻击快速检测系统 |
| CN111669403A (zh) * | 2020-06-24 | 2020-09-15 | 广州锦行网络科技有限公司 | 一种多引流多诱捕节点部署系统 |
| CN112491892A (zh) * | 2020-11-27 | 2021-03-12 | 杭州安恒信息安全技术有限公司 | 一种网络攻击诱导方法、装置、设备及介质 |
| CN112615836A (zh) * | 2020-12-11 | 2021-04-06 | 杭州安恒信息技术股份有限公司 | 一种工控网络安全防护仿真系统 |
| CN112788008A (zh) * | 2020-12-30 | 2021-05-11 | 上海磐御网络科技有限公司 | 一种基于大数据的网络安全动态防御系统及方法 |
| CN112788034A (zh) * | 2021-01-13 | 2021-05-11 | 泰康保险集团股份有限公司 | 对抗网络攻击的处理方法、装置、电子设备和存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257522A (zh) * | 2021-12-21 | 2022-03-29 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN114257522B (zh) * | 2021-12-21 | 2024-01-12 | 浙江国利网安科技有限公司 | 网络安全攻防演示系统、方法、装置及存储介质 |
| CN114697389A (zh) * | 2022-03-16 | 2022-07-01 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
| CN114697389B (zh) * | 2022-03-16 | 2024-06-11 | 奇安信科技集团股份有限公司 | 数据传输方法、装置以及扫描引擎 |
| WO2024060408A1 (zh) * | 2022-09-23 | 2024-03-28 | 天翼安全科技有限公司 | 网络攻击检测方法和装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113746810B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113746810B (zh) | 一种网络攻击诱导方法、装置、设备及存储介质 | |
| EP3014813B1 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| JP6994123B2 (ja) | コンテナネットワークのためのセキュリティ | |
| CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN111526121A (zh) | 入侵防御方法、装置、电子设备及计算机可读介质 | |
| CN110912927A (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| CN114598512B (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
| CN111464513A (zh) | 数据检测方法、装置、服务器及存储介质 | |
| CN113141335A (zh) | 网络攻击检测方法及装置 | |
| CN112822204A (zh) | 一种nat的检测方法、装置、设备及介质 | |
| CN114363053A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN109145638B (zh) | 一种获取自加载模块函数的方法及装置 | |
| CN108810233B (zh) | 一种恶意来电的识别方法及装置 | |
| US20200213355A1 (en) | Security Network Interface Controller (SNIC) Preprocessor with Cyber Data Threat Detection and Response Capability that Provides Security Protection for a Network Device with Memory or Client Device with Memory or Telecommunication Device with Memory | |
| CN115150209B (zh) | 数据处理方法、工业控制系统、电子设备及存储介质 | |
| CN115883169A (zh) | 基于蜜罐系统的工控网络攻击报文响应方法及响应系统 | |
| CN115604162A (zh) | 一种网络安全设备的检测方法 | |
| CN113660291A (zh) | 智慧大屏显示信息恶意篡改防护方法及装置 | |
| CN116880319B (zh) | 工业控制系统中的上位机识别方法、系统、终端及介质 | |
| CN113810386B (zh) | 一种从大数据中提取用于网络安全的训练数据方法和装置 | |
| CN115314252B (zh) | 应用于工业防火墙的防护方法、系统、终端及存储介质 | |
| CN115134096B (zh) | 一种rat连接检测方法、流量审计设备及介质 | |
| CN112953911B (zh) | 网络安全分析处置方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |