CN113972994B - 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 - Google Patents
基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 Download PDFInfo
- Publication number
- CN113972994B CN113972994B CN202010720485.7A CN202010720485A CN113972994B CN 113972994 B CN113972994 B CN 113972994B CN 202010720485 A CN202010720485 A CN 202010720485A CN 113972994 B CN113972994 B CN 113972994B
- Authority
- CN
- China
- Prior art keywords
- data
- fingerprint
- protocol
- industrial control
- analyzed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000005206 flow analysis Methods 0.000 title claims abstract description 80
- 238000000034 method Methods 0.000 title claims abstract description 60
- 235000012907 honey Nutrition 0.000 claims abstract description 30
- 238000013507 mapping Methods 0.000 claims abstract description 17
- 238000004458 analytical method Methods 0.000 claims description 37
- 230000006399 behavior Effects 0.000 claims description 19
- 239000013598 vector Substances 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 230000003993 interaction Effects 0.000 claims description 8
- 238000012216 screening Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000012098 association analyses Methods 0.000 description 5
- 231100000279 safety data Toxicity 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000013481 data capture Methods 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质。该方法包括:获取工控蜜罐的原始流量数据;根据原始流量数据遵循的工控协议对其进行解码得到待分析的协议数据,根据待分析的协议数据和预设的协议数据与安全内容的映射关系,确定待分析的协议数据对应的安全内容;根据安全内容分析原始流量数据。通过本发明,能够提升流量分析的全面性和准确性。
Description
技术领域
本发明涉及工控安全技术领域,尤其涉及一种基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质。
背景技术
蜜罐作为一个主动安全防御技术,被定义为安全资源,通常放置在公网中用来吸引攻击者对其进行扫描及攻击,从而捕获攻击者的行为。而工控蜜罐则是通过虚拟出虚假的工业资产,通过模拟具有漏洞的工业控制系统的服务来诱骗攻击者进行扫描攻击,从而捕获扫描和攻击数据,通过对这些数据的安全分析,捕获扫描和攻击行为。
现有技术中的基于工控蜜罐的流量分析方法,通常是对工控蜜罐的原始流量数据直接进行指纹匹配或直接基于流量偏移取关键值,来判定安全事件类型和内容,而这些原始流量数据的格式遵循工控协议的规范,由于工控协议种类繁多,流量较为复杂,通过指纹匹配或直接基于流量偏移取关键值的方式进行判定容易导致对安全行为的分析存在遗漏或者不全面。
为了解决上述问题,相关技术中提出基于不同的协议连接类型设置不同的处理模块,进而采用对应的处理模块对原始流量数据进行解析,并在解析后直接获取攻击数据,但是,发明人研究发现,对于同一种连接类型,例如TCP或UDP等,均包括多种工控协议,仅基于不同的连接类型解析流量数据,依然容易导致对安全行为的分析存在遗漏,此外,采用在解析后的数据中直接获取攻击数据的方式,会使一些高度伪装的攻击行为数据被漏掉,因此,上述相关技术依然不能很好的解决上述技术问题。
综上,如何更好地解决现有技术中基于工控蜜罐的流量分析方法对安全行为的分析存在遗漏或者不全面的问题,成为本领域亟需解决的技术问题。
发明内容
本发明的目的是提供一种基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种基于工控蜜罐的流量分析方法。
该基于工控蜜罐的流量分析方法包括:获取工控蜜罐的原始流量数据;根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据;根据所述待分析的协议数据和预设的协议数据与安全内容的映射关系,确定所述待分析的协议数据对应的安全内容;根据所述安全内容分析所述原始流量数据。
进一步地,所述协议数据包括协议参数名称和协议参数值,根据所述待分析的协议数据和预设的协议数据与安全内容的映射关系,确定所述待分析的协议数据对应的安全内容的步骤包括:在预设的指纹表中,查找与所述协议参数名称相匹配的指纹标识,其中,所述指纹表包括多个所述指纹记录,所述指纹记录包括指纹标识、指纹规则和所述安全内容,与所述协议参数名称相匹配的指纹标识所属的指纹记录为目标指纹记录;判断所述协议参数值是否满足所述目标指纹记录中的指纹规则;以及当所述协议参数值满足所述目标指纹记录中的指纹规则时,确定所述目标指纹记录中的安全内容为所述待分析的协议数据对应的安全内容。
进一步地,所述流量特征包括若干维特征向量,根据所述历史指纹库中的多条所述指纹数据进行安全分析的步骤包括:根据所述特征向量在所述历史指纹库中筛选多条所述指纹数据;基于筛选出的多条所述指纹数据进行安全分析。
进一步地,所述特征向量包括时间、攻击者标识、被攻击者标识、蜜罐标识、协议标识和/或服务标识。
进一步地,根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据的步骤包括:根据所述原始流量数据的来源端口确定所述原始流量数据遵循的工控协议;调用所述工控协议对应的解码器,对所述原始流量数据进行解码,以得到待分析的协议数据。
进一步地,所述指纹规则为正则表达式,判断所述协议参数值是否满足所述目标指纹记录中的指纹规则的步骤包括:判断所述协议参数值是否命中所述正则表达式。
进一步地,所述指纹标识包括所述协议参数名称,所述安全内容包括行为类型和安全等级。
另一方面,为实现上述目的,本发明提供了一种基于工控蜜罐的流量分析装置。
该基于工控蜜罐的流量分析装置包括:获取模块,用于获取工控蜜罐的原始流量数据;解码模块,用于根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据;确定模块,用于在根据所述待分析的协议数据和预设的协议数据与安全内容的映射关系,确定所述待分析的协议数据对应的安全内容;以及分析模块,用于根据所述安全内容分析所述原始流量数据。
又一方面,为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
又一方面,为实现上述目的,本发明还提供计算机可读存储介质,包括存储数据区和存储程序区,存储数据区存储根据区块链节点的使用所创建的数据,存储程序区存储有计算机程序,其中,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质,对于工控蜜罐的原始流量数据,依据其所遵循的工控协议进行解码,能够得到待分析的协议数据,然后在预设的协议数据与安全内容的映射关系中,确定与待分析的协议数据相对应的安全内容,最后根据确定的安全内容分析原始流量数据,通过本发明,对原始流量数据进行协议层面的解码,对于解码后得到的协议数据,确定与其相匹配的安全内容,进而可利用安全内容分析原始流量数据,实现了更细粒度的流量分析,提升流量分析的全面性,同时利用安全内容作为先验知识进行流量分析,提升流量分析的准确性。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的基于工控蜜罐的流量分析方法的流程图;
图2为本发明实施例二提供的基于工控蜜罐的流量分析方法的流程图;
图3为本发明实施例二提供的基于工控蜜罐的流量分析方法的示意图;
图4为本发明实施例三提供的基于工控蜜罐的流量分析装置的框图;
图5为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中的技术问题,本发明提出一种基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质,在该基于工控蜜罐的流量分析方法中,预设协议数据与安全内容的映射关系,在获取到工控蜜罐的原始流量数据后,首先根据原始流量数据遵循的工控协议对原始流量数据进行解码,解码后得到多组待分析的协议数据,针对每组协议数据,在上述的映射关系中,确定与协议数据相对应的安全内容,最后根据确定的安全内容分析原始流量数据。
从中可以看出,在本申请中,预设协议数据与安全内容的映射关系,在获取工控蜜罐中的原始流量数据后,先根据原始流量数据所遵循的工控协议进行协议层面的解码,解码后得到协议数据,然后确定与协议数据相对应的安全内容,从而利用安全内容分析原始流量数据,实现了更细粒度的流量分析,提升流量分析的全面性,同时利用安全内容作为先验知识进行流量分析,能够提升流量分析的准确性。此外,与现有技术中直接对原始流量数据进行分析相比,由于先对原始流量数据基于其所遵循的工控协议进行解码,再对解码后的协议数据进行分析,能够防止由于数据格式不匹配、无法识别等原因,造成的分析结果遗漏问题,能够有效提升流量分析结果的全面性。
关于本发明提供的基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种基于工控蜜罐的流量分析方法,通过该方法,能够提升流量分析的全面性和准确性,具体地,图1为本发明实施例一提供的基于工控蜜罐的流量分析方法的流程图,如图1所示,基于工控蜜罐的流量分析方法包括如下的步骤S101至步骤S104:
步骤S101:获取工控蜜罐的原始流量数据。
具体地,工控蜜罐用于模拟真实的工控设备,和扫描攻击者进行深度工控协议的交互,用以引诱扫描攻击者的扫描攻击行为,并捕获持续性的扫描和攻击数据。这些数据也即工控蜜罐的原始流量数据,该原始流量数据的格式遵循工控协议的规范。
步骤S102:根据原始流量数据遵循的工控协议对原始流量数据进行解码,以得到待分析的协议数据。
具体地,按照原始流量数据所遵循的工控协议,对原始流量数据进行解析,能够解析出工控协议所规定的各个协议字段,得到对应每个协议字段的协议数据。
步骤S103:根据待分析的协议数据和预设的协议数据与安全内容的映射关系,确定待分析的协议数据对应的安全内容。
具体地,在协议字段的粒度上,预置协议数据与安全内容的映射关系,其中,安全内容是指针对与工控设备交互的行为所进行的安全方面的描述内容,描述内容可依据工控设备业务的不同而不同,例如,安全内容包括行为类型和安全等级,例如行为类型包括攻击行为、扫描行为等,安全等级包括一般、严重等,与工控设备交互的行为通过协议数据进行体现。在确定待分析的协议数据后,可基于上述映射关系,确定出待分析的协议数据对应的安全内容。
其中,协议数据与安全内容的映射关系可以通过数据表的形式体现,也可以通过数组的形式体现,本申请对此并不进行限定。
步骤S104:根据安全内容分析原始流量数据。
将安全内容作为先验知识,对原始流量数据进行分析,能够确定出原始流量数据对应的与工控设备交互的行为在安全方面的信息。
在该实施例提供的基于工控蜜罐的流量分析方法中,对于工控蜜罐的原始流量数据,依据其所遵循的工控协议进行解码,能够得到待分析的协议数据,然后在预设的协议数据与安全内容的映射关系中,确定与待分析的协议数据相对应的安全内容,最后根据确定的安全内容分析原始流量数据,通过该实施例提供的基于工控蜜罐的流量分析方法,对原始流量数据进行协议层面的解码,对于解码后得到的协议数据,确定与其相匹配的安全内容,进而可利用安全内容分析原始流量数据,实现了更细粒度的流量分析,提升流量分析的全面性,同时利用安全内容作为先验知识进行流量分析,提升流量分析的准确性。此外,与现有技术中直接对原始流量数据进行分析相比,由于先对原始流量数据基于其所遵循的工控协议进行解码,再对解码后的协议数据进行分析,能够防止由于数据格式不匹配、无法识别等原因,造成的分析结果遗漏问题,能够有效提升流量分析结果的全面性。
实施例二
本发明实施例二提供了一种优选的基于工控蜜罐的流量分析方法,在该基于工控蜜罐的流量分析方法中,预设指纹表,该指纹表包括多个指纹记录,每个指纹记录包括指纹标识、指纹规则和安全内容,在获取到工控蜜罐的原始流量数据后,首先根据原始流量数据遵循的工控协议对原始流量数据进行解码,解码后得到包括协议参数名称和协议参数值的多组协议数据,针对每组协议数据,在上述的指纹表中,查找与协议参数名称相匹配的指纹标识,其中,将查找到的与协议参数名称相匹配的指纹标识所属的指纹记录,定义为目标指纹记录,在确定目标指纹记录后,判断协议数据中的协议参数值是否满足目标指纹记录中的指纹规则,如果满足,进一步根据目标指纹记录中的安全内容分析原始流量数据。从中可以看出,在该实施例中,预设包括指纹记录的指纹表,指纹记录与协议数据对应,在获取工控蜜罐中的原始流量数据后,先根据原始流量数据所遵循的工控协议进行协议层面的解码,解码后得到协议数据,然后确定与协议数据相匹配的指纹记录,从而利用指纹记录中的安全内容分析原始流量数据,实现了更细粒度的流量分析,提升流量分析的全面性,同时利用安全内容作为先验知识进行流量分析,提升流量分析的准确性。
具体地,图2为本发明实施例二提供的基于工控蜜罐的流量分析方法的流程图,如图2所示,基于工控蜜罐的流量分析方法包括如下的步骤S201至步骤S205:
步骤S201:获取工控蜜罐的原始流量数据。
具体地,工控蜜罐用于模拟真实的工控设备,和扫描攻击者进行深度工控协议的交互,用以引诱扫描攻击者的扫描攻击行为,并捕获持续性的扫描和攻击数据。这些数据也即工控蜜罐的原始流量数据,该原始流量数据的格式遵循工控协议的规范。
步骤S202:根据原始流量数据遵循的工控协议对原始流量数据进行解码,以得到待分析的协议数据。
其中,协议数据包括协议参数名称和协议参数值。
具体地,按照原始流量数据所遵循的工控协议,对原始流量数据进行解析,能够解析出工控协议所规定的各个协议字段,得到对应每个协议字段的协议数据,协议数据包括协议参数名称和协议参数值,可选地,由协议参数名称和协议参数值构成键值对,以键值对的形式形成协议数据。例如协议数据为Version:0x01(ASHRAE 135-1995),其中,协议参数名称为Version,协议参数值为0x01(ASHRAE 135-1995);又如,协议数据为Control:0x04,Expecting Reply,其中,协议参数名称为Control,协议参数值为0x04,Expecting Reply。
可选地,预置基于不同工控协议的原始流量数据解析方法,以对遵循不同工控协议的原始流量数据进行解码,例如,分别预置基于s7,modbus,bacnet,codesys-v,dnp3,omron,iec-104,fox,enip,moxa,pcworx,wdbrpc,MELSEC-Q,proconos,crimsonV3,lantronix,HART-IP,vertx-edge,atg,CSPV4等工控协议的原始流量数据解析方法,以实现遵循各种工控协议的原始流量数据进行全面解析。
步骤S203:在预设的指纹表中,查找与协议参数名称相匹配的指纹标识。
其中,指纹表包括多个指纹记录,指纹记录包括指纹标识、指纹规则和安全内容,与协议参数名称相匹配的,指纹标识所属的指纹记录为目标指纹记录。
具体地,预设指纹表,该指纹表中包括多个指纹记录,指纹记录由指纹标识标定,其中,指纹标识根据协议参数名称设定,具体可以为协议参数名称,或者也可以为包括协议参数名称的字符串,或者也可以为基于协议参数名称计算得到的标识码,总之,指纹标识用于标定指纹记录,通过协议参数名称,能够在指纹表中查找到与之匹配的指纹记录,查找到的指纹记录可以为一个或多个,当查找到多个指纹记录时,各个指纹记录均为目标指纹记录。其中,指纹标识为协议参数名称时,该步骤在预设的指纹表中,查找与协议参数名称相匹配的指纹标识时,查找速度更快。
例如,针对某协议数据A,其协议参数名称为A1,协议参数值为A2,当指纹标识为协议参数名称时,在指纹表中查找到指纹标识与A1相同的指纹记录,即为目标指纹记录;当指纹标识为包括协议参数名称的字符串时,在指纹表中查找到指纹标识包括A1的指纹记录,即为目标指纹记录;当指纹标识为基于协议参数名称计算得到的标识码时,计算A1的标识码得到A11,在指纹表中查找到指纹标识为A11的指纹记录,即为目标指纹记录。
步骤S204:判断协议参数值是否满足目标指纹记录中的指纹规则。
具体地,指纹规则用于限定与指纹标识所匹配的协议参数,在符合特定安全内容时,协议参数值所需遵守的规则,例如,对于上述协议数据A,该协议数据A对应的目标指标记录为B,该目标指标记录B中,指纹标识为B1,指纹规则为B2,安全内容为B3,则B2用于限定A1(与B1相匹配)所指示的协议参数,在符合B3时,A2所需遵守的规则,也就是说,当A2满足B2,B3可用于对包括A的原始流量数据进行流量分析。
因此,在该步骤S204中,通过判断协议参数值是否满足目标指纹记录中的指纹规则,可判断出协议参数名称所指示的协议参数是否符合目标指纹记录中的安全内容,若符合,该目标指纹记录中的安全内容可用于对原始流量数据进行流量分析,若不符合,则认为原始流量数据中不涉及影响安全的行为,同时,在协议参数值的粒度上进行指纹规则的判断,进一步细化了对原始流量数据进行分析的粒度,从而能够进一步提升分析的准确性。
可选地,指纹规则设置为正则表达式,则在该步骤中,判断协议参数值是否满足目标指纹记录中的指纹规则时,只需判断协议参数值是否命中正则表达式,实现方式较为简便。
步骤S205:当协议参数值满足目标指纹记录中的指纹规则时,根据目标指纹记录中的安全内容分析原始流量数据。
可选地,安全内容包括行为类型和安全等级,例如行为类型包括攻击行为、扫描行为等,安全等级包括一般、严重等,通过安全内容分析原始流量数据,能够确定出原始流量数据对应的安全行为,以及安全行为的程度。
在该实施例提供的基于工控蜜罐的流量分析方法中,对于工控蜜罐的原始流量数据,依据其所遵循的工控协议进行解码,能够得到协议数据,该协议数据包括协议参数名称和协议参数值,然后在预设的指纹表中,查找与协议参数名称相匹配的指纹标识,其中,指纹表包括多个指纹记录,指纹记录包括指纹标识、指纹规则和安全内容,查找到的指纹标识所属的指纹记录为目标指纹记录,对于该目标指纹记录,判断协议参数值是否满足该目标指纹记录中的指纹规则,如果满足,根据该目标指纹记录中的安全内容分析原始流量数据,采用该实施例提供的基于工控蜜罐的流量分析方法,对原始流量数据进行协议层面的解码,对于解码后得到的协议数据,确定与其相匹配的指纹记录,进而可利用指纹记录中的安全内容分析原始流量数据,实现了更细粒度的流量分析,提升流量分析的全面性,同时利用安全内容作为先验知识进行流量分析,能够提升流量分析的准确性。此外,与现有技术中直接对原始流量数据进行分析相比,由于先对原始流量数据基于其所遵循的工控协议进行解码,再对解码后的协议数据进行分析,能够防止由于数据格式不匹配、无法识别等原因,造成的分析结果遗漏问题,能够有效提升流量分析结果的全面性。
可选地,在一种实施例中,当协议参数值满足目标指纹记录中的指纹规则时,基于工控蜜罐的流量分析方法还包括:获取原始流量数据的流量特征;将流量特征和目标指纹记录作为一条指纹数据,存储在历史指纹库中;基于历史指纹库中的多条指纹数据进行安全分析。
采用该实施例提供的基于工控蜜罐的流量分析方法,当协议参数值满足目标指纹记录中的指纹规则时,将原始流量数据的流量特征和目标指纹记录一起作为指纹数据存储在历史指纹库中,从而将多条指纹数据进行关联的安全分析,以得出攻击和扫描者的行为轨迹,进一步分析出其攻击意图。
可选地,在一种实施例中,流量特征包括若干维特征向量,根据历史指纹库中的多条指纹数据进行安全分析的步骤包括:根据特征向量在历史指纹库中筛选多条指纹数据;基于筛选出的多条指纹数据进行安全分析。
采用该实施例提供的基于工控蜜罐的流量分析方法,在进行关联的安全分析时,基于流量特征中的特征向量筛选出多条指纹数据进行分析,从而能够实现基于不同维度的关联分析,例如,可分析某一攻击者对应的行为轨迹,或者,也可分析某一时间段内基于某一工控蜜罐捕获到的安全状况,或者,也可分析针对某一服务的安全状况等。
进一步可选地,特征向量包括时间、攻击者标识、被攻击者标识、蜜罐标识、协议标识和/或服务标识,从而能够实现针对时间维度、攻击者维度、被攻击者维度、蜜罐维度、协议维度和/或服务维度上的关联分析。
可选地,在一种实施例中,根据原始流量数据遵循的工控协议对原始流量数据进行解码,以得到协议数据的步骤包括:根据原始流量数据的来源端口确定原始流量数据遵循的工控协议;调用工控协议对应的解码器,对原始流量数据进行解码,以得到协议数据。
具体而言,数据收发端口所遵循的工控协议,也即原始流量数据遵循的工控协议,预存数据收发端口与工控协议的对应关系,对于原始流量数据,根据其来源端口和上述对应关系,可确定其所遵循的工控协议,对应不同的工控协议,设置对应的解码器,对于公开协议,可直接使用协议内容设置解码器,对于不公开的私有协议,可以进行抓包并对抓取的数据包进行协议分析,确定协议内容后设置对应的解码器,在确定原始流量数据所遵循的工控协议后,调用该工控协议对应的解码器,即可对原始流量数据进行解码。
采用该实施例提供的基于工控蜜罐的流量分析方法,通过原始流量数据的来源端口确定其所遵循的工控协议,预置与工控协议对应的解码器,确定工控协议即可直接调用对应的解码器进行解码,使得流量分析逻辑简单,处理速度快,从而能够实现实时的流量分析。
可选地,在一种实施例中,如图3所示,通过数据捕获、流量分解、Banner组装、指纹分析和历史关联分析几个步骤,实现基于工控蜜罐的流量分析方法,来解决分析结果不全面的问题。
针对数据捕获:通过设置工控蜜罐,使得扫描/攻击者与工控蜜罐之间进行深度交互,深度交互完成对工控设备的模拟,以及对扫描攻击者的欺骗和引诱,数据捕获详细记录深度交互的安全数据,得到原始流量数据。
针对流量分解:获取到原始流量数据后,按照工控协议规范和经验,进行全面解码,分解成全面的协议数据,在解码过程中,使得每种协议的流量解码能够覆盖工控协议规定的主要协议过程和参数。
针对Banner组装:把协议数据按照key-value的方式进行组装,生成蜜罐Banner数据,其中的key值即为协议参数名称,value即为对应的协议参数值。
针对指纹分析:对这些蜜罐Banner数据进行全面深入分析,获取安全事件数据内容。其中,在指纹分析步骤中,预设有指纹表,该表包括多条指纹记录,指纹记录包括:指纹键名(也即指纹标识),指纹规则和安全内容。使用协议数据名称作为Banner指纹键名,使用协议数据值来匹配指纹规则。通过在蜜罐Banner数据中匹配指纹键名,并将协议数据值和该指纹键名对应的指纹规则进行匹配,来直接得出安全内容。
针对历史关联分析,将流量分析的相关数据存入安全数据历史库,对安全数据历史库中的历史数据进行纵向分析,计算指纹历史轨迹,来关联安全数据,进行安全数据的持续性分析。例如,基于一定时间段内,同一来源IP的安全数据分析,确定其持续性攻击属性。
采用该实施例提供的基于工控蜜罐的流量分析方法,通过使用流量解码组装和指纹分析以及历史关联分析等步骤,使得能够对工控蜜罐数据进行更全面和更持续的分析,进而使得安全事件的数据结果更准确和全面,也能更有效的识别出持续性攻击的意图。
在一种具体的实施例中,捕获Bacnet流量数据后,通过解码和组装,生工控蜜罐Banner数据,其中,在组装的Banner中,指纹key为“Service Choice”。在指纹表中对应的指纹记录是:
| 字段 | 类型 | 取值 |
| risk_content | String 256 | 类型:攻击,扫描;等级:严重。 |
| banner_key | String | Service Choice |
| Banner_rule | String | “readProperty” |
通过指纹分析可以获取到本次的安全内容为:类型:攻击,等级:严重。
历史关联分析,将多条流量分析的记录,进行纵向关联,得出攻击和扫描者的行为轨迹,进一步分析出其攻击意图。纵向关联的记录表格如下:
从中可以得到,针对同一发起方,连续三天的统一时间实施了相同的攻击行为。
实施例三
对应于上述实施例一,本发明实施例三提供了一种基于工控蜜罐的流量分析装置,相应的技术特征和对应的技术效果可参考上述实施例一和实施例二,该处不再赘述。图4为本发明实施例三提供的基于工控蜜罐的流量分析装置的框图,如图4所示,该装置包括:获取模块301、解码模块302、确定模块303、和分析模块304。
其中,获取模块301用于获取工控蜜罐的原始流量数据;解码模块302用于根据原始流量数据遵循的工控协议对原始流量数据进行解码,以得到待分析的协议数据;确定模块303用于在根据待分析的协议数据和预设的协议数据与安全内容的映射关系,确定待分析的协议数据对应的安全内容;以及分析模块304用于根据安全内容分析原始流量数据。
可选地,在一种实施例中,协议数据包括协议参数名称和协议参数值,确定模块303包括:查找单元、判断单元和第一确定单元。
其中,查找单元用于在预设的指纹表中,查找与协议参数名称相匹配的指纹标识,其中,指纹表包括多个指纹记录,指纹记录包括指纹标识、指纹规则和安全内容,与协议参数名称相匹配的指纹标识所属的指纹记录为目标指纹记录;判断单元用于判断协议参数值是否满足目标指纹记录中的指纹规则;第一确定单元用于当协议参数值满足目标指纹记录中的指纹规则时,确定目标指纹记录中的安全内容为待分析的协议数据对应的安全内容。
可选地,在一种实施例中,当协议参数值满足目标指纹记录中的指纹规则时,基于工控蜜罐的流量分析装置还包括关联分析模块,用于获取原始流量数据的流量特征,将流量特征和目标指纹记录作为一条指纹数据,存储在历史指纹库中,基于历史指纹库中的多条指纹数据进行安全分析。
可选地,在一种实施例中,流量特征包括若干维特征向量,关联分析模块在根据历史指纹库中的多条指纹数据进行安全分析时,执行的步骤包括:根据特征向量在历史指纹库中筛选多条指纹数据;基于筛选出的多条指纹数据进行安全分析。
可选地,在一种实施例中,特征向量包括时间、攻击者标识、被攻击者标识、蜜罐标识、协议标识和/或服务标识。
可选地,在一种实施例中,解码模块202包括第二确定单元和调用单元,其中,第二确定单元用于根据原始流量数据的来源端口确定原始流量数据遵循的工控协议;调用单元用于调用工控协议对应的解码器,对原始流量数据进行解码,以得到协议数据。
可选地,在一种实施例中,指纹规则为正则表达式,判断模块204在判断协议参数值是否满足目标指纹记录中的指纹规则时,执行的步骤包括:判断协议参数值是否命中正则表达式。
可选地,在一种实施例中,指纹标识包括协议参数名称,安全内容包括行为类型和安全等级。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图5所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图5所示。需要指出的是,图5仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例三的基于工控蜜罐的流量分析装置等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如基于工控蜜罐的流量分析方法等。
实施例五
本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储基于工控蜜罐的流量分析装置,该计算机可读存储介质被处理器执行时实现实施例一的基于工控蜜罐的流量分析方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于工控蜜罐的流量分析方法,其特征在于,包括:
获取工控蜜罐的原始流量数据;
根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据;
预置协议数据与安全内容的映射关系,根据所述待分析的协议数据和所述映射关系,确定所述待分析的协议数据对应的安全内容,所述安全内容是指针对与工控设备交互的行为所进行的安全方面的描述内容;
根据所述安全内容分析所述原始流量数据。
2.根据权利要求1所述的基于工控蜜罐的流量分析方法,其特征在于,所述协议数据包括协议参数名称和协议参数值,根据所述待分析的协议数据和所述映射关系,确定所述待分析的协议数据对应的安全内容的步骤包括:
在预设的指纹表中,查找与所述协议参数名称相匹配的指纹标识,其中,所述指纹表包括多个所述指纹记录,所述指纹记录包括指纹标识、指纹规则和所述安全内容,与所述协议参数名称相匹配的指纹标识所属的指纹记录为目标指纹记录;
判断所述协议参数值是否满足所述目标指纹记录中的指纹规则;以及
当所述协议参数值满足所述目标指纹记录中的指纹规则时,确定所述目标指纹记录中的安全内容为所述待分析的协议数据对应的安全内容。
3.根据权利要求2所述的基于工控蜜罐的流量分析方法,其特征在于,当所述协议参数值满足所述目标指纹记录中的指纹规则时,所述基于工控蜜罐的流量分析方法还包括:
获取所述原始流量数据的流量特征;
将所述流量特征和所述目标指纹记录作为一条指纹数据,存储在历史指纹库中;
基于所述历史指纹库中的多条所述指纹数据进行安全分析。
4.根据权利要求3所述的基于工控蜜罐的流量分析方法,其特征在于,所述流量特征包括若干维特征向量,所述特征向量包括时间、攻击者标识、被攻击者标识、蜜罐标识、协议标识和/或服务标识,根据所述历史指纹库中的多条所述指纹数据进行安全分析的步骤包括:
根据所述特征向量在所述历史指纹库中筛选多条所述指纹数据;
基于筛选出的多条所述指纹数据进行安全分析。
5.根据权利要求1所述的基于工控蜜罐的流量分析方法,其特征在于,根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据的步骤包括:
根据所述原始流量数据的来源端口确定所述原始流量数据遵循的工控协议;
调用所述工控协议对应的解码器,对所述原始流量数据进行解码,以得到待分析的协议数据。
6.根据权利要求2所述的基于工控蜜罐的流量分析方法,其特征在于,所述指纹规则为正则表达式,判断所述协议参数值是否满足所述目标指纹记录中的指纹规则的步骤包括:
判断所述协议参数值是否命中所述正则表达式。
7.根据权利要求2所述的基于工控蜜罐的流量分析方法,其特征在于,所述指纹标识包括所述协议参数名称,所述安全内容包括行为类型和安全等级。
8.一种基于工控蜜罐的流量分析装置,其特征在于,包括:
获取模块,用于获取工控蜜罐的原始流量数据;
解码模块,用于根据所述原始流量数据遵循的工控协议对所述原始流量数据进行解码,以得到待分析的协议数据;
确定模块,用于预置协议数据与安全内容的映射关系,根据所述待分析的协议数据和所述映射关系,确定所述待分析的协议数据对应的安全内容,所述安全内容是指针对与工控设备交互的行为所进行的安全方面的描述内容;以及
分析模块,用于根据所述安全内容分析所述原始流量数据。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010720485.7A CN113972994B (zh) | 2020-07-24 | 2020-07-24 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010720485.7A CN113972994B (zh) | 2020-07-24 | 2020-07-24 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113972994A CN113972994A (zh) | 2022-01-25 |
| CN113972994B true CN113972994B (zh) | 2023-12-26 |
Family
ID=79585498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010720485.7A Active CN113972994B (zh) | 2020-07-24 | 2020-07-24 | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113972994B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
| CN110351238A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 工控蜜罐系统 |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
-
2020
- 2020-07-24 CN CN202010720485.7A patent/CN113972994B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018044410A1 (en) * | 2016-09-01 | 2018-03-08 | Siemens Aktiengesellschaft | High interaction non-intrusive industrial control system honeypot |
| CN107770199A (zh) * | 2017-12-08 | 2018-03-06 | 东北大学 | 一种面向工业互联网的带有自学习功能的工控协议蜜罐及应用 |
| CN110351238A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 工控蜜罐系统 |
| CN110830457A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种基于蜜罐诱导的攻击感知方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113972994A (zh) | 2022-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109816397B (zh) | 一种欺诈判别方法、装置及存储介质 | |
| CN110351280B (zh) | 一种威胁情报提取的方法、系统、设备及可读存储介质 | |
| CN108920947B (zh) | 一种基于日志图建模的异常检测方法和装置 | |
| CN108924118B (zh) | 一种撞库行为检测方法及系统 | |
| CN114531259B (zh) | 攻击结果检测方法、装置、系统、计算机设备和介质 | |
| CN116305168B (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN106650799A (zh) | 一种电子证据分类提取方法及系统 | |
| CN111865925A (zh) | 基于网络流量的诈骗团伙识别方法、控制器和介质 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
| CN113486350B (zh) | 恶意软件的识别方法、装置、设备及存储介质 | |
| CN113923003A (zh) | 一种攻击者画像生成方法、系统、设备以及介质 | |
| CN114650176A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| CN114168968A (zh) | 一种基于物联网设备指纹的漏洞挖掘方法 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
| CN115208643A (zh) | 一种基于web动态防御的追踪溯源方法及装置 | |
| CN113972994B (zh) | 基于工控蜜罐的流量分析方法、装置、计算机设备和可读存储介质 | |
| CN117081801A (zh) | 网站的内容管理系统的指纹识别方法、装置及介质 | |
| CN114124414A (zh) | 蜜罐服务的生成方法、装置和攻击行为数据的捕获方法 | |
| CN110868382A (zh) | 一种基于决策树的网络威胁评估方法、装置及存储介质 | |
| CN114398518A (zh) | 一种日志快速匹配范化策略的方法及系统 | |
| CN113128538A (zh) | 网络行为分类方法、设备、存储介质及装置 | |
| CN118827212A (zh) | 一种攻击源识别方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |