工业控制系统蜜罐的最初介绍
发布时间:2021-11-02 10:15:41 所属栏目:安全 来源:互联网
导读:随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗震网病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都在用事实
随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗震网病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都在用事实证明了工控系统的安全形势严峻。
为了增强工业控制网络安全,很多研究人员都采用蜜罐技术对系统进行防护。蜜罐作为一种主动防御技术可以吸引攻击,分析攻击,推测攻击意图,并将结果补充到防火墙、IDS以及IPS等威胁阻断技术。
蜜罐技术介绍
蜜罐的发展主要分为三个阶段
初级阶段,蜜罐思想首次被提出,这是蜜罐的形成阶段;
中期阶段,蜜罐工具的大规模开发,比如DTK、honeyd、honeybrid等工具的提出;
后期阶段,采用虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系进行入侵诱捕。
近年来,随着工控安全形势的严峻,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。开源工控蜜罐中,主要针对modbus、s7、IEC-104、DNP3等工控协议进行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、HTTP等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,并且设备信息是以xml形式进行配置,便于修改和维护。Snap7是专门针对西门子PLC的蜜罐,基本实现了s7comm协议栈。它可以模拟实际设备的信息与状态,而且实现常用PLC操作的交互。但这些这些主流的虚拟蜜罐只能模拟单一工控协议,因此只能捕获单一工控协议的攻击数据。 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |