[发明专利]一种基于Linux操作系统的工业控制PLC系统指纹模拟方法

说明书

本发明公开了一种基于Linux操作系统的工业控制PLC系统指纹模拟方法，包括获取并分析工业控制PLC系统指纹的步骤和修改Linux操作系统的指纹信息的步骤，实现了一种在计算机终端、服务器上运行正常操作系统的条件下对OS探测返回工业控制系统PLC指纹信息的技术，解决了当前工业控制系统蜜罐对OS探测返回真实系统指纹暴露蜜罐身份的问题，提高了工业控制系统的欺骗性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于Linux操作系统的工业控制PLC系统指纹模拟方法。

背景技术

OS(操作系统)探测技术通过向目标系统发送一系列经过构造排序的网络协议包，收集并分析响应信息特征来达到判断目标OS版本的目的。这种对探针返回进行响应的特征信息总和就叫系统指纹，它标识了每种操作系统下TCP/IP协议栈的实现特征，由于每种操作系统实现TCP/IP协议栈的方式都不尽相同，并且处于OS层的协议栈实现在用户层无法改变，因此系统指纹具有独特性与不变性的特点，基于这种特性，系统指纹通常用来作为一个系统的标识，就像人的指纹一样，被网络扫描者和黑客利用获取目标主机OS版本信息。

系统指纹模拟技术，是一种保护目标操作系统不被攻击者探测的技术，并且可以模拟其他操作系统响应信息向攻击者返回，使攻击者得到一个错误的系统探测结果，达到保护自身操作系统信息，同时欺骗攻击者的目的。

基于Linux操作系统的工业控制PLC(可编程逻辑控制器)系统指纹模拟技术研究主要集中在如下两点：一是提出一种将Linux系统指纹改变并模拟为工业控制PLC系统指纹的技术，二是提出一种将Linux系统指纹改变并模拟为工业控制PLC系统指纹的前提下，不影响目标主机的正常网络通信功能的技术。

目前，尚未发现一种在计算机终端、服务器上模拟工业控制PLC系统指纹的技术，基于Linux操作系统的工业控制PLC系统指纹模拟技术，可以改变计算机终端、服务器的系统指纹，并模拟为工业控制PLC系统指纹，能够有效提高运行在以上两者的工业控制系统蜜罐的仿真程度，防止蜜罐攻击者从系统底层操作系统信息识别出蜜罐系统，使工业控制蜜罐更具有欺骗性，从而收集到更多更有价值的信息。

发明内容

本发明所要解决的技术问题是：针对现有技术存在的问题，本发明提出一种基于Linux操作系统的工业控制PLC系统指纹模拟技术，主要考虑以下几点：

1、收集并分析工业控制PLC系统指纹的问题：要实现Linux操作系统模拟工业控制PLC系统指纹，第一步需要得到工业控制PLC的系统指纹，否则无法设定最终将要模拟的目标特征；第二步，在得到工业控制PLC系统指纹后，需要对指纹进行分析，将指纹信息转化为TCP/IP协议栈实现特征，与计算机终端、服务器OS系统的TCP/IP协议栈实现方式进行比较。

2、修改Linux系统指纹的问题：为了修改Linux系统指纹，实质上需要针对探针探测部分的信息改变TCP/IP协议栈的实现，因此必须基于一个提供系统内核源码的操作系统，通过修改内核源码中TCP/IP模块实现逻辑，重新编译内核以达到改变系统在响应各种网络协议的行为方式，否则无法通过在用户层的修改改变系统的指纹信息。

本发明提供的一种基于Linux操作系统的工业控制PLC系统指纹模拟方法，包括：

获取并分析工业控制PLC系统指纹的步骤：使用系统探测探针对工业控制系统PLC进行扫描，得到工业控制PLC系统指纹；对工业控制PLC系统指纹进行分析，得出包括了PLC的TCP/IP协议栈实现的主要特征的信息；