[发明专利]Conpot工控蜜罐的识别方法

说明书

本发明实施例提供一种Conpot工控蜜罐的识别方法，包括：将预先获取的第一报文拆分为两部分；向待识别系统发送所述第一报文的第一部分，在预设时间后，继续向所述待识别系统发送第一报文的第二部分，所述预设时间为Conpot工控蜜罐的断开连接时长；若接收到所述待识别系统反馈的异常响应，则获知所述待识别系统为Conpot工控蜜罐。本发明实施例拥有准确度高、识别性强、可操作性强等特点。

技术领域

本发明涉及网络安全技术领域，更具体地，涉及Conpot工控蜜罐的识别方法。

背景技术

近年来，世界各地陆续发生了一系列针对工业控制系统的恶性安全攻击事件。这些攻击者不仅掌握了工控安全知识和熟练使用网络攻击工具，而且熟悉工控系统的业务流程。其攻击流量稀疏且具有高持续性和强隐蔽性，入侵检测、防火墙等安全检测和防护手段难以发现。因此，在学术界和产业界有人提出利用蜜罐技术来诱捕攻击者。在工控系统网络中部署的工控蜜罐，不仅可以引诱网络攻击者进行攻击，实现工控威胁渗透的延缓，而且还可以分析攻击流量，提升工控系统安全威胁发现能力，为工控企业持续生产运行提供强有力的安全保障。

蜜罐一旦被攻击者所识别，蜜罐就会失去其原有的价值，是一种识破即失效的被动式主动防御手段。近年来，蜜罐识别技术研究日益活跃，攻击者开始系统地研究如何识别和反制蜜罐，并通过黑客社区分享知识成果，导致了许多传统蜜罐纷纷失效。在此背景下，提高蜜罐的反识别能力成为网络防御领域研究的热点。蜜罐识别技术也称为反蜜罐技术(Anti-Honeypot)，是指通过各种技术手段对蜜罐软件的存在与否进行检测，进而判断被攻击目标是否处于蜜罐环境中。

在学术界，国外针对传统蜜罐的识别研究和试验都取得了一定的成果，已经有很多蜜罐识别的方法：Neal Krawetz首先提出了基于发送垃圾邮件的方法来识别SMTP蜜罐的Anti-Honeypot技术；Thorsten Holz 先后分别从网络层和系统层两个角度对各种蜜罐识别技术进行了详细的阐述；对于低交互蜜罐，美国加州圣地亚哥分校的Tadayoshi Konho等提出了通过协议时钟差的统计测量识别方法；2015年Gajrani等提出了通过动态系统控制来识别虚拟环境特征的方法。对于高交互蜜罐的识别，由于Sebek在蜜网搭建中是不可或缺的，因此通过识别Sebek来判断蜜罐的存在与否，是高交互蜜罐识别的主要方法。JosephCorey提出了一种基于dd攻击法的Sebek检测，在后台运行dd并运行ping命令，如果主机上安装了Sebek的话，会使得ping命令的交互往返时间大大增加，从而检测蜜罐的存在；Phrack通过分析内存中Magic值和源目的端口号等信息，提出了一种基于内核模块检测的蜜罐识别方法。

在工业界，国外已有商业反蜜罐软件Honeypot Hunter，同时最大的设备搜索引擎Shodan也具有一定的蜜罐识别能力。但就工控蜜罐来说，由于PLC的封闭性和协议的私有性，很多适用于传统蜜罐识别的方法，不再适用于工控蜜罐的识别，这导致工控蜜罐的识别尚停留在初级阶段。目前国外已知的这些蜜罐识别方法和产品，特别是工控系统环境下的识别方法，在应对蜜罐软件版本的更新及系统环境的更新时，其检测的可行性和有效性均不能达到工业级识别的基本要求。目前尚未有文献表明已有国内机构开始系统的研究工控蜜罐识别技术。针对系统及软件版本的不断更新，蜜罐识别技术的研究也在面临新的挑战。

发明内容

本发明实施例提供一种克服上述问题或者至少部分地解决上述问题的Conpot工控蜜罐的识别方法。

第一个方面，本发明实施例提供一种Conpot工控蜜罐的识别方法，包括：

将预先获取的第一报文拆分为两部分；

向待识别系统发送所述第一报文的第一部分，在预设时间后，继续向所述待识别系统发送第一报文的第二部分，所述预设时间为 Conpot工控蜜罐的断开连接时长；

若接收到所述待识别系统反馈的异常响应，则获知所述待识别系统为Conpot工控蜜罐。