[发明专利]一种基于蜜网的工业控制网络主动防御系统及其方法

说明书

本发明公开了一种基于蜜网的工业控制网络主动防御系统及其方法，其包含信息收集组件、流量分析组件与知识管理组件；在信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；流量分析组件包括流量处理模块、流量建模模块和流量评估模块；知识管理组件通过知识图来管理工业控制系统网络的所有信息，分为内部网络知识图和外部网络知识图两个子图，它们都存储在图数据库中。本发明提供的基于蜜网的工业控制网络主动防御系统及其方法不仅能准确地检测出工业控制系统网络流量中的异常情况，而且能够评估其威胁程度并发现其关联的攻击组织。

技术领域

本发明属于网络安全技术领域，具体涉及一种基于蜜网的工业控制网络主动防御系统及其方法。

背景技术

目前，工业控制系统被广泛应用于我国的现代工业，包括石油石化、国防科技、电力水利、能源机械、冶金工业、汽车制造和航空航天等诸多涉及国计民生的关键行业。这些行业绝大多数都涉及国家关键基础设施，均与国家命脉紧密相连。

随着两化融合的逐步深入，工业控制系统中的信息化程度日益增高，通用软硬件和网络设施的广泛使用，打破了工业控制系统与信息网络的“隔离”，带来了一系列网络安全威胁。作为工业控制系统的重要组成部分，工业控制网络具有极强的产业关联度和产业渗透能力，其安全问题更是深刻影响着各行各业未来的发展方向，因而，工业控制网络安全领域是当下全球各国和各行业的重要研究目标，现实意义十分重大。

越来越多的网络安全事件表明工业控制系统容易受到复杂的、有针对性的攻击。因为这些攻击通常是利用未经授权和未加密的工控设备或协议的漏洞，互联网技术级的安全机制几乎不可能的检测它们。虽然已经提出了一些工控级的安全方法，但它们更倾向于检测正常网络的异常流量或异常活动，然而这些是不够网络管理员去了解网络情况并做出决策的。

发明内容

本发明的目的在于提供一种基于蜜网的工业控制网络主动防御系统及其方法，不仅能检测针对工业控制系统网络的各种类型的网络攻击，还可以评估其威胁程度，并能发现相关攻击组织。

本发明的技术方案如下：

一种基于蜜网的工业控制网络主动防御系统，其包含以下三个组件：信息收集组件、流量分析组件与知识管理组件；其中，

在所述的信息收集组件中包括工业控制系统蜜网、网络爬虫、流量镜像；其中：

所述的工业控制系统蜜网被部署在三个层：外部网络、隔离区和工业控制系统网络，分别构成外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐；所述的外部网络蜜罐用于捕获来自外部攻击者的攻击流量，从而提供最新且流行的攻击模式；所述的隔离区蜜罐用于检测对受保护的企业网络的攻击和接收来自现有攻击工具的攻击流量，以更新当前流量分析模型；所述的工业控制系统网络蜜罐用于捕获针对工业控制系统网络的攻击；

所述的网络爬虫设置于蜜网控制器中，蜜网控制器设置于隔离区，用于存储所有攻击者的威胁情报，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均能查询这些情报；

所述的流量镜像将工业控制系统网络的流量导入工业控制系统网络蜜罐，工业控制系统网络蜜罐构建工业控制系统通信模式库，实时监控工业控制系统网络；

所述的流量分析组件包括流量处理模块、流量建模模块和流量评估模块，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐中均嵌入流量分析组件，以提高流量分析的实时性，降低了各蜜罐中数据传输的负载；其中：

所述流量处理模块从会话提取开始，将连接流减少到工业控制系统协议级会话流，基于所提取的会话，外部网络蜜罐、隔离区蜜罐和工业控制系统网络蜜罐均从沟通通信策略、通信强度和通信内容三个方面刻画了工业控制系统网络的流量的通信模式：沟通通信策略用于评估沟通通信过程的复杂性；通信强度用于评估会话中工业控制系统协议流量的负载和数量；通信内容用于描述工业控制系统协议数据包的数据部分；