[发明专利]一种工业控制蜜罐安全防护装置及方法

权利要求书

1.一种工业控制蜜罐安全防护装置，包括影子系统、蜜网系统、工控设备接口、安全防护系统和内部交换网络，其特征在于：

所述影子系统包括一个IP仿真模块、一个流量转移重定向模块、一个虚拟交换机软件和若干个虚拟机系统；

所述蜜网系统包括通用协议仿真模块、工业协议仿真模块和蜜罐管理配置模块；

所述工控设备接口提供包括PLC模块、DSC模块、RTU模块、OPC服务、SCADA设备和HMI人机交互系统工控设备的接入；

所述安全防护系统包括日志采集分析模块、流量采集分析模块、异常行为分析模块、溯源取证分析模块、系统管理模块和系统数据库模块；

所述内部交换网络，使用配置的数据交换设备，通过接口连接影子系统主机、安全防护系统主机、蜜网系统主机和若干物理工控设备，在安全防护装置外部设置业务口和管理口，分别用于接入用户交换机的Trunk数据和远程管理维护；

在所述安全防护系统中，日志采集分析模块用于将蜜网系统中的通用协议仿真模块和工业协议仿真模块产生的攻击访问日志数据，通过采集日志数据并对其进行匹配、过滤、特征识别，将分析结果记录到系统数据库中；流量采集分析模块用于将攻击行为经过影子系统产生的流量镜像到安全防护系统，并对镜像流量进行流量基于规则的分析，通过动态分析技术，将捕获的数据包进行DPI分析解析，识别若干工业协议内容及工业协议操作指令，将分析结果记录到数据库里；异常行为分析模块，通过在日志分析模块和流量分析模块的基础上，识别出异常网络攻击行为特征及类型，提供实时告警并记录攻击路径信息；溯源取证模块在全程留存所有攻击和探测行为数据的基础上，自动完成攻击行为等级划分，协助用户完成攻击溯源取证和攻击复盘；系统管理模块统一负责对整个蜜罐安全防护装置的功能管理，包括前端系统界面展示和数据效果呈现、影子系统和蜜网系统的设置；系统数据库模块包括配置数据库、规则数据库和攻击数据库；

所述配置数据库包含对影子系统及蜜罐系统资产的设置相关数据；

所述规则数据库包含用于进行规则匹配、特征识别的数据集合；

所述攻击数据库包括攻击源地址、源端口、攻击类型、通信协议、目标地址、目标端口、攻击频率、攻击协议指令和指令结果。

2.根据权利要求1所述的一种工业控制蜜罐安全防护装置，其特征在于：

在所述影子系统中，IP仿真模块根据系统虚拟IP地址段的配置，在空闲的IP地址空间中，批量生成多个不同MAC地址的IP虚拟地址；流量转移重定向模块用于根据虚拟IP与系统仿真协议及物理工控设备的映射关系配置，将多个仿真IP地址的流量牵引至由不同的仿真协议及物理设备构成的蜜网系统中；虚拟机系统由系统自动生成，每个虚拟机一方面连接到由虚拟交换机生成的VLAN上，从而与内部交换网络间接相连；另一方面则通过影子系统所在主机的物理接口与内部交换网络相连，并通过内部交换网络连接到整个工控蜜罐防护装置的业务口上。

3.根据权利要求1所述的一种工业控制蜜罐安全防护装置，其特征在于：

在所述蜜网系统中，通用协议仿真模块用于仿真ssh、ftp、mysql、rdp和http通信协议；工业协议仿真模块用于仿真Modbus、S7和IEC104工控协议；蜜罐管理配置模块用于对通用协议仿真模块和工业协议仿真模块进行配置和管理，控制以上两个模块仿真的协议及相关参数设置。

4.一种工业控制蜜罐安全防护方法，其特征在于：

S1，根据客户现场工控设备及相关系统的部署和使用场景，基于用户实际需求，确定在蜜罐防护装置中需要仿真的各类协议种类及设备类型；

S2，根据客户实际业务VLAN的划分场景，确定好需要仿真的业务地址段和具体地址范围；

S3，在用户核心交换机上，配置业务VLAN的若干trunk口，将本装置的业务口连接到交换机的该trunk口上，从而使本装置能旁路连接到企业的工业控制层网络之中；

S4，在本安全防护装置的网络设置功能中，分别设置需要仿真的每个VLAN的名称、VLANID、外部接口地址；

S5，在本安全防护装置的蜜罐设置功能中，分别设置每个VLAN需要批量虚拟的IP地址或范围，以及该地址或范围与需要仿真的通用协议、工控协议、工控设备的映射关系；

S6，影子系统的IP仿真模块，接收到从外部trunk口发来的访问流量后，在流量迁移与重定向模块的作用下，将攻击流量转移与重定向到指定的容器、系统、网络环境内，使其进入“网络黑洞”，或直接将流量转发至工控设备接口；

S7，蜜网系统中的仿真蜜罐及工控设备，会接收到从影子系统转发来的攻击流量，蜜罐系统本身会产生并记录相关访问日志信息；

这部分日志信息会被安全防护系统的日志采集分析模块进行捕获并进行初步的过滤和关键信息提取；

S8，安全防护系统会在内部交换网络的转发下，将影子系统重定向到蜜网系统的全部流量镜像到流量采集分析模块，通过基于规则的分析引擎，对流量中符合攻击特征及具备工业协议指令的信息进行抓取和记录；

S9，异常行为分析模块，通过在日志分析模块和流量分析模块的基础上，识别出异常网络攻击行为特征及类型，提供实时告警并产生攻击路径信息；攻击溯源取证及分析模块，通过动态分析技术，将捕获的数据包进行DPI分析解析，识别多种工业协议内容，包括Modbus,S7, IEC104, BACnet，实时展示攻击者的工业操作指令，并自动完成攻击行为等级划分，并协助用户完成攻击溯源取证和攻击复盘，该模块将分析出的设备类型、协议、指令、攻击情况信息，并将信息增量更新至攻击数据库，使数据库得到补充和完善。