[发明专利]一种模块化工控蜜罐系统

权利要求书

1.一种模块化工控蜜罐系统，其特征在于，所述蜜罐系统通过模块化的方法构建模块库，所述模块库包括：PLC模块、程序模块、数字孪生模块、HMI模块、外部接口模块和连接模块，其中：

所述PLC模块模拟实际的PLC，是所述蜜罐系统中的控制器；

所述PLC模块通过若干连接模块分别与所述程序模块、所述数字孪生模块、所述HMI模块和所述外部接口模块连接；

所述数字孪生模块通过对实际工控系统的建模生成数据，并将所述数据实时发送给所述PLC模块，作为所述PLC模块的数据来源；当所述PLC模块接收到查询工控系统数据的请求时，所述PLC模块将来自所述数字孪生模块中的所述数据发送回请求者；所述PLC模块包括若干不同型号的PLC子模块，用于模拟不同的PLC通信协议；所述PLC子模块还包括PLC设备信息、PLC程序和内存数据；

与真实物理系统类似，攻击者也可以访问到所述PLC模块并获取相关信息，包括所述PLC设备信息、所述PLC程序和所述内存数据；构建的若干不同型号的所述PLC子模块，对应多种工控协议；在所述蜜罐系统进行搭建时，通过选择不同的所述PLC子模块作为模拟的控制器，同时所述PLC子模块的指纹信息也能使得所述攻击者认为所述PLC模块为真实某个厂商某个系列的PLC；

所述外部接口模块包括若干外部接口，通过所述若干外部接口将攻击者的流量引入到所述蜜罐系统中，通过SOCKET代理实现；

外部流量只能访问到主机的公网IP，所述蜜罐系统部署在所述主机上，具有内网IP，通过所述SOCKET代理的方式，当有流量尝试访问所述蜜罐系统所在的所述主机时，所述外部接口模块将外部访问流量引入到所述蜜罐系统中的其他模块进行处理；

所述PLC模块通过Python脚本模拟，对于Modbus协议，通过SOCKET网络编程与所述外部接口模块转发的流量之间建立TCP/IP连接，判断出数据包协议类型为所述Modbus协议，对于接收到的所述数据包进行解析，并根据解析出的功能码进入到不同的函数中，在得到函数执行的结果后，将所述结果按照所述Modbus协议的格式进行封装并返回；

所述Modbus协议包括八个读写功能码对应的函数为：01(读线圈寄存器)-ReadColis()、02(读离散输入寄存器)-ReadDiscreRegs()、03(读保持寄存器)-ReadHoldRegs()、04(读输入寄存器)-ReadInRegs()、05(写单个线圈寄存器)-WritSingRegs()、06(写单个保持寄存器)-WritSingHoldRegs()、0F(写多个线圈寄存器)-WritMultColiRegs()、10(写多个保持寄存器)-WritMultHoldRegs()。

2.如权利要求1所述的模块化工控蜜罐系统，其特征在于，所述数字孪生模块包括若干设备模型和若干过程模型，其中：

所述设备模型模拟实际设备的功能；

所述过程模型模拟实际的生产流程。

3.如权利要求1所述的模块化工控蜜罐系统，其特征在于，所述程序模块包含所述PLC模块执行的程序；当所述PLC模块收到上传下载程序的数据包指令的请求时，所述PLC模块将所述请求发送到所述程序模块，所述程序模块将程序发送回请求者。

4.如权利要求3所述的模块化工控蜜罐系统，其特征在于，所述程序包括若干控制程序和若干逻辑程序。

5.如权利要求1所述的模块化工控蜜罐系统，其特征在于，所述HMI模块包括若干页面，用于提供人机交互的界面。

6.如权利要求1所述的模块化工控蜜罐系统，其特征在于，所述连接模块包括若干连接接口，通过所述若干连接接口实现所述PLC模块分别与所述程序模块、所述数字孪生模块、所述HMI模块、所述外部接口模块之间的连接；所述连接模块实现不同模块之间进行数据交互时数据格式的统一，便于不同模块之间数据的传输。

7.如权利要求1所述的模块化工控蜜罐系统，其特征在于，所述PLC模块、所述程序模块和所述数字孪生模块部署在一个docker容器中；所述HMI模块部署在另一个docker容器中。