官网热线:400-100-0298
工控蜜罐的发展主要分为三个阶段,初级阶段,蜜罐思想首次被提出,这是蜜罐的形成阶段;中期阶段,蜜罐工具的大规模开发,比如DTK、honeyd、honeybrid等工具的提出;后期阶段,采用虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系进行入侵诱捕。
工控蜜罐是一种软件应用系统,用来称当入侵诱饵,诱导黑客前来攻击。攻击者入侵系统后,通过监测与预计分析,就可以知道他是如何入侵的,随时了解针对系统发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。蜜罐系统以伪装技术为基础,在用户内部网络中部署与真实资产相似的“陷阱”,当攻击者通过外部安全防御系统的缺陷渗透进入到内部网络时,通常需要搜索网络内部的资产,以此找到对攻击者而言有价值的目标。蜜罐节点自身的伪装性能够欺骗攻击者,当攻击者将蜜罐节点作为攻击目标时,蜜罐节点能够第一时间感知并汇报安全事件,具体包括:蜜罐节点会记录攻击者的所有行为,系统也会产生告警,通知安全运营管理人员。蜜罐节点会诱骗攻击者将其他蜜罐节点作为后续的攻击目标,所有蜜罐节点将组成“陷阱”网络,延缓了攻击时间,使得蜜罐系统能够记录更多的攻击信息,分析潜在威胁。
工控蜜罐中,主要针对modbus、s7、IEC-104、DNP3等工控协议进行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、HTTP等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,并且设备信息是以xml形式进行配置,便于修改和维护。
上一篇:恶意代码检测是在怎样检测的
下一篇:工控网络教学的特点
