基于蜜罐技術(shù)的ICS威脅感知平臺設(shè)計與實現(xiàn).pdf

1、隨著科技的高速發(fā)展，信息化和工業(yè)化不斷融合。越來越多針對工業(yè)控制系統(tǒng)的攻擊事件逐漸暴露在大眾的視野中，工控安全問題在社會上引起了廣泛的關(guān)注。面對各種層出不窮的攻擊方法和攻擊模式，以及逐漸演變出的高級持續(xù)性威脅（Advanced Persistent Threats，APT），傳統(tǒng)的被動安全防御手段不能起到有效的防護作用。
　　為了探索有效的主動安全防御方法，本論文設(shè)計并實現(xiàn)了基于蜜罐技術(shù)的ICS威脅感知平臺。旨在捕獲和分析網(wǎng)絡(luò)空間

2、中針對工控系統(tǒng)的攻擊流量，研究攻擊者行為動機，溯源攻擊者的真實身份，從而在未知網(wǎng)絡(luò)攻擊到來時能夠做出更好的應(yīng)對。首先，設(shè)計并實現(xiàn)了支持多種協(xié)議的低交互工控蜜罐SuperPot，集成了基于發(fā)布/訂閱機制的數(shù)據(jù)推送功能，可以實現(xiàn)對24種工控協(xié)議攻擊數(shù)據(jù)的捕獲與實時遠程推送。其次，結(jié)合平臺功能需求對開源發(fā)布/訂閱協(xié)議hpfeeds進行功能上的改進，并將其應(yīng)用到平臺服務(wù)端，實現(xiàn)平臺對接入蜜罐的分布式監(jiān)管和實時數(shù)據(jù)收集功能。然后，針對威脅感知平臺

3、自身的特點，設(shè)計并實現(xiàn)了基于通道劃分的數(shù)據(jù)持久化中間件 Middleware，實現(xiàn)了對同一通道不同協(xié)議類型攻擊數(shù)據(jù)的轉(zhuǎn)化及持久化功能。最后，實現(xiàn)了基于蜜罐技術(shù)的 ICS威脅感知平臺，該平臺能夠?qū)Σ东@的攻擊流量數(shù)據(jù)進行實時分析與可視化，在能力范圍內(nèi)感知當(dāng)前網(wǎng)絡(luò)空間工控威脅態(tài)勢，并且提供了便捷有效的安全事件分析界面。通過在公共網(wǎng)絡(luò)中實際搭建 ICS威脅感知平臺，連續(xù)不間斷收集與存儲工控攻擊數(shù)據(jù)（目前為止已有9個月的數(shù)據(jù)量）。使用平臺提供的功