官網熱線:400-100-0298
工控蜜罐的發展主要分為三個階段,初級階段,蜜罐思想首次被提出,這是蜜罐的形成階段;中期階段,蜜罐工具的大規模開發,比如DTK、honeyd、honeybrid等工具的提出;后期階段,采用虛擬仿真、真實設備、真實系統、IDS、數據解析工具以及數據分析技術等綜合構建的網絡體系進行入侵誘捕。
工控蜜罐是一種軟件應用系統,用來稱當入侵誘餌,誘導黑客前來攻擊。攻擊者入侵系統后,通過監測與預計分析,就可以知道他是如何入侵的,隨時了解針對系統發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系,收集黑客所用的種種工具,并且掌握他們的社交網絡。蜜罐系統以偽裝技術為基礎,在用戶內部網絡中部署與真實資產相似的“陷阱”,當攻擊者通過外部安全防御系統的缺陷滲透進入到內部網絡時,通常需要搜索網絡內部的資產,以此找到對攻擊者而言有價值的目標。蜜罐節點自身的偽裝性能夠欺騙攻擊者,當攻擊者將蜜罐節點作為攻擊目標時,蜜罐節點能夠第一時間感知并匯報安全事件,具體包括:蜜罐節點會記錄攻擊者的所有行為,系統也會產生告警,通知安全運營管理人員。蜜罐節點會誘騙攻擊者將其他蜜罐節點作為后續的攻擊目標,所有蜜罐節點將組成“陷阱”網絡,延緩了攻擊時間,使得蜜罐系統能夠記錄更多的攻擊信息,分析潛在威脅。
工控蜜罐中,主要針對modbus、s7、IEC-104、DNP3等工控協議進行模擬。其中,conpot和snap7是相對成熟的蜜罐代表,conpot實現了對s7comm、modbus、bacnet、HTTP等協議的模擬,屬于低交互蜜罐,conpot部署簡單,協議內容擴展方便,并且設備信息是以xml形式進行配置,便于修改和維護。
上一篇:惡意代碼檢測是在怎樣檢測的
下一篇:工控網絡教學的特點
