一种蜜罐系统的制作方法

本发明涉及工控安全技术领域，具体涉及一种蜜罐系统。

背景技术：

电力系统是关乎国计民生的重要基础设施，其安全尤为重要，是保障发电、输电和配电有效运行并维护用电安全秩序的重要基础。

随着工业化与信息化的不断融合，电力系统普遍使用工业控制设备实现生产过程的自动化，而工业控制设备越来越广泛地采用通用的硬件模块、软件系统及标准的通信协议，甚至与互联网相连通，使得电力系统在应对传统功能安全威胁的同时，还存在网络安全隐患。蜜罐技术是一种主动防御方式，能够感知系统中信息安全威胁，预测攻击形式、动态加固防御系统、实时响应网络攻击。其本质是一个带有漏洞的仿真系统，引诱攻击者对其进行探测和攻击，并对攻击行为进行捕获和分析，能够延缓攻击者对真实系统的攻击。所有与蜜罐装置的交互行为均可视为恶意攻击或未授权的访问，系统能够对其进行全面的监视与记录。目前，为了应对网络安全隐患，在电力系统中蜜罐技术已经得到了应用，已有的应用于工业控制系统中的蜜罐装置主要针对于以太网层次，能够模拟基于以太网的信息交互功能，跨网转换也是基于以太网设计的，而目前应用于电力系统中的智能控制设备具有多入多出和跨网协同的特点，并含有大量私有通信协议和专用通信网络，除了以太网以外还有现场总线等连接方式。针对以太网以外的连接方式，还缺少相应的工业控制蜜罐，存在网络安全的隐患。

因此，如何提出一种蜜罐系统，能够监控来自不同网络的访问数据，以提高工控系统的安全性成为业界亟待解决的重要课题。

技术实现要素：

针对现有技术中的缺陷，本发明提供一种蜜罐系统。

一方面，本发明提出一种蜜罐系统，包括第一蜜罐装置和第二蜜罐装置，其中：

所述第一蜜罐装置和所述第二蜜罐装置通过现场总线相连；

所述第一蜜罐装置用于响应和记录来自上位机和以太网设备的访问；

所述第二蜜罐装置用于响应和记录来自所述第一蜜罐装置的访问。

其中，所述第一蜜罐装置包括第一协议解析器、第二协议解析器、第一指令解析器、第一响应生成器和第一记录单元，其中：

所述第一协议解析器、所述第二协议解析器和所述第一指令解析器分别与所述第一响应生成器相连，所述第一指令解析器分别与所述第一协议解析器和所述第二协议解析器相连，所述第一记录单元分别与所述第一协议解析器、所述第二协议解析器、所述第一指令解析器和所述第一响应生成器相连；

所述第一协议解析器用于实现与所述以太网设备之间的数据传输；

所述第二协议解析器用于实现与所述第二蜜罐装置之间的数据传输；

所述第一指令解析器用于从所述第一协议解析器和所述第二协议解析器解析的数据中获得指令并解析所述指令；

所述第一响应生成器用于响应所述指令；

所述第一记录单元用于记录所述第一蜜罐装置的运行数据。

其中，所述第一蜜罐装置还包括分发器，所述分发器与所述第一协议解析器相连，用于根据预设协议筛选所述以太网设备的访问。

其中，所述第一蜜罐装置还包括系统伪装单元，所述系统伪装单元分别与所述第一响应生成器、所述第一协议解析器和所述第一记录单元相连。

其中，所述第一蜜罐装置还包括登陆单元和控制单元，所述登陆单元与所述控制单元相连，所述控制单元分别与所述第一响应生成器和所述第一记录单元相连，所述登陆单元与所述第一记录单元相连。

其中，所述第一协议解析器为s7comm协议解析器。

其中，所述第二协议解析器为profibus-dp协议解析器。

其中，所述第二蜜罐装置包括第三协议解析器，第二指令解析器，第二响应生成器和第二记录单元，其中：

所述第三协议解析器分别与所述第二指令解析器和所述第二响应生成器相连，所述第二指令解析器与所述第二响应生成器相连；所述第二记录单元分别与所述第三协议解析器，所述第二指令解析器和所述第二响应生成器相连；

所述第三协议解析器用于实现与所述第一蜜罐装置之间的数据传输；

所述第二指令解析器用于从所述第三协议解析器解析的数据中获得指令并解析所述指令；

所述第二响应生成器用于响应所述指令。

所述第二记录单元用于记录所述第二蜜罐装置的运行数据。

其中，所述系统还包括数据管理装置，所述数据管理装置与所述第一蜜罐装置通信连接。

其中，所述数据管理装置包括搜索单元、数据采集单元和数据展示单元，其中：

所述搜索单元分别与所述数据采集单元和所述数据展示单元相连；

所述数据采集单元用于获取所述第一蜜罐装置和所述第二蜜罐装置的系统日志；

所述搜索单元用于对所述系统日志进行内容搜索，并将搜索结果发送至所述数据展示单元；

所述数据展示单元用于显示所述搜索结果。

本发明提供的蜜罐系统，由于设置第一蜜罐装置和第二蜜罐装置，第一蜜罐装置和第二蜜罐装置通过现场总线相连，第一蜜罐装置用于响应和记录来自上位机和以太网设备的访问，第二蜜罐装置用于响应和记录来自第一蜜罐装置的访问，能够监控来自不同网络的访问数据，提高了工控系统的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明第一实施例蜜罐系统的结构示意图；

图2为本发明第二实施例蜜罐系统的结构示意图；

图3为本发明第三实施例蜜罐系统的结构示意图；

图4为本发明第四实施例蜜罐系统的结构示意图；

图5为本发明第五实施例蜜罐系统的结构示意图；

图6为本发明第六实施例蜜罐系统的结构示意图；

图7为本发明第七实施例蜜罐系统的结构示意图；

图8为本发明第八实施例蜜罐系统的结构示意图；

附图标记说明：

1-第一蜜罐装置；2-第二蜜罐装置；

3-数据管理装置；11-第一协议解析器；

12-第二协议解析器；13-第一指令解析器；

14-第一响应生成器；15-第一记录单元；

17-系统伪装单元；18-登陆单元；

19-控制单元；21-第三协议解析器；

22-第二指令解析器；23-第二响应生成器；

24-第二记录单元；31-搜索单元；

32-数据采集单元；33-数据展示单元。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明第一实施例蜜罐系统的结构示意图，如图1所示，本发明提供的蜜罐系统，包括第一蜜罐装置1和第二蜜罐装置2，其中：

第一蜜罐装置1和第二蜜罐装置2通过现场总线相连，所述现场总线例如为profibus现场总线，can总线等；

第一蜜罐装置1用于响应和记录来自上位机和以太网设备的访问；

第二蜜罐装置2用于响应和记录来自第一蜜罐装置1的访问。

具体地，本发明提供的蜜罐系统可以设置在工业控制系统中，例如电力工业控制系统中，第一蜜罐装置1用于仿真所述工业控制系统中的各种控制设备，如s7-300plc等；第二蜜罐装置2用于仿真所述工业控制系统中的被控制设备，例如各种采集装置，。第一蜜罐装置1可以通过路由器与所述以太网设备相连，所述以太网设备是指通过以太网与第一蜜罐装置1相连的设备，可以是连接在所述以太网上的任意一台设备，第一蜜罐装置1能够接收所述以太网设备的访问，并根据所述访问做出响应，第一蜜罐装置1可以以系统日志的形式将所述以太网设备的访问和针对所述以太网设备的访问所做出的响应保存下来；第一蜜罐装置1通过内网与所述上位机相连，所述内网可以采用局域网，第一蜜罐装置1能够接收所述上位机的访问，并根据所述上位机的访问做出响应，第一蜜罐装置1可以以系统日志的形式将所述上位机的访问和针对所述上位机的访问所做出的响应保存下来。第二蜜罐装置2与第一蜜罐装置1通过所述现场总线相连，当第二蜜罐装置2接收到第一蜜罐装置1的访问，第二蜜罐装置2针对第一蜜罐装置1的访问做出响应，并可以通过系统日志的形式将第一蜜罐装置1的访问和针对第一蜜罐装置1的访问做出响应记录下来。其中，所述访问可以包括查询消息、控制指令等。

对于本发明来说，第一蜜罐装置1和第二蜜罐装置2可以是两台独立的计算机。第一蜜罐装置1可以接收来自于所述以太网和所述内网的各种查询、扫描、攻击、控制等访问，并针对上述访问做出响应。第二蜜罐装置2通过所述现场总线接收第一蜜罐装置1访问，做出相应的响应。第一蜜罐装置1和第二蜜罐装置2之间的数据交互，仿真实际的工控设备通过所述现场总线的数据交互，通过监控第一蜜罐装置1和第二蜜罐装置1的运行数据，可以捕获异常的通信数据和操作行为，从而可以有效发掘安全隐患，实现对工控系统的威胁感知。

例如，第一蜜罐装置1和第二蜜罐装置2通过can总线相连，第一蜜罐装置1与上位机a通过所述内网相连。当上位机a向第一蜜罐装置1发送查询请求，以查询工控设备b的当前工作温度，第一蜜罐装置1接收到所述查询请求之后，通过can总线向第二蜜罐装置2转发所述查询请求，第二蜜罐装置2接收所述查询请求，并模拟工控设备b向第一蜜罐装置1返回所述当前工作温度，所述第一蜜罐装置1接收到第二蜜罐装置2返回的所述当前工作温度之后，将所述当前工作温度上报给上位机a。其中，在第二蜜罐装置2中预存预先编写完成的脚本，用于模拟各种工控设备以及各个所述工控设备对应的参数。其中，所述工控设备可以是温度控制器、变频器等。

本发明提供的蜜罐系统，由于设置第一蜜罐装置和第二蜜罐装置，第一蜜罐装置和第二蜜罐装置通过现场总线相连，第一蜜罐装置用于响应和记录来自上位机和以太网设备的访问，第二蜜罐装置用于响应和记录来自第一蜜罐装置的访问，能够监控来自不同网络的访问数据，提高了工控系统的安全性。

图2为本发明第二实施例蜜罐系统的结构示意图，如图2所示，在上述各实施例的基础上，进一步地，第一蜜罐装置1包括第一协议解析器11、第二协议解析器12、第一指令解析器13、第一响应生成器14和第一记录单元15，其中：

第一协议解析器11、第二协议解析器12和第一指令解析器13分别与第一响应生成器14相连，第一指令解析器13分别与第一协议解析器11和第二协议解析器12相连，第一记录单元15分别与第一协议解析器11、第二协议解析器12、第一指令解析器13和第一响应生成器14相连；

第一协议解析器11用于实现与所述以太网设备之间的数据传输；

第二协议解析器12用于实现与第二蜜罐装置2之间的数据传输；

第一指令解析器13用于从第一协议解析器11和第二协议解析器12解析的数据中获得指令并解析所述指令；

第一响应生成器14用于响应所述指令；

第一记录单元15用于记录第一蜜罐装置1的运行数据。

具体地，第一协议解析器11可以配置s7comm协议，用于解析来自于所述以太网设备的访问，并将解析后的数据发送给第一指令解析器13。第一指令解析器13解析来自第一协议解析器11的数据，并从中获取指令，所述指令可以是对所述工控设备的信息查询、开关控制等命令，第一指令解析器13将解析后获得所述指令发送给第一响应生成器14。第一响应生成器14接收到所述指令后，对所述指令进行处理，例如所述指令是查询某一工控设备的设备信息，第一响应生成器14将上述指令发送给第二协议解析器12，第二协议解析器12将上述指令转化成特定的数据格式，然后发送给第二蜜罐装置2，并接收第二蜜罐装置2根据上述指令返回的所述某一工控设备的设备信息，将所述某一工控设备的设备信息解析后发送给第一响应生成器14，第一响应生成器14将所述某一工控设备的设备信息作为对上述指令的响应信息通过第一协议解析器11发送给所述指令对应的所述以太网设备。第一记录单元15可以以所述系统日志的形式记录第一蜜罐装置1对所述指令处理的整个过程。当存在对第一蜜罐装置1的恶意攻击时，第一记录单元15可以记录所述恶意攻击的过程。其中，所述第二协议解析器12可以配置profibus-dp协议；所述指令为实际工业控制系统的指令，包括设备信息查询、工控设备的开关控制等；第一指令解析器13对所述指令的处理过程根据实际情况预先设置，本发明实施例不做限定。

图3为本发明第三实施例蜜罐系统的结构示意图，如图3所示，在上述各实施例的基础上，进一步地，第一蜜罐装置1还包括分发器16，分发器16与第一协议解析器11相连，用于根据预设协议筛选所述以太网设备的访问。

具体地，第一蜜罐装置1在接收来自所述以太网设备的访问时，通过分发器16从数据链路层抓取数据包，并根据预设协议对所述数据包进行判断，如果所述数据包采用的以太网通信协议包括在所述预设协议中，那么所述分发器接收所述数据包，并将所述数据包发送给第一协议解析器。如果所述数据包采用的通信协议不包括在所述预设协议中，那么所述分发器丢弃所述数据包。其中，所述预设协议包括但不限于网际控制信息协议(internetcontrolmessageprotocol，简称icmp)、传输控制协议(transmissioncontrolprotocol，简称tcp)和用户数据报协议(userdatagramprotocol，简称udp)。

图4为本发明第四实施例蜜罐系统的结构示意图，如图4所示，在上述各实施例的基础上，进一步地，第一蜜罐装置1还包括系统伪装单元17，系统伪装单元17分别与第一响应生成器14、所述第一协议解析器和第一记录单元15相连。

具体地，当第一响应生成器14判断所述指令是用于查询工控操作系统指纹，所述工控操作系统指纹是工控设备的操作系统版本的网络特征集合，根据所述工控操作系统指纹可以判断出所述工控操作系统指纹对应的设备是否是所述工控设备。第一响应生成器14将所述以太网设备采用的协议类型发送给系统伪装单元17，系统伪装单元17根据所述协议类型对反馈给所述以太网设备的数据进行伪装，以使得所述以太网设备将第一蜜罐装置1识别为所述工控设备。第一记录单元15与系统伪装单元17相连，记录系统伪装单元17的伪装过程。其中，针对操作系统的每个版本的tcp/ip协议栈部分的实现特点，可以预设相应的伪装，系统伪装单元17在获得所述协议类型之后，可以根据所述协议类型调用相应的伪装。

图5为本发明第五实施例蜜罐系统的结构示意图，如图5所示，在上述各实施例的基础上，进一步地，第一蜜罐装置1还包括登陆单元18和控制单元19，登陆单元18与控制单元19相连，控制单元19分别与第一响应生成器14和第一记录单元15相连，登陆单元18与第一记录单元15相连。

具体地，在第一蜜罐装置1设置登陆单元18和控制单元19，赋予不同用户不同的操作权限，所述用户可以利用用户名和密码通过登陆单元18进行登陆，登陆成功后可以利用控制单元19，下发各种控制指令，例如所述控制指令可以用于更改某一工控设备的工作温度范围、变更某一工控设备的开关状态，控制单元19将所述控制指令发送给第一响应生成器14，第一响应生成器14对所述控制指令进行处理。第一记录单元15可以以所述系统日志的形式记录对登陆单元18以及对控制单元19的操作。当存在利用登陆单元18和控制单元19的恶意攻击和非法操作时，第一记录单元15可以记录上述恶意攻击和非法操作。其中，所述控制指令根据实际需要进行设置，本发明实施例不做限定。

在上述各实施例的基础上，进一步地，第一协议解析器11为s7comm协议解析器，用于实现与所述以太网设备的数据传输。

在上述各实施例的基础上，进一步地，第二协议解析器12为profibus-dp协议解析器，用于实现与第二蜜罐装置2的数据传输。

图6为本发明第六实施例蜜罐系统的结构示意图，如图6所示，在上述各实施例的基础上，进一步地，第二蜜罐装置2包括第三协议解析器21，第二指令解析器22，第二响应生成器23和第二记录单元24，其中：

第三协议解析器21分别与第二指令解析器22和第二响应生成器23相连，第二指令解析器22与第二响应生成器23相连；第二记录单元24分别与第三协议解析器21，第二指令解析器22和第二响应生成器23相连；

第三协议解析器21用于实现与第一蜜罐装置1之间的数据传输；

第二指令解析器22用于从第三协议解析器21解析的数据中获得指令并解析所述指令；

第二响应生成器23用于响应所述指令。

第二记录单元24用于记录第二蜜罐装置2的运行数据。

具体地，第三协议解析器21可以配置profibus-dp协议，用于解析来自于第一蜜罐装置1的数据，并将解析后的数据发送给第二指令解析器22。第二指令解析器22解析来自第一蜜罐装置1的数据，并从中获取指令，所述指令可以是对所述工控设备的信息查询、开关控制等命令，第二指令解析器22将解析后获得所述指令发送给第二响应生成器23。第一响应生成器14接收到所述指令后，根据所述指令生成相应的反馈数据，例如所述指令是查询某一工控设备的设备信息，第一响应生成器14从预存的设备信息表中查找到所述某一工控设备的设备信息，第一响应生成器14将所述反馈数据通过第三协议解析器21发送给第一蜜罐装置1。其中，第一响应生成器14对所述指令的反馈数据可以利用matlab/simulink进行数据仿真获得。

图7为本发明第七实施例蜜罐系统的结构示意图，如图7所示，在上述各实施例的基础上，进一步地，本发明提供的蜜罐系统还包括数据管理装置3，数据管理装置3与第一蜜罐装置通信连接。

具体地，数据管理装置3可以通过所述内网与第一蜜罐装置1相连，从第一蜜罐装置1获取所述上位机和所述以太网设备对第一蜜罐装置1的访问记录，还可以通过第一蜜罐装置1从第二蜜罐装置2获取第一蜜罐装置1对第二蜜罐装置2的访问记录，通过数据管理装置3可以对上述访问记录进行查询和分析，可以通过上述访问记录寻找受到攻击时攻击者留下的痕迹。其中，第一蜜罐装置1可以以加密信道的方式向数据管理装置3传输所述访问记录。

图8为本发明第八实施例蜜罐系统的结构示意图，如图8所示，数据管理装置3包括搜索单元31、数据采集单元32和数据展示单元33，其中：

搜索单元31分别与数据采集单元32和数据展示单元33相连；

数据采集单元32用于获取第一蜜罐装置1和第二蜜罐装置2的系统日志；

搜索单元31用于对所述系统日志进行内容搜索，并将搜索结果发送至数据展示单元33；

数据展示单元33用于显示所述搜索结果。

具体地，数据采集单元32与第一蜜罐装置1内网连接，可以获取到记录所述上位机和所述以太网设备对第一蜜罐装置1的访问的系统日志，并可以通过第一蜜罐装置1从第二蜜罐装置2获取到记录第一蜜罐装置1对第二蜜罐装置2的访问的系统日志，数据采集单元32可以采用logstash开源数据采集工具。搜索单元31可以对数据采集单元32采集到的所述系统日志进行内容搜索，然后将搜索结果发送至数据展示单元33，搜索单元31可以采用elasticsearch开源分布式搜索引擎。数据展示单元33可以采用kibana开源人机交互界面工具，可以将所述搜索结果以web界面的形式展示。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。