文献类型：期刊文章

作　　者：姚旭[1] 王钢[2] 任秀勤[3] 张立芳[1] 孙叶[1]

YAO Xu;WANG Gang;REN Xiu-qin;ZHANG Li-fang;SUN Ye(School of Information Engineering,Inner Mongolia University of Technology,Hohhot 010051,China;Information Construction and Management Center,Inner Mongolia University of Technology,Hohhot 010051,China;Northern Union Power Haibowan Power Plant,Wuhai 016000,China)

机构地区：[1]内蒙古工业大学信息工程学院,内蒙古呼和浩特010051 [2]内蒙古工业大学信息化建设与管理中心,内蒙古呼和浩特010051 [3]北方联合电力海勃湾发电厂,内蒙古乌海016000

出　　处：《计算机技术与发展》

基　　金：内蒙古自治区教育基金(NJZZ18077)。

年　　份：2022

卷　　号：32

期　　号：10

起止页码：114-119

语　　种：中文

收录情况：JST、RCCSE、ZGKJHX、普通刊

摘　　要：工业控制蜜罐区别于普通蜜罐的主要标志是使用蜜罐的场景不同,在工业控制蜜罐中,使用场景为工业控制系统,工业控制设备进行通讯时所采用的工控协议不同于普通的互联网协议。工业控制蜜罐诱捕能力主要依靠其仿真交互水平,模仿协议通讯交互情况决定了诱捕环境的真实性。通过对真实发电厂控制系统的考察,提出结合沙盒技术,将发电厂控制系统置于沙盒中以还原蜜罐高仿真度。采用协议逆向分析技术,深度解析EGD工控协议掌握协议特征,及时感知异常工控流量数据和异常协议数据包。使用开源cuckoo沙盒框架,在部署蜜罐的同时采用主客机部署机制,防止因攻击者识别蜜罐借此为跳板而逃逸或其他破坏行为。然后将蜜罐捕获的所有疑似攻击数据进行分析并提交至cuckoo主机端进行二次分析,最后对认为是攻击的数据采取相应处理措施。为网络安全管理员提供可靠数据,为发电厂提供更安全的主动防御网络环境。

关 键 词：蜜罐 工业控制系统  网络安全防护 CUCKOO 随机森林  

分 类 号：TP302]