基于改进Conpot对工业网络攻击行为检测方法的研究

刘磊; 王军; 付强

沈阳化工大学学报 ›› 2024, Vol. 38 ›› Issue (06) : 601 -608.

刘磊, 王军, 付强

作者信息 +

Author information +

文章历史 +

PDF

摘要

为解决工业网络安全问题，攻击者不能通过对协议的分析识别出蜜罐的存在；对协议交互的漏洞作出了改进，通过对Conpot的改进，从而实现了通过对协议的分析能够对蜜罐进行识别，以此来达到对Conpot的服务更加真实的效果.由于绝大部分的ICS环境是不可见的，在用户对运营网络进行访问时，运营商无法辨别其行为是否为恶意攻击.引入S7协议和蜜罐技术，通过对模拟协议种类的增加，蜜罐对Ethernet/IP进行模拟，对收集的数据进行处理，获取到当前存在的有威胁的攻击性行为，从而将具有攻击性的行为映射给低维空间，通过对纵向和横向的关联性比较，将分析出的特征值和可视化方法进行结合，实现对工业网络更有效的防护.