工业操纵系统DDoS防御蜜罐的初步介绍-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 工业操纵系统DDoS防御蜜罐的初步介绍

工业操纵系统DDoS防御蜜罐的初步介绍

小墨安全管家 2020-06-15 12:05 CC防护 89 ℃
DDoS防御

在上述方案中基本上用了Snort工具,Snort是一种入侵检测工具,能够针对数据包举行单包解析,在监听见数据包后首先会对来源数据包举行解析,接着提取特征,匹配规则,从而发出告警信息,示意图如下:

SDN是软件定义网络,它以下发flowtable的形式完成对流量的操纵。右图显示了作者所提出的混合蜜罐架构图。它要紧由一具基于 OpenFlow的交换机来治理操纵平面,它负责重定向攻击者和不同蜜罐之间的连接。在操纵平面中,开源IDSSnort用于分析流量以生成警报,并经过UNIX 套接字将警报消息发送到操纵器应用程序。依照警报消息,决策引擎(DE)将决定转发或重定向连接并发信号通知重定向引擎(RE ) 以执行相应的动作。

重定向引擎:以决定是否有点业务需要被重定向举行更详细的分析;

为提高蜜罐的部署能力,落低蜜罐部署成本,陆续有研究者提出采纳低交互蜜罐与高交互蜜罐混合部署的架构,在合适的时候调度合适的蜜罐,在学术领域陈之为混合蜜罐。以下是一些示例

蜜罐技术介绍

一具可选的操纵 规则,定义怎么限制蜜罐启动的传出流量。

中期时期,蜜罐工具的大规模开辟,比如DTK、honeyd、honeybrid等工具的提出;

在本方案中,Snort要紧举行低高交互流量的鉴别,并通知Honeybrid网关,便于后续步骤的举行。Honeybrid网关包括决策引擎和重定向引擎,负责协调前端和后端之间的过滤和重定向。决策引擎用于挑选感兴趣的流量,重定向引擎用于透明地重定向流量。

这四个组件环绕目标概念举行阐述,目标概念包含基于蜜罐的实验的规范。所以,每当我们想要运行基于蜜罐的新实验时,我们必须思量我们想要收集的流量类型以及我们想要收集它的方式,即具有多少粒度和操纵程度。目标由四个声明组成:一具 过滤规则,它使用tcpdump语法定义此目标应处理确实切流量类型,

工业控制系统DDoS谨防蜜罐的初步介绍

1. Snort+honeybrid方案

总结

后期时期,采纳虚拟仿真、真实设备、真实系统、IDS、数据解析工具以及数据分析技术等综合构建的网络体系举行入侵诱捕。

一具前端规则,定义哪个蜜罐应该首先与传入的攻击流量举行交互,以及答应此传入流量的标准是啥;

新型蜜罐技术(要紧介绍混合蜜罐)

初级时期,蜜罐思想首次被提出,这是蜜罐的形成时期;

工业控制系统DDoS谨防蜜罐的初步介绍

工业控制系统DDoS谨防蜜罐的初步介绍

近年来,随着工控安全形势的严重,蜜罐技术被越来越多的应用在工控领域,从协议的仿真做起到工控环境的模拟,交互能力越来越高,结构也日趋复杂。开源工控蜜罐中,要紧针对modbus、s7、IEC-104、DNP3等工控协议举行模拟。其中,conpot和snap7是相对成熟的蜜罐代表,conpot实现了对s7comm、modbus、bacnet、HTTP等协议的模拟,属于低交互蜜罐,conpot部署简单,协议内容扩展方便,同时设备信息是以xml形式举行配置,便于修改和维护。Snap7是特意针对西门子PLC的蜜罐,差不多实现了s7comm协议栈。它能够模拟实际设备的信息与状态,而且实现常用PLC操作的交互。但这些这些主流的虚拟蜜罐只能模拟单一工控协议,所以只能捕获单一工控协议的攻击数据。

日志引擎:然后处理的数据流,举行详细记录。

利用在蜜罐框架中,是利用了它的数据解析功能与告警功能;它在匹配到对应的信息后,能够发出信号,从而使得下一步的处理程序能够举行处理。


DDoS防御

当前位置:主页 > CC防护 > 工业操纵系统DDoS防御蜜罐的初步介绍

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119