文章探讨了工控蜜罐的定位、定制需求,强调了其在网络安全中的作用,包括风险预警、攻击分析和协议研究。同时指出了高交互蜜罐的挑战,如成本和识别问题,并提出了结合新技术(如AI和SDN)的未来发展方向。
晚上改文字发现有些思路是不充分的,把论文中的一个点截取出现,顺便整理下自己的思路。工控蜜罐的定位应该算是比较清楚的,可以根据不同行业需求做定制化的蜜罐。高交互工控蜜罐耗费大量资源,维护成本较高。且这类蜜罐为了构建真实运行的仿真环境,往往需要引入实物系统或设备。工业控制系统及设备成本高且难以复用,即使同类的工控设备在功能、协议、指令等方面也是千差万别,维护工作量大。
目前在工控蜜罐研究投入较多且技术上比较成熟的有澳大利亚的蜜罐开源社区Adel Karimi、美国的501c3组织由美国一些大学组织、奥地利的MushMush组织以及我们国内的灯塔实验室。相关的研究论文我后面整理了部分。主要地参看下英文部分的文献写得比较有创意。
从建设蜜罐的属性和目的上讲工控蜜罐的作用是收集分析互联网上针对工业控制系统发起的恶意行为,在大规模攻击之前提前感知风险,判断攻击趋势;分散黑客注意力,诱导攻击者对蜜罐系统发动网络攻击,从而保护真实的工业控制系统健康运行,避免对工业生产造成破坏;高交互蜜罐可诱使攻击者发动真实攻击,挖掘分析工业控制系统零日漏洞。因为工控协议本身的安全属性缺陷问题,工控蜜罐是研究特定工控协议的实验平台。目前在Fofa、Zoomeye等搜索引擎上能够检测到的工控蜜罐大部分基于conpot蜜罐和仿真服务程序,这些蜜罐基都是低交互形式,蜜罐指纹特征通用、部署在云服务器上或者企业直接通过端口映射方式接入到互联网。</
最低0.47元/天 解锁文章
扫一扫
922
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
