本發明屬于網絡安全技術領域，基于緩沖池的分布式工業控制蜜網流量采集系統及方法。在所述的系統中包含：輸入緩沖池、轉換緩沖池、輸出緩沖池、輸入組件、解析組件、轉換組件和輸出組件。該系統為不同的應用場景和目的提供不同的運行模式，不僅可以收集和保存網絡流量，還可以將其解析為可讀數據，并將其轉換為所需的格式。不僅可以以不同的輸入輸出模式組合運行，還可以將捕獲的網絡流量解析和轉換為各種格式，滿足網絡管理員和安全防御方法的要求。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于緩沖池技術的分布式工業控制蜜網流量采集系統及其方法。

背景技術

隨著工業互聯網高速發展，工業控制系統與包括互聯網在內的外部網絡的連接越來越多，工業控制系統面臨著前所未有的網絡安全威脅，這些威脅能夠繞過傳統的網絡防御和入侵檢測方法，并對工業控制設備造成嚴重的破壞。

蜜網作為一種重要的安全資源，越來越多地應用于工業領域，用于檢測、分析和防止針對工業控制系統的網絡攻擊。與被動防御不同，蜜罐和蜜網更傾向于吸引攻擊者訪問、利用甚至破壞它們，以便收集和分析攻擊者的攻擊方式和工具。為了應對針對工業控制系統的攻擊，一些集成電路甚至大規模或分布式蜜網被提出，可以有效地模擬工業控制設備和網絡。工業控制蜜網越來越受到關注，因為它們的部署和操作獨立于工業場景，對工業過程的影響很小。

除了現有的蜜網提出的自定義數據收集方法，一些知名的網絡流量捕獲和分析工具也被廣泛使用，如Tcpdump、WinDump、Wireshark等。雖然上述方法和工具提供了豐富的數據捕獲和分析能力，但它們很難直接用于其他分布式蜜網。目前還沒有可以應用于各種分布式工業控制蜜網中且獨立于它們的網絡流量采集框架。

發明內容

本發明的目的在于提供一種基于緩沖池的分布式工業控制蜜網流量采集系統及方法，為不同的應用場景和目的提供不同的運行模式，不僅可以收集和保存網絡流量，還可以將其解析為可讀數據，并將其轉換為所需的格式。

本發明的技術方案如下：

一種基于緩沖池的分布式工業控制蜜網流量采集系統，在所述的系統中包含三個數據緩存池和四個組件：輸入緩沖池、轉換緩沖池、輸出緩沖池、輸入組件、解析組件、轉換組件和輸出組件(如圖1所示)。

三個數據緩存池中使用了三種數據類型，即包、Packet Meeting和JSON。

包是根據協議規范用于存儲與捕獲的原始二進制數據相對應的協議信息。它有兩種狀態，“完整”和“不完整”。“完整”意味著數據已經被完全解析。“不完整”是指部分數據沒有被解析，具體指應用層協議的數據。

Packet Meeting是一組數據包，由一個超時閾值T_meeting分隔，當超過這個閾值，沒有接收到數據時，Packet Meeting就被認為是不活躍的并被切斷。顯然Packet Meeting僅由T_meeting決定。

JSON是一種輕量級的數據交換格式，不僅易于人們讀寫，而且易于機器生成和解析數據，這使得存儲和傳輸數據的效率更高。

輸入緩存池用于臨時保存TCP/IP解析器解析的完整和不完整的數據包。

所述輸入組件提供了加載和捕獲兩種輸入模式。

加載模式以PCAP文件作為輸入。PCAP文件是使用Libpcap或基于winpcap的程序(如Tcpdump、WinDump和Wireshark)創建的數據文件。目前PCAP文件已經成為存儲和分析網絡流量最流行的文件類型，所以本發明的輸入組件包括加載模式來提供脫機數據收集功能。

捕獲模式負責根據一些過濾條件實時捕獲目標主機接收到的網絡流量。篩選條件包括源主機、目標主機、源端口、目標端口、特定協議等。