本發明公開了一種針對常見與工控協議及端口的威脅檢測方法，包括：搭建服務端主機，用于處理每個客戶端主機的連接，記錄每個客戶端主機的操作日志，每個客戶端主機的訪問連接日志以及具體協議內容；配置服務端主機和客戶端主機參數，對服務端主機和客戶端主機端口模擬，使得服務端主機與客戶端主機的相應端口虛擬出協議；當攻擊者在訪問客戶端主機時，記錄客戶端主機對虛擬端口的訪問，以及訪問該端口網絡流量的數據包；服務端主機對客戶端主機訪問記錄和數據包進行威脅檢測。本發明采用插件化的方式，較為便捷地虛擬端口和協議服務，使得服務端主機與客戶端主機通過一種可信的通道進行通信，攻擊者在訪問主機時，可以讓攻擊者難以辨別真假。

技術領域

本發明涉及計算機網絡安全檢測領域技術領域，具體涉及一種針對常見與工控協議及端口的威脅檢測方法。

背景技術

常見的網絡攻擊包括了入侵者利用協議漏洞和和端口掃描進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊，破壞的根目錄，從而獲得終極用戶的權限。又如，ICMP協議也經常被用于發動拒絕服務攻擊。所謂端口掃描，就是利用Socket編程和目標主機的某些端口建立TCP連接、進行傳輸協議的驗證等，從而偵知目標主機的掃描端口是否是處于激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。

蜜罐是一個安全資源，它的價值在于被探測、攻擊和損害，蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。而現有技術中，難以針對一些常見與工控協議進行相對真實相對完善的虛擬，難以達到引誘攻擊者的目的。有一些相對真實完善的虛擬技術進行攻擊檢測，會消耗大量計算機資源，而且難以進行幾個端口的組合虛擬，比較笨重，成本太高。

發明內容

本發明的目的在于：為解決現有技術的不足，提供一種針對常見與工控協議及端口的威脅檢測方法。

本發明公開了一種針對常見與工控協議及端口的威脅檢測方法，包括：

搭建服務端主機，用于處理每個客戶端主機的連接，記錄每個客戶端主機的操作日志，每個客戶端主機的訪問連接日志以及具體協議內容；

配置服務端主機和客戶端主機參數，對服務端主機和客戶端主機端口模擬，使得服務端主機與客戶端主機的相應端口虛擬出協議；

當攻擊者在訪問客戶端主機時，記錄客戶端主機對虛擬端口的訪問，以及訪問該端口網絡流量的數據包；

服務端主機對客戶端主機訪問記錄和數據包進行威脅檢測。

本發明公開的一種針對常見與工控協議及端口的威脅檢測方法，所述服務端主機配置參數包括：啟動狀態、身份和虛擬端口；所述客戶端主機配置參數包括：啟動狀態、身份、admin后臺地址和虛擬端口，所述服務端主機在身份的配置上區別于客戶端主機，所述服務端主機虛擬端口的配置與客戶端主機相同。所述每個客戶端主機身份配置不同，所述客戶端主機admin后臺地址為服務端主機后臺地址。

所述對服務端主機和客戶端主機端口模擬包括對常見協議的端口模擬和對工控協議的端口模擬。

其中，所述對服務端主機和客戶端主機常見協議的端口模擬的配置信息包括：協議及協議狀態、綁定ip和端口，以及插件內容，所述插件內容用于處理協議連接。所述客戶端主機綁定ip是服務端主機，所述服務端主機不綁定ip。常見協議包括：mysql、ftp、telnet、vnc、http、tftp、mem_cache、ssh、redis、web?、elasticsearch。