例如,由运行软件程序(即, 存储在诸如存储器54的有形机器可读媒介上的代码)的处理器52和/或由运行软件程序 (即,存储在诸如存储器68的有形机器可读媒介上的代码)的处理器66)执行。然而,仅为讨 论的目的,流程图104的步骤将结合控制系统20的DSP 60的操作来描述(应领会,运些步骤 还可例如由控制系统20的控制模块48来执行)。
[005引在步骤106中,处理器66可生成并且启动利用协议B的信号(即,不链接到ICS 10的 实际操作的虚拟信号)的传送。在步骤108中,处理器66可创建一个或多个服务器套接字监 听器,监听器操作来检测信号是否利用传送协议B来接收。如先前所讨论的,因为使用协议B 的信号实际上不指示ICS 10的操作,而是模仿恶意用户将会期望看到的备选协议,由处理 器66所接收到/所检测到的传送可指示对ICS 10和/或计算机网络12的未授权访问。一旦一 个或多个服务器套接字监听器被创建,ICS 10(例如,控制系统20)可进入"监听"(检测)使 用协议B的信号的稳定状态。
[0059] 在步骤110中,发生套接字连接。运个步骤110指示处理器66已经检测到使用协议B 的传送。在步骤112中,处理器66可确定连接是否是全连接。也就是说,处理器66可确定连接 是否被认为是半开放的(例如,全传送控制协议连接尚未发生)。如果连接被认为是半开放 的,则处理器66可在步骤114中记录事件。在步骤114中该事件的运个记录可包含在例如存 储装置64中和/或服务器26(例如,网络安全服务器)中存储事件的指示。
[0060] 然而,如果在步骤112中,处理器66确定连接是全连接(例如,全传送控制协议连接 已发生),则过程可进行到步骤116。在步骤116中,处理器66可例如捕获与任何远程客户端 连接相关的信息、源IP地址或存在于通信中的其他信息。处理器66还可捕获预定缓冲器大 小(例如,第一 32个字节、64个字节、128个字节、256个字节、512个字节、1024个字节、2056个 字节或存在于所接收传送中的另一个数据量)的所接收数据W帮助识别可能的属性日期、 浏览器代理或可在识别传送的身份或源方面有帮助的其他信息。
[0061] 在步骤118中,处理器66可确定任意所捕获信息是否包含匹配ICS 10和/或计算机 网络12白名单上的地址的地址。也就是说,处理器66可检查W查看传送识别信息是否匹配 授权处于计算机网络12和/或控制系统网络16上的实体的列表或登记册。如果在步骤118中 处理器66确定传送的识别信息处于白名单上,则在步骤114中处理器66将记录事件,例如W 用于确定所授权的被访问地址是否已经进行无规律的访问(其可提示侵入)。
[0062] 然而,如果在步骤118中处理器66确定传送的识别信息不处于白名单上,则处理器 66(在步骤120中)将进入高安全模式,因此控制系统仅可接受某些类型的传送,使得机器22 的控制不可在远处发生。另外地和/或备选地,高安全模式可包含锁定控制系统20,直到例 如在控制系统处本地启动物理复位W预防所检测到的侵入者对控制系统的访问。另外,作 为步骤120的一部分,处理器64可在步骤114中记录所捕获的信息和/或在步骤126中向SIEM 引擎传送消息W检查所记录数据。处理器66可另外地和/或备选地动态更新ICS 10和/或计 算机网络12W知晓攻击者,W便保护ICS 10和/或计算机网络12。
[0063] 另外地和/或备选地,除了上面针对步骤120所描述的处理器66的操作之外,控制 系统20还可采取步骤122的动作,作为步骤118中处理器66确定传送的识别信息不处于白名 单上的响应。在步骤120中,处理器66可向例如运行设计成捕获来自侵入者的附加信息的蜜 罐的网络安全服务器(例如,服务器26或36)转发与攻击者的交互。
[0064] 因此,在步骤124中,服务器26和/或36可生成随机化响应或含糊/欺骗响应W迷惑 攻击者并且也在由服务器26和/或36收集法庭和属性数据时吸引攻击者。另外,处理器66和 服务器26和/或36中的任一个或者两者能够向SEIM引擎发送信息,例如经由在步骤114中记 录所收集的信息W及通过在步骤126中向SKM引擎传送消息W检查所记录数据。处理器66 和/或服务器26和/或36可另外地和/或备选地动态更新ICS 10和/或计算机网络12W知晓 攻击者,W便保护ICSlO和/或计算机网络12。
[00化]W运样的方式,ICS 10可包含单独的元件,其可包含IDS传感器46。运些传感器46 W及利用传感器46的技术可帮助检测未授权的用户尝试访问ICS 10。因此,通过使用操作 来传送可反映实际ICS 10传送的诱骗或错误传送的蜜端,可更容易地识别攻击者W及可捕 获与其身份相关的信息,同时另外允许更新网络安全W使ICS 10和/或计算机网络12免受 所检测到的侵入。
[0066]本书面描述使用包含最佳模式的示例来公开上面的描述,并且还使本领域的任何 技术人员能够实施本发明,包含制作和使用任何装置或系统W及执行任何包含的方法。本 公开的可专利范围由权利要求书限定,并且可包含本领域的技术人员想到的其他示例。如 果运类其他示例具有没有不同于权利要求书的文字语言的结构要素,或者如果它们包括具 有与权利要求书的文字语言的非实质差异的等效结构要素,则预计它们处于权利要求书的 范围之内。
【主权项】
1. 一种装置,包括: 处理器,配置成: 生成使用第一通信协议的第一信号,其中所述第一信号对应于由所述处理器所接收的 数据; 生成使用第二通信协议的第二信号,其中所述第二信号包括由所述处理器所生成的伪 造数据;以及 传送所述第一和第二信号。2. 如权利要求1所述的装置,其中所述处理器配置成同时传送所述第一和第二信号。3. 如权利要求1所述的装置,其中所述处理器配置成顺序传送所述第一和第二信号。4. 如权利要求1所述的装置,其中所述处理器配置成检测使用所述第二通信协议的传 送。5. 如权利要求4所述的装置,其中所述处理器配置成捕获存在于所述传送中的数据。6. 如权利要求5所述的装置,其中所述处理器配置成分析所捕获数据以确定所捕获数 据的一部分是否匹配授权数据集的一部分。7. 如权利要求6所述的装置,其中所述处理器配置成:在所捕获数据的所述部分不匹配 所述授权数据集的所述部分时,生成并且传送使用所述第二通信协议的第三信号。8. 如权利要求6所述的装置,其中所述处理器配置成:在所捕获数据的所述部分不匹配 所述授权数据集的所述部分时,生成并且传送未授权网络访问的指示。9. 如权利要求5所述的装置,其中所述处理器配置成传送所捕获数据到存储装置用于 所捕获数据的记录。10. 如权利要求5所述的装置,其中所述处理器配置成捕获至少32字节的数据作为所捕 获数据。11. 一种具有在其上存储的计算机可运行代码的非暂时计算机可读媒介,所述代码包 括用于以下的指令: 接收数据; 生成使用第一通信协议的第一信号,其中所述第一信号对应于所接收数据; 生成使用第二通信协议的第二信号,其中所述第二信号包括伪造数据;以及 传送所述第一和第二信号。12. 如权利要求11所述的非暂时计算机可读媒介,其中所述代码包括用来检测使用所 述第二通信协议的传送的指令。13. 如权利要求12所述的非暂时计算机可读媒介,其中所述代码包括用来捕获存在于 所述传送中的数据的指令。14. 如权利要求13所述的非暂时计算机可读媒介,其中所述代码包括用来分析所捕获 数据以确定所捕获数据的一部分是否匹配授权数据集的一部分的指令。15. 如权利要求14所述的非暂时计算机可读媒介,其中所述代码包括用来在所捕获数 据的所述部分不匹配所述授权数据集的所述部分时生成并且传送使用所述第二通信协议 的第三信号的指令。16. 如权利要求14所述的非暂时计算机可读媒介,其中所述代码包括用来在所捕获数 据的所述部分不匹配所述授权数据集的所述部分时生成并且传送未授权网络访问的指示 的指令。17. 如权利要求13所述的非暂时计算机可读媒介,其中所述代码包括用来传送所捕获 数据到存储装置用于所捕获数据的记录的指令。18. -种装置,包括: 存储器,配置成存储指令;和 处理器,配置成运行所存储指令以: 接收对应于机器的操作特性的数据; 生成与所述机器相关的使用第一通信协议的第一信号,其中所述第一信号对应于由所 述处理器所接收的所述数据; 生成与所述机器相关的使用第二通信协议的第二信号,其中所述第二信号包括由所述 处理器所生成的伪造数据;以及 传送所述第一和第二信号。19. 如权利要求18所述的装置,其中所述处理器配置成检测来自远程用户的使用所述 第二通信协议的传送。20. 如权利要求19所述的装置,其中所述处理器配置成转发与所述远程用户的交互到 服务器。
【专利摘要】一种装置包括处理器。处理器配置成生成使用第一通信协议的第一信号。第一信号对应于由处理器所接收的数据。处理器配置成生成使用第二通信协议的第二信号。第二信号包括由处理器所生成的伪造数据。另外,处理器配置成传送第一信号。处理器还配置成传送第二信号。
【IPC分类】G06F13/14
【公开号】CN105493060
【申请号】CN201480031431
【发明人】M·R·施瓦茨
【申请人】通用电气公司
【公开日】2016年4月13日
【申请日】2014年4月21日
【公告号】CA2913015A1, US20140359708, WO2014193559A1