-
公开(公告)号:CN110351238A
公开(公告)日:2019-10-18
申请号:CN201910435993.8
申请日:2019-05-23
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种工控蜜罐系统,系统包括:监听模块、数据捕获模块和处理模块;监听模块用于监听多种工控协议的默认端口,确定是否有攻击客户端的探测数据流到达各默认端口;其中,默认端口与工控协议预先关联存储;数据捕获模块用于在监听模块监听到攻击客户端的探测数据流到达各默认端口时,捕获探测数据流,并获取探测数据流所到达的默认端口对应的工控协议所属的连接类型,调用连接类型对应的处理模块;其中,连接类型与处理模块预先关联存储;处理模块用于对探测数据流进行解析,获取探测数据流中的攻击数据。本发明可获得基于不同连接类型的多种工控协议的攻击数据,并且避免被shodan识别。
-
公开(公告)号:CN110365636B
公开(公告)日:2020-09-11
申请号:CN201910436006.6
申请日:2019-05-23
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供一种工控蜜罐攻击数据来源的判别方法及装置,所述方法包括:基于工控蜜罐捕获的数据,提取所述未知攻击来源的IP地址的原始特征;对所述原始特征进行降维、归一化和重构处理,获得所述未知攻击来源的IP地址的IP特征;利用KNN分类算法计算所述IP特征与预先构建的训练数据集中每个训练样本的距离,并选定距离最近的三个训练样本作为最邻近样本,根据所述最邻近样本对应的主要攻击来源来得到所述未知攻击来源的IP地址所对应的攻击来源。本发明实施例通过提取未知攻击来源的IP地址对应的IP特征,并根据所述IP特征采用KNN分类算法获得未知攻击来源的IP地址的攻击来源,能够有效地判别攻击IP的攻击来源。
-
公开(公告)号:CN110365636A
公开(公告)日:2019-10-22
申请号:CN201910436006.6
申请日:2019-05-23
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明实施例提供一种工控蜜罐攻击数据来源的判别方法及装置,所述方法包括:基于工控蜜罐捕获的数据,提取所述未知攻击来源的IP地址的原始特征;对所述原始特征进行降维、归一化和重构处理,获得所述未知攻击来源的IP地址的IP特征;利用KNN分类算法计算所述IP特征与预先构建的训练数据集中每个训练样本的距离,并选定距离最近的三个训练样本作为最邻近样本,根据所述最邻近样本对应的主要攻击来源来得到所述未知攻击来源的IP地址所对应的攻击来源。本发明实施例通过提取未知攻击来源的IP地址对应的IP特征,并根据所述IP特征采用KNN分类算法获得未知攻击来源的IP地址的攻击来源,能够有效地判别攻击IP的攻击来源。
-
-
Search Results
3
records
(took 0.021 seconds)
