摘要：針對當前工控網(wǎng)絡面臨的安全形勢和攻擊行為,傳統(tǒng)的蜜罐系統(tǒng)在工控網(wǎng)絡中只能被動地監(jiān)測內(nèi)網(wǎng)系統(tǒng),不能掌握整個工控網(wǎng)絡中的木馬、蠕蟲、系統(tǒng)后門的情況,難以對高速傳播的蠕蟲進行早期預警。經(jīng)過設計的基于主動防御技術的工業(yè)安全誘捕系統(tǒng)在設定檢測規(guī)則之后,對工控網(wǎng)絡內(nèi)部可能隱藏蠕蟲、木馬以及系統(tǒng)后門的物理設備的端口進行掃描。若端口開放則嘗試連接,連接成功后工業(yè)安全誘捕系統(tǒng)會發(fā)送探測包,探測包具有一些必要的特征。當工業(yè)安全誘捕系統(tǒng)接收到探測報文回應后進行分析,即可通過獲取的option字段特征值、源IP等信息判斷該端口是否存在木馬、蠕蟲及系統(tǒng)后門。