基于仿真的工控蜜罐研究进展与挑战.pdf
《基于仿真的工控蜜罐研究进展与挑战.pdf》由会员分享,可在线阅读,更多相关《基于仿真的工控蜜罐研究进展与挑战.pdf(10页珍藏版)》请在咨信网上搜索。
1、学术论文DOl:10.12379/j.issn.2096-1057.2024.04.06ResearchPapers基于仿真的工控蜜罐研究进展与挑战颜欣畔李昕张博”付安民1(南京理工大学网络空间安全学院江苏江阴(北京计算机技术及应用研究所北京100854)3(南京理工大学计算机科学与工程学院南京210094)()Research Progress and Challenge of Industrial Control SystemsHoneypot Based on SimulationYan Xinyel,Li Xin”,Zhang Bo,and Fu Anminl.3I(School of
2、 Cyber Science and Engineering,Nanjing University of Science and Technology,Jiangyin,Jiangsu214443)2(Beijing Institute of Com puter Technology and Application,Beijing 100854)3(School of Computer Science and Engineering,Nanjing University of Science and Technology,Nanjing 210094)Abstract With the rap
3、id development of the industrial Internet,attacks against industrial controlsystems have emerged one after another,causing serious consequences such as industrialinfrastructure paralysis,production interruptions,economic losses,and personal injury.Honeypotfor industrial control system is one kind of
4、 deceptive tools which can lure attackers and masqueradeas genuine systems to provide access privileges,thus deceiving attackers into conductingsubsequent attacks and safeguarding the actual industrial control systems.This paper conducts anin-depth analysis of the current research status of industri
5、al honeypots,providing definitions andcharacteristics of industrial honeypots.It particularly focuses on various types of simulation-basedindustrial honeypots,including protocol-based simulation honeypots,structure-based simulationhoneypots,simulation-tool-based honeypots,vulnerability-based simulat
6、ion honeypots,and hybridsimulation honeypots,comprehensively analyzing the research progress in simulation-basedindustrial honeypots.Finally,the challenges and future development directions in the simulationand emulation progress of industrial honeypots are discussed and analyzed.Key words ICS secur
7、ity;honeypot;ICS protocol;programmable logic controller;ICS simulation摘要随着工业互联网的快速发展,针对工业控制系统的攻击层出不穷,造成工业基础设施瘫痪、生产中断、经济损失和人身伤害等严重后果.工控蜜罐是一种欺骗工具,可以作为诱饵吸引攻击者并伪装成真实系统提供访问权限,以诱骗攻击者进行下一步攻击,保护真正的工业控制系统.针对工控蜜罐研究现状进行了深入分析,给出了工控蜜罐的定义及其特征,并重点从基于协议模拟的工控蜜罐、基于结构仿真的工控蜜罐、基于模拟工具的工控蜜罐、基于漏洞模拟的工控蜜罐以及基于混合模收稿日期:2 0 2 3-
8、0 7-0 7基金项目:国家自然科学基金项目(6 2 0 7 2 2 39,6 2 37 2 2 36);未来网络科研基金项目(FNSRFP-2021-ZD-05)引用格式:颜欣哗,李昕,张博,等.基于仿真的工控蜜罐研究进展与挑战 J.信息安全研究,2 0 2 4,10(4):32 5-334214443)网址htp:/1325信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.2024拟的工控蜜罐等方面全面分析了基于仿真的工控蜜罐研究进展情况.最后,讨论和分析了当前工控蜜罐仿真模拟过程中面临
9、的挑战和未来发展方向.关键词工控安全;蜜罐;工控协议;可编程逻辑控制器;工控仿真中图法分类号TP393.08工业控制系统又称工控系统 1,是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统.随着工业互联网的快速发展,工业控制系统的安全风险也越来越突出.攻击者可以通过网络攻击人侵工控系统,例如通过漏洞或社会工程学技巧诱骗用户安装恶意软件.攻击者还可以通过绕过访问控制和身份验证获取系统的访问权限.针对工控系统的攻击可能导致工业基础设施瘫痪、生产中断、经济损失和人身伤害等不良后果 2 ,已对国家安全和经济稳定构成了严
10、重威胁 3。2021年,攻击者攻破了美国佛罗里达州一个水处理厂的控制系统,并试图大幅提高住宅和商业饮用水中的氢氧化钠含量占比,使公众生命安全面临威胁.2 0 2 2 年,黑客组织Anonymou人侵了白俄罗斯铁路的内部网络,并关闭了其内部网络的所有服务.该攻击对铁路列车的运营秩序和乘客的人身安全都造成极大危害。工控系统具有多方面重要意义,因此需要采取措施保证工控系统安全.传统的安全措施包括网络防火墙、人侵检测系统和访问控制等,但这些方法往往只能进行被动防御,无法完全解决工控系统安全问题.基于这样的形势,工控蜜罐作为一种具有欺骗性的解决方案,受到了越来越多的关注.它能够模拟真实工控环境,吸引攻击
11、者进人,提供安全监测和攻击情报收集能力,在应对零日漏洞或新型攻击方式时具有优势.工控蜜罐的目标是吸引攻击者发起攻击,监测攻击者行为并收集相关信息,为后续安全防御提供参考 。本文在对工控蜜罐方案进行研究的基础上,首先简要介绍了蜜罐、蜜网的定义以及相关特性,然后讨论了工控蜜罐方案的评估现状,并根据工控蜜罐仿真的方式全面分析了基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案以3261及基于漏洞模拟的方案,从方案和仿真方式2 个层面进行了对比与评估,分析了当前工控蜜罐仿真模拟过程面临的挑战.最后,对工控蜜罐仿真方案未来的研究方向进行了讨论和展望。1工控蜜罐特点分析1.1蜜罐及其特性1.1.1
12、蜜罐与蜜网蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或信息,诱使攻击方实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,并通过技术和管理手段增强实际系统的安全防护能力 5.蜜网的定义较宽泛,以一个蜜罐为基础搭建一套网络拓扑即可视为蜜网.蜜网可以按照真实环境构建,为攻击者提供更丰富的人侵接口和更真实的攻击环境,并记录攻击者的具体攻击过程。目前各类蜜罐技术方案并不具备统一的功能标准,采取的诱骗方式、仿真模拟的内容以及实现的功能均有不同的侧重点.综合来看,一个理想的蜜罐方案应该包含3个主要功能,即仿真交互、数据收集和安全控制,其
13、基本结构如图1所示:攻击者可见攻击者不可见安全控制安全防护攻击者恶意连接仿真交互仿真信息威胁记录攻击面图1蜜罐模型结构仿真交互是蜜罐技术中至关重要的功能.它模拟真实计算机系统或系统的部分功能模块,诱骗攻击者发起行动,以有效地捕获攻击行为和发现数据收集管理面学术论文.ResearchPapers安全威胁.为了实现仿真交互,蜜罐通常会模拟受保护系统的各种协议、数据包以及部分功能模块。仿真交互使攻击者将蜜罐误认为真实系统发起攻击,从而有效地捕获攻击行为,为后续的数据收集和安全控制提供支持。数据收集的目的是记录攻击者的所有活动,以便了解攻击方法、推测攻击意图、分析安全威胁以及支持攻击取证.通常收集3类
14、关键数据:防火墙日志(人站出站连接)、网络流量(数据包及其有效负载)和系统活动(攻击者的输入、系统调用、修改的文件等).此外,蜜罐系统为了诱发攻击行动,往往配置较弱的安全措施,因此蜜罐捕获的所有数据需要及时转发到集中的安全数据库中。安全控制主要用于流量控制和监控蜜罐状态.在流量控制方面,蜜罐通常使用防火墙或其他网络安全设备限制流量进出,从而防止攻击者对蜜罐进行横向渗透或者攻陷蜜罐成为跳板进行外部攻击 7.在监控蜜罐状态方面,一旦发现攻击者利用蜜罐发起攻击行为,蜜罐系统立刻采取措施阻止攻击并回滚至良好状态,避免被攻击者利用展开后续攻击.此外,安全控制还需要保证蜜罐的完整性和可用性,在攻击者占用过
15、多资源或发起破坏性行动时及时恢复蜜罐系统,保障蜜罐的正常运行.1.1.2蜜罐的特性自蜜罐概念首次提出至今,其应用领域不断拓展和深人,逐渐表现出多种特性 8 .如表1所示:表1蜜罐的特性特性释义交互性蜜罐的交互能力角色蜜罐在多层体系结构中的位置蜜罐系统是否具有模拟动态数量扩展性设备或服务的能力资源类型蜜罐的实现形式适应性蜜罐自适应环境重新配置的能力主要特性包括交互性、角色、扩展性、资源类型和适应性5种。1)交互性 9 :指蜜罐的交互能力.交互能力极大地影响蜜罐在仿真模拟中表现出来的真实性.根据交互性由弱到强,可以将蜜罐划分为低、中和高交互蜜罐10 7.2)角色 11:指蜜罐在多层体系结构中的位置
16、.根据角色可将蜜罐分为服务器蜜罐和客户端蜜罐.服务器蜜罐通过模拟服务器端的软硬件吸引攻击者,检测和监控攻击行为,一般被动地等待攻击的到来.客户端蜜罐则具有主动性,可以模拟浏览恶意网站、下载文件等操作,从而引诱攻击者接触蜜罐.3)扩展性:指蜜罐模拟的设备或服务的数量能否动态变化.根据扩展性可将蜜罐分为可扩展蜜罐和不可扩展蜜罐.不可扩展的蜜罐只具备固定数量(1个或多个)诱饵的仿真模拟能力,如XPOTL121;而可扩展蜜罐可以动态地部署多个诱饵,如 IoTCandyJar131.4)资源类型 14:指蜜罐的实现形式,也就是蜜罐作为诱饵的实际存在状态.根据资源类型可将蜜罐分为物理蜜罐、虚拟蜜罐和混合蜜
17、罐3类.物理蜜罐是指运行在真实物理机器上的控制系统,具有高交互性和真实性.但单个物理蜜罐只有1个IP地址,在大规模系统中为每个IP地址或设备部署物理蜜罐代价过高.而虚拟蜜罐使用虚拟系统作为诱饵,可以在1台物理机器上同时托管多个虚拟IP地址.混合蜜罐将两者结合,在与攻击者交互时优先使用虚拟蜜罐进行欺骗,当仿真响应欺骗划分方向性不足时由物理设备进行弥补.高交互5)适应性:指蜜罐在变化的环境中自适应地中交互改变配置的能力,分为静态型蜜罐和动态型蜜罐.低交互静态型蜜罐需要事先手动配置,无法适应人侵事服务器端件的实时变化.相比之下,动态蜜罐能够实时适应客户端特定的事件和环境变化,提高蜜罐的诱骗效果,为可
18、扩展系统提供更好的安全保障。不可扩展1.2工控蜜罐与评估物理1.2.1二工控蜜罐虚拟随着工业化程度的不断提高,工控系统的规混合模越来越大,功能越来越复杂.工控系统组件包括动态数据采集与监视控制(supervisory control and静态data acquisition,SC A D A)系统 15 和可编程逻辑网址http:/1327信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.2024控制器(programmable logic controller,PLC)16等.工控蜜罐的
19、目标可以是仿真工控系统的某一个组件,也可以是构建大型仿真系统模拟整个工控系统.工控蜜罐的基础是通用型蜜罐.不过,工控蜜罐相比通用型蜜罐存在一些明显区别,主要包括以下3个方面:1)工控蜜罐和通用型蜜罐的保护对象不同.通用型蜜罐的保护对象通常是操作系统和程序等虚拟资源,目标是更好地提升系统的安全性 17 .而工控系统复杂庞大,架构方式各异,各个设备独立且设备本身就具有价值.因此,工控蜜罐专注于保护实际物理世界中的设备。2)工控蜜罐面对的攻击相较于通用型蜜罐更具专业性.工控系统攻击者通常需要具备工业控制和自动化的专业知识,了解特定的工业协议和设备,熟悉控制系统的操作 18 .此外,攻击者还需要了解工
20、控网络的拓扑结构,找到弱点从而顺利人侵系统.这样强大的攻击者具有高度危险性和强诱饵识别能力.因此,工控蜜罐一般需要考虑强欺骗性的高交互方案。3)工控蜜罐具有高度的定制化需求.工控环境通常由多种类型的工控设备组成,不同设备的结构和设备间通信都具有较大差异性,因此工控蜜罐需要模拟不同型号工控设备支持的协议和不同模块的通信原理,以满足特定的仿真需求.定制化的仿真使得攻击者更难以区分真实工控系统和蜜罐,并进一步降低攻击成功率。1.2.2工控蜜罐评估现有的工控蜜罐方案具有不同的性质、功能和模拟方式.目前,对于工控蜜罐的评估仍缺乏统一的衡量标准.绝大多数工控蜜罐方案在实验评估阶段将工控蜜罐暴露在公网上,根
21、据捕获到恶意流量的数量评估蜜罐的能力,部分工控蜜罐方案会对这些恶意流量的攻击方式、来源等作进一步分析 19 .不过,仅仅根据捕获到的恶意流量数量评估工控蜜罐方案是片面的,因为部署位置、部署时长等因素都可能对捕捉到的恶意流量的数量造成影响。改进型的工控蜜罐方案常常采取对比的评估方式.改进型方案一般是针对之前蜜罐方案的不足作出改进后形成的新方案,因此需要和基础方案3281进行对比实验.例如,文献 2 0 与基础方案的对比结果充分显示了其在原方案基础上的改进效果.不过,这无法说明此方案相较于其他众多方案的优势.工控蜜罐需要更丰富的评估指标。在评估中可以定义工控蜜罐需要具备的各种性质,并将满足的性质种
22、类数量作为衡量工控蜜罐方案技术水平的指标.工控蜜罐的指纹、数据捕获、欺骗性和智能等属性 2 1 都可以衡量蜜罐水平。除此之外,实时性、可扩展性、易用性等都可以作为评估工控蜜罐方案的参考指标.欺骗性是工控蜜罐最重要的特性之一,但是难以进行数值化的评估.这是因为欺骗性是基于对攻击者心理预期的理解,需要根据具体的情境和攻击目标来设计和实现.在HoneyPLC22的实验评估中使用了Nmap23和Shodan24 2种可对欺骗性进行量化的评估工具对IP地址进行可信度评估并打分.这种方式能够量化地评估工控蜜罐的欺骗性,使用统一工具扫描也会使对比结果更可靠。2基基于仿真的工控蜜罐分析目前的工控蜜罐方案大致可
23、以分成基于真实设备的工控蜜罐方案和基于仿真的工控蜜罐方案.其中,基于真实设备的工控蜜罐方案普遍的研究目的是分析捕获到的恶意样本 2 5.本文重点关注工控蜜罐的结构设计与实现方法,对基于仿真的工控蜜罐方案进行深人分析,并将其分类为基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案、基于漏洞模拟的方案和基于混合模拟的方案,本节将介绍各个类别的代表性方案并进行对比。2.1基于协议模拟的工控蜜罐基于协议模拟的方案是一种主流的工控蜜罐方案.这种方案通常不考虑设备的内部结构,而是把重心放在仿真工控协议的交互功能上,其实现难度主要在于分析并模拟各厂商的私有协议.这些私有协议通常是一套厂商自定的不全部
24、公开的协议标准,一般只适用于本企业的全部或部分产品设备,因此模拟难度较大。Xiao等人 2 6 提出了基于西门子S7comm27协议的工控蜜罐方案 S7commTrace.该方案对S7comm协议的结构和功能码作了详细的研究,学术论文.ResearchPapers因此对西门子S7系列设备的模拟仿真度较高;与开源工控蜜罐Conpot28相比,S7CommTrace 能够接收更多连接请求,捕获到更多攻击数据;此外,该方案并未被扫描工具 Shodan识别为蜜罐,这表示其具有较高交互性和欺骗性。不过,S7CommTrace的数据来源只有西门子S7-300,并且专注于对 S7comm 协议的研究和复现.
25、然而即使是来自同一厂商,不同型号PLC之间的差异性也相当大,因此该方案扩展性低,需要通过扩充更多协议功能来进行弥补。Lopez-Morales等人 2 2 提出一种基于通用型蜜罐 honeyd29的方案HoneyPLC,实现了一些主要的协议模拟,包括TCP/IP,S7 c o m m,H T T P,SNMP,方案结构如图2 所示:PLC配置文件库所需PLC文件特性引擎协议模拟恶意数据库恶意代码图2 HoneyPLC方案结构HoneyPLC致力于提高欺骗性和扩展性.在欺骗性方面,编写了对应的服务器应用程序模拟交互协议;设计了一个配置工具自动生成目标PLC的配置文件,从而增强与攻击者的交互能力.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 仿真 蜜罐 研究进展 挑战
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。