摘要：隨著(zhù)工業(yè)化與信息化的融合發(fā)展，聯(lián)網(wǎng)工控系統和設備數量持續上升，網(wǎng)絡(luò )攻擊手段復雜多變、重大安全事件頻繁發(fā)生，不斷敲響了工業(yè)信息安全警鐘。工業(yè)控制系統蜜罐技術(shù)作為被動(dòng)誘捕手段之一，能夠有效捕獲針對工業(yè)控制系統發(fā)起的網(wǎng)絡(luò )攻擊數據，進(jìn)而分析攻擊手段，剖析黑客活動(dòng)趨勢，在工控安全態(tài)勢感知領(lǐng)域有著(zhù)極高的實(shí)用價(jià)值。本文結合國家工控安全監測與態(tài)勢感知平臺應用結果，分析工控蜜罐的具體作用及功能，并闡述當前工控蜜罐遇到的問(wèn)題及下一步研究方向。

關(guān)鍵詞：工控安全；工控蜜罐；態(tài)勢感知

Abstract:With the integration and development of industrialization and informatization,the number of networked industrial control systems and equipment continues to rise, network attack methods are complex and changeable, and major security incidents occur frequently, which constantly sounds the alarm of industrial information security. As one of the passive entrapment methods, the ICS honeypot technology can effectively capture the network attack data launched against the industrial control system,and then analyze the attack method and the trend of hacker activities. It has extremely high practical value in the field of industrial control security situation awareness. This paper analyzes the specific functions of the ICS honeypot from the perspective of industrial control security situation awareness, combined with the application results of the national industrial information security monitoring and situational awareness platform, and expounds the current problems encountered by the ICS honeypot and the next research directions.

Key words: Industrial control system security; ICS honeypot; Situational awareness

1 引言

云計算、大數據、人工智能等新一代信息技術(shù)正加速推進(jìn)工業(yè)化與信息化的融合進(jìn)程，工業(yè)互聯(lián)網(wǎng)時(shí)代下，數字化、網(wǎng)絡(luò )化、智能化發(fā)展趨勢使得越來(lái)越多原 本處于封閉環(huán)境中的工業(yè)控制設備暴露于公共互聯(lián)網(wǎng)，直面來(lái)自互聯(lián)網(wǎng)的攻擊威脅^[1]。為應對日趨嚴峻的網(wǎng)絡(luò )安全形勢，及時(shí)洞悉工業(yè)控制系統及設備面臨的安全風(fēng)險，研判分析、精準預測整體安全狀況，工控安全態(tài)勢感知技術(shù)研究正成為安全領(lǐng)域的一大研究熱點(diǎn)。

蜜罐是一種新型的主動(dòng)防御技術(shù)，通過(guò)偽裝成看似有利用價(jià)值的設備、系統等吸引網(wǎng)絡(luò )黑客對其發(fā)起攻擊，經(jīng)捕獲和分析攻擊行為，了解攻擊工具與方法，推測攻擊者意圖和動(dòng)機。蜜罐技術(shù)的出現，扭轉了網(wǎng)絡(luò )攻防的不對稱(chēng)局面，在傳統網(wǎng)絡(luò )安全態(tài)勢感知領(lǐng)域取得了較多成功的應用案例。結合工控安全技術(shù)特點(diǎn)，將蜜罐技術(shù)應用于工控安全態(tài)勢感知，有效獲取針對工業(yè)控制系統及設備發(fā)起的網(wǎng)絡(luò )攻擊數據，分析攻擊手段，剖析黑客活動(dòng)趨勢，有著(zhù)極高的實(shí)用價(jià)值。

2 工業(yè)控制系統蜜罐技術(shù)概述

2.1 蜜罐技術(shù)發(fā)展進(jìn)程

世界上第一個(gè)被公開(kāi)使用的蜜罐系統是美國著(zhù)名計算機安全專(zhuān)家Fred Cohen于1998年研發(fā)的DTK（Deception Tool Kit）^[2]，旨在誘導攻擊者對存在大量安全漏洞的DTK系統發(fā)動(dòng)網(wǎng)絡(luò )攻擊，Cohen的研究工作為蜜罐技術(shù)的發(fā)展奠定了基礎。2000年計算機蠕蟲(chóng)病毒大爆發(fā)，研究人員發(fā)現蜜罐系統在捕獲網(wǎng)絡(luò )傳播的蠕蟲(chóng)病毒樣本、判定傳播趨勢、溯源攻擊黑客等方面有著(zhù)無(wú)可替代的作用。此后蜜罐技術(shù)得到廣泛關(guān)注，出現了大量開(kāi)源蜜罐系統。

蜜罐技術(shù)發(fā)展到現在，已出現多種成熟的蜜罐工具。一套成熟的蜜罐系統通常由核心模塊和輔助模塊兩部分組成^[3]：核心功能模塊是誘騙與監測攻擊方的必需組件，具備構建仿真環(huán)境、捕獲攻擊數據以及威脅分析等功能；輔助模塊是蜜罐系統擴展需求，包含系統安全風(fēng)險控制、配置與管理、反蜜罐偵查等功能。

2.2 蜜罐分類(lèi)

按照為攻擊方提供的交互程度可劃分，蜜罐系統可分為低交互性蜜罐、中交互蜜罐和高交互性蜜罐，如表1所示^[4]。低交互性蜜罐通過(guò)編程軟件構建偽裝的系統運行環(huán)境，提供簡(jiǎn)單的服務(wù)模擬，交互程度較低；中交互蜜罐以軟件模擬方式搭建，可模擬較為復雜的系統服務(wù)，為攻擊者提供較好的交互環(huán)境，可捕獲更多的信息數據；高交互蜜罐一般采用真實(shí)系統搭建，交互程度高，但由于黑客的攻擊行為可對蜜罐本身造成損壞，因此安全風(fēng)險最大。

表1 不同交互度蜜罐比較

2.3 工控蜜罐研究進(jìn)展

隨著(zhù)信息技術(shù)的發(fā)展，出現了針對不同業(yè)務(wù)應用場(chǎng)景的蜜罐系統，如：web蜜罐、數據庫蜜罐、移動(dòng)應用蜜罐、IoT蜜罐等。工控蜜罐作為面向工業(yè)控制、工業(yè)生產(chǎn)業(yè)務(wù)環(huán)境的新一代蜜罐系統也得到了越來(lái)越多的關(guān)注，目前主流的工控蜜罐有Conpot、Snap7、CryPLH、XPOT等，如表2所示。

表2 常見(jiàn)工控系統蜜罐

近年來(lái)，國內外安全機構紛紛針對工控蜜罐及其應用場(chǎng)景開(kāi)展了系列研究。2016德國達姆施塔特工業(yè)大學(xué)在原移動(dòng)應用蜜罐的基礎上進(jìn)一步開(kāi)發(fā)出HosTaGe工控蜜罐^[5]，支持Modbus等工業(yè)專(zhuān)有協(xié)議仿真；2017年，中國科學(xué)技術(shù)大學(xué)大數據分析與應用重點(diǎn)實(shí)驗室對標西門(mén)子S7系列可編程邏輯控制器（PLC），開(kāi)發(fā)出高交互工控蜜罐S7commTrace并取得了較好的應用效果^[6]；2019年，江蘇科技大學(xué)網(wǎng)絡(luò )與信息安全團隊開(kāi)發(fā)出基于S7、snmp等協(xié)議，應用于船舶領(lǐng)域的工控蜜罐^[7]；2019年希臘馬其頓大學(xué)研發(fā)針對電網(wǎng)基礎設施的蜜罐系統^[8]，并開(kāi)展了相關(guān)試驗驗證工作。

2.4 工控蜜罐的功能

工控蜜罐的主要功能包括：

（1）收集分析互聯(lián)網(wǎng)上針對工業(yè)控制系統發(fā)起的惡意行為，在大規模攻擊之前提前感知風(fēng)險，判斷攻擊趨勢；

（2）分散黑客注意力，誘導攻擊者對蜜罐系統發(fā)動(dòng)網(wǎng)絡(luò )攻擊，從而保護真實(shí)的工業(yè)控制系統健康運行，避免對工業(yè)生產(chǎn)造成破壞；

（3）高交互蜜罐可誘使攻擊者發(fā)動(dòng)真實(shí)攻擊，挖掘分析工業(yè)控制系統零日漏洞。

3 工控蜜罐在工控安全態(tài)勢感知領(lǐng)域的應用

“態(tài)勢感知”的概念最早用于軍事領(lǐng)域，主要是指在特定時(shí)空下對動(dòng)態(tài)環(huán)境中各元素或對象的覺(jué)察、理解以及對未來(lái)狀態(tài)的預測。隨著(zhù)網(wǎng)絡(luò )技術(shù)的發(fā)展，“態(tài)勢感知”的應用情景更傾向于網(wǎng)絡(luò )安全，通過(guò)廣泛采集和匯聚廣域網(wǎng)中的安全狀態(tài)和事件信息，加以處理、分析和展現，從而明確當前網(wǎng)絡(luò )的總體安全狀況，為大范圍的預警和響應提供決策支持。為應對當前工控安全面臨的嚴峻形勢和挑戰，國家工業(yè)信息安全發(fā)展研究中心利用主動(dòng)監測、被動(dòng)誘捕、流量分析、企業(yè)側采集、大數據挖掘等技術(shù)手段，建設國家工業(yè)信息安全監測與態(tài)勢感知平臺，有效感知全國工業(yè)信息安全整體態(tài)勢，形成全天候、全方位工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力，其中利用工控蜜罐建設的威脅誘捕系統，為整體感知工業(yè)控制系統信息安全態(tài)勢提供不可或缺的數據支持^[9]。

3.1 系統架構

通過(guò)工控蜜罐構建的威脅誘捕系統框架如圖1所示。工控蜜罐的部署位置一般選取網(wǎng)絡(luò )關(guān)鍵節點(diǎn)或工業(yè)企業(yè)網(wǎng)絡(luò )出口處，根據蜜罐仿真模式，合理配置仿真的工業(yè)控制系統或服務(wù)協(xié)議，避免被網(wǎng)絡(luò )空間掃描引擎或有經(jīng)驗的黑客組織輕易識別。當蜜罐遭遇黑客攻擊后，會(huì )將攻擊數據發(fā)送至威脅誘捕系統進(jìn)行存儲、處理、分析，系統完成對攻擊數據的判定后，將攻擊行為進(jìn)行可視化展示，并將處理結果發(fā)送至態(tài)勢感知平臺，為下一步整體安全態(tài)勢分析提供數據基礎。

圖1 工控蜜罐在威脅誘捕系統中的應用

工控蜜罐工作原理如圖2所示，蜜罐系統由攻擊交互模塊和設備/服務(wù)仿真環(huán)境兩部分組成。攻擊交互模塊直接處理黑客與蜜罐的交互，通過(guò)流量重定向技術(shù)，檢測攻擊流量中訪(fǎng)問(wèn)的目標類(lèi)型，在嚴格過(guò)濾DDoS等高危操作后，將對應攻擊流量導入適當的設備/服務(wù)仿真環(huán)境，并將初步分析結果發(fā)送至威脅誘捕系統；設備/服務(wù)仿真環(huán)境在收到攻擊交互模塊發(fā)送的攻擊流量后，模擬系統被攻擊的真實(shí)反應，反饋至交互模塊，用于蜜罐與黑客的進(jìn)一步交互。

威脅誘捕系統通過(guò)分析工控蜜罐搜集的攻擊數據，研判各類(lèi)攻擊要素，包括攻擊工具、惡意文件、攻擊來(lái)源、攻擊步驟等信息，如：攻擊者的IP、地理位置、探測工具等。

圖2 工控蜜罐工作原理示意圖

3.2 捕獲數據行為分析

以2020年4月工控蜜罐捕獲到的攻擊數據為例，該工控蜜罐為中交互蜜罐，模擬Ethernet/IP協(xié)議工控設備。通過(guò)分析工控蜜罐對攻擊流量記錄發(fā)現，4月21日晚IP地址為202.106.222.26的用戶(hù)對該蜜罐102端口掃描222次，對44818端口掃描70余次，如圖3所示。

圖3 某IP地址對蜜罐的掃描記錄

經(jīng)對數據包按照時(shí)間順序進(jìn)行梳理分析，黑客首先通過(guò)SYN發(fā)送SYN掃描判斷44818端口開(kāi)放情況，如圖4所示，當探測到端口開(kāi)放狀態(tài)后，與蜜罐系統建立PSH數據通信鏈路，如圖5所示，并建立Ethernet/IP通信獲取session，如圖6所示，進(jìn)而利用session查詢(xún)設備信息，如圖7所示。

圖4 黑客發(fā)送SYN數據包探測端口開(kāi)放情況

圖5 黑客與蜜罐系統建立PSH數據通信鏈路

圖6 黑客獲取蜜罐系統session信息

圖7 黑客通過(guò)系統session信息查詢(xún)設備信息

3.3 蜜罐應用情況

根據威脅誘捕系統統計數據，單個(gè)工控蜜罐平均每周可捕獲2000余次攻擊事件，有來(lái)自120余個(gè)國家和地區對蜜罐系統發(fā)起過(guò)網(wǎng)絡(luò )探測與攻擊，其中攻擊源IP地址地理分布排前5位的分別是美國、中國、荷蘭、俄羅斯、英國，攻擊占比如圖8所示。

圖8 工控蜜罐捕獲的攻擊源分布情況

攻擊次數最多的前5名IP地址如表3所示，這些IP地址主要集中在美國、歐洲等發(fā)達國家和地區，發(fā)起過(guò)近千次網(wǎng)絡(luò )嗅探和攻擊行為。

表3 前5名境外攻擊IP列表

4 討論

工控蜜罐作為直接面向黑客攻擊的對抗性技術(shù)手段之一，在態(tài)勢感知等領(lǐng)域取得了較好的應用效果。但是與傳統網(wǎng)絡(luò )服務(wù)蜜罐相比，工控蜜罐的應用與發(fā)展還存在一定困難，主要體現在以下3個(gè)方面：

（1）高交互工控蜜罐耗費大量資源，維護成本較高。蜜罐為了構建真實(shí)運行的仿真環(huán)境，往往需要引入實(shí)物系統或設備。工業(yè)控制系統及設備成本高且難以復用，即使同類(lèi)的工控設備在功能、協(xié)議、指令等方面也是千差萬(wàn)別，維護工作較為復雜。

（2）純虛擬工控蜜罐仿真能力有限，極易被黑客識別。目前研發(fā)應用的純虛擬工控蜜罐只對工控協(xié)議進(jìn)行底層模擬仿真，且大部分已經(jīng)開(kāi)源，極易被如shodan、zoomeye等網(wǎng)絡(luò )空間搜索引擎或黑客發(fā)現，難以收集有效的攻擊數據。

（3）工控設備種類(lèi)繁多且工控協(xié)議多為私有，單一種類(lèi)的工控蜜罐難以滿(mǎn)足應用需求。工業(yè)控制系統、工業(yè)協(xié)議種類(lèi)繁多，單一形式的工控蜜罐難以囊括多種工控設備的仿真的需求，為工控蜜罐應用帶來(lái)一定阻力。

綜合以上討論，結合工控蜜罐技術(shù)應用方向，工控蜜罐技術(shù)可在以下方向開(kāi)展進(jìn)一步研究：

（1）工控蜜罐應與新技術(shù)應用緊密融合，完善升級模擬仿真與威脅溯源能力。當前人工智能、區塊鏈、邊緣計算等新技術(shù)發(fā)展迅猛，并在傳統網(wǎng)絡(luò )安全領(lǐng)域取得了優(yōu)秀的應用成果。工控蜜罐融合新一代信息技術(shù)，強化模擬仿真、用戶(hù)交互、威脅溯源等功能，進(jìn)一步發(fā)揮工控蜜罐的防御優(yōu)勢。

（2）進(jìn)一步挖掘工控蜜罐捕獲數據應用, 開(kāi)展工業(yè)信息安全威脅深入追蹤與分析研究。工控蜜罐作為主動(dòng)防御技術(shù)，誘捕收集的攻擊數據具有很高的參考價(jià)值，可反映出黑客組織的攻擊意圖。在網(wǎng)絡(luò )流量、主動(dòng)探測、安全日志、情報信息等數據的基礎上，結合工控蜜罐誘捕數據，能夠更加深入的分析工業(yè)信息安全態(tài)勢，形成全方位的監測能力。

5 結束語(yǔ)

工控蜜罐技術(shù)發(fā)展至今，已經(jīng)成為網(wǎng)絡(luò )安全研究人員對工業(yè)控制系統安全進(jìn)行風(fēng)險監測、態(tài)勢分析、追蹤溯源的主要技術(shù)手段之一，其主動(dòng)防御的思想為現代工業(yè)信息安全態(tài)勢感知體系建設提供了強有力的支撐。本論文首先介紹了蜜罐技術(shù)背景，梳理蜜罐及工控蜜罐的發(fā)展歷程，并結合工控蜜罐在國家工業(yè)信息安全監測與態(tài)勢感知平臺威脅誘捕系統中的應用，分析蜜罐的重大作用，最后對工控蜜罐技術(shù)研究及發(fā)展應用存在的問(wèn)題進(jìn)行了討論，闡述了下一步研究重點(diǎn)。

參考文獻：

[1] 郭嫻,張慧敏,等.2019年工業(yè)信息安全態(tài)勢展望[J].中國信息安全,2019,12(4):51–52.

[2] Spitzner L.Honeypots:Tracking Hackers[M].Boston:Addison-Wesley Longman Publishing Co.,Inc.,2002.

[3] 諸葛建偉,唐勇,等.蜜罐技術(shù)研究與應用進(jìn)展[J].軟件學(xué)報,2013,24(4):825–842.

[4] Iyatiti Mokube,Michele Adams.Honeypots:Concepts,Approaches,and Challenges[C].USA:ACMSE,2007.

[5] Vasilomanolakis,Emmanouil,etal.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C].IEEE/IFIP Workshopon Security for Emerging Distributed Network Technologies IEEE, 2016.

[6] Xiao,Feng,E.Chen,andQ.Xu.S7commTrace:A High Interactive Honeypot for Industrial Control System Based on S7 Protocol[M].Information and Communications Security. 2018.

[7] 丁程鵬.船舶網(wǎng)絡(luò )蜜罐技術(shù)研究[D].江蘇:江蘇科技大學(xué),2019:23-45.

[8] DPliatsios,P Sarigiannidis,et al.A Novel and Interactive Industrial Control System Honeypotfor Critical Smart Grid Infrastructure[C].2019 IEEE 24th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks(CAMAD),2019.

[9] 楊佳寧,陳柯宇,郭嫻,等.工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知核心技術(shù)分析[J].信息安全與技術(shù),2019,010(004):61-66.

作者簡(jiǎn)介：

陳柯宇（1992-），男，漢族，新疆伊犁人，助理工程師，碩士，畢業(yè)于北京郵電大學(xué)，現就職于國家工業(yè)信息安全發(fā)展研究中心，主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。

楊佳寧（1990-），男，漢族，山東臨沂人，工程師，碩士，畢業(yè)于北京航空航天大學(xué)，現就職于國家工業(yè)信息安全發(fā)展研究中心，主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。

郭 嫻（1984-），女，漢族，湖南衡陽(yáng)人，高級工程師，博士，畢業(yè)于中國科學(xué)院高能物理研究所，現就職于國家工業(yè)信息安全發(fā)展研究中心，主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。

摘自《自動(dòng)化博覽》2020年6月刊