今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著工業(yè)化與信息化的融合發(fā)展,聯(lián)網(wǎng)工控系統(tǒng)和設(shè)備數(shù)量持續(xù)上升,網(wǎng)絡(luò)攻擊手段復(fù)雜多變、重大安全事件頻繁發(fā)生,不斷敲響了工業(yè)信息安全警鐘。工業(yè)控制系統(tǒng)蜜罐技術(shù)作為被動(dòng)誘捕手段之一,能夠有效捕獲針對(duì)工業(yè)控制系統(tǒng)發(fā)起的網(wǎng)絡(luò)攻擊數(shù)據(jù),進(jìn)而分析攻擊手段,剖析黑客活動(dòng)趨勢(shì),在工控安全態(tài)勢(shì)感知領(lǐng)域有著極高的實(shí)用價(jià)值。本文結(jié)合國(guó)家工控安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)應(yīng)用結(jié)果,分析工控蜜罐的具體作用及功能,并闡述當(dāng)前工控蜜罐遇到的問(wèn)題及下一步研究方向。
關(guān)鍵詞:工控安全;工控蜜罐;態(tài)勢(shì)感知
Abstract:With the integration and development of industrialization and informatization,the number of networked industrial control systems and equipment continues to rise, network attack methods are complex and changeable, and major security incidents occur frequently, which constantly sounds the alarm of industrial information security. As one of the passive entrapment methods, the ICS honeypot technology can effectively capture the network attack data launched against the industrial control system,and then analyze the attack method and the trend of hacker activities. It has extremely high practical value in the field of industrial control security situation awareness. This paper analyzes the specific functions of the ICS honeypot from the perspective of industrial control security situation awareness, combined with the application results of the national industrial information security monitoring and situational awareness platform, and expounds the current problems encountered by the ICS honeypot and the next research directions.
Key words: Industrial control system security; ICS honeypot; Situational awareness
1 引言
云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)正加速推進(jìn)工業(yè)化與信息化的融合進(jìn)程,工業(yè)互聯(lián)網(wǎng)時(shí)代下,數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展趨勢(shì)使得越來(lái)越多原 本處于封閉環(huán)境中的工業(yè)控制設(shè)備暴露于公共互聯(lián)網(wǎng),直面來(lái)自互聯(lián)網(wǎng)的攻擊威脅[1]。為應(yīng)對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),及時(shí)洞悉工業(yè)控制系統(tǒng)及設(shè)備面臨的安全風(fēng)險(xiǎn),研判分析、精準(zhǔn)預(yù)測(cè)整體安全狀況,工控安全態(tài)勢(shì)感知技術(shù)研究正成為安全領(lǐng)域的一大研究熱點(diǎn)。
蜜罐是一種新型的主動(dòng)防御技術(shù),通過(guò)偽裝成看似有利用價(jià)值的設(shè)備、系統(tǒng)等吸引網(wǎng)絡(luò)黑客對(duì)其發(fā)起攻擊,經(jīng)捕獲和分析攻擊行為,了解攻擊工具與方法,推測(cè)攻擊者意圖和動(dòng)機(jī)。蜜罐技術(shù)的出現(xiàn),扭轉(zhuǎn)了網(wǎng)絡(luò)攻防的不對(duì)稱(chēng)局面,在傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域取得了較多成功的應(yīng)用案例。結(jié)合工控安全技術(shù)特點(diǎn),將蜜罐技術(shù)應(yīng)用于工控安全態(tài)勢(shì)感知,有效獲取針對(duì)工業(yè)控制系統(tǒng)及設(shè)備發(fā)起的網(wǎng)絡(luò)攻擊數(shù)據(jù),分析攻擊手段,剖析黑客活動(dòng)趨勢(shì),有著極高的實(shí)用價(jià)值。
2 工業(yè)控制系統(tǒng)蜜罐技術(shù)概述
2.1 蜜罐技術(shù)發(fā)展進(jìn)程
世界上第一個(gè)被公開(kāi)使用的蜜罐系統(tǒng)是美國(guó)著名計(jì)算機(jī)安全專(zhuān)家Fred Cohen于1998年研發(fā)的DTK(Deception Tool Kit)[2],旨在誘導(dǎo)攻擊者對(duì)存在大量安全漏洞的DTK系統(tǒng)發(fā)動(dòng)網(wǎng)絡(luò)攻擊,Cohen的研究工作為蜜罐技術(shù)的發(fā)展奠定了基礎(chǔ)。2000年計(jì)算機(jī)蠕蟲(chóng)病毒大爆發(fā),研究人員發(fā)現(xiàn)蜜罐系統(tǒng)在捕獲網(wǎng)絡(luò)傳播的蠕蟲(chóng)病毒樣本、判定傳播趨勢(shì)、溯源攻擊黑客等方面有著無(wú)可替代的作用。此后蜜罐技術(shù)得到廣泛關(guān)注,出現(xiàn)了大量開(kāi)源蜜罐系統(tǒng)。
蜜罐技術(shù)發(fā)展到現(xiàn)在,已出現(xiàn)多種成熟的蜜罐工具。一套成熟的蜜罐系統(tǒng)通常由核心模塊和輔助模塊兩部分組成[3]:核心功能模塊是誘騙與監(jiān)測(cè)攻擊方的必需組件,具備構(gòu)建仿真環(huán)境、捕獲攻擊數(shù)據(jù)以及威脅分析等功能;輔助模塊是蜜罐系統(tǒng)擴(kuò)展需求,包含系統(tǒng)安全風(fēng)險(xiǎn)控制、配置與管理、反蜜罐偵查等功能。
2.2 蜜罐分類(lèi)
按照為攻擊方提供的交互程度可劃分,蜜罐系統(tǒng)可分為低交互性蜜罐、中交互蜜罐和高交互性蜜罐,如表1所示[4]。低交互性蜜罐通過(guò)編程軟件構(gòu)建偽裝的系統(tǒng)運(yùn)行環(huán)境,提供簡(jiǎn)單的服務(wù)模擬,交互程度較低;中交互蜜罐以軟件模擬方式搭建,可模擬較為復(fù)雜的系統(tǒng)服務(wù),為攻擊者提供較好的交互環(huán)境,可捕獲更多的信息數(shù)據(jù);高交互蜜罐一般采用真實(shí)系統(tǒng)搭建,交互程度高,但由于黑客的攻擊行為可對(duì)蜜罐本身造成損壞,因此安全風(fēng)險(xiǎn)最大。
表1 不同交互度蜜罐比較
2.3 工控蜜罐研究進(jìn)展
隨著信息技術(shù)的發(fā)展,出現(xiàn)了針對(duì)不同業(yè)務(wù)應(yīng)用場(chǎng)景的蜜罐系統(tǒng),如:web蜜罐、數(shù)據(jù)庫(kù)蜜罐、移動(dòng)應(yīng)用蜜罐、IoT蜜罐等。工控蜜罐作為面向工業(yè)控制、工業(yè)生產(chǎn)業(yè)務(wù)環(huán)境的新一代蜜罐系統(tǒng)也得到了越來(lái)越多的關(guān)注,目前主流的工控蜜罐有Conpot、Snap7、CryPLH、XPOT等,如表2所示。
表2 常見(jiàn)工控系統(tǒng)蜜罐
近年來(lái),國(guó)內(nèi)外安全機(jī)構(gòu)紛紛針對(duì)工控蜜罐及其應(yīng)用場(chǎng)景開(kāi)展了系列研究。2016德國(guó)達(dá)姆施塔特工業(yè)大學(xué)在原移動(dòng)應(yīng)用蜜罐的基礎(chǔ)上進(jìn)一步開(kāi)發(fā)出HosTaGe工控蜜罐[5],支持Modbus等工業(yè)專(zhuān)有協(xié)議仿真;2017年,中國(guó)科學(xué)技術(shù)大學(xué)大數(shù)據(jù)分析與應(yīng)用重點(diǎn)實(shí)驗(yàn)室對(duì)標(biāo)西門(mén)子S7系列可編程邏輯控制器(PLC),開(kāi)發(fā)出高交互工控蜜罐S7commTrace并取得了較好的應(yīng)用效果[6];2019年,江蘇科技大學(xué)網(wǎng)絡(luò)與信息安全團(tuán)隊(duì)開(kāi)發(fā)出基于S7、snmp等協(xié)議,應(yīng)用于船舶領(lǐng)域的工控蜜罐[7];2019年希臘馬其頓大學(xué)研發(fā)針對(duì)電網(wǎng)基礎(chǔ)設(shè)施的蜜罐系統(tǒng)[8],并開(kāi)展了相關(guān)試驗(yàn)驗(yàn)證工作。
2.4 工控蜜罐的功能
工控蜜罐的主要功能包括:
(1)收集分析互聯(lián)網(wǎng)上針對(duì)工業(yè)控制系統(tǒng)發(fā)起的惡意行為,在大規(guī)模攻擊之前提前感知風(fēng)險(xiǎn),判斷攻擊趨勢(shì);
(2)分散黑客注意力,誘導(dǎo)攻擊者對(duì)蜜罐系統(tǒng)發(fā)動(dòng)網(wǎng)絡(luò)攻擊,從而保護(hù)真實(shí)的工業(yè)控制系統(tǒng)健康運(yùn)行,避免對(duì)工業(yè)生產(chǎn)造成破壞;
(3)高交互蜜罐可誘使攻擊者發(fā)動(dòng)真實(shí)攻擊,挖掘分析工業(yè)控制系統(tǒng)零日漏洞。
3 工控蜜罐在工控安全態(tài)勢(shì)感知領(lǐng)域的應(yīng)用
“態(tài)勢(shì)感知”的概念最早用于軍事領(lǐng)域,主要是指在特定時(shí)空下對(duì)動(dòng)態(tài)環(huán)境中各元素或?qū)ο蟮挠X(jué)察、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,“態(tài)勢(shì)感知”的應(yīng)用情景更傾向于網(wǎng)絡(luò)安全,通過(guò)廣泛采集和匯聚廣域網(wǎng)中的安全狀態(tài)和事件信息,加以處理、分析和展現(xiàn),從而明確當(dāng)前網(wǎng)絡(luò)的總體安全狀況,為大范圍的預(yù)警和響應(yīng)提供決策支持。為應(yīng)對(duì)當(dāng)前工控安全面臨的嚴(yán)峻形勢(shì)和挑戰(zhàn),國(guó)家工業(yè)信息安全發(fā)展研究中心利用主動(dòng)監(jiān)測(cè)、被動(dòng)誘捕、流量分析、企業(yè)側(cè)采集、大數(shù)據(jù)挖掘等技術(shù)手段,建設(shè)國(guó)家工業(yè)信息安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái),有效感知全國(guó)工業(yè)信息安全整體態(tài)勢(shì),形成全天候、全方位工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知能力,其中利用工控蜜罐建設(shè)的威脅誘捕系統(tǒng),為整體感知工業(yè)控制系統(tǒng)信息安全態(tài)勢(shì)提供不可或缺的數(shù)據(jù)支持[9]。
3.1 系統(tǒng)架構(gòu)
通過(guò)工控蜜罐構(gòu)建的威脅誘捕系統(tǒng)框架如圖1所示。工控蜜罐的部署位置一般選取網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)或工業(yè)企業(yè)網(wǎng)絡(luò)出口處,根據(jù)蜜罐仿真模式,合理配置仿真的工業(yè)控制系統(tǒng)或服務(wù)協(xié)議,避免被網(wǎng)絡(luò)空間掃描引擎或有經(jīng)驗(yàn)的黑客組織輕易識(shí)別。當(dāng)蜜罐遭遇黑客攻擊后,會(huì)將攻擊數(shù)據(jù)發(fā)送至威脅誘捕系統(tǒng)進(jìn)行存儲(chǔ)、處理、分析,系統(tǒng)完成對(duì)攻擊數(shù)據(jù)的判定后,將攻擊行為進(jìn)行可視化展示,并將處理結(jié)果發(fā)送至態(tài)勢(shì)感知平臺(tái),為下一步整體安全態(tài)勢(shì)分析提供數(shù)據(jù)基礎(chǔ)。
圖1 工控蜜罐在威脅誘捕系統(tǒng)中的應(yīng)用
工控蜜罐工作原理如圖2所示,蜜罐系統(tǒng)由攻擊交互模塊和設(shè)備/服務(wù)仿真環(huán)境兩部分組成。攻擊交互模塊直接處理黑客與蜜罐的交互,通過(guò)流量重定向技術(shù),檢測(cè)攻擊流量中訪問(wèn)的目標(biāo)類(lèi)型,在嚴(yán)格過(guò)濾DDoS等高危操作后,將對(duì)應(yīng)攻擊流量導(dǎo)入適當(dāng)?shù)脑O(shè)備/服務(wù)仿真環(huán)境,并將初步分析結(jié)果發(fā)送至威脅誘捕系統(tǒng);設(shè)備/服務(wù)仿真環(huán)境在收到攻擊交互模塊發(fā)送的攻擊流量后,模擬系統(tǒng)被攻擊的真實(shí)反應(yīng),反饋至交互模塊,用于蜜罐與黑客的進(jìn)一步交互。
威脅誘捕系統(tǒng)通過(guò)分析工控蜜罐搜集的攻擊數(shù)據(jù),研判各類(lèi)攻擊要素,包括攻擊工具、惡意文件、攻擊來(lái)源、攻擊步驟等信息,如:攻擊者的IP、地理位置、探測(cè)工具等。
圖2 工控蜜罐工作原理示意圖
3.2 捕獲數(shù)據(jù)行為分析
以2020年4月工控蜜罐捕獲到的攻擊數(shù)據(jù)為例,該工控蜜罐為中交互蜜罐,模擬Ethernet/IP協(xié)議工控設(shè)備。通過(guò)分析工控蜜罐對(duì)攻擊流量記錄發(fā)現(xiàn),4月21日晚IP地址為202.106.222.26的用戶(hù)對(duì)該蜜罐102端口掃描222次,對(duì)44818端口掃描70余次,如圖3所示。
圖3 某IP地址對(duì)蜜罐的掃描記錄
經(jīng)對(duì)數(shù)據(jù)包按照時(shí)間順序進(jìn)行梳理分析,黑客首先通過(guò)SYN發(fā)送SYN掃描判斷44818端口開(kāi)放情況,如圖4所示,當(dāng)探測(cè)到端口開(kāi)放狀態(tài)后,與蜜罐系統(tǒng)建立PSH數(shù)據(jù)通信鏈路,如圖5所示,并建立Ethernet/IP通信獲取session,如圖6所示,進(jìn)而利用session查詢(xún)?cè)O(shè)備信息,如圖7所示。
圖4 黑客發(fā)送SYN數(shù)據(jù)包探測(cè)端口開(kāi)放情況
圖5 黑客與蜜罐系統(tǒng)建立PSH數(shù)據(jù)通信鏈路
圖6 黑客獲取蜜罐系統(tǒng)session信息
圖7 黑客通過(guò)系統(tǒng)session信息查詢(xún)?cè)O(shè)備信息
3.3 蜜罐應(yīng)用情況
根據(jù)威脅誘捕系統(tǒng)統(tǒng)計(jì)數(shù)據(jù),單個(gè)工控蜜罐平均每周可捕獲2000余次攻擊事件,有來(lái)自120余個(gè)國(guó)家和地區(qū)對(duì)蜜罐系統(tǒng)發(fā)起過(guò)網(wǎng)絡(luò)探測(cè)與攻擊,其中攻擊源IP地址地理分布排前5位的分別是美國(guó)、中國(guó)、荷蘭、俄羅斯、英國(guó),攻擊占比如圖8所示。
圖8 工控蜜罐捕獲的攻擊源分布情況
攻擊次數(shù)最多的前5名IP地址如表3所示,這些IP地址主要集中在美國(guó)、歐洲等發(fā)達(dá)國(guó)家和地區(qū),發(fā)起過(guò)近千次網(wǎng)絡(luò)嗅探和攻擊行為。
表3 前5名境外攻擊IP列表
4 討論
工控蜜罐作為直接面向黑客攻擊的對(duì)抗性技術(shù)手段之一,在態(tài)勢(shì)感知等領(lǐng)域取得了較好的應(yīng)用效果。但是與傳統(tǒng)網(wǎng)絡(luò)服務(wù)蜜罐相比,工控蜜罐的應(yīng)用與發(fā)展還存在一定困難,主要體現(xiàn)在以下3個(gè)方面:
(1)高交互工控蜜罐耗費(fèi)大量資源,維護(hù)成本較高。蜜罐為了構(gòu)建真實(shí)運(yùn)行的仿真環(huán)境,往往需要引入實(shí)物系統(tǒng)或設(shè)備。工業(yè)控制系統(tǒng)及設(shè)備成本高且難以復(fù)用,即使同類(lèi)的工控設(shè)備在功能、協(xié)議、指令等方面也是千差萬(wàn)別,維護(hù)工作較為復(fù)雜。
(2)純虛擬工控蜜罐仿真能力有限,極易被黑客識(shí)別。目前研發(fā)應(yīng)用的純虛擬工控蜜罐只對(duì)工控協(xié)議進(jìn)行底層模擬仿真,且大部分已經(jīng)開(kāi)源,極易被如shodan、zoomeye等網(wǎng)絡(luò)空間搜索引擎或黑客發(fā)現(xiàn),難以收集有效的攻擊數(shù)據(jù)。
(3)工控設(shè)備種類(lèi)繁多且工控協(xié)議多為私有,單一種類(lèi)的工控蜜罐難以滿足應(yīng)用需求。工業(yè)控制系統(tǒng)、工業(yè)協(xié)議種類(lèi)繁多,單一形式的工控蜜罐難以囊括多種工控設(shè)備的仿真的需求,為工控蜜罐應(yīng)用帶來(lái)一定阻力。
綜合以上討論,結(jié)合工控蜜罐技術(shù)應(yīng)用方向,工控蜜罐技術(shù)可在以下方向開(kāi)展進(jìn)一步研究:
(1)工控蜜罐應(yīng)與新技術(shù)應(yīng)用緊密融合,完善升級(jí)模擬仿真與威脅溯源能力。當(dāng)前人工智能、區(qū)塊鏈、邊緣計(jì)算等新技術(shù)發(fā)展迅猛,并在傳統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域取得了優(yōu)秀的應(yīng)用成果。工控蜜罐融合新一代信息技術(shù),強(qiáng)化模擬仿真、用戶(hù)交互、威脅溯源等功能,進(jìn)一步發(fā)揮工控蜜罐的防御優(yōu)勢(shì)。
(2)進(jìn)一步挖掘工控蜜罐捕獲數(shù)據(jù)應(yīng)用, 開(kāi)展工業(yè)信息安全威脅深入追蹤與分析研究。工控蜜罐作為主動(dòng)防御技術(shù),誘捕收集的攻擊數(shù)據(jù)具有很高的參考價(jià)值,可反映出黑客組織的攻擊意圖。在網(wǎng)絡(luò)流量、主動(dòng)探測(cè)、安全日志、情報(bào)信息等數(shù)據(jù)的基礎(chǔ)上,結(jié)合工控蜜罐誘捕數(shù)據(jù),能夠更加深入的分析工業(yè)信息安全態(tài)勢(shì),形成全方位的監(jiān)測(cè)能力。
5 結(jié)束語(yǔ)
工控蜜罐技術(shù)發(fā)展至今,已經(jīng)成為網(wǎng)絡(luò)安全研究人員對(duì)工業(yè)控制系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)、態(tài)勢(shì)分析、追蹤溯源的主要技術(shù)手段之一,其主動(dòng)防御的思想為現(xiàn)代工業(yè)信息安全態(tài)勢(shì)感知體系建設(shè)提供了強(qiáng)有力的支撐。本論文首先介紹了蜜罐技術(shù)背景,梳理蜜罐及工控蜜罐的發(fā)展歷程,并結(jié)合工控蜜罐在國(guó)家工業(yè)信息安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)威脅誘捕系統(tǒng)中的應(yīng)用,分析蜜罐的重大作用,最后對(duì)工控蜜罐技術(shù)研究及發(fā)展應(yīng)用存在的問(wèn)題進(jìn)行了討論,闡述了下一步研究重點(diǎn)。
參考文獻(xiàn):
[1] 郭嫻,張慧敏,等.2019年工業(yè)信息安全態(tài)勢(shì)展望[J].中國(guó)信息安全,2019,12(4):51–52.
[2] Spitzner L.Honeypots:Tracking Hackers[M].Boston:Addison-Wesley Longman Publishing Co.,Inc.,2002.
[3] 諸葛建偉,唐勇,等.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào),2013,24(4):825–842.
[4] Iyatiti Mokube,Michele Adams.Honeypots:Concepts,Approaches,and Challenges[C].USA:ACMSE,2007.
[5] Vasilomanolakis,Emmanouil,etal.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C].IEEE/IFIP Workshopon Security for Emerging Distributed Network Technologies IEEE, 2016.
[6] Xiao,Feng,E.Chen,andQ.Xu.S7commTrace:A High Interactive Honeypot for Industrial Control System Based on S7 Protocol[M].Information and Communications Security. 2018.
[7] 丁程鵬.船舶網(wǎng)絡(luò)蜜罐技術(shù)研究[D].江蘇:江蘇科技大學(xué),2019:23-45.
[8] DPliatsios,P Sarigiannidis,et al.A Novel and Interactive Industrial Control System Honeypotfor Critical Smart Grid Infrastructure[C].2019 IEEE 24th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks(CAMAD),2019.
[9] 楊佳寧,陳柯宇,郭嫻,等.工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知核心技術(shù)分析[J].信息安全與技術(shù),2019,010(004):61-66.
作者簡(jiǎn)介:
陳柯宇(1992-),男,漢族,新疆伊犁人,助理工程師,碩士,畢業(yè)于北京郵電大學(xué),現(xiàn)就職于國(guó)家工業(yè)信息安全發(fā)展研究中心,主要研究方向?yàn)楣た匕踩⒐I(yè)互聯(lián)網(wǎng)安全等。
楊佳寧(1990-),男,漢族,山東臨沂人,工程師,碩士,畢業(yè)于北京航空航天大學(xué),現(xiàn)就職于國(guó)家工業(yè)信息安全發(fā)展研究中心,主要研究方向?yàn)楣た匕踩⒐I(yè)互聯(lián)網(wǎng)安全等。
郭 嫻(1984-),女,漢族,湖南衡陽(yáng)人,高級(jí)工程師,博士,畢業(yè)于中國(guó)科學(xué)院高能物理研究所,現(xiàn)就職于國(guó)家工業(yè)信息安全發(fā)展研究中心,主要研究方向?yàn)楣た匕踩⒐I(yè)互聯(lián)網(wǎng)安全等。
摘自《自動(dòng)化博覽》2020年6月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)