1、学术论文DOl:10.12379/j.issn.2096-1057.2024.04.06ResearchPapers基于仿真的工控蜜罐研究进展与挑战颜欣畔李昕张博”付安民1(南京理工大学网络空间安全学院江苏江阴(北京计算机技术及应用研究所北京100854)3(南京理工大学计算机科学与工程学院南京210094)()Research Progress and Challenge of Industrial Control SystemsHoneypot Based on SimulationYan Xinyel,Li Xin”,Zhang Bo,and Fu Anminl.3I(School of
2、 Cyber Science and Engineering,Nanjing University of Science and Technology,Jiangyin,Jiangsu214443)2(Beijing Institute of Com puter Technology and Application,Beijing 100854)3(School of Computer Science and Engineering,Nanjing University of Science and Technology,Nanjing 210094)Abstract With the rap
3、id development of the industrial Internet,attacks against industrial controlsystems have emerged one after another,causing serious consequences such as industrialinfrastructure paralysis,production interruptions,economic losses,and personal injury.Honeypotfor industrial control system is one kind of
4、 deceptive tools which can lure attackers and masqueradeas genuine systems to provide access privileges,thus deceiving attackers into conductingsubsequent attacks and safeguarding the actual industrial control systems.This paper conducts anin-depth analysis of the current research status of industri
5、al honeypots,providing definitions andcharacteristics of industrial honeypots.It particularly focuses on various types of simulation-basedindustrial honeypots,including protocol-based simulation honeypots,structure-based simulationhoneypots,simulation-tool-based honeypots,vulnerability-based simulat
6、ion honeypots,and hybridsimulation honeypots,comprehensively analyzing the research progress in simulation-basedindustrial honeypots.Finally,the challenges and future development directions in the simulationand emulation progress of industrial honeypots are discussed and analyzed.Key words ICS secur
7、ity;honeypot;ICS protocol;programmable logic controller;ICS simulation摘要随着工业互联网的快速发展,针对工业控制系统的攻击层出不穷,造成工业基础设施瘫痪、生产中断、经济损失和人身伤害等严重后果.工控蜜罐是一种欺骗工具,可以作为诱饵吸引攻击者并伪装成真实系统提供访问权限,以诱骗攻击者进行下一步攻击,保护真正的工业控制系统.针对工控蜜罐研究现状进行了深入分析,给出了工控蜜罐的定义及其特征,并重点从基于协议模拟的工控蜜罐、基于结构仿真的工控蜜罐、基于模拟工具的工控蜜罐、基于漏洞模拟的工控蜜罐以及基于混合模收稿日期:2 0 2 3-
8、0 7-0 7基金项目:国家自然科学基金项目(6 2 0 7 2 2 39,6 2 37 2 2 36);未来网络科研基金项目(FNSRFP-2021-ZD-05)引用格式:颜欣哗,李昕,张博,等.基于仿真的工控蜜罐研究进展与挑战 J.信息安全研究,2 0 2 4,10(4):32 5-334214443)网址htp:/1325信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.2024拟的工控蜜罐等方面全面分析了基于仿真的工控蜜罐研究进展情况.最后,讨论和分析了当前工控蜜罐仿真模拟过程中面临
9、的挑战和未来发展方向.关键词工控安全;蜜罐;工控协议;可编程逻辑控制器;工控仿真中图法分类号TP393.08工业控制系统又称工控系统 1,是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统.随着工业互联网的快速发展,工业控制系统的安全风险也越来越突出.攻击者可以通过网络攻击人侵工控系统,例如通过漏洞或社会工程学技巧诱骗用户安装恶意软件.攻击者还可以通过绕过访问控制和身份验证获取系统的访问权限.针对工控系统的攻击可能导致工业基础设施瘫痪、生产中断、经济损失和人身伤害等不良后果 2 ,已对国家安全和经济稳定构成了严
10、重威胁 3。2021年,攻击者攻破了美国佛罗里达州一个水处理厂的控制系统,并试图大幅提高住宅和商业饮用水中的氢氧化钠含量占比,使公众生命安全面临威胁.2 0 2 2 年,黑客组织Anonymou人侵了白俄罗斯铁路的内部网络,并关闭了其内部网络的所有服务.该攻击对铁路列车的运营秩序和乘客的人身安全都造成极大危害。工控系统具有多方面重要意义,因此需要采取措施保证工控系统安全.传统的安全措施包括网络防火墙、人侵检测系统和访问控制等,但这些方法往往只能进行被动防御,无法完全解决工控系统安全问题.基于这样的形势,工控蜜罐作为一种具有欺骗性的解决方案,受到了越来越多的关注.它能够模拟真实工控环境,吸引攻击
11、者进人,提供安全监测和攻击情报收集能力,在应对零日漏洞或新型攻击方式时具有优势.工控蜜罐的目标是吸引攻击者发起攻击,监测攻击者行为并收集相关信息,为后续安全防御提供参考 。本文在对工控蜜罐方案进行研究的基础上,首先简要介绍了蜜罐、蜜网的定义以及相关特性,然后讨论了工控蜜罐方案的评估现状,并根据工控蜜罐仿真的方式全面分析了基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案以3261及基于漏洞模拟的方案,从方案和仿真方式2 个层面进行了对比与评估,分析了当前工控蜜罐仿真模拟过程面临的挑战.最后,对工控蜜罐仿真方案未来的研究方向进行了讨论和展望。1工控蜜罐特点分析1.1蜜罐及其特性1.1.1
12、蜜罐与蜜网蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或信息,诱使攻击方实施攻击,从而对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,并通过技术和管理手段增强实际系统的安全防护能力 5.蜜网的定义较宽泛,以一个蜜罐为基础搭建一套网络拓扑即可视为蜜网.蜜网可以按照真实环境构建,为攻击者提供更丰富的人侵接口和更真实的攻击环境,并记录攻击者的具体攻击过程。目前各类蜜罐技术方案并不具备统一的功能标准,采取的诱骗方式、仿真模拟的内容以及实现的功能均有不同的侧重点.综合来看,一个理想的蜜罐方案应该包含3个主要功能,即仿真交互、数据收集和安全控制,其
13、基本结构如图1所示:攻击者可见攻击者不可见安全控制安全防护攻击者恶意连接仿真交互仿真信息威胁记录攻击面图1蜜罐模型结构仿真交互是蜜罐技术中至关重要的功能.它模拟真实计算机系统或系统的部分功能模块,诱骗攻击者发起行动,以有效地捕获攻击行为和发现数据收集管理面学术论文.ResearchPapers安全威胁.为了实现仿真交互,蜜罐通常会模拟受保护系统的各种协议、数据包以及部分功能模块。仿真交互使攻击者将蜜罐误认为真实系统发起攻击,从而有效地捕获攻击行为,为后续的数据收集和安全控制提供支持。数据收集的目的是记录攻击者的所有活动,以便了解攻击方法、推测攻击意图、分析安全威胁以及支持攻击取证.通常收集3类
14、关键数据:防火墙日志(人站出站连接)、网络流量(数据包及其有效负载)和系统活动(攻击者的输入、系统调用、修改的文件等).此外,蜜罐系统为了诱发攻击行动,往往配置较弱的安全措施,因此蜜罐捕获的所有数据需要及时转发到集中的安全数据库中。安全控制主要用于流量控制和监控蜜罐状态.在流量控制方面,蜜罐通常使用防火墙或其他网络安全设备限制流量进出,从而防止攻击者对蜜罐进行横向渗透或者攻陷蜜罐成为跳板进行外部攻击 7.在监控蜜罐状态方面,一旦发现攻击者利用蜜罐发起攻击行为,蜜罐系统立刻采取措施阻止攻击并回滚至良好状态,避免被攻击者利用展开后续攻击.此外,安全控制还需要保证蜜罐的完整性和可用性,在攻击者占用过
15、多资源或发起破坏性行动时及时恢复蜜罐系统,保障蜜罐的正常运行.1.1.2蜜罐的特性自蜜罐概念首次提出至今,其应用领域不断拓展和深人,逐渐表现出多种特性 8 .如表1所示:表1蜜罐的特性特性释义交互性蜜罐的交互能力角色蜜罐在多层体系结构中的位置蜜罐系统是否具有模拟动态数量扩展性设备或服务的能力资源类型蜜罐的实现形式适应性蜜罐自适应环境重新配置的能力主要特性包括交互性、角色、扩展性、资源类型和适应性5种。1)交互性 9 :指蜜罐的交互能力.交互能力极大地影响蜜罐在仿真模拟中表现出来的真实性.根据交互性由弱到强,可以将蜜罐划分为低、中和高交互蜜罐10 7.2)角色 11:指蜜罐在多层体系结构中的位置
16、.根据角色可将蜜罐分为服务器蜜罐和客户端蜜罐.服务器蜜罐通过模拟服务器端的软硬件吸引攻击者,检测和监控攻击行为,一般被动地等待攻击的到来.客户端蜜罐则具有主动性,可以模拟浏览恶意网站、下载文件等操作,从而引诱攻击者接触蜜罐.3)扩展性:指蜜罐模拟的设备或服务的数量能否动态变化.根据扩展性可将蜜罐分为可扩展蜜罐和不可扩展蜜罐.不可扩展的蜜罐只具备固定数量(1个或多个)诱饵的仿真模拟能力,如XPOTL121;而可扩展蜜罐可以动态地部署多个诱饵,如 IoTCandyJar131.4)资源类型 14:指蜜罐的实现形式,也就是蜜罐作为诱饵的实际存在状态.根据资源类型可将蜜罐分为物理蜜罐、虚拟蜜罐和混合蜜
17、罐3类.物理蜜罐是指运行在真实物理机器上的控制系统,具有高交互性和真实性.但单个物理蜜罐只有1个IP地址,在大规模系统中为每个IP地址或设备部署物理蜜罐代价过高.而虚拟蜜罐使用虚拟系统作为诱饵,可以在1台物理机器上同时托管多个虚拟IP地址.混合蜜罐将两者结合,在与攻击者交互时优先使用虚拟蜜罐进行欺骗,当仿真响应欺骗划分方向性不足时由物理设备进行弥补.高交互5)适应性:指蜜罐在变化的环境中自适应地中交互改变配置的能力,分为静态型蜜罐和动态型蜜罐.低交互静态型蜜罐需要事先手动配置,无法适应人侵事服务器端件的实时变化.相比之下,动态蜜罐能够实时适应客户端特定的事件和环境变化,提高蜜罐的诱骗效果,为可
18、扩展系统提供更好的安全保障。不可扩展1.2工控蜜罐与评估物理1.2.1二工控蜜罐虚拟随着工业化程度的不断提高,工控系统的规混合模越来越大,功能越来越复杂.工控系统组件包括动态数据采集与监视控制(supervisory control and静态data acquisition,SC A D A)系统 15 和可编程逻辑网址http:/1327信息安全研究第10 卷第4期2 0 2 4年4月Journalot Informatien Security ResearchVol.10No.4Apr.2024控制器(programmable logic controller,PLC)16等.工控蜜罐的
19、目标可以是仿真工控系统的某一个组件,也可以是构建大型仿真系统模拟整个工控系统.工控蜜罐的基础是通用型蜜罐.不过,工控蜜罐相比通用型蜜罐存在一些明显区别,主要包括以下3个方面:1)工控蜜罐和通用型蜜罐的保护对象不同.通用型蜜罐的保护对象通常是操作系统和程序等虚拟资源,目标是更好地提升系统的安全性 17 .而工控系统复杂庞大,架构方式各异,各个设备独立且设备本身就具有价值.因此,工控蜜罐专注于保护实际物理世界中的设备。2)工控蜜罐面对的攻击相较于通用型蜜罐更具专业性.工控系统攻击者通常需要具备工业控制和自动化的专业知识,了解特定的工业协议和设备,熟悉控制系统的操作 18 .此外,攻击者还需要了解工
20、控网络的拓扑结构,找到弱点从而顺利人侵系统.这样强大的攻击者具有高度危险性和强诱饵识别能力.因此,工控蜜罐一般需要考虑强欺骗性的高交互方案。3)工控蜜罐具有高度的定制化需求.工控环境通常由多种类型的工控设备组成,不同设备的结构和设备间通信都具有较大差异性,因此工控蜜罐需要模拟不同型号工控设备支持的协议和不同模块的通信原理,以满足特定的仿真需求.定制化的仿真使得攻击者更难以区分真实工控系统和蜜罐,并进一步降低攻击成功率。1.2.2工控蜜罐评估现有的工控蜜罐方案具有不同的性质、功能和模拟方式.目前,对于工控蜜罐的评估仍缺乏统一的衡量标准.绝大多数工控蜜罐方案在实验评估阶段将工控蜜罐暴露在公网上,根
21、据捕获到恶意流量的数量评估蜜罐的能力,部分工控蜜罐方案会对这些恶意流量的攻击方式、来源等作进一步分析 19 .不过,仅仅根据捕获到的恶意流量数量评估工控蜜罐方案是片面的,因为部署位置、部署时长等因素都可能对捕捉到的恶意流量的数量造成影响。改进型的工控蜜罐方案常常采取对比的评估方式.改进型方案一般是针对之前蜜罐方案的不足作出改进后形成的新方案,因此需要和基础方案3281进行对比实验.例如,文献 2 0 与基础方案的对比结果充分显示了其在原方案基础上的改进效果.不过,这无法说明此方案相较于其他众多方案的优势.工控蜜罐需要更丰富的评估指标。在评估中可以定义工控蜜罐需要具备的各种性质,并将满足的性质种
22、类数量作为衡量工控蜜罐方案技术水平的指标.工控蜜罐的指纹、数据捕获、欺骗性和智能等属性 2 1 都可以衡量蜜罐水平。除此之外,实时性、可扩展性、易用性等都可以作为评估工控蜜罐方案的参考指标.欺骗性是工控蜜罐最重要的特性之一,但是难以进行数值化的评估.这是因为欺骗性是基于对攻击者心理预期的理解,需要根据具体的情境和攻击目标来设计和实现.在HoneyPLC22的实验评估中使用了Nmap23和Shodan24 2种可对欺骗性进行量化的评估工具对IP地址进行可信度评估并打分.这种方式能够量化地评估工控蜜罐的欺骗性,使用统一工具扫描也会使对比结果更可靠。2基基于仿真的工控蜜罐分析目前的工控蜜罐方案大致可
23、以分成基于真实设备的工控蜜罐方案和基于仿真的工控蜜罐方案.其中,基于真实设备的工控蜜罐方案普遍的研究目的是分析捕获到的恶意样本 2 5.本文重点关注工控蜜罐的结构设计与实现方法,对基于仿真的工控蜜罐方案进行深人分析,并将其分类为基于协议模拟的方案、基于结构仿真的方案、基于模拟工具的方案、基于漏洞模拟的方案和基于混合模拟的方案,本节将介绍各个类别的代表性方案并进行对比。2.1基于协议模拟的工控蜜罐基于协议模拟的方案是一种主流的工控蜜罐方案.这种方案通常不考虑设备的内部结构,而是把重心放在仿真工控协议的交互功能上,其实现难度主要在于分析并模拟各厂商的私有协议.这些私有协议通常是一套厂商自定的不全部
24、公开的协议标准,一般只适用于本企业的全部或部分产品设备,因此模拟难度较大。Xiao等人 2 6 提出了基于西门子S7comm27协议的工控蜜罐方案 S7commTrace.该方案对S7comm协议的结构和功能码作了详细的研究,学术论文.ResearchPapers因此对西门子S7系列设备的模拟仿真度较高;与开源工控蜜罐Conpot28相比,S7CommTrace 能够接收更多连接请求,捕获到更多攻击数据;此外,该方案并未被扫描工具 Shodan识别为蜜罐,这表示其具有较高交互性和欺骗性。不过,S7CommTrace的数据来源只有西门子S7-300,并且专注于对 S7comm 协议的研究和复现.
25、然而即使是来自同一厂商,不同型号PLC之间的差异性也相当大,因此该方案扩展性低,需要通过扩充更多协议功能来进行弥补。Lopez-Morales等人 2 2 提出一种基于通用型蜜罐 honeyd29的方案HoneyPLC,实现了一些主要的协议模拟,包括TCP/IP,S7 c o m m,H T T P,SNMP,方案结构如图2 所示:PLC配置文件库所需PLC文件特性引擎协议模拟恶意数据库恶意代码图2 HoneyPLC方案结构HoneyPLC致力于提高欺骗性和扩展性.在欺骗性方面,编写了对应的服务器应用程序模拟交互协议;设计了一个配置工具自动生成目标PLC的配置文件,从而增强与攻击者的交互能力.
26、在扩展性方面,HoneyPLC可以模拟西门子S7-300等多个来自不同厂商的 PLC,模拟结果与真实 PLC非常接近.不过,从实验结果来看,HoneyPLC对于 Allen-BradleyMicroLogix110030和_ ABBPM554-TP-ETH31这2 款PLC模拟是不理想的,这是因为方案侧重于复现西门子S7系列的功能,而这2 款PLC的配置数据与西门子PLC存在差异.基于协议模拟的方案基本上都能得到比较理想的结果,往往具有较高的交互和仿真能力.不过,这类方案通常只能在少量协议的模拟中取得良好的表现.需要考虑结合其他模拟仿真方法,或是在模拟协议的数量上作出大型的整合.2.2基于结构
27、仿真的工控蜜罐基于结构仿真的方案通过模拟工控设备模块功能结构提高蜜罐欺骗性,以尽可能多地与攻击者进行交互,从而收集攻击者的行为信息和攻击策略.中交互工控蜜罐方案XPOT121明确提出实现基于结构仿真工控设备,目标是和攻击者进行最大限度的交互.XPOT仿真西门子S7-300设备,支持攻击者在蜜罐中执行PLC程序.该工控蜜罐支持攻击者下载和上传程序,调试运行中的程序,检查和修改内存区域等.XPOT的优势在于可以提供更加真实的攻击场景,从而更好地吸引攻击者并获得攻击数据。然而,当使用专业性更强的攻击者数据进行HoneyPLC实验时,XPOT和真实PLC诊断输出结果产生差恶意流量异.由此可见,从底层逻
28、辑结构对物联网设备进行攻方仿真模拟的难度非常大。仿真应答基于结构仿真的蜜罐方案可以看作是协议模拟的延伸,它不但包含对协议的模拟,还包括对工控设备底层逻辑的理解与实现.相较于协议模拟方案,基于结构仿真的方案交互性大大增强.在对交互日志PLC的诸多攻击方式中,一类具有破坏力的方式是PLC注人攻击 32 .而基于结构仿真的工控蜜罐方案在PLC仿真中表现出较强的欺骗性.在面对真实的攻击者时,结构仿真型方案的重要性逐渐凸显.2.3基于模拟工具的工控蜜罐在对工控环境进行模拟作业时研究人员也会使用网络模拟器创建工控蜜网.涉及的通常有SNAP733模拟器、IMUNES模拟器、SoftGrid341工具包、Po
29、werWorld35模拟器以及Mininet36模拟器。Mashima等人 37 基于Mininet仿真工具模拟了包括互连变电站在内的整个通信基础设施.这是一个基于电力互联网的高保真电力站蜜网的设计方案,用于模拟和监测针对电力系统的网络攻击和入侵.该蜜网允许攻击者探测电网视图.当攻击者要对电网进行控制时,电流、电压和频率的变化等都将可见.该方案可以有效模拟环形拓扑,同时,基于 Nmap 和 Shodan 的测试都表明其具有欺骗性.Ding等人 38 基于IMUNES模拟了一个工控网址http:/1329信息安全研究第10 卷第4期2 0 2 4年4月Journalotinformatien S
30、ecurity ResearchVol.10No.4Apr.2024蜜网,基于可定制的Docker镜像模拟路由器、交换机等设备节点.同时,使用改进的SNAP7工具进行西门子PLC的仿真,实现西门子PLC之间的通信.此方案在实验环节测试了其可用性和蜜罐指纹的欺骗性.实验结果表明,它可以响应和检测各种攻击,为工控系统的安全防护提供了一种新的思路和方案。基于模拟工具的方案通常借助模拟器的便利性,快速模拟较大数量的虚拟设备,建立虚拟节点.在对大型工控环境进行模拟和仿真时,基于模拟工具的方案往往能够取得较好效果.但在真实性方面,此类方案的实现效果对模拟工具的依赖性大,通常需要考虑改进模拟器功能弥补不足.
31、2.4基于漏洞模拟的工控蜜罐基于漏洞模拟的方案可以模拟特定的设备漏洞,吸引攻击者进行检测和攻击,以捕获和分析恶意代码,对擅于利用漏洞的攻击者尤其造成干扰。Zhang等人 39 聚焦2 0 18 年暴露最多的SOAP端口,在CVE-2017-17215漏洞的基础上设计了一个基于漏洞模拟的方案.如图3所示:捕获多种基于UPnP的攻击恶意流量攻击者仿真应答中高交互蜜罐SOAP服务器多端口蜜罐开放多个UPnP协议端口出现中高交互蜜罐无法处理的情况高交互蜜罐真实物理设备日志模块恶意流量分析图3基于漏洞模拟的工控蜜罐结构方案将1个中高交互蜜罐、1个多端口蜜罐和1个高交互蜜罐集成为1个蜜网.其中,中高交互蜜
32、罐利用真实物联网设备的漏洞模拟SOAP服务;由于SOAP漏洞涉及UPnP的设备体系结构、SOAP服务和HTTP协议,攻击者会使用多个端口进行攻击,因此引入多端口蜜罐实现这方面的功能模拟;当模拟协议处理请求失败时,攻击者很可能会中断连接,因此使用真实的物联网设备处理中高交互模拟蜜罐无法处理的请求.不过,此方案测试结果较少,设备的交互能力和设备指纹的仿真功能也难以被验证。基于漏洞模拟的工控蜜罐方案围绕指定漏洞展开仿真模拟工作,其结果比其他方案更容易吸引恶意流量,在较短时间内获得较多数据.然而这种方案需要考虑时效性,不断更新漏洞以吸引攻击,或者考虑整合高关注度漏洞.2.5基于混合模拟的工控蜜罐基于混
33、合模拟的方案将蜜罐技术与其他前沿3301技术结合,核心在于提升蜜罐系统的自身效果.例如将蜜罐技术与机器学习结合,通过学习已有设备的应答,训练最佳应答模式,提高扩展性。Luo等人 13 提出了智能交互式蜜罐IoTCan-dyJar,旨在吸引和收集针对物联网设备的攻击,方案结构如图4所示:互联网主动探测IoT扫描器抓取应答IoT数据库图 4IoTCandyJar结构仿真应答模型规范化真实IoT设备LDA学习模型交互数据恶意流量攻击者仿真应答学术论文.ResearchPapersIoTCandyJar模拟真实设备的行为和响应,理论上可以仿真众多物联网设备,能够根据攻击者的行为动态地改变其欺骗策略,从
34、而更好地欺骗攻击者并收集有价值的攻击数据.此方案在对物联网设备的仿真方式上进行了扩展,采用机器学习的方式制作发送给攻击方的虚假应答,具有很高扩展性,可以模拟多种物联网设备.如何提升基于混合模拟方案的功能性也是一个不小的挑战.考虑到从网络上学习到的数据中会有正常应答、受到攻击的应答以及虚假应答 40 ,分析这些应答语义需要更加谨慎.一旦实现结果可靠,工控蜜罐就能具备良好的可扩展性,以便在不同的工控系统和场景中进行部署使用.2.6对比分析工控蜜罐与其他安全防护手段区别开的特点在于其对攻击方的欺骗性有助于获取重要的攻击方恶意代码 411.因此,工控蜜罐的设计应该尽可能提高交互能力,同时,为了更好地捕
35、获攻击者注入的恶意代码,工控蜜罐的设计也需要考虑如何更序号方案1S7commTrace272HoneyPLC223XPOT124Mashima等人 37 5Ding等人 38 6Zhang 等人 39 7IoTCandyJar13表示具有此特性,表示原文中未提及.通过分析5类基于仿真的工控蜜罐方案,得到如下结论:1)基于协议模拟的方案成果比较显著.由于各个厂商都有自已的私有协议,增加了协议模拟的难度,导致协议的具体实现可能和真实环境下存在一些细微差别.不过,随着私有协议的深入研究和复现,对于这些私有协议的模拟难度已经逐渐降低,这也让工控蜜罐方案更具有可行性和实用性。2)基于结构仿真的方案目前成
36、果较少,难度较大.最理想的高交互状态是做到和真实工控系统好地模拟真实系统及软件、硬件和网络环境等,进一步提高工控系统的安全性。表2 对前文中提到的工控蜜罐方案进行了对比分析.下面分别对表2 中的7 个蜜罐和5类蜜罐方案进行深人分析。7个蜜罐方案各自呈现出不同的特性.由于交互性尚不具备规范化的标准,表2 中的交互性遵循了方案自身的定义.各方案都以高交互蜜罐为目标,对自身提出了较高的欺骗性要求.其中方案3由于实现效果与预期不符,自评价为中交互蜜罐;捕获能力指工控蜜罐在诱骗后保存交互数据的能力.方案1,2,6,7 都捕获了恶意流量并提供给后续分析,而方案3,4,5侧重于吸引攻击为真实系统分担压力,因
37、此未设计数据捕获功能;安全控制指的是工控蜜罐防止被利用或者被攻陷的防护措施,只有方案6 进行了安全控制设计.指纹伪造对于工控蜜罐真实性的影响很大.当前各种扫描工具趋于成熟,因此有必要在蜜罐中实现指纹伪造,方案2,4,5,6 均考虑了这方面的因素.表2 蜜罐方案对比方案类型仿真对象PLC协议模拟型PLC结构仿真型PLC变电站模拟工具型PLC漏洞模拟型物联网设备固件混合模拟型动态模拟物联网设备或协议近乎相同的交互能力;在蜜罐和工控系统对同一个输人作出连接应答时,它们的差距越小,越能欺骗攻击者注人恶意代码.而如何从物联网设备的底层逻辑上对其进行仿真是工控蜜罐领域一个很具有挑战性的内容。3)使用模拟工
38、具实现仿真功能的蜜罐方案通常更加注重仿真程度.这类方案的目标是通过模拟大型工控环境系统吸引攻击者,并使其相信他们正在攻击真实的工控生产环境。4)基于漏洞的方案具有特殊性.一方面,模拟已存在的漏洞会使蜜罐暴露在更多风险下,获得网址http:/1331交互性捕获能力安全控制指纹伪造高高中高高/信息安全研究第10 卷第4期2 0 2 4年4月Journalotinformatien Security ResearchVol.10No.4Apr.2024更多资料;另一方面,此类方案具有一定的时效性,因为往往最新的漏洞最容易受到攻击,一个漏洞在引起足够的关注或是被修复之后,蜜罐方案也需要同步升级才能继续
39、实现诱骗能力.5)基于混合模拟的方案致力于将不同技术和蜜罐结合在一起.在工控蜜罐领域,出现了将机器学习与蜜罐结合的方案,这种方案理论上具有极高的扩展性,由于目前还不具备较好的方案评估标准,因此未能判定这类方案扩展性的实现程度.3挑战与展望未来,工控蜜罐将面临更加复杂和多样化的攻击,需要更加高效智能的蜜罐技术保护工控系统的安全.在这一点上工控蜜罐技术仍然存在许多不足.本文对工控蜜罐技术的挑战和未来展望总结如下:1)高交互的工控蜜罐方案设计。目前的工控蜜罐提供的交互性有限,例如模拟少量的PLC操作或者响应少量的协议命令,面对逐渐专业化的PLC攻击方式效果不佳 42 .未来的工控蜜罐需要支持更丰富的
40、交互操作,通过模拟真实工业控制系统,尽可能还原实际系统的功能和性能,以提高欺骗效果 43.2)增加支持协议的种类与整合兼容.工控系统有其特殊性.工控系统中的设备和网络通信方式与一般的计算机系统不同,不同应用场景中使用的工控协议也不一而足.当前的工控蜜罐领域,模拟工控协议和运用仿真工具的方案已有一定的成果,需要考虑的是在模拟协议的数量上作一个大的整合和兼容.另外,目前的工控蜜罐主要针对S7协议进行模拟,未来的工控蜜罐需要支持更多种类的协议,例如Modbus,DNP3等,以满足更广泛的工控设备的模拟需求.3)提出全面的量化评估标准。纵观工控蜜罐的诸多方案,目前对于方案的性能评估没有一个较好的衡量标
41、准.当前工控蜜罐的评估方式只能证明方案的有效性,但对于功能性没有较为权威性的统一标准,因此方案之间难以对比优劣.可以从2 个方向考虑改进:一是整合工控蜜罐的特性,按照一个方案具备特性的数量来作对比,或是参考Shodan等扫描工具,制定权3321威性的指标对蜜罐的特性进行量化评估.4)将蜜罐技术与前沿技术融合。未来的工控蜜罐需要更加紧密地融合其他前沿技术,以提供更加全面的安全防护和威胁分析能力.通过机器学习等技术,工控蜜罐可以自动学习攻击特征和设备应答,进而实现更加精准和智能的攻击识别和防御.其次,将工控蜜罐与区块链技术相结合,可以提高蜜罐系统的安全性和可信度 44.另外,使用虚拟机和容器化技术
42、可以模拟不同的操作系统和应用程序版本,提高欺骗性。5)降低对工控系统实时性的影响.由于工控系统通常具有高度的实时性和稳定性要求,工控蜜罐需要确保其不会对实际工控系统的运行产生任何负面影响.这就要求工控蜜罐的设计和实现要充分考虑与真实工控系统的兼容性,以保证其对实际系统的影响最小化 45.4结语随着工控系统的网络化、受攻击方式逐渐多样化,工控蜜罐的重要性逐渐凸显.工控蜜罐方案普遍注重自身的欺骗性,并在交互性、真实性和扩展性等方面各自提出了改进方案.在设计工控蜜罐仿真模拟的功能时,需要克服物理设备上的差异性,为了伪装成真实的工控环境,这些方案采取的仿真模拟方式各有不同.本文对工控蜜罐方案进行了调研
43、和分析,梳理当前模拟和仿真的思路,主要介绍了7 种工控蜜罐方案.最后阐述了目前研究中存在的问题和挑战,并对未来的研究与发展方向进行了展望。参考文献1 Stouffer K,Lightman S,Pillitteri V,et al.Guide toindustrial control systems(ICS)security EB/OL.20112024-03-22.https:/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82.pdf2高志新.工业控制系统信息安全事件分析及对安全防护的启示 J.信息网络安全,2 0 16
44、(增刊):18-2 33傅扬。国内外工业互联网安全态势和风险分析门.信息安全研究,2 0 19,5(8):7 2 8-7 334游建舟,吕世超,孙玉砚,等。物联网蜜罐综述门.信息安全学报,2 0 2 0,5(4):138-156学术论文ResearchPapers5 Wang Ping,Wu Lei,Cunningham R,et al.Honeypotdetection in advanced botnet attacks J.InternationalJournal of Information and Computer Security,2010,4(1):30-516张博,崔佳巍,屈肃
45、,等.高级持续性威胁及其重构研究进展与挑战 J.信息安全研究,2 0 2 1,7(6):512-5197 Sharma N,Sran S S.Detection of threats in honeynet usinghoneywall J.International Journal on Computer ScienceandEngineering,2011,3(10):3332-33368 Fan Wenjun,Du Zhihui,Fernandez D.Taxonomy ofhoneynet solutions CJ/Proc of the 2015 SAI IntelligentSys
46、tems Conf(IntelliSys).Piscataway,NJ:IEEE,2015:1002-10099 Campbell R M,Padayachee K,Masombuka T.A survey ofhoneypot research:Trends and opportunities CJ/Proc ofthe 1oth Int Conf for Internet Technology and SecuredTrans(ICITST).Piscataway,NJ:IEEE,2015:208-2121o Razali M F,Razali M N,Mansor F Z,et al.I
47、oT honeypot:A review from researchers perspective C/Proc of theIEEE Conf on Application,Information and NetworkSecurity(AINS).Piscataway,NJ:IEEE,2018:93-9811Fan Wenjun,Du Zhihui,Fernandez D,et al.Enabling ananatomic view to investigate honeypot systems:A surveyJJ.IEEESystems Journal,2017,12(4):3906-
48、391912 Lau S,Klick J,Arndt S,et al.POSTER:Towards highlyinteractive honeypots for industrial control systems C/lProc of the 2016 ACM SIGSAC Conf on Computer andCommunications Security.New York:ACM,2016:1823-182513 Luo Tongbo,Xu Zhaoyan,Jin Xing,et al.IoTCandyJar:Towards an intelligent-interaction ho
49、neypot for IoT devicesJJ.Black Hat,2017,1(1):1-1114 Zobal L,Kolai D,Fujdiak R.Current state of honeypotsand deception strategies in cybersecurity CJ/Proc of the1lth Int Congress on Ultra Modern Telecommunicationsand Control Systems and Workshops(ICUMT).Piscataway,NJ:IEEE,2019:1-915 Davidson C C,Ande
50、l T R,Yampolskiy M,et al.OnSCADA PLC and fieldbus cyber-security C/OL/Proc ofthe 13th Int Conf on Cyber Warfare and Security(ICCWS2018).2018 2024-03-22J.https:/ 0 2 2,7(增刊1):114-11817石乐义,李阳,马猛飞.蜜罐技术研究新进展 J。电子与信息学报,2 0 19,41(2):49 8-50 8181Krawetz N.Anti-honeypot technology JJ.IEEE Security&.Privacy,
浙ICP备2021020529号-1 | 浙B2-20240490 
