今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著工業(yè)化與信息化的融合發(fā)展,聯(lián)網(wǎng)工控系統(tǒng)和設備數(shù)量持續(xù)上升,網(wǎng)絡攻擊手段復雜多變、重大安全事件頻繁發(fā)生,不斷敲響了工業(yè)信息安全警鐘。工業(yè)控制系統(tǒng)蜜罐技術作為被動誘捕手段之一,能夠有效捕獲針對工業(yè)控制系統(tǒng)發(fā)起的網(wǎng)絡攻擊數(shù)據(jù),進而分析攻擊手段,剖析黑客活動趨勢,在工控安全態(tài)勢感知領域有著極高的實用價值。本文結合國家工控安全監(jiān)測與態(tài)勢感知平臺應用結果,分析工控蜜罐的具體作用及功能,并闡述當前工控蜜罐遇到的問題及下一步研究方向。
關鍵詞:工控安全;工控蜜罐;態(tài)勢感知
Abstract:With the integration and development of industrialization and informatization,the number of networked industrial control systems and equipment continues to rise, network attack methods are complex and changeable, and major security incidents occur frequently, which constantly sounds the alarm of industrial information security. As one of the passive entrapment methods, the ICS honeypot technology can effectively capture the network attack data launched against the industrial control system,and then analyze the attack method and the trend of hacker activities. It has extremely high practical value in the field of industrial control security situation awareness. This paper analyzes the specific functions of the ICS honeypot from the perspective of industrial control security situation awareness, combined with the application results of the national industrial information security monitoring and situational awareness platform, and expounds the current problems encountered by the ICS honeypot and the next research directions.
Key words: Industrial control system security; ICS honeypot; Situational awareness
1 引言
云計算、大數(shù)據(jù)、人工智能等新一代信息技術正加速推進工業(yè)化與信息化的融合進程,工業(yè)互聯(lián)網(wǎng)時代下,數(shù)字化、網(wǎng)絡化、智能化發(fā)展趨勢使得越來越多原 本處于封閉環(huán)境中的工業(yè)控制設備暴露于公共互聯(lián)網(wǎng),直面來自互聯(lián)網(wǎng)的攻擊威脅[1]。為應對日趨嚴峻的網(wǎng)絡安全形勢,及時洞悉工業(yè)控制系統(tǒng)及設備面臨的安全風險,研判分析、精準預測整體安全狀況,工控安全態(tài)勢感知技術研究正成為安全領域的一大研究熱點。
蜜罐是一種新型的主動防御技術,通過偽裝成看似有利用價值的設備、系統(tǒng)等吸引網(wǎng)絡黑客對其發(fā)起攻擊,經(jīng)捕獲和分析攻擊行為,了解攻擊工具與方法,推測攻擊者意圖和動機。蜜罐技術的出現(xiàn),扭轉了網(wǎng)絡攻防的不對稱局面,在傳統(tǒng)網(wǎng)絡安全態(tài)勢感知領域取得了較多成功的應用案例。結合工控安全技術特點,將蜜罐技術應用于工控安全態(tài)勢感知,有效獲取針對工業(yè)控制系統(tǒng)及設備發(fā)起的網(wǎng)絡攻擊數(shù)據(jù),分析攻擊手段,剖析黑客活動趨勢,有著極高的實用價值。
2 工業(yè)控制系統(tǒng)蜜罐技術概述
2.1 蜜罐技術發(fā)展進程
世界上第一個被公開使用的蜜罐系統(tǒng)是美國著名計算機安全專家Fred Cohen于1998年研發(fā)的DTK(Deception Tool Kit)[2],旨在誘導攻擊者對存在大量安全漏洞的DTK系統(tǒng)發(fā)動網(wǎng)絡攻擊,Cohen的研究工作為蜜罐技術的發(fā)展奠定了基礎。2000年計算機蠕蟲病毒大爆發(fā),研究人員發(fā)現(xiàn)蜜罐系統(tǒng)在捕獲網(wǎng)絡傳播的蠕蟲病毒樣本、判定傳播趨勢、溯源攻擊黑客等方面有著無可替代的作用。此后蜜罐技術得到廣泛關注,出現(xiàn)了大量開源蜜罐系統(tǒng)。
蜜罐技術發(fā)展到現(xiàn)在,已出現(xiàn)多種成熟的蜜罐工具。一套成熟的蜜罐系統(tǒng)通常由核心模塊和輔助模塊兩部分組成[3]:核心功能模塊是誘騙與監(jiān)測攻擊方的必需組件,具備構建仿真環(huán)境、捕獲攻擊數(shù)據(jù)以及威脅分析等功能;輔助模塊是蜜罐系統(tǒng)擴展需求,包含系統(tǒng)安全風險控制、配置與管理、反蜜罐偵查等功能。
2.2 蜜罐分類
按照為攻擊方提供的交互程度可劃分,蜜罐系統(tǒng)可分為低交互性蜜罐、中交互蜜罐和高交互性蜜罐,如表1所示[4]。低交互性蜜罐通過編程軟件構建偽裝的系統(tǒng)運行環(huán)境,提供簡單的服務模擬,交互程度較低;中交互蜜罐以軟件模擬方式搭建,可模擬較為復雜的系統(tǒng)服務,為攻擊者提供較好的交互環(huán)境,可捕獲更多的信息數(shù)據(jù);高交互蜜罐一般采用真實系統(tǒng)搭建,交互程度高,但由于黑客的攻擊行為可對蜜罐本身造成損壞,因此安全風險最大。
表1 不同交互度蜜罐比較
2.3 工控蜜罐研究進展
隨著信息技術的發(fā)展,出現(xiàn)了針對不同業(yè)務應用場景的蜜罐系統(tǒng),如:web蜜罐、數(shù)據(jù)庫蜜罐、移動應用蜜罐、IoT蜜罐等。工控蜜罐作為面向工業(yè)控制、工業(yè)生產(chǎn)業(yè)務環(huán)境的新一代蜜罐系統(tǒng)也得到了越來越多的關注,目前主流的工控蜜罐有Conpot、Snap7、CryPLH、XPOT等,如表2所示。
表2 常見工控系統(tǒng)蜜罐
近年來,國內外安全機構紛紛針對工控蜜罐及其應用場景開展了系列研究。2016德國達姆施塔特工業(yè)大學在原移動應用蜜罐的基礎上進一步開發(fā)出HosTaGe工控蜜罐[5],支持Modbus等工業(yè)專有協(xié)議仿真;2017年,中國科學技術大學大數(shù)據(jù)分析與應用重點實驗室對標西門子S7系列可編程邏輯控制器(PLC),開發(fā)出高交互工控蜜罐S7commTrace并取得了較好的應用效果[6];2019年,江蘇科技大學網(wǎng)絡與信息安全團隊開發(fā)出基于S7、snmp等協(xié)議,應用于船舶領域的工控蜜罐[7];2019年希臘馬其頓大學研發(fā)針對電網(wǎng)基礎設施的蜜罐系統(tǒng)[8],并開展了相關試驗驗證工作。
2.4 工控蜜罐的功能
工控蜜罐的主要功能包括:
(1)收集分析互聯(lián)網(wǎng)上針對工業(yè)控制系統(tǒng)發(fā)起的惡意行為,在大規(guī)模攻擊之前提前感知風險,判斷攻擊趨勢;
(2)分散黑客注意力,誘導攻擊者對蜜罐系統(tǒng)發(fā)動網(wǎng)絡攻擊,從而保護真實的工業(yè)控制系統(tǒng)健康運行,避免對工業(yè)生產(chǎn)造成破壞;
(3)高交互蜜罐可誘使攻擊者發(fā)動真實攻擊,挖掘分析工業(yè)控制系統(tǒng)零日漏洞。
3 工控蜜罐在工控安全態(tài)勢感知領域的應用
“態(tài)勢感知”的概念最早用于軍事領域,主要是指在特定時空下對動態(tài)環(huán)境中各元素或對象的覺察、理解以及對未來狀態(tài)的預測。隨著網(wǎng)絡技術的發(fā)展,“態(tài)勢感知”的應用情景更傾向于網(wǎng)絡安全,通過廣泛采集和匯聚廣域網(wǎng)中的安全狀態(tài)和事件信息,加以處理、分析和展現(xiàn),從而明確當前網(wǎng)絡的總體安全狀況,為大范圍的預警和響應提供決策支持。為應對當前工控安全面臨的嚴峻形勢和挑戰(zhàn),國家工業(yè)信息安全發(fā)展研究中心利用主動監(jiān)測、被動誘捕、流量分析、企業(yè)側采集、大數(shù)據(jù)挖掘等技術手段,建設國家工業(yè)信息安全監(jiān)測與態(tài)勢感知平臺,有效感知全國工業(yè)信息安全整體態(tài)勢,形成全天候、全方位工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知能力,其中利用工控蜜罐建設的威脅誘捕系統(tǒng),為整體感知工業(yè)控制系統(tǒng)信息安全態(tài)勢提供不可或缺的數(shù)據(jù)支持[9]。
3.1 系統(tǒng)架構
通過工控蜜罐構建的威脅誘捕系統(tǒng)框架如圖1所示。工控蜜罐的部署位置一般選取網(wǎng)絡關鍵節(jié)點或工業(yè)企業(yè)網(wǎng)絡出口處,根據(jù)蜜罐仿真模式,合理配置仿真的工業(yè)控制系統(tǒng)或服務協(xié)議,避免被網(wǎng)絡空間掃描引擎或有經(jīng)驗的黑客組織輕易識別。當蜜罐遭遇黑客攻擊后,會將攻擊數(shù)據(jù)發(fā)送至威脅誘捕系統(tǒng)進行存儲、處理、分析,系統(tǒng)完成對攻擊數(shù)據(jù)的判定后,將攻擊行為進行可視化展示,并將處理結果發(fā)送至態(tài)勢感知平臺,為下一步整體安全態(tài)勢分析提供數(shù)據(jù)基礎。
圖1 工控蜜罐在威脅誘捕系統(tǒng)中的應用
工控蜜罐工作原理如圖2所示,蜜罐系統(tǒng)由攻擊交互模塊和設備/服務仿真環(huán)境兩部分組成。攻擊交互模塊直接處理黑客與蜜罐的交互,通過流量重定向技術,檢測攻擊流量中訪問的目標類型,在嚴格過濾DDoS等高危操作后,將對應攻擊流量導入適當?shù)脑O備/服務仿真環(huán)境,并將初步分析結果發(fā)送至威脅誘捕系統(tǒng);設備/服務仿真環(huán)境在收到攻擊交互模塊發(fā)送的攻擊流量后,模擬系統(tǒng)被攻擊的真實反應,反饋至交互模塊,用于蜜罐與黑客的進一步交互。
威脅誘捕系統(tǒng)通過分析工控蜜罐搜集的攻擊數(shù)據(jù),研判各類攻擊要素,包括攻擊工具、惡意文件、攻擊來源、攻擊步驟等信息,如:攻擊者的IP、地理位置、探測工具等。
圖2 工控蜜罐工作原理示意圖
3.2 捕獲數(shù)據(jù)行為分析
以2020年4月工控蜜罐捕獲到的攻擊數(shù)據(jù)為例,該工控蜜罐為中交互蜜罐,模擬Ethernet/IP協(xié)議工控設備。通過分析工控蜜罐對攻擊流量記錄發(fā)現(xiàn),4月21日晚IP地址為202.106.222.26的用戶對該蜜罐102端口掃描222次,對44818端口掃描70余次,如圖3所示。
圖3 某IP地址對蜜罐的掃描記錄
經(jīng)對數(shù)據(jù)包按照時間順序進行梳理分析,黑客首先通過SYN發(fā)送SYN掃描判斷44818端口開放情況,如圖4所示,當探測到端口開放狀態(tài)后,與蜜罐系統(tǒng)建立PSH數(shù)據(jù)通信鏈路,如圖5所示,并建立Ethernet/IP通信獲取session,如圖6所示,進而利用session查詢設備信息,如圖7所示。
圖4 黑客發(fā)送SYN數(shù)據(jù)包探測端口開放情況
圖5 黑客與蜜罐系統(tǒng)建立PSH數(shù)據(jù)通信鏈路
圖6 黑客獲取蜜罐系統(tǒng)session信息
圖7 黑客通過系統(tǒng)session信息查詢設備信息
3.3 蜜罐應用情況
根據(jù)威脅誘捕系統(tǒng)統(tǒng)計數(shù)據(jù),單個工控蜜罐平均每周可捕獲2000余次攻擊事件,有來自120余個國家和地區(qū)對蜜罐系統(tǒng)發(fā)起過網(wǎng)絡探測與攻擊,其中攻擊源IP地址地理分布排前5位的分別是美國、中國、荷蘭、俄羅斯、英國,攻擊占比如圖8所示。
圖8 工控蜜罐捕獲的攻擊源分布情況
攻擊次數(shù)最多的前5名IP地址如表3所示,這些IP地址主要集中在美國、歐洲等發(fā)達國家和地區(qū),發(fā)起過近千次網(wǎng)絡嗅探和攻擊行為。
表3 前5名境外攻擊IP列表
4 討論
工控蜜罐作為直接面向黑客攻擊的對抗性技術手段之一,在態(tài)勢感知等領域取得了較好的應用效果。但是與傳統(tǒng)網(wǎng)絡服務蜜罐相比,工控蜜罐的應用與發(fā)展還存在一定困難,主要體現(xiàn)在以下3個方面:
(1)高交互工控蜜罐耗費大量資源,維護成本較高。蜜罐為了構建真實運行的仿真環(huán)境,往往需要引入實物系統(tǒng)或設備。工業(yè)控制系統(tǒng)及設備成本高且難以復用,即使同類的工控設備在功能、協(xié)議、指令等方面也是千差萬別,維護工作較為復雜。
(2)純虛擬工控蜜罐仿真能力有限,極易被黑客識別。目前研發(fā)應用的純虛擬工控蜜罐只對工控協(xié)議進行底層模擬仿真,且大部分已經(jīng)開源,極易被如shodan、zoomeye等網(wǎng)絡空間搜索引擎或黑客發(fā)現(xiàn),難以收集有效的攻擊數(shù)據(jù)。
(3)工控設備種類繁多且工控協(xié)議多為私有,單一種類的工控蜜罐難以滿足應用需求。工業(yè)控制系統(tǒng)、工業(yè)協(xié)議種類繁多,單一形式的工控蜜罐難以囊括多種工控設備的仿真的需求,為工控蜜罐應用帶來一定阻力。
綜合以上討論,結合工控蜜罐技術應用方向,工控蜜罐技術可在以下方向開展進一步研究:
(1)工控蜜罐應與新技術應用緊密融合,完善升級模擬仿真與威脅溯源能力。當前人工智能、區(qū)塊鏈、邊緣計算等新技術發(fā)展迅猛,并在傳統(tǒng)網(wǎng)絡安全領域取得了優(yōu)秀的應用成果。工控蜜罐融合新一代信息技術,強化模擬仿真、用戶交互、威脅溯源等功能,進一步發(fā)揮工控蜜罐的防御優(yōu)勢。
(2)進一步挖掘工控蜜罐捕獲數(shù)據(jù)應用, 開展工業(yè)信息安全威脅深入追蹤與分析研究。工控蜜罐作為主動防御技術,誘捕收集的攻擊數(shù)據(jù)具有很高的參考價值,可反映出黑客組織的攻擊意圖。在網(wǎng)絡流量、主動探測、安全日志、情報信息等數(shù)據(jù)的基礎上,結合工控蜜罐誘捕數(shù)據(jù),能夠更加深入的分析工業(yè)信息安全態(tài)勢,形成全方位的監(jiān)測能力。
5 結束語
工控蜜罐技術發(fā)展至今,已經(jīng)成為網(wǎng)絡安全研究人員對工業(yè)控制系統(tǒng)安全進行風險監(jiān)測、態(tài)勢分析、追蹤溯源的主要技術手段之一,其主動防御的思想為現(xiàn)代工業(yè)信息安全態(tài)勢感知體系建設提供了強有力的支撐。本論文首先介紹了蜜罐技術背景,梳理蜜罐及工控蜜罐的發(fā)展歷程,并結合工控蜜罐在國家工業(yè)信息安全監(jiān)測與態(tài)勢感知平臺威脅誘捕系統(tǒng)中的應用,分析蜜罐的重大作用,最后對工控蜜罐技術研究及發(fā)展應用存在的問題進行了討論,闡述了下一步研究重點。
參考文獻:
[1] 郭嫻,張慧敏,等.2019年工業(yè)信息安全態(tài)勢展望[J].中國信息安全,2019,12(4):51–52.
[2] Spitzner L.Honeypots:Tracking Hackers[M].Boston:Addison-Wesley Longman Publishing Co.,Inc.,2002.
[3] 諸葛建偉,唐勇,等.蜜罐技術研究與應用進展[J].軟件學報,2013,24(4):825–842.
[4] Iyatiti Mokube,Michele Adams.Honeypots:Concepts,Approaches,and Challenges[C].USA:ACMSE,2007.
[5] Vasilomanolakis,Emmanouil,etal.Multi-stage Attack Detection and Signature Generation with ICS Honeypots[C].IEEE/IFIP Workshopon Security for Emerging Distributed Network Technologies IEEE, 2016.
[6] Xiao,Feng,E.Chen,andQ.Xu.S7commTrace:A High Interactive Honeypot for Industrial Control System Based on S7 Protocol[M].Information and Communications Security. 2018.
[7] 丁程鵬.船舶網(wǎng)絡蜜罐技術研究[D].江蘇:江蘇科技大學,2019:23-45.
[8] DPliatsios,P Sarigiannidis,et al.A Novel and Interactive Industrial Control System Honeypotfor Critical Smart Grid Infrastructure[C].2019 IEEE 24th International Workshop on Computer Aided Modeling and Design of Communication Links and Networks(CAMAD),2019.
[9] 楊佳寧,陳柯宇,郭嫻,等.工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知核心技術分析[J].信息安全與技術,2019,010(004):61-66.
作者簡介:
陳柯宇(1992-),男,漢族,新疆伊犁人,助理工程師,碩士,畢業(yè)于北京郵電大學,現(xiàn)就職于國家工業(yè)信息安全發(fā)展研究中心,主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。
楊佳寧(1990-),男,漢族,山東臨沂人,工程師,碩士,畢業(yè)于北京航空航天大學,現(xiàn)就職于國家工業(yè)信息安全發(fā)展研究中心,主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。
郭 嫻(1984-),女,漢族,湖南衡陽人,高級工程師,博士,畢業(yè)于中國科學院高能物理研究所,現(xiàn)就職于國家工業(yè)信息安全發(fā)展研究中心,主要研究方向為工控安全、工業(yè)互聯(lián)網(wǎng)安全等。
摘自《自動化博覽》2020年6月刊
北京市公安局海淀分局備案號:11010802023656號