123,123

基于蜜罐的工控网络安全防护技术研究进展

信息技术与网络安全 2期

李实1，万佳蓉2，林显盛3

(1.大亚湾核电运营管理有限责任公司，广东深圳518124； 2.华北计算机系统工程研究所，北京100083；3.广州中软信息技术有限公司，广东广州510665)

摘要： 摘要：工业控制系统是工业生产过程的控制枢纽，在国际网络安全形势愈发严峻的背景下，越来越多的攻击者将目标锁定在工业控制系统上，爆发了一系列造成严重影响的工控网络安全事件。作为一种主动防御技术，工控蜜罐正逐渐成为目前行业的研究热点。在调研现有相关工作的基础上，从蜜罐基本概念、工控蜜罐关键技术、应用实例和发展趋势对目前的研究工作进行梳理，并针对核电DCS系统的网络架构，研究了S7协议、操作系统等“诱惑陷阱”在Docker容器中的虚拟化技术，实现了TXP系统仿真蜜罐的设计。为了验证蜜罐系统的防护效果，在核电TXP系统中进行了蜜罐部署并通过脚本模拟攻击行为，结果表明，系统能够准确捕获攻击流量并对内容进行解析识别，成功诱骗非法渗透内网的攻击者进入由蜜网组成的虚拟环境并进行告警，全面提升TXP系统内发现、记录、溯源攻击行为的威胁感知能力。

關(guān)鍵詞： 蜜罐技术工控网络安全系统设计

中圖分類號： TP393.08
文獻(xiàn)標(biāo)識碼： A
DOI： 10.19358/j.issn.2096-5133.2022.02.004
引用格式：李實，萬佳蓉，林顯盛. 基于蜜罐的工控網(wǎng)絡(luò)安全防護(hù)技術(shù)研究進(jìn)展[J].信息技術(shù)與網(wǎng)絡(luò)安全，2022，
41(2)：20-26，32.

Research progress of honeypot-based ICS security protection technology

Li Shi1，Wan Jiarong2，Lin Xiansheng3

(1.Daya Bay Nuclear Power Operations and Management Co.，Ltd.，Shenzhen 518124，China； 2.National Computer System Engineering Research Institute of China，Beijing 100083，China； 3.Guangzhou CSS Information Technology Co.，Ltd.，Guangzhou 510665，China)

Abstract： Industrial Control System(ICS) is the core of the industrial production process. With the increasingly severe international network security situation, more and more attackers are taking ICS as target and causing a series of terrible security events. As an active defense technology, honeypot for ICS are gradually becoming a research hotspot. On the basis of investigating existing related work, in this paper we sort out the current research content from the concepts of honeypot, key technologies of honeypot, application instances and development trends. Aiming at the architecture of DCS in nuclear power industrial, we investigate the virtualization technology of S7 protocol, operating system and other temptation traps in the Docker container, and design a simulation honeypot for the TXP system. In order to verify the protection effect of the honeypot system, the honeypot is deployed in the TXP system and the attack is simulated through scripts. The results show that the system can accurately capture the attack traffic, analyze and identify the content, successfully trick the attacker who illegally penetrated the intranet into the virtual environment composed of the honeynet and alarm user. Honeypot can comprehensively improve the threat perception ability of the TXP system to detect, record, and trace the attack behavior.

Key words : honeypot；ICS security；system design

0 引言

工業(yè)控制系統(tǒng)是工業(yè)生產(chǎn)過程的核心控制樞紐，在過去，由于工業(yè)控制系統(tǒng)自身的特殊性和重要性，普遍采用內(nèi)網(wǎng)形式運行，不與外界網(wǎng)絡(luò)進(jìn)行通信。然而隨著信息化技術(shù)的發(fā)展和生產(chǎn)工藝要求的提高，工業(yè)控制系統(tǒng)的封閉性正在逐漸被打破，暴露在互聯(lián)網(wǎng)上的工業(yè)控制系統(tǒng)數(shù)量處于快速攀升狀態(tài)。國家互聯(lián)網(wǎng)應(yīng)急中心在《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》[1]中指出：監(jiān)測發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的工業(yè)設(shè)備達(dá)4 630臺，境內(nèi)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)持續(xù)遭受來自境外的掃描嗅探，日均超過2萬次。

目前業(yè)界主流針對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)手段屬于被動防護(hù)，例如安裝部署防火墻[2]、入侵檢測[3]等硬件設(shè)備或具有應(yīng)用白名單功能的防護(hù)軟件等。被動防護(hù)手段主要的不足之處在于只能被動地應(yīng)對或緩解攻擊者所造成的破壞，在網(wǎng)絡(luò)安全技術(shù)快速迭代的背景下，其局限性愈發(fā)明顯。

蜜罐作為最典型的主動防護(hù)手段，是當(dāng)前學(xué)術(shù)界和產(chǎn)業(yè)界研究的熱點。蜜罐與被動防護(hù)手段最大的不同在于其扭轉(zhuǎn)了網(wǎng)絡(luò)安全博弈過程中防御方只能處于被動應(yīng)對的局面。蜜罐通過誘捕攻擊者，使防御方能夠主動識別攻擊者的攻擊手段與攻擊意圖，進(jìn)而提前部署防護(hù)策略，更加有效地保護(hù)工業(yè)控制系統(tǒng)穩(wěn)定運行。由多個相互連接的蜜罐所構(gòu)成的更為復(fù)雜的系統(tǒng)稱為蜜網(wǎng)，蜜網(wǎng)對于攻擊者具有更強(qiáng)的迷惑性。

本文詳細(xì)內(nèi)容請下載：http://ihrv.cn/resource/share/2000003946。

作者信息：

李實1，萬佳蓉2，林顯盛3

(1.大亞灣核電運營管理有限責(zé)任公司，廣東深圳518124；

2.華北計算機(jī)系統(tǒng)工程研究所，北京100083；3.廣州中軟信息技術(shù)有限公司，廣東廣州510665)

微信圖片_20210517164139.jpg

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容