1、工业物联网及类似定义工业物联网(IIoT,IndustrialInternetofThings)的定义是利用工业通信技术应用物联网物联网技术走向自动化领域[1]。有两个概念与此类似:物联网和网络物理系统。1.1工业物联网和物联网物联网(IoT,InternetofThings)是将传感器、执行器和其他可以收集数据和通信的嵌入式设备等连接到互联网的设备网络。根据定义,IIoT是物联网利用工业通信技术在自动化领域的应用,物联网(IoT)是工业物联网IIoT的基础,其应用渗透到工业的各个角落。我们的生命。传感器、执行器、可穿戴设备、嵌入式设备和许多其他物联网设备在建筑物、城市、交通、汽车、制造、关键(核反应堆、发电厂、炼油厂等)和非关键基础设施以及农业中随处可见等。物联网在各种环境中都有应用。1.2Cyber??-PhysicalSystemCyber??-PhysicalSystem(CPS,Cyber??-PhysicalSystem)是由传感器、执行器、可编程逻辑控制器PLC、远程终端单元RTU、智能电子设备IED等嵌入式设备组成的网络,用于监测和控制物理系统关键和非关键应用程序中的进程。CPS的应用场景包括但不限于工控系统ICS、智能电网、其他智能基础设施(如水、气、楼宇自动化)、医疗设备、智能汽车等[2]、[3]。总的来说,IIoT由于其工作环境(封闭系统)的特殊性,离不开CPS。从定义上看,IoT、CPS、IIoT这三个概念其实很相似,并没有太大区别。NIST的一份专题报告指出,IoT与CPS的区别在于,IoT更侧重于物理世界中的信息和网络相关技术,而CPS更接近于封闭系统实现,更侧重于感知和信息交换控制[4].在此基础上,IIoT又进一步连接了IoT和CPS的定义,因为它具有两者的特点。2.工业物联网蜜罐和蜜网2.1常见的工业物联网安全机制为了保护工业物联网环境下的工业设备,工业网络中经常采用各种网络防御手段,如密码加密、使用防火墙、入侵等检测系统IDS和入侵防御系统IPS,采用防病毒和反恶意软件解决方案等。我国现行的工业无线网络规范国家标准定义的工业网络协议包括三层:物理层、链路层和应用层。它还在安全管理上采用了多种安全机制,如CCM*加密模式(广泛应用于IEEE802.x协议和BLE协议),配置时间戳和基于nonce的抗重放攻击手段等安全机制[5]].2.2传统工业物联网安全机制面临的挑战由于工业物联网环境的特殊性,每个设备在资源限制、网络寿命、QoS等方面都有独特的要求,这也对物联网的安全防御能力提出了巨大挑战工业物联网环境。IoT是IIoT的基础。IoT设备通常具有有限的功率、存储、计算和通信资源。尤其是在工业物联网在自动化领域使用工业通信设备部署的工作环境中,对其可以采用的安全机制有着相当大的限制。.另一方面,IIoT环境中使用的设备在设计时并未考虑安全性。例如,在工业生产中,工业网络通常需要满足低时延、低功耗、高可靠性、高稳定性等要求。在这样的前提下,IIoT/CPS的应用环境默认被认为是安全的。和孤立。这种模糊的安全假设在2010年被著名的“Stuxnet”病毒打破了。这个例子表明,传统静态的“隐性信任”模型迫切需要重构和创新。网络实现中“零信任”的核心思想——去除隐性信任,也是为解决此类问题而诞生的。考虑到零信任相关技术和规范尚未成熟,而本文主要介绍工业物联网蜜罐和蜜网,这里不再重复零信任原理。随着越来越多的工业环境接入互联网,更新几十年都不会更换的工业设备的安全机制已经成为一个严峻的问题。2.3蜜罐、蜜网及其在工业物联网中的应用传统的工业物联网安全机制在发现和分析攻击者攻击方法(和防御响应)时对安全研究人员来说并不透明。蜜罐用于吸引攻击者并欺骗他们认为他们已经获得了对真实系统的访问权。它是一种用于被攻击和可能被破坏的工具。两个或多个蜜罐组成一个蜜网[6]、[7]。蜜罐可以作为IPS与防火墙和IDS集成,以捕获有关攻击者的信息,研究他们的所有行为,并开发可以防止未来可能发生的攻击的安全解决方案。在实际使用中,蜜罐和蜜网可以部署在不同的位置,例如云计算环境、企业网络的隔离区域(DMZ区域)、实际应用/生产环境(在IoT、IIoT或CPS网络中)、公共和私有中IP地址的部署环境,蜜网的基本架构如图1所示[8]。针对不同环境的选择各有优缺点;此外,根据部署环境的不同,存在最适合该环境的不同类型的蜜罐或蜜网。图1基本蜜网架构IIoT的部署环境非常广泛。哈维尔等人的研究。将蜜网在工业物联网中的应用环境分为六大部分,分别是工业控制系统ICS、智能电网、供水系统、燃气管线、楼宇自动化系统和综合性工业物联网蜜网,并从技术发展的角度进行分类。图2是工业物联网蜜罐和蜜网的分类,图3描绘了工业物联网蜜罐和蜜网的发展历史[8]。作为现有蜜罐的主要目标应用领域之一,超过一半的工业物联网蜜罐是为ICS环境设计的。虽然针对特定IIoT应用的诱饵较少(大多数研究针对ICS),但ICS和智能基础设施(例如电网、水、气)仍在使用类似的工业设备(例如PLC)。图2适用于工业物联网的蜜罐和蜜网分类图3工业物联网蜜罐和蜜网的发展工业物联网蜜网始于2004年思科的SCADAHoneyNet项目。SCADAHoneyNet是一个基于Honeyd的开源蜜罐框架。它是一个低交互的蜜网,支持模拟在PLC上运行的Modbus/TCP、FTP、Telnet和HTTP服务。Berman于2012年在美国空军理工学院发表的论文是文献中第一份关于IIoT蜜罐和蜜网的研究。该领域的第二篇论文也于次年在美国空军理工学院发表。这两篇论文发表的时间恰逢震网病毒的时代。2013年,史上最火爆的ICS蜜罐Conpot开源项目完成,趋势科技的Wilhoit发布了他们的低交互ICS蜜罐白皮书,也作为大量面向IIoT/CPS的蜜罐的基础和蜜网研究实践。注入了新的动力。IIoT低交互蜜罐可以提供有关扫描、目标协议、攻击源和暴力尝试的有价值信息。另一方面,只有通过中/高交互蜜罐才能发现和分析其??他更高级的攻击,针对特定工业协议和流程的攻击。工业物联网高交互蜜罐允许攻击者破坏系统,或者利用蜜罐进行一些其他的攻击,所以部署高交互蜜罐是一种非常危险的行为,尤其是像工业物联网这样有特殊要求的环境,更不用说了工业设备的高成本是IIoT蜜罐使用虚拟资源而不是物理设备的最大驱动因素之一。由于工业物联网环境的独特要求和功能,即使有非常先进和前沿的研究,包括蜜罐在内的安全工具也始终难以在这些领域得到积极部署。就蜜罐的用途而言,大多数蜜罐和蜜网只有研究目的,没有生产目的。SCADA设备需要连续工作,几乎没有中断和停机时间。此外,工业设备普遍具有较高的时间限制,需要严格保证响应时间。因此,在没有部署蜜罐的ICS生产环境中插入蜜罐,或者更新已经被淘汰或过时的蜜罐是非常困难的。这些行为很可能会影响ICS通信,并有损坏系统的风险(高交互蜜罐)。IIoT蜜罐、蜜网中最常用于检测/测试的攻击是扫描攻击。大多数研究都测试了不同时间段的扫描攻击。这些蜜罐可以借助现有的库统计扫描次数,进行流量分析,判断扫描来源的合法性。除了DoS和DDoS,SSH、暴力破解、中间人攻击也是特定蜜罐和蜜网环境中的重点检测对象。虽然有些攻击不像上述攻击那么常见,但勒索软件、挖矿后台等恶意软件和一些针对ICS的特定攻击,如HAVEXRAT、PLCBlaster和tankoverflow攻击,也是防护的重点。除了FreeBSD之外,Linux是蜜罐和蜜网的主流操作系统环境。在编程语言方面,Python是最受欢迎的,另外还有C/C++和Java。这应该与这些语言都有支持工业协议的库有关。例如,Python有Modbustk、pymodbus和cpppoEtherNet/IP库;C/C++有libiec61850和OpenDNP3库;Java有JAMODModbus库[8]。作为最流行的IIoT/CPS开源蜜罐,Conpot蜜罐也是用Python编写的。2.4总结与启示IIoT环境非常特殊。任何蜜罐/蜜网在开发之初,都应该考虑其目标应用领域、目的、成本、部署环境、提供/模拟的服务、预期与攻击者的交互以及消耗。资源、所需工具、可识别性以及可能出现的实际责任问题。另外,从应用到部署,IIoThoneypot/honeynet还需要提前考虑很多方面:比如具体有哪些应用,具体的工业协议,在网络上的部署位置,资源分配(如何保证工业生产通信和控制资源)等等。IIoT蜜罐/蜜网是一种重要的安全方法。该领域一直是一个非常活跃的研究领域。如何将已有的前沿研究应用到生产环境中,并配合其他安全手段,更好地保护IIoT环境的作用,是我们未来需要更加关注的部分。(本部分内容翻译修改自ASurveyofHoneypotsandHoneynetsforInternetofThings,IndustrialInternetofThings,andCyber??-PhysicalSystems(J.Francoetal.2021))参考文献[1]E.Sisinni,A.Saifullah,S.Han,U.Jennehag,M.Gidlund[C].工业物联网:挑战、机遇和方向。IEEE跨。工业信息..2018(4),vol.14,没有。11,第4724-4734页。[2]B.Bordel,R.Alcarria,T.Robles,D.Martín[C]。信息物理系统:将普适感知从控制理论扩展到物联网。普及移动计算。2017,卷。40,第156-184页。[3]A.Humayed,J.Lin,F.Li,B.Luo[C].网络物理系统安全——一项调查。IEEEInternetThingsJ.2017,卷。4,没有。6,第1802-1831页。[4]C.Greer、M.Burns、D.Wollman、E.Griffor[DB/OL]。网络物理系统和物联网。NIST,美国马里兰州盖瑟斯堡。2019年,众议员1900-202。[5]GB/T26790,工业无线网络WIA规范[S].[6]L.Spitzner[DB/OL].蜜罐的价值,第一部分:定义ns和蜜罐的价值。http://www.symantec.com/connect/articles/value-honeypotspart-onedefinitions-and-values-honeypots/,2020年4月14日。[7]P.Kumar,R.Verma[J].对蜜罐安全的最新进展和未来趋势的回顾。诠释。J.Adv。水库。电脑。科学..2017,vol.8,没有。3,第1108-1113页。[8]J.Franco,A.Aris,B.Canberk,A.S.Uluagac[C].物联网、工业物联网和网络物理系统的蜜罐和蜜网调查。IEEE通信调查和教程。2021年,第一卷23,没有。4,第2351-2383页。
