随着科学技术的发展,工控系统逐渐接入互联网,互联网上存在大量的攻击事件,直接影响到工控系统的安全。情况越来越严重了。2010年的伊朗Stuxnet病毒事件、2011年的duqu木马事件、2014年的Havex、2015年的乌克兰电力事件都证明了工控系统安全形势严峻。为了增强工业控制网络的安全性,许多研究人员使用蜜罐技术来保护系统。蜜罐作为一种主动防御技术,可以吸引攻击、分析攻击、推断攻击意图,并对防火墙、IDS、IPS等威胁拦截技术进行补充。蜜罐技术介绍蜜罐的发展主要分为三个阶段:初始阶段,当蜜罐的思想被首次提出时,即蜜罐的形成阶段;中期,蜜罐工具的大规模开发,如DTK、honeyd、honeybrid等工具的提案;后期采用虚拟仿真、真实设备、真实系统、IDS、数据分析工具和数据分析技术综合构建的网络系统进行入侵诱捕。近年来,随着工控安全形势严峻,蜜罐技术在工控领域的应用越来越广泛。从协议的模拟到工控环境的模拟,交互能力越来越高,结构也越来越复杂。在开源工控蜜罐中,主要模拟modbus、s7、IEC-104、DNP3等工控协议。其中conpot和snap7是蜜罐中比较成熟的代表。Conpot实现了s7comm、modbus、bacnet、HTTP等协议的模拟。属于低交互蜜罐。可以形式配置,方便修改和维护。Snap7是西门子PLC的蜜罐,基本上实现了s7comm协议栈。可以模拟实际设备的信息和状态,实现常用PLC操作的交互。但这些主流的虚拟蜜罐只能模拟单一工控协议,因此只能捕获单一工控协议的攻击数据。新型蜜罐技术(主要介绍混合蜜罐)为了提高蜜罐的部署能力,降低蜜罐的部署成本,一些研究人员相继提出了低交互蜜罐和高交互蜜罐混合部署的架构,以及调度一个合适的蜜罐在学术界被称为混合蜜罐。下面是一些例子1.Snort+honeybrid方案在这个方案中,Snort主要是识别交互流量的高低,并通知Honeybrid网关,以方便后续的处理。Honeybrid网关包括决策引擎和重定向引擎,负责协调前端和后端之间的过滤和重定向。决策引擎用于选择感兴趣的流量,重定向引擎用于透明地重定向流量。其中honeybrid是一个典型的混合蜜罐框架,主要有以下四个模块,示意图如下:决策引擎:决定哪个业务需要哪个蜜罐;重定向引擎:决定某些业务是否需要重定向,以进行更详细的分析;控制引擎:限制可能受感染的蜜罐发送的传出网络流量;记录引擎:继续处理数据流以进行详细记录。这四个组件是围绕目标的概念进行阐述的,其中包含基于蜜罐的实验的规范。因此,无论何时我们想要运行一个新的基于蜜罐的实验,我们都必须考虑我们想要收集的流量类型以及我们想要如何收集它,即使用多少粒度和控制程度。一个目标由四个声明组成:一个过滤器规则,它定义了这个目标应该使用tcpdump语法处理的确切流量类型,一个前端规则,它定义了哪个蜜罐应该首先与传入的攻击流量交互,并接受这个传入的流量什么是重定向流量的标准;一个可选的后端规则,它定义了将蜜罐流量重定向到哪个以进行更详细的分析,以及决定重定向流量的标准是什么;一个可选的控制规则,定义如何限制蜜罐发起的传出流量。2.Snort+SDN方案SDN是软件定义网络,以流表的形式完成流量控制。右图为作者提出的混合蜜罐架构图。它主要由一个基于OpenFlow的交换机来管理控制平面,负责重定向攻击者与不同蜜罐之间的连接。在控制平面中,开源IDSSnort用于分析流量以生成警报并通过UNIX套接字将警报消息发送到控制器应用程序。根据告警消息,决策引擎(DE)将决定转发或重定向连接,并通知重定向引擎(RE)执行相应的操作。在上述方案中,使用了Snort工具。Snort是一种入侵检测工具,可以对数据包进行单包分析。监测到数据包后,首先对源数据包进行分析,然后提取特征和匹配规则。从而发出告警信息,原理图如下:在蜜罐框架中,利用了其数据分析功能和告警功能;匹配到相应的信息后,就可以发出信号,以便进行下一个加工程序的加工。总结本文主要介绍蜜罐技术,从蜜罐的起源到发展,以及工控蜜罐的产生和发展。它还描述了典型的蜜罐架构。通过采用这些架构,可以更高效的进行蜜罐部署,同时也让大家对蜜罐技术有一个更全面的了解。蜜罐目前的能力总是取决于蜜罐交互性的指标。为了提高蜜罐的交互性,研究人员采用了多种方法。本文主要介绍如何选择合理的部署方式来提高蜜罐的整体交互性。但是,目前的蜜罐框架大多只是在技术层面上进行了阐述,为了指出无可挑剔的理论基础,还有很多问题需要解决,比如合理的调度基础。这些证据的缺失也是由于我们对攻击缺乏了解,无法获得准确通用的攻击分析方法。
