基于仿真的工控蜜罐研究進展與挑戰(zhàn)

顏欣曄 李 昕 張 博 付安民,

1(南京理工大學網(wǎng)絡(luò)空間安全學院 江蘇江陰 214443)

2(北京計算機技術(shù)及應(yīng)用研究所 北京 100854)

3(南京理工大學計算機科學與工程學院 南京 210094)

工業(yè)控制系統(tǒng)又稱工控系統(tǒng)[1],是由各種自動化控制組件以及對實時數(shù)據(jù)進行采集、監(jiān)測的過程控制組件共同構(gòu)成的確保工業(yè)基礎(chǔ)設(shè)施自動化運行、過程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng).隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)的安全風險也越來越突出.攻擊者可以通過網(wǎng)絡(luò)攻擊入侵工控系統(tǒng),例如通過漏洞或社會工程學技巧誘騙用戶安裝惡意軟件.攻擊者還可以通過繞過訪問控制和身份驗證獲取系統(tǒng)的訪問權(quán)限.針對工控系統(tǒng)的攻擊可能導(dǎo)致工業(yè)基礎(chǔ)設(shè)施癱瘓、生產(chǎn)中斷、經(jīng)濟損失和人身傷害等不良后果[2],已對國家安全和經(jīng)濟穩(wěn)定構(gòu)成了嚴重威脅[3].

2021年,攻擊者攻破了美國佛羅里達州一個水處理廠的控制系統(tǒng),并試圖大幅提高住宅和商業(yè)飲用水中的氫氧化鈉含量占比,使公眾生命安全面臨威脅.2022年,黑客組織Anonymou入侵了白俄羅斯鐵路的內(nèi)部網(wǎng)絡(luò),并關(guān)閉了其內(nèi)部網(wǎng)絡(luò)的所有服務(wù).該攻擊對鐵路列車的運營秩序和乘客的人身安全都造成極大危害.

工控系統(tǒng)具有多方面重要意義,因此需要采取措施保證工控系統(tǒng)安全.傳統(tǒng)的安全措施包括網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)和訪問控制等,但這些方法往往只能進行被動防御,無法完全解決工控系統(tǒng)安全問題.

基于這樣的形勢,工控蜜罐作為一種具有欺騙性的解決方案,受到了越來越多的關(guān)注.它能夠模擬真實工控環(huán)境,吸引攻擊者進入,提供安全監(jiān)測和攻擊情報收集能力,在應(yīng)對零日漏洞或新型攻擊方式時具有優(yōu)勢.工控蜜罐的目標是吸引攻擊者發(fā)起攻擊,監(jiān)測攻擊者行為并收集相關(guān)信息,為后續(xù)安全防御提供參考[4].

本文在對工控蜜罐方案進行研究的基礎(chǔ)上,首先簡要介紹了蜜罐、蜜網(wǎng)的定義以及相關(guān)特性,然后討論了工控蜜罐方案的評估現(xiàn)狀,并根據(jù)工控蜜罐仿真的方式全面分析了基于協(xié)議模擬的方案、基于結(jié)構(gòu)仿真的方案、基于模擬工具的方案以及基于漏洞模擬的方案,從方案和仿真方式2個層面進行了對比與評估,分析了當前工控蜜罐仿真模擬過程面臨的挑戰(zhàn).最后,對工控蜜罐仿真方案未來的研究方向進行了討論和展望.

1 工控蜜罐特點分析

1.1 蜜罐及其特性

1.1.1 蜜罐與蜜網(wǎng)

蜜罐技術(shù)是一種對攻擊方進行欺騙的技術(shù),通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或信息,誘使攻擊方實施攻擊,從而對攻擊行為進行捕獲和分析,了解攻擊方所使用的工具與方法,推測攻擊意圖和動機,并通過技術(shù)和管理手段增強實際系統(tǒng)的安全防護能力[5].

蜜網(wǎng)的定義較寬泛,以一個蜜罐為基礎(chǔ)搭建一套網(wǎng)絡(luò)拓撲即可視為蜜網(wǎng).蜜網(wǎng)可以按照真實環(huán)境構(gòu)建,為攻擊者提供更豐富的入侵接口和更真實的攻擊環(huán)境,并記錄攻擊者的具體攻擊過程[6].

目前各類蜜罐技術(shù)方案并不具備統(tǒng)一的功能標準,采取的誘騙方式、仿真模擬的內(nèi)容以及實現(xiàn)的功能均有不同的側(cè)重點.綜合來看,一個理想的蜜罐方案應(yīng)該包含3個主要功能,即仿真交互、數(shù)據(jù)收集和安全控制,其基本結(jié)構(gòu)如圖1所示:

圖1 蜜罐模型結(jié)構(gòu)

仿真交互是蜜罐技術(shù)中至關(guān)重要的功能.它模擬真實計算機系統(tǒng)或系統(tǒng)的部分功能模塊,誘騙攻擊者發(fā)起行動,以有效地捕獲攻擊行為和發(fā)現(xiàn)安全威脅.為了實現(xiàn)仿真交互,蜜罐通常會模擬受保護系統(tǒng)的各種協(xié)議、數(shù)據(jù)包以及部分功能模塊.仿真交互使攻擊者將蜜罐誤認為真實系統(tǒng)發(fā)起攻擊,從而有效地捕獲攻擊行為,為后續(xù)的數(shù)據(jù)收集和安全控制提供支持.

數(shù)據(jù)收集的目的是記錄攻擊者的所有活動,以便了解攻擊方法、推測攻擊意圖、分析安全威脅以及支持攻擊取證.通常收集3類關(guān)鍵數(shù)據(jù):防火墻日志(入站出站連接)、網(wǎng)絡(luò)流量(數(shù)據(jù)包及其有效負載)和系統(tǒng)活動(攻擊者的輸入、系統(tǒng)調(diào)用、修改的文件等).此外,蜜罐系統(tǒng)為了誘發(fā)攻擊行動,往往配置較弱的安全措施,因此蜜罐捕獲的所有數(shù)據(jù)需要及時轉(zhuǎn)發(fā)到集中的安全數(shù)據(jù)庫中.

安全控制主要用于流量控制和監(jiān)控蜜罐狀態(tài).在流量控制方面,蜜罐通常使用防火墻或其他網(wǎng)絡(luò)安全設(shè)備限制流量進出,從而防止攻擊者對蜜罐進行橫向滲透或者攻陷蜜罐成為跳板進行外部攻擊[7].在監(jiān)控蜜罐狀態(tài)方面,一旦發(fā)現(xiàn)攻擊者利用蜜罐發(fā)起攻擊行為,蜜罐系統(tǒng)立刻采取措施阻止攻擊并回滾至良好狀態(tài),避免被攻擊者利用展開后續(xù)攻擊.此外,安全控制還需要保證蜜罐的完整性和可用性,在攻擊者占用過多資源或發(fā)起破壞性行動時及時恢復(fù)蜜罐系統(tǒng),保障蜜罐的正常運行.

1.1.2 蜜罐的特性

自蜜罐概念首次提出至今,其應(yīng)用領(lǐng)域不斷拓展和深入,逐漸表現(xiàn)出多種特性[8].如表1所示:

表1 蜜罐的特性

主要特性包括交互性、角色、擴展性、資源類型和適應(yīng)性5種.

1) 交互性[9]:指蜜罐的交互能力.交互能力極大地影響蜜罐在仿真模擬中表現(xiàn)出來的真實性.根據(jù)交互性由弱到強,可以將蜜罐劃分為低、中和高交互蜜罐[10].

2) 角色[11]:指蜜罐在多層體系結(jié)構(gòu)中的位置.根據(jù)角色可將蜜罐分為服務(wù)器蜜罐和客戶端蜜罐.服務(wù)器蜜罐通過模擬服務(wù)器端的軟硬件吸引攻擊者,檢測和監(jiān)控攻擊行為,一般被動地等待攻擊的到來.客戶端蜜罐則具有主動性,可以模擬瀏覽惡意網(wǎng)站、下載文件等操作,從而引誘攻擊者接觸蜜罐.

3) 擴展性:指蜜罐模擬的設(shè)備或服務(wù)的數(shù)量能否動態(tài)變化.根據(jù)擴展性可將蜜罐分為可擴展蜜罐和不可擴展蜜罐.不可擴展的蜜罐只具備固定數(shù)量(1個或多個)誘餌的仿真模擬能力,如XPOT[12];而可擴展蜜罐可以動態(tài)地部署多個誘餌,如IoTCandyJar[13].

4) 資源類型[14]:指蜜罐的實現(xiàn)形式,也就是蜜罐作為誘餌的實際存在狀態(tài).根據(jù)資源類型可將蜜罐分為物理蜜罐、虛擬蜜罐和混合蜜罐3類.物理蜜罐是指運行在真實物理機器上的控制系統(tǒng),具有高交互性和真實性.但單個物理蜜罐只有1個IP地址,在大規(guī)模系統(tǒng)中為每個IP地址或設(shè)備部署物理蜜罐代價過高.而虛擬蜜罐使用虛擬系統(tǒng)作為誘餌,可以在1臺物理機器上同時托管多個虛擬IP地址.混合蜜罐將兩者結(jié)合,在與攻擊者交互時優(yōu)先使用虛擬蜜罐進行欺騙,當仿真響應(yīng)欺騙性不足時由物理設(shè)備進行彌補.

5) 適應(yīng)性:指蜜罐在變化的環(huán)境中自適應(yīng)地改變配置的能力,分為靜態(tài)型蜜罐和動態(tài)型蜜罐.靜態(tài)型蜜罐需要事先手動配置,無法適應(yīng)入侵事件的實時變化.相比之下,動態(tài)蜜罐能夠?qū)崟r適應(yīng)特定的事件和環(huán)境變化,提高蜜罐的誘騙效果,為系統(tǒng)提供更好的安全保障.

1.2 工控蜜罐與評估

1.2.1 工控蜜罐

隨著工業(yè)化程度的不斷提高,工控系統(tǒng)的規(guī)模越來越大,功能越來越復(fù)雜.工控系統(tǒng)組件包括數(shù)據(jù)采集與監(jiān)視控制(supervisory control and data acquisition, SCADA)系統(tǒng)[15]和可編程邏輯控制器(programmable logic controller, PLC)[16]等.工控蜜罐的目標可以是仿真工控系統(tǒng)的某一個組件,也可以是構(gòu)建大型仿真系統(tǒng)模擬整個工控系統(tǒng).

工控蜜罐的基礎(chǔ)是通用型蜜罐.不過,工控蜜罐相比通用型蜜罐存在一些明顯區(qū)別,主要包括以下3個方面:

1) 工控蜜罐和通用型蜜罐的保護對象不同.通用型蜜罐的保護對象通常是操作系統(tǒng)和程序等虛擬資源,目標是更好地提升系統(tǒng)的安全性[17].而工控系統(tǒng)復(fù)雜龐大,架構(gòu)方式各異,各個設(shè)備獨立且設(shè)備本身就具有價值.因此,工控蜜罐專注于保護實際物理世界中的設(shè)備.

2) 工控蜜罐面對的攻擊相較于通用型蜜罐更具專業(yè)性.工控系統(tǒng)攻擊者通常需要具備工業(yè)控制和自動化的專業(yè)知識,了解特定的工業(yè)協(xié)議和設(shè)備,熟悉控制系統(tǒng)的操作[18].此外,攻擊者還需要了解工控網(wǎng)絡(luò)的拓撲結(jié)構(gòu),找到弱點從而順利入侵系統(tǒng).這樣強大的攻擊者具有高度危險性和強誘餌識別能力.因此,工控蜜罐一般需要考慮強欺騙性的高交互方案.

3) 工控蜜罐具有高度的定制化需求.工控環(huán)境通常由多種類型的工控設(shè)備組成,不同設(shè)備的結(jié)構(gòu)和設(shè)備間通信都具有較大差異性,因此工控蜜罐需要模擬不同型號工控設(shè)備支持的協(xié)議和不同模塊的通信原理,以滿足特定的仿真需求.定制化的仿真使得攻擊者更難以區(qū)分真實工控系統(tǒng)和蜜罐,并進一步降低攻擊成功率.

1.2.2 工控蜜罐評估

現(xiàn)有的工控蜜罐方案具有不同的性質(zhì)、功能和模擬方式.目前,對于工控蜜罐的評估仍缺乏統(tǒng)一的衡量標準.絕大多數(shù)工控蜜罐方案在實驗評估階段將工控蜜罐暴露在公網(wǎng)上,根據(jù)捕獲到惡意流量的數(shù)量評估蜜罐的能力,部分工控蜜罐方案會對這些惡意流量的攻擊方式、來源等作進一步分析[19].不過,僅僅根據(jù)捕獲到的惡意流量數(shù)量評估工控蜜罐方案是片面的,因為部署位置、部署時長等因素都可能對捕捉到的惡意流量的數(shù)量造成影響.

改進型的工控蜜罐方案常常采取對比的評估方式.改進型方案一般是針對之前蜜罐方案的不足作出改進后形成的新方案,因此需要和基礎(chǔ)方案進行對比實驗.例如,文獻[20]與基礎(chǔ)方案的對比結(jié)果充分顯示了其在原方案基礎(chǔ)上的改進效果.不過,這無法說明此方案相較于其他眾多方案的優(yōu)勢.工控蜜罐需要更豐富的評估指標.

在評估中可以定義工控蜜罐需要具備的各種性質(zhì),并將滿足的性質(zhì)種類數(shù)量作為衡量工控蜜罐方案技術(shù)水平的指標.工控蜜罐的指紋、數(shù)據(jù)捕獲、欺騙性和智能等屬性[21]都可以衡量蜜罐水平.除此之外,實時性、可擴展性、易用性等都可以作為評估工控蜜罐方案的參考指標.

欺騙性是工控蜜罐最重要的特性之一,但是難以進行數(shù)值化的評估.這是因為欺騙性是基于對攻擊者心理預(yù)期的理解,需要根據(jù)具體的情境和攻擊目標來設(shè)計和實現(xiàn).在HoneyPLC[22]的實驗評估中使用了Nmap[23]和Shodan[24]2種可對欺騙性進行量化的評估工具對IP地址進行可信度評估并打分.這種方式能夠量化地評估工控蜜罐的欺騙性,使用統(tǒng)一工具掃描也會使對比結(jié)果更可靠.

2 基于仿真的工控蜜罐分析

目前的工控蜜罐方案大致可以分成基于真實設(shè)備的工控蜜罐方案和基于仿真的工控蜜罐方案.其中,基于真實設(shè)備的工控蜜罐方案普遍的研究目的是分析捕獲到的惡意樣本[25].本文重點關(guān)注工控蜜罐的結(jié)構(gòu)設(shè)計與實現(xiàn)方法,對基于仿真的工控蜜罐方案進行深入分析,并將其分類為基于協(xié)議模擬的方案、基于結(jié)構(gòu)仿真的方案、基于模擬工具的方案、基于漏洞模擬的方案和基于混合模擬的方案,本節(jié)將介紹各個類別的代表性方案并進行對比.

2.1 基于協(xié)議模擬的工控蜜罐

基于協(xié)議模擬的方案是一種主流的工控蜜罐方案.這種方案通常不考慮設(shè)備的內(nèi)部結(jié)構(gòu),而是把重心放在仿真工控協(xié)議的交互功能上,其實現(xiàn)難度主要在于分析并模擬各廠商的私有協(xié)議.這些私有協(xié)議通常是一套廠商自定的不全部公開的協(xié)議標準,一般只適用于本企業(yè)的全部或部分產(chǎn)品設(shè)備,因此模擬難度較大.

Xiao等人[26]提出了基于西門子S7comm[27]協(xié)議的工控蜜罐方案S7commTrace.該方案對S7comm協(xié)議的結(jié)構(gòu)和功能碼作了詳細的研究,因此對西門子S7系列設(shè)備的模擬仿真度較高;與開源工控蜜罐Conpot[28]相比,S7CommTrace能夠接收更多連接請求,捕獲到更多攻擊數(shù)據(jù);此外,該方案并未被掃描工具Shodan識別為蜜罐,這表示其具有較高交互性和欺騙性.

不過,S7CommTrace的數(shù)據(jù)來源只有西門子S7-300,并且專注于對S7comm協(xié)議的研究和復(fù)現(xiàn).然而即使是來自同一廠商,不同型號PLC之間的差異性也相當大,因此該方案擴展性低,需要通過擴充更多協(xié)議功能來進行彌補.

López-Morales等人[22]提出一種基于通用型蜜罐honeyd[29]的方案HoneyPLC,實現(xiàn)了一些主要的協(xié)議模擬,包括TCP/IP,S7comm,HTTP,SNMP,方案結(jié)構(gòu)如圖2所示:

圖2 HoneyPLC方案結(jié)構(gòu)

HoneyPLC致力于提高欺騙性和擴展性.在欺騙性方面,編寫了對應(yīng)的服務(wù)器應(yīng)用程序模擬交互協(xié)議;設(shè)計了一個配置工具自動生成目標PLC的配置文件,從而增強與攻擊者的交互能力.在擴展性方面,HoneyPLC可以模擬西門子S7-300等多個來自不同廠商的PLC,模擬結(jié)果與真實PLC非常接近.

不過,從實驗結(jié)果來看,HoneyPLC對于Allen-Bradley MicroLogix1100[30]和ABBPM554-TP-ETH[31]這2款PLC模擬是不理想的,這是因為方案側(cè)重于復(fù)現(xiàn)西門子S7系列的功能,而這2款PLC的配置數(shù)據(jù)與西門子PLC存在差異.

基于協(xié)議模擬的方案基本上都能得到比較理想的結(jié)果,往往具有較高的交互和仿真能力.不過,這類方案通常只能在少量協(xié)議的模擬中取得良好的表現(xiàn).需要考慮結(jié)合其他模擬仿真方法,或是在模擬協(xié)議的數(shù)量上作出大型的整合.

2.2 基于結(jié)構(gòu)仿真的工控蜜罐

基于結(jié)構(gòu)仿真的方案通過模擬工控設(shè)備模塊功能結(jié)構(gòu)提高蜜罐欺騙性,以盡可能多地與攻擊者進行交互,從而收集攻擊者的行為信息和攻擊策略.

中交互工控蜜罐方案XPOT[12]明確提出實現(xiàn)基于結(jié)構(gòu)仿真工控設(shè)備,目標是和攻擊者進行最大限度的交互.XPOT仿真西門子S7-300設(shè)備,支持攻擊者在蜜罐中執(zhí)行PLC程序.該工控蜜罐支持攻擊者下載和上傳程序,調(diào)試運行中的程序,檢查和修改內(nèi)存區(qū)域等.XPOT的優(yōu)勢在于可以提供更加真實的攻擊場景,從而更好地吸引攻擊者并獲得攻擊數(shù)據(jù).

然而,當使用專業(yè)性更強的攻擊者數(shù)據(jù)進行實驗時,XPOT和真實PLC診斷輸出結(jié)果產(chǎn)生差異.由此可見,從底層邏輯結(jié)構(gòu)對物聯(lián)網(wǎng)設(shè)備進行仿真模擬的難度非常大.

基于結(jié)構(gòu)仿真的蜜罐方案可以看作是協(xié)議模擬的延伸,它不但包含對協(xié)議的模擬,還包括對工控設(shè)備底層邏輯的理解與實現(xiàn).相較于協(xié)議模擬方案,基于結(jié)構(gòu)仿真的方案交互性大大增強.在對PLC的諸多攻擊方式中,一類具有破壞力的方式是PLC注入攻擊[32].而基于結(jié)構(gòu)仿真的工控蜜罐方案在PLC仿真中表現(xiàn)出較強的欺騙性.在面對真實的攻擊者時,結(jié)構(gòu)仿真型方案的重要性逐漸凸顯.

2.3 基于模擬工具的工控蜜罐

在對工控環(huán)境進行模擬作業(yè)時研究人員也會使用網(wǎng)絡(luò)模擬器創(chuàng)建工控蜜網(wǎng).涉及的通常有SNAP7[33]模擬器、IMUNES模擬器、SoftGrid[34]工具包、PowerWorld[35]模擬器以及Mininet[36]模擬器.

Mashima等人[37]基于Mininet仿真工具模擬了包括互連變電站在內(nèi)的整個通信基礎(chǔ)設(shè)施.這是一個基于電力互聯(lián)網(wǎng)的高保真電力站蜜網(wǎng)的設(shè)計方案,用于模擬和監(jiān)測針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊和入侵.該蜜網(wǎng)允許攻擊者探測電網(wǎng)視圖.當攻擊者要對電網(wǎng)進行控制時,電流、電壓和頻率的變化等都將可見.該方案可以有效模擬環(huán)形拓撲,同時,基于Nmap和Shodan的測試都表明其具有欺騙性.

Ding等人[38]基于IMUNES模擬了一個工控蜜網(wǎng),基于可定制的Docker鏡像模擬路由器、交換機等設(shè)備節(jié)點.同時,使用改進的SNAP7工具進行西門子PLC的仿真,實現(xiàn)西門子PLC之間的通信.此方案在實驗環(huán)節(jié)測試了其可用性和蜜罐指紋的欺騙性.實驗結(jié)果表明,它可以響應(yīng)和檢測各種攻擊,為工控系統(tǒng)的安全防護提供了一種新的思路和方案.

基于模擬工具的方案通常借助模擬器的便利性,快速模擬較大數(shù)量的虛擬設(shè)備,建立虛擬節(jié)點.在對大型工控環(huán)境進行模擬和仿真時,基于模擬工具的方案往往能夠取得較好效果.但在真實性方面,此類方案的實現(xiàn)效果對模擬工具的依賴性大,通常需要考慮改進模擬器功能彌補不足.

2.4 基于漏洞模擬的工控蜜罐

基于漏洞模擬的方案可以模擬特定的設(shè)備漏洞,吸引攻擊者進行檢測和攻擊,以捕獲和分析惡意代碼,對擅于利用漏洞的攻擊者尤其造成干擾.

Zhang等人[39]聚焦2018年暴露最多的SOAP端口,在CVE-2017-17215漏洞的基礎(chǔ)上設(shè)計了一個基于漏洞模擬的方案.如圖3所示:

圖3 基于漏洞模擬的工控蜜罐結(jié)構(gòu)

方案將1個中高交互蜜罐、1個多端口蜜罐和1個高交互蜜罐集成為1個蜜網(wǎng).其中,中高交互蜜罐利用真實物聯(lián)網(wǎng)設(shè)備的漏洞模擬SOAP服務(wù);由于SOAP漏洞涉及UPnP的設(shè)備體系結(jié)構(gòu)、SOAP服務(wù)和HTTP協(xié)議,攻擊者會使用多個端口進行攻擊,因此引入多端口蜜罐實現(xiàn)這方面的功能模擬;當模擬協(xié)議處理請求失敗時,攻擊者很可能會中斷連接,因此使用真實的物聯(lián)網(wǎng)設(shè)備處理中高交互模擬蜜罐無法處理的請求.不過,此方案測試結(jié)果較少,設(shè)備的交互能力和設(shè)備指紋的仿真功能也難以被驗證.

基于漏洞模擬的工控蜜罐方案圍繞指定漏洞展開仿真模擬工作,其結(jié)果比其他方案更容易吸引惡意流量,在較短時間內(nèi)獲得較多數(shù)據(jù).然而這種方案需要考慮時效性,不斷更新漏洞以吸引攻擊,或者考慮整合高關(guān)注度漏洞.

2.5 基于混合模擬的工控蜜罐

基于混合模擬的方案將蜜罐技術(shù)與其他前沿技術(shù)結(jié)合,核心在于提升蜜罐系統(tǒng)的自身效果.例如將蜜罐技術(shù)與機器學習結(jié)合,通過學習已有設(shè)備的應(yīng)答,訓練最佳應(yīng)答模式,提高擴展性.

Luo等人[13]提出了智能交互式蜜罐IoTCandyJar,旨在吸引和收集針對物聯(lián)網(wǎng)設(shè)備的攻擊,方案結(jié)構(gòu)如圖4所示:

圖4 IoTCandyJar結(jié)構(gòu)

IoTCandyJar模擬真實設(shè)備的行為和響應(yīng),理論上可以仿真眾多物聯(lián)網(wǎng)設(shè)備,能夠根據(jù)攻擊者的行為動態(tài)地改變其欺騙策略,從而更好地欺騙攻擊者并收集有價值的攻擊數(shù)據(jù).此方案在對物聯(lián)網(wǎng)設(shè)備的仿真方式上進行了擴展,采用機器學習的方式制作發(fā)送給攻擊方的虛假應(yīng)答,具有很高擴展性,可以模擬多種物聯(lián)網(wǎng)設(shè)備.

如何提升基于混合模擬方案的功能性也是一個不小的挑戰(zhàn).考慮到從網(wǎng)絡(luò)上學習到的數(shù)據(jù)中會有正常應(yīng)答、受到攻擊的應(yīng)答以及虛假應(yīng)答[40],分析這些應(yīng)答語義需要更加謹慎.一旦實現(xiàn)結(jié)果可靠,工控蜜罐就能具備良好的可擴展性,以便在不同的工控系統(tǒng)和場景中進行部署使用.

2.6 對比分析

工控蜜罐與其他安全防護手段區(qū)別開的特點在于其對攻擊方的欺騙性有助于獲取重要的攻擊方惡意代碼[41].因此,工控蜜罐的設(shè)計應(yīng)該盡可能提高交互能力,同時,為了更好地捕獲攻擊者注入的惡意代碼,工控蜜罐的設(shè)計也需要考慮如何更好地模擬真實系統(tǒng)及軟件、硬件和網(wǎng)絡(luò)環(huán)境等,進一步提高工控系統(tǒng)的安全性.

表2對前文中提到的工控蜜罐方案進行了對比分析.下面分別對表2中的7個蜜罐和5類蜜罐方案進行深入分析.

表2 蜜罐方案對比

7個蜜罐方案各自呈現(xiàn)出不同的特性.由于交互性尚不具備規(guī)范化的標準,表2中的交互性遵循了方案自身的定義.各方案都以高交互蜜罐為目標,對自身提出了較高的欺騙性要求.其中方案3由于實現(xiàn)效果與預(yù)期不符,自評價為中交互蜜罐;捕獲能力指工控蜜罐在誘騙后保存交互數(shù)據(jù)的能力.方案1,2,6,7都捕獲了惡意流量并提供給后續(xù)分析,而方案3,4,5側(cè)重于吸引攻擊為真實系統(tǒng)分擔壓力,因此未設(shè)計數(shù)據(jù)捕獲功能;安全控制指的是工控蜜罐防止被利用或者被攻陷的防護措施,只有方案6進行了安全控制設(shè)計.指紋偽造對于工控蜜罐真實性的影響很大.當前各種掃描工具趨于成熟,因此有必要在蜜罐中實現(xiàn)指紋偽造,方案2,4,5,6均考慮了這方面的因素.

通過分析5類基于仿真的工控蜜罐方案,得到如下結(jié)論:

1) 基于協(xié)議模擬的方案成果比較顯著.由于各個廠商都有自己的私有協(xié)議,增加了協(xié)議模擬的難度,導(dǎo)致協(xié)議的具體實現(xiàn)可能和真實環(huán)境下存在一些細微差別.不過,隨著私有協(xié)議的深入研究和復(fù)現(xiàn),對于這些私有協(xié)議的模擬難度已經(jīng)逐漸降低,這也讓工控蜜罐方案更具有可行性和實用性.

2) 基于結(jié)構(gòu)仿真的方案目前成果較少,難度較大.最理想的高交互狀態(tài)是做到和真實工控系統(tǒng)近乎相同的交互能力;在蜜罐和工控系統(tǒng)對同一個輸入作出連接應(yīng)答時,它們的差距越小,越能欺騙攻擊者注入惡意代碼.而如何從物聯(lián)網(wǎng)設(shè)備的底層邏輯上對其進行仿真是工控蜜罐領(lǐng)域一個很具有挑戰(zhàn)性的內(nèi)容.

3) 使用模擬工具實現(xiàn)仿真功能的蜜罐方案通常更加注重仿真程度.這類方案的目標是通過模擬大型工控環(huán)境系統(tǒng)吸引攻擊者,并使其相信他們正在攻擊真實的工控生產(chǎn)環(huán)境.

4) 基于漏洞的方案具有特殊性.一方面,模擬已存在的漏洞會使蜜罐暴露在更多風險下,獲得更多資料;另一方面,此類方案具有一定的時效性,因為往往最新的漏洞最容易受到攻擊,一個漏洞在引起足夠的關(guān)注或是被修復(fù)之后,蜜罐方案也需要同步升級才能繼續(xù)實現(xiàn)誘騙能力.

5) 基于混合模擬的方案致力于將不同技術(shù)和蜜罐結(jié)合在一起.在工控蜜罐領(lǐng)域,出現(xiàn)了將機器學習與蜜罐結(jié)合的方案,這種方案理論上具有極高的擴展性,由于目前還不具備較好的方案評估標準,因此未能判定這類方案擴展性的實現(xiàn)程度.

3 挑戰(zhàn)與展望

未來,工控蜜罐將面臨更加復(fù)雜和多樣化的攻擊,需要更加高效智能的蜜罐技術(shù)保護工控系統(tǒng)的安全.在這一點上工控蜜罐技術(shù)仍然存在許多不足.本文對工控蜜罐技術(shù)的挑戰(zhàn)和未來展望總結(jié)如下:

1) 高交互的工控蜜罐方案設(shè)計.

目前的工控蜜罐提供的交互性有限,例如模擬少量的PLC操作或者響應(yīng)少量的協(xié)議命令,面對逐漸專業(yè)化的PLC攻擊方式效果不佳[42].未來的工控蜜罐需要支持更豐富的交互操作,通過模擬真實工業(yè)控制系統(tǒng),盡可能還原實際系統(tǒng)的功能和性能,以提高欺騙效果[43].

2) 增加支持協(xié)議的種類與整合兼容.

工控系統(tǒng)有其特殊性.工控系統(tǒng)中的設(shè)備和網(wǎng)絡(luò)通信方式與一般的計算機系統(tǒng)不同,不同應(yīng)用場景中使用的工控協(xié)議也不一而足.當前的工控蜜罐領(lǐng)域,模擬工控協(xié)議和運用仿真工具的方案已有一定的成果,需要考慮的是在模擬協(xié)議的數(shù)量上作一個大的整合和兼容.另外,目前的工控蜜罐主要針對S7協(xié)議進行模擬,未來的工控蜜罐需要支持更多種類的協(xié)議,例如Modbus,DNP3等,以滿足更廣泛的工控設(shè)備的模擬需求.

3) 提出全面的量化評估標準.

縱觀工控蜜罐的諸多方案,目前對于方案的性能評估沒有一個較好的衡量標準.當前工控蜜罐的評估方式只能證明方案的有效性,但對于功能性沒有較為權(quán)威性的統(tǒng)一標準,因此方案之間難以對比優(yōu)劣.可以從2個方向考慮改進:一是整合工控蜜罐的特性,按照一個方案具備特性的數(shù)量來作對比,或是參考Shodan等掃描工具,制定權(quán)威性的指標對蜜罐的特性進行量化評估.

4) 將蜜罐技術(shù)與前沿技術(shù)融合.

未來的工控蜜罐需要更加緊密地融合其他前沿技術(shù),以提供更加全面的安全防護和威脅分析能力.通過機器學習等技術(shù),工控蜜罐可以自動學習攻擊特征和設(shè)備應(yīng)答,進而實現(xiàn)更加精準和智能的攻擊識別和防御.其次,將工控蜜罐與區(qū)塊鏈技術(shù)相結(jié)合,可以提高蜜罐系統(tǒng)的安全性和可信度[44].另外,使用虛擬機和容器化技術(shù)可以模擬不同的操作系統(tǒng)和應(yīng)用程序版本,提高欺騙性.

5) 降低對工控系統(tǒng)實時性的影響.

由于工控系統(tǒng)通常具有高度的實時性和穩(wěn)定性要求,工控蜜罐需要確保其不會對實際工控系統(tǒng)的運行產(chǎn)生任何負面影響.這就要求工控蜜罐的設(shè)計和實現(xiàn)要充分考慮與真實工控系統(tǒng)的兼容性,以保證其對實際系統(tǒng)的影響最小化[45].

4 結(jié) 語

隨著工控系統(tǒng)的網(wǎng)絡(luò)化、受攻擊方式逐漸多樣化,工控蜜罐的重要性逐漸凸顯.工控蜜罐方案普遍注重自身的欺騙性,并在交互性、真實性和擴展性等方面各自提出了改進方案.在設(shè)計工控蜜罐仿真模擬的功能時,需要克服物理設(shè)備上的差異性,為了偽裝成真實的工控環(huán)境,這些方案采取的仿真模擬方式各有不同.本文對工控蜜罐方案進行了調(diào)研和分析,梳理當前模擬和仿真的思路,主要介紹了7種工控蜜罐方案.最后闡述了目前研究中存在的問題和挑戰(zhàn),并對未來的研究與發(fā)展方向進行了展望.