CN108833333A - 一种基于dcs分布式控制的蜜罐系统 - Google Patents

Abstract

本发明实施例公开一种基于DCS分布式控制的蜜罐系统，包括：分布式仿真控制器，用于仿真Modbus协议、S7协议和Profibus‑DP协议，基于所仿真的工业通信协议在蜜罐系统接收到固件信息读取请求时，通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息并通过协议解析脚本组成响应报文进行反馈，以及基于所仿真的工业通信协议支持对现场级I/O设备的状态查询和参数修改；仿真I/O设备，为现场级I/O设备，用于作为参与通信的从站，通过状态文本记录从站属性信息及I/O设备状态，以及通过调用Profibus‑DP仿真脚本解析报文并根据所获得的功能码及数据信息对状态文本读写。本发明实施例能实现分布式仿真控制器与现场级I/O设备的交互功能并记录全部交互数据。

Description

一种基于DCS分布式控制的蜜罐系统

技术领域

本发明实施例涉及蜜罐系统技术领域，具体涉及一种基于DCS分布式控制的蜜罐系统。

背景技术

工业控制系统是电力、交通、能源等国家重要基础设施的核心。随着工业化与信息化的不断融合，为了进一步实现业务协同和信息共享，工业控制系统逐渐地开始采用通用的硬件模块、软件系统，以及标准的通信协议，甚至在某些特殊情况下，还会连接至互联网等公共网络中。网络攻击技术快速发展，工业控制系统对安全威胁防护手段落后、防护能力不足，使得工业控制系统在面对越来越多的安全威胁的同时，不能够有效地应对黑客的攻击。传统的网络安全防御技术主要采用防火墙、防病毒、入侵检测等被动防御手段，防御效果有限，很难应对大规模、自动化的网络攻击行为。主动防御技术克服了传统被动防御的不足，能够预测攻击形式、动态加固防御系统、实时响应检测到的网络攻击，是目前重要的研究方向。

DCS(分布式控制系统)是一种被广泛地应用在电力、冶金、石化等行业的工业控制系统。DCS系统可被视为一种计算机系统，该系统可分为过程级和过程监控级，以通信网络作为纽带，能够实现分散控制、集中操作、分级管理、配置灵活等，具有连续控制、批量控制、逻辑顺序控制和数据采集等功能。但DCS系统的安全配置薄弱，权限门槛低，且普遍存在系统漏洞，导致其面临着较为严峻的安全性问题，例如易被黑客突破、易被未授权用户非法接入、监听、窃取信息或篡改信息等。但目前针对DCS系统安全问题的研究并不多，无法明确针对DCS系统的黑客攻击行为。为了能够观察和记录针对DCS系统的攻击，揭示未知的攻击方式，现有技术中采用了蜜罐技术。在安全领域的研究中，蜜罐作为一种入侵诱捕的方式，主要作用是引诱攻击者对其进行攻击，并在攻击的过程中对攻击行为进行详细的记录。蜜罐被定义为一种安全资源，只有在被探测、攻击或者摧毁的时候才能够体现蜜罐的价值。也就是说，蜜罐的功能就是伪装成目标系统，以吸引攻击者对其进行探测或攻击，并对其中所有的操作进行监视和记录。蜜罐能够提供较传统入侵检测系统更为详细的攻击信息，且提升了剔除噪声数据的能力，虽然不能直接提升真实系统的安全性能，但却能够提供可用于分析的有价值的数据。

目前，通用的蜜罐分类方式有三种：按照使用目的分类、按照实现方式分类及按照交互方式分类。按照使用目的，能够将蜜罐分为研究型蜜罐和商业性蜜罐：研究型蜜罐主要用于研究，帮助研究者吸引攻击且收集攻击数据，以分析攻击目的及攻击手段，对发现新型攻击、研究攻击行为方式、丰富攻击行为特征库等都有较为重要的作用；商业型蜜罐主要由开发商开发，通过伪装目标系统，尽量长时间地吸引攻击者的注意力，为真实系统的防御争取尽可能多的时间。按照实现方式，蜜罐可分为单机和分布式两种：单机蜜罐的目的性较强，仅使用一台主机(一种操作系统)进行服务或漏洞的仿真；分布式蜜罐可以由多个主机采用多种操作系统构成一个真实的网络系统，相较于单机蜜罐，能够收集更加全面的数据，应用范围也相对广泛。但目前还没有针对工业控制蜜罐的权威性分类标准。现有技术中提出了一种基于工控PLC(可编程逻辑控制器)蜜罐的分类方式，将工控PLC设备抽象为一个主机和由该主机运行的一个程序，然后根据攻击者与主机、该主机所运行的程序的交互程度将工控蜜罐分为3类：低交互：攻击者能够与主机进行交互，但不能够与主机中运行的程序进行交互；中交互：攻击者能够与主机和主机中运行的程序进行交互；高交互：攻击者不仅能够与主机和主机中运行的程序进行交互，还能够对主机中运行的程序进行读写操作。但是，目前工控领域的蜜罐研究普遍针对PLC设备，而没有将DCS系统作为研究目标。

鉴于此，如何提供一种基于DCS分布式控制的蜜罐系统成为目前需要解决的技术问题。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种基于DCS分布式控制的蜜罐系统。

第一方面，本发明实施例提出一种基于DCS分布式控制的蜜罐系统，包括：分布式仿真控制器和仿真I/O设备；

所述仿真I/O设备为现场级I/O设备；

所述分布式仿真控制器，用于实现对Modbus协议、S7协议和Profibus-DP协议的仿真，并基于所仿真的工业通信协议，在所述蜜罐系统接收到固件信息读取请求时，通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息，并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端，以及基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改；

所述仿真I/O设备，用于作为参与通信的从站，通过一个状态文本记录从站的属性信息及I/O设备状态，以及通过调用Profibus-DP仿真脚本解析报文，并根据所获得的功能码及数据信息对状态文本读写。

可选地，所述分布式仿真控制器包括：控制器、第一PLC设备和第二PLC设备；

所述控制器连接以太网，所述以太网通过Modbus协议连接所述第一PLC设备，所述以太网通过S7协议连接所述第二PLC设备；所述控制器还连接现场总线，并通过Profibus-DP协议连接所述仿真I/O设备；

其中，所述第一PLC设备，用于实现基于以太网的Modbus协议的仿真；

所述第二PLC设备，用于实现基于以太网的S7协议的仿真；

所述控制器，用于实现基于串口的Profibus-DP协议的仿真。

可选地，所述第一PLC设备，包括：Modicon设备。

可选地，所述第二PLC设备，包括：S7-300设备。

可选地，所述控制器，具体用于Profibus-DP协议解析和Profibus-DP协议仿真实现；

其中，所述Profibus-DP协议解析承担所述控制器与所述现场级I/O设备之间的实时数据交换任务；

所述Profibus-DP协议仿真实现中Profibus-DP协议的仿真保留了物理层部分，使用软件脚本实现了基于串口的物理层数据的收发；接收相应报文时，首先由物理层脚本从串口读取数据，链路层脚本接收物理层脚本传送的数据并按照规定的报文格式打包成数据帧，继而提交给应用层脚本，最后由调用应用层脚本的仿真设备对不同报文做出响应。

可选地，所述分布式仿真控制器基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改，包括：

所述控制器针对接收到的状态查询/参数修改的命令，通过协议解析脚本生成对应的通信报文，并通过总线或以太网将所述通信报文发送至对应的现场级I/O设备；或者从以太网、总线接收报文，通过协议解析脚本对接收的报文进行解析，并将解析结果显示出来。

可选地，所述仿真I/O设备，包括：树莓派。

由上述技术方案可知，本发明实施例提供的一种基于DCS分布式控制的蜜罐系统，使用Virtual(虚拟)DCS仿真技术设计并实现了一种基于工业DCS控制系统核心控制模块仿真的研究型单机蜜罐，以DCS系统核心控制功能为基础，通过仿真了控制器、现场级I/O(输入/输出)设备和工业通信协议，实现了分布式仿真控制器与仿真的现场级I/O设备的交互功能，能够抓取并记录全部交互数据，以供后续能够基于这些交互数据对DCS系统的安全现状进行分析，揭示针对DCS系统的未知攻击行为，提升DCS系统防御黑客攻击的能力。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种基于DCS分布式控制的蜜罐系统的结构示意图；

图2为本发明另一实施例提供的一种基于DCS分布式控制的蜜罐系统的结构示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

图1示出了本发明一实施例提供的一种基于DCS分布式控制的蜜罐系统的结构示意图，如图1所示，本实施例的基于DCS分布式控制的蜜罐系统，包括：分布式仿真控制器0和仿真I/O设备6；

所述仿真I/O设备6为现场级I/O设备；

所述分布式仿真控制器0，用于实现对Modbus协议、S7协议和Profibus-DP协议的仿真，并基于所仿真的工业通信协议，在所述蜜罐系统接收到固件信息读取请求时，通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息，并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端，以及基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改；

所述仿真I/O设备6，用于作为参与通信的从站，通过一个状态文本记录从站的属性信息及I/O设备状态，以及通过调用Profibus-DP仿真脚本解析报文，并根据所获得的功能码及数据信息对状态文本读写。例如，所述仿真I/O设备6支持所述分布式仿真控制器0对其进行状态查询和参数修改或对状态查询及参数修改的报文做出响应。

可以理解的是，所述仿真I/O设备6中维护着一个状态文本，所述状态文本用于记录从站的属性信息及I/O设备状态。

在具体应用中，本地信息文本中包含所仿真的控制器的固件信息，如生产厂商、CPU型号信息、Memory型号信息等内容。

本实施例的一种基于DCS分布式控制的蜜罐系统，使用Virtual(虚拟)DCS仿真技术设计并实现了一种基于工业DCS控制系统核心控制模块仿真的研究型单机蜜罐，以DCS系统核心控制功能为基础，通过仿真了控制器、现场级I/O(输入/输出)设备和工业通信协议，实现了分布式仿真控制器与仿真的现场级I/O设备的交互功能，能够抓取并记录全部交互数据，以供后续能够基于这些交互数据对DCS系统的安全现状进行分析，揭示针对DCS系统的未知攻击行为，提升DCS系统防御黑客攻击的能力。本实施例的蜜罐系统填补了对于DCS系统进行蜜罐研究的空白，能够为揭示针对工业控制系统的未知攻击方式和帮助真实系统避免网络攻击提供有研究价值的数据。

进一步地，可参考图2，在上述实施例的基础上，所述分布式仿真控制器0可以包括：控制器1、第一PLC设备3和第二PLC设备4；

所述控制器1连接以太网2，所述以太网2通过Modbus协议连接所述第一PLC设备3，所述以太网2通过S7协议连接所述第二PLC设备4；所述控制器1还连接现场总线5，并通过Profibus-DP协议连接所述仿真I/O设备6；

其中，所述第一PLC设备3，用于实现基于以太网2的Modbus协议的仿真；

所述第二PLC设备4，用于实现基于以太网3的S7协议的仿真；

所述控制器1，用于实现基于串口的Profibus-DP协议的仿真。

在具体应用中，举例来说，所述第一PLC设备3可以为Modicon设备，本实施例并不对其进行限制，所述第一PLC设备3也可以为其他可以实现基于以太网的Modbus协议的仿真的PLC设备。

在具体应用中，举例来说，所述第二PLC设备4可以为S7-300设备，本实施例并不对其进行限制，所述第二PLC设备4也可以为其他可以实现基于以太网的S7协议的仿真的PLC设备。

进一步地，所述控制器1，可具体用于Profibus-DP协议解析和Profibus-DP协议仿真实现；

其中，所述Profibus-DP协议解析承担所述控制器与所述现场级I/O设备之间的实时数据交换任务；

所述Profibus-DP协议仿真实现中Profibus-DP协议的仿真保留了物理层部分，使用软件脚本实现了基于串口的物理层数据的收发；接收相应报文时，首先由物理层脚本从串口读取数据，链路层脚本接收物理层脚本传送的数据并按照规定的报文格式打包成数据帧，继而提交给应用层脚本，最后由调用应用层脚本的仿真设备对不同报文做出响应。

可以理解的是，所述Profibus-DP协议是一种基于工业总线的现场总线协议，可以视为一种开放式的现场总线系统，其实时应用性能极好，被广泛应用在工厂自动化系统的设备层，承担控制器与现场设备之间的实时数据交换任务，如传感器、传动设备等。Profibus-DP协议的结构相对简单，只包含了物理层、现场总线数据链路层及提供用户接口的用户层；本实施例通过使用Profibus-DP专用的数据捕获软件，在真实的DCS系统中抓取了大量的数据包。通过数据包解析基本确定了控制器与仿真I/O设备间组态状态查询和参数修改功能所对应的报文格式及状态功能码，并基于串口实现数据读写，以软件实现方式实现了Profibus-DP协议解析脚本，并能够支持其他仿真模块对其脚本的调用。

所述控制器1具有参数设置功能和状态查询及响应功能；其中，参数设置功能主要帮助控制器绑定目标从站，并对从站进行相关设置，如参数设置、从站ID(标识)号设置等；状态查询及响应功能主要是获取当前从站的状态信息，用于控制器判定当前从站状态是否异常。两种功能均可以使用SD3格式的报文。

可以理解的是，在所述控制器1中，Profibus-DP协议仿真实现中的Profibus-DP协议的仿真保留了物理层部分，但解决了其对工业总线依赖的问题，使用软件脚本实现了基于串口的物理层数据的收发；接收相应报文时，首先由物理层脚本从串口读取数据，链路层脚本接收物理层脚本传送的数据并按照规定的报文格式打包成数据帧，继而提交给应用层脚本，最后由调用应用层脚本的仿真设备对不同报文做出响应。请求报文的发送是响应报文接收的逆过程。

在现有的Conpot蜜罐中，已经实现了对Modbus协议及S7协议的仿真，分别用于控制器与Modicon、S7-300的通信，而本实施例的一种基于DCS分布式控制的蜜罐系统，除了解决并优化基于这两种协议仿真脚本的实际通信外，还实现了Profibus-DP协议的协议解析及通信支持。

进一步地，在上述实施例的基础上，所述分布式仿真控制器0基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改，包括：所述控制器针对接收到的状态查询/参数修改的命令，通过协议解析脚本生成对应的通信报文，并通过总线或以太网将所述通信报文发送至对应的现场级I/O设备；或者从以太网、总线接收报文，通过协议解析脚本对接收的报文进行解析，并将解析结果(在壳shell中)显示出来，如基于以太网实现与Modicon的交互、基于Profibus-DP实现对I/O设备的交互等。

可以理解的是，在本实施例设计实现的蜜罐系统中，运行了一些数据记录的进程，这些进程能够实现分布式仿真控制器及I/O设备中的状态信息记录、shell历史命令记录等，并优化了蜜罐日志的记录形式，如扩展了基本信息的内容，增加了设备状态信息和系统操作历史记录等。这些记录使用加密传输方式传输至数据库中。进一步地，为了能够尽可能地减少日志的数量，本实施例还可以对噪声信息进行过滤处理，如过滤重复的信息、不完整的信息等。

进一步地，在具体应用中，举例来说，所述仿真I/O设备6可以为树莓派，本实施例并不对其进行限制，所述现场级I/O设备也可以根据实际情况选择其他现场级I/O设备。

可以理解的是，仿真I/O设备6体量小、数量多，且所需功能相对单一，对硬件设备没有强制需求，使用树莓派能即可满足仿真需求，并且能够极大程度上的节约成本。

本实施例的一种基于DCS分布式控制的蜜罐系统，实现了分布式仿真控制器与仿真的现场级I/O设备的交互功能，能够抓取并记录全部交互数据，以供后续能够基于这些交互数据对DCS系统的安全现状进行分析，揭示针对DCS系统的未知攻击行为，填补了对于DCS系统进行蜜罐研究的空白，提升DCS系统防御黑客攻击的能力，能够为揭示针对工业控制系统的未知攻击方式和帮助真实系统避免网络攻击提供有研究价值的数据。

本领域内的技术人员应明白，本申请的实施例可提供为方法、装置、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

本发明的说明书中，说明了大量具体细节。然而能够理解的是，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。类似地，应当理解，为了精简本发明公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释呈反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面，也不局限于任何单一的实施例，也不局限于这些方面和/或实施例的任意组合和/或置换。而且，可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (7)

1.一种基于DCS分布式控制的蜜罐系统，其特征在于，包括：分布式仿真控制器和仿真I/O设备；

所述仿真I/O设备为现场级I/O设备；

所述分布式仿真控制器，用于实现对Modbus协议、S7协议和Profibus-DP协议的仿真，并基于所仿真的工业通信协议，在所述蜜罐系统接收到固件信息读取请求时，通过文本解析脚本从本地信息文本中读取所仿真的控制器的固件信息，并将所述固件信息通过协议解析脚本组成响应报文反馈给发送所述固件信息读取请求的终端，以及基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改；

所述仿真I/O设备，用于作为参与通信的从站，通过一个状态文本记录从站的属性信息及I/O设备状态，以及通过调用Profibus-DP仿真脚本解析报文，并根据所获得的功能码及数据信息对状态文本读写。

2.根据权利要求1所述的系统，其特征在于，所述分布式仿真控制器包括：控制器、第一PLC设备和第二PLC设备；

所述控制器连接以太网，所述以太网通过Modbus协议连接所述第一PLC设备，所述以太网通过S7协议连接所述第二PLC设备；所述控制器还连接现场总线，并通过Profibus-DP协议连接所述仿真I/O设备；

其中，所述第一PLC设备，用于实现基于以太网的Modbus协议的仿真；

所述第二PLC设备，用于实现基于以太网的S7协议的仿真；

所述控制器，用于实现基于串口的Profibus-DP协议的仿真。

3.根据权利要求2所述的系统，其特征在于，所述第一PLC设备，包括：Modicon设备。

4.根据权利要求2所述的系统，其特征在于，所述第二PLC设备，包括：S7-300设备。

5.根据权利要求2所述的系统，其特征在于，所述控制器，具体用于Profibus-DP协议解析和Profibus-DP协议仿真实现；

其中，所述Profibus-DP协议解析承担所述控制器与所述现场级I/O设备之间的实时数据交换任务；

所述Profibus-DP协议仿真实现中Profibus-DP协议的仿真保留了物理层部分，使用软件脚本实现了基于串口的物理层数据的收发；接收相应报文时，首先由物理层脚本从串口读取数据，链路层脚本接收物理层脚本传送的数据并按照规定的报文格式打包成数据帧，继而提交给应用层脚本，最后由调用应用层脚本的仿真设备对不同报文做出响应。

6.根据权利要求2所述的系统，其特征在于，所述分布式仿真控制器基于所仿真的工业通信协议，支持对现场级I/O设备的状态查询和参数修改，包括：

所述控制器针对接收到的状态查询/参数修改的命令，通过协议解析脚本生成对应的通信报文，并通过总线或以太网将所述通信报文发送至对应的现场级I/O设备；或者从以太网、总线接收报文，通过协议解析脚本对接收的报文进行解析，并将解析结果显示出来。

7.根据权利要求1-6中任一项所述的系统，其特征在于，所述仿真I/O设备，包括：树莓派。